Securitatea în rețelele de telecomunicații 5G cu 5G Core
Sfetcu, Nicolae (2024), Securitatea în rețelele de telecomunicații 5G cu 5G Core, IT & C, 3:3, 18-26, DOI: 10.58679/IT10710, https://www.internetmobile.ro/securitatea-in-retelele-de-telecomunicatii-5g-cu-5g-core/
Security in 5G Telecommunications Networks with 5G Core
Abstract
5G telecommunications networks offer advanced security features that are significantly improved compared to previous generations. Security in 5G telecommunications networks is of paramount importance due to the significant advances and complexities introduced by the 5G Core network functions. The 5G Core network function specifications were developed to remove known vulnerabilities in the existing network.
Keywords: security, telecommunications, communications, 5G, 5G networks, 5G Core
Rezumat
Rețelele de telecomunicații 5G oferă caracteristici avansate de securitate care sunt îmbunătățite semnificativ în comparație cu generațiile anterioare. Securitatea în rețelele de telecomunicații 5G este de o importanță capitală datorită progreselor și complexităților semnificative introduse de funcțiile rețelei 5G Core. Specificațiile funcțiilor de rețea 5G Core au fost dezvoltate pentru a elimina vulnerabilitățile cunoscute din rețeaua existentă.
Cuvinte cheie: securitate, telecomunicații, comunicații, 5G, rețele 5G, 5G Core
IT & C, Volumul 3, Numărul 3, Septembrie 2024, pp. 18-26
ISSN 2821 – 8469, ISSN – L 2821 – 8469, DOI: 10.58679/IT10710
URL: https://www.internetmobile.ro/securitatea-in-retelele-de-telecomunicatii-5g-cu-5g-core/
© 2024 Nicolae Sfetcu. Responsabilitatea conținutului, interpretărilor și opiniilor exprimate revine exclusiv autorilor.
Securitatea în rețelele de telecomunicații 5G cu 5G Core
Ing. fiz. Nicolae SFETCU[1], MPhil
nicolae@sfetcu.com
[1] Cercetător – Academia Română – Comitetul Român de Istoria și Filosofia Științei și Tehnicii (CRIFST), Divizia de Istoria Științei (DIS), ORCID: 0000-0002-0162-9973
Introducere
Rețelele de telecomunicații 5G oferă caracteristici avansate de securitate care sunt îmbunătățite semnificativ în comparație cu generațiile anterioare. Securitatea în 5G este îmbunătățită în primul rând prin arhitectura de bază a rețelei, care include câteva funcții cheie special concepute pentru a îmbunătăți securitatea.
Securitatea în rețelele de telecomunicații 5G este de o importanță capitală datorită progreselor și complexităților semnificative introduse de funcțiile rețelei 5G Core (5GC). Pe măsură ce trecem de la 4G la 5G, arhitectura rețelelor de telecomunicații evoluează pentru a suporta viteze mai mari, volume de date mai mari, latență ultra-scăzută și o creștere masivă a dispozitivelor conectate. Deși aceste progrese aduc numeroase beneficii, ele ridică, de asemenea, noi provocări și riscuri de securitate care trebuie gestionate cu atenție și atenuate.
Specificațiile funcțiilor de rețea 5G Core au fost dezvoltate pentru a elimina vulnerabilitățile cunoscute din rețeaua existentă. Efortul este continuu; de exemplu, cea mai recentă versiune a specificației arhitecturii 5G (3GPP 5G 2020) îmbunătățește și mai mult contracararea unei vulnerabilități cunoscute User Plane Integrity Protection, prin adăugarea de noi cerințe pentru UE pentru a suporta User Plane Integrity Protection la maximum.
Avantajele securității 5G:
- Criptare îmbunătățită: Rețelele 5G folosesc protocoale de criptare mai puternice pentru protecția datelor.
- Confidențialitate îmbunătățită: Caracteristici precum ascunderea identității abonaților ajută la protejarea identității utilizatorilor.
- Izolarea și integritatea: Secționarea rețelei permite crearea de rețele izolate, sporind securitatea aplicațiilor critice.
Funcțiile rețelei 5G Core
Funcțiile de bază 5G se bazează pe o infrastructură subiacentă de hardware, software și procese care vin cu amenințările și vulnerabilitățile lor de securitate. Rețeaua 5G Core (5GC), fiind centrală pentru arhitectura 5G, integrează diverse funcții care sporesc securitatea.
Iată o prezentare generală a modului în care securitatea este încorporată în 5G Core (5GC) prin diferitele sale funcții de rețea:
Funcția de server de autentificare (AUSF): AUSF este crucială pentru autentificarea utilizatorilor și asigură că numai utilizatorii autorizați pot accesa rețeaua. (Leu et al. 2021) Utilizează Unified Data Management (UDM) pentru a verifica în siguranță acreditările utilizatorului.
Management unificat al datelor (UDM): UDM stochează și gestionează datele abonaților, inclusiv informațiile de autentificare și autorizare. Acesta asigură integritatea și confidențialitatea datelor prin gestionarea informațiilor sensibile la nivel central și în siguranță (Sid-Otmane et al. 2020).
Security Edge Protection Proxy (SEPP): SEPP este utilizat pentru interconectarea securității între diferite domenii de rețea. Se asigură că toate datele schimbate între diferite rețele 5G sunt criptate și securizate, prevenind interceptarea sau manipularea în timpul transmisiei (Kaur și Tony Joseph 2024).
Funcția de selecție a segmentelor de rețea (NSSF): Segmentarea rețelei este o caracteristică fundamentală a 5G, permițând operatorilor să creeze mai multe rețele virtuale cu caracteristici diferite. NSSF selectează porțiunea de rețea adecvată pe baza nevoilor utilizatorului și a cerințelor de securitate, asigurându-se că datele și serviciile sensibile sunt izolate și protejate (Diaz Rivera et al. 2019).
Funcția de expunere la rețea (NEF): NEF gestionează expunerea capabilităților și serviciilor către alte rețele și aplicații terțe. Se asigură că această expunere este controlată și securizată, prevenind accesul neautorizat și asigurând conformitatea cu politicile de securitate (Abazi 2019).
Funcția de depozit de rețea (NRF): Această funcție permite descoperirea serviciului și înregistrarea dinamică a funcțiilor în rețeaua 5G. Ajută la menținerea integrității stării de funcționare a rețelei, prevenind modificările neautorizate și asigurând că sunt executate numai funcțiile legitime (Behrad et al. 2021).
Funcția de control al politicii (PCF): PCF gestionează și pune în aplicare politicile în cadrul rețelei, inclusiv politicile de securitate. Acesta asigură că resursele de rețea sunt utilizate în conformitate cu liniile directoare de securitate și cerințele de conformitate (Peinado Gomez et al. 2021).
Caracteristici și mecanisme de securitate
Iată o prezentare generală a caracteristicilor și mecanismelor de securitate din funcțiile rețelei 5G Core:
Segmentarea rețelei
Una dintre caracteristicile inovatoare ale 5G este segmentarea rețelei, care permite rețelei să fie segmentată logic în mai multe rețele virtuale. Fiecare porțiune poate fi adaptată pentru aplicații sau servicii specifice, cum ar fi IoT, autovehicule sau bandă largă mobilă îmbunătățită. Măsurile de securitate pot fi aplicate individual fiecărei porțiuni, asigurându-se că vulnerabilitățile sunt conținute și izolate, minimizând astfel impactul potențialelor atacuri. (Zhang 2019)
Segmentarea rețelei permite mai multor rețele virtuale să ruleze pe o infrastructură fizică partajată. Fiecare segment poate fi adaptat pentru a îndeplini cerințele specifice, inclusiv securitatea. Măsurile de securitate în segmentarea rețelei includ:
- Izolarea: Asigurarea că fiecare secțiune este izolată de celelalte pentru a preveni mișcarea laterală a amenințărilor.
- Politici de securitate personalizate: Implementarea politicilor și controalelor de securitate specifice secțiunii bazate pe cerințele serviciului.
Autentificare și autorizare
Rețelele 5G Core implementează mecanisme de autentificare robuste pentru a verifica identitatea utilizatorilor și a dispozitivelor. (Luo et al. 2021) Protocoalele de autentificare îmbunătățite, cum ar fi 5G AKA (Authentication and Key Agreement) asigură o comunicare sigură între dispozitive și rețea. Mecanismele de autorizare definesc ce resurse și servicii poate accesa fiecare entitate autentificată, prevenind astfel încercările de acces neautorizat. Caracteristicile cheie includ:
- Subscription Concealed Identifier (SUCI): Criptează identitatea utilizatorului pentru a preveni urmărirea și furtul de identitate. (Liu et al. 2021)
- Cadrul de autentificare unificată: Acceptă mai multe metode de autentificare (de exemplu, 5G-AKA, EAP-AKA’) pentru a oferi flexibilitate și securitate sporită.
Virtualizarea funcției de rețea (NFV) și rețea definită de software (SDN)
NFV (Abdelwahab et al. 2016) și SDN (Routray și Sharmila 2017) permit implementarea și gestionarea dinamică a funcțiilor și serviciilor de rețea. Aceste tehnologii permit ca măsurile de securitate să fie implementate mai flexibil și mai eficient în rețea. Funcțiile de securitate pot fi virtualizate și scalate după cum este necesar, răspunzând la amenințările în evoluție și la cerințele operaționale în timp real. 5G folosește NFV pentru a implementa funcții de rețea ca instanțe virtuale. Securitatea NFV se concentrează pe:
- Hypervisor Security: Protejarea stratului de virtualizare pentru a preveni atacurile asupra hypervisorului.
- Orchestrare sigură: Asigurarea că orchestrarea și gestionarea funcțiilor rețelei virtualizate (VNF) sunt securizate.
Arhitectură bazată pe servicii
Funcțiile 5G Core sunt menite să fie compuse în mare parte din aplicații care rulează pe hardware de uz general care comunică prin interfețe de programare a aplicațiilor (API) (Sfetcu 2022) (ENISA 2019). Integritatea software-ului, în special din locațiile open-source și din lanțul general de aprovizionare a software-ului, este o zonă de vulnerabilitate. Deoarece serviciile pot fi create, distruse și comunicate între ele dinamic, sistemele trebuie autentificate corespunzător și comunicațiile protejate pentru a preveni executarea neautorizată a funcțiilor sau accesul la date (5G Americas 2020). Componente afectate: interfețe bazate pe servicii
Securitatea arhitecturii bazate pe servicii (SBA): 5GC adoptă o arhitectură bazată pe servicii în care funcțiile de rețea (NF) comunică prin interfețe standard de servicii. (Rudolph et al. 2019) Securitatea în SBA include:
- Securitate API: Implementarea gateway-uri API pentru a controla accesul și a asigura comunicarea securizată între NF-uri utilizând tehnici precum OAuth, TLS și JSON Web Tokens (JWT).
- Înregistrarea și descoperirea serviciului: Securizarea registrului de servicii pentru a preveni înregistrarea și descoperirea neautorizate a serviciilor.
Orchestrarea și automatizarea securității
Pe măsură ce rețelele cresc în complexitate, orchestrarea și automatizarea securității devin esențiale. Politicile de securitate, mecanismele de detectare a amenințărilor și procedurile de răspuns la incident sunt automatizate pentru a detecta, analiza și atenua rapid amenințările de securitate. Învățarea automată și algoritmii AI pot fi, de asemenea, valorificați pentru a îmbunătăți capacitățile de detectare a amenințărilor și pentru a reduce timpii de răspuns.
Respectarea cerințelor generale de asigurare a securității: (Sfetcu 2022) (ENISA 2019) Securitatea asigurată de funcțiile 5G Core și securitatea 5G Core în sine se bazează pe actualizarea permanentă a cerințelor de asigurare a securității pentru componentele de rețea critice precum UDM, AUSF, SEPP, NRF, NEF, SMF, AMF și UPF. Cu toate acestea, va exista inevitabil un decalaj de actualizare a securității între noile cerințe de securitate și implementarea versiunilor actualizate ale funcțiilor de rețea în sistemele operaționale. Există doi factori majori în reducerea acestui decalaj: a) sensibilitatea furnizorilor la emiterea și validarea de noi versiuni ale funcțiilor de rețea care răspund cerințelor actualizate, și b) actualitatea și eficacitatea proceselor MNO pentru actualizarea sistemelor operaționale la recentele versiuni lansate și evaluate SCAS. Componente afectate: UDM, AUSF, SEPP, NRF, NEF, SMF, AMF, UPF.
Criptare end-to-end: Folosirea unor algoritmi de criptare robusti (de exemplu, AES pe 256 de biți) pentru protejarea datelor în tranzit și în repaus. (Ahmed et al. 2021) Pentru a proteja datele pe măsură ce traversează rețeaua, rețelele 5G Core folosesc mecanisme puternice de criptare. Datele transmise între dispozitive și rețeaua centrală, precum și între diferite funcții de rețea, sunt criptate folosind protocoale precum IPsec (Internet Protocol Security) și TLS (Transport Layer Security). Această criptare previne interceptarea și asigură confidențialitatea și integritatea datelor transmise.
API-uri și interfețe securizate: Rețeaua 5G Core include numeroase API-uri și interfețe care facilitează comunicarea între funcțiile de rețea, aplicații și sistemele externe. Gestionarea securizată API și validarea strictă a datelor schimbate prin aceste interfețe sunt cruciale pentru prevenirea accesului neautorizat și protejarea împotriva vulnerabilităților legate de API.
Integritatea și confidențialitatea datelor: 5G asigură integritatea și confidențialitatea datelor transmise prin rețea prin asigurarea că datele nu au fost modificate în timpul transmisiei folosind mecanisme de protecție a integrității.
Protecție împotriva refuzului de serviciu distribuit (DDoS): (Badhwar 2021) Rețelele 5G încorporează măsuri pentru detectarea și atenuarea atacurilor DDoS, inclusiv:
- Detectarea anomaliilor: Utilizarea AI și a învățării automate pentru a identifica modele de trafic neobișnuite care indică un atac DDoS.
- Filtrarea traficului: Implementarea mecanismelor de filtrare pentru a bloca traficul rău intenționat la marginea rețelei.
Securitatea punctului final: Securizarea punctelor finale (adică, dispozitivele utilizatorului) conectate la rețeaua 5G este esențială. Măsurile includ:
- Autentificare dispozitiv: Verificarea identității dispozitivelor înainte de a li se permite să se conecteze la rețea.
- Pornire securizată: Asigurarea că dispozitivele pornesc folosind numai software autorizat.
Stivă de protocol pe bază de IP
5GC trece la o stivă de protocol bazată pe IP, permițând interoperabilitatea cu un număr mai mare de servicii și tehnologii în viitor. Următoarele protocoale, scheme și procese vor fi adoptate în 5GC (Sfetcu 2022) (ENISA 2019):
- HTTP/2 și JSON ca strat de aplicație și protocoale de serializare, înlocuind protocolul Diameter peste punctul de referință S6a
- TLS ca strat suplimentar de protecție care asigură comunicații criptate între toate funcțiile de rețea (NF) din interiorul unei rețele mobile de telefonie publică (PLMN)
- TCP ca protocol de strat de transport
- Cadrul RESTful cu OpenAPI 3.0.3 ca limbaj de definiție a interfeței (IDL).
Deoarece aceste protocoale sunt utilizate în industria IT mai largă, va duce probabil la o vulnerabilitate mai scurtă în cronologia exploatării și la un impact mai mare al vulnerabilităților în cadrul acestor protocoale. Schemele de raportare a vulnerabilității vor trebui să gestioneze domeniul de aplicare extins al acestor protocoale. Odată localizat, timpul de corecție pentru vulnerabilități ar trebui să fie scurt. Componente afectate: Toate funcțiile
Monitorizare și auditare continuă
Monitorizarea continuă a traficului de rețea, a comportamentului dispozitivului și a jurnalelor de sistem este esențială pentru detectarea rapidă a anomaliilor și a potențialelor încălcări de securitate. Auditurile regulate de securitate și testele de penetrare ajută la identificarea vulnerabilităților și la asigurarea conformității cu standardele și reglementările de securitate. Monitorizarea și analiza continuă sunt esențiale pentru menținerea securității rețelei:
- Centrul de operațiuni de securitate (SOC): Stabilirea unui SOC pentru a monitoriza, detecta și răspunde la incidente de securitate.
- Analitica securității: Utilizarea analizei avansate pentru a identifica potențialele amenințări și vulnerabilități în timp real.
Conformitatea cu reglementările și standardele
Rețelele 5G trebuie să respecte standardele și reglementările internaționale și regionale de securitate, cum ar fi:
- Specificații de securitate 3GPP: Aderarea la specificațiile de securitate definite de Proiectul de parteneriat de generație a 3-a (3GPP).
- GDPR: Asigurarea conformității cu reglementările privind protecția datelor, cum ar fi Regulamentul general privind protecția datelor (GDPR) în Uniunea Europeană.
Concluzie
Arhitectura de securitate a 5G este concepută pentru a fi robustă, scalabilă și flexibilă, permițând operatorilor de telecomunicații să ofere noi servicii, asigurând în același timp securitatea completă și protecția vieții private.
Funcțiile rețelei 5G Core sunt proiectate cu un accent puternic pe securitate pentru a aborda diversele provocări reprezentate de rețelele de telecomunicații de ultimă generație. Implementând autentificarea robustă, criptarea, segmentarea rețelei și valorificarea tehnologiilor precum NFV și SDN, rețelele 5G pot oferi conectivitate sigură și fiabilă pentru o gamă largă de aplicații și servicii. Cu toate acestea, natura în evoluție a amenințărilor cibernetice necesită inovare și colaborare continuă între părțile interesate din industrie pentru a menține integritatea și rezistența rețelelor de telecomunicații 5G în fața provocărilor emergente de securitate.
Folosind tehnologii avansate și aderând la standarde stricte de securitate, rețelele 5G pot oferi securitate și fiabilitate îmbunătățite, esențiale pentru susținerea aplicațiilor diverse și critice ale viitorului. Această abordare integrată nu numai că acceptă o gamă largă de cazuri de utilizare, ci și construiește încrederea între utilizatori și furnizorii de servicii prin menținerea unor standarde înalte de securitate.
Bibliografie
- 3GPP 5G. 2020. „System architecture for the 5G System (5GS) (3GPP TS 23.501 version 16.6.0 Release 16) – ETSI TS 123 501 V16.6.0 (2020-10)”. https://www.etsi.org/deliver/etsi_ts/123500_123599/123501/16.06.00_60/ts_123501v160600p.pdf.
- 5G Americas. 2020. „Security considerations for the 5G era”. https://www.5gamericas.org/wp-content/uploads/2020/07/Security-Considerations-for-the-5G-Era-2020-WP-Lossless.pdf.
- Abazi, Eusem. 2019. „5G Core Network Architecture: Network Exposure Function”. Laurea, Politecnico di Torino. https://webthesis.biblio.polito.it/12557/.
- Abdelwahab, Sherif, Bechir Hamdaoui, Mohsen Guizani, și Taieb Znati. 2016. „Network function virtualization in 5G”. IEEE Communications Magazine 54 (4): 84–91. https://doi.org/10.1109/MCOM.2016.7452271.
- Ahmed, Kazi J., Marco Hernandez, Myung Lee, și Kazuya Tsukamoto. 2021. „End-to-End Security for Connected Vehicles”. În Advances in Intelligent Networking and Collaborative Systems, ediție de Leonard Barolli, Kin Fun Li, și Hiroyoshi Miwa, 216–25. Cham: Springer International Publishing. https://doi.org/10.1007/978-3-030-57796-4_21.
- Badhwar, Raj. 2021. „Distributed Denial of Service (DDoS) Protection”. În The CISO’s Next Frontier: AI, Post-Quantum Cryptography and Advanced Security Paradigms, ediție de Raj Badhwar, 231–36. Cham: Springer International Publishing. https://doi.org/10.1007/978-3-030-75354-2_28.
- Behrad, Shanay, David Espes, Philippe Bertin, și Cao-Thanh Phan. 2021. „Impacts of Service Decomposition Models on Security Attributes: A Case Study with 5G Network Repository Function”. În 2021 IEEE 7th International Conference on Network Softwarization (NetSoft), 470–76. https://doi.org/10.1109/NetSoft51509.2021.9492620.
- Diaz Rivera, Javier Jose, Talha Ahmed Khan, Asif Mehmood, și Wang-Cheol Song. 2019. „Network Slice Selection Function for Data Plane Slicing in a Mobile Network”. În 2019 20th Asia-Pacific Network Operations and Management Symposium (APNOMS), 1–4. https://doi.org/10.23919/APNOMS.2019.8893084.
- ENISA. 2019. „ENISA Threat Landscape for 5G Networks Report”. Report/Study. ENISA. 2019. https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-for-5g-networks.
- Kaur, Bhavjot, și K Tony Joseph. 2024. „Security Challenges and Solutions in 5G Networks”. În 2024 IEEE International Conference on Interdisciplinary Approaches in Technology and Management for Social Innovation (IATMSI), 2:1–5. https://doi.org/10.1109/IATMSI60426.2024.10502490.
- Leu, Fang-Yie, Kun-Lin Tsai, Heru Susanto, Cheng-Yan Gu, și Ilsun You. 2021. „A Fault Tolerant Mechanism for UE Authentication in 5G Networks”. Mobile Networks and Applications 26 (4): 1650–67. https://doi.org/10.1007/s11036-019-01502-5.
- Liu, Fuwen, Li Su, Bo Yang, Haitao Du, Minpeng Qi, și Shen He. 2021. „Security Enhancements to Subscriber Privacy Protection Scheme in 5G Systems”. În 2021 International Wireless Communications and Mobile Computing (IWCMC), 451–56. https://doi.org/10.1109/IWCMC51323.2021.9498591.
- Luo, Yurong, Hui Li, Ruhui Ma, și Zhenyang Guo. 2021. „A Composable Multifactor Identity Authentication and Authorization Scheme for 5G Services”. Security and Communication Networks 2021 (1): 6697155. https://doi.org/10.1155/2021/6697155.
- Peinado Gomez, German, Jordi Mongay Batalla, Yoan Miche, Silke Holtmanns, Constandinos X. Mavromoustakis, George Mastorakis, și Noman Haider. 2021. „Security policies definition and enforcement utilizing policy control function framework in 5G”. Computer Communications 172 (aprilie):226–37. https://doi.org/10.1016/j.comcom.2021.03.024.
- Routray, Sudhir K., și K. P. Sharmila. 2017. „Software defined networking for 5G”. În 2017 4th International Conference on Advanced Computing and Communication Systems (ICACCS), 1–5. https://doi.org/10.1109/ICACCS.2017.8014576.
- Rudolph, Hans Christian, Andreas Kunz, Luigi Lo Iacono, și Hoai Viet Nguyen. 2019. „Security Challenges of the 3GPP 5G Service Based Architecture”. IEEE Communications Standards Magazine 3 (1): 60–65. https://doi.org/10.1109/MCOMSTD.2019.1800034.
- Sfetcu, Nicolae. 2022. Rețele de comunicații 5G. Nicolae Sfetcu.
- Sid-Otmane, Jonathan, Sofiane Imadali, Frédéric Martelli, și Marc Shapiro. 2020. „Data Consistency in the 5G Specification”. În 2020 23rd Conference on Innovation in Clouds, Internet and Networks and Workshops (ICIN), 110–17. https://doi.org/10.1109/ICIN48450.2020.9059408.
- Zhang, Shunliang. 2019. „An Overview of Network Slicing for 5G”. IEEE Wireless Communications 26 (3): 111–17. https://doi.org/10.1109/MWC.2019.1800234.
Articol în Acces Deschis (Open Access) distribuit în conformitate cu termenii licenței de atribuire Creative Commons CC BY SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0/).