Введение

Концепция безопасности мобильных сетей связи пятого поколения (далее 5G) основывается на переиспользовании соответствующих технологий, принятых в стандарте 4G-LTE. На Рис. 1 приведена общая архитектура построения ядра сети 5G. Темным цветом на ней выделены функциональные объекты, реализующие механизмы обеспечения безопасности:
1. Security Anchor Function (SEAF) – якорная функция безопасности.
2. Authentication Server Function (AUSF) – функция сервера аутентификации.
3. Authentication Credential Repository and Processing Function (ARPF) – функция репозитория и обработки учетных данных аутентификации.
4. Security Context Management Function (SCMF) – функция управления контекстом безопасности.
5. Security Policy Control Function (SPCF) – функция управления политикой безопасности.
6. Subscription Identifier De-concealing Function (SIDF) – функция извлечения идентификатора пользователя.

Рис. 1 (архитектура построения опорной сети 5G)

На первой фазе предполагается совмещение функций SEAF, SCMF и SPCF с модулем управления доступом и мобильностью (AMF); функций ARPF и SIDF с унифицированной базой данных (UDM).

Якорная функция безопасности (SEAF)
Во взаимодействии с AUSF обеспечивает аутентификацию пользовательского терминала (UE) при его регистрации в сети (attach) для любой технологии доступа. Отмечу, что в 4G-LTE использование non-3GPP доступа предполагало реализацию функции, аналогичной SEAF, в ePDG – для недоверенного доступа и в TWAG – для доверенного.
Функция аутентификации (AUSF)
Играет роль сервера аутентификации, терминируя запросы от SEAF и транслируя их в ARPF. Может быть совмещена с репозиторием учетных данных аутентификации (ARPF).
Репозиторий учетных данных аутентификации (ARPF)
Обеспечивает хранение персональных секретных ключей (KI) и параметров криптографических алгоритмов, а также генерацию векторов аутентификации в соответствии с алгоритмами 5G-AKA или EAP-AKA'. Размещается в защищенном от внешних физических воздействий ЦОД домашнего оператора связи и, как правило, интегрируется с унифицированной базой данных (UDM).
Функция управления контекстом безопасности (SCMF)
Обеспечивает управление жизненным циклом контекста безопасности (5G security context).
Модуль управления политикой безопасности (SPCF)
Обеспечивает согласование и применение политик безопасности в отношении конкретных терминалов пользователя (UE). При этом в расчет принимаются возможности сети, возможности UE и требования конкретной услуги (например, уровни защиты, которые должны быть обеспечены абонентам сервиса критических коммуникаций и абонентам беспроводного ШПД могут разительно отличаться). Применение политик безопасности включает в себя: выбор AUSF, выбор алгоритма аутентификации, выбор алгоритмов шифрования данных и контроля целостности, определение длины и жизненного цикла ключей.
Функция извлечения идентификатора пользователя (SIDF)
Обеспечивает извлечение постоянного идентификатора подписки абонента на услуги (5G SUPI) из скрытого идентификатора (SUCI), полученного в рамках запроса процедуры аутентификации "Auth Info Req".
В целом концепция безопасности сетей 5G включает в себя:
1) Аутентификацию пользователя со стороны сети.
2) Аутентификацию сети со стороны пользователя.
3) Согласование криптографических ключей между сетью и пользовательским терминалом.
4) Шифрование и контроль целостности сигнального трафика на уровне RRC (между UE и gNb).
5) Шифрование и контроль целостности сигнального трафика на уровне NAS (между UE и AMF).
6) Шифрование и контроль целостности пользовательского трафика (между UE и gNb).
7) Защиту идентификатора пользователя.
8) Защиту интерфейсов между различными элементами сети в соответствии с концепцией сетевого домена безопасности, описанного в рекомендации 3GPP TS 33.310, в т.ч. защиту интерфейсов N2, N3 и Xn.
9) Изоляцию различных слоев архитектуры Network slicing и определение для каждого слоя собственных уровней безопасности.
10) Защиту сигнального и пользовательского трафика между eNb сети 4G-LTE и gNb сети 5G в рамках "Option 3" сценария миграции 4G к 5G, включая согласование криптографических ключей, шифрование и контроль целостности.
11) Аутентификацию пользователя и защиту трафика на уровне конечных сервисов (IMS, V2X – Vehicle to Everything, IoT, ...).