Комплексна методика організації захищеної передачі даних у мережі мобільного зв’язку

Размещено на http://allbest.ru

Комплексна методика організації захищеної передачі даних у мережі мобільного зв'язку

Арпентій Сергій Петрович

провідний науковий співробітник, Український науково-дослідний інститут спеціальної техніки та судових експертиз Служби безпеки України

Анотація. Проведено аналіз потенційних загроз, пов'язаних з неавторизованим доступом до вузлів мережі мобільного зв'язку, несанкціонованим внесенням змін у набори потокових даних, блокуванням функцій програмної платформи та контролем інформаційного каналу, що повинні бути враховані при розробці та формуванні ефективної стратегії захисту відповідної інфраструктури. При цьому було виявлено як потенційні вразливості, так і апаратні та програмні засоби захисту мережі мобільного зв'язку. Вирішення задачі у рамках дослідження проводилось відповідно окремих рівнів мобільної мережі, як то рівень інформаційних вузлів пристроїв мобільного зв'язку користувачів мережі, рівень інформаційних вузлів радіоінтерфейсу мережі мобільного зв'язку, рівень інформаційних вузлів граничної мережі, рівень інформаційних вузлів транспортної мережі, рівень основного домену, а також рівень інформаційних вузлів локальних та глобальної мережі зовнішніх по відношенню до основної мережі мобільного зв'язку. Було запропоновано побудувати комплексну методику захисту, що базується на наступних п'яти категоріях: (і) визначення політики конфіденційності відповідно конкретного рівня мережі; (іі) проведення віртуалізації окремих категорій мережевих функцій, що виконуються; (ш) побудова захищеної архітектури програмно-конфігурованої мережі; (iv) організація захищеної передачі потокових даних через застосування квантового розподілу ключів шифрування; (v) включення у систему захисту послуг аналізу даних, що надаються на рівні відповідних хмарних сервісів. Як було показано, алгоритми побудовані на основі запропонованої методики надають можливість визначити та нівелювати широкий спектр загроз, що охоплюють потенційні ризики впровадження мережі мобільного зв язку, як то (і) наявність програмних ботів як алгоритмів, що саботують стабільну роботу мережі, перехоплюють потокові дані та вносять несанкціоновані зміни; (іі) атаки посередника, що виконуються через впровадження додаткового інформаційного вузла, який керує комунікацією між двома інформаційними вузлами; розподілена атака типу «відмова в обслуговуванні» на базі набору сторонніх серверних вузлів; (ні) маніпуляції з кодом програмної платформи мережевих ресурсів з метою виконання порушення стабільної роботи загального комплексу або отримання несанкціонованого доступу до даних та функцій системи; (iv) радіоглушіння через встановлення перешкод та завади з метою переривання або обмеження передачі радіосигналів у мережі мобільного зв'язку; (v) перехоплення трафіку на рівні радіоінтерфейсу; (vi) внесення змін у прикладний програмний інтерфейс; (vii) загрози з боку роумінг-партнерів, включених у загальну мережу.

Ключові слова: мережа мобільного зв'язку, політика конфіденційності, віртуалізація мережевих функцій, архітектура програмно-керована мережа, квантові канали.

захист мережа мобільний зв'язок неавторизований доступ

Arpentii Sergii Petrovych leading researcher, Ukrainian Research Institute of Special Equipment and Forensic Expertise of the Security Service of Ukraine,

COMPREHENSIVE METHODOLOGY FOR SECURE DATA TRANSMISSION IN MOBILE NETWORK

1. Визначення потенційних вразливостей інфраструктури мережі мобільного зв'язку

Розглянемо узагальнену схему архітектури мережі мобільного зв'язку, представлену на рис. 1. відповідно потенційних вразливостей інфраструктури.

Відповідно до представленого узагальнення схема архітектури мережі мобільного зв'язку базується на основному домені та багаторівневій структурі, що включає у себе наступні групи інформаційних вузлів:

• рівень транспортної мережі (TN: Transport Network), що відповідає за резервування і контроль потокових даних, а також їх передачу до вузлів граничної мережі;

• набір Е Є [Еі; Ј|] інформаційних вузлів граничної мережі (EN: Edge Network) як інтерфейс між внутрішніми компонентами мобільної мережі і сторонніми мережами, що передають потокові дані на інформаційні вузли мережі радіоінтерфейсу;

• набір R Є [^іЈ» Я[] інформаційних вузлів мережі радіоінтерфейсу (RIN: Radio Interface Network), що передають потокові дані на інформаційні вузли окремих мобільних пристроїв користувачів мережі мобільного зв'язку;

• набори інформаційних вузлів від М(Е{) Є [Мх(Ех); М_т(Еі)] до М(Ј|) Є [Мі(Ј|); М|(Ј|)] мобільних пристроїв користувачів мережі мобільного зв'язку;

• набір L Є [LiЈ» L|] інформаційних вузлів локальної мережі, що передає запити на хмарні сервіси;

• набори інформаційних вузлів від G(Li) Є [Gi(Li); G^(Li)] до G(Lf) Є [Gi(Li); Gi(; L|)] хмарних сервісів обробки потокових даних глобальної мережі.

У рамках побудови комплексної методики захисту інфраструктури мережі мобільного зв'язку необхідно визначити повний набір потенційних загроз для кожного з рівнів представленої архітектури та оцінити ефективність нівелювання ризиків на основі набору підходів що використовується у рамках комплексної методики захисту мережевої інфраструктури, яка базується на програмному забезпеченні для централізованого керування і контролю над мережевими ресурсами і послугами.

3. Віртуалізація мережевих функцій через впровадження відповідних сервісів (VNS: Virtual Network Services) як процедура перенесення традиційних функцій мережі, які виконуються на апаратній платформі, до програмних сервісів віртуального середовища. Таким чином, мережеві функції, такі як маршрутизація, комутація реалізуються через програмне забезпечення і можуть бути запущені на віртуальних машинах або контейнерах.

4. Організація передачі даних через впровадження квантових каналів системи аутентифікації з розподілом ключів шифрування (QKD: Quantum Key Distributed). Через квантові канали передаються квантові стани елементарних частинок, при цьому спроба перехоплення даних призводить до порушення квантового стану і виявлення несанкціонованої активності.

5. Хмарні сервіси аналізу даних з забезпеченням захисту (CSS: Cloud Security Service).

Показником ефективності відповідної методики є знаходження відповідності для кожного з рівнів інфраструктури мережі мобільного зв'язку однієї або декількох вказаних категорій.

3. Оцінка ефективності комплексної методики захисту інфраструктури мережі мобільного зв'язку

На рівні основного домену мережі мобільного зв'язку, що включає у себе відповідну апаратно-програмну платформу налаштовано згідно з політиками конфіденційності потенційні вразливості можуть включати у себе

• вразливості на рівні віртуалізації апаратних ресурсів основного домену мережі мобільного зв'язку (CND-RV: Core Network Domain Resources Virtualization);

• вразливості на рівні програмного забезпечення, що використовується на основному домені мережі мобільного зв'язку (CND-S: Core Network Domain Software);

• вразливості на рівні програмного інтерфейсу (CND-API: Core Network Domain Application Programming Interface) при взаємодії з апаратними компонентами, програмними алгоритмами та операційною системою основного домену;

• розподілені атаки насичення інформаційного вузла запитів з IP-адрес зловмисника (DDoS: Distributed Denial-of-Service);

• перехоплення зловмисником контролю доступу до інфраструктури основного домену мережі мобільного зв'язку (CND-IAC: Core Network Domain Improper Access Control).

Рис. 2. Діаграма оцінки ефективності комплексної методики захисту на рівні основного домену

Згідно з представленою на рис. 2 діаграмою оцінки ефективності комплексної методики захисту на рівні основного домену не використовуються квантові канали розподілу ключів, але зазначені загрози цілком вирішуються на рівні впровадження політики конфіденційності, а також формування архітектури програмно-керованої мережі, віртуалізації мережевих функцій і використанні відповідних хмарних сервісів.

У свою чергу на рівні транспортної мережі системи мобільного зв'язку можна вказати на наступні категорії потенційних вразливостей:

• кібератака з метою перехоплення потокових даних транспортної мережі (TN-CUPS: Transport Network Control and User Plane Sniffing);

• вразливості архітектури транспортної мережі системи мобільного зв'язку з множинним доступом (MEC-B: Multi-access Edge Computing for Backhaul);

• кібератака з метою внесення змін у потік керування транспортної мережі (TN-FMA: Transport Network Flow Modification Attacks).

Крім того для зазначеного рівня також характерні розподілені атаки насичення інформаційного вузла. Як можна побачити на рис. 3 на рівні транспортної мережі не використовується SCN, але зазначені загрози цілком вирішуються на рівні впровадження політики конфіденційності, а також віртуалізації мережевих функцій, організації квантових каналів і використанні відповідних хмарних сервісів.

Рис. 3. Діаграма оцінки ефективності комплексної методики захисту на рівні транспортної мережі

На рівні граничної мережі системи мобільного зв'язку спектр вразливостей є надзвичайно широким і поза вразливостей архітектури граничних обчислень з множинним доступом (EN-MEC: Edge Network Multiaccess Edge Computing) включає у себе як внутрішні загрози, так і зовнішні. Внутрішні загрози, у свою чергу, включають себе наступні категорії:

• вразливості пов'язані з неналежною організацією системи аутентифікації граничної мережі системи мобільного зв'язку (EN-ASF: Edge Network Authentication System Flaws);

• вразливість неналежного контролю доступу до вузлів граничної мережі (EN-IAC: Edge Network Improper Access Control) пов'язані з помилками у специфікаціях доступу відповідних протоколів або неефективністю алгоритмів, що контролюють виконання протоколів.

Відповідно, зовнішні загрози можуть бути формалізовані через введення наступних категорій:

• кібератака з метою включення інформаційних вузлів зловмисників (EN-RNT: Edge Network Rouge Nodes Threats) і перехоплення потокових даних та внесення несанкціонованих змін;

* кібератака побічного каналу (EN-SCA: Edge Network Side Channel Attacks) через аналіз особливостей функціонування відповідної інфраструктури.

Рис. 4. Діаграма оцінки ефективності комплексної методики захисту

на рівні граничної мережі

Як можна побачити на діаграмі (рис. 4) у даному випадку використовуються всі вказані підходи, причому відповідно до запропонованої методики найбільш ефективно вирішуються потенційна загроза кібератаки з метою включення інформаційних вузлів зловмисників та вразливість неналежного контролю доступу до вузлів граничної мережі.

Рівень радіоінтерфейсу характеризується найменшою кількість категорій потенційних загроз:

• перехоплення зловмисниками трафіку радіомережі між мобільним пристроєм і ретранслятором та базовою станцією (RIN-TS: Radio Interface Network Traffic Sniffing);

• атака через радіоглушіння сигналу радіомережі радіосигналами, які порушують передачу потокових даних (RIN-SJ: Radio Interface Network Signal Jamming);

* атака посередника на рівні радіоінтерфейсу (RIN-MitM: Radio Interface Network Man-in-the-Middle).

Рис. 5. Діаграма оцінки ефективності комплексної методики захисту на рівні радіоінтерфейсу

Діаграма представлена на рис. 5. демонструє, що на рівні інтерфейсу запропонована методика найбільш рівномірно охоплює можливі ризики через застосування представлених вище підходів.

На рівні мобільних пристроїв користувачів мережі можна виділити наступні категорії потенційних вразливостей системи мобільного зв язку:

• наявність програмних ботів як алгоритмів, що саботують стабільну роботу мережі (MD-MBP: Mobile Devices Malicious Bot Programs);

• зміна коду програмних додатків мобільного пристрою (MD-ACM: Mobile Device Application Code Modification);

• атака посередника на рівні мобільних пристроїв користувачів (MD-MitM);

• розподілені атаки насичення інформаційного вузла запитів з IP-адрес зловмисника.

Очевидно, що на даному рівні не використовуються квантові канали у зв'язку з відсутністю відповідної апаратної платформи на мобільних пристроях користувачів, але інші наведені підходи надають можливість ефективно захистити систему мобільного зв'язку (рис. 6).

Нарешті, на рівні сторонніх хмарних сервісів обробки потокових даних також зазначаються ризики пов'язані з вразливостями апаратної і програмної платформи, наявність програмних ботів та вразливості програмного інтерфейсу. Як було показано вище всі зазначені категорії вирішуються через застосування наведених підходів. Як і у попередньому випадку QKD не може бути застосовано через відсутність відповідної платформи на сторонніх серверах хмарних сервісів.

Рис. 6. Діаграма оцінки ефективності комплексної методики захисту на рівні мобільних пристроїв користувачів

Висновки. У результаті проведеного дослідження було проаналізовано особливості захисту інфраструктури мережі мобільного зв'язку, що базується на організації політики конфіденційності, побудові архітектури програмно- керованої мережі, впровадженні сервісів віртуалізації мережевих функцій, впровадженні системи аутентифікації на основі квантових каналів, а також застосуванні додаткових сервісів захисту даних. При цьому у рамках дослідження було проведено: узагальнення схеми схема інфраструктури мережі мобільного зв'язку відповідно потенційних загроз; проведено оцінку ефективності методики захисту на рівні основного домену, транспортної мережі, граничної мережі, радіоінтерфейсу, мобільних пристроїв користувачів і сторонніх сервісів на хмарних платформах.

Література:

1. Sahu, G., & Pawar, S. S. (2022). Smart Healthcare in Smart City using Wireless Body Area Network and 5G. Networking Technologies in Smart Healthcare, 1--21. https://doi.org/10.1201/9781003239888-l.

2. Yarali, A. (2021). Artificial Intelligence, 5G, and IOT. Tntelligent Connectivity, 251-268. https://doi.org/10.1002/9781119685265.ch14

3. U. Mustakim, H. (2020). 5G vehicular network for smart vehicles in Smart City: A Review. Journal of Computer, Electronic, and Telecommunication, 1(1). https://doi.org/10.52435/ complete.v1i1.44.

4. Liu, S., & Yan, Z. (2022). Efficient Privacy Protection Protocols for 5G-enabled positioning in industrial IOT. IEEE Internet of Things Journal, 9(19), 18527--18538. https://doi.org/10.1109/jiot.2022.3161148.

5. Siriwardhana, Y., Porambage, P., Ylianttila, M., & Liyanage, M. (2020). Performance analysis of local 5G operator architectures for industrial internet. IEEE Internet of Things Journal, 7(12), 11559--11575. https://doi.org/ 10.1109/jiot.2020.3024875.

6. Agiwal, M., Saxena, N., & Roy, A. (2017). Ten commandments of emerging 5G networks. Wireless Personal Communications, 98(3), 2591--2621. https://doi.org/10.1007/s11277- 017-4991-8.

7. Prasad, G., Mishra, D., & Hossain, A. (2021). QoS-aware green communication strategies for optimal utilization of resources in 5G networks. Research Anthology on Developing and Optimizing 5G Networks and the Impact o^ Society, 476--499. https://doi.org/10.4018/978-1- 7998-7708-0.ch020.

8. Ahmad, I., Kumar, T., Liyanage, M., Okwuibe, J., Ylianttila, M., & Gurtov, A. (2018). Overview of 5G security challenges and solutions. IEEE Communications Standards Magazine, 2(1), 36--43. https://doi.org/10.1109/mcomstd.2018.170006.

9. Kaloxylos, A., Spapis, P., & Moscholios, I. (2020). SDN-based session and Mobility Management in 5G Networks. Wiley 5G Ref, 1--17. https://doi.org/10.1002/9781119471509. w5gref223.

10. Feil P. Workshop on federated testbeds for NFV/SDN/5G: Experiences and feedbacks (^edTestЎў. (2017). 2017 IEEE Conference on Network Function Virtualization and Software Defined Networks (NFV-SDN). https://doi.org/10.1109/nfv-sdn.2017.8169821.

11. Almustafa, K., & Alenezi, M. (2017). Cost analysis of SDN/NFV architecture over 4G infrastructure. Procedia Computer Science, 113, 130--137. https://doi.org/10.1016/j.procs. 2017.08.328

12. Algarni, A., & Thayananthan, V. (2021). Improvement of 5G Transportation Services with SDN-based Security Solutions and beyond 5G. Electronics, 10(20), 2490. https://doi.org/10.3390/electronics10202490.

13. Cardenas, A., & Fernandez, D. (2020). Network Slice Lifecycle Management Model for NFV-based 5G Virtual Mobile Network Operators. 2020 IEEE Conference on Nework Function Virtualization and Software Defined Networks (NFV-SDN). https://doi.org/10.1109/nfv- sdn50289.2020.9289883.

14. Le, L.-V., Lin, B.-S. P., Tung, L.-P., & Sinh, D. (2018). SDN/NFV, Machine Learning, and Big Data Driven Network slicing for 5G. 2018 IEEE 5G World (5GWF). https://doi.org/10.1109/5gwf.2018.8516953.

15. Esmaeily, A., Kralevska, K., & Gligoroski, D. (2020). A cloud-based SDN/NFV tested for end-to-end network slicing in 4G/5G. 2020 6th IEEE Co^fe-re~nce o^ Network Soft^arization (NetSoft). https://doi.org/10.1109/netsoft48620.2020.9165419.

16. Barakabitze A. QoE management of multimedia services using machine learning in SDN/NFV 5G networks. (2022). Multimedia Streaming i^ SDN/NFV a^d 5G Networks, 73-97. https://doi.org/10.1002/9781119800828.ch5.

17. Abbas, A., Sutter, D., Zoufal, C., Lucchi, A., Figalli, A., & Woerner, S. (2021). The power of Quantum Neural Networks. Nature Computational Science, 1(6), 403-409. https://doi.org/10.1038/s43588-021-00084-1.

18. Ntanos, A., Zavitsanos, D., Giannoulis, G., & Avramopoulos, H. (2020). QKD in support of secured P2P and P2MP key exchange for low-latency 5G connectivity. 2020 IEEE 3rd 5G World Forum (5GWF). https://doi.org/10.1109/5gwf49715.2020.9221197

19. Adnan, M. H., Ahmad Zukarnain, Z., & Harun, N. Z. (2022). Quantum key distribution for 5G networks: A review, State of Art and Future Directions. Future Internet, 14(3), 73. https://doi.org/10.3390/fi14030073.

20. Orus, R., Mugel, S. & Lizaso, E. (2019) Quantum computing for finance: Overview and prospects. Reviews i^ Physics, 4, p. 100028.

21. Alshouiliy, K., & Agrawal, D. P. (2021). Confluence of 4G LTE, 5G, fog, and cloud computing and understanding security issues. Fog/Edge Computing For Security, Privacy, and Applications, 3-32. https://doi.org/10.1007/978-3-030-57328-7_1.

22. Baena, C., Penaherrera, O., Camacho, L., Barco, R., & Fortes, S. (2022). Video Streaming and Cloud Gaming Services over 4G and 5G: A Complete Network and Service Metrics Dataset. IEEEProc. 2022(4) https://doi.org/10.36227/techrxiv.21456267.v1

23. Rahmani, M., Mozafari, A., & Pedramnia, K. (2021). Cyber security considerations of 4G mobile networks as a communication service in smart grid. 2021 11th Smart Grid Conference (SGC). https://doi.org/10.1109/sgc54087.2021.9664138

Размещено на Allbest.ru