显然,在不考虑安全机制的情况下进行新的通信标准的开发是一件非常可疑和无用的事情。
5G安全架构 -在
第5代网络中实施的一组
安全机制和过程,涵盖从核心到无线电接口的所有网络组件。
实质上,第五代
网络是
第四代LTE网络的演进 。 无线电接入技术发生了最重大的变化。 对于第五代网络,开发了一种新的
RAT (无线电接入技术)
-5G New Radio 。 至于网络核心,它没有发生过如此重大的变化。 在这方面,开发5G网络的安全体系结构的重点是重用4G LTE标准中采用的相关技术。
但是,值得注意的是,对无线电接口和
信令平面攻击,DDOS攻击,中间人攻击等众所周知的威胁的重新思考促使电信运营商制定新标准并集成了全新的机制。第五代网络安全。
背景知识
2015年,国际电信联盟制定了第一个有关第五代网络发展的全球计划,这就是为什么在5G网络中开发安全机制和程序的问题尤为突出的原因。
这项新技术提供了令人印象深刻的数据传输速度(超过1 Gbit / s),不到1毫秒的延迟以及能够在1 km
2的半径内同时连接大约100万个设备的能力。 第五代网络的这些最高要求反映在其组织原则中。
主要的是分散化,这意味着将许多本地数据库及其处理中心放置在网络外围。 由于维护了大量的物联网设备,这使得最小化
M2M通信的延迟和减轻网络核心成为可能。 因此,新一代网络的边界扩展到了基站,使您可以创建本地通信中心并提供云服务,而不会造成严重延迟或拒绝服务的风险。 自然,改变了对网络和客户服务感兴趣的入侵者的方法,因为它为入侵者提供了攻击机密用户信息和网络组件本身的新机会,从而导致拒绝服务或占用运营商的计算资源。
第五代关键网络漏洞
攻击面大
更多细节在建立第三代和第四代电信网络时,电信运营商通常会限制自己与一个或多个立即提供一套硬件和软件的供应商合作。 就是说,一切都可以按照他们所说的那样“开箱即用”地工作-仅安装和配置从供应商那里购买的设备就足够了。 无需替换或补充专有软件。 当前的趋势与这种“经典”方法背道而驰,其目的是虚拟化网络,构建网络的多厂商方法以及各种软件。
SDN (软件定义网络)和
NFV (网络功能虚拟化)等技术变得越来越流行,这导致在通信网络的管理过程和功能中包含了大量基于开源代码构建的软件。 这使攻击者有机会更好地检查运营商的网络并确定更多的漏洞,从而与现有网络相比,增加了新一代网络的攻击面。
大量的物联网设备
更多细节到2021年,连接到5G网络的设备中约有57%将是IoT设备。 这意味着大多数主机将具有有限的加密功能(请参阅第2节),因此,容易受到攻击。 大量此类设备将增加僵尸网络传播的风险,并使进行更强大和分布式的DDoS攻击成为可能。
物联网设备的加密功能有限
更多细节如已经提到的,第五代网络积极使用外围设备,这些外围设备可以从网络核心中消除部分负载,从而减少延迟。 对于无人驾驶车辆控制,
IMS紧急警报系统等重要服务而言,这是必不可少的,对于这些服务而言,确保最小延迟至关重要,因为人类的生命取决于此。 由于连接了许多IoT设备,这些设备由于其体积小,功耗低而具有非常有限的计算资源,因此5G网络容易受到旨在抢占控制权然后操纵此类设备的攻击。 例如,可能存在被
智能设备(如
勒索软件和勒索软件)感染作为
智能家居系统一部分的IoT设备的情况。 拦截无人驾驶车辆控制的场景也是可能的,该场景通过“云”接收命令和导航信息。 形式上,此漏洞是由于新一代网络的分散性引起的,但下一段将更清楚地概述分散性问题。
分权和扩大网络边界
更多细节扮演本地网络核心角色的外围设备执行用户流量的路由,请求处理以及用户数据的本地缓存和存储。 因此,除核心外,第五代网络的边界正在扩展到外围,包括本地数据库和5G-NR无线电接口(5G New Radio)。 这为攻击本地设备的计算资源创造了机会,这些本地资源的安全性比网络核心的中心节点先验地低,从而导致拒绝服务。 这会导致整个区域无法访问Internet,IoT设备的功能不正常(例如,在“智能家居”系统中)以及IMS紧急警报服务无法访问的问题。
但是,目前,ETSI和3GPP已发布了涵盖5G网络安全各个方面的10多个标准。 此处描述的绝大多数机制旨在防止漏洞(包括上述漏洞)。
TS 23.501标准
版本15.6.0是其中主要的
版本 ,它描述了第五代网络的安全体系结构。
5G架构
首先,让我们谈谈5G网络架构的关键原理,这将使我们能够进一步充分揭示每个软件模块和每个5G安全功能的含义和职责范围。
- 将网络节点分为确保用户平面协议运行的元素(英语UP-用户平面)和确保控制平面协议运行的元素(英语CP-控制平面),这增加了网络扩展和部署等方面的灵活性。 e。可以集中或分散部署网络节点的各个组件。
- 基于提供给特定最终用户组的服务,对网络切片机制的支持。
- 虚拟网络功能形式的网络元素的实现。
- 支持同时访问集中式和本地服务,即,实施云计算 (来自英文雾计算 )和边界计算 (来自英文边缘计算 )的概念。
- 实现一个融合架构,将各种类型的接入网络(3GPP 5G新无线电和非3GPP (Wi-Fi等))与单个核心网络结合在一起。
- 无论接入网络的类型如何,均支持统一的身份验证算法和过程。
- 支持无状态状态网络功能(源自英语无状态),其中将计算出的资源与资源存储区分开。
- 支持通过本地网络的流量路由(通过英语本地路由的漫游)和来宾网络中的本地“着陆”(英语本地分支)进行的漫游。
- 网络功能之间的交互以两种方式表示: 面向服务和前端 。
第五代网络安全概念包括 :
- 来自网络的用户身份验证。
- 用户的网络身份验证。
- 网络和用户设备之间的密码密钥的协调。
- 信号流量的加密和完整性控制。
- 用户流量的加密和完整性控制。
- 用户标识保护。
- 根据网络安全域的概念,保护不同网络元素之间的接口。
- 隔离网络切片机制的各个层,并确定每个层自身的安全级别。
- 终端服务(IMS,IoT和其他)级别的用户身份验证和流量保护。
基本的5G软件模块和网络安全功能
AMF (来自英语访问和移动性管理功能-访问控制和移动性)-提供:
- 控制平面接口的组织。
- 组织RRC交换信令流量,加密并保护其数据的完整性。
- 组织NAS信令流量的交换,加密并保护其数据的完整性。
- 管理网络中用户设备的注册并监视可能的注册条件。
- 管理用户设备与网络的连接并监视可能的状况。
- 在CM-IDLE状态下管理用户设备在网络上的可用性。
- 处于CM-CONNECTED状态的网络上用户设备的移动性管理。
- 在用户设备和SMF之间传输短消息。
- 管理地理位置服务。
- 突出显示与EPS交互的EPS流标识符。
SMF (英语会话管理功能-会话管理功能)-提供:
- 管理通信会话,即创建,修改和释放会话,包括对访问网络和UPF之间的隧道的支持。
- 用户设备IP地址的分配和管理。
- 选择要使用的UPF网关。
- 与PCF互动的组织。
- 管理QoS策略。
- 使用DHCPv4和DHCPv6协议动态配置用户设备。
- 监视计费数据的收集以及与计费系统交互的组织。
- 无缝服务交付(来自SSC-会话和服务连续性 )。
- 与来宾网络的交互作为漫游的一部分。
UPF (用户平面功能-用户平面的功能)-提供:
- 与外部数据网络(包括全球Internet)的交互。
- 用户数据包路由。
- 根据QoS策略标记软件包。
- 用户软件包的诊断(例如,基于签名的应用程序发现)。
- 报告流量使用情况。
- UPF还是支持相同和不同无线电接入技术之间的移动性的锚点。
UDM (统一数据管理-统一数据库)-提供:
- 管理用户配置文件数据,包括存储和修改可供用户使用的服务及其参数的列表。
- 苏皮管理
- 3GPP AKA身份验证凭据生成。
- 基于配置文件数据的访问授权(例如,漫游限制)。
- 用户注册管理,即服务AMF的存储。
- 维持无缝的服务和通信会话,即,存储分配给当前通信会话的SMF。
- 短信发送管理。
- 几种不同的UDM可以将一个用户作为不同事务的一部分。
UDR (统一数据存储库)-提供各种用户数据的存储,实际上是所有网络订户的数据库。
UDSF (非结构化数据存储功能-用于存储非结构化数据的功能)-确保AMF模块保存注册用户的当前上下文。 该信息通常可以表示为不确定结构的数据。 在计划从服务中退出AMF之一时以及在紧急情况下,用户上下文都可以用于确保无缝和不间断的订户会话。 在这两种情况下,备用AMF都使用存储在USDF中的上下文“提起”服务。
UDR和UDSF在同一物理平台上的组合是这些网络功能的典型实现。
PCF (英语:Policy Control Function-策略控制功能)-生成并向用户分配各种服务策略,包括QoS参数和定价规则。 例如,可以动态创建具有不同特征的虚拟通道以传输这种或那种流量。 同时,可以考虑用户所要求的服务要求,网络拥塞程度,消耗的业务量等。
NEF (网络暴露功能)-提供:
- 组织外部平台和应用程序与网络核心的安全交互。
- 管理特定用户的QoS参数和收费规则。
SEAF (安全锚功能)-与AUSF一起为用户使用任何访问技术在网络上注册时提供身份验证。
AUSF (英语身份验证服务器功能-身份验证服务器功能)-充当身份验证服务器,接受并处理来自SEAF的请求并将其重定向到ARPF。
ARPF (认证凭证存储库和处理功能-认证凭证存储和处理功能)-提供个人秘密密钥(KI)和密码算法参数的存储,以及根据5G-AKA或
EAP -AKA算法的认证向量的生成。 它位于家庭电信运营商的数据中心内,不受外部物理影响,并且通常与UDM集成。
SCMF (安全上下文管理功能)-提供5G安全上下文生命周期管理。
SPCF (安全策略控制功能-为特定用户提供安全策略的协调和应用)。 这考虑到了网络的能力,用户设备的能力以及特定服务的要求(例如,关键通信服务和无线宽带Internet访问服务提供的保护级别可能会有所不同)。 安全策略的应用包括:选择AUSF,选择身份验证算法,选择数据加密和完整性控制算法,确定密钥的长度和生命周期。
SIDF (工程订阅标识符去隐藏功能)-用于从作为身份验证过程请求“ Auth Info Req”的一部分而接收到的隐藏标识符(Eng.SUCI)中提取订户的永久订阅标识符(Eng。SUCI)。
5G网络的基本安全要求
更多细节用户身份验证 :服务中的5G网络必须在用户与网络之间的5G AKA流程中对用户的SUPI进行身份验证。
服务网络身份验证 :用户必须对服务5G网络的标识符进行身份验证,并且通过成功使用5G AKA过程获得的密钥来确保身份验证。
用户授权 :服务网络必须根据从归属服务提供商的网络获得的用户配置文件授权用户。
家庭运营商的网络对服务网络的授权 :必须向用户提供确认他已连接到服务网络的确认,该确认已得到家庭运营商的网络授权以提供服务。 在确保成功完成5G AKA程序的意义上,授权是隐含的。
归属运营商的网络对接入网络的授权 :必须向用户提供确认其已连接到接入网络的确认信息,接入网络已得到归属运营商的网络授权以提供服务。 在确保成功建立接入网络安全性的意义上,授权是隐式的。 这种类型的授权应用于任何类型的接入网络。
未经认证的
紧急服务 :为了满足某些地区的法规要求,5G网络必须提供未经认证的紧急服务访问。
网络核心和无线电接入网络 :5G网络和5G无线电接入网络的核心应支持使用密钥长度为128位的加密和完整性算法,以确保
AS和
NAS的安全性。 网络接口应支持256位加密密钥。
用户设备的基本安全要求
更多细节- 用户设备应通过重放在其与无线电接入网之间传输的用户数据,来支持加密,完整性保护和防范攻击。
- 用户设备应按照无线电接入网的指示激活加密和数据完整性保护机制。
- , RRC NAS.
- : NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
- : 128-NEA3, 128-NIA3.
- : 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 , E-UTRA.
- , , , , - .
- RRC NAS .
- .
- , ( MCC MNC ).
- , , USIM .
:
- «0000»: NEA0 — Null ciphering algorithm
- «0001»: 128-NEA1 — 128-bit SNOW 3G based algorithm
- «0010» 128-NEA2 — 128-bit AES based algorithm
- «0011» 128-NEA3 — 128-bit ZUC based algorithm.
5G网络功能的基本安全要求
更多细节- AMF SUCI.
- SEAF SUCI.
- UDM ARPF .
- AUSF SUPI SUCI.
- NEF .
基本安全程序
信任域
在第5代网络中,对网络元素的信任度随着元素从网络核心移开而降低。此概念影响5G安全架构中实施的决策。因此,我们可以讨论定义网络安全机制行为的5G网络信任模型。在用户方面,信任域由UICC和USIM组成。在网络方面,信任域具有更复杂的结构。
无线电接入网分为两个部分-DU(来自英语分布式单元-分布式网络单元)和CU(来自英语中央单元-中央网络单元)。他们一起组成了gNB-5G网络基站无线电接口。 DU无法直接访问用户数据,因为它们可以部署在不安全的基础架构中。 CU应该部署在安全的网段中,因为它们负责终止AS安全机制的流量。网络的核心是AMF,它终止NAS安全机制的流量。当前的3GPP 5G阶段1规范描述了AMF与SEAF安全功能的组合,其中包含访问(服务)网络的根密钥(也称为“锚键”)。奥斯夫负责存储成功认证后获得的密钥。在用户同时连接到多个无线接入网的情况下,有必要进行重用。ARPF存储用户凭据,并且等效于订户的USIM。UDR和UDM存储用户信息,该信息用于确定生成凭证,用户标识符,确保会话连续性等的逻辑。关键等级和分配方案
在第5代网络中,与4G-LTE网络不同,身份验证过程包含两个组件:主要身份验证和辅助身份验证。连接到网络的所有用户设备都需要主身份验证。如果订户连接到外部网络,则可以根据外部网络的请求执行辅助身份验证。成功完成一次身份验证并开发出用户与网络之间的共享密钥K后,将从密钥K (服务网络的特殊锚(根)密钥)中提取K SEAF。随后,从该密钥生成密钥以确保RRC和NAS信令流量的机密性和数据完整性。解释方案:
CK (. Cipher Key)
IK (. Integrity Key) — , .
CK' (. Cipher Key) — , CK EAP-AKA.
IK' (. Integrity Key) — , EAP-AKA.
K AUSF — ARPF
CK IK 5G AKA EAP-AKA.
K SEAF — , AUSF
K AMFAUSF .
K AMF — , SEAF
K SEAF .
K NASint ,
K NASenc — , AMF
K AMF NAS.
K RRCint ,
K RRCenc — , AMF
K AMF RRC.
K UPint ,
K UPenc — , AMF
K AMF AS.
NH — , AMF
K AMF .
K gNB — , AMF
K AMF .
从SUPI生产SUCI的计划,反之亦然SUPI SUCI
SUCI SUPI SUPI SUCI:
认证方式
初级认证
在5G网络上,EAP-AKA和5G AKA是标准的主要身份验证机制。我们将主要的身份验证机制分为两个阶段:第一阶段负责启动身份验证和选择身份验证方法,第二阶段负责用户与网络之间的相互身份验证。启动
用户向SEAF提交注册请求,其中包含隐藏的SUCI用户订阅标识符。SEAF向AUSF发送包含SNN(服务网络名称)和SUPI或SUCI的身份验证请求消息(Nausf_UEAuthentication_Authenticate Request)。AUSF检查以查看是否允许请求SEAF使用此SNN。如果未授权服务网络使用此SNN,则AUSF会以“未授权服务网络”授权错误消息(Nausf_UEAuthentication_Authenticate Response)进行响应。UDM,ARPF或SIDF通过SUPI或SUCI和SNN请求AUSF身份验证凭据。根据SUPI或SUCI和用户信息,UDM / ARPF选择稍后将使用的身份验证方法并提供用户凭据。相互认证
使用任何身份验证方法,UDM / ARPF网络功能必须生成一个身份验证向量(AV)。EAP-AKA:UDM / ARPF首先使用分隔位AMF = 1生成认证向量,然后从CK,IK和SNN 生成CK'和IK'并组成新的认证向量AV(RAND,AUTN,XRES *,CK',IK '),并将其与仅用于EAP-AKA的说明一起发送给AUSF。5G AKA:UDM / ARPF 从CK,IK获得K AUSF密钥SNN,
5G HE AV . 5G Home Environment Authentication Vector). 5G HE AV (RAND, AUTN, XRES,
K AUSF ) AUSF 5G AKA.
AUSF
K SEAF K AUSF SEAF «Challenge» «Nausf_UEAuthentication_Authenticate Response», RAND, AUTN RES*. RAND AUTN NAS. USIM RES* RAND AUTN SEAF. SEAF AUSF .
AUSF比较存储在其中并从用户RES *接收到的XRES *。万一发生巧合,将通知运营商家庭网络中的AUSF和UDM认证成功,并且用户和SEAF分别从K SEAF和SUPI 生成K AMF密钥,以进行进一步的通信。二级认证
5G标准支持用户设备与外部数据网络之间基于EAP-AKA的可选辅助身份验证。在这种情况下,SMF充当EAP身份验证器,并依赖于外部网络的AAA服务器的操作,该服务器对用户进行身份验证和授权。
- 进行本地网络上的强制性主要用户身份验证,并生成AMF通用的NAS安全上下文。
- AMF .
- AMF SMF SUPI .
- SMF UDM SUPI.
- SMF AMF.
- SMF EAP AAA- . SMF .
- AAA- , . SMF, UPF.
结论
尽管5G安全架构基于重用现有技术,但它仍面临着全新的挑战。大量的IoT设备,扩展的网络边界和分散式架构的元素只是5G标准的一些关键原则,可自由束缚网络犯罪分子的想象力。主要的5G安全架构标准是TS 23.501版本15.6.0-包含安全机制和程序的工作重点。特别是,它描述了每个VNF在保护用户数据和网络节点,生成密码密钥以及实施身份验证过程中的作用。但是,即使该标准也无法解决电信运营商所面临的严峻的安全问题,而且新一代网络的开发和投入使用的力度也越来越大。在这方面,我想相信,操作和保护第五代网络的困难不会影响那些被承诺具有传输速度和响应能力的普通用户,就像母亲的儿子迫不及待地想要尝试新一代网络的所有已发布功能。有用的链接
3GPP规范系列5G安全体系结构5G系统体系结构5G Wiki5G体系结构说明5G安全概述