Práce na další generaci mobilních sítí v posledních dvou letech nabrala na obrátkách. Sítě 5G bude podporovat různé případy použití s vysokými nároky na zabezpečení. Série článků shrnuje současný stav zabezpečení 5G a nastiňuje základní prvky budoucí bezpečnostní architektury 5G.
Hnací síly zabezpečení 5G
Rádiová komunikace je ze své podstaty zranitelná a vyžaduje specifickou ochranu proti odposlechu a manipulaci. To je důvodem, proč již v druhé generaci mobilních sítí – GSM – bylo pro zabezpečení uživatelské komunikace na rádiovém rozhraní použito šifrování. Ve dvou následujících generacím mobilních sítí, tj. UMTS a LTE, byla pak bezpečnostní architektura výrazně rozšířena. Kromě šifrování uživatelského provozu provádí tyto sítě také vzájemnou autentizaci mezi mobilními terminály a sítí a rovněž zajištují ochranu integrity a šifrování veškerého řízení a managementu provozu. Celkově bezpečnostní prvky UMTS a LTE zajišťují nejen vysokou úroveň zabezpečení a ochranu soukromí uživatelů, ale také poskytují odolnost vůči různým druhům útoků na integritu a dostupnost služeb, které tyto sítě poskytují.
Bezpečnostní koncepce LTE neprokázala žádné závažné nedostatky, ač od doby, kdy byla specifikována, uplynulo již 10 let. Nicméně pro příští generaci mobilních sítí budou potřeba nové koncepce zabezpečení. Jednak bude třeba zajistit podporu řady nových případů použití a jednak zavádění nových síťových technologií bude vyžadovat přehodnocení některých současných prvků v přístupu k bezpečnosti. Obr. 1 ukazuje hlavní hnací síly pro zajištění bezpečnost 5G.
Zatímco LTE bylo navrženo primárně pro zajištění mobilního širokopásmového připojení (tj. širokopásmového přístupu k Internetu), 5G se zaměřuje na řadu dalších případů použití s různými specifickými požadavky. To zahrnuje např. podporu obrovského množství mobilních zařízení v rámci jedné buňky či velmi nízkou latenci v uživatelské komunikaci. Aplikace jako řízení dopravního provozu nebo průmyslové řízení zase kladou vysoké nároky na spolehlivost sítě. Bezpečnost lidi a dokonce i lidské životy mohou skutečně záviset na dostupnosti a spolehlivosti síťové služby.
Pro optimální podporu každého případu použití musí být také bezpečnostní koncepce mnohem flexibilnější. Například bezpečnostní mechanismy používané pro kritické aplikace, které vyžadují extrémně nízkou latenci, nemusí být vhodné pro normální aplikace (massive) Internetu věcí (IoT), kde mobilní zařízení představují levné senzory, které musí obvykle velmi nízkou spotřebu a přenášejí data jen příležitostně.
Aby bylo možné efektivně podporovat nové úrovně přenosové kapacity a flexibility potřebné pro sítě 5G, je třeba do mobilních sítí zavést nové mechanismy, jako je virtualizace síťových funkcí (Network Functions Virtualization, NFV) a softwarově definovaná síť (Software Defined Networking, SDN). Například při použití NFV může integrita virtuálních síťových funkcí a důvěrnost jejich dat záviset ve větší míře na schopnostech hypervizoru oddělovat na virtuální vrstvě instrukce, paměť či procesy. Mimoto může také více záviset na softwaru v rámci cloudu. V minulosti se chyby v takových softwarových komponentech vyskytovaly poměrně často. Zajistit spolehlivé a bezpečné prostředí NFV je tedy velkou výzvou. V případě SDN je pak hrozbou, že řídicí aplikace mohou způsobit díky chybným nebo špatným interakcím s centrálním síťovým kontrolérem zmatek ve velkém měřítku.
Další hnací silou zabezpečení 5G je měnící se ekosystém. V případě LTE převažují velké monolitické sítě, obvykle pod správou jediného provozovatele sítě, který vlastní celou síťovou infrastrukturu a poskytuje všechny síťové služby. Naproti tomu v sítích 5G může působit řada specializovaných zainteresovaných stran, které poskytují síťové služby koncovým uživatelům 5G, jak ukazuje obr. 2.
To se týká především oddělení poskytovatelů infrastruktury od poskytovatelů telekomunikačních služeb, kteří jsou hostitelskými subjekty několika poskytovatelů služeb jako nájemci na sdílené infrastruktuře. Dalším případem je, že poskytovatelé telekomunikačních služeb mohou nabízet nejen komunikační služby pro koncové uživatelé, ale také poskytovat kompletní virtuální sítě nebo vyhrazené virtuální sítě (network slicing) speciálně pro některé aplikace (jako IoT). Takové sítě mohou být provozovány vertikálními společnostmi. Například výrobci mohou provozovat virtuální mobilní síť určené speciálně pro aplikace k řízení průmyslových procesů ve vlastních výrobních závodech. Důležitým bezpečnostním problémem je vytváření a udržování důvěryhodné propojení mezi zúčastněnými stranami. Cílem je zajistit důvěryhodnou a spolehlivou interakci, které by sloužila k zajištění bezpečných služeb koncových uživatelů.
Článek byl zpracován podle materiálu společnosti Nokia „Security challenges and opportunities for 5G mobile networks“.
Redaktor: Jaroslav Hrstka
Pokračování článku si budete moci přečíst v článku Výzvy a možnosti zabezpečení mobilních sítí 5G (2. díl)