Arsitektur 5G: Security dan Mobility

From OnnoWiki
Jump to navigation Jump to search

Sekarang kita melihat lebih dekat dua fitur unik dari jaringan seluler—dukungannya untuk keamanan dan mobilitas—kedua fitur ini yang akan membedakan jaringan selular dengan WiFi. Berikut ini juga berfungsi untuk mengisi beberapa detail tentang bagaimana masing-masing UE terhubung ke jaringan.

Kita mulai dengan arsitektur keamanan, yang didasarkan pada dua asumsi kepercayaan. Pertama, setiap Base Station percaya bahwa ia terhubung ke Mobile Core oleh private network yang aman, di mana ia membangun tunnel yang diperkenalkan pada Gambar 11: tunnel GTP/UDP/IP ke Core User Plane (Core-UP) dan tunnel SCTP/IP ke Core Control Plane (Core-CP). Kedua, setiap UE memiliki kartu SIM yang disediakan oleh operator, yang secara unik mengidentifikasi pelanggan (yaitu, nomor telepon) dan menetapkan parameter radio (misalnya, pita frekuensi) yang diperlukan untuk berkomunikasi dengan Base Station operator tersebut. Kartu SIM juga menyertakan kunci rahasia yang digunakan UE untuk mengautentikasi dirinya sendiri.

Gambar 16. Sequence of steps to establish secure Control and User Plane channels

Pada Gambar 16 menunjukkan urutan koneksi per-UE. Ketika UE pertama kali menjadi aktif, UE berkomunikasi dengan Base Station terdekat melalui radio link sementara (tidak diautentikasi) (Langkah 1). Base Station meneruskan permintaan ke Core-CP melalui tunnel yang ada, dan Core-CP (khususnya, MME di 4G dan AMF di 5G) memulai protokol otentikasi dengan UE (Langkah 2). 3GPP mengidentifikasi serangkaian opsi untuk otentikasi dan enkripsi, di mana protokol aktual yang digunakan adalah pilihan implementasi. Misalnya, Advanced Encryption Standard (AES) adalah salah satu opsi untuk enkripsi. Perhatikan bahwa pertukaran autentikasi ini pada awalnya sudah jelas karena sambungan Base Station ke UE masih belum aman.

Setelah UE dan Core-CP puas dengan identitas masing-masing, Core-CP menginformasikan komponen lain tentang parameter yang mereka perlukan untuk melayani UE (Langkah 3). Ini termasuk:

  • (a) menginstruksikan Core-UP untuk menginisialisasi bidang pengguna (misalnya, menetapkan alamat IP ke UE dan mengatur parameter QCI yang sesuai);
  • (b) menginstruksikan Base Station untuk membuat saluran terenkripsi ke UE; dan
  • (c) memberikan UE kunci simetris yang diperlukan untuk menggunakan saluran terenkripsi dengan Base Station. Kunci simetris dienkripsi menggunakan kunci publik UE (jadi hanya UE yang dapat mendekripsinya, menggunakan kunci private-nya).

Setelah selesai, UE dapat menggunakan end-to-end user plane channel melalui Core-UP (Langkah 4).

Ada tiga rincian tambahan catatan tentang proses ini.

  • Pertama, saluran kontrol aman antara UE dan Core-CP yang diatur selama Langkah 2 tetap tersedia, dan digunakan oleh Core-CP untuk mengirim instruksi kontrol tambahan ke UE selama sesi berlangsung.
  • Kedua, user plane channel yang dibuat selama Langkah 4 disebut sebagai Default Bearer Service, tetapi channel tambahan dapat dibuat antara UE dan Core-UP, masing-masing dengan nilai QCI yang berpotensi berbeda. Ini mungkin dilakukan berdasarkan aplikasi demi aplikasi, misalnya, di bawah kendali Mobile Core melakukan Deep Packet Inspection (DPI) pada lalu lintas, mencari aliran yang memerlukan perlakuan khusus.


Gambar 17. Sequence of per-hop tunnels involved in an end-to-end User Plane channel
  • Ketiga, sementara user plane channel yang dihasilkan secara logis end-to-end, masing-masing sebenarnya diimplementasikan sebagai urutan tunnel per-hop, seperti yang diilustrasikan pada Gambar 17. (Gambar menunjukkan SGW dan PGW dari 4G Mobile Core untuk membuat contoh lebih konkrit.) Ini berarti setiap komponen pada jalur end-to-end mengakhiri downstream tunnel menggunakan satu pengenal lokal untuk UE tertentu, dan memulai upstream tunnel menggunakan pengenal lokal kedua untuk UE tersebut. Dalam praktiknya, tunnel per-flow ini sering digabungkan menjadi satu tunnel inter-component, yang membuat tidak mungkin untuk membedakan tingkat layanan yang diberikan ke end-to-end UE channel tertentu. Ini adalah batasan 4G yang ingin diperbaiki oleh 5G.

Dukungan untuk mobilitas sekarang dapat dipahami sebagai proses mengeksekusi ulang satu atau lebih langkah yang ditunjukkan pada Gambar 16 saat UE bergerak di seluruh RAN. Sambungan yang tidak diautentikasi yang ditunjukkan oleh (1) memungkinkan UE diketahui oleh semua Base Station dalam jangkauan. Ini kadangkala disebut sebagai sambungan / link potensial. Berdasarkan CQI sinyal yang terukur, Base Station berkomunikasi secara langsung satu sama lain untuk membuat keputusan serah terima. Setelah dibuat, keputusan tersebut kemudian dikomunikasikan ke Mobile Core, memicu kembali fungsi pengaturan yang ditunjukkan oleh (3), yang pada gilirannya membangun kembali user plane tunnel antara Base Station dan SGW yang ditunjukkan pada Gambar 17 (atau sesuai, antara Base Station dan UPF di 5G). Salah satu fitur paling unik dari jaringan seluler adalah bahwa user plane Mobile Core (misalnya, UPF dalam 5G) menyangga data selama transisi serah terima, menghindari paket yang di drop/dibuang dan transmisi ulang end-to-end berikutnya.

Dengan kata lain, jaringan seluler mempertahankan sesi UE dalam menghadapi mobilitas (sesuai dengan kontrol dan saluran data yang digambarkan oleh (2) dan (4) pada Gambar 16, masing-masing), tetapi hanya dapat melakukannya ketika Mobile Core yang sama melayani UE (yaitu, hanya Base Station yang berubah). Ini biasanya terjadi pada UE yang bergerak di dalam area metropolitan. Bergerak di antara area metro—dan karenanya, di antara Mobile Cores—tidak dapat dibedakan dari siklus daya UE. UE diberi alamat IP baru dan tidak ada upaya yang dilakukan untuk buffer dan kemudian mengirimkan in-flight data. Terlepas dari mobilitas, tetapi relevan dengan diskusi ini, setiap UE yang menjadi tidak aktif untuk jangka waktu tertentu juga kehilangan sesinya, dengan sesi baru yang dibuat dan alamat IP baru yang ditetapkan ketika UE menjadi aktif kembali.

Perhatikan bahwa pendekatan session-based ini dapat dilacak ke akar jaringan seluler sebagai jaringan connection-oriented. Eksperimen pemikiran yang menarik adalah apakah Mobile Core akan terus berkembang sehingga lebih cocok dengan asumsi connectionless dari protokol Internet yang biasanya berjalan di atasnya.


Pranala Menarik