j'ai compris

[Introduction à la 5G] Principales menaces et réponse à la sécurité de l'interface aérienne 5G

publié il y a  2021-6-18 22:23:53 227 0 1 0 0

Dans un réseau 5G, le port Uu entre l'UE et gNodeB est une interface publique ouverte qui peut être utilisée par des attaquants pour attaquer le réseau 5G. quelles sont les principales menaces pour la sécurité des parachutages 5G ? Comment se défendre contre la menace de sécurité de l'écoute et de la falsification des données ? Nous vous présenterons ensuite.

Les principales menaces pour la sécurité des aéroports 5G sont présentées dans la figure.

5G

Attaque de la pseudo-station de base

Sur les réseaux 2G, 3G et 4G, l'identité internationale d'abonné mobile (IMSI) identifie de manière unique un abonné ou un appareil mobile. L'IMSI est l'identité permanente d'un abonné. L'IMSI peut être utilisé pour associer l'abonné au processus d'accès au réseau de l'abonné. Les IMSI sont transmis en clair sur les réseaux 2G, 3G et 4G et peuvent être obtenus par des méthodes d'attaque telles que IMSI Catcher. En conséquence, des informations d'identité personnelle sont divulguées. Si un attaquant obtient l'IMSI d'un UE à l'avance et utilise le faux eNodeB pour falsifier des messages de signalisation, l'attaquant peut déterminer si l'UE se trouve à proximité du faux eNodeB sur la base du message de réponse de l'UE. De cette façon, l'attaquant peut tracer l'emplacement de l'UE de manière illégale.

Sur un réseau 5G, un identifiant permanent d'abonnement (SUPI) est utilisé pour identifier de manière unique un abonné mobile ou un terminal. Le SUPI se compose d'un IMSI ou d'un identifiant d'accès au réseau (NAI). Sur les réseaux 5G, les SUPI sont cryptés dans des identifiants cachés d'abonnement (SUCI) pour la transmission afin de se défendre contre les attaques de pseudo-stations de base.


5G

Accès utilisateur non autorisé

Lorsque des UE non autorisés accèdent au réseau sans authentification, les ressources du réseau sont consommées. Si un attaquant utilise un grand nombre d'UE non autorisés pour attaquer le réseau, une congestion du réseau, un déni de service (DoS) et des pannes de périphérique réseau peuvent se produire.


La 5G et la 4G prennent en charge l'authentification bidirectionnelle pour les UE et les réseaux. La différence entre la 5G est que la 5G normalise les méthodes d'authentification 3GPP et non-3GPP et fournit une architecture d'authentification unifiée pour s'adapter à différents types d'UE et types d'accès réseau. De plus, la 5G utilise de meilleures méthodes d'authentification pour améliorer la sécurité d'accès à l'interface radio.

5G

Dans l'architecture d'authentification 5G, les principales NF (fonctions réseau) liées à l'authentification sont

UDM (Unified Data Management) et ARPF (Authentication Credential Repository and Processing Function) : déploiement unifié pour générer des paramètres d'authentification 5G et des vecteurs d'authentification basés sur la clé racine de l'utilisateur stockée et les données contractuelles liées à l'authentification.

  • AUSF (fonction de serveur d'authentification) : sélectionne la méthode d'authentification appropriée en fonction des différents types d'accès au réseau.

  • AMF (fonction de gestion des accès et de la mobilité) et SEAF (Security Anchor Function) : déploiement unifié, selon la dérivation de la clé d'ancrage de la clé de couche inférieure, dans la méthode d'authentification 5G AKA pour compléter la confirmation du résultat de l'authentification du réseau de service.

Attaque DDoS par interface aérienne

Les attaques par déni de service distribué (DDoS) permettent à plusieurs systèmes compromis d'attaquer un seul système cible. Une grande quantité d'informations circule vers le système cible, occupant des ressources du système cible. En conséquence, le système cible est surchargé et refuse de fournir des services aux autres utilisateurs.


La méthode anti-DDoS consiste à atténuer les risques DDoS sur l'interface radio en fonction du trafic.

  • Fournit des mécanismes tels que l'interruption, la surcharge et l'interdiction d'accès. Lorsque le RAN ou le réseau central est surchargé, l'eNodeB demande aux UE de retarder l'accès ou de rejeter l'accès d'un certain type de service.

  • Surveille la charge du réseau et l'utilisation de la bande passante. Si la charge du réseau est trop élevée ou si une congestion se produit, supprimez de manière aléatoire les paquets en fonction du type d'accès ou du type de support.

Écoute ou falsification de données

Selon la définition 3GPP TS 33.501, la signalisation RRC (contrôle des ressources radio) et les données du plan utilisateur entre l'UE et gNodeB prennent en charge le cryptage et la protection de l'intégrité pour empêcher le plan de signalisation RRC et les données du plan utilisateur d'être espionnées ou falsifiées.


Parmi eux, la protection de l'intégrité du plan utilisateur est une nouvelle fonctionnalité ajoutée à la 4G pour empêcher la falsification des données du plan utilisateur. Pendant ce temps, la 5G augmente la longueur de la clé de cryptage et de protection de l'intégrité pour se défendre contre les futurs risques informatiques quantiques.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.