Geekly articles weekly

5G-Sicherheitsarchitektur Einführung: NFV, Schlüssel und 2 Authentifizierungen

Bild

Offensichtlich ist es ungewöhnlich zweifelhaft und nutzlos, einen neuen Kommunikationsstandard zu entwickeln, ohne über Sicherheitsmechanismen nachzudenken.

5G-Sicherheitsarchitektur - Eine Reihe von Sicherheitsmechanismen und -verfahren, die in Netzwerken der 5. Generation implementiert sind und alle Netzwerkkomponenten abdecken, vom Kern bis zu den Funkschnittstellen.

Netze der 5. Generation sind im Wesentlichen eine Weiterentwicklung der LTE-Netze der 4. Generation . Funkzugangstechnologien haben die wichtigsten Änderungen erfahren. Für Netze der 5. Generation wurde eine neue RAT (Radio Access Technology) entwickelt - 5G New Radio . Was den Netzwerkkern betrifft, so hat er keine so bedeutenden Änderungen erfahren. In diesem Zusammenhang wurde die Sicherheitsarchitektur von 5G-Netzen mit dem Schwerpunkt auf der Wiederverwendung der im 4G-LTE-Standard übernommenen relevanten Technologien entwickelt.

Erwähnenswert ist jedoch, dass das Überdenken bekannter Bedrohungen wie Angriffe auf Funkschnittstellen und Signalisierungsebene ( Signalisierungsebene ), DDOS-Angriffe, Man-In-The-Middle-Angriffe usw. Telekommunikationsbetreiber dazu veranlasste, neue Standards zu entwickeln und völlig neue Mechanismen zu integrieren Netzwerksicherheit der 5. Generation.

Bild

Hintergrund


Die Internationale Fernmeldeunion hat im Jahr 2015 den ersten ihrer Art globalen Plan für den Aufbau von Netzen der fünften Generation erstellt, weshalb die Frage der Entwicklung von Sicherheitsmechanismen und -verfahren in 5G-Netzen besonders aktuell war.

Die neue Technologie bietet beeindruckende Datenübertragungsgeschwindigkeiten (über 1 Gbit / s), eine Verzögerung von weniger als 1 ms und die Möglichkeit, gleichzeitig etwa 1 Million Geräte in einem Umkreis von 1 km 2 anzuschließen. Diese höchsten Anforderungen an Netze der 5. Generation spiegeln sich in den Grundsätzen ihrer Organisation wider.

Das Hauptproblem war die Dezentralisierung, bei der viele lokale Datenbanken und ihre Verarbeitungszentren an der Peripherie des Netzwerks platziert wurden. Dadurch konnten Verzögerungen bei der M2M- Kommunikation minimiert und der Kern des Netzwerks entlastet werden, da eine große Anzahl von IoT-Geräten gewartet wurde. Auf diese Weise wurde die Grenze der Netzwerke der neuen Generation auf die Basisstationen ausgedehnt, sodass Sie lokale Kommunikationszentren einrichten und Cloud-Dienste bereitstellen können, ohne das Risiko kritischer Verzögerungen oder Denial-of-Service. Die veränderte Herangehensweise an die Vernetzung und den Kundendienst hat Eindringlinge natürlich interessiert, da sie neue Möglichkeiten eröffneten, sowohl vertrauliche Benutzerinformationen als auch die Netzwerkkomponenten selbst anzugreifen, um einen Denial-of-Service zu verursachen oder die Computerressourcen des Betreibers zu belasten.

Wichtige Sicherheitslücken im Netzwerk der 5. Generation


Große Angriffsfläche


Weitere Details
Beim Aufbau von Telekommunikationsnetzen der 3. und 4. Generation beschränkten sich die Telekommunikationsbetreiber in der Regel darauf, mit einem oder mehreren Anbietern zusammenzuarbeiten, die sofort eine Reihe von Hard- und Software lieferten. Das heißt, alles könnte sofort funktionieren - alles, was benötigt wurde, war die Installation und Konfiguration der vom Verkäufer gekauften Geräte. Es war nicht erforderlich, proprietäre Software zu ersetzen oder zu ergänzen. Aktuelle Trends stehen im Widerspruch zu diesem „klassischen“ Ansatz und zielen auf die Virtualisierung von Netzwerken, einen herstellerübergreifenden Ansatz für deren Aufbau und eine Vielzahl von Software. Technologien wie SDN (Software Defined Network) und NFV (Network Functions Virtualization) werden immer beliebter, was dazu führt, dass in die Prozesse und Funktionen der Verwaltung von Kommunikationsnetzwerken eine große Menge von Software einbezogen wird, die auf Open-Source-Codes basiert. Dies gibt Angreifern die Möglichkeit, das Netzwerk des Betreibers besser zu untersuchen und mehr Schwachstellen zu identifizieren, was wiederum die Angriffsfläche von Netzwerken der neuen Generation im Vergleich zu aktuellen erhöht.

Eine große Anzahl von IoT-Geräten


Weitere Details
Bis 2021 werden etwa 57% der an 5G-Netzwerke angeschlossenen Geräte IoT-Geräte sein. Dies bedeutet, dass die meisten Hosts nur über begrenzte kryptografische Funktionen verfügen (siehe Abschnitt 2) und daher anfällig für Angriffe sind. Eine große Anzahl solcher Geräte erhöht das Risiko der Ausbreitung von Botnetzen und ermöglicht die Durchführung noch leistungsfähigerer und verteilterer DDoS-Angriffe.

Eingeschränkte kryptografische Funktionen von IoT-Geräten


Weitere Details
Wie bereits erwähnt, verwenden die Netze der 5. Generation aktiv Peripheriegeräte, die einen Teil der Last aus dem Kern des Netzes entfernen und dadurch die Verzögerung verringern können. Dies ist für so wichtige Dienste wie die unbemannte Fahrzeugsteuerung, das IMS- Notfallwarnsystem usw. erforderlich, für die die Gewährleistung einer Mindestverzögerung von entscheidender Bedeutung ist, da Menschenleben davon abhängen. Durch den Anschluss einer großen Anzahl von IoT-Geräten, die aufgrund ihrer geringen Größe und ihres geringen Stromverbrauchs nur über sehr begrenzte Rechenressourcen verfügen, werden 5G-Netzwerke anfällig für Angriffe, die darauf abzielen, die Kontrolle zu übernehmen und diese Geräte dann zu manipulieren. Beispielsweise kann es zu Infektionsszenarien von IoT-Geräten kommen, die Teil des Smart-Home- Systems sind, und zwar mit Malware wie Ransomware und Ransomware . Möglich sind auch Szenarien zum Abfangen der unbemannten Fahrzeugsteuerung, die Befehle und Navigationsinformationen über die "Cloud" empfangen. Formal ist diese Sicherheitsanfälligkeit auf die Dezentralisierung von Netzen der neuen Generation zurückzuführen. Im nächsten Absatz wird das Problem der Dezentralisierung jedoch klarer umrissen.

Dezentralisierung und Erweiterung von Netzwerkgrenzen


Weitere Details
Peripheriegeräte, die die Rolle lokaler Netzwerkkerne spielen, führen das Routing des Benutzerverkehrs, die Anforderungsverarbeitung sowie das lokale Zwischenspeichern und Speichern von Benutzerdaten durch. Somit erweitern sich die Grenzen der Netze der 5. Generation zusätzlich zum Kern auch zur Peripherie, einschließlich lokaler Datenbanken und 5G-NR-Funkschnittstellen (5G New Radio). Dies schafft die Möglichkeit, die Rechenressourcen lokaler Geräte anzugreifen, die a priori weniger sicher sind als die zentralen Knoten des Netzwerkkerns, um einen Denial-of-Service zu verursachen. Dies ist mit einer Deaktivierung des Internetzugangs in ganzen Bereichen, einer fehlerhaften Funktion von IoT-Geräten (z. B. im "Smart Home" -System) sowie der Unzugänglichkeit des IMS-Notfallwarndienstes behaftet.

Bild

Derzeit haben ETSI und 3GPP jedoch bereits über 10 Standards veröffentlicht, die verschiedene Aspekte der 5G-Netzwerksicherheit abdecken. Die überwiegende Mehrheit der dort beschriebenen Mechanismen zielt auf den Schutz vor Schwachstellen ab (einschließlich der oben beschriebenen). Eine der wichtigsten ist die Standardversion 15.6.0 des TS 23.501 , die die Sicherheitsarchitektur der Netze der 5. Generation beschreibt.

5G Architektur


Bild

Wenden wir uns zunächst den wichtigsten Prinzipien der Architektur von 5G-Netzwerken zu, die es uns ermöglichen, die Bedeutung und die Verantwortungsbereiche jedes Softwaremoduls und jeder 5G-Sicherheitsfunktion näher zu erläutern.

  • Trennung von Netzwerkknoten in Elemente, die den Betrieb von Benutzerebenenprotokollen (aus der englischen UP-Benutzerebene) sicherstellen, und Elemente, die den Betrieb von Steuerebenenprotokollen (aus der englischen CP-Steuerebene) sicherstellen, wodurch die Flexibilität hinsichtlich der Netzwerkskalierung und -bereitstellung usw. erhöht wird. Ein zentraler oder dezentraler Einsatz einzelner Komponenten von Netzwerkknoten ist möglich.
  • Unterstützung für den Network Slicing- Mechanismus, basierend auf den Diensten, die für bestimmte Endbenutzergruppen bereitgestellt werden.
  • Realisierung von Netzwerkelementen in Form von virtuellen Netzwerkfunktionen .
  • Unterstützung für den gleichzeitigen Zugriff auf zentralisierte und lokale Dienste, d. H. Die Implementierung der Konzepte von Cloud- Computing (aus dem englischen Fog-Computing ) und Border- Computing (aus dem englischen Edge-Computing ).
  • Implementierung einer konvergenten Architektur, die verschiedene Arten von Zugangsnetzwerken - 3GPP 5G New Radio und Nicht-3GPP (Wi-Fi usw.) - mit einem einzigen Kernnetzwerk kombiniert.
  • Unterstützung für einheitliche Authentifizierungsalgorithmen und -verfahren, unabhängig vom Typ des Zugriffsnetzwerks.
  • Unterstützung für zustandslose Zustandsnetzwerkfunktionen (ab Englisch zustandslos), bei denen die berechnete Ressource vom Ressourcenspeicher getrennt wird.
  • Unterstützung für Roaming mit Verkehrsrouting sowohl über das Heimnetz (vom englischen Home-Routing-Roaming) als auch mit lokaler Landung (vom englischen lokalen Breakout) im Gastnetz.
  • Die Interaktion zwischen Netzwerkfunktionen wird auf zwei Arten dargestellt: Serviceorientiert und Front-End .

Das Netzwerksicherheitskonzept der 5. Generation umfasst :

  • Benutzerauthentifizierung über das Netzwerk.
  • Netzwerkauthentifizierung durch den Benutzer.
  • Koordination der kryptografischen Schlüssel zwischen dem Netzwerk und der Benutzerausrüstung.
  • Verschlüsselung und Integritätskontrolle des Signalverkehrs.
  • Verschlüsselung und Integritätskontrolle des Benutzerverkehrs.
  • Schutz der Benutzer-ID.
  • Schutz von Schnittstellen zwischen verschiedenen Netzwerkelementen gemäß dem Konzept einer Netzwerksicherheitsdomäne.
  • Isolierung verschiedener Schichten des Netzwerk-Slicing- Mechanismus und Bestimmung der eigenen Sicherheitsstufen jeder Schicht.
  • Benutzerauthentifizierung und Verkehrsschutz auf der Ebene der Enddienste (IMS, IoT und andere).

Grundlegende 5G-Softwaremodule und Netzwerksicherheitsfunktionen


Bild AMF (von der englischen Access & Mobility Management Function - Zugangskontrolle und Mobilität) bietet:

  • Organisation von Bedienebenenschnittstellen.
  • Organisation des Austauschs des Signalverkehrs RRC , Verschlüsselung und Schutz der Integrität seiner Daten.
  • Organisation des Austauschs des NAS- Signalverkehrs, Verschlüsselung und Schutz der Integrität seiner Daten.
  • Verwaltung der Registrierung von Benutzergeräten im Netzwerk und Überwachung möglicher Registrierungsbedingungen.
  • Verwaltung der Verbindung von Benutzergeräten mit dem Netzwerk und Überwachung möglicher Bedingungen.
  • Verwalten der Verfügbarkeit von Benutzergeräten im Netzwerk im CM-IDLE-Status.
  • Mobilitätsmanagement von Benutzergeräten im Netzwerk im Zustand CM-CONNECTED.
  • Die Übertragung von Kurznachrichten zwischen Benutzergeräten und SMF.
  • Geolocation-Services verwalten.
  • Markieren Sie die EPS- Flusskennung für die Interaktion mit EPS.

SMF (English Session Management Function - Funktion zur Verwaltung von Sitzungen) - bietet:

  • Verwalten von Kommunikationssitzungen, dh Erstellen, Ändern und Freigeben von Sitzungen, einschließlich der Unterstützung des Tunnels zwischen dem Zugriffsnetzwerk und UPF.
  • Verteilung und Verwaltung der IP-Adressen der Benutzergeräte.
  • Auswählen des zu verwendenden UPF-Gateways.
  • Organisation der Interaktion mit PCF.
  • Verwalten von QoS- Richtlinien.
  • Konfigurieren Sie Benutzergeräte dynamisch mithilfe der DHCPv4- und DHCPv6-Protokolle.
  • Überwachung der Erhebung von Abrechnungsdaten und der Organisation der Interaktion mit dem Abrechnungssystem.
  • Nahtlose Servicebereitstellung (von SSC - Session and Service Continuity ).
  • Interaktion mit Gastnetzwerken als Teil des Roamings.

UPF (User Plane Function - Funktion der Benutzerebene) - bietet:

  • Interaktion mit externen Datennetzen, einschließlich des globalen Internets.
  • Weiterleitung von Benutzerpaketen.
  • Kennzeichnung von Paketen gemäß den QoS-Richtlinien.
  • Diagnose von Benutzerpaketen (z. B. signaturbasierte Anwendungserkennung).
  • Berichterstattung über die Verkehrsnutzung.
  • UPF ist auch ein Ankerpunkt für die Unterstützung der Mobilität, sowohl innerhalb derselben als auch zwischen verschiedenen Funkzugangstechnologien.

UDM (Unified Data Management - eine einheitliche Datenbank) bietet:

  • Verwalten von Benutzerprofildaten, einschließlich Speichern und Ändern der Liste der für Benutzer verfügbaren Dienste und ihrer Parameter.
  • Supi Management
  • Generierung von 3GPP- AKA- Authentifizierungsdaten.
  • Zugriffsberechtigung basierend auf Profildaten (z. B. Roaming-Einschränkung).
  • Verwaltung der Benutzerregistrierung, d. H. Speicherung des versorgenden AMF.
  • Aufrechterhaltung einer nahtlosen Dienst- und Kommunikationssitzung, d. H. Speichern der SMF, die der aktuellen Kommunikationssitzung zugewiesen ist.
  • SMS-Zustellungsmanagement.
  • Mehrere verschiedene UDMs können einen Benutzer im Rahmen verschiedener Transaktionen bedienen.

UDR (Unified Data Repository) - Ermöglicht die Speicherung verschiedener Benutzerdaten und ist in der Tat eine Datenbank aller Netzwerkteilnehmer.

UDSF (Unstructured Data Storage Function - Funktion zum Speichern unstrukturierter Daten) - stellt sicher, dass die AMF-Module die aktuellen Kontexte registrierter Benutzer speichern. Diese Informationen können im Allgemeinen als Daten einer unsicheren Struktur dargestellt werden. Benutzerkontexte können verwendet werden, um nahtlose und ununterbrochene Teilnehmersitzungen sowohl während des geplanten Rückzugs eines der AMF aus dem Dienst als auch im Notfall sicherzustellen. In beiden Fällen übernimmt der AMF im Standby-Modus den Dienst unter Verwendung der in der USDF gespeicherten Kontexte.

Die Kombination von UDR und UDSF auf derselben physischen Plattform ist eine typische Implementierung dieser Netzwerkfunktionen.

PCF (engl. Policy Control Function - Funktion zur Kontrolle von Richtlinien) - generiert und weist Benutzern verschiedene Servicerichtlinien zu, einschließlich QoS-Parametern und Preisregeln. Beispielsweise können virtuelle Kanäle mit unterschiedlichen Eigenschaften dynamisch erstellt werden, um diesen oder jenen Verkehrstyp zu übertragen. Gleichzeitig können die Anforderungen des vom Teilnehmer angeforderten Dienstes, der Grad der Netzüberlastung, die Menge des verbrauchten Verkehrs usw. berücksichtigt werden.

NEF (Network Exposure Function) - bietet:

  • Organisation der sicheren Interaktion von externen Plattformen und Anwendungen mit dem Netzwerkkern.
  • Verwalten von QoS-Parametern und Gebührenregeln für bestimmte Benutzer.

SEAF (Security Anchor Function) bietet zusammen mit AUSF die Authentifizierung von Benutzern, wenn diese sich mit einer beliebigen Zugriffstechnologie im Netzwerk registrieren.

AUSF (engl. Authentication Server Function - Authentifizierungsserverfunktion) - fungiert als Authentifizierungsserver, der Anforderungen von SEAF akzeptiert, verarbeitet und an ARPF umleitet.

ARPF (Authentication Credential Repository and Processing Function - Speicherung und Verarbeitung von Authentifizierungsinformationen) - bietet die Speicherung von persönlichen geheimen Schlüsseln (KI) und kryptografischen Algorithmusparametern sowie die Generierung von Authentifizierungsvektoren gemäß 5G-AKA- oder EAP -AKA-Algorithmen. Es befindet sich im Rechenzentrum eines Telekommunikationsbetreibers zu Hause, ist vor äußeren physikalischen Einflüssen geschützt und lässt sich in der Regel in UDM integrieren.

SCMF (Security Context Management Function) - Bietet 5G-Lifecycle-Management für Sicherheitskontexte.

SPCF (Security Policy Control Function) - bietet die Koordination und Anwendung von Sicherheitsrichtlinien für bestimmte Benutzer. Dies berücksichtigt die Fähigkeiten des Netzwerks, die Fähigkeiten des Benutzergeräts und die Anforderungen eines bestimmten Dienstes (z. B. können die durch den Dienst für kritische Kommunikation und den drahtlosen Breitband-Internetzugang bereitgestellten Schutzniveaus variieren). Die Anwendung von Sicherheitsrichtlinien umfasst Folgendes: Auswählen von AUSF, Auswählen eines Authentifizierungsalgorithmus, Auswählen von Datenverschlüsselungs- und Integritätskontrollalgorithmen, Bestimmen der Länge und des Lebenszyklus von Schlüsseln.

SIDF (Eng. Subscription Identifier De-Concealing Function) - Funktion zum Extrahieren der permanenten Abonnement-ID (Eng. SUPI) des Abonnenten aus der verborgenen ID (Eng. SUCI ), die im Rahmen der Authentifizierungsverfahren-Anforderung "Auth Info Req" empfangen wurde.

Grundlegende Sicherheitsanforderungen für 5G-Netzwerke


Weitere Details
Benutzerauthentifizierung : Das versorgende 5G-Netzwerk muss die SUPI des Benutzers im 5G AKA-Prozess zwischen dem Benutzer und dem Netzwerk authentifizieren.

Serving Network Authentication : Der Benutzer muss die Kennung des versorgenden 5G-Netzwerks authentifizieren. Die Authentifizierung wird durch die erfolgreiche Verwendung von Schlüsseln sichergestellt, die als Ergebnis des 5G-AKA-Verfahrens erhalten wurden.

Benutzerautorisierung : Das Serving-Netzwerk muss den Benutzer gemäß dem Benutzerprofil autorisieren, das vom Netzwerk des Home-Service-Providers abgerufen wurde.

Autorisierung des Dienstnetzes durch das Netz des Heimatbetreibers : Dem Benutzer muss bestätigt werden, dass er mit dem Dienstnetz verbunden ist, das vom Netz des Heimatbetreibers zur Erbringung von Diensten autorisiert wurde. Die Autorisierung ist implizit in dem Sinne, dass sie den erfolgreichen Abschluss des 5G AKA-Verfahrens sicherstellt.

Autorisierung des Zugangsnetzes durch das Netz des Heimnetzbetreibers : Dem Benutzer muss bestätigt werden, dass er mit dem Zugangsnetz verbunden ist, das vom Netz des Heimnetzbetreibers zur Erbringung von Diensten autorisiert wurde. Die Autorisierung ist implizit in dem Sinne, dass sie die erfolgreiche Einrichtung der Zugriffsnetzwerksicherheit gewährleistet. Diese Art der Autorisierung sollte für jede Art von Zugangsnetz verwendet werden.

Nicht authentifizierte Rettungsdienste : Um die gesetzlichen Anforderungen in einigen Regionen zu erfüllen, müssen 5G-Netze nicht authentifizierten Zugang für Rettungsdienste bereitstellen.

Netzwerkkern und Funkzugangsnetzwerk : Der Kern des 5G-Netzwerks und des 5G-Funkzugangsnetzwerks sollte die Verwendung von Verschlüsselungs- und Integritätsalgorithmen mit einer Schlüssellänge von 128 Bit unterstützen, um die Sicherheit von AS und NAS zu gewährleisten. Netzwerkschnittstellen sollten 256-Bit-Verschlüsselungsschlüssel unterstützen.

Grundlegende Sicherheitsanforderungen für Benutzergeräte


Weitere Details
  • , , .
  • , .
  • , RRC NAS.
  • : NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • : 128-NEA3, 128-NIA3.
  • : 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 , E-UTRA.
  • , , , , - .
  • RRC NAS .
  • .
  • , ( MCC MNC ).
  • , , USIM .

:

  • «0000»: NEA0 — Null ciphering algorithm
  • «0001»: 128-NEA1 — 128-bit SNOW 3G based algorithm
  • «0010» 128-NEA2 — 128-bit AES based algorithm
  • «0011» 128-NEA3 — 128-bit ZUC based algorithm.

128-NEA1 128-NEA2
Bild

PS TS 133.501

128-NIA1 128-NIA2
Bild

PS TS 133.501


5G


Weitere Details
  • AMF SUCI.
  • SEAF SUCI.
  • UDM ARPF .
  • AUSF SUPI SUCI.
  • NEF .




5- . , 5G. , 5G-, .

UICC USIM.

.

BildDU ( . Distributed Units — ) CU ( . Central Units — ). gNB — 5G. DU , . CU , AS. AMF , NAS. 3GPP 5G Phase 1 AMF SEAF , ( « ») () . AUSF , . . ARPF USIM . UDR UDM , , , .


5- , 4G-LTE, : . , . , .

, K SEAF — () . , RRC NAS.

Bild

:
CK (. Cipher Key)
IK (. Integrity Key) — , .
CK' (. Cipher Key) — , CK EAP-AKA.
IK' (. Integrity Key) — , EAP-AKA.
K AUSF — ARPF CK IK 5G AKA EAP-AKA.
K SEAF — , AUSF K AMFAUSF .
K AMF — , SEAF K SEAF .
K NASint , K NASenc — , AMF K AMF NAS.
K RRCint , K RRCenc — , AMF K AMF RRC.
K UPint , K UPenc — , AMF K AMF AS.
NH — , AMF K AMF .
K gNB — , AMF K AMF .

SUCI SUPI

SUPI SUCI


SUCI SUPI SUPI SUCI:
Bild

Authentifizierung



5G EAP-AKA 5G AKA . : , — .

Bild


SEAF, SUCI.

SEAF AUSF - (Nausf_UEAuthentication_Authenticate Request), SNN ( . Serving Network Name — ) SUPI SUCI.

AUSF , SEAF SNN. SNN, AUSF «Serving network not authorized» (Nausf_UEAuthentication_Authenticate Response).

AUSF UDM, ARPF SIDF SUPI SUCI SNN.

SUPI SUCI UDM/ARPF , .


Bei Verwendung einer beliebigen Authentifizierungsmethode müssen die UDM / ARPF-Netzwerkfunktionen einen Authentifizierungsvektor (AV) generieren.

EAP-AKA: UDM / ARPF generiert zuerst einen Authentifizierungsvektor mit dem Trennbit AMF = 1, generiert dann CK ' und IK' aus CK , IK und SNN und erstellt einen neuen Authentifizierungsvektor AV ( RAND , AUTN , XRES * , CK ' , IK ' ), der dem AUSF mit der Anweisung zugesandt wird, ihn nur für die EAP-AKA zu verwenden.

5G AKA: UDM / ARPF erhält K AUSF- Schlüssel von CK , IK SNN, 5G HE AV . 5G Home Environment Authentication Vector). 5G HE AV (RAND, AUTN, XRES, K AUSF ) AUSF 5G AKA.

AUSF K SEAF K AUSF SEAF «Challenge» «Nausf_UEAuthentication_Authenticate Response», RAND, AUTN RES*. RAND AUTN NAS. USIM RES* RAND AUTN SEAF. SEAF AUSF .

AUSF XRES* RES*. , AUSF UDM , SEAF K AMF K SEAF SUPI .


5G EAP-AKA . SMF EAP AAA - , .

Bild

  • AMF NAS.
  • AMF .
  • AMF SMF SUPI .
  • SMF UDM SUPI.
  • SMF AMF.
  • SMF EAP AAA- . SMF .
  • AAA- , . SMF, UPF.

Fazit


, 5G , . IoT-, — 5G, .

5G — TS 23.501 15.6.0 — . , VNF , . , , .

, , 5- , .

Nützliche Links


3GPP-Spezifikationsreihe
5G-Sicherheitsarchitektur
5G-Systemarchitektur
5G-Wiki
5G-Architekturhinweise
5G-Sicherheitsübersicht

Source: https://habr.com/ru/post/de481446/

More articles:


All Articles