V prvních dvou dílech jsme popsali nové služby v 5G sítích, jádro sítě a jeho nové rádiové rozhraní 5GC. Poslední díl se zabývá bezpečností 5G sítí.
5G sítě páté generace eMBB uRLLC mMTC
Bezpečnost 5G sítí
Z popisu 5G sítě vyplývá, že jádro 5G sítě (řídící rovina – signalizace) je pomocí architektury CUPS již plně oddělené od uživatelské roviny a data o uživatelích používají centrální úložiště UDR (Unified Data Repository). Jádro 5G sítě je již v návrhu plně připraveno na virtualizaci a je možno ho provozovat pomocí virtualizace a v cloudu. Všechna komunikace v jádru 5G sítě je založena na protokolu RESTful API.
Rádiovou část je možno také částečně virtualizovat pomocí jednotky BBU (Baseband Unit) a připojit pomocí rozhraní CPRI (Common Public Radio Interface) k RRH (Remote Radio Head). Komunikace mezi gNB a UPF (rozhraní N3) je šifrována a přenášena pomocí GTP-U tunelu.
Zabezpečení jádra sítě 5G
Použití SBA (Service Based Architecture) také zavedlo ochranu na vyšších protokolových vrstvách (tj. transportní a aplikační), navíc k ochraně komunikace mezi entitami jádrové sítě na vrstvě internetového protokolu (IP) (typicky IPsec). Proto funkce základní sítě 5G podporují nejmodernější bezpečnostní protokoly, jako je TLS 1.2 (Transport Layer Security), TLS 1.3 pro ochranu komunikace na transportní vrstvě a rámec OAuth2 na aplikační vrstvě, aby bylo zajištěno, že přístup k nim budou mít pouze autorizované síťové funkce.
Pokud komunikace probíhá mezi dvěma různými jádry v různých sítích, např. v případě roamingu, tak komunikace probíhá prostřednictvím SEPP (Security Edge Protection Proxy). Veškerá signalizace mezi operátory bude procházet těmito bezpečnostními proxy. Dále je vyžadována autentizace mezi jednotlivými SEPP. To umožňuje efektivní filtrování provozu přicházejícího z mezioperátorského propojení.
Nové bezpečnostní řešení aplikační vrstvy na rozhraní N32 mezi SEPP bylo navrženo tak, aby poskytovalo ochranu citlivých datových atributů a zároveň umožňovalo mediační služby v celém propojení.
Hlavními součástmi zabezpečení SBA jsou autentizace a ochrana přenosu mezi síťovými funkcemi pomocí TLS, autorizační rámec využívající OAuth2 a vylepšené zabezpečení propojení pomocí nového bezpečnostního protokolu navrženého 3GPP (při komunikaci mezi sítěmi).
Obr. 1: Propojení 5G sítí pomocí SEPP
Modelu důvěry v 5G sítích a jeho evoluce
Po přechodu od NSA (Non-Standalone architecture) 5G sítí v SA (Standalone architecture) 5G sítě se model důvěry značně vyvinul. Důvěra v rámci sítě se považuje za klesající, čím dále se člověk vzdaluje od jádra. To má dopad na rozhodnutí přijatá v návrhu zabezpečení 5G.
Model důvěry v UE je poměrně jednoduchý: existují dvě důvěryhodné domény, karta UICC (Universal Integrated Circuit Card), která je odolná proti neoprávněné manipulaci, na níž je nahrána aplikace USIM (Universal Subscriber Identity Module). V ní jsou umístěny privátní klíče a mobilní zařízení ME (Mobile Equipment). ME a USIM dohromady společně tvoří UE (User Equipment).
Model důvěry v 5G sítích je vícevrstvý a lze si jej představit jako cibuli.
Obr. 2: Model důvěry v 5G síti dle 3GPP
Rádiová přístupová síť RAN (Radio Access Network) je rozdělena na jednotky gNB-DU (gNodeB-Distributed Unit) a řídící jednotky gNB-CU (gNodeB-Control Unit). Dohromady gNB-DU a gNB-CU společně tvoří celou gNodeB základnovou stanici pro 5G sítě. Jednotka gNB-DU nemá žádný přístup k zákaznické datové komunikaci, a proto může být nasazena na nekontrolovaných místech sítě.
Uživatel následně nemá žádný přístup ke komunikaci se zákazníky, protože může být nasazen na nehlídaných místech. CU a Non-3GPP Inter Working Function (N3IWF – neznázorněno na obrázcích), která ukončuje zabezpečení Access Stratum (AS), budou nasazeny na místech s omezenějším přístupem. gNB-CU a jednotka N3IWF (non-3GPP Interworking Function), která ukončuje zabezpečení AS (Access Stratum), by měly být nasazeny v lokalitách s omezenějším přístupem.
V jádru sítě slouží jednotka AMF (Access Management Function) jako koncový bod signalizace pro zabezpečený NAS (Non-Access Stratum). V současné době, tj. ve specifikaci 3GPP 5G Phase 1, je AMF spojen s funkcí SEAF (SEcurity Anchor Function), která drží kořenový klíč (známý jako kotevní klíč – anchor key) pro navštívenou síť. Bezpečnostní architekturu je možno do budoucna rozvíjet, protože umožňuje oddělení SEAF a AMF, což by mohlo být možné v budoucím vývoji systémové architektury.
V jednotce AUSF (Authentication Function) je uchováván klíč pro opětovné použití, odvozený po ověření, v případě současné registrace UE v různých technologiích přístupové sítě, tj. v přístupových sítích 3GPP a přístupových sítích jiných než 3GPP, jako je například IEEE 802.11 WLAN tedy Wi-Fi.
Authentication credential Repository and Processing Function (ARPF) uchovává autentizační údaje tedy klíče, podobně jako USIM na straně klienta.
Všechny informace o účastnících jsou uloženy v úložišti (UDR) Unified Data Repository. UDM (Unified Data Management) využívá předplatitelská data uložená v UDR a implementuje aplikační logiku k provádění různých funkcí, jako je generování autentizačních pověření, identifikace uživatele, kontinuita služeb a relace atd. Bezdrátové rozhraní, aktivní i pasivní útoky jsou brány v úvahu jak na úrovni kontroly, tak na úrovni uživatele. Soukromí se stává stále důležitějším, což vede k tomu, že trvalé identifikátory jsou udržovány v tajnosti přes bezdrátové rozhraní.
V roamingové architektuře jsou domácí a navštívená síť propojeny prostřednictvím proxy SEPP (SEcurity Protection Proxy), které zajišťují propojení řídicí roviny (signalizace) mezi sítěmi. Tato vylepšená architektura se zavádí v 5G kvůli počtu útoků, které se množí, jako jsou krádeže klíčů a útoky v signalizační SS7 síti, falšování zdrojové adresy v signalizačních zprávách v DIAMETER, které zneužívaly důvěryhodnou povahu mezisíťového propojení.
Ochrana integrity uživatelské roviny
V 5G byla jako nová funkce zavedena ochrana integrity uživatelské roviny (UP) mezi zařízením (UE) a základnovou stanicí (gNB). Stejně jako funkce šifrování je podpora funkce ochrany integrity povinná na zařízeních i gNB, zatímco použití je volitelné a pod kontrolou operátora.
Je dobře známo, že ochrana integrity je náročná na zdroje a že ne všechna zařízení ji budou schopna podporovat při plné rychlosti přenosu dat. Systém 5G proto umožňuje vyjednávání o tom, které sazby jsou pro danou funkci vhodné. Pokud např. zařízení udává maximální datovou rychlost 64 kbit/s pro provoz chráněný integritou, pak síť zapne ochranu integrity pouze pro připojení UP, kde se neočekává, že rychlost přenosu překročí limit 64 kbit/s.
Obr. 3: NG-RAN a 5GC
Bezpečnost 5G sítí na rádiovém rozhraní
V telekomunikačních systémech operátor sítě přiděluje každé SIM kartě jedinečný identifikátor známý od 2G až do 4G jako IMSI (International Mobile Subscriber Identity) a pro 5G sítě jako SUPI (Subscription Permanent Identifier). Protože autentizace mezi uživatelem a jeho poskytovatelem sítě je založena na sdíleném symetrickém klíči, může k němu dojít až po identifikaci uživatele. Pokud jsou však hodnoty IMSI/SUPI odesílány jako prostý text prostřednictvím rádiového přístupového spojení, lze uživatele identifikovat, lokalizovat a sledovat pomocí těchto trvalých identifikátorů.
Aby se předešlo tomuto narušení soukromí, mobilní síť přiděluje USIM kartě dočasné identifikátory v sítích 2G a 3G jako TMSI (Temporary Mobile Subscriber Identity) a GUTI (Global Unique Temporary Identifier) pro systémy 4G a 5G. Tyto často se měnící a dočasné identifikátory se pak používají pro účely identifikace přes rádiový interface. Existují však určité situace, kdy autentizace pomocí dočasných identifikátorů není možná, např. když se uživatel poprvé registruje do mobilní sítě a ještě mu není přidělen dočasný identifikátor. Jiný případ je, když navštívená síť nedokáže identifikovat uživatele (tedy jeho IMSI či SUPI) prezentovaného TMSI/GUTI.
Aktivní protivník typu „man-in-the-middle“ může záměrně simulovat tento scénář, aby donutil nic netušícího uživatele odhalit svou dlouhodobou identitu. Tyto útoky jsou známé jako „IMSI catching“ a přetrvávají v dnešních mobilních sítích včetně 4G LTE/LTE-Advanced.
Řešení IMSI Catchers v 5G
Útok zachycení IMSI ohrožuje všechny generace mobilních sítí (2G/3G/4G) po celá desetiletí. V důsledku zpětné kompatibility tento problém ochrany osobních údajů přetrvává i v 4G sítích. 3GPP se však rozhodl tento problém řešit u 5G i za cenu zpětné kompatibility. V případě selhání identifikace prostřednictvím 5G-GUTI, na rozdíl od dřívějších generací, bezpečnostní specifikace 5G neumožňují přenosy SUPI v prostém textu přes rádiové rozhraní. Namísto toho se přenáší přes eliptické křivky integrované šifrovací schéma (ECIES) založené na identifikátoru pro ochranu soukromí, který obsahuje skryté SUPI. Toto skryté SUPI je známé jako SUCI (Subscription Concealed Identifier).
SUPI (Subscription Permanent Identifier) je globálně jedinečný identifikátor přidělený každému účastníkovi a definovaný ve specifikaci 3GPP TS 23.501. SUPI je uložen u účastníka na jeho USIM a v mobilní síti na UDM/UDR v 5G Core.
Platné SUPI může mít následující formát:
- IMSI (International Mobile Subscriber Identifier) definovaný v TS 23.503 pro 3GPP RAT.
- NAI (Network Access Identifier), jak je definováno v RFC 4282 na základě identifikace uživatele, definovaný v TS 23.003 pro non-3GPP RAT.
SUPI je obvykle řetězec 15 desetinných číslic. První tři číslice představují mobilní kód země (MCC), zatímco další dvě nebo tři tvoří kód mobilní sítě (MNC) identifikující operátora sítě v dané zemi. Zbývajících devět nebo deset číslic je známých jako Mobile Subscriber Identification Number (MSIN) a představují jednotlivého účastníka konkrétního operátora. SUPI je tedy ekvivalent IMSI, které jedinečně identifikuje mobilní zařízení.
SUCI je identifikátor chránící soukromí a obsahuje skryté SUPI. UE generuje SUCI pomocí schématu ochrany založeného na ECIES s veřejným klíčem domovské sítě, který byl bezpečně poskytnut USIM během registrace USIM.
Ochranným schématem je skryta pouze MSIN část SUPI, zatímco identifikátor domácí sítě, tj. MCC/MNC, je přenášen v prostém textu. Pokud jsou v 5G síti použity identifikátory SUCI (Subscription Concealed Identifier) a SUPI (Subscription Permanent Identifier) a šifrování 5G, pak nehrozí problém, který měly sítě 2G, 3G a 4G – odchycení IMSI v případě 2G sítí fake BTS (základnová stanice).
Identifikátor SUPI (tedy vlastně IMSI) se tedy v mobilní síti páté generace nikdy nepřenáší v otevřené formě, jako tomu bylo u sítí 2G, 3G a 4G.
Nové bezpečnostní prvky 5G sítí
- Nové šifrování a ověřování uživatele založené na 3GPP/ non-3GPP (EPA-AKA/5G-AKA).
- Architektura založená na službách využívajících IPsec a autorizaci pomocí 0Auth2.0.
- Integrita a bezpečnost ochrany signalizace (řídící roviny) a uživatelské roviny.
- Bezpečné propojení a spolupráce mezi VPLMN a HPLMN na síťové a aplikační vrstvě pomocí SEPP (Security Edge Protection Proxy).
- Ochrana soukromí (SUPI je vždy chráněno veřejným klíčem a není přenášeno textově).
Možné útoky v 5G síti
Je třeba chránit celý 5G Core (zejména pak prvky UDM, UDR, AUSF, AMF, UPF, PCF, SMF) jak pomocí FW, tak při mezioperátorském propojení pomocí SEPP (Security Edge Protection Proxy). Všechny prvky v 5G core jsou v architektuře SBA (Service-Based Architecture) připojeny pomocí sběrnice SBI (Service Based Interface). Jádro sítě je chráněno důsledným oddělením od uživatelské roviny a je zde použito šifrování IPsec a autorizace pomocí 0Auth2.0.
Rádiové rozhraní 5G NR je bezpečnější díky šifrovanému přenosu identity – SUPI, které je vždy šifrováno veřejným klíčem, takže nehrozí jeho odchycení. Pokud je tedy v síti správně nastavené šifrování EPA-AKA nebo 5G-AKA, pak nehrozí možnost zachycení hovoru nebo čísla, případně datové komunikace.
Závěr
Z našeho seriálu o 5G sítích je zřejmé, že 5G sítě urazily ve vývoji další velký krok, a to jak v nových službách, tak z hlediska vyšší bezpečnosti. Velké možnosti nabízí otevřená struktura jádra sítě díky rozhraní RESTful API a Service Based Architecture. Nové jádro sítě umožňuje díky Network Exposure Function snadný vývoj aplikací třetích stran. Network Slicing nabízí další možnosti přizpůsobení sítě pro konkrétní aplikace a služby. A v neposlední řadě nové rádiové rozhraní 5G NR nabízí efektivnější využití rádiového spektra a vyšší rychlosti jak na straně uploadu, tak downloadu, a to vše při nižší latenci.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
