оборудование систем связи. реферат оборудование систем связи. Концепция создания и развития сетей 5Gimt2020 в Российской Федерации

56 выделенный сервер и, как следствие, максимальное упрощение и удешевление сетевых элементов – коммутаторов, маршрутизаторов.
Технология SDN нацелена на решение следующих проблем:
- повышение эффективности механизмов управления пропускной способности сети;
- упрощение управления сетью и повышению его уровня автоматизации;
- повышение масштабируемости сети;
- усиление безопасности сетей;
- повышение эффективности маршрутизации;
- снижение капитальных затрат и затрат на эксплуатацию.
Основная идея SDN-подхода:
- отделить управление сетевым оборудованием от управления передачей данных за счет создания специального программного обеспечения, которое может работать на обычном отдельном компьютере и которое находится под контролем администратора сети;
- перейти от управления отдельными экземплярами сетевого оборудования к управлению сетью в целом;
- создать интеллектуальный программно-управляемый интерфейс между сетевым приложением и транспортной средой сети.
Основными компонентами программно-определяемых сетей SDN на базе протокола OpenFlow являются (рис. 4.3):
OpenFlow
Коммутатор 2
OpenFlow контроллер
OpenFlow
Коммутатор 1
OpenFlow
Коммутатор 3
Рисунок. 4.3 - Схема взаимодействия коммутаторов с контроллером по протоколу OpenFlow
- OpenFlow коммутатор;

57
- OpenFlow контроллер, или сетевая операционная система;
- защищенный канал, посредством которого осуществляется взаимодействие контроллера и коммутатора (в большинстве случаев для защиты передаваемых сообщений используется TLS (transport layer security - протокол защиты транспортного уровня), однако, возможна передача без шифрования).
Сетевая инфраструктура программно-определяемой сети SDN должна строиться в соответствии с открытыми протоколами OpenFlow, быть унифицированной и обеспечивать возможность реализации мультивендорных технических решений.
Сетевая инфраструктура программно-определяемой сети SDN позволяет строить сети в высокой коммутационной емкостью и скоростью передачи данных.
3. Облачная инфраструктура Cloud RAN сети радиодоступа NG-RAN
Облачная сеть радиодоступа NG-RAN, представленная на рис.4.4, основана на реализации моделей базовой станции gNB с использованием технологии виртуализации NVF и имеет ряд преимуществ:
- реализация программно-определяемых мультистандартных базовых станций
NR/E-UTRA, гибкость и масштабируемость виртуальных решений;
- размещение оборудования базовых станций в центрах обработки данных высокой степени надежности и безопасности;
- единая облачная инфраструктура Cloud RAN управляет большим количеством радиомодулей и охватывает большую территорию радиопокрытия, обеспечивает более оптимальное использование частотного ресурса, более эффективную работу алгоритмов компенсации помех ICIC и многоточечной передачи CoMP, Intra-RAT хендоверов.

58
Радиомодуль gNB-RU
Многоэлементная антенная система
Massive MIMO
(одна или несколько панелей)
Радиомодуль gNB-RU
Многоэлементная антенная система
Massive MIMO
(одна или несколько панелей)
UE1
UE2
UE1
UE2
Транспортная сеть Fronthaul
Распределенный модуль gNB-DU
gNB-DU
gNB-DU
Транспортная сеть
Midhaul
Облачная инфраструктура
NG-RAN
(ЦОД)
Виртуальная инфраструктура ЦОД NFVI
VNF
gNB-CU-CP
VNF
gNB-CU-UP
E1
F1-C
F1-U
GTP-U
UDP/IP
L2
L1
User Plane
Transport
Net work
Layer
SCTP
IP
L2
L1
F1AP
SCTP
IP
L2/L1
E1AP
Рисунок 4.4 - Облачная инфраструктура Cloud RAN сети радиодоступа NG-RAN
4. Виртуализация транспортной сети (Virtualized Backhaul)
Классическая транспортная сеть мобильной сети состоит из двух основных частей: распределительной сети (Backhaul), связывающей базовые станции с функциональными элементами опорной сети, и магистральной сети (Backbone), обеспечивающей высокоскоростные каналы связи между функциональными элементами опорной сети. Переход на архитектуру C-RAN привел к выделению в сети Backhaul двух новых сегментов: сети «Fronthaul», объединяющей пулы радиомодулей gNB-RUи распределенные модули gNB-DU, и сети «Midhaul», объединяющей пулы распределенных модулей gNB-DU и центральные модули gNB-
CU. Совокупность сетей «Fronthoul», «Midhaul» и «Backhaul»получила обобщенное наименование сети «X-haul» и может быть построена с применением различных технологий, включая оптоволоконные линии связи, радиорелейные линии, спутниковые линии связи, Carrier Ethernet, IP/MPLS, Segment Routing и др.
Внедрение технологий SDN/NFV в сети 5G/IMT-2020 также существенно для модернизации функциональных узлов транспортных сетей (например, узлов P, PE, сети IP/MPLS). Поэтому для построения транспортной сети возможно, как

59 применение только концепции NFV, то есть внедрение виртуализированных маршрутизаторов и коммутаторов, работающих на серверах COTS, так и применение комплексной концепции SDN/NFV, что означает новый подход к организации сетевого взаимодействия (использование контроллера и коммутаторов
SDN, как виртуализированных, так и нет).
Программно-определяемая транспортная сеть SDN/NFV позволяет отделить функционал управления (плоскости Control Plane и Management Plane) от функционала приема, обработки и пересылки пакетов данных (плоскости Data
Plane), а также реализовать функционал управления с использованием технологии виртуализации.
Виртуальная транспортная сеть позволяет повысить эффективность механизмов управления пропускной способности сети; централизовать алгоритмы управления сетью, повысить масштабируемость сети и обеспечить автоматизированную реализацию новых сетевых сервисов и новых сетевых слоев
(network slices) опорной сети 5GC (5G Core).
5. Анализ принципов и требований обеспечения информационной безопасности сети 5G/IMT-2020, основанных на применении российских криптографических алгоритмов и аппаратных средств, в том числе отечественных
USIM-карт с доверенным ПО и ключами, российской системы обеспечения и управления ключами отечественного доверенного абонентского и сетевого оборудования и ПО, обеспечивающих устойчивость функционирования разрабатываемого оборудования и доступность разрабатываемой сети связи
Анализ принципов и требований обеспечения информационной безопасности сети 5G/IMT-2020, основанных на применении российских криптографических алгоритмов и аппаратных средств, в том числе отечественных USIM-карт с доверенным ПО и ключами, российской системы обеспечения и управления ключами отечественного доверенного абонентского и сетевого оборудования и ПО, обеспечивающих устойчивость функционирования разрабатываемого оборудования и доступность разрабатываемой сети связи будет проведен после предоставления
Заказчиком исходных данных, согласно п. 2.5.3 ТЗ.
4.1 «Применение технологий, оборудования и программного обеспечения
российского происхождения в сетевой инфраструктуре 5G/IMT-2020»
При создании сетевой инфраструктуры 5G/IMT-2020 на каждом уровне её архитектуры преимущественно должны применяться телекоммуникационное оборудование (ТКО), средства вычислительной техники (СВТ) и программное обеспечение (ПО) российского происхождения, которые разработаны, в том числе,

60 в рамках реализации ведомственных целевых программ в соответствии с мероприятиями национальной программы «Цифровая экономика Российской
Федерации», при условии их конкурентоспособности:
1) абонентское оборудование, терминалы и ПО;
2) абонентское, сетевое оборудование и ПО систем беспроводного доступа;
3) оборудование и ПО сети радиодоступа;
4) оборудование и ПО оптических транспортных сетей;
5) оборудование и ПО пакетных сетей передачи данных;
6) оборудование и ПО, реализующее функции сетевой и информационной безопасности;
7) ПО реализующее функции сетевых элементов опорной сети 5G/IMT-2020;
8) ПО сетевых и серверных операционных систем;
9) ПО среды виртуализации;
10) ПО платформ мониторинга, управления и оркестрации;
11) оборудование и ПО системы оперативно-розыскных мероприятий;
12) ПО платформ приложений и сервисов;
13) серверы общего назначения;
14) оборудование и ПО систем хранения данных;
15) трансиверы, преобразователи физических сред;
16) антенны и радио- модули базовых станций;
17) датчики, сенсоры, контроллеры и ПО платформ Интернета вещей.
В целях обеспечения миграции существующих сетей связи на перспективную архитектуру 5G/IMT-2020 и их бесшовное взаимодействие, при развитии и модернизации местных/региональных/магистральных оптических транспортных, пакетных сетей, ЦОД и платформ предоставления услуг в инфраструктуре 5G/IMT-
2020 преимущественно должны применяться технологии, ТКО, СВТ и ПО российского происхождения при условии их конкурентоспособности, разработанные (или разрабатываемые в настоящее время), в том числе, в рамках реализации государственных программ развития радиоэлектронной отрасли:
1) абонентское, сетевое оборудование и ПО систем беспроводного и проводного доступа;
2) оборудование и ПО, выполняющее функции шлюзов;
3) оборудование и ПО оптических транспортных сетей;
4) оборудование и ПО пакетных сетей передачи данных;
5) оборудование и ПО, реализующее функции сетевой и информационной безопасности;
6) ПО сетевых и серверных операционных систем;

61 7) ПО среды виртуализации;
8) ПО платформ мониторинга и управления;
9) ПО платформ приложений и сервисов;
10) серверы общего назначения;
11) оборудование и ПО систем хранения данных;
12) трансиверы, преобразователи физических сред.

62
5. Принципы и требования обеспечения информационной безопасности
сети 5G/IMT-2020, основанных на применении российских криптографических
алгоритмов и аппаратных средств, в том числе отечественных USIM-карт с
доверенным ПО и ключами, российской системы обеспечения и управления
ключами отечественного доверенного абонентского и сетевого оборудования и
ПО, обеспечивающих устойчивость функционирования разрабатываемого
оборудования и доступность разрабатываемой сети связи
Настоящий раздел разработан на основе анализа данных об организации информационного обмена, построении и функционировании системы управления, а также об архитектуре сетей связи 5G/IMT-2020, изложенных в стандартах и спецификациях консорциума 3GPP (TS 33.501, TS 23.401, TS 23.502, TS 33.310),
IEFT (RFC 5810, IETF RFC 5440) и ряде других публикаций профильных международных организаций.
Согласно указанным документам сеть связи 5G состоит из следующих основных компонентов:
- абонентского оборудования с USIM-картами,
- сети радиодоступа (RAN), включая сеть backhaul и fronthaul
1
,
- ядра сети (5GC).
На основании имеющихся сведений об архитектуре сети была разработана модель нарушителя для сетей связи 5G/IMT-2020, в которой сформулирован перечень основных угроз информационной безопасности и определены аппаратно- программные объекты защиты, влияющие на конфиденциальность, целостность и доступность информации, обрабатываемой в этих сетях, а именно:
1) оборудование центра изготовления ключей,
2) оборудование изготовления и программирования USIM-карт,
3)
USIM-карты (eSIM),
4) средства аутентификации абонентов,
5)
ЦОД различного уровня с серверным оборудованием и оркестраторами,
6)
SDN контроллеры,
7) коммутаторы,
8) базовые станции с модулями (CU, DU, RU),
1
Классическая транспортная сеть мобильной сети связи состоит из двух основных частей: распределительной сети (Backhaul), связывающей базовые станции с функциональными элементами опорной сети, и магистральной сети, обеспечивающей высокоскоростные каналы связи между функциональными элементами опорной сети.
Переход на облачную архитектуру радиодоступа C-RAN выделил в сети Backhaul два новых сегмента: сеть Fronthaul, объединяющей пулы радиомодулей gNB-RU и распределенные модули gNB-DU, а также сети Midhaul, объединяющей пулы распределенных модулей gNB-DU и центральные модули gNB-CU. Таким образом, базовая станция в общем случае может включать модули CU, DU и RU.

63 9) абонентские устройства (UE).
Обеспечение информационной безопасности сети связи 5G/IMT-2020, согласно принципам, заложенным в действующих спецификациях и рекомендациях, основано на следующих подходах с применением зарубежных криптографических алгоритмов, в том числе:
1)
Применение протоколов аутентификации и согласования ключей для взаимной аутентификации абонентского оборудования с сетью 5G (протоколы 5G-
АКА и ЕАР-АКА’).
2)
Обеспечение абонентским устройством (UE) и базовой станцией (gNB) обязательной поддержки шифрования и контроля целостности абонентского и сигнального RRC трафика от UE до gNB, и обязательной поддержки шифрования и контроля целостности сигнального NAS трафика от UE до функции управления доступом и мобильностью (AMF). Шифрование и контроль целостности осуществляется применением базовых алгоритмов SNOW 3G, AES, ZUC.
3)
Использование скрытого идентификатора абонента SUCI и глобального временного уникального идентификатора абонента 5G-GUTI для обеспечения конфиденциальности личности абонента.
4)
Применение защиты интерфейсов базовых станций и формирование сетевого домена безопасности.
5)
Реализация обеспечения информационной безопасности в общей архитектуре сети, на основе криптографических механизмов, заложенных в. сетевых функциях AUSF, SEAF, ARPF, SCMF, SPCF, SIDF.
6)
Применение архитектуры «Network slicing», обеспечивающей изоляцию различных слоев сети с определением для каждого из них собственного уровня безопасности.
7)
Обеспечение возможности реализации криптографической защиты конечными сервисами (V2X, IoT, IMS, и др.), функционирующими поверх сетей 5G.
8)
Поддержка протокола TLS для взаимного защищенного обмена информацией между функциями ядра сети 5G.
9)
Применение защиты сигнального и пользовательского трафика между базовой станцией eNb сети 4G-LTE и базовой станцией gNb сети 5G («Option 3» сценария миграции 4G к 5G).
Анализ перечисленных подходов к обеспечению информационной безопасности показывает, что они основаны на применении иностранных криптографических алгоритмов. Целесообразно, при создании и развитии сетей
5G/IMT 2020 на территории Российской Федерации внедрять механизмы

64 обеспечения информационной безопасности в указанных сетях отечественные криптографические алгоритмы.
Наряду с использованием отечественных криптографических алгоритмов информационная безопасность сетей 5G/IMT-2020 должна гарантироваться применением доверенного программного обеспечения (ПО) и доверенной электронной компонентной базы (ЭКБ).
Учитывая сложность внедрения российских криптоалгоритмов в спецификации международных стандартов, на ранних этапах развития сети 5G в
Российской Федерации видится необходимым применение отечественных криптографических решений в ключевых элементах сети: SIM-картах, оборудовании изготовления ключей, оборудовании аутентификации абонентов.
Дальнейшее повышение уровня информационной безопасности должно вестись путем планомерной работы по увеличению доли доверенного ПО и ЭКБ, а также внедрения российских криптоалгоритмов в спецификации международных стандартов.
Помимо этого, для обеспечения безопасности в сетях 5G должны быть реализованы:
- защита от несанкционированного доступа к ключевой и критически важной информации,
- обеспечение устойчивости функционирования, включая противодействие недокументированному функционалу в ПО, недекларированным возможностям ЭКБ, использование доверенного времени и т.д.,
- разграничение сегментов сети с применением межсетевых экранов,
- защита от компьютерных атак, в том числе DDoS-атак, с применением средств обнаружения и предупреждения компьютерных атак,
- защита от проникновения вредоносного ПО, включая средства антивирусной защиты,
- обеспечение технической готовности к защищенному обмену с субъектами ГосСОПКА,
- средства отладки и разработки программно-технических комплексов, обеспечивающие безопасность информации при использовании информационной инфраструктуры 5G/IMG-2020,
- выполнение требований ГОСТ 56939-2016 «Защита информации.
Разработка безопасного программного обеспечения. Общие требования».
- обеспечение целостности программного обеспечения, настроек и конфигураций,

65
- обеспечение защиты каналов управления.
Важной составляющей обеспечения информационной безопасности является наличие сформированной нормативной базы, по вопросам обеспечения информационной безопасности в сетях связи 5G. Анализ действующей нормативных документов по указанным вопросам выявил необходимость их доработки в части формирования стандартов и методик обеспечения информационной безопасности сетей 5G в рамках деятельности Федерального агентства по техническому регулированию и метрологии (Росстандарта), серии документов ГОСТ Р 53109, с последующим выборочным закреплением их в нормативной базе отрасли «связь». В число задач, требующих решения по данному направлению, должна быть включена разработка следующих документов:
- типового комплекса организационных мер защиты сетей связи;
- политики обеспечения безопасности сетей связи;
- методик проведения аудита информационной безопасности;
- методик обработки и анализа инцидентов;
- рекомендаций по обеспечению управления персоналом;
- рекомендаций по обеспечению безопасной эксплуатации;
- требований по обеспечению непрерывности функционирования сетей связи;
- типовых требований по обеспечению физической безопасности;
- типовых политик конфиденциальности;
- типового порядка архивного хранения документированной информации.
Для решения задачи обеспечения информационной безопасности в сетях 5G, с учетом рассмотренных подходов и принципов, необходимо создание линейки средств криптографической защиты информации (СКЗИ)и межсетевых экранов
(МЭ) соответствующих классов защиты. Указанные СКЗИ должны разрабатываться и производиться в соответствии с «Положением о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных

66 систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)», утвержденного постановлением Правительства Российской Федерации от 16 апреля
2012 г. № 313, и «Положением о разработке, производстве и эксплуатации шифровальных (криптографических) средств защиты информации (Положение
ПКЗ-2005)», зарегистрированного в Минюсте России 3 марта 2005 г. № 6382, а межсетевые экраны в соответствии с действующими требованиями к МЭ.»
Требования, предъявляемые к отечественному оборудованию, предназначенному для защиты оборудования сети пятого поколения приведены ниже.