Безопасный переход к 5G: требуется ли новая SIM-карта?

Чтобы понять контекст этого вопроса, давайте кратко обсудим различные типы SIM-карт. Под «SIM-картами» мы подразумеваем те смарт-карты, которые используются в мобильных сетях. В 2G смарт-карта называется модулем идентификации абонента (SIM), который представляет аппаратное и программное обеспечение вместе.

Несмотря на то, что эти SIM-карты также можно использовать в системах 3G, для повышения безопасности системы 3G используют более новую смарт-карту с разделением программного и аппаратного обеспечения. Универсальный модуль идентификации абонента (USIM) является одним из нескольких программных приложений, которые находятся в аппаратной части, называемой универсальной интегральной платой (UICC).

В этом посте мы называем эти новые смарт-карты Rel 99+ USIM, которые совместимы с 3GPP Release 1999 (первые спецификации 3G) и после. Эти Rel 99+ USIM могут использоваться для доступа к мобильным сетям любого поколения, включая 5G. Такая обратная и прямая совместимость достигается благодаря тщательно продуманной разгрузке некоторых вычислений и хранилищ на мобильные телефоны.

Хотя доступ к системе 5G — это одно, у нас возникает вопрос, требует ли использование «новых» функций безопасности и конфиденциальности 5G нового типа USIM, отличного от Rel 99+ USIM, которые можно использовать для безопасности 4G. Это действительный вопрос, который мы рассмотрим ниже. Для краткости в этом посте мы не будем касаться других новых функций в 5G, которые не касаются USIM.

Идентификация и управление доступом (IdaM)

В 5G постоянный идентификатор подписки (SUPI) может быть в двух форматах, один из которых является унаследованным форматом, называемым международной идентификацией абонента мобильной связи (IMSI), а другой — недавно принятый в 5G формат, называемый идентификатором доступа к сети (NAI). Кроме того, 5G предоставляет как минимум два метода аутентификации и согласования ключей (AKA) для доступа к сети.

Один такой метод, 5G AKA, является развитием метода аутентификации в 4G. Еще один, называемый EAP-AKA ‘, — это метод, широко распространенный в настоящее время в 5G для более широкого использования инфраструктуры расширяемого протокола аутентификации (EAP).

В любом случае, с точки зрения IdaM, USIM Rel 99+, которые можно использовать в 4G, по-прежнему совместимы с 5G, поскольку их можно использовать для аутентификации и получения доступа к системе 5G. Основной причиной такой прямой совместимости является тот факт, что нет необходимости в новом постоянном ключе безопасности, совместно используемом между USIM и сетью.

Другая причина заключается в том, что более новые системы хранения и вычисления, необходимые для новых функций безопасности, могут быть выгружены на мобильные телефоны, например, для расчета ответа нового типа AKA и новых ключей сеанса.

Принятие структуры EAP в 5G означает, что для изолированных развертываний возможно использование других методов, помимо EAP-AKA ‘, таких как протокол расширенного уровня аутентификации — безопасность транспортного уровня (EAP-TLS). В этих случаях это может быть так, что роль USIM будет пропущена. Стоит также отметить, что, как и в сетях 4G, любые смарт-карты старше Rel 99+ USIM (которые могут называться Rel 98-SIM) не могут использоваться для доступа к 5G.

Конфиденциальность

5G представила значительные улучшения конфиденциальности с точки зрения того, как используются постоянные и временные идентификаторы.

Давайте сначала обсудим наиболее важный из них — использование скрытого идентификатора подписки (SUCI). SUCI, который в основном скрывает SUPI в эфире, может быть рассчитан с использованием стандартизированных схем, таких как так называемый Профиль A и Профиль B.

Он также требует некоторых новых параметров, таких как открытый ключ домашней сети, идентификатор схемы и индикатор маршрутизации. , Хотя расчеты SUCI с использованием профиля A / B можно выгружать на мобильные телефоны, стандарты разрешают только сохранение новых параметров в USIM. Для краткости в этом посте мы не будем обсуждать проприетарный вариант, в котором вычисление SUCI может быть выполнено в USIM с использованием нестандартизированных схем.

Следовательно, USIM Rel 99+ можно использовать для хранения параметров, необходимых для расчета SUCI с использованием профиля A / B, учитывая, что они поддерживают создание необходимых файлов (DF5GS / EFSUCI_Calc_Info / EFRouting_Indicator).

Это также верно для USIM Rel 99+, уже находящихся в полевых условиях, т. Е. Если они поддерживают некоторые механизмы, такие как дистанционное управление файлами по беспроводной сети (OTA), то их можно использовать для хранения параметров, необходимых для расчета SUCI с помощью профиля A / B.

В противном случае SUCI будет рассчитываться мобильными телефонами с использованием так называемой «нулевой схемы», которая является фиктивной схемой и не скрывает SUPI. Другими словами, Rel 99+ USIM, которые не могут хранить новые параметры, необходимые для вычисления SUCI, все еще могут быть использованы для получения доступа к системе 5G, но без возможности скрыть SUPI через эфир.

Обратите внимание, что в 5G есть и другие улучшения конфиденциальности, такие как строгое обновление временных идентификаторов, отделение постоянных идентификаторов от процедур пейджинга и частичная защита конфиденциальности исходных сообщений. Для этих функций роль USIM не требуется в стандартах.

Управление роумингом (SoR) и обновление параметров UE (UPU)

SoR и UPU — две новые процедуры в 5G между мобильными телефонами и домашней сетью. Эти новые процедуры позволяют домашней сети обновлять параметры конфигурации в мобильных телефонах и / или USIM с использованием сигнализации плоскости управления. Это означает, что в 5G домашняя сеть имеет альтернативу существующим механизмам, таким как обновления по беспроводной сети (OTA), которые используют SMS в качестве транспорта.

Помимо обработки так называемого «защищенного пакета», который мобильные телефоны могут в основном передавать на USIM, объем процедур SoR и UPU включает в себя такие параметры, как управляемый оператором селектор PLMN с технологией доступа, настроенная по умолчанию информация о помощи выбора сегмента сети (NSSAI) и индикатор маршрутизации.

Обработка новой сигнализации плоскости управления, включая безопасность, например, расчет и проверка новых токенов безопасности, передается на мобильные телефоны. Кроме того, в некоторых случаях хранение параметров также выгружается на мобильные телефоны, такие как настроенный по умолчанию NSSAI и копия мобильного телефона управляемого оператором селектора PLMN с технологией доступа.

Поэтому в таких случаях специальная поддержка со стороны USIM не требуется для SoR и UPU в 5G, что означает, что можно использовать Rel 99+ USIM.

Однако есть и другие случаи, когда сохранение новых / обновленных параметров все еще выполняется в USIM, например, индикатор маршрутизации (EFRouting_Indicator), копия USIM управляемого селектором PLMN с технологией доступа (EFOPLMNwACT) и любая обработка файлов, выполняемая » защищенный пакет «. Даже тогда USIM Rel 99+ по-прежнему совместимы с SoR и UPU в 5G, учитывая, что они поддерживают необходимые операции управления файлами.

Итог

Подводя итог, мы обсудили влияние на USIM с помощью соответствующих функций безопасности и конфиденциальности, которые являются новыми в 5G.

Во-первых, с точки зрения IdaM, Rel 99+ USIM, которые можно использовать для 4G, все еще совместимы для получения доступа в 5G.

Во-вторых, что касается конфиденциальности SUPI, можно использовать USIM Rel 99+ для расчета SUCI с помощью профиля A / B, если они поддерживают необходимые операции управления файлами. Что касается других функций конфиденциальности, Rel 99+ USIM полностью совместимы в своей текущей форме.

Наконец, с точки зрения процедур SoR / UPU, USIM Rel 99+ совместимы в своей текущей форме только в некоторых случаях, в то время как в других случаях совместимость будет зависеть от их поддержки необходимых операций управления файлами.

Уместно упомянуть, что, в конце концов, вопрос о том, является ли / как использовать вышеупомянутые новые функции безопасности и конфиденциальности, входит в компетенцию оператора сети, и, следовательно, даже в худшем случае они не будут запрещать доступ к множество других основных функций 5G.

Технические примечания

  • Часть IdaM — Форматы SUPI (IMSI и NAI) определены в 3GPP TS 23.003, см. Пункты 2.2A, 2.2 и 28.7.2. Новый тип ответа AKA называется RES *, а новые сеансовые ключи называются KAUSF и KSEAF. См. Пункты 6.1 в 3GPP TS 33.501 для получения подробной информации. В Приложении B этого TS вы также найдете подробную информацию об использовании EAP-TLS
  • Часть конфиденциальности — Форматы SUCI определены в пунктах 2.2B и 28.7.3 в 3GPP TS 23.003. Пункт 6.12 и Приложение C в 3GPP TS 33.501 содержат основные детали конфиденциальности идентификатора подписки. Пункт 4.4.11 в 3GPP TS 31.102 определяет файлы USIM, специфичные для 5G
  • Часть SoR / UPU — новые маркеры безопасности называются SoR-MAC-IAUSF, UPU-MAC-IAUSF, SoR-MAC-IUE и UPU-MAC-IUE. См. Основные подробности SoR и UPU, которые можно найти в пунктах 6.14 и 6.15 в 3GPP TS 33.501, в Приложении C в TS 23.112 и в пункте 4.20 в TS 23.502

Мы хотим поблагодарить наших замечательных коллег за их ценный вклад — Веса Торвинен, Ноамен Бен Хенда, Кристин Йост, Моника Вифвессон, Питер Хедман, Иво Седлачек, Ева Фогельстрем.

Источник: https://www.ericsson.com/

Ссылка на основную публикацию
Adblock
detector