3. Обеспечение информационной безопасности в сетях lte
Чтобы свести к минимуму подверженность атакам, базовая станция должна обеспечить безопасную среду, которая поддерживает выполнение таких чувствительных операций, таких как шифрование и расшифровка пользователей данных, хранения ключей. Кроме того, перемещение конфиденциальных данных должны ограничиваться этой безопасной средой. Поэтому меры противодействия, описанные ниже, разработаны специально для минимизации вреда, наносимого в случае кражи ключевой информации из базовых станций:
Проверка целостности устройства;
Взаимная аутентификация базовой;
станции оператора (выдача сертификатов);
Безопасные обновления;
Механизм контроля доступа;
Синхронизация времени;
Фильтрация трафика.
Даже с предпринятыми мерами безопасности, следует учитывать, атаки на базовые станции. Если атака успешна, то злоумышленник может получить полный контроль, включая доступ ко всем передаваемым данным, как от пользовательского устройства, так и информации передаваемой к другим базовым станциям. Чтобы противодействовать результату такого рода нападений на базовую станцию, злоумышленник не должен быть в состоянии изменять как пользовательские данные, так и управляющие данные контрольного канала, предназначаемый другим базовым станциям.
Модель безопасности (trust model) сети LTE очень похожа на модель, предложенную в рамках сетей UMTS. Её можно грубо описать как сеть, состоящую из надежной опорной сети (core network), а также совокупности интерфейсов между базовыми станциями, пользовательскими устройствами и опорной сетью, которые уязвимы для атак.
Взаимодействие базовых станций и опорной сети основывается на протоколах IPsec и IKE. Сильные криптографические методы обеспечивают защиту типа точка-точка для соединения между опорной сетью и пользовательским устройством.
В архитектуре сети LTE для создания плоской структуры сети было принято решение отказаться от контроллеров радиосети - RNC. Тем не менее, так как в технологии LTE некоторый функционал контроллеров интегрирован в базовые станции, то решения, применимые в рамках сетей третьего поколения, не могут быть прямо переложены на сети LTE. К примеру, базовые станции осуществляют хранение ключа шифрования только на период сеанса связи с мобильным терминалом. То есть, в отличие от сетей третьего поколения, ключ шифрования для закрытия управляющих сообщений не хранится в памяти, если связь с мобильным терминалом не установлена. Кроме того, базовые станции сети LTE могут быть установлены в незащищенной местности для обеспечения покрытия внутренних помещений (например, офисов), что, ожидаемо, приведет к возрастанию риска несанкционированного доступа к ним. Таким образом, основное место в котором пользовательские данные находится под угрозой это непосредственно базовая станция.
В сетях LTE алгоритмы шифрования и обеспечения комплексной безопасности основаны на технологии Snow 3G и стандарте AES. Помимо этих двух алгоритмов, в новых релизах планируется использоваться два дополнительных алгоритма таким образом, что даже если один из алгоритмов будет взломан, оставшиеся должны обеспечить безопасность сети LTE. В настоящее время для проверки целостности данных и шифрования алгоритмы, используемые в LTE, имеют 128-битные ключи. Тем не менее, в спецификациях имеется возможность использовать 256-битные ключи. В качестве алгоритмов шифрования используются следующие:
128-EEA1 основанный на алгоритме Snow 3G. В точности повторяет алгоритм UEA2, специфицированный для сетей UMTS,
128-EEA2 основанный на алгоритме AES.
Для проверки целостности данных, спецификации предлагают следующие алгоритмы:
128-EIA1 основанный на алгоритме Snow 3G. В точности повторяет алгоритм UIA2, специфицированный для сетей UMTS,
128-EIA2 основанный на алгоритме AES.
4. Выбор структуры абонентской сети
В данном курсовом проекте разрабатывается абонентская сеть для оператора сотовой связи «Билайн» (ОАО «ВымпелКом»), поэтому, выбирая структуру абонентской сети, необходимо учитывать уже имеющуюся структуру сети данного оператора.
В городе Кирове «Билайн» осуществил переход к сетям третьего поколения (3G), при этом, как и у других операторов «большой тройки», не произошел отказ от более старых технологий, особенно это касается GSM, которая как минимум ещё лет 10 будет основной технологией передачи речи.
Исходя из выше сказанного, можно привести структуру существующей сети на основе стандарта UMTS (рисунок 4.1):
Рисунок 4.1 - Структуру сети на основе стандарта UMTS.
Для выбора новой структуры с внедрением LTE обратимся к опыту других операторов, которые уже внедрении и даже используют в коммерческих целях сети «четвертого» поколения. Здесь передовиком является оператор сотовой связи «Мегафон». На рисунке 4.2 приведена структура сети 4G «Мегафон», интегрированная в 2G и 3G. Далее более подробно представлена структура сети стандарта LTE (рисунок 4.3).
Рисунок 4.2 – Структура абонентской сети оператора «Мегафон».
Рисунок 4.3 – Структура сети стандарта LTE.
Как видно из рисунков 4.2 и 4.3 сеть оператора «Мегафон» содержит не все структурные узлы стандарта LTE. Отчасти поэтому внедренная сеть LTE пусть и отвечает многих требованиям для сетей четвертого поколения, но не может в полной мере таковой называться. Оператор «Билайн» пойдет по тому же пути. Связано это с тем, что полное внедрение 4G требует значительных материальных затрат как со стороны оператора, так и абонента, т.к. на рынке ещё достаточно мало мобильных терминалов, поддерживающих стандарт LTE, и при этом они достаточно дороги [7].
Из рисунка 4.3 видно, что структура сети сильно отличается от сетей стандартов 2G и 3G. Существенные изменения претерпела и подсистема базовых станций, и подсистема коммутации. Была изменена технология передачи данных между оборудованием пользователя и базовой станцией. Также подверглись изменению и протоколы передачи данных между сетевыми элементами. Вся информация (голос, данные) передается в виде пакетов. Таким образом, уже нет разделения на части обрабатывающие либо только голосовую информацию, либо только пакетные данные. Именно в этом главное обстоятельство, которое не дает строящимся сетям LTE называться сетями четвертого поколения: в них присутствует разделение на голос и данные. Рассматриваемые сети LTE относятся к версии 8 стандарта 3GPP LTE.
Можно выделить следующие основные элементы сети стандарта LTE:
Serving SAE Gateway или просто Serving Gateway (SGW) – обслуживающий шлюз сети LTE. Предназначен для обработки и маршрутизации пакетных данных поступающих из/в подсистему базовых станций. SGW имеет прямое соединение с сетями второго и третьего поколений того же оператора, что упрощает передачу соединения в /из них по причинам ухудшения зоны покрытия, перегрузок и т.п. В SGW нет функции коммутации каналов для голосовых соединений, т.к. в LTE вся информация, включая голос коммутируется и передается с помощью пакетов.
Public Data Network SAE Gateway или просто PDN Gateway (PGW) – шлюз к сетям передачи данных других операторов для сети LTE. Основная задача PGW заключается в маршрутизации трафика сети LTE к другим сетям передачи данных, таких как Интернет, а также сетям GSM, UMTS.
Mobility Management Entity (MME) – узел управления мобильностью сети сотовой связи стандарта LTE. Предназначен для обработки сигнализации, преимущественно связанной с управлением мобильностью абонентов в сети.
Home Subscriber Server (HSS) – сервер абонентских данных сети сотовой связи стандарта LTE. Представляет собой большую базу данных и предназначен для хранения данных об абонентах. Кроме того, HSS генерирует данные, необходимые для осуществления процедур шифрования, аутентификации и т.п. Сеть LTE может включать один или несколько HSS. Количество HSS зависит от географической структуры сети и числа абонентов.
Policy and Charging Rules Function (PCRF) – элемент сети сотовой связи стандарта LTE, отвечающий за управление начислением платы за оказанные услуги связи, а также за качество соединений в соответствии с заданными конкретному абоненту характеристиками.
Итак, в качестве структуры будущей абонентской сети выберем структуру, представленную на рисунке 4.2. Абонентская сеть будет построена на основе имеющихся базовых станций и архитектуры транспортной сети.