ETSI TS 132 372 V18.0.0 (2024-05)-2024
Цифровая сотовая телекоммуникационная система (фаза 2+) (GSM); Универсальная система мобильной телекоммуникационной связи (UMTS); LTE; Управление телекоммуникациями; Службы безопасности для точки интеграции (IRP); Информационная служба (IS) (версия 3GPP TS 32.372...
- Стандартный №
- ETSI TS 132 372 V18.0.0 (2024-05)-2024
- Дата публикации
- 2024
- Разместил
- European Telecommunications Standards Institute (ETSI)
- сфера применения
-
Обзор технической структуры стандарта 3GPP TS 32.372
ETSI TS 132 372 V18.0.0 (2024-05), ключевой компонент 3GPP Release 18, специально определяет службы безопасности для контрольной точки интеграции (IRP). Основываясь на концепциях управления безопасностью 3GPP TS 32.371, этот стандарт устанавливает полную систему служб безопасности IRP для обеспечения безопасности данных управления сетью, передаваемых по интерфейсу ITF-N для систем мобильной связи, таких как GSM, UMTS и LTE.
Концепции проектирования архитектуры безопасности и развитие технологий
Основанный на концепции многоуровневой архитектуры безопасности, этот стандарт разделяет защиту безопасности на два уровня: уровень приложений (уровень A) и уровень IP-сети O&M (уровень B). Эта многоуровневая структура полностью учитывает различия в угрозах безопасности, с которыми сталкиваются на разных уровнях, предоставляя операторам гибкие решения по развертыванию системы безопасности. С точки зрения технологического развития стандарт прошел путь от первоначального выпуска 7 до текущего выпуска 18, постоянно совершенствуя механизмы обеспечения безопасности и адаптируясь к меняющимся требованиям безопасности сетей, переходящих от традиционной мобильной связи к сетям 5G.
Типы служб безопасности Охваченные требования безопасности Механизм реализации Применимые сценарии Служба безопасности аутентификации Аутентификация менеджера, аутентификация прокси-сервера Обмен учетными данными Все операции IRP Служба безопасности авторизации Авторизация управления доступом Проверка политики управления доступом Управление доступом к ресурсам Безопасность журнала активности Служба Тропа аудита безопасности Запись журнала операций Отслеживание событий безопасности Служба безопасности целостности файлов Защита целостности данных Механизм цифровой подписи Сценарии передачи файлов
Углубленный анализ основных механизмов службы безопасности
Принципы реализации службы безопасности аутентификации
Служба безопасности аутентификации использует двунаправленный механизм аутентификации, обеспечивая проверку личности между IRPManager и IRPAgent посредством обмена атрибутами безопасности учётных данных. Этот механизм требует, чтобы каждый запрос содержал зашифрованные учётные данные аутентификации для обеспечения подлинности обеих взаимодействующих сторон. Стандарт уделяет особое внимание защите шифрования при передаче аутентификационной информации по сетям общего пользования для предотвращения подслушивания и атак повторного воспроизведения.
Деликатность контроля доступа службы безопасности авторизации
Служба безопасности авторизации поддерживает несколько уровней детализации контроля доступа: от грубой авторизации на уровне IRP до детальной авторизации для конкретных экземпляров объектов:
- Авторизация на уровне IRP: контролирует доступ к конкретным IRP
- Авторизация на уровне операции: ограничивает выполнение определенных операций в пределах IRP
- Авторизация экземпляра объекта: контролирует доступ к определенным экземплярам IOC
- Контекстно-зависимая авторизация: динамическая авторизация на основе контекста, такого как время и рабочая станция
Реализация технологии защиты целостности файлов
Служба безопасности целостности файлов использует механизм цифровой подписи, используя атрибут безопасности Signature для обеспечения целостности передаваемых файлов. Этот сервис поддерживает проверку целостности активных файлов BulkCMIRP и файлов, передаваемых FTIRP. При обнаружении нарушений целостности файла система откажется принять файл и выдаст предупреждение безопасности.
Спецификация моделирования класса информационных объектов (IOC)
Стандарт определяет два основных класса информационных объектов для поддержки реализации служб безопасности:
Имя IOC Определение функции Ключевые атрибуты Сценарий применения Учетные данные Представляют информацию об аутентификации и авторизации владельца authData (данные аутентификации) Аутентификация личности и контроль доступа Подпись Представляют дополнительную зашифрованную информацию для проверки целостности sigData (данные подписи) Защита целостности файлов
Рекомендации по соблюдению и внедрению
Толкование правил соответствия
В стандарте чётко указано, что все службы безопасности являются необязательными, а конкретные варианты развертывания должны определяться на основе фактической сетевой среды и результатов оценки угроз безопасности. Такая гибкая структура позволяет операторам выбирать подходящий уровень защиты на основе анализа затрат и выгод, избегая потери производительности и увеличения затрат, вызванных избыточным уровнем безопасности.
Рекомендации по внедрению и развертыванию
Основываясь на стандартных требованиях и технических практиках, предлагаются следующие рекомендации по внедрению:
- Сначала оценка рисков: Перед развертыванием служб безопасности необходимо провести комплексную оценку рисков безопасности в сетевой среде.
- Многоуровневая стратегия защиты: Объедините механизмы безопасности транспортного уровня, такие как IPSec/NDS, для создания глубоко эшелонированной системы защиты.
- Баланс между производительностью и стоимостью: Рационально выбирайте комбинацию служб безопасности на основе критичности для бизнеса, чтобы избежать ненужных затрат на производительность.
- Механизм согласования протокола: Установите процесс согласования протокола безопасности между IRPManager и IRPAgent.
Анализ типичного сценария применения
В Сценарий управления сетью 5G, безопасная связь между IRPManager и IRPAgent требует комплексного использования служб аутентификации, авторизации и защиты целостности. Особенно в новых сценариях, таких как управление сетевой нарезкой и управление узлами периферийных вычислений, детальный контроль доступа и высокоинтенсивная защита целостности стали ключевыми элементами для обеспечения эффективности управления безопасностью сети.
Тенденции развития технологий и перспективы стандартизации
С развитием технологий 5G-Advanced и 6G стандарт служб безопасности IRP будет продолжать совершенствоваться. Ожидается, что в будущих версиях будут улучшены следующие аспекты: интеграция алгоритмов квантово-безопасного шифрования, адаптация архитектур с нулевым доверием, обнаружение угроз на основе ИИ и оптимизированное развертывание служб безопасности в облачных средах. Эти изменения гарантируют, что стандарты управления безопасностью 3GPP останутся на переднем крае технологий безопасности сетей связи.
