Sumário
Overview da Arquitetura de Segurança
Para lidar com os desafios de segurança das redes 5G, o 3GPP Release 15 introduziu uma nova arquitetura de segurança. A figura acima ilustra os elementos de rede envolvidos na arquitetura de segurança 5G em um cenário de roaming, onde o UE está em uma rede visitada (VPLMN). Nesse contexto, a rede visitada deve utilizar os serviços do UDM e AUSF na rede doméstica do dispositivo 5G (HPLMN).
Na ilustração, as entidades envolvidas na arquitetura de segurança 5G estão destacadas em amarelo.
Componentes da arquitetura de segurança 5G
- SEAF(Security Architecture: Security Anchor Function): atua como intermediário entre um equipamento 5G e a rede doméstica durante o procedimento de autenticação primária e acordo de chaves. Ele interage com a rede doméstica do dispositivo para determinar se aceita ou rejeita a solicitação de autenticação. Durante o procedimento de autenticação, o SEAF recebe uma chave de âncora (chamada KSEAF) do AUSF da rede doméstica. Ele deriva chaves para mais de um contexto de segurança a partir da chave de âncora e as utiliza para reautenticar o device quando ele se move entre diferentes redes de acesso, ou mesmo redes de serviço, sem precisar executar o todo o processo de autenticação novamente. Isso reduz a carga de sinalização na rede doméstica durante os processos de mobilidade. Além disso, utilizando a chave de âncora recebida durante uma autenticação realizada em uma rede de acesso 3GPP, o SEAF também pode fornecer chaves para estabelecer segurança entre o UE e um N3IWF utilizado em um acesso não 3GPP não confiável.
- SIDF(Security Identifier De-concealing Function): Uma entidade dentro do UDM que tem acesso à chave privada associada à chave pública distribuída para os dispositivos criptografarem seus SUPIs. Ela usa essa chave privada para descriptografar o SUCI do dispositivo e obter seu SUPI correspondente. Como apenas o SIDF tem acesso às chaves privadas, os direitos de acesso ao SIDF devem ser definidos de modo que apenas um elemento de rede da rede doméstica esteja autorizado a enviar uma solicitação de serviço a ele.
- ARPF(Authentication Credential Repository and Processing Function): Uma entidade dentro do UDM que armazena as credenciais de autenticação (como a chave K no EPA AKA ou EAP AKA). Com base na identidade do assinante e na política configurada, ela seleciona um método de autenticação para o UE e calcula os tokens de autenticação e as chaves para o AUSF.
- AUSF(Authentication Server Function): Localizado na rede doméstica do dispositivo, ele lida com solicitações de autenticação tanto para acesso 3GPP quanto não 3GPP. O AUSF é a entidade que toma a decisão final sobre a autenticação do UE, dependendo dos tokens de autenticação e chaves que recebe do ARPF.
- SEPP(Security Edge Protection Proxy): Localizado borda das PLMNs, ele implementa segurança na camada de aplicação para todas as informações da camada de serviço trocadas entre duas Funções de Rede (NFs) em PLMNs distintas, por meio do uso da interface N32.
Em resumo, os componentes de segurança da arquitetura 5G trabalham juntos para garantir a autenticação e a segurança das comunicações. O SEAF atua como intermediário entre um dispositivo 5G e a rede doméstica, facilitando a autenticação e o acordo de chaves. Ele recebe uma chave de âncora do AUSF e usa essa chave para reautenticar o dispositivo em diferentes redes, reduzindo a carga de sinalização na rede durante a mobilidade. O SIDF é responsável por descriptografar os identificadores dos dispositivos. O ARPF armazena credenciais de autenticação e seleciona métodos de autenticação. O AUSF lida com solicitações de autenticação e toma a decisão final com base nos tokens recebidos. O SEPP, localizado na borda das PLMNs, implementa segurança na camada de aplicação para informações trocadas entre funções de rede em diferentes PLMNs.
