Arhitectura de securitate (Security Architecture, SA) 5G constă din diferite funcții de rețea (NF) și componente care sunt responsabile pentru securizarea comunicațiilor end-to-end, oferind funcții de autentificare și diverse alte funcții de securitate. Arhitectura de securitate 5G constă din componente care fac parte din diferite alte arhitecturi („Zoom-in” în ceea ce privește acest raport), acționând astfel într-o manieră orizontală în toate celelalte arhitecturi. În special, funcțiile de securitate asigură accesul utilizatorilor în cadrul rețelei de acces radio (RAN), acoperă funcțiile de securitate din rețeaua centrală și entitățile perimetrale (edge computing) și oferă funcții de securitate în virtualizarea funcției de rețea. În cele din urmă, un set de elemente acoperă funcțiile de management al securității, audit și analiză.
Arhitectura de securitate 5G este definită în specificația tehnică 3GPP62 ca acoperind diferite domenii complementare.
- Securitatea accesului la rețea (I): setul de caracteristici de securitate care permit unui UE să se autentifice și să acceseze în siguranță serviciile prin intermediul rețelei, inclusiv accesul 3GPP și accesul non-3GPP și, în special, să protejeze împotriva atacurilor asupra interfețelor (radio). În plus, include livrarea contextului de securitate de la SN la AN pentru securitatea accesului.
- Securitatea domeniului de rețea (II): setul de caracteristici de securitate care permit nodurilor de rețea să schimbe în siguranță date de semnalizare și date din planul utilizatorului.
- Securitatea domeniului utilizator (III): setul de caracteristici de securitate care asigură accesul utilizatorului la echipamentele mobile.
- Securitate domeniului aplicațiilor (IV): setul de caracteristici de securitate care permit aplicațiilor din domeniul utilizator și din domeniul furnizorului să schimbe mesaje în siguranță. Securitatea domeniului aplicațiilor nu intră în domeniul de aplicare al prezentei analize.
- Securitatea domeniului SBA (V): setul de caracteristici de securitate care permite funcțiilor de rețea ale arhitecturii SBA să comunice în siguranță în domeniul rețelei de deservire și cu alte domenii de rețea. Astfel de caracteristici includ înregistrarea funcției de rețea, descoperirea și aspectele de securitate de autorizare, precum și protecția pentru interfețele bazate pe servicii.
- Vizibilitatea și configurabilitatea securității (VI): setul de caracteristici care permit utilizatorului să fie informat dacă o caracteristică de securitate este în funcțiune sau nu.
Structura detaliată a arhitecturii de securitate 5G este prezentată în figura următoare.
(Arhitectura de securitate 5G (Zoom-in))
Elementele arhitecturii de securitate 5G sunt următoarele:
- Element: Scurtă descriere
- Echipamente mobile (ME): ME reprezintă toate tipurile de echipamente mobile care pot fi conectate la rețeaua 5G. ME pot fi senzori, componente IoT, sisteme autonome conectate, dispozitive eHealth etc.
- Modul universal de identitate a abonatului (USIM): USIM este cartela SIM a 5G. Este o platformă pentru securizarea accesului și comunicațiilor în 5G. Este singurul modul de securitate menționat în specificația 3GPP.
- Unitatea centrală a stației de bază nod 5G (gNB-CU): Unele cerințe de securitate pentru gNB-CU au fost formulate de 3GPPP. Deși nu este un element de securitate în sine, aceste cerințe sporesc proprietățile de securitate ale gNB și, atunci când sunt implementate, sunt considerate relevante pentru arhitectura de securitate.
- Rețea de acces non-3GPP: Securitatea pentru accesul non-3GPP la rețeaua 5G Core este realizată printr-o procedură care utilizează IKEv2 așa cum este definit în RFC 7296 pentru a configura una sau mai multe asociații de securitate IPsec ESP. Rolul de inițiator IKE (sau client) este preluat de UE, iar rolul de respondent IKE (sau server) este preluat de N3IW.
- Funcția de interfuncționare cu acces non-3GPP (N3IWF): Această funcție de rețea este responsabilă pentru interfuncționarea între rețelele non-3GPP care nu sunt de încredere și 5G Core. Ca atare, N3IWF acceptă atât conectivitatea bazată pe N2, cât și N3 la nucleu, susținând în același timp conectivitatea IPsec către dispozitiv.
- Funcția de management al accesului și al mobilității (AMF): Funcția de management al accesului și al mobilității de bază face parte din arhitectura 3GPP 5G. Sarcinile sale principale includ managementul înregistrării, managementul conexiunii, managementul accesibilității, managementul mobilității și diverse funcții legate de securitate și gestionarea accesului și autorizarea.
- Funcția de ancorare de securitate (SEAF): SEAF va crea pentru autentificarea primară o cheie de ancorare unificată KSEAF (comună pentru toate accesele) care poate fi utilizată de UE și rețeaua de deservire pentru a proteja comunicația ulterioară (63).
- Funcția de server de autentificare (AUSF): Funcția de server de autentificare (AUSF) va gestiona cererile de autentificare atât pentru acces 3GPP, cât și pentru acces non-3GPP. AUSF va furniza SUPI către VPLMN (Core Network/Serving Network) numai după confirmarea autentificării, dacă cererea de autentificare cu SUCI a fost trimisă de VPLMN. AUSF va informa UDM că a avut loc o autentificare cu succes sau nereușită a unui abonat.
- Funcția de depozit și procesare a acreditărilor de autentificare (ARPF): ARPF selectează o metodă de autentificare bazată pe identitatea abonatului și politica configurată și calculează datele de autentificare și materialele de cheie
- Funcția de gestionare a datelor utilizatorului (UDM): Managementul unificat al datelor (UDM) gestionează datele utilizatorilor din rețea într-un singur element centralizat. UDM este similar cu serviciul de abonat la domiciliu (HSS) al rețelei 4G, dar este nativ din cloud și este conceput special pentru 5G. SIDF-ul este responsabil pentru devoalarea Identificatorului Ascuns de Abonament (SUCI) și va îndeplini următoarele cerințe:
- SIDF va fi un serviciu oferit de UDM;
- SIDF va rezolva SUPI din SUCI pe baza schemei de protecție utilizată pentru generarea SUCI.
- Depozit de date nestructurate (UDR): Depozit pentru gestionarea datelor nestructurate, conceput pentru a gestiona tipuri masive și diverse de date nestructurate, inclusiv text, imagine, audio și video.
- Security Edge Protection Proxy (SEPP): Arhitectura sistemului 5G introduce un Security Edge Protection Proxy (SEPP) ca entitate care se află în perimetrul rețelei mobile. SEPP va acționa ca un nod proxy netransparent.
- Funcția de autentificare și autorizare specifică segmentelor de rețea (NSSAAF): Funcția Network Slice Specific Authentication and Authorization (NSSAAF) acceptă următoarea funcționalitate:
- Suport pentru Network Slice-Specific Authentication and Authorization, așa cum este specificat în TS 23.502 64 cu un server AAA (AAA-S).
- AAA-S: În autentificarea și autorizarea opțională pentru secțiunea de rețea, un server AAA (AAA-S) poate fi deținut de o întreprindere terță parte externă.
- AAA-P: În scenariul menționat mai sus, dacă AAA-S aparține unei terțe părți, NSSAAF poate contacta AAA-S prin intermediul unui proxy AAA. Funcția NSSAA și AAA-P pot fi colocate.
- EAP-ID: Autentificarea și autorizarea specifică secțiunii de rețea utilizează un ID de utilizator și acreditări, diferite de acreditările de abonament 3GPP (de exemplu, SUPI și acreditările utilizate pentru accesul PLMN) și au loc după autentificarea primară (65).
- Agent de servicii de securitate NFV (SSA): NFV SSA există atât în domeniul NFVI, cât și în domeniul VNF. NFV SSA în domeniul VNF poate exista ca un VSF separat sau într-un VNF. NFV SSA este responsabil pentru primirea în siguranță a politicii de monitorizare a securității și implementarea acesteia.
- Controller de securitate NFV (SC): NFV SC poate interfața cu alte sisteme de securitate (de exemplu, Security Analytics), baze de date de securitate și alte mecanisme de politici. NFV SC orchestrează politicile de securitate la nivel de sistem. NFV SC acționează ca o terță parte de încredere care are reședința independentă. Un SC NFV gestionează SSA-urile NFV (cum ar fi VSF) pentru a le menține într-o stare consecventă conform politicii specificate. SC facilitează, de asemenea, bootstrapping-ul securizat al SSA-urilor (cum ar fi VSF), gestionarea instanțelor SSA-urilor, împerecherea securizată cu VNFM-urile și EM-urile SSA, personalizarea SSA-urilor, managementul politicilor, afirmarea integrității, gestionarea acreditărilor, facilitarea grupării mai multor SSA într-un dispozitiv distribuit, monitorizarea de SSA pentru eșec și remediere.
- Furnizor de servicii de securitate NFV (SSP): NFV SSP este cuprins în VIM și VNFM și este responsabil pentru orchestrarea politicii de monitorizare a securității primite de la Controlerul de Securitate (NFV SC) și interacțiunea cu diferitele componente VIM/VNFM pentru a implementa politica în diferite sisteme care cuprind NFVI/VNF. În plus, NFV SSP este, de asemenea, responsabil pentru primirea datelor de telemetrie de la diferite SSA NFV și, opțional, pentru realizarea unor analize pe baza acestor date.
- Baza de date de monitorizare a securității NFV: NFV SecM-DB este o bază de date securizată constând din date de securitate utilizate pentru implementarea monitorizării securității la nivelul întregului sistem NFV. Aceasta include politica și configurațiile de monitorizare a securității, acreditările de securitate pentru facilitarea comunicațiilor securizate între diferitele componente de monitorizare a securității și acreditările pentru stocarea securizată a telemetriei, inclusiv politicile de securitate specifice locatarului.
- Baza de date de catalog SA/VSF (VSF-NVNF-CAT): NFV VSF-VNF-CAT este un depozit pentru agenții de servicii de securitate, cum ar fi VNF-urile Virtual Security Functions (VSF). Catalogul are capacitatea de a adăuga și elimina pachete și/sau imagini SSA (VSF) și include, de asemenea, un VSF VNFD (VNF Descriptor) care conține metadate și informații despre acel VSF VNF. Odată ce pachetul sau instanța SSA (VSF) este adăugată la catalog, aceasta devine disponibilă pentru orchestrare.
- DB de audit: NFV AUD-DB este o bază de date securizată constând din informații de audit de securitate.
- Sistem de analiză de monitorizare a securității: Sistemul Security Monitoring Analytics primește în siguranță telemetria Security Monitoring din toate sistemele NFV, inclusiv MANO și toate NFVI-urile care pot fi distribuite geografic. Sistemul de analiză aplică tehnici avansate de învățare automată pe telemetrie pentru a realiza detectarea avansată a anomaliilor de securitate și a amenințărilor emergente în sistem. De asemenea, acest sistem poate declanșa acțiuni de remediere prin SC NFV.
- Identificator ascuns al abonamentului (SUCI): Un identificator de abonament de o singură utilizare, care conține Scheme-Output și informații suplimentare neascunse necesare pentru rutarea rețelei de domiciliu și utilizarea schemei de protecție.
- Identificator permanent de abonament (SUPI): În 5G, tuturor abonaților li se va aloca un SUPI 5G unic la nivel global. Exemplele de formate SUPI includ IMSI și NAI (Network Access Identifier)
- Vector de autentificare: Un vector format din RAND, token de autentificare (AUTN) și Hash Expected RESponse (HXRES).
- Cheie de ancorare: Cheia de securitate KSEAF furnizată în timpul autentificării și utilizată pentru derivarea cheilor de securitate ulterioare.
- Ierarhie cheie: Ierarhia cheii criptografice derivate din Anchor Key, (așa cum este definită în ETSI TS 133 50166 secțiunea 6.2.). Include următoarele chei: KAUSF, KSEAF, KAMF, KNASint, KNASenc, KN3IWF, KgNB, KRRCint, KRRCenc, KUPint și KUPenc.
Note
(62) 3GPP TS 33.501 V16.4.0 (2020-09) Security architecture and procedures for 5G system (Release 16) https://www.3gpp.org/ftp/Specs/archive/33_series/33.501/33501-g40.zip, accesat octombrie 2020.
(63) https://www.researchgate.net/profile/Andreas_Kunz2/publication/319527681_Overview_of_5G_security_in_3GPP/links/59b116d80f7e9b37434a8248/Overview-of-5G-security-in-3GPP.pdf, accesat octombrie 2020.
(64) 3GPP TS 23.502 V16.5.1 (2020-08) Technical Specification 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Procedures for the 5G System (5GS); Stage 2 (Release 16), https://www.3gpp.org/ftp/Specs/archive/33_series/33.501/33501-g40.zip, accesat octombrie 2020.
(65) 3GPP TS 33.501 V16.3.0 (2020-07) Technical Specification 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system (Release 16), https://www.3gpp.org/ftp/Specs/archive/33_series/33.501/33501-g40.zip, accesat octombrie 2020.
(66) https://www.etsi.org/deliver/etsi_ts/133500_133599/133501/15.01.00_60/ts_133501v150100p.pdf, accesat octombrie 2020
Sursa: Enisa Threat Landscape for 5G Network – Threat assessment for the fifth generation of mobile telecommunications networks (5G), November 2019. © European Union Agency for Cybersecurity (ENISA), 2019. Traducere și adaptare independente de Nicolae Sfetcu
© 2021 MultiMedia Publishing, Rețele de comunicații 5G, Volumul 1
Lasă un răspuns