Заключение

Сегодня мы являемся свидетелями настоящего бума развития информационных технологий. Банковский сектор, управление технически сложными и опасными объектами, решение задач жизнеобеспечения населения, умные города, автомобили без водителей, телемедицина и наконец элементарные датчики парковки или загрузки мусорных контейнеров – вот лишь беглый список примеров повсеместного проникновения ИТ. И в этой ситуации вопросы безопасности в целом и безопасности сетей доступа в частности выходят на первый план. Мы рассмотрели лишь "костяк" архитектуры 5G-security. "За бортом" остался большой пласт вопросов, связанных с конкретными сервисами, реализуемыми поверх сетей 5G, включая:
1) Сервис взаимодействия автомобильного транспорта (V2X – Vehicle to Everything) с другими участниками дорожного движения (V2V – Vehicle to Vehicle) и дорожной инфраструктурой (V2I – Vehicle to Infrastructure) накладывает серьёзные требования в т.ч. на вопросы безопасности, включая взаимную аутентификацию и авторизацию сервисных элементов, обеспечение шифрования и контроля целостности передаваемых сообщений, защиту персональных данных и пр. Архитектуру безопасности сервиса V2X ещё предстоит разработать, но уже сейчас ясно, что она будет базироваться на существующих, проверенных временем механизмах и решениях, включая, ассиметричное шифрование, сертификаты открытых ключей, технологию провижининга клиентских устройств OTA (в соответствии с рекомендацией ETSI TS 102 255), универсальную архитектуру аутентификации – GAA (Generic Authentication Architecture) в соответствии с рекомендацией 3GPP TS 33.222.
2) Интернет вещей (IoT – Internet of things). Архитектура безопасности IoT должна обеспечить как защиту интерфейса в точке подключения серверов провайдеров IoT услуг к сетям операторов связи, так и трафика конечных устройств (MTC-UE). С этой целью будет использоваться универсальная архитектура начальной загрузки – GBA (Generic Bootstrapping Architecture) / GBAPush, описанная в рекомендациях 3GPP TS 33.220, 3GPP TS 33.222.
3) Мультимедийные услуги связи на базе технологии IMS (IP Multimedia Subsystem), включая услуги приёма/передачи голосовой информации (VoLTE) и сервисы расширенных коммуникаций (RCS). Архитектура безопасности IMS включает в себя процедуру взаимной аутентификации и согласования ключей (IMS-AKA); шифрование и контроль целостности сигнального SIP трафика с использованием протокола IPSec ESP, определенного в RFC 4303; скрытие сетевой топологии посредством шифрования заголовков SIP сообщений, содержащих адреса SIP proxy; организацию управления абонентом профилем доступных ему услуг в соответствии с архитектурой начальной загрузки (Generic Bootstrapping Architecture – GBA); защиту интерфейсов между сетевыми элементами в соответствии с архитектурой домена сетевой безопасности.
И в завершении приведем краткую сводную таблицу, резюмирующую основные аспекты концепции безопасности сети 5G:

п/п

Описание

  1.  

Общая архитектура

Определены новые функциональные объекты, реализующие механизмы обеспечения безопасности – SEAF, AUSF, ARPF, SCMF, SPCF, SIDF

  1.  

Идентификаторы пользователя

Определен скрытый идентификатор пользователя (SUCI)

Определен глобальный временный уникальный идентификатор абонента 5G-GUTI, являющийся прямым наследником идентификатора GUTI сетей 4G-LTE

  1.  

Аутентификация и согласование ключей

По аналогии с сетями 4G-LTE используется взаимная аутентификация – UE аутентифицирует сеть, а сеть – UE

Определены два возможных метода аутентификации и согласования ключей – 5G-AKA, который является развитием метода EPS-AKA сетей 4G-LTE и новый метод EAP-AKA'. Оба метода основываются на блоковом шифре MILENAGE (в соответствии с 3GPP TS 33.102)

  1.  

Защита пользовательского и сигнального трафика

По аналогии с сетями 4G-LTE осуществляется шифрование и контроль целостности сигнального (RRC, NAS) и пользовательского трафика на основе базовых алгоритмов SNOW 3G, AES, ZUC

  1.  

Сетевой домен безопасности

По аналогии с сетями 4G-LTE в соответствии с концепцией сетевого домена безопасности, описанного в рекомендации 3GPP TS 33.310, осуществляется защита интерфейсов базовых станций (N2, N3, Xn)

  1.  

Архитектура "Network slicing"

Включает изоляцию различных слоев архитектуры Network slicing и определение для каждого слоя собственных уровней безопасности

  1.  

"Option 3" сценария миграции 4G к 5G

Включает защиту сигнального и пользовательского трафика между eNb сети 4G-LTE и gNb сети 5G

  1.  

Защита конечных сервисов

Включает защиту, реализуемую конечными сервисами (V2X, IoT, IMS,…), функционирующими поверх сетей 5G