Написан план перехода 5G на российскую криптографию с отечественными «железом» и алгоритмами

Защиту информации в российских сетях 5G предлагается обеспечить с помощью отечественных криптоалгоритмов. В том числе речь идет о стандартизации российских технологий на международном уровне, разработке российских средств виртуализации и переводу сетевых функций 5G на отечественные сервера с доверенной ЭКБ.

Модель нарушителя для сетей 5G

В распоряжении CNews оказался проект Концепции строительства в России сетей пятого поколения сотовой связи (5G), подготовленный госпредприятием «Научно-исследовательский институт радио» (НИИР) по заказу Минкомсвязи. После уточнений со стороны заказчика в документ была добавлена глава об обеспечении защиты информации в будущих сетях 5G.

Сети 5G будут состоять из трех компонентов: абонентское оборудование с USIM-карты; сети радиодоступа (RAN), включая сеть backhaul (распределительная сеть, связывающая базовые станции с функциональными элементами опорной сети) и fronthaul (объединяющая пулы радоимодулей gNB-RU и распределенные модули gNB-DU); ядро сети (5GC).

Для сетей 5G уже составлена модель нарушителя, включающая в себя перечень основных угроз информационной безопасности и основные аппаратно-программные объекты защиты, влияющие на конфиденциальность, целостность и доступность информации, обрабатываемой в этих сетях. Речь идет об оборудовании центра изготовлении ключей, оборудовании изготовления и программирования USIM-карт, USIM-карт (eSIM), средств аутентификации абонентов, центрах обработки данных (ЦОД) различного уровня с серверным оборудованием и оркестраторами, SDN-контроллерах, коммутаторах, базовых станциях с модулями (CU, DU, RU) и абонентских устройства (UE).

Принципы защиты информации в сетях 5G

Обеспечение информационной безопасности в сетях 5G основано на следующих принципах: применение протоколов аутентификации и согласования ключей для взаимной аутентификации абонентского оборудования с сетью 5G (протоколы 5G-AKA и EAP-AKA); обеспечение абонентским устройством (UE) и базовой станцией (gNB) обязательной поддержки шифрования и контроля целостности абонентского и сигнального RRC трафика от UE до gNB и обязательной поддержки шифрования и контроля целостности сигнального NAS-трафика от UE до функции управления доступом и мобильностью (AMF); шифрование и контроль целостности осуществляется применением базовых алгоритмов SNOW 3G, AES, ZUC; использование крытого идентификатора абонента SUCI и глобального временного уникального идентификатора абонента 5G-GUTI для обеспечения конфиденциальности личности абонента; применение защиты интерфейсов базовых станций и формирование сетевого домена безопасности.

Стандартизация отечественных криптоалгоритмов на международном уровне Внедрение отечественной криптографии в сетях 5G в НИИР разделили на несколько этапов. На первом этапе произойдет разработка и внедрение отечественных криптоалгоритмов в алгоритмы выработка ключевой информации и протоколы аутентификации.

Также будет осуществлена разработка и внедрение центра изготовления ключей, доверенной USIM карты и SIM-чипа, оборудования для их изготовления, персонализации и преперсонализации, а также средств аутентификации абонента в сети. Кроме того, запланировано создание доверенного ПО сетевых функций обработки и хранения аутентификационных данных абонентов (UDM, ARPF, AUSF, SDIF, UDR).

На втором этапе будет осуществлена стандартизация отечественных криптоалгоритмов в функциях шифрования и контроля целостности абонентских данных и сигнальных сообщений в документах международных организаций и партнерств (IETF- 3GPP). Это обеспечит возможность их взаимоувязанной реализации всеми производителями сетевых узлов и абонентских устройств. «Успешное массовое внедрение поддержки новых криптографических алгоритмов в наиболее актуальных сегментах сети 5G невозможно без включения таких алгоритмов в профильные спецификации ассоциации 3GPP», - подчеркивают в НИИР.

Отечественные средства виртуализации и сервера на доверенном ЭКБ На третьем этапе будут созданы: доверенное ПО сетевой функции передачи данных пользователя (UD); доверенное ПО сетевых функций блоков обработки сигнальных сообщений (AMF, SEAF, SMF, PCF, SEPP и другие); доверенное ПО сетевых функций в части мониторинга и управления (функции MMS, NRF, NSSF, NWDAF и другие); отечественное ПО всех основных сетевых функций ядра сети с целью снижения рисков реализации недекларированных возможностей ПО.

И на втором, и на третьем этапах должны быть проведена разработка отечественных программных и программно-аппаратных решений. Их внедрение позволит по мере доступности отечественной ЭКБ реализовать критически важные функции обеспечения безопасности компонентов аутентификации и данных пользователя, считают в НИИР.

На пятом этапе будет проведено создание отечественных реализаций платформ виртуализации и управления инфраструктурой сети (функции блоков MANO и SDN). «Наличие отечественной платформы виртуализации и управления инфраструктурой позволит гарантировать отсутствие недекларированных возможностей, как на программном, так и на аппаратном уровне», - говорится в отчете.

На этом этапе будут разработаны доверенные абонентские устройства и создано доверенное ПО центрального модуля базовой станции (gNB-CU). Будет проведена миграция компонент сети 5G с импортных серверов общего пользования на сервера общего пользования российской разработки на базе доверенной ЭКБ.

Источник : https://clck.ru/KLd69