Výzvy a možnosti zabezpečení mobilních sítí 5G (2. díl)

Zdroje požadavků na zabezpečení 5G

NokiaPožadavky na zabezpečení 5G

Při stanovení konceptu zabezpečení je obvykle jedním z prvních kroků definování bezpečnostních požadavků. Hlavním zdrojem požadavků 5G je dokument aliance NGMN s názvem NGMN 5G White Paper, ve kterém říká, že sítě 5G budou poskytovat vyšší výkonnost a budou schopny řídit vysoce heterogenní prostředí a zajistit mimo jiné zabezpečení, důvěryhodnost a ochranu identity a soukromí (obr. 3). Na druhou stranu musí bezpečnostní mechanismy splňovat celkové požadavky na 5G, včetně mimořádně rychlých procedur na řídicí rovině, extrémně nízké latence na uživatelské rovině a nejvyššího stupně energetické efektivity. Dokument výslovně specifikuje řadu bezpečnostních vylepšení v porovnání se současnými sítě, včetně požadavků na:

  • Zvýšení odolnosti a dostupnosti sítě vůči hrozbám způsobených prostřednictvím signalizace.
  • Zvýšení robustnosti systému vůči inteligentním útokům prostřednictvím rádiových signálů a kanálů.
  • Zvýšit zabezpečení 5G na úrovni malých buněk.

V návaznosti na tyto výzvy zřídila aliance NGMN pracovní skupinu pro bezpečnost 5G, která vydala tři specializované dokumenty (tzv. balíčky) s bezpečnostními doporučeními 5G. Ty zahrnují témata, jako jsou potenciální bezpečnostní vylepšení přístupové sítě, ochrana proti odmítnutí služby (DoS), network slicing, mobilní edge computing, nízká latence a konzistentní uživatelská zkušenost.

Zabezpečení 5G bude vycházet z koncepce zabezpečení LTE, což platí zejména pro mobilní širokopásmové služby, které i nadále zůstávají velmi důležité. Mimoto sítě 5G musí být v případě potřeby schopny zajistit přinejmenším stejnou úroveň ochrany, takže bezpečnostní funkce LTE jsou přirozenou základem i pro sítě 5G. Navíc je užitečné přehodnotit bezpečnostní prvky, které byly projednány, ale nebyly přijaty pro LTE (viz 3GPP TR 33.821). To zahrnuje např. ochranu vůči odposlouchávání telefonických hovorů a lokalizaci mobilních telefonů (IMSI catching), ochranu integrity uživatelské roviny nebo zajištění neodmítnutí požadavků na službu. 3GPP vypracoval studii „New Services and Markets Technology Enablers“, která popisuje potenciální požadavky na zabezpečení, které jsou zdokumentovány v několika technických zprávách a shrnuty v části 6.2 3GPP TR 22.861.

3GPP také začala pracovat na příslušné technické specifikaci, která bere v úvahu bezpečnostní aspekty budoucích funkcí 5G, jako je network slicing. Požadavkem je, aby jednotlivé vyhrazené virtuální sítě byly vzájemně oddělené a napadení jedné virtuální sítě nemělo žádný vliv na další na další vyhrazené virtuální sítě. Navíc jednotlivé virtuální sítě musí umožňovat nastavení individuálních bezpečnostní požadavků. Rovněž je zvažován případ, kdy virtuální síť vyhrazena pro vertikální společnost a ta chce mít ověřování přístupu k síti pod plnou kontrolou. Systém musí zajistit plnou flexibilitu při používání různých identifikátorů, oprávnění a metod ověřování. Další potenciální bezpečnostní požadavky se týkají:

  • ochrany vůči aktivnímu odposlechu,
  • minimalizace zabezpečení signalizace,
  • zabezpečení vzdáleného oprávnění poskytovaného zařízením,
  • vylepšení mechanismů ověřování a autorizace pro různé typy připojení (např. připojení bez oprávnění operátora v zařízení),
  • autentizace skupiny,
  • ochrana integrity uživatelské roviny apod.

Přestože se tento přehled bezpečnostních požadavků vychází výhradně ze zdrojů aliance NGMN a 3GPP, jasně ukazuje, že již existuje několik různých a poněkud náročných bezpečnostních požadavků na sítě 5G, které pomohou vést další kroky směrem k bezpečnostní architektuře 5G.

Vyšší úroveň zabezpečení 5G

Na základě dříve zmíněních bezpečnostních požadavků diskutuje tato část vizi zabezpečení 5G (obr. 4), která zahrnuje nejvyšší zabudované zabezpečení, flexibilní zabezpečovací mechanismy a vysoký stupeň automatizace zabezpečení. Sítě 5G musí zajišťovat velmi vysokou úroveň zabezpečení a ochrany soukromí pro své uživatele a jejich provoz a současně musí být dostatečně odolné vůči všem druhům kybernetických útoků. Aby bylo možné tyto dvě výzvy naplnit, nelze zabezpečení považovat za doplněk, ale musí být součástí celkové architektury již od samotného návrhu. Součástí architektury musí být také zabezpečení síťových funkcí, aby byla zajištěna vysoká bezpečnost sítě.

Základní prvky vyšší úrovně zabezpečení 5G

Zabezpečení sítě 5G musí být rovněž dostatečně flexibilní. Místo jednoho nastavení, které vyhovuje všem uživatelům, musí bezpečnostní nastavení optimálně podporovat každou aplikaci. To zahrnuje použití jednotlivých virtuálních sítí nebo virtuálních sítí vyhrazených pro určité speciální aplikace, stejně jako nastavení konfigurace zabezpečení pro každá segment sítě. K zajištění takové flexibility budou muset bezpečnostní funkce zahrnovat mechanismy pro identifikaci a ověřování mobilních zařízení a/nebo jejich provozu pro určení způsobu ochrany uživatelského provozu. Některé aplikace mohou např. využívat bezpečnostní mechanismy nabízené sítí. Tyto aplikace mohou vyžadovat nejen šifrování, jako v LTE, ale také ochranu integrity uživatelské roviny. Na druhé straně některé aplikace mohou vyžadovat zabezpečení end-to-end, protože sami neposkytují další zabezpečení (ale spíše zvyšují spotřebu mobilních zařízení).

Dalším klíčovým prvkem této vize je automatizace zabezpečení, která kombinuje automatickou holistickou koordinaci a management zabezpečení s automatickým inteligentním řízením zabezpečení:

  • Automatická holistická koordinace a management zabezpečení je nezbytná kvůli složitosti efektivního řízení zabezpečení v rámci celé sítě. Ta může pokrývat několik nezávislých infrastrukturních domén zahrnujících různé virtuální síťové funkce, které mohou být v těchto různých oblastech dynamicky přidělovány. Holistický management zabezpečení zahrnuje proces specifikace a distribuce bezpečnostních zásad funkcí virtuálního i fyzického zabezpečení a zachování jejich konzistence při dynamické konfiguraci sítě.
  • Automatické inteligentní řízení zabezpečení je potřeba k detekci a zmírnění dosud neznámých hrozeb, tj. těch, které se budou snažit využít všech slabých míst a nedostatků, které lze nalézt i přes veškeré úsilí o jejich vyloučení. Toto prediktivní řízení zabezpečení by mělo fungovat autonomně a mělo by být schopné se přizpůsobovat stále se měnícím a vyvíjecím se bezpečnostním hrozbám.

Článek byl zpracován podle materiálu společnosti Nokia „Security challenges and opportunities for 5G mobile networks“.

Redaktor: Jaroslav Hrstka

Pokračování článku si budete moci přečíst v článku Výzvy a možnosti zabezpečení mobilních sítí 5G (3. díl)

Související příspěvky

Leave a Comment