Сегодня мы являемся свидетелями настоящего бума развития информационных технологий. Банковский сектор, управление технически сложными и опасными объектами, решение задач жизнеобеспечения населения, умные города, автомобили без водителей, телемедицина и наконец элементарные датчики парковки или загрузки мусорных контейнеров – вот лишь беглый список примеров повсеместного проникновения ИТ. И в этой ситуации вопросы безопасности в целом и безопасности сетей доступа в частности выходят на первый план. Мы рассмотрели лишь "костяк" архитектуры 5G-security. "За бортом" остался большой пласт вопросов, связанных с конкретными сервисами, реализуемыми поверх сетей 5G, включая:
1) Сервис взаимодействия автомобильного транспорта (V2X – Vehicle to Everything) с другими участниками дорожного движения (V2V – Vehicle to Vehicle) и дорожной инфраструктурой (V2I – Vehicle to Infrastructure) накладывает серьёзные требования в т.ч. на вопросы безопасности, включая взаимную аутентификацию и авторизацию сервисных элементов, обеспечение шифрования и контроля целостности передаваемых сообщений, защиту персональных данных и пр. Архитектуру безопасности сервиса V2X ещё предстоит разработать, но уже сейчас ясно, что она будет базироваться на существующих, проверенных временем механизмах и решениях, включая, ассиметричное шифрование, сертификаты открытых ключей, технологию провижининга клиентских устройств OTA (в соответствии с рекомендацией ETSI TS 102 255), универсальную архитектуру аутентификации – GAA (Generic Authentication Architecture) в соответствии с рекомендацией 3GPP TS 33.222.
2) Интернет вещей (IoT – Internet of things). Архитектура безопасности IoT должна обеспечить как защиту интерфейса в точке подключения серверов провайдеров IoT услуг к сетям операторов связи, так и трафика конечных устройств (MTC-UE). С этой целью будет использоваться универсальная архитектура начальной загрузки – GBA (Generic Bootstrapping Architecture) / GBAPush, описанная в рекомендациях 3GPP TS 33.220, 3GPP TS 33.222.
3) Мультимедийные услуги связи на базе технологии IMS (IP Multimedia Subsystem), включая услуги приёма/передачи голосовой информации (VoLTE) и сервисы расширенных коммуникаций (RCS). Архитектура безопасности IMS включает в себя процедуру взаимной аутентификации и согласования ключей (IMS-AKA); шифрование и контроль целостности сигнального SIP трафика с использованием протокола IPSec ESP, определенного в RFC 4303; скрытие сетевой топологии посредством шифрования заголовков SIP сообщений, содержащих адреса SIP proxy; организацию управления абонентом профилем доступных ему услуг в соответствии с архитектурой начальной загрузки (Generic Bootstrapping Architecture – GBA); защиту интерфейсов между сетевыми элементами в соответствии с архитектурой домена сетевой безопасности.
И в завершении приведем краткую сводную таблицу, резюмирующую основные аспекты концепции безопасности сети 5G:
п/п |
Описание |
|
|
Общая архитектура |
Определены новые функциональные объекты, реализующие механизмы обеспечения безопасности – SEAF, AUSF, ARPF, SCMF, SPCF, SIDF |
|
Идентификаторы пользователя |
Определен скрытый идентификатор пользователя (SUCI) |
Определен глобальный временный уникальный идентификатор абонента 5G-GUTI, являющийся прямым наследником идентификатора GUTI сетей 4G-LTE |
||
|
Аутентификация и согласование ключей |
По аналогии с сетями 4G-LTE используется взаимная аутентификация – UE аутентифицирует сеть, а сеть – UE |
Определены два возможных метода аутентификации и согласования ключей – 5G-AKA, который является развитием метода EPS-AKA сетей 4G-LTE и новый метод EAP-AKA'. Оба метода основываются на блоковом шифре MILENAGE (в соответствии с 3GPP TS 33.102) |
||
|
Защита пользовательского и сигнального трафика |
По аналогии с сетями 4G-LTE осуществляется шифрование и контроль целостности сигнального (RRC, NAS) и пользовательского трафика на основе базовых алгоритмов SNOW 3G, AES, ZUC |
|
Сетевой домен безопасности |
По аналогии с сетями 4G-LTE в соответствии с концепцией сетевого домена безопасности, описанного в рекомендации 3GPP TS 33.310, осуществляется защита интерфейсов базовых станций (N2, N3, Xn) |
|
Архитектура "Network slicing" |
Включает изоляцию различных слоев архитектуры Network slicing и определение для каждого слоя собственных уровней безопасности |
|
"Option 3" сценария миграции 4G к 5G |
Включает защиту сигнального и пользовательского трафика между eNb сети 4G-LTE и gNb сети 5G |
|
Защита конечных сервисов |
Включает защиту, реализуемую конечными сервисами (V2X, IoT, IMS,…), функционирующими поверх сетей 5G |