Kommen Ihnen diese Herausforderungen bekannt vor?

Die höhere Sicherheit der 5G-Technologie verlangt von den Mobilfunkbetreibern zusätzliche Maßnahmen:

  • Schutz der eng beieinander liegenden Basisstationen gegen Bedrohungen wie Rückverfolgung von Geräten, Abhören von Anrufen, Stören von Frequenzen (Jamming), Angriffe auf physische Basisstationen und Flooding (Überfluten mit Datenpaketen).
  • Implementierung der TLS-basierten beidseitigen Authentifizierungs- und Transport-Sicherheit zwischen den NFs (Network Functions/Übertragungsfunktionen) in der servicebasierten Architektur (SBA) entsprechend der 5G-Spezifikation der 3GPP.
  • Automatisierung des Lifecycle-Managements von Zertifikaten für die NFs zur Bewältigung der häufigen Updates, die wegen kontinuierlicher Implementierungsstrategien erforderlich sind
  • PKI für die Anforderungen von Virtualisierungsplattformen
  • PKI für das Management verschlüsselter Teilnehmerkennungen (SUCI – Subscription Concealed Identifier)

BACKHAUL-SCHUTZ

In 5G-Mobilfunknetzen sind Basisstationen und kleine Zellen in einem ungesicherten Bereich implementiert. Deshalb müssen Vertraulichkeit und Integrität durch eine gesicherte Verbindung zum Backbone-Netz gewährleistet werden, um Hackerangriffe auf ungeschützte Kommunikationsverbindungen zu verhindern.

Die Komponenten, die über ein unsicheres Netz kommunizieren, nutzen starke Public-Key-Authentifizierung auf der Basis von Maschinenzertifikaten. Die Zertifikate werden regelmäßig von der Zertifizierungsinstanz (CA) der Unternehmens-PKI angefordert und verlängert. Dabei kommen in der Regel die Standardprotokolle SCEP (Simple Certificate Enrolment Protocol) und CMP (Certificate Management Protocol) zum Einsatz.

 

SICHERE NF-KOMMUNIKATION

Entsprechend 3GPP Rel-15 (TS 33.501) kommunizieren die NFs in der servicebasierten Architektur des 5GC (5G Core) auf der Grundlage TLS-basierter beidseitiger Authentifizierungs- und Transport-Sicherheit zwischen Übertragungsfunktionen und OAuth 2.0 Token-basierter Autorisierung. Dazu muss eine PKI (Public Key Infrastructure) im Netzwerk verwendet werden, in der eine Zertifizierungsinstanz (CA) Zertifikate für jeden Kommunikations-Endpoint ausstellt.

Die 5GC Microservice-Architektur mit kontinuierlicher Implementierung und Aktualisierung sowie die Nutzung von TLS für Verbindungen zwischen den NFs erfordern einen hoch automatisierten Prozess zur Ausstellung und Verwaltung von Zertifikaten.

PKI FÜR VIRTUALISIERUNGSPLATTFORMEN

In Mobilfunknetzen mit servicebasierter 5G-Architektur, für die strenge regulatorische Auflagen gelten, ist die Tenant-Kontrolle der Zertifikate ein tiefgreifendes Problem.

Um die Aushebelung der Sicherheitsvorkehrungen zu vermeiden, müssen die Zertifikate, die von Virtualisierungsplattformen wie Kubernetes verwendet werden, von einer offiziell gemanagten externen CA stammen. Sie dürfen nicht automatisch von der Visualisierungsplattform selbst generiert werden.

 

PKI für SUCI

Bei der Kommunikation in 5G-Netzen erfolgt die Übermittlung der Mobilfunk-Teilnehmerkennung (IMSI) nicht im Klartext. Stattdessen wird eine verschlüsselte Teilnehmerkennung (SUCI - Subscription Concealed Identity) verwendet.

Diese asymmetrische Verschlüsselung basiert auf der PKI, wo der Private-Key in der UDM-Netzwerkkomponente abgelegt und der Public-Key auf der SIM-Karte gespeichert wird.

Wie funktioniert das?

Der Nexus Smart ID Certificate Manager kann vertrauenswürdige Identitäten, die auf PKI-Zertifikaten basieren, ausstellen und deren Lebenszyklus managen. Dazu verwendet er gängige Zertifikatsmanagement-Protokolle wie ACME, SCEP, EST oder CMP.

Nexus Smart ID und der darauf aufbauende GO IoT-Service basieren auf ausgereiften, skalierbaren Produkten, die sich durch hohe Zuverlässigkeit auszeichnen und kontinuierlich getestet und gewartet werden. Mit der Multi-CA- und Multi-Tenancy-Plattform können Sie die PKI-Hierarchie, die Administration und das Reporting an Ihre Anforderungen anpassen. Die Lösung von Nexus bietet Automatisierungsfunktionen und hat sich in der Praxis bereits bestens bewährt.

Mehr Informationen auf DOCS

Warum Nexus

Die Nexus Plattform für LTE PKI bietet folgende Vorteile:

Weltweit bewährt

Nutzung in kritischen Großinstallationen durch mehrere der größten Mobilfunkanbieter der Welt.

Hohe Sicherheit

Nachweislich hohe Sicherheit durch Zertifizierung der Nexus PKI-Plattform nach Common Criteria EAL4+ und der Zertifizierung von Nexus insgesamt nach ISO 27001 und TISAX.

Bereitstellung als Service

Die Lösung wird als Service mit SLA- und Kapazitätsgarantien zur Unterstützung Ihres Wachstums angeboten.