Главная страница
Навигация по странице:

  • 4.1 «Применение технологий, оборудования и программного обеспечения

  • 5. Принципы и требования обеспечения информационной безопасности сети 5G/IMT-2020, основанных на применении российских криптографических

  • оборудование систем связи. реферат оборудование систем связи. Концепция создания и развития сетей 5Gimt2020 в Российской Федерации


    Скачать 1.86 Mb.
    НазваниеКонцепция создания и развития сетей 5Gimt2020 в Российской Федерации
    Анкороборудование систем связи
    Дата25.04.2023
    Размер1.86 Mb.
    Формат файлаpdf
    Имя файлареферат оборудование систем связи.pdf
    ТипРеферат
    #1089049
    страница6 из 10
    1   2   3   4   5   6   7   8   9   10
    Packet Core
    (
    например,
    AMF, SMF, UPF)
    VNF
    Policy Control
    (
    например,
    PCF)
    VNF
    Subscriber Data
    (
    например, UDM,
    UDR)
    VNF Slice&
    Network Control
    (
    например, NSSF,
    NRF)
    Виртуальная опорная сеть 5GC
    Vn-Nf
    EM
    EM
    EM
    EM
    Itf-N
    NM
    VNF
    Cloud RAN
    (
    например,
    gNB-CU-C/U)
    EM
    Рисунок 4.1 - Виртуализация сетевых элементов инфраструктуры
    5G/IMT-2020 2. Программно-определяемые сети SDN (Software Defined Network) – это технология, позволяющая отделять функции уровня передачи данных от функций уровня управления коммутатором и передаваемым им трафиком. Такой подход предполагает перенос из сетевого устройства интеллектуальной составляющей на

    56 выделенный сервер и, как следствие, максимальное упрощение и удешевление сетевых элементов – коммутаторов, маршрутизаторов.
    Технология SDN нацелена на решение следующих проблем:
    - повышение эффективности механизмов управления пропускной способности сети;
    - упрощение управления сетью и повышению его уровня автоматизации;
    - повышение масштабируемости сети;
    - усиление безопасности сетей;
    - повышение эффективности маршрутизации;
    - снижение капитальных затрат и затрат на эксплуатацию.
    Основная идея SDN-подхода:
    - отделить управление сетевым оборудованием от управления передачей данных за счет создания специального программного обеспечения, которое может работать на обычном отдельном компьютере и которое находится под контролем администратора сети;
    - перейти от управления отдельными экземплярами сетевого оборудования к управлению сетью в целом;
    - создать интеллектуальный программно-управляемый интерфейс между сетевым приложением и транспортной средой сети.
    Основными компонентами программно-определяемых сетей SDN на базе протокола OpenFlow являются (рис. 4.3):
    OpenFlow
    Коммутатор 2
    OpenFlow контроллер
    OpenFlow
    Коммутатор 1
    OpenFlow
    Коммутатор 3
    Рисунок. 4.3 - Схема взаимодействия коммутаторов с контроллером по протоколу OpenFlow
    - OpenFlow коммутатор;

    57
    - OpenFlow контроллер, или сетевая операционная система;
    - защищенный канал, посредством которого осуществляется взаимодействие контроллера и коммутатора (в большинстве случаев для защиты передаваемых сообщений используется TLS (transport layer security - протокол защиты транспортного уровня), однако, возможна передача без шифрования).
    Сетевая инфраструктура программно-определяемой сети SDN должна строиться в соответствии с открытыми протоколами OpenFlow, быть унифицированной и обеспечивать возможность реализации мультивендорных технических решений.
    Сетевая инфраструктура программно-определяемой сети SDN позволяет строить сети в высокой коммутационной емкостью и скоростью передачи данных.
    3. Облачная инфраструктура Cloud RAN сети радиодоступа NG-RAN
    Облачная сеть радиодоступа NG-RAN, представленная на рис.4.4, основана на реализации моделей базовой станции gNB с использованием технологии виртуализации NVF и имеет ряд преимуществ:
    - реализация программно-определяемых мультистандартных базовых станций
    NR/E-UTRA, гибкость и масштабируемость виртуальных решений;
    - размещение оборудования базовых станций в центрах обработки данных высокой степени надежности и безопасности;
    - единая облачная инфраструктура Cloud RAN управляет большим количеством радиомодулей и охватывает большую территорию радиопокрытия, обеспечивает более оптимальное использование частотного ресурса, более эффективную работу алгоритмов компенсации помех ICIC и многоточечной передачи CoMP, Intra-RAT хендоверов.

    58
    Радиомодуль gNB-RU
    Многоэлементная антенная система
    Massive MIMO
    (одна или несколько панелей)
    Радиомодуль gNB-RU
    Многоэлементная антенная система
    Massive MIMO
    (одна или несколько панелей)
    UE1
    UE2
    UE1
    UE2
    Транспортная сеть Fronthaul
    Распределенный модуль gNB-DU
    gNB-DU
    gNB-DU
    Транспортная сеть
    Midhaul
    Облачная инфраструктура
    NG-RAN
    (ЦОД)
    Виртуальная инфраструктура ЦОД NFVI
    VNF
    gNB-CU-CP
    VNF
    gNB-CU-UP
    E1
    F1-C
    F1-U
    GTP-U
    UDP/IP
    L2
    L1
    User Plane
    Transport
    Net work
    Layer
    SCTP
    IP
    L2
    L1
    F1AP
    SCTP
    IP
    L2/L1
    E1AP
    Рисунок 4.4 - Облачная инфраструктура Cloud RAN сети радиодоступа NG-RAN
    4. Виртуализация транспортной сети (Virtualized Backhaul)
    Классическая транспортная сеть мобильной сети состоит из двух основных частей: распределительной сети (Backhaul), связывающей базовые станции с функциональными элементами опорной сети, и магистральной сети (Backbone), обеспечивающей высокоскоростные каналы связи между функциональными элементами опорной сети. Переход на архитектуру C-RAN привел к выделению в сети Backhaul двух новых сегментов: сети «Fronthaul», объединяющей пулы радиомодулей gNB-RUи распределенные модули gNB-DU, и сети «Midhaul», объединяющей пулы распределенных модулей gNB-DU и центральные модули gNB-
    CU. Совокупность сетей «Fronthoul», «Midhaul» и «Backhaul»получила обобщенное наименование сети «X-haul» и может быть построена с применением различных технологий, включая оптоволоконные линии связи, радиорелейные линии, спутниковые линии связи, Carrier Ethernet, IP/MPLS, Segment Routing и др.
    Внедрение технологий SDN/NFV в сети 5G/IMT-2020 также существенно для модернизации функциональных узлов транспортных сетей (например, узлов P, PE, сети IP/MPLS). Поэтому для построения транспортной сети возможно, как

    59 применение только концепции NFV, то есть внедрение виртуализированных маршрутизаторов и коммутаторов, работающих на серверах COTS, так и применение комплексной концепции SDN/NFV, что означает новый подход к организации сетевого взаимодействия (использование контроллера и коммутаторов
    SDN, как виртуализированных, так и нет).
    Программно-определяемая транспортная сеть SDN/NFV позволяет отделить функционал управления (плоскости Control Plane и Management Plane) от функционала приема, обработки и пересылки пакетов данных (плоскости Data
    Plane), а также реализовать функционал управления с использованием технологии виртуализации.
    Виртуальная транспортная сеть позволяет повысить эффективность механизмов управления пропускной способности сети; централизовать алгоритмы управления сетью, повысить масштабируемость сети и обеспечить автоматизированную реализацию новых сетевых сервисов и новых сетевых слоев
    (network slices) опорной сети 5GC (5G Core).
    5. Анализ принципов и требований обеспечения информационной безопасности сети 5G/IMT-2020, основанных на применении российских криптографических алгоритмов и аппаратных средств, в том числе отечественных
    USIM-карт с доверенным ПО и ключами, российской системы обеспечения и управления ключами отечественного доверенного абонентского и сетевого оборудования и ПО, обеспечивающих устойчивость функционирования разрабатываемого оборудования и доступность разрабатываемой сети связи
    Анализ принципов и требований обеспечения информационной безопасности сети 5G/IMT-2020, основанных на применении российских криптографических алгоритмов и аппаратных средств, в том числе отечественных USIM-карт с доверенным ПО и ключами, российской системы обеспечения и управления ключами отечественного доверенного абонентского и сетевого оборудования и ПО, обеспечивающих устойчивость функционирования разрабатываемого оборудования и доступность разрабатываемой сети связи будет проведен после предоставления
    Заказчиком исходных данных, согласно п. 2.5.3 ТЗ.
    4.1 «Применение технологий, оборудования и программного обеспечения
    российского происхождения в сетевой инфраструктуре 5G/IMT-2020»
    При создании сетевой инфраструктуры 5G/IMT-2020 на каждом уровне её архитектуры преимущественно должны применяться телекоммуникационное оборудование (ТКО), средства вычислительной техники (СВТ) и программное обеспечение (ПО) российского происхождения, которые разработаны, в том числе,

    60 в рамках реализации ведомственных целевых программ в соответствии с мероприятиями национальной программы «Цифровая экономика Российской
    Федерации», при условии их конкурентоспособности:
    1) абонентское оборудование, терминалы и ПО;
    2) абонентское, сетевое оборудование и ПО систем беспроводного доступа;
    3) оборудование и ПО сети радиодоступа;
    4) оборудование и ПО оптических транспортных сетей;
    5) оборудование и ПО пакетных сетей передачи данных;
    6) оборудование и ПО, реализующее функции сетевой и информационной безопасности;
    7) ПО реализующее функции сетевых элементов опорной сети 5G/IMT-2020;
    8) ПО сетевых и серверных операционных систем;
    9) ПО среды виртуализации;
    10) ПО платформ мониторинга, управления и оркестрации;
    11) оборудование и ПО системы оперативно-розыскных мероприятий;
    12) ПО платформ приложений и сервисов;
    13) серверы общего назначения;
    14) оборудование и ПО систем хранения данных;
    15) трансиверы, преобразователи физических сред;
    16) антенны и радио- модули базовых станций;
    17) датчики, сенсоры, контроллеры и ПО платформ Интернета вещей.
    В целях обеспечения миграции существующих сетей связи на перспективную архитектуру 5G/IMT-2020 и их
    бесшовное взаимодействие, при развитии и модернизации местных/региональных/магистральных оптических транспортных, пакетных сетей, ЦОД и платформ предоставления услуг в инфраструктуре 5G/IMT-
    2020 преимущественно должны применяться технологии, ТКО, СВТ и ПО российского происхождения при условии их конкурентоспособности, разработанные (или разрабатываемые в настоящее время), в том числе, в рамках реализации государственных программ развития радиоэлектронной отрасли:
    1) абонентское, сетевое оборудование и ПО систем беспроводного и проводного доступа;
    2) оборудование и ПО, выполняющее функции шлюзов;
    3) оборудование и ПО оптических транспортных сетей;
    4) оборудование и ПО пакетных сетей передачи данных;
    5) оборудование и ПО, реализующее функции сетевой и информационной безопасности;
    6) ПО сетевых и серверных операционных систем;

    61 7) ПО среды виртуализации;
    8) ПО платформ мониторинга и управления;
    9) ПО платформ приложений и сервисов;
    10) серверы общего назначения;
    11) оборудование и ПО систем хранения данных;
    12) трансиверы, преобразователи физических сред.

    62
    5. Принципы и требования обеспечения информационной безопасности
    сети 5G/IMT-2020, основанных на применении российских криптографических
    алгоритмов и аппаратных средств, в том числе отечественных USIM-карт с
    доверенным ПО и ключами, российской системы обеспечения и управления
    ключами отечественного доверенного абонентского и сетевого оборудования и
    ПО, обеспечивающих устойчивость функционирования разрабатываемого
    оборудования и доступность разрабатываемой сети связи
    Настоящий раздел разработан на основе анализа данных об организации информационного обмена, построении и функционировании системы управления, а также об архитектуре сетей связи 5G/IMT-2020, изложенных в стандартах и спецификациях консорциума 3GPP (TS 33.501, TS 23.401, TS 23.502, TS 33.310),
    IEFT (RFC 5810, IETF RFC 5440) и ряде других публикаций профильных международных организаций.
    Согласно указанным документам сеть связи 5G состоит из следующих основных компонентов:
    - абонентского оборудования с USIM-картами,
    - сети радиодоступа (RAN), включая сеть backhaul и fronthaul
    1
    ,
    - ядра сети (5GC).
    На основании имеющихся сведений об архитектуре сети была разработана модель нарушителя для сетей связи 5G/IMT-2020, в которой сформулирован перечень основных угроз информационной безопасности и определены аппаратно- программные объекты защиты, влияющие на конфиденциальность, целостность и доступность информации, обрабатываемой в этих сетях, а именно:
    1) оборудование центра изготовления ключей,
    2) оборудование изготовления и программирования USIM-карт,
    3)
    USIM-карты (eSIM),
    4) средства аутентификации абонентов,
    5)
    ЦОД различного уровня с серверным оборудованием и оркестраторами,
    6)
    SDN контроллеры,
    7) коммутаторы,
    8) базовые станции с модулями (CU, DU, RU),
    1
    Классическая транспортная сеть мобильной сети связи состоит из двух основных частей: распределительной сети (Backhaul), связывающей базовые станции с функциональными элементами опорной сети, и магистральной сети, обеспечивающей высокоскоростные каналы связи между функциональными элементами опорной сети.
    Переход на облачную архитектуру радиодоступа C-RAN выделил в сети Backhaul два новых сегмента: сеть Fronthaul, объединяющей пулы радиомодулей gNB-RU и распределенные модули gNB-DU, а также сети Midhaul, объединяющей пулы распределенных модулей gNB-DU и центральные модули gNB-CU. Таким образом, базовая станция в общем случае может включать модули CU, DU и RU.

    63 9) абонентские устройства (UE).
    Обеспечение информационной безопасности сети связи 5G/IMT-2020, согласно принципам, заложенным в действующих спецификациях и рекомендациях, основано на следующих подходах с применением зарубежных криптографических алгоритмов, в том числе:
    1)
    Применение протоколов аутентификации и согласования ключей для взаимной аутентификации абонентского оборудования с сетью 5G (протоколы 5G-
    АКА и ЕАР-АКА’).
    2)
    Обеспечение абонентским устройством (UE) и базовой станцией (gNB) обязательной поддержки шифрования и контроля целостности абонентского и сигнального RRC трафика от UE до gNB, и обязательной поддержки шифрования и контроля целостности сигнального NAS трафика от UE до функции управления доступом и мобильностью (AMF). Шифрование и контроль целостности осуществляется применением базовых алгоритмов SNOW 3G, AES, ZUC.
    3)
    Использование скрытого идентификатора абонента SUCI и глобального временного уникального идентификатора абонента 5G-GUTI для обеспечения конфиденциальности личности абонента.
    4)
    Применение защиты интерфейсов базовых станций и формирование сетевого домена безопасности.
    5)
    Реализация обеспечения информационной безопасности в общей архитектуре сети, на основе криптографических механизмов, заложенных в. сетевых функциях AUSF, SEAF, ARPF, SCMF, SPCF, SIDF.
    6)
    Применение архитектуры «Network slicing», обеспечивающей изоляцию различных слоев сети с определением для каждого из них собственного уровня безопасности.
    7)
    Обеспечение возможности реализации криптографической защиты конечными сервисами (V2X, IoT, IMS, и др.), функционирующими поверх сетей 5G.
    8)
    Поддержка протокола TLS для взаимного защищенного обмена информацией между функциями ядра сети 5G.
    9)
    Применение защиты сигнального и пользовательского трафика между базовой станцией eNb сети 4G-LTE и базовой станцией gNb сети 5G («Option 3» сценария миграции 4G к 5G).
    Анализ перечисленных подходов к обеспечению информационной безопасности показывает, что они основаны на применении иностранных криптографических алгоритмов. Целесообразно, при создании и развитии сетей
    5G/IMT 2020 на территории Российской Федерации внедрять механизмы

    64 обеспечения информационной безопасности в указанных сетях отечественные криптографические алгоритмы.
    Наряду с использованием отечественных криптографических алгоритмов информационная безопасность сетей 5G/IMT-2020 должна гарантироваться применением доверенного программного обеспечения (ПО) и доверенной электронной компонентной базы (ЭКБ).
    Учитывая сложность внедрения российских криптоалгоритмов в спецификации международных стандартов, на ранних этапах развития сети 5G в
    Российской Федерации видится необходимым применение отечественных криптографических решений в ключевых элементах сети: SIM-картах, оборудовании изготовления ключей, оборудовании аутентификации абонентов.
    Дальнейшее повышение уровня информационной безопасности должно вестись путем планомерной работы по увеличению доли доверенного ПО и ЭКБ, а также внедрения российских криптоалгоритмов в спецификации международных стандартов.
    Помимо этого, для обеспечения безопасности в сетях 5G должны быть реализованы:
    - защита от несанкционированного доступа к ключевой и критически важной информации,
    - обеспечение устойчивости функционирования, включая противодействие недокументированному функционалу в ПО, недекларированным возможностям ЭКБ, использование доверенного времени и т.д.,
    - разграничение сегментов сети с применением межсетевых экранов,
    - защита от компьютерных атак, в том числе DDoS-атак, с применением средств обнаружения и предупреждения компьютерных атак,
    - защита от проникновения вредоносного ПО, включая средства антивирусной защиты,
    - обеспечение технической готовности к защищенному обмену с субъектами ГосСОПКА,
    - средства отладки и разработки программно-технических комплексов, обеспечивающие безопасность информации при использовании информационной инфраструктуры 5G/IMG-2020,
    - выполнение требований ГОСТ 56939-2016 «Защита информации.
    Разработка безопасного программного обеспечения. Общие требования».
    - обеспечение целостности программного обеспечения, настроек и конфигураций,

    65
    - обеспечение защиты каналов управления.
    Важной составляющей обеспечения информационной безопасности является наличие сформированной нормативной базы, по вопросам обеспечения информационной безопасности в сетях связи 5G. Анализ действующей нормативных документов по указанным вопросам выявил необходимость их доработки в части формирования стандартов и методик обеспечения информационной безопасности сетей 5G в рамках деятельности Федерального агентства по техническому регулированию и метрологии (Росстандарта), серии документов ГОСТ Р 53109, с последующим выборочным закреплением их в нормативной базе отрасли «связь». В число задач, требующих решения по данному направлению, должна быть включена разработка следующих документов:
    - типового комплекса организационных мер защиты сетей связи;
    - политики обеспечения безопасности сетей связи;
    - методик проведения аудита информационной безопасности;
    - методик обработки и анализа инцидентов;
    - рекомендаций по обеспечению управления персоналом;
    - рекомендаций по обеспечению безопасной эксплуатации;
    - требований по обеспечению непрерывности функционирования сетей связи;
    - типовых требований по обеспечению физической безопасности;
    - типовых политик конфиденциальности;
    - типового порядка архивного хранения документированной информации.
    Для решения задачи обеспечения информационной безопасности в сетях 5G, с учетом рассмотренных подходов и принципов, необходимо создание линейки средств криптографической защиты информации (СКЗИ)и межсетевых экранов
    (МЭ) соответствующих классов защиты. Указанные СКЗИ должны разрабатываться и производиться в соответствии с «Положением о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных
    (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных

    66 систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)», утвержденного постановлением Правительства Российской Федерации от 16 апреля
    2012 г. № 313, и «Положением о разработке, производстве и эксплуатации шифровальных (криптографических) средств защиты информации (Положение
    ПКЗ-2005)», зарегистрированного в Минюсте России 3 марта 2005 г. № 6382, а межсетевые экраны в соответствии с действующими требованиями к МЭ.»
    Требования, предъявляемые к отечественному оборудованию, предназначенному для защиты оборудования сети пятого поколения приведены ниже.
    1   2   3   4   5   6   7   8   9   10


    написать администратору сайта