Rõ ràng, việc đảm nhận việc phát triển một tiêu chuẩn truyền thông mới mà không nghĩ đến cơ chế bảo mật là một nỗ lực cực kỳ đáng ngờ và vô ích.

Kiến trúc bảo mật 5G - một tập hợp các cơ chế và thủ tục an ninh được triển khai trong Mạng thế hệ thứ 5 và bao trùm tất cả các thành phần mạng, từ lõi đến giao diện vô tuyến.

Mạng thế hệ thứ 5 về bản chất là một sự phát triển Mạng LTE thế hệ thứ 4. Công nghệ truy nhập vô tuyến đã trải qua những thay đổi đáng kể nhất. Đối với các mạng thế hệ thứ 5, một giải pháp mới CON CHUỘT (Công nghệ truy cập vô tuyến) - Đài phát thanh mới 5G. Về phần lõi của mạng, nó chưa trải qua những thay đổi đáng kể như vậy. Về vấn đề này, kiến trúc bảo mật của mạng 5G đã được phát triển với trọng tâm là sử dụng lại các công nghệ liên quan được áp dụng trong tiêu chuẩn 4G LTE.

Tuy nhiên, điều đáng chú ý là việc xem xét lại các mối đe dọa đã biết như tấn công vào giao diện vô tuyến và lớp tín hiệu (tín hiệu máy bay), tấn công DDOS, tấn công Man-In-The-Middle... đã thúc đẩy các nhà khai thác viễn thông phát triển các tiêu chuẩn mới và tích hợp các cơ chế bảo mật hoàn toàn mới vào mạng thế hệ thứ 5.

Điều kiện tiên quyết

Vào năm 2015, Liên minh Viễn thông Quốc tế đã vạch ra kế hoạch toàn cầu đầu tiên về phát triển mạng thế hệ thứ năm, đó là lý do tại sao vấn đề phát triển các cơ chế và quy trình bảo mật trong mạng 5G trở nên đặc biệt gay gắt.

Công nghệ mới mang lại tốc độ truyền dữ liệu thực sự ấn tượng (hơn 1 Gbps), độ trễ dưới 1 ms và khả năng kết nối đồng thời khoảng 1 triệu thiết bị trong bán kính 1 km2. Những yêu cầu cao nhất như vậy đối với mạng thế hệ thứ 5 cũng được phản ánh trong các nguyên tắc tổ chức của họ.

Vấn đề chính là phân cấp, ngụ ý việc đặt nhiều cơ sở dữ liệu cục bộ và các trung tâm xử lý của chúng ở ngoại vi mạng. Điều này giúp giảm thiểu độ trễ khi M2M-truyền thông và giải phóng lõi mạng do phục vụ một số lượng lớn thiết bị IoT. Do đó, ranh giới của các mạng thế hệ tiếp theo đã mở rộng đến tận các trạm cơ sở, cho phép tạo ra các trung tâm liên lạc cục bộ và cung cấp dịch vụ đám mây mà không gặp rủi ro về độ trễ nghiêm trọng hoặc từ chối dịch vụ. Đương nhiên, cách tiếp cận đã thay đổi đối với mạng và dịch vụ khách hàng được những kẻ tấn công quan tâm vì nó mở ra cơ hội mới cho chúng tấn công cả thông tin bí mật của người dùng và chính các thành phần mạng nhằm gây ra sự từ chối dịch vụ hoặc chiếm đoạt tài nguyên máy tính của nhà điều hành.

Lỗ hổng chính của mạng thế hệ thứ 5

Bề mặt tấn công lớn

hơnKhi xây dựng mạng viễn thông thế hệ thứ 3 và thứ 4, các nhà khai thác viễn thông thường bị giới hạn làm việc với một hoặc một số nhà cung cấp cung cấp ngay một bộ phần cứng và phần mềm. Nghĩa là, mọi thứ đều có thể hoạt động, như người ta nói, “ngay lập tức” - chỉ cần cài đặt và cấu hình thiết bị mua từ nhà cung cấp là đủ; không cần phải thay thế hoặc bổ sung phần mềm độc quyền. Các xu hướng hiện đại đi ngược lại với cách tiếp cận “cổ điển” này và nhằm mục đích ảo hóa mạng, một cách tiếp cận của nhiều nhà cung cấp đối với sự đa dạng về xây dựng và phần mềm của họ. Những công nghệ như SDN (Mạng được xác định bằng phần mềm bằng tiếng Anh) và NFV (Ảo hóa chức năng mạng tiếng Anh), dẫn đến việc đưa một lượng lớn phần mềm được xây dựng trên cơ sở mã nguồn mở vào các quy trình và chức năng quản lý mạng truyền thông. Điều này mang lại cho kẻ tấn công cơ hội nghiên cứu tốt hơn mạng của nhà điều hành và xác định số lượng lỗ hổng lớn hơn, từ đó làm tăng bề mặt tấn công của mạng thế hệ mới so với mạng hiện tại.

Số lượng lớn thiết bị IoT

hơnĐến năm 2021, khoảng 57% thiết bị kết nối với mạng 5G sẽ là thiết bị IoT. Điều này có nghĩa là hầu hết các máy chủ sẽ có khả năng mã hóa hạn chế (xem điểm 2) và do đó sẽ dễ bị tấn công. Một số lượng lớn các thiết bị như vậy sẽ làm tăng nguy cơ phát triển botnet và khiến nó có thể thực hiện các cuộc tấn công DDoS mạnh mẽ và phân tán hơn nữa.

Khả năng mã hóa hạn chế của các thiết bị IoT

hơnNhư đã đề cập, mạng thế hệ thứ 5 tích cực sử dụng các thiết bị ngoại vi, giúp loại bỏ một phần tải khỏi lõi mạng và do đó giảm độ trễ. Điều này là cần thiết cho các dịch vụ quan trọng như điều khiển phương tiện không người lái, hệ thống cảnh báo khẩn cấp IMS và những người khác, đối với họ việc đảm bảo độ trễ tối thiểu là rất quan trọng vì mạng sống con người phụ thuộc vào nó. Do sự kết nối của một số lượng lớn các thiết bị IoT, do kích thước nhỏ và mức tiêu thụ điện năng thấp, có tài nguyên tính toán rất hạn chế, mạng 5G trở nên dễ bị tấn công nhằm đánh chặn quyền kiểm soát và thao tác tiếp theo của các thiết bị đó. Ví dụ: có thể có trường hợp các thiết bị IoT là một phần của hệ thống bị lây nhiễm "ngôi nhà thông minh", các loại phần mềm độc hại như Phần mềm tống tiền và phần mềm tống tiền. Các kịch bản chặn điều khiển của phương tiện không người lái nhận lệnh và thông tin dẫn đường qua đám mây cũng có thể thực hiện được. Về mặt hình thức, lỗ hổng này là do sự phân cấp của các mạng thế hệ mới, nhưng đoạn tiếp theo sẽ nêu vấn đề phân cấp rõ ràng hơn.

Phân cấp và mở rộng ranh giới mạng

hơnCác thiết bị ngoại vi, đóng vai trò là lõi mạng cục bộ, thực hiện định tuyến lưu lượng người dùng, xử lý các yêu cầu cũng như bộ nhớ đệm cục bộ và lưu trữ dữ liệu người dùng. Do đó, ranh giới của các mạng thế hệ thứ 5 đang mở rộng, ngoài lõi, đến ngoại vi, bao gồm cơ sở dữ liệu cục bộ và giao diện vô tuyến 5G-NR (5G New Radio). Điều này tạo cơ hội tấn công tài nguyên máy tính của các thiết bị cục bộ, vốn được bảo vệ yếu hơn so với các nút trung tâm của lõi mạng, với mục tiêu gây ra tình trạng từ chối dịch vụ. Điều này có thể dẫn đến việc ngắt kết nối truy cập Internet cho toàn bộ khu vực, hoạt động không chính xác của các thiết bị IoT (ví dụ: trong hệ thống nhà thông minh), cũng như không có dịch vụ cảnh báo khẩn cấp IMS.

Tuy nhiên, ETSI và 3GPP hiện đã công bố hơn 10 tiêu chuẩn bao gồm các khía cạnh khác nhau của bảo mật mạng 5G. Phần lớn các cơ chế được mô tả đều nhằm mục đích bảo vệ khỏi các lỗ hổng (bao gồm cả các cơ chế được mô tả ở trên). Một trong những cái chính là tiêu chuẩn TS 23.501 phiên bản 15.6.0, mô tả kiến trúc bảo mật của mạng thế hệ thứ 5.

Kiến trúc 5G

Trước tiên, hãy chuyển sang các nguyên tắc chính của kiến trúc mạng 5G, điều này sẽ bộc lộ đầy đủ hơn ý nghĩa và phạm vi trách nhiệm của từng mô-đun phần mềm và từng chức năng bảo mật 5G.

Phân chia các nút mạng thành các phần tử đảm bảo hoạt động của các giao thức máy bay tùy chỉnh (từ English UP - User Plane) và các yếu tố đảm bảo hoạt động của các giao thức mặt phẳng điều khiển (từ CP tiếng Anh - Control Plane), giúp tăng tính linh hoạt về quy mô và triển khai mạng, tức là có thể đặt tập trung hoặc phi tập trung các nút mạng thành phần riêng lẻ.
Hỗ trợ cơ chế cắt mạng, dựa trên các dịch vụ được cung cấp cho các nhóm người dùng cuối cụ thể.
Triển khai các phần tử mạng theo mẫu chức năng mạng ảo.
Hỗ trợ truy cập đồng thời vào các dịch vụ tập trung và cục bộ, tức là triển khai các khái niệm đám mây (từ tiếng Anh. điện toán sương mù) và đường viền (từ tiếng Anh. tính toán cạnh) tính toán.
Thực hiện hội tụ kiến trúc kết hợp các loại mạng truy cập khác nhau - 3GPP 5G New Radio và không phải 3GPP (Wi-Fi, v.v.) - với một lõi mạng duy nhất.
Hỗ trợ các thuật toán và quy trình xác thực thống nhất, bất kể loại mạng truy cập.
Hỗ trợ các chức năng mạng không trạng thái, trong đó tài nguyên được tính toán được tách biệt khỏi kho tài nguyên.
Hỗ trợ chuyển vùng với định tuyến lưu lượng truy cập cả qua mạng gia đình (từ chuyển vùng định tuyến tại nhà ở Anh) và với “hạ cánh” cục bộ (từ đột phá cục bộ ở Anh) trong mạng khách.
Sự tương tác giữa các chức năng mạng được thể hiện theo hai cách: hướng tới dịch vụ и giao diện.

Khái niệm an ninh mạng thế hệ thứ 5 bao gồm:

Xác thực người dùng từ mạng.
Xác thực mạng bởi người dùng.
Đàm phán các khóa mật mã giữa mạng và thiết bị người dùng.
Mã hóa và kiểm soát tính toàn vẹn của lưu lượng báo hiệu.
Mã hóa và kiểm soát tính toàn vẹn của lưu lượng người dùng.
Bảo vệ ID người dùng.
Bảo vệ giao diện giữa các thành phần mạng khác nhau theo khái niệm về miền bảo mật mạng.
Cách ly các lớp khác nhau của cơ chế cắt mạng và xác định mức độ bảo mật riêng của từng lớp.
Xác thực người dùng và bảo vệ lưu lượng ở cấp độ dịch vụ cuối (IMS, IoT và các dịch vụ khác).

Các mô-đun phần mềm chính và tính năng bảo mật mạng 5G

AMF (từ Tiếng Anh Chức năng quản lý truy cập & di động - chức năng quản lý truy cập và di động) - cung cấp:

Tổ chức các giao diện mặt phẳng điều khiển.
Tổ chức trao đổi lưu lượng báo hiệu RRC, mã hóa và bảo vệ tính toàn vẹn của dữ liệu của nó.
Tổ chức trao đổi lưu lượng báo hiệu NAS, mã hóa và bảo vệ tính toàn vẹn của dữ liệu của nó.
Quản lý việc đăng ký thiết bị người dùng trên mạng và giám sát các trạng thái đăng ký có thể có.
Quản lý kết nối thiết bị người dùng với mạng và giám sát các trạng thái có thể xảy ra.
Kiểm soát tính khả dụng của thiết bị người dùng trên mạng ở trạng thái CM-IDLE.
Quản lý tính di động của thiết bị người dùng trong mạng ở trạng thái CM-CONNECTED.
Truyền các tin nhắn ngắn giữa thiết bị người dùng và SMF.
Quản lý dịch vụ định vị.
Phân bổ ID chủ đề EPS để tương tác với EPS.

SMF (Tiếng Anh: Session Management Function - chức năng quản lý phiên) - cung cấp:

Quản lý phiên giao tiếp, tức là tạo, sửa đổi và giải phóng các phiên, bao gồm duy trì đường hầm giữa mạng truy cập và UPF.
Phân phối và quản lý địa chỉ IP của thiết bị người dùng.
Lựa chọn cổng UPF để sử dụng.
Tổ chức tương tác với PCF.
Quản lý thực thi chính sách QoS.
Cấu hình động của thiết bị người dùng sử dụng giao thức DHCPv4 và DHCPv6.
Giám sát việc thu thập dữ liệu thuế quan và tổ chức tương tác với hệ thống thanh toán.
Cung cấp dịch vụ liền mạch (từ tiếng Anh. SSC - Tính liên tục của phiên và dịch vụ).
Tương tác với các mạng khách trong chuyển vùng.

UPF (Chức năng mặt phẳng người dùng tiếng Anh - chức năng mặt phẳng người dùng) - cung cấp:

Tương tác với các mạng dữ liệu bên ngoài, bao gồm cả Internet toàn cầu.
Định tuyến các gói người dùng.
Đánh dấu các gói theo chính sách QoS.
Chẩn đoán gói người dùng (ví dụ: phát hiện ứng dụng dựa trên chữ ký).
Cung cấp các báo cáo về việc sử dụng lưu lượng truy cập.
UPF cũng là điểm neo để hỗ trợ tính di động cả trong và giữa các công nghệ truy cập vô tuyến khác nhau.

UDM (Tiếng Anh Quản lý dữ liệu hợp nhất - cơ sở dữ liệu hợp nhất) - cung cấp:

Quản lý dữ liệu hồ sơ người dùng, bao gồm lưu trữ và sửa đổi danh sách các dịch vụ có sẵn cho người dùng và các thông số tương ứng của chúng.
Управление SUPI
Tạo thông tin xác thực 3GPP AKA.
Ủy quyền truy cập dựa trên dữ liệu hồ sơ (ví dụ: hạn chế chuyển vùng).
Quản lý đăng ký người dùng, tức là lưu trữ phục vụ AMF.
Hỗ trợ các phiên liên lạc và dịch vụ liền mạch, tức là lưu trữ SMF được gán cho phiên liên lạc hiện tại.
Quản lý gửi tin nhắn SMS.
Một số UDM khác nhau có thể phục vụ cùng một người dùng trên các giao dịch khác nhau.

UDR (Kho lưu trữ dữ liệu hợp nhất tiếng Anh - lưu trữ dữ liệu hợp nhất) - cung cấp khả năng lưu trữ nhiều dữ liệu người dùng khác nhau và trên thực tế, là cơ sở dữ liệu của tất cả các thuê bao mạng.

UDSF (Tiếng Anh Chức năng lưu trữ dữ liệu phi cấu trúc - chức năng lưu trữ dữ liệu phi cấu trúc) - đảm bảo rằng các mô-đun AMF lưu các bối cảnh hiện tại của người dùng đã đăng ký. Nói chung, thông tin này có thể được trình bày dưới dạng dữ liệu có cấu trúc không xác định. Bối cảnh người dùng có thể được sử dụng để đảm bảo các phiên đăng ký liền mạch và không bị gián đoạn, cả trong quá trình rút một trong các AMF theo kế hoạch khỏi dịch vụ và trong trường hợp khẩn cấp. Trong cả hai trường hợp, AMF dự phòng sẽ “nhận” dịch vụ bằng cách sử dụng ngữ cảnh được lưu trữ trong USDF.

Kết hợp UDR và UDSF trên cùng một nền tảng vật lý là cách triển khai điển hình của các chức năng mạng này.

PCF (Tiếng Anh: Policy Control Function - chức năng kiểm soát chính sách) - tạo và gán các chính sách dịch vụ nhất định cho người dùng, bao gồm các tham số QoS và quy tắc tính phí. Ví dụ: để truyền một hoặc một loại lưu lượng truy cập khác, các kênh ảo với các đặc điểm khác nhau có thể được tạo động. Đồng thời, có thể tính đến các yêu cầu về dịch vụ mà thuê bao yêu cầu, mức độ tắc nghẽn mạng, lượng lưu lượng sử dụng, v.v.

NEF (Tiếng Anh Chức năng tiếp xúc mạng - chức năng tiếp xúc mạng) - cung cấp:

Tổ chức tương tác an toàn giữa các nền tảng và ứng dụng bên ngoài với lõi mạng.
Quản lý các thông số QoS và quy tắc tính phí cho người dùng cụ thể.

SEAF (Tiếng Anh Security Anchor Function - chức năng neo bảo mật) - cùng với AUSF cung cấp khả năng xác thực người dùng khi họ đăng ký trên mạng bằng bất kỳ công nghệ truy cập nào.

AUSF (Tiếng Anh Authentication Server Function - chức năng máy chủ xác thực) - đóng vai trò là máy chủ xác thực nhận và xử lý các yêu cầu từ SEAF và chuyển hướng chúng đến ARPF.

ARPF (Tiếng Anh: Chức năng xử lý và lưu trữ thông tin xác thực - chức năng lưu trữ và xử lý thông tin xác thực) - cung cấp khả năng lưu trữ khóa bí mật cá nhân (KI) và các tham số của thuật toán mã hóa, cũng như tạo ra các vectơ xác thực theo 5G-AKA hoặc EAP-AKA. Nó nằm trong trung tâm dữ liệu của nhà khai thác viễn thông gia đình, được bảo vệ khỏi các tác động vật lý bên ngoài và theo quy định, được tích hợp với UDM.

SCMF (Tiếng Anh Security Context Management Function - chức năng quản lý bối cảnh bảo mật) - Cung cấp khả năng quản lý vòng đời cho bối cảnh bảo mật 5G.

SPCF (Tiếng Anh Security Policy Control Function - chức năng quản lý chính sách bảo mật) - đảm bảo sự phối hợp và áp dụng các chính sách bảo mật liên quan đến những người dùng cụ thể. Điều này tính đến khả năng của mạng, khả năng của thiết bị người dùng và các yêu cầu của dịch vụ cụ thể (ví dụ: mức độ bảo vệ được cung cấp bởi dịch vụ liên lạc quan trọng và dịch vụ truy cập Internet băng thông rộng không dây có thể khác nhau). Việc áp dụng các chính sách bảo mật bao gồm: lựa chọn AUSF, lựa chọn thuật toán xác thực, lựa chọn thuật toán mã hóa và kiểm soát tính toàn vẹn dữ liệu, xác định độ dài và vòng đời của khóa.

SIDF (Chức năng khử ẩn mã định danh đăng ký tiếng Anh - chức năng trích xuất mã định danh người dùng) - đảm bảo trích xuất mã định danh đăng ký cố định của người đăng ký (SUPI tiếng Anh) từ một mã định danh ẩn (tiếng Anh SUCI), được nhận như một phần của yêu cầu thủ tục xác thực “Yêu cầu thông tin xác thực”.

Yêu cầu bảo mật cơ bản đối với mạng truyền thông 5G

hơnxác thực người dùng: Mạng 5G phục vụ phải xác thực SUPI của người dùng trong quy trình 5G AKA giữa người dùng và mạng.

Phục vụ xác thực mạng: Người dùng phải xác thực ID mạng phục vụ 5G, với xác thực đạt được thông qua việc sử dụng thành công các khóa thu được thông qua quy trình 5G AKA.

Ủy quyền người dùng: Mạng phục vụ phải cấp phép cho người dùng sử dụng hồ sơ người dùng nhận được từ mạng của nhà khai thác viễn thông gia đình.

Ủy quyền của mạng phục vụ bởi mạng nhà điều hành: Người dùng phải được cung cấp xác nhận rằng họ đã kết nối với mạng dịch vụ được mạng điều hành gia đình cho phép cung cấp dịch vụ. Việc ủy quyền ngầm hiểu theo nghĩa là nó được đảm bảo bằng việc hoàn thành thành công quy trình 5G AKA.

Ủy quyền của mạng truy cập bởi mạng điều hành gia đình: Người dùng phải được cung cấp xác nhận rằng họ đã kết nối với mạng truy cập được nhà điều hành mạng gia đình ủy quyền để cung cấp dịch vụ. Việc ủy quyền ngầm hiểu theo nghĩa là nó được thực thi bằng cách thiết lập thành công tính bảo mật của mạng truy cập. Loại ủy quyền này phải được sử dụng cho bất kỳ loại mạng truy cập nào.

Dịch vụ khẩn cấp không được xác thực: Để đáp ứng các yêu cầu pháp lý ở một số khu vực, mạng 5G phải cung cấp quyền truy cập không xác thực cho các dịch vụ khẩn cấp.

Mạng lõi và mạng truy cập vô tuyến: Lõi mạng 5G và mạng truy cập vô tuyến 5G phải hỗ trợ sử dụng thuật toán mã hóa và toàn vẹn 128 bit để đảm bảo an ninh AS и NAS. Giao diện mạng phải hỗ trợ khóa mã hóa 256 bit.

Yêu cầu an toàn cơ bản đối với thiết bị người dùng

hơn

Thiết bị người dùng phải hỗ trợ mã hóa, bảo vệ tính toàn vẹn và bảo vệ chống lại các cuộc tấn công lặp lại dữ liệu người dùng được truyền giữa nó và mạng truy cập vô tuyến.
Thiết bị người dùng phải kích hoạt cơ chế mã hóa và bảo vệ tính toàn vẹn dữ liệu theo chỉ dẫn của mạng truy cập vô tuyến.
Thiết bị của người dùng phải hỗ trợ mã hóa, bảo vệ tính toàn vẹn và bảo vệ chống lại các cuộc tấn công phát lại đối với lưu lượng báo hiệu RRC và NAS.
Thiết bị của người dùng phải hỗ trợ các thuật toán mã hóa sau: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
Thiết bị người dùng có thể hỗ trợ các thuật toán mã hóa sau: 128-NEA3, 128-NIA3.
Thiết bị của người dùng phải hỗ trợ các thuật toán mã hóa sau: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 nếu hỗ trợ kết nối với mạng truy cập vô tuyến E-UTRA.
Việc bảo vệ tính bảo mật của dữ liệu người dùng được truyền giữa thiết bị người dùng và mạng truy cập vô tuyến là tùy chọn nhưng phải được cung cấp bất cứ khi nào được quy định cho phép.
Bảo vệ quyền riêng tư cho lưu lượng báo hiệu RRC và NAS là tùy chọn.
Khóa vĩnh viễn của người dùng phải được bảo vệ và lưu trữ trong các bộ phận được bảo mật tốt của thiết bị người dùng.
Mã định danh thuê bao cố định của thuê bao không được truyền dưới dạng văn bản rõ ràng qua mạng truy cập vô tuyến ngoại trừ thông tin cần thiết để định tuyến chính xác (ví dụ: MCC и MNC).
Khóa công khai mạng của nhà điều hành mạng, mã định danh khóa, mã định danh sơ đồ bảo mật và mã định danh định tuyến phải được lưu trữ trong USIM.

Mỗi thuật toán mã hóa được liên kết với một số nhị phân:

"0000": NEA0 - Thuật toán mã hóa Null
"0001": 128-NEA1 - 128-bit TUYẾT Thuật toán dựa trên 3G
"0010" 128-NEA2 - 128-bit AES thuật toán dựa trên
"0011" 128-NEA3 - 128-bit ZUC thuật toán dựa trên.

Mã hóa dữ liệu bằng 128-NEA1 và 128-NEA2

PS Mạch được mượn từ TS 133.501

Tạo các phần chèn mô phỏng bằng thuật toán 128-NIA1 và 128-NIA2 để đảm bảo tính toàn vẹn

PS Mạch được mượn từ TS 133.501

Yêu cầu bảo mật cơ bản đối với các chức năng của mạng 5G

hơn

AMF phải hỗ trợ xác thực chính bằng SUCI.
SEAF phải hỗ trợ xác thực chính bằng SUCI.
UDM và ARPF phải lưu trữ khóa vĩnh viễn của người dùng và đảm bảo rằng nó được bảo vệ khỏi bị đánh cắp.
AUSF sẽ chỉ cung cấp SUPI cho mạng phục vụ cục bộ sau khi xác thực ban đầu thành công bằng SUCI.
NEF không được chuyển tiếp thông tin mạng lõi ẩn bên ngoài miền bảo mật của nhà điều hành.

Quy trình an toàn cơ bản

Tên miền tin cậy

Trong các mạng thế hệ thứ 5, độ tin cậy vào các phần tử mạng giảm đi khi các phần tử di chuyển ra khỏi lõi mạng. Khái niệm này ảnh hưởng đến các quyết định được triển khai trong kiến trúc bảo mật 5G. Vì vậy, chúng ta có thể nói về mô hình tin cậy của mạng 5G xác định hành vi của các cơ chế bảo mật mạng.

Về phía người dùng, miền tin cậy được hình thành bởi UICC và USIM.

Về phía mạng, miền tin cậy có cấu trúc phức tạp hơn.

Mạng truy cập vô tuyến được chia thành hai thành phần - DU (từ Đơn vị phân phối tiếng Anh - đơn vị mạng phân tán) và CU (từ Đơn vị Trung ương Anh - đơn vị trung tâm của mạng lưới). Họ cùng nhau tạo thành gNB — giao diện vô tuyến của trạm gốc mạng 5G. DU không có quyền truy cập trực tiếp vào dữ liệu người dùng vì chúng có thể được triển khai trên các phân đoạn cơ sở hạ tầng không được bảo vệ. CU phải được triển khai trong các phân đoạn mạng được bảo vệ vì chúng chịu trách nhiệm chấm dứt lưu lượng truy cập từ các cơ chế bảo mật AS. Cốt lõi của mạng được đặt AMF, chấm dứt lưu lượng truy cập từ các cơ chế bảo mật NAS. Thông số kỹ thuật 3GPP 5G Giai đoạn 1 hiện tại mô tả sự kết hợp AMF có chức năng an toàn SEAF, chứa khóa gốc (còn được gọi là "khóa neo") của mạng đã truy cập (phục vụ). AUSF có trách nhiệm lưu trữ khóa thu được sau khi xác thực thành công. Nó cần thiết để tái sử dụng trong trường hợp người dùng được kết nối đồng thời với một số mạng truy cập vô tuyến. ARPF lưu trữ thông tin xác thực của người dùng và tương tự như USIM dành cho người đăng ký. UDR и UDM lưu trữ thông tin người dùng, được sử dụng để xác định logic tạo thông tin xác thực, ID người dùng, đảm bảo tính liên tục của phiên, v.v.

Hệ thống phân cấp của khóa và sơ đồ phân phối của chúng

Trong mạng thế hệ thứ 5, không giống như mạng 4G-LTE, quy trình xác thực có hai thành phần: xác thực chính và phụ. Xác thực chính là bắt buộc đối với tất cả các thiết bị người dùng kết nối với mạng. Xác thực thứ cấp có thể được thực hiện theo yêu cầu từ các mạng bên ngoài nếu thuê bao kết nối với chúng.

Sau khi hoàn thành thành công xác thực chính và phát triển khóa chung K giữa người dùng và mạng, KSEAF được trích xuất từ khóa K - khóa neo (root) đặc biệt của mạng phục vụ. Sau đó, các khóa được tạo từ khóa này để đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu lưu lượng báo hiệu RRC và NAS.

Sơ đồ có giải thích
Chỉ định:
CK Khóa mật mã
IK (Tiếng Anh: Integrity Key) - khóa được sử dụng trong các cơ chế bảo vệ tính toàn vẹn dữ liệu.
CK' (eng. Cipher Key) - một khóa mật mã khác được tạo từ CK cho cơ chế EAP-AKA.
IK' (Khóa toàn vẹn tiếng Anh) - một khóa khác được sử dụng trong cơ chế bảo vệ tính toàn vẹn dữ liệu cho EAP-AKA.
KAUSF - được tạo ra bởi chức năng ARPF và thiết bị người dùng từ CK и IK trong 5G AKA và EAP-AKA.
KSEAF - khóa neo thu được bởi hàm AUSF từ khóa KAMFAUSF.
KAMF — khóa mà hàm SEAF thu được từ khóa KSEAF.
KNASint, KNASenc — các khóa mà hàm AMF thu được từ khóa KAMF để bảo vệ lưu lượng báo hiệu NAS.
KRRint, KRRCenc — các khóa mà hàm AMF thu được từ khóa KAMF để bảo vệ lưu lượng báo hiệu RRC.
KUPint, KUPenc — các khóa mà hàm AMF thu được từ khóa KAMF để bảo vệ lưu lượng báo hiệu AS.
NH — khóa trung gian mà hàm AMF thu được từ khóa KAMF nhằm đảm bảo an toàn dữ liệu trong quá trình chuyển giao.
KgNB — khóa mà hàm AMF thu được từ khóa KAMF để đảm bảo an toàn cho cơ cấu di chuyển.

Lược đồ tạo SUCI từ SUPI và ngược lại

Các kế hoạch để có được SUPI và SUCI

Sản xuất SUCI từ SUPI và SUPI từ SUCI:

Xác thực

Xác thực chính

Trong mạng 5G, EAP-AKA và 5G AKA là các cơ chế xác thực chính tiêu chuẩn. Hãy chia cơ chế xác thực chính thành hai giai đoạn: giai đoạn thứ nhất chịu trách nhiệm bắt đầu xác thực và chọn phương thức xác thực, giai đoạn thứ hai chịu trách nhiệm xác thực lẫn nhau giữa người dùng và mạng.

Bắt đầu

Người dùng gửi yêu cầu đăng ký tới SEAF, trong đó có ID đăng ký ẩn SUCI của người dùng.

SEAF gửi tới AUSF một thông báo yêu cầu xác thực (Yêu cầu Nausf_UEAuthentication_Authenticate) chứa SNN (Tên mạng phục vụ) và SUPI hoặc SUCI.

AUSF kiểm tra xem người yêu cầu xác thực SEAF có được phép sử dụng SNN đã cho hay không. Nếu mạng phục vụ không được phép sử dụng SNN này thì AUSF sẽ phản hồi bằng thông báo lỗi ủy quyền “Mạng phục vụ không được ủy quyền” (Phản hồi Nausf_UEAuthentication_Authenticate).

Thông tin xác thực được AUSF yêu cầu tới UDM, ARPF hoặc SIDF thông qua SUPI hoặc SUCI và SNN.

Dựa trên SUPI hoặc SUCI và thông tin người dùng, UDM/ARPF chọn phương thức xác thực để sử dụng tiếp theo và cấp thông tin xác thực của người dùng.

Chứng thực lẫn nhau

Khi sử dụng bất kỳ phương thức xác thực nào, các chức năng mạng UDM/ARPF phải tạo ra vectơ xác thực (AV).

EAP-AKA: UDM/ARPF trước tiên tạo ra một vectơ xác thực có bit phân tách AMF = 1, sau đó tạo ra CK' и IK' của CK, IK và SNN và tạo thành một vectơ xác thực AV mới (RAND, AUTN, XRES*, CK', IK'), được gửi đến AUSF kèm theo hướng dẫn chỉ sử dụng cho EAP-AKA.

5G AKA: UDM/ARPF nhận được chìa khóa KAUSF của CK, IK và SNN, sau đó nó tạo ra 5G HE AV. Vector xác thực môi trường gia đình 5G). Vectơ xác thực 5G HE AV (RAND, AUTN, XRES, KAUSF) được gửi đến AUSF kèm theo hướng dẫn sử dụng nó cho 5G AKA.

Sau AUSF này, khóa neo sẽ được lấy KSEAF từ chìa khóa KAUSF và gửi yêu cầu tới SEAF “Thử thách” trong tin nhắn “Nausf_UEAuthentication_Authenticate Response”, cũng chứa RAND, AUTN và RES*. Tiếp theo, RAND và AUTN được truyền đến thiết bị người dùng bằng thông báo báo hiệu NAS an toàn. USIM của người dùng tính toán RES* từ RAND và AUTN nhận được và gửi nó tới SEAF. SEAF chuyển tiếp giá trị này tới AUSF để xác minh.

AUSF so sánh XRES* được lưu trữ trong đó và RES* nhận được từ người dùng. Nếu có sự trùng khớp, AUSF và UDM trong mạng gia đình của nhà điều hành sẽ được thông báo xác thực thành công và người dùng và SEAF sẽ tạo khóa độc lập KAMF của KSEAF và SUPI để liên lạc thêm.

Xác thực phụ

Chuẩn 5G hỗ trợ xác thực thứ cấp tùy chọn dựa trên EAP-AKA giữa thiết bị người dùng và mạng dữ liệu bên ngoài. Trong trường hợp này, SMF đóng vai trò là người xác thực EAP và dựa vào công việc AAA-một máy chủ mạng bên ngoài xác thực và ủy quyền cho người dùng.

Việc xác thực người dùng ban đầu bắt buộc trên mạng gia đình diễn ra và bối cảnh bảo mật NAS chung được phát triển với AMF.
Người dùng gửi yêu cầu tới AMF để thiết lập phiên.
AMF gửi yêu cầu thiết lập phiên tới SMF cho biết SUPI của người dùng.
SMF xác thực thông tin xác thực của người dùng trong UDM bằng SUPI được cung cấp.
SMF gửi phản hồi theo yêu cầu từ AMF.
SMF khởi tạo quy trình xác thực EAP để có được quyền thiết lập phiên từ máy chủ AAA trên mạng bên ngoài. Để thực hiện điều này, SMF và người dùng trao đổi tin nhắn để bắt đầu quy trình.
Sau đó, người dùng và máy chủ AAA mạng bên ngoài sẽ trao đổi tin nhắn để xác thực và ủy quyền cho người dùng. Trong trường hợp này, người dùng gửi tin nhắn đến SMF, SMF sẽ trao đổi tin nhắn với mạng bên ngoài thông qua UPF.

Kết luận

Mặc dù kiến trúc bảo mật 5G dựa trên việc tái sử dụng các công nghệ hiện có nhưng nó đặt ra những thách thức hoàn toàn mới. Một số lượng lớn thiết bị IoT, ranh giới mạng được mở rộng và các thành phần kiến trúc phi tập trung chỉ là một số nguyên tắc chính của tiêu chuẩn 5G giúp tội phạm mạng có thể tự do thỏa sức tưởng tượng.

Tiêu chuẩn cốt lõi cho kiến trúc bảo mật 5G là TS 23.501 phiên bản 15.6.0 - chứa các điểm chính về hoạt động của các cơ chế và thủ tục an toàn. Đặc biệt, nó mô tả vai trò của mỗi VNF trong việc đảm bảo bảo vệ dữ liệu người dùng và các nút mạng, trong việc tạo khóa mật mã và thực hiện quy trình xác thực. Nhưng ngay cả tiêu chuẩn này cũng không cung cấp câu trả lời cho các vấn đề bảo mật cấp bách mà các nhà khai thác viễn thông phải đối mặt thường xuyên hơn khi các mạng thế hệ mới được phát triển và đưa vào hoạt động với cường độ cao hơn.

Về vấn đề này, tôi muốn tin rằng những khó khăn trong việc vận hành và bảo vệ mạng thế hệ thứ 5 sẽ không ảnh hưởng đến người dùng bình thường, những người được hứa hẹn về tốc độ truyền tải và phản hồi như con trai của một người bạn của mẹ và đã háo hức dùng thử tất cả. khả năng được công bố của các mạng thế hệ mới.

Liên kết hữu ích

Chuỗi thông số kỹ thuật 3GPP
Kiến trúc bảo mật 5G
Kiến trúc hệ thống 5G
Wiki 5G
Ghi chú kiến trúc 5G
Tổng quan về bảo mật 5G

Nguồn: www.habr.com

Giới thiệu Kiến trúc bảo mật 5G: NFV, Khóa và 2 xác thực