оборудование систем связи. реферат оборудование систем связи. Концепция создания и развития сетей 5Gimt2020 в Российской Федерации
Скачать 1.86 Mb.
|
Packet Core ( например, AMF, SMF, UPF) VNF Policy Control ( например, PCF) VNF Subscriber Data ( например, UDM, UDR) VNF Slice& Network Control ( например, NSSF, NRF) Виртуальная опорная сеть 5GC Vn-Nf EM EM EM EM Itf-N NM VNF Cloud RAN ( например, gNB-CU-C/U) EM Рисунок 4.1 - Виртуализация сетевых элементов инфраструктуры 5G/IMT-2020 2. Программно-определяемые сети SDN (Software Defined Network) – это технология, позволяющая отделять функции уровня передачи данных от функций уровня управления коммутатором и передаваемым им трафиком. Такой подход предполагает перенос из сетевого устройства интеллектуальной составляющей на 56 выделенный сервер и, как следствие, максимальное упрощение и удешевление сетевых элементов – коммутаторов, маршрутизаторов. Технология SDN нацелена на решение следующих проблем: - повышение эффективности механизмов управления пропускной способности сети; - упрощение управления сетью и повышению его уровня автоматизации; - повышение масштабируемости сети; - усиление безопасности сетей; - повышение эффективности маршрутизации; - снижение капитальных затрат и затрат на эксплуатацию. Основная идея SDN-подхода: - отделить управление сетевым оборудованием от управления передачей данных за счет создания специального программного обеспечения, которое может работать на обычном отдельном компьютере и которое находится под контролем администратора сети; - перейти от управления отдельными экземплярами сетевого оборудования к управлению сетью в целом; - создать интеллектуальный программно-управляемый интерфейс между сетевым приложением и транспортной средой сети. Основными компонентами программно-определяемых сетей SDN на базе протокола OpenFlow являются (рис. 4.3): OpenFlow Коммутатор 2 OpenFlow контроллер OpenFlow Коммутатор 1 OpenFlow Коммутатор 3 Рисунок. 4.3 - Схема взаимодействия коммутаторов с контроллером по протоколу OpenFlow - OpenFlow коммутатор; 57 - OpenFlow контроллер, или сетевая операционная система; - защищенный канал, посредством которого осуществляется взаимодействие контроллера и коммутатора (в большинстве случаев для защиты передаваемых сообщений используется TLS (transport layer security - протокол защиты транспортного уровня), однако, возможна передача без шифрования). Сетевая инфраструктура программно-определяемой сети SDN должна строиться в соответствии с открытыми протоколами OpenFlow, быть унифицированной и обеспечивать возможность реализации мультивендорных технических решений. Сетевая инфраструктура программно-определяемой сети SDN позволяет строить сети в высокой коммутационной емкостью и скоростью передачи данных. 3. Облачная инфраструктура Cloud RAN сети радиодоступа NG-RAN Облачная сеть радиодоступа NG-RAN, представленная на рис.4.4, основана на реализации моделей базовой станции gNB с использованием технологии виртуализации NVF и имеет ряд преимуществ: - реализация программно-определяемых мультистандартных базовых станций NR/E-UTRA, гибкость и масштабируемость виртуальных решений; - размещение оборудования базовых станций в центрах обработки данных высокой степени надежности и безопасности; - единая облачная инфраструктура Cloud RAN управляет большим количеством радиомодулей и охватывает большую территорию радиопокрытия, обеспечивает более оптимальное использование частотного ресурса, более эффективную работу алгоритмов компенсации помех ICIC и многоточечной передачи CoMP, Intra-RAT хендоверов. 58 Радиомодуль gNB-RU Многоэлементная антенная система Massive MIMO (одна или несколько панелей) Радиомодуль gNB-RU Многоэлементная антенная система Massive MIMO (одна или несколько панелей) UE1 UE2 UE1 UE2 Транспортная сеть Fronthaul Распределенный модуль gNB-DU gNB-DU gNB-DU Транспортная сеть Midhaul Облачная инфраструктура NG-RAN (ЦОД) Виртуальная инфраструктура ЦОД NFVI VNF gNB-CU-CP VNF gNB-CU-UP E1 F1-C F1-U GTP-U UDP/IP L2 L1 User Plane Transport Net work Layer SCTP IP L2 L1 F1AP SCTP IP L2/L1 E1AP Рисунок 4.4 - Облачная инфраструктура Cloud RAN сети радиодоступа NG-RAN 4. Виртуализация транспортной сети (Virtualized Backhaul) Классическая транспортная сеть мобильной сети состоит из двух основных частей: распределительной сети (Backhaul), связывающей базовые станции с функциональными элементами опорной сети, и магистральной сети (Backbone), обеспечивающей высокоскоростные каналы связи между функциональными элементами опорной сети. Переход на архитектуру C-RAN привел к выделению в сети Backhaul двух новых сегментов: сети «Fronthaul», объединяющей пулы радиомодулей gNB-RUи распределенные модули gNB-DU, и сети «Midhaul», объединяющей пулы распределенных модулей gNB-DU и центральные модули gNB- CU. Совокупность сетей «Fronthoul», «Midhaul» и «Backhaul»получила обобщенное наименование сети «X-haul» и может быть построена с применением различных технологий, включая оптоволоконные линии связи, радиорелейные линии, спутниковые линии связи, Carrier Ethernet, IP/MPLS, Segment Routing и др. Внедрение технологий SDN/NFV в сети 5G/IMT-2020 также существенно для модернизации функциональных узлов транспортных сетей (например, узлов P, PE, сети IP/MPLS). Поэтому для построения транспортной сети возможно, как 59 применение только концепции NFV, то есть внедрение виртуализированных маршрутизаторов и коммутаторов, работающих на серверах COTS, так и применение комплексной концепции SDN/NFV, что означает новый подход к организации сетевого взаимодействия (использование контроллера и коммутаторов SDN, как виртуализированных, так и нет). Программно-определяемая транспортная сеть SDN/NFV позволяет отделить функционал управления (плоскости Control Plane и Management Plane) от функционала приема, обработки и пересылки пакетов данных (плоскости Data Plane), а также реализовать функционал управления с использованием технологии виртуализации. Виртуальная транспортная сеть позволяет повысить эффективность механизмов управления пропускной способности сети; централизовать алгоритмы управления сетью, повысить масштабируемость сети и обеспечить автоматизированную реализацию новых сетевых сервисов и новых сетевых слоев (network slices) опорной сети 5GC (5G Core). 5. Анализ принципов и требований обеспечения информационной безопасности сети 5G/IMT-2020, основанных на применении российских криптографических алгоритмов и аппаратных средств, в том числе отечественных USIM-карт с доверенным ПО и ключами, российской системы обеспечения и управления ключами отечественного доверенного абонентского и сетевого оборудования и ПО, обеспечивающих устойчивость функционирования разрабатываемого оборудования и доступность разрабатываемой сети связи Анализ принципов и требований обеспечения информационной безопасности сети 5G/IMT-2020, основанных на применении российских криптографических алгоритмов и аппаратных средств, в том числе отечественных USIM-карт с доверенным ПО и ключами, российской системы обеспечения и управления ключами отечественного доверенного абонентского и сетевого оборудования и ПО, обеспечивающих устойчивость функционирования разрабатываемого оборудования и доступность разрабатываемой сети связи будет проведен после предоставления Заказчиком исходных данных, согласно п. 2.5.3 ТЗ. 4.1 «Применение технологий, оборудования и программного обеспечения российского происхождения в сетевой инфраструктуре 5G/IMT-2020» При создании сетевой инфраструктуры 5G/IMT-2020 на каждом уровне её архитектуры преимущественно должны применяться телекоммуникационное оборудование (ТКО), средства вычислительной техники (СВТ) и программное обеспечение (ПО) российского происхождения, которые разработаны, в том числе, 60 в рамках реализации ведомственных целевых программ в соответствии с мероприятиями национальной программы «Цифровая экономика Российской Федерации», при условии их конкурентоспособности: 1) абонентское оборудование, терминалы и ПО; 2) абонентское, сетевое оборудование и ПО систем беспроводного доступа; 3) оборудование и ПО сети радиодоступа; 4) оборудование и ПО оптических транспортных сетей; 5) оборудование и ПО пакетных сетей передачи данных; 6) оборудование и ПО, реализующее функции сетевой и информационной безопасности; 7) ПО реализующее функции сетевых элементов опорной сети 5G/IMT-2020; 8) ПО сетевых и серверных операционных систем; 9) ПО среды виртуализации; 10) ПО платформ мониторинга, управления и оркестрации; 11) оборудование и ПО системы оперативно-розыскных мероприятий; 12) ПО платформ приложений и сервисов; 13) серверы общего назначения; 14) оборудование и ПО систем хранения данных; 15) трансиверы, преобразователи физических сред; 16) антенны и радио- модули базовых станций; 17) датчики, сенсоры, контроллеры и ПО платформ Интернета вещей. В целях обеспечения миграции существующих сетей связи на перспективную архитектуру 5G/IMT-2020 и их бесшовное взаимодействие, при развитии и модернизации местных/региональных/магистральных оптических транспортных, пакетных сетей, ЦОД и платформ предоставления услуг в инфраструктуре 5G/IMT- 2020 преимущественно должны применяться технологии, ТКО, СВТ и ПО российского происхождения при условии их конкурентоспособности, разработанные (или разрабатываемые в настоящее время), в том числе, в рамках реализации государственных программ развития радиоэлектронной отрасли: 1) абонентское, сетевое оборудование и ПО систем беспроводного и проводного доступа; 2) оборудование и ПО, выполняющее функции шлюзов; 3) оборудование и ПО оптических транспортных сетей; 4) оборудование и ПО пакетных сетей передачи данных; 5) оборудование и ПО, реализующее функции сетевой и информационной безопасности; 6) ПО сетевых и серверных операционных систем; 61 7) ПО среды виртуализации; 8) ПО платформ мониторинга и управления; 9) ПО платформ приложений и сервисов; 10) серверы общего назначения; 11) оборудование и ПО систем хранения данных; 12) трансиверы, преобразователи физических сред. 62 5. Принципы и требования обеспечения информационной безопасности сети 5G/IMT-2020, основанных на применении российских криптографических алгоритмов и аппаратных средств, в том числе отечественных USIM-карт с доверенным ПО и ключами, российской системы обеспечения и управления ключами отечественного доверенного абонентского и сетевого оборудования и ПО, обеспечивающих устойчивость функционирования разрабатываемого оборудования и доступность разрабатываемой сети связи Настоящий раздел разработан на основе анализа данных об организации информационного обмена, построении и функционировании системы управления, а также об архитектуре сетей связи 5G/IMT-2020, изложенных в стандартах и спецификациях консорциума 3GPP (TS 33.501, TS 23.401, TS 23.502, TS 33.310), IEFT (RFC 5810, IETF RFC 5440) и ряде других публикаций профильных международных организаций. Согласно указанным документам сеть связи 5G состоит из следующих основных компонентов: - абонентского оборудования с USIM-картами, - сети радиодоступа (RAN), включая сеть backhaul и fronthaul 1 , - ядра сети (5GC). На основании имеющихся сведений об архитектуре сети была разработана модель нарушителя для сетей связи 5G/IMT-2020, в которой сформулирован перечень основных угроз информационной безопасности и определены аппаратно- программные объекты защиты, влияющие на конфиденциальность, целостность и доступность информации, обрабатываемой в этих сетях, а именно: 1) оборудование центра изготовления ключей, 2) оборудование изготовления и программирования USIM-карт, 3) USIM-карты (eSIM), 4) средства аутентификации абонентов, 5) ЦОД различного уровня с серверным оборудованием и оркестраторами, 6) SDN контроллеры, 7) коммутаторы, 8) базовые станции с модулями (CU, DU, RU), 1 Классическая транспортная сеть мобильной сети связи состоит из двух основных частей: распределительной сети (Backhaul), связывающей базовые станции с функциональными элементами опорной сети, и магистральной сети, обеспечивающей высокоскоростные каналы связи между функциональными элементами опорной сети. Переход на облачную архитектуру радиодоступа C-RAN выделил в сети Backhaul два новых сегмента: сеть Fronthaul, объединяющей пулы радиомодулей gNB-RU и распределенные модули gNB-DU, а также сети Midhaul, объединяющей пулы распределенных модулей gNB-DU и центральные модули gNB-CU. Таким образом, базовая станция в общем случае может включать модули CU, DU и RU. 63 9) абонентские устройства (UE). Обеспечение информационной безопасности сети связи 5G/IMT-2020, согласно принципам, заложенным в действующих спецификациях и рекомендациях, основано на следующих подходах с применением зарубежных криптографических алгоритмов, в том числе: 1) Применение протоколов аутентификации и согласования ключей для взаимной аутентификации абонентского оборудования с сетью 5G (протоколы 5G- АКА и ЕАР-АКА’). 2) Обеспечение абонентским устройством (UE) и базовой станцией (gNB) обязательной поддержки шифрования и контроля целостности абонентского и сигнального RRC трафика от UE до gNB, и обязательной поддержки шифрования и контроля целостности сигнального NAS трафика от UE до функции управления доступом и мобильностью (AMF). Шифрование и контроль целостности осуществляется применением базовых алгоритмов SNOW 3G, AES, ZUC. 3) Использование скрытого идентификатора абонента SUCI и глобального временного уникального идентификатора абонента 5G-GUTI для обеспечения конфиденциальности личности абонента. 4) Применение защиты интерфейсов базовых станций и формирование сетевого домена безопасности. 5) Реализация обеспечения информационной безопасности в общей архитектуре сети, на основе криптографических механизмов, заложенных в. сетевых функциях AUSF, SEAF, ARPF, SCMF, SPCF, SIDF. 6) Применение архитектуры «Network slicing», обеспечивающей изоляцию различных слоев сети с определением для каждого из них собственного уровня безопасности. 7) Обеспечение возможности реализации криптографической защиты конечными сервисами (V2X, IoT, IMS, и др.), функционирующими поверх сетей 5G. 8) Поддержка протокола TLS для взаимного защищенного обмена информацией между функциями ядра сети 5G. 9) Применение защиты сигнального и пользовательского трафика между базовой станцией eNb сети 4G-LTE и базовой станцией gNb сети 5G («Option 3» сценария миграции 4G к 5G). Анализ перечисленных подходов к обеспечению информационной безопасности показывает, что они основаны на применении иностранных криптографических алгоритмов. Целесообразно, при создании и развитии сетей 5G/IMT 2020 на территории Российской Федерации внедрять механизмы 64 обеспечения информационной безопасности в указанных сетях отечественные криптографические алгоритмы. Наряду с использованием отечественных криптографических алгоритмов информационная безопасность сетей 5G/IMT-2020 должна гарантироваться применением доверенного программного обеспечения (ПО) и доверенной электронной компонентной базы (ЭКБ). Учитывая сложность внедрения российских криптоалгоритмов в спецификации международных стандартов, на ранних этапах развития сети 5G в Российской Федерации видится необходимым применение отечественных криптографических решений в ключевых элементах сети: SIM-картах, оборудовании изготовления ключей, оборудовании аутентификации абонентов. Дальнейшее повышение уровня информационной безопасности должно вестись путем планомерной работы по увеличению доли доверенного ПО и ЭКБ, а также внедрения российских криптоалгоритмов в спецификации международных стандартов. Помимо этого, для обеспечения безопасности в сетях 5G должны быть реализованы: - защита от несанкционированного доступа к ключевой и критически важной информации, - обеспечение устойчивости функционирования, включая противодействие недокументированному функционалу в ПО, недекларированным возможностям ЭКБ, использование доверенного времени и т.д., - разграничение сегментов сети с применением межсетевых экранов, - защита от компьютерных атак, в том числе DDoS-атак, с применением средств обнаружения и предупреждения компьютерных атак, - защита от проникновения вредоносного ПО, включая средства антивирусной защиты, - обеспечение технической готовности к защищенному обмену с субъектами ГосСОПКА, - средства отладки и разработки программно-технических комплексов, обеспечивающие безопасность информации при использовании информационной инфраструктуры 5G/IMG-2020, - выполнение требований ГОСТ 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». - обеспечение целостности программного обеспечения, настроек и конфигураций, 65 - обеспечение защиты каналов управления. Важной составляющей обеспечения информационной безопасности является наличие сформированной нормативной базы, по вопросам обеспечения информационной безопасности в сетях связи 5G. Анализ действующей нормативных документов по указанным вопросам выявил необходимость их доработки в части формирования стандартов и методик обеспечения информационной безопасности сетей 5G в рамках деятельности Федерального агентства по техническому регулированию и метрологии (Росстандарта), серии документов ГОСТ Р 53109, с последующим выборочным закреплением их в нормативной базе отрасли «связь». В число задач, требующих решения по данному направлению, должна быть включена разработка следующих документов: - типового комплекса организационных мер защиты сетей связи; - политики обеспечения безопасности сетей связи; - методик проведения аудита информационной безопасности; - методик обработки и анализа инцидентов; - рекомендаций по обеспечению управления персоналом; - рекомендаций по обеспечению безопасной эксплуатации; - требований по обеспечению непрерывности функционирования сетей связи; - типовых требований по обеспечению физической безопасности; - типовых политик конфиденциальности; - типового порядка архивного хранения документированной информации. Для решения задачи обеспечения информационной безопасности в сетях 5G, с учетом рассмотренных подходов и принципов, необходимо создание линейки средств криптографической защиты информации (СКЗИ)и межсетевых экранов (МЭ) соответствующих классов защиты. Указанные СКЗИ должны разрабатываться и производиться в соответствии с «Положением о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных 66 систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)», утвержденного постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313, и «Положением о разработке, производстве и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», зарегистрированного в Минюсте России 3 марта 2005 г. № 6382, а межсетевые экраны в соответствии с действующими требованиями к МЭ.» Требования, предъявляемые к отечественному оборудованию, предназначенному для защиты оборудования сети пятого поколения приведены ниже. |