Jelas, melakukan pengembangan standar komunikasi baru tanpa memikirkan mekanisme keamanan adalah hal yang sangat meragukan dan tidak berguna.
Arsitektur keamanan 5G - seperangkat mekanisme dan prosedur
keamanan yang diterapkan dalam
jaringan generasi ke-5 dan mencakup semua komponen jaringan, dari inti hingga antarmuka radio.
Jaringan generasi ke-5 pada dasarnya adalah evolusi
jaringan LTE generasi ke-4 . Teknologi akses radio telah mengalami perubahan paling signifikan. Untuk jaringan generasi ke-5,
RAT baru (Teknologi Akses Radio) dikembangkan -
5G Radio Baru . Adapun inti jaringan, belum mengalami perubahan yang signifikan. Dalam hal ini, arsitektur keamanan jaringan 5G dikembangkan dengan fokus pada penggunaan kembali teknologi yang relevan yang diadopsi dalam standar 4G LTE.
Namun, perlu dicatat bahwa memikirkan kembali ancaman terkenal seperti serangan pada antarmuka radio dan pesawat
pensinyalan (
pensinyalan pesawat), serangan DDOS, serangan Man-In-The-Middle, dll., Mendorong operator telekomunikasi untuk mengembangkan standar baru dan mengintegrasikan sepenuhnya mekanisme baru Keamanan jaringan generasi ke-5.
Latar belakang
Pada 2015, International Telecommunication Union menyusun yang pertama dari rencana global jenisnya untuk pengembangan jaringan generasi kelima, itulah sebabnya masalah pengembangan mekanisme dan prosedur keamanan di jaringan 5G sangat akut.
Teknologi baru ini menawarkan kecepatan transfer data yang sangat mengesankan (lebih dari 1 Gbit / dtk), penundaan kurang dari 1 ms dan kemampuan untuk secara bersamaan menghubungkan sekitar 1 juta perangkat dalam radius 1 km
2 . Persyaratan tertinggi untuk jaringan generasi ke-5 ini tercermin dalam prinsip-prinsip organisasi mereka.
Yang utama adalah desentralisasi, yang menyiratkan penempatan banyak basis data lokal dan pusat pemrosesan mereka di pinggiran jaringan. Hal ini memungkinkan untuk meminimalkan keterlambatan dalam komunikasi
M2M dan mengurangi inti dari jaringan karena pemeliharaan sejumlah besar perangkat IoT. Dengan demikian, perbatasan jaringan generasi baru diperluas ke stasiun pangkalan, memungkinkan Anda untuk membuat pusat komunikasi lokal dan menyediakan layanan cloud tanpa risiko keterlambatan kritis atau penolakan layanan. Secara alami, pendekatan yang berubah ke jaringan dan layanan pelanggan tertarik pengganggu, karena membuka peluang baru bagi mereka untuk menyerang informasi pengguna rahasia dan komponen jaringan itu sendiri untuk menyebabkan penolakan layanan atau menyita sumber daya komputasi operator.
Kunci Kerentanan Jaringan Generasi ke-5
Permukaan serangan besar
Lebih detailSaat membangun jaringan telekomunikasi generasi ke-3 dan ke-4, operator telekomunikasi biasanya membatasi diri untuk bekerja dengan satu atau lebih vendor yang segera memasok satu set perangkat keras dan perangkat lunak. Artinya, semuanya bisa bekerja, seperti yang mereka katakan, "di luar kotak" - yang diperlukan hanyalah menginstal dan mengkonfigurasi peralatan yang dibeli dari vendor; tidak perlu mengganti atau menambah perangkat lunak berpemilik. Tren saat ini bertentangan dengan pendekatan "klasik" ini dan ditujukan untuk virtualisasi jaringan, pendekatan multi-vendor untuk membangunnya, dan beragam perangkat lunak. Teknologi seperti
SDN (Software Defined Network) dan
NFV (Network Functions Virtualization) menjadi semakin populer, yang mengarah pada dimasukkannya sejumlah besar perangkat lunak yang dibangun berdasarkan kode sumber terbuka dalam proses dan fungsi mengelola jaringan komunikasi. Ini memberikan penyerang kesempatan untuk memeriksa jaringan operator dengan lebih baik dan untuk mengidentifikasi lebih banyak kerentanan, yang, pada gilirannya, meningkatkan permukaan serangan jaringan generasi baru dibandingkan dengan yang saat ini.
Sejumlah besar perangkat IoT
Lebih detailPada 2021, sekitar 57% perangkat yang terhubung ke jaringan 5G akan menjadi perangkat IoT. Ini berarti bahwa sebagian besar host akan memiliki kemampuan kriptografi terbatas (lihat ayat 2) dan, karenanya, akan rentan terhadap serangan. Sejumlah besar perangkat semacam itu akan meningkatkan risiko propagasi botnet dan akan memungkinkan untuk melakukan serangan DDoS yang lebih kuat dan terdistribusi.
Kemampuan kriptografi terbatas pada perangkat IoT
Lebih detailSeperti yang telah disebutkan, jaringan generasi ke-5 secara aktif menggunakan perangkat periferal yang dapat menghapus bagian dari beban dari inti jaringan dan dengan demikian mengurangi penundaan. Ini diperlukan untuk layanan penting seperti kontrol kendaraan tak berawak, sistem peringatan darurat
IMS , dll., Yang memastikan penundaan minimum sangat penting, karena kehidupan manusia bergantung padanya. Karena koneksi sejumlah besar perangkat IoT, yang, karena ukurannya yang kecil dan konsumsi daya yang rendah, memiliki sumber daya komputasi yang sangat terbatas, jaringan 5G menjadi rentan terhadap serangan yang ditujukan untuk merebut kendali dan kemudian memanipulasi perangkat tersebut. Misalnya, mungkin ada skenario infeksi perangkat IoT yang merupakan bagian dari sistem
rumah pintar dengan jenis malware seperti
Ransomware dan ransomware . Juga mungkin skenario mencegat kontrol kendaraan tak berawak, yang menerima perintah dan informasi navigasi melalui "cloud". Secara formal, kerentanan ini disebabkan oleh desentralisasi jaringan generasi baru, tetapi paragraf berikutnya akan menguraikan masalah desentralisasi dengan lebih jelas.
Desentralisasi dan perluasan batas jaringan
Lebih detailPerangkat periferal yang memainkan peran inti jaringan lokal melakukan perutean lalu lintas pengguna, pemrosesan permintaan, serta caching lokal dan penyimpanan data pengguna. Dengan demikian, batas-batas jaringan generasi ke-5 berkembang, di samping inti, ke pinggiran, termasuk ke basis data lokal dan antarmuka radio 5G-NR (5G New Radio). Ini menciptakan peluang untuk menyerang sumber daya komputasi perangkat lokal, yang secara apriori kurang aman dibandingkan dengan simpul pusat inti jaringan, untuk menyebabkan penolakan layanan. Ini penuh dengan penonaktifan akses Internet di seluruh area, fungsi alat IoT yang salah (misalnya, dalam sistem "rumah pintar"), serta tidak dapat diaksesnya layanan peringatan darurat IMS.
Namun, saat ini, ETSI dan 3GPP telah menerbitkan lebih dari 10 standar yang mencakup berbagai aspek keamanan jaringan 5G. Sebagian besar mekanisme yang dijelaskan di sini bertujuan untuk melindungi dari kerentanan (termasuk yang dijelaskan di atas). Salah satu yang utama adalah
TS 23.501 versi standar
15.6.0 , yang menggambarkan arsitektur keamanan jaringan generasi ke-5.
Arsitektur 5G
Pertama, mari kita beralih ke prinsip-prinsip utama arsitektur jaringan 5G, yang akan memungkinkan kita untuk lebih jauh mengungkapkan makna dan bidang tanggung jawab masing-masing modul perangkat lunak dan setiap fungsi keamanan 5G.
- Pemisahan node jaringan menjadi elemen yang memastikan operasi protokol pesawat pengguna (dari English UP - User Plane) dan elemen yang memastikan pengoperasian protokol plane kontrol (dari CP Inggris - Control Plane), yang meningkatkan fleksibilitas dalam hal penskalaan jaringan dan penyebaran, dll. e. Penyebaran komponen jaringan node secara terpusat atau terdesentralisasi adalah mungkin.
- Dukungan untuk mekanisme pemotongan jaringan , berdasarkan layanan yang diberikan kepada kelompok pengguna akhir tertentu.
- Realisasi elemen jaringan dalam bentuk fungsi jaringan virtual .
- Dukungan untuk akses simultan ke layanan terpusat dan lokal, yaitu implementasi konsep komputasi awan (dari komputasi kabut Inggris) dan komputasi perbatasan (dari komputasi tepi bahasa Inggris).
- Menerapkan arsitektur konvergen yang menggabungkan berbagai jenis jaringan akses - 3GPP 5G Radio Baru dan non-3GPP (Wi-Fi, dll.) - dengan jaringan inti tunggal.
- Dukungan untuk algoritme dan prosedur otentikasi terpadu, terlepas dari jenis jaringan akses.
- Dukungan untuk fungsi jaringan negara tanpa status (dari bahasa Inggris tanpa negara), di mana sumber daya yang dihitung dipisahkan dari penyimpanan sumber daya.
- Dukungan untuk roaming dengan perutean lalu lintas baik melalui jaringan rumah (dari roaming home-routed Inggris), dan dengan "pendaratan" lokal (dari pelarian lokal bahasa Inggris) di jaringan tamu.
- Interaksi antara fungsi-fungsi jaringan direpresentasikan dalam dua cara: berorientasi layanan dan front-end .
Konsep keamanan jaringan generasi ke-5 meliputi :
- Otentikasi pengguna dari jaringan.
- Otentikasi jaringan oleh pengguna.
- Koordinasi kunci kriptografi antara jaringan dan peralatan pengguna.
- Enkripsi dan kontrol integritas lalu lintas sinyal.
- Enkripsi dan kontrol integritas lalu lintas pengguna.
- Perlindungan ID pengguna.
- Perlindungan antarmuka antara elemen jaringan yang berbeda sesuai dengan konsep domain keamanan jaringan.
- Isolasi berbagai lapisan dari mekanisme jaringan slicing dan penentuan tingkat keamanan masing-masing lapisan itu sendiri.
- Otentikasi pengguna dan perlindungan lalu lintas di tingkat layanan akhir (IMS, IoT, dan lainnya).
Modul perangkat lunak 5G dasar dan fitur keamanan jaringan
AMF (dari Fungsi Manajemen Akses & Mobilitas Bahasa Inggris - kontrol akses dan mobilitas) - menyediakan:
- Organisasi antarmuka pesawat kontrol.
- Organisasi pertukaran sinyal lalu lintas RRC , enkripsi dan perlindungan integritas datanya.
- Organisasi pertukaran lalu lintas pensinyalan NAS , enkripsi, dan perlindungan integritas datanya.
- Mengelola pendaftaran peralatan pengguna di jaringan dan memantau kemungkinan kondisi pendaftaran.
- Mengelola koneksi peralatan pengguna ke jaringan dan memantau kemungkinan kondisi.
- Mengelola ketersediaan peralatan pengguna di jaringan dalam kondisi CM-IDLE.
- Manajemen mobilitas peralatan pengguna di jaringan dalam kondisi CM-CONNECTED.
- Pengiriman pesan pendek antara peralatan pengguna dan SMF.
- Kelola layanan geolokasi.
- Sorot pengidentifikasi aliran EPS untuk interaksi dengan EPS.
SMF (Fungsi Manajemen Sesi Inggris - fungsi manajemen sesi) - menyediakan:
- Kelola sesi komunikasi, yaitu, buat, modifikasi, dan lepaskan sesi, termasuk dukungan untuk terowongan antara jaringan akses dan UPF.
- Distribusi dan manajemen alamat IP peralatan pengguna.
- Memilih gerbang UPF mana yang akan digunakan.
- Organisasi interaksi dengan PCF.
- Mengelola Kebijakan QoS .
- Konfigurasikan peralatan pengguna secara dinamis menggunakan protokol DHCPv4 dan DHCPv6.
- Memantau pengumpulan data pengisian dan organisasi interaksi dengan sistem penagihan.
- Penyampaian layanan tanpa batas (dari SSC - Sesi dan Kesinambungan Layanan ).
- Interaksi dengan jaringan tamu sebagai bagian dari roaming.
UPF (Fungsi Pesawat Pengguna - fungsi pesawat pengguna) - menyediakan:
- Interaksi dengan jaringan data eksternal, termasuk Internet global.
- Perutean paket pengguna.
- Paket pelabelan sesuai dengan kebijakan QoS.
- Diagnostik paket pengguna (misalnya, penemuan aplikasi berbasis tanda tangan).
- Melaporkan penggunaan lalu lintas.
- UPF juga merupakan titik jangkar untuk mendukung mobilitas, baik di dalam yang sama maupun di antara berbagai teknologi akses radio.
UDM (Manajemen Data Terpadu - basis data terpadu) - menyediakan:
- Mengelola data profil pengguna, termasuk menyimpan dan memodifikasi daftar layanan yang tersedia bagi pengguna dan parameternya.
- Manajemen Supi
- Pembuatan kredensial otentikasi 3GPP AKA .
- Akses otorisasi berdasarkan data profil (misalnya, pembatasan roaming).
- Manajemen pendaftaran pengguna, mis. Penyimpanan AMF yang melayani.
- Mempertahankan sesi layanan dan komunikasi yang lancar, yaitu, menyimpan SMF yang ditugaskan untuk sesi komunikasi saat ini.
- Manajemen pengiriman SMS.
- Beberapa UDM yang berbeda dapat melayani satu pengguna sebagai bagian dari transaksi yang berbeda.
UDR (Unified Data Repository) - menyediakan penyimpanan berbagai data pengguna dan, pada kenyataannya, merupakan basis data semua pelanggan jaringan.
UDSF (Fungsi Penyimpanan Data Tidak Terstruktur - fungsi untuk menyimpan data tidak terstruktur) - memastikan bahwa modul AMF menyimpan konteks terkini dari pengguna terdaftar. Informasi ini umumnya dapat direpresentasikan sebagai data dari struktur yang tidak pasti. Konteks pengguna dapat digunakan untuk memastikan sesi pelanggan yang lancar dan tanpa gangguan baik selama rencana penarikan salah satu AMF dari layanan dan dalam keadaan darurat. Dalam kedua kasus tersebut, AMF siaga βmengambilβ layanan menggunakan konteks yang disimpan dalam USDF.
Kombinasi UDR dan UDSF pada platform fisik yang sama adalah implementasi khas dari fungsi-fungsi jaringan ini.
PCF (eng. Fungsi Kontrol Kebijakan - fungsi kontrol kebijakan) - menghasilkan dan menetapkan berbagai kebijakan layanan kepada pengguna, termasuk parameter QoS dan aturan penetapan harga. Misalnya, saluran virtual dengan karakteristik berbeda dapat dibuat secara dinamis untuk mengirimkan jenis lalu lintas ini atau itu. Pada saat yang sama, persyaratan layanan yang diminta oleh pelanggan, tingkat kemacetan jaringan, jumlah lalu lintas yang dikonsumsi, dll., Dapat diperhitungkan.
NEF (Network Exposure Function) - menyediakan:
- Organisasi interaksi aman platform eksternal dan aplikasi dengan inti jaringan.
- Mengelola parameter QoS dan aturan pengisian untuk pengguna tertentu.
SEAF (Security Anchor Function) - bersama dengan AUSF menyediakan otentikasi pengguna ketika mereka mendaftar di jaringan dengan teknologi akses apa pun.
AUSF (Fungsi Otentikasi Server Server - fungsi server otentikasi) - bertindak sebagai server otentikasi yang menerima dan memproses permintaan dari SEAF dan mengarahkan mereka ke ARPF.
ARPF (Otentikasi Kredensial Repositori dan Fungsi Pemrosesan - otentikasi penyimpanan kredensial dan fungsi pemrosesan) - menyediakan penyimpanan kunci rahasia pribadi (KI) dan parameter algoritma kriptografi, serta pembuatan vektor otentikasi sesuai dengan algoritma 5G-AKA atau
EAP -AKA. Itu terletak di pusat data dari operator telekomunikasi rumah yang dilindungi dari pengaruh fisik eksternal dan, sebagai suatu peraturan, terintegrasi dengan UDM.
SCMF (Fungsi Manajemen Konteks Keamanan) - menyediakan manajemen siklus hidup konteks keamanan 5G.
SPCF (Fungsi Kontrol Kebijakan Keamanan - menyediakan koordinasi dan penerapan kebijakan keamanan untuk pengguna tertentu. Ini mempertimbangkan kemampuan jaringan, kemampuan peralatan pengguna dan persyaratan layanan tertentu (misalnya, tingkat perlindungan yang diberikan oleh layanan komunikasi kritis dan layanan akses Internet broadband nirkabel dapat bervariasi). Penerapan kebijakan keamanan meliputi: memilih AUSF, memilih algoritma otentikasi, memilih enkripsi data dan algoritma kontrol integritas, menentukan panjang dan siklus hidup kunci.
SIDF (Eng. Sub-menyembunyikan Fungsi Langganan Identifier - fungsi untuk mengekstrak pengidentifikasi langganan permanen pelanggan (Eng. SUPI) dari pengidentifikasi tersembunyi (Eng.
SUCI ) diterima sebagai bagian dari permintaan prosedur otentikasi "Auth Info Req".
Persyaratan keamanan dasar untuk jaringan 5G
Lebih detailOtentikasi Pengguna : Jaringan 5G yang melayani harus mengotentikasi SUPI pengguna dalam proses 5G AKA antara pengguna dan jaringan.
Melayani Otentikasi Jaringan : Pengguna harus mengautentikasi pengidentifikasi jaringan 5G yang melayani, dan otentikasi dipastikan melalui keberhasilan penggunaan kunci yang diperoleh sebagai hasil dari prosedur 5G AKA.
Otorisasi pengguna : Jaringan penyajian harus mengotorisasi pengguna sesuai dengan profil pengguna yang diperoleh dari jaringan penyedia layanan rumah.
Otorisasi jaringan layanan oleh jaringan operator rumah : Pengguna harus diberikan konfirmasi bahwa ia terhubung ke jaringan layanan, yang diotorisasi oleh jaringan operator rumah untuk menyediakan layanan. Otorisasi tersirat dalam arti menjamin kepastian penyelesaian prosedur AKA 5G.
Otorisasi jaringan akses oleh jaringan operator rumah : Pengguna harus diberikan konfirmasi bahwa ia terhubung ke jaringan akses, yang diotorisasi oleh jaringan operator rumah untuk menyediakan layanan. Otorisasi tersirat dalam arti menjamin kepastian pembentukan keamanan jaringan akses. Jenis otorisasi ini harus digunakan untuk semua jenis jaringan akses.
Layanan darurat tidak terauthentikasi: Untuk memenuhi persyaratan peraturan di beberapa wilayah, jaringan 5G harus menyediakan akses tidak terauthentikasi untuk layanan darurat.
Inti jaringan dan jaringan akses radio : Inti dari jaringan 5G dan jaringan akses radio 5G harus mendukung penggunaan algoritma enkripsi dan integritas dengan panjang kunci 128 bit untuk memastikan keamanan
AS dan
NAS . Antarmuka jaringan harus mendukung kunci enkripsi 256-bit.
Persyaratan keamanan dasar untuk peralatan pengguna
Lebih detail- Peralatan pengguna harus mendukung enkripsi, perlindungan integritas dan perlindungan terhadap serangan dengan memutar ulang data pengguna yang dikirimkan antara itu dan jaringan akses radio.
- , .
- , RRC NAS.
- : NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
- : 128-NEA3, 128-NIA3.
- : 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 , E-UTRA.
- , , , , - .
- RRC NAS .
- .
- , ( MCC MNC ).
- , , USIM .
:
- Β«0000Β»: NEA0 β Null ciphering algorithm
- Β«0001Β»: 128-NEA1 β 128-bit SNOW 3G based algorithm
- Β«0010Β» 128-NEA2 β 128-bit AES based algorithm
- Β«0011Β» 128-NEA3 β 128-bit ZUC based algorithm.
Persyaratan Keamanan Dasar untuk Fitur Jaringan 5G
Lebih detail- AMF SUCI.
- SEAF SUCI.
- UDM ARPF .
- AUSF SUPI SUCI.
- NEF .
Prosedur keamanan dasar
Percayai domain
Dalam jaringan generasi ke-5, kepercayaan pada elemen-elemen jaringan berkurang ketika elemen-elemen bergerak menjauh dari inti jaringan. Konsep ini mempengaruhi keputusan yang diterapkan dalam arsitektur keamanan 5G. Dengan demikian, kita dapat berbicara tentang model kepercayaan jaringan 5G yang mendefinisikan perilaku mekanisme keamanan jaringan.Di sisi pengguna, domain trust dibentuk oleh UICC dan USIM.Di sisi jaringan, domain trust memiliki struktur yang lebih kompleks.
Jaringan akses radio dibagi menjadi dua komponen - DU (dari Unit Terdistribusi Bahasa Inggris - unit jaringan terdistribusi) dan CU (dari Unit Pusat Bahasa Inggris - unit jaringan pusat). Bersama-sama mereka membentuk gNB- Antarmuka radio stasiun basis jaringan 5G. DU tidak memiliki akses langsung ke data pengguna, karena mereka dapat digunakan dalam segmen infrastruktur yang tidak aman. CU harus dikerahkan di segmen jaringan yang aman, karena mereka bertanggung jawab untuk menghentikan lalu lintas mekanisme keamanan AS. Inti dari jaringan adalah AMF , yang menghentikan lalu lintas mekanisme keamanan NAS. Spesifikasi 3GPP 5G Fase 1 saat ini menjelaskan kombinasi AMF dengan fungsi keamanan SEAF yang berisi kunci root (juga dikenal sebagai "kunci jangkar") dari jaringan yang dikunjungi (melayani). Ausfbertanggung jawab untuk menyimpan kunci yang diperoleh setelah otentikasi berhasil. Hal ini diperlukan untuk digunakan kembali dalam kasus-kasus dengan koneksi simultan pengguna ke beberapa jaringan akses radio. ARPF menyimpan kredensial pengguna dan setara dengan USIM untuk pelanggan. UDR dan UDM menyimpan informasi pengguna, yang digunakan untuk menentukan logika untuk menghasilkan kredensial, pengidentifikasi pengguna, memastikan kelangsungan sesi, dll.Skema hierarki dan distribusi utama
Dalam jaringan generasi ke-5, tidak seperti jaringan 4G-LTE, prosedur otentikasi memiliki dua komponen: otentikasi primer dan sekunder. Otentikasi primer diperlukan untuk semua perangkat pengguna yang terhubung ke jaringan. Otentikasi sekunder dapat dilakukan atas permintaan dari jaringan eksternal, jika pelanggan terhubung ke jaringan tersebut.Setelah berhasil menyelesaikan otentikasi primer dan pengembangan kunci bersama K antara pengguna dan jaringan, K SEAF diekstraksi dari kunci K - kunci jangkar (root) khusus dari jaringan yang melayani. Selanjutnya, kunci dihasilkan dari kunci ini untuk memastikan kerahasiaan dan integritas data RRC dan lalu lintas pensinyalan NAS.Skema Penjelasan:
CK (. Cipher Key)
IK (. Integrity Key) β , .
CK' (. Cipher Key) β , CK EAP-AKA.
IK' (. Integrity Key) β , EAP-AKA.
K AUSF β ARPF
CK IK 5G AKA EAP-AKA.
K SEAF β , AUSF
K AMFAUSF .
K AMF β , SEAF
K SEAF .
K NASint ,
K NASenc β , AMF
K AMF NAS.
K RRCint ,
K RRCenc β , AMF
K AMF RRC.
K UPint ,
K UPenc β , AMF
K AMF AS.
NH β , AMF
K AMF .
K gNB β , AMF
K AMF .
Skema untuk menghasilkan SUCI dari SUPI dan sebaliknyaSUPI SUCI
SUCI SUPI SUPI SUCI:
Otentikasi
Otentikasi primer
Pada jaringan 5G, EAP-AKA dan 5G AKA adalah mekanisme otentikasi utama standar. Kami akan membagi mekanisme otentikasi utama menjadi dua fase: yang pertama bertanggung jawab untuk memulai otentikasi dan memilih metode otentikasi, yang kedua adalah untuk saling otentikasi antara pengguna dan jaringan.Inisiasi
Pengguna mengajukan permintaan pendaftaran ke SEAF, yang berisi pengidentifikasi langganan pengguna SUCI yang disembunyikan.SEAF mengirim pesan permintaan otentikasi (Nausf_UEAuthentication_Authenticate Request) ke AUSF yang berisi SNN (Melayani Nama Jaringan) dan SUPI atau SUCI.AUSF memeriksa untuk melihat apakah SEAF yang meminta diizinkan untuk menggunakan SNN ini. Jika jaringan penyajian tidak diotorisasi untuk menggunakan SNN ini, maka AUSF menjawab dengan pesan kesalahan otorisasi "Melayani jaringan tidak diotorisasi" (Nausf_UEAuthentication_Authenticate Response).Kredensial otentikasi AUSF diminta oleh UDM, ARPF atau SIDF melalui SUPI atau SUCI dan SNN.Berdasarkan SUPI atau SUCI dan informasi pengguna, UDM / ARPF memilih metode otentikasi yang akan digunakan kemudian dan memberikan kredensial pengguna.Saling otentikasi
Menggunakan metode otentikasi apa pun, fungsi jaringan UDM / ARPF harus menghasilkan vektor otentikasi (AV).EAP-AKA: UDM / ARPF pertama-tama menghasilkan vektor otentikasi dengan bit pemisah AMF = 1, kemudian menghasilkan CK ' dan IK' dari CK , IK dan SNN dan menyusun vektor otentikasi baru AV ( RAND , AUTN , XRES * , CK ' , IK ' ), yang dikirim ke AUSF dengan instruksi untuk menggunakannya hanya untuk EAP-AKA.5G AKA: UDM / ARPF mendapatkan kunci K AUSF dari CK , IKdan SNN, setelah itu menghasilkan 5G HE AV Bahasa Inggris. Vektor Otentikasi Lingkungan Rumah 5G). Vektor autentikasi 5G HE AV (RAND, AUTN, XRES, K AUSF ) dikirim ke AUSF yang menunjukkan bahwa ia harus digunakan hanya untuk 5G AKA.Setelah ini, AUSF memperoleh kunci jangkar K SEAF dari kunci K AUSF dan mengirimkan permintaan ke SEAF "Tantangan" dalam pesan "Nausf_UEAuthentication_Authenticate Response", yang juga berisi RAND, AUTN, dan RES *. Selanjutnya, RAND dan AUTN ditransmisikan ke peralatan pengguna menggunakan pensinyalan NAS yang aman. USIM pengguna menghitung RES * dari RAND dan AUTN yang diterima dan mengirimkannya ke SEAF. SEAF menyampaikan nilai ini ke AUSF untuk verifikasi.AUSF membandingkan XRES * yang tersimpan di dalamnya dan diterima dari pengguna RES *. Dalam hal kebetulan, AUSF dan UDM di jaringan rumah operator diberitahu tentang otentikasi yang berhasil, dan pengguna dan SEAF secara independen menghasilkan kunci K AMF dari K SEAF dan SUPI untuk komunikasi lebih lanjut.Otentikasi sekunder
Standar 5G mendukung otentikasi sekunder berbasis EAP-AKA opsional antara peralatan pengguna dan jaringan data eksternal. Dalam hal ini, SMF bertindak sebagai autentikator EAP dan bergantung pada pengoperasian server AAA jaringan eksternal, yang mengotentikasi dan mengotorisasi pengguna.
- Otentikasi pengguna utama wajib pada jaringan rumah terjadi dan menghasilkan konteks keamanan NAS yang umum untuk AMF.
- AMF .
- AMF SMF SUPI .
- SMF UDM SUPI.
- SMF AMF.
- SMF EAP AAA- . SMF .
- AAA- , . SMF, UPF.
Kesimpulan
Terlepas dari kenyataan bahwa arsitektur keamanan 5G didasarkan pada penggunaan kembali teknologi yang ada, ia menghadapi tantangan yang sama sekali baru. Sejumlah besar perangkat IoT, batas-batas jaringan yang diperluas, dan elemen-elemen arsitektur terdesentralisasi hanyalah beberapa prinsip utama dari standar 5G yang memberikan kebebasan pada imajinasi para penjahat cyber.Standar arsitektur keamanan 5G utama adalah TS 23.501 versi 15.6.0- Berisi poin-poin utama pekerjaan mekanisme dan prosedur keamanan. Secara khusus, ini menjelaskan peran masing-masing VNF dalam melindungi data pengguna dan node jaringan, dalam menghasilkan kunci kriptografi, dan dalam menerapkan prosedur otentikasi. Tetapi bahkan standar ini tidak memberikan jawaban atas pertanyaan keamanan akut yang lebih sering dihadapi oleh operator telekomunikasi, semakin intensif jaringan generasi baru dikembangkan dan dioperasikan.Dalam hal ini, saya ingin percaya bahwa kesulitan mengoperasikan dan melindungi jaringan generasi ke-5 tidak akan memengaruhi pengguna biasa yang dijanjikan kecepatan dan respons transmisi seperti putra putra ibu tidak sabar untuk mencoba semua kemampuan yang diumumkan dari jaringan generasi baru.Tautan yang bermanfaat
Seri spesifikasi 3GPP5G arsitektur keamanan 5G arsitektursistem5G Wiki5G arsitektur catatan5G tinjauan keamanan