De toute évidence, entreprendre le développement d'une nouvelle norme de communication sans penser aux mécanismes de sécurité est une question inhabituellement douteuse et inutile.

Architecture de sécurité 5G - un ensemble de mécanismes et procédures de sécurité mis en œuvre dans les réseaux de 5e génération et couvrant tous les composants du réseau, du cœur aux interfaces radio.

Les réseaux de 5e génération sont, par essence, une évolution des réseaux LTE de 4e génération . Les technologies d'accès radio ont subi les changements les plus importants. Pour les réseaux de la 5ème génération, un nouveau RAT (Radio Access Technology) a été développé - 5G New Radio . Quant au cœur du réseau, il n'a pas subi de changements aussi importants. À cet égard, l'architecture de sécurité des réseaux 5G a été développée en mettant l'accent sur la réutilisation des technologies pertinentes adoptées dans la norme 4G LTE.

Cependant, il convient de noter que la refonte de menaces bien connues telles que les attaques sur les interfaces radio et le plan de signalisation (plan de signalisation ), les attaques DDOS, les attaques Man-In-The-Middle, etc., ont incité les opérateurs de télécommunications à développer de nouvelles normes et à intégrer des mécanismes complètement nouveaux. Sécurité réseau de 5ème génération.

Contexte

En 2015, l'Union internationale des télécommunications a élaboré le premier plan mondial de ce type pour le développement de réseaux de cinquième génération, c'est pourquoi la question du développement de mécanismes et de procédures de sécurité dans les réseaux 5G était particulièrement aiguë.

La nouvelle technologie offrait des vitesses de transfert de données vraiment impressionnantes (plus de 1 Gbit / s), un retard de moins de 1 ms et la possibilité de connecter simultanément environ 1 million d'appareils dans un rayon de 1 km ² . Ces exigences les plus élevées pour les réseaux de 5e génération se reflètent dans les principes de leur organisation.

La principale était la décentralisation, qui impliquait le placement de nombreuses bases de données locales et de leurs centres de traitement à la périphérie du réseau. Cela a permis de minimiser les retards dans les communications M2M et de soulager le cœur du réseau en raison de la maintenance d'un grand nombre d'appareils IoT. Ainsi, la frontière des réseaux de nouvelle génération s'est étendue aux stations de base, vous permettant de créer des centres de communication locaux et de fournir des services cloud sans risque de retards critiques ou de déni de service. Naturellement, la nouvelle approche de la mise en réseau et du service client a intéressé les intrus, car elle leur a ouvert de nouvelles opportunités d'attaquer à la fois les informations confidentielles des utilisateurs et les composants du réseau eux-mêmes afin de provoquer un déni de service ou de saisir les ressources informatiques de l'opérateur.

Principales vulnérabilités du réseau de 5e génération

Grande surface d'attaque

Un grand nombre d'appareils IoT

Capacités cryptographiques limitées des appareils IoT

Décentralisation et extension des limites du réseau

Cependant, à l'heure actuelle, l'ETSI et le 3GPP ont déjà publié plus de 10 normes couvrant divers aspects de la sécurité des réseaux 5G. La grande majorité des mécanismes qui y sont décrits visent à protéger contre les vulnérabilités (y compris celles décrites ci-dessus). L'un des principaux est la version standard TS 23.501 15.6.0 , qui décrit l'architecture de sécurité des réseaux de 5e génération.

Architecture 5G

Voyons d'abord les principes clés de l'architecture des réseaux 5G, qui nous permettront de mieux révéler la signification et les domaines de responsabilité de chaque module logiciel et de chaque fonction de sécurité 5G.

• Séparation des nœuds de réseau en éléments qui assurent le fonctionnement des protocoles du plan utilisateur (de l'anglais UP - User Plane) et des éléments qui assurent le fonctionnement des protocoles du plan de contrôle (du anglais CP - Control Plane), ce qui augmente la flexibilité en termes de mise à l'échelle et de déploiement du réseau, etc. e. Un déploiement centralisé ou décentralisé de composants individuels de nœuds de réseau est possible.
• Prise en charge du mécanisme de découpage réseau , basé sur les services fournis à des groupes spécifiques d'utilisateurs finaux.
• Réalisation d'éléments de réseau sous forme de fonctions de réseau virtuel .
• Prise en charge de l'accès simultané à des services centralisés et locaux, c'est-à-dire la mise en œuvre des concepts de cloud computing (de l'anglais fog computing ) et de border computing (de l'anglais edge computing ).
• Implémentation d'une architecture convergente qui combine différents types de réseaux d'accès - 3GPP 5G New Radio et non-3GPP (Wi-Fi, etc.) - avec un seul réseau central.
• Prise en charge d'algorithmes et de procédures d'authentification unifiée, quel que soit le type de réseau d'accès.
• Prise en charge des fonctions de réseau d'état sans état (de l'anglais sans état), dans lesquelles la ressource calculée est séparée du stockage de ressource.
• Prise en charge de l'itinérance avec le routage du trafic à la fois via le réseau domestique (à partir de l'itinérance à domicile en anglais) et avec un «atterrissage» local (à partir de la rupture locale anglaise) dans le réseau invité.
• L'interaction entre les fonctions de réseau est représentée de deux manières: orientée service et front-end .

Le concept de sécurité réseau de 5e génération comprend :

• Authentification des utilisateurs à partir du réseau.
• Authentification réseau par l'utilisateur.
• Coordination des clés cryptographiques entre le réseau et l'équipement utilisateur.
• Cryptage et contrôle d'intégrité du trafic du signal.
• Cryptage et contrôle d'intégrité du trafic utilisateur.
• Protection de l'ID utilisateur.
• Protection des interfaces entre les différents éléments du réseau conformément au concept de domaine de sécurité réseau.
• Isolement des différentes couches du mécanisme de découpage du réseau et détermination des niveaux de sécurité propres à chaque couche.
• Authentification des utilisateurs et protection du trafic au niveau des services finaux (IMS, IoT et autres).

Modules logiciels de base 5G et fonctions de sécurité réseau

AMF (de la fonction de gestion de l'accès et de la mobilité en anglais - contrôle d'accès et mobilité) - fournit:

• Organisation des interfaces du plan de contrôle.
• Organisation de l'échange de trafic de signalisation RRC , cryptage et protection de l'intégrité de ses données.
• Organisation de l'échange de trafic de signalisation NAS , chiffrement et protection de l'intégrité de ses données.
• Gérer l'enregistrement des équipements utilisateurs dans le réseau et surveiller les éventuelles conditions d'enregistrement.
• Gérer la connexion des équipements utilisateurs au réseau et surveiller les conditions éventuelles.
• Gestion de la disponibilité des équipements utilisateurs sur le réseau à l'état CM-IDLE.
• Gestion de la mobilité des équipements utilisateurs sur le réseau à l'état CM-CONNECTED.
• La transmission de messages courts entre l'équipement utilisateur et SMF.
• Gérez les services de géolocalisation.
• Mettez en surbrillance l'identifiant de flux EPS pour l'interaction avec EPS.

SMF (English Session Management Function - fonction de gestion des sessions) - fournit:

• Gérez les sessions de communication, c'est-à-dire créez, modifiez et libérez des sessions, y compris la prise en charge du tunnel entre le réseau d'accès et UPF.
• Distribution et gestion des adresses IP des équipements utilisateurs.
• Choix de la passerelle UPF à utiliser.
• Organisation d'interaction avec PCF.
• Gestion des politiques de QoS .
• Configurez dynamiquement l'équipement utilisateur à l'aide des protocoles DHCPv4 et DHCPv6.
• Suivi de la collecte des données de facturation et de l'organisation de l'interaction avec le système de facturation.
• Prestation de services transparente (de SSC - Session and Service Continuity ).
• Interaction avec les réseaux invités dans le cadre de l'itinérance.

UPF (User Plane Function - fonction du plan utilisateur) - fournit:

• Interaction avec les réseaux de données externes, y compris l'Internet mondial.
• Routage des paquets utilisateur.
• Étiquetage des packages conformément aux politiques de QoS.
• Diagnostics des packages utilisateur (par exemple, découverte d'application basée sur la signature).
• Rapports sur l'utilisation du trafic.
• L'UPF est également un point d'ancrage pour soutenir la mobilité, à la fois au sein d'une même et entre différentes technologies d'accès radio.

UDM (Unified Data Management - une base de données unifiée) - fournit:

• Gestion des données de profil utilisateur, y compris le stockage et la modification de la liste des services disponibles pour les utilisateurs et de leurs paramètres.
• Supi Management
• Génération des informations d'identification pour l'authentification 3GPP AKA .
• Autorisation d'accès basée sur les données de profil (par exemple, restriction d'itinérance).
• Gestion de l'enregistrement des utilisateurs, c'est-à-dire stockage de l'AMF de desserte.
• Maintenir une session de service et de communication transparente, c'est-à-dire stocker le SMF affecté à la session de communication en cours.
• Gestion de la livraison des SMS.
• Plusieurs UDM différents peuvent servir un utilisateur dans le cadre de différentes transactions.

UDR (Unified Data Repository) - fournit le stockage de diverses données utilisateur et est, en fait, une base de données de tous les abonnés du réseau.

UDSF (fonction de stockage des données non structurées - fonction de stockage des données non structurées) - garantit que les modules AMF enregistrent les contextes actuels des utilisateurs enregistrés. Ces informations peuvent généralement être représentées comme des données d'une structure incertaine. Les contextes utilisateur peuvent être utilisés pour garantir des sessions d'abonné homogènes et ininterrompues à la fois pendant le retrait prévu de l'une des AMF du service et en cas d'urgence. Dans les deux cas, l'AMF de secours «récupère» le service en utilisant les contextes stockés dans l'USFF.

La combinaison de UDR et UDSF sur la même plate-forme physique est une implémentation typique de ces fonctions réseau.

PCF (eng. Policy Control Function - fonction de contrôle des politiques) - génère et attribue aux utilisateurs diverses politiques de service, y compris les paramètres de QoS et les règles de tarification. Par exemple, des canaux virtuels avec des caractéristiques différentes peuvent être créés dynamiquement pour transmettre tel ou tel type de trafic. Dans le même temps, les exigences du service demandé par l'abonné, le niveau d'encombrement du réseau, la quantité de trafic consommé, etc., peuvent être pris en compte.

NEF (Network Exposure Function) - fournit:

• Organisation de l'interaction sécurisée des plates-formes et applications externes avec le cœur du réseau.
• Gestion des paramètres de QoS et des règles de facturation pour des utilisateurs spécifiques.

SEAF (Security Anchor Function) - avec AUSF permet l'authentification des utilisateurs lorsqu'ils s'inscrivent sur le réseau avec n'importe quelle technologie d'accès.

AUSF (Eng. Authentication Server Function - fonction de serveur d'authentification) - agit comme un serveur d'authentification qui accepte et traite les demandes de SEAF et les redirige vers ARPF.

ARPF (Authentication Credential Repository and Processing Function - stockage des informations d'authentification et fonction de traitement) - fournit le stockage des clés secrètes personnelles (KI) et des paramètres d'algorithme cryptographique, ainsi que la génération de vecteurs d'authentification conformément aux algorithmes 5G-AKA ou EAP -AKA. Il est situé dans le centre de données d'un opérateur de télécommunications à domicile protégé contre les influences physiques externes et, en règle générale, s'intègre à UDM.

SCMF (Security Context Management Function) - fournit la gestion du cycle de vie du contexte de sécurité 5G.

SPCF (Security Policy Control Function - assure la coordination et l'application des politiques de sécurité pour des utilisateurs spécifiques. Cela prend en compte les capacités du réseau, les capacités de l'équipement utilisateur et les exigences d'un service particulier (par exemple, les niveaux de protection fournis par le service de communications critique et le service d'accès Internet à large bande sans fil peuvent varier). L'application des politiques de sécurité comprend: le choix de l'AUSF, le choix d'un algorithme d'authentification, le choix des algorithmes de chiffrement des données et de contrôle d'intégrité, la détermination de la longueur et du cycle de vie des clés.

SIDF (eng. Subscription Identifier De-concealing Function - fonction permettant d'extraire l'identifiant d'abonnement de l'abonné (Eng. SUPI) de l'identifiant caché (Eng. SUCI ) reçu dans le cadre de la demande de procédure d'authentification «Auth Info Req».

Exigences de sécurité de base pour les réseaux 5G

5G

Dans les réseaux de 5e génération, la confiance dans les éléments du réseau diminue à mesure que les éléments s'éloignent du cœur du réseau. Ce concept affecte les décisions mises en œuvre dans l'architecture de sécurité 5G. Ainsi, nous pouvons parler d'un modèle de confiance réseau 5G qui définit le comportement des mécanismes de sécurité réseau.

Côté utilisateur, le domaine de confiance est formé par UICC et USIM.

Côté réseau, le domaine de confiance a une structure plus complexe.

Le réseau d'accès radio est divisé en deux composants - DU (des unités distribuées anglaises - unités de réseau réparties) et CU (des unités centrales anglaises - unités de réseau centrales). Ensemble, ils forment gNB- Interface radio de la station de base du réseau 5G. Les DU n'ont pas d'accès direct aux données des utilisateurs, car ils peuvent être déployés dans des segments d'infrastructure non sécurisés. Les UC doivent être déployées dans des segments de réseau sécurisés, car elles sont chargées de mettre fin au trafic des mécanismes de sécurité AS. Au cœur du réseau se trouve l' AMF , qui met fin au trafic des mécanismes de sécurité NAS. La spécification 3GPP 5G Phase 1 actuelle décrit la combinaison de l' AMF avec la fonction de sécurité SEAF contenant la clé racine (également connue sous le nom de "clé d'ancrage") du réseau visité (serveur). Ausfresponsable du stockage de la clé obtenue après une authentification réussie. Il est nécessaire de le réutiliser dans les cas de connexion simultanée de l'utilisateur à plusieurs réseaux d'accès radio. ARPF stocke les informations d'identification de l'utilisateur et est l'équivalent d'USIM pour les abonnés. UDR et UDM stockent les informations utilisateur, qui sont utilisées pour déterminer la logique de génération des informations d'identification, des identifiants utilisateur, assurer la continuité de la session, etc.

Hiérarchie des clés et schémas de distribution

Dans les réseaux de 5e génération, contrairement aux réseaux 4G-LTE, la procédure d'authentification comporte deux volets: l'authentification principale et secondaire. L'authentification principale est requise pour toutes les machines utilisateur se connectant au réseau. L'authentification secondaire peut être effectuée sur demande à partir de réseaux externes, si l'abonné est connecté à ceux-ci.

Après la réussite de l'authentification primaire et le développement d'une clé partagée K entre l'utilisateur et le réseau, K _SEAF est extrait de la clé K - une clé d'ancrage spéciale (racine) du réseau de desserte. Par la suite, des clés sont générées à partir de cette clé pour garantir la confidentialité et l'intégrité des données du trafic de signalisation RRC et NAS.

Authentification

Authentification principale

Sur les réseaux 5G, EAP-AKA et 5G AKA sont des mécanismes d'authentification principaux standard. Nous diviserons le mécanisme d'authentification principal en deux phases: la première est responsable du lancement de l'authentification et du choix d'une méthode d'authentification, la seconde de l'authentification mutuelle entre l'utilisateur et le réseau.

Initiation

L'utilisateur soumet une demande d'enregistrement à SEAF, qui contient l'identifiant d'abonnement utilisateur SUCI masqué.

SEAF envoie un message de demande d'authentification (Nausf_UEAuthentication_Authenticate Request) à l'AUSF contenant un SNN (Serving Network Name) et un SUPI ou SUCI.

L'AUSF vérifie si le SEAF demandeur est autorisé à utiliser ce SNN. Si le réseau de desserte n'est pas autorisé à utiliser ce SNN, alors l'AUSF répond avec un message d'erreur d'autorisation «Serveur de réseau non autorisé» (Nausf_UEAuthentication_Authenticate Response).

Les informations d'authentification AUSF sont demandées par UDM, ARPF ou SIDF sur SUPI ou SUCI et SNN.

Sur la base des informations SUPI ou SUCI et de l'utilisateur, UDM / ARPF sélectionne la méthode d'authentification qui sera utilisée ultérieurement et fournit les informations d'identification de l'utilisateur.

Authentification mutuelle

En utilisant n'importe quelle méthode d'authentification, les fonctions réseau UDM / ARPF doivent générer un vecteur d'authentification (AV).

EAP-AKA: UDM / ARPF génère d'abord un vecteur d'authentification avec le bit de séparation AMF = 1, puis génère CK ' et IK' à partir de CK , IK et SNN et compose un nouveau vecteur d'authentification AV ( RAND , AUTN , XRES * , CK ' , IK ' ), qui est envoyé à l'AUSF avec les instructions pour l'utiliser uniquement pour EAP-AKA.

5G AKA: UDM / ARPF obtient la clé K _AUSF de CK , IKet SNN, après quoi il génère 5G HE AV English. Vecteur d'authentification de l'environnement domestique 5G). Le vecteur d'authentification 5G HE AV (RAND, AUTN, XRES, K _AUSF ) est envoyé à l'AUSF indiquant qu'il ne doit être utilisé que pour 5G AKA.

Après cela, l'AUSF obtient la clé d'ancrage K _SEAF de la clé K _AUSF et envoie une demande au SEAF "Challenge" dans le message "Nausf_UEAuthentication_Authenticate Response", qui contient également RAND, AUTN et RES *. Ensuite, RAND et AUTN sont transmis à l'équipement utilisateur à l'aide d'une signalisation NAS sécurisée. L'USIM de l'utilisateur calcule RES * à partir du RAND et de l'AUTN reçus et l'envoie à SEAF. Le SEAF relaie cette valeur à l'AUSF pour vérification.

AUSF compare les XRES * qui y sont stockés et reçus de l'utilisateur RES *. En cas de coïncidence, l'AUSF et l'UDM dans le réseau domestique de l'opérateur sont informés de l'authentification réussie, et l'utilisateur et SEAF génèrent indépendamment la clé K _{AMF à} partir de K _SEAF et SUPI pour une communication ultérieure.

Authentification secondaire

La norme 5G prend en charge l'authentification secondaire basée sur EAP-AKA en option entre l'équipement utilisateur et un réseau de données externe. Dans ce cas, le SMF agit comme un authentificateur EAP et s'appuie sur le fonctionnement du serveur AAA du réseau externe, qui authentifie et autorise l'utilisateur.

• L'authentification obligatoire de l'utilisateur principal sur le réseau domestique se produit et génère un contexte de sécurité NAS commun à AMF.
• AMF .
• AMF SMF SUPI .
• SMF UDM SUPI.
• SMF AMF.
• SMF EAP AAA- . SMF .
• AAA- , . SMF, UPF.

Conclusion

Malgré le fait que l'architecture de sécurité 5G repose sur la réutilisation des technologies existantes, elle fait face à de nouveaux défis. Un grand nombre d'appareils IoT, des limites de réseau étendues et des éléments d'une architecture décentralisée ne sont que quelques-uns des principes clés de la norme 5G qui laissent libre cours à l'imagination des cybercriminels.

La norme d'architecture de sécurité 5G principale est TS 23.501 version 15.6.0- contient les points clés du travail des mécanismes et procédures de sécurité. En particulier, il décrit le rôle de chacun des VNF dans la protection des données utilisateur et des nœuds de réseau, dans la génération de clés cryptographiques et dans la mise en œuvre de procédures d'authentification. Mais même cette norme ne fournit pas de réponses aux questions de sécurité aiguës auxquelles les opérateurs de télécommunications sont confrontés le plus souvent, plus intensément les réseaux de nouvelle génération sont développés et mis en service.

À cet égard, je veux croire que les difficultés de fonctionnement et de protection des réseaux de 5e génération n'affecteront pas les utilisateurs ordinaires auxquels on promet une vitesse de transmission et une réponse comme le fils du fils de la mère, ne peuvent pas attendre pour essayer toutes les capacités annoncées des réseaux de nouvelle génération.

Liens utiles

Série de spécifications 3GPP
Architecture de sécurité 5G Architecture du
système
5G Wiki
5G Notes d'architecture
5G Présentation de la sécurité 5G