ترجمه مقاله چشم انداز تهدید در مقوله های مختلف اینترنت اشیا و کاربردهای آنها

 

 نویسندگان روشی را به عنوان بخشی از لایه ارتباطی، برای استفاده از مدل پیشنهادی و محافظت از درگاه امن ارائه کرده ‌اند. این مدل قادر است حملات شناخته شده و ناشناخته را با نرخ تشخیص بالا شناسایی کند.

نویسندگان [91] به منظور پیش ‌بینی آریتمی بطنی، پلتفرمی برای سنجش اینترنت اشیا ایمن و بسیار کم توان ایجاد کرده ‌اند. نویسندگان برای دریافت کلید ECG مخصوص تراشه محافظت از کانال ارتباطی، از سیگنال های ECG  استفاده می کنند. هنگامی که طرح پیشنهادی با طرح موجود اجرا می ‌شود، حفاظت از سطح سخت ‌افزار نیز فراهم می گردد.

 

نویسندگان [79] با در نظر گرفتن اهمیت احراز هویت، طرح ایجاد کلید احراز هویت شده را بر اساس امضا در اینترنت اشیا پیشنهاد کرده اند. طرح پیشنهادی با برخی از تکنیک‌ های دیگر قابل مقایسه است و امنیت آن با در نظر گرفتن منطق باروز-آبادی-نیدهام و تجزیه و تحلیل امنیتی رسمی و غیررسمی از طریق اعتبارسنجی خودکار ابزارهای کاربردی و پروتکل امنیت اینترنت، تأیید شده است. نویسندگان [92]، به منظور سنجش راه‌ حل ‌های متناسب برای مسائل مربوط به محرمانگی، اعتماد و حریم خصوصی در شبکه ‌های توزیعی، یک سری مشخصات مبتنی بر سیاست قابل پیکربندی و جدید ارائه نمودند و به تجزیه و تحلیل آسیب ‌پذیری ‌ها و تهدیدات سیستم اینترنت اشیاء پرداختند.

 

سفارش ترجمه تخصصی مقاله

سفارش ترجمه تخصصی مقاله

سفارش ترجمه تخصصی مقاله

سفارش ترجمه تخصصی مقاله

سفارش ترجمه تخصصی مقاله

 

 

برخی از نویسندگان راه حل های تهدید امنیتی را از نظر مولفه سخت افزاری محیط سیستم اینترنت اشیا ارائه کرده اند. نویسندگان [93]، به منظور پرداختن به چالش های امنیتی در لایه ادراک، مسائل امنیتی مشترک در اینترنت اشیا و سخت افزار سیستم را هدف قرار دادند. نویسندگان برخی از ویژگی های امنیتی را ارائه نمودند تا برای دستیابی به هدف، در سیستم روی تراشه (SoC)/ میکروکنترلرها گنجانده شود. در مطالعه [77]، نویسندگان ادعا می ‌کنند که با پیشنهاد پروژه OneM2M مبتنی بر پروتکل OAuth 2.0 برای ارائه احراز هویت و صدور مجوز، الزامات مؤلفه امنیتی مورد نیاز در اینترنت اشیا را برآورده می ‌کنند. در مطالعه [94]، نویسندگان یک پردازنده رمزنگاری قابل پیکربندی مجدد به نام Recryptor را پیشنهاد کرده اند. این پردازنده برای پشتیبانی کارآمد از محاسبات بردار بزرگ رمزنگاری، از رایانش نزدیک حافظه ای و درون‌حافظه‌ای استفاده می کند. برای اجرای رمزنگاری‌ های اولیه از رمزنگاری های کلید عمومی /مخفی و توابع هش مختلف استفاده شده ‌است.

طبق مطالعه [95]، ادغام اینترنت اشیا در شبکه5G  یکپارچه توام با مجموعه فرصت ها، تا حد زیادی به حسگرهای مستقر در مقیاس بزرگ بستگی دارد و این امر خطر امنیتی را به شدت افزایش می دهد. به منظور ارائه جریان داده بهتر، فیلتر خصوصی و بی اثر کالمن (UKF) برای هر دو سیستم خطی و غیر خطی پیشنهاد شد تا حفظ حریم خصوصی داده های کاربر که توسط ابر جمع آوری شده تضمین شود. برای ارزیابی داده های جریان خصوصی بر اساس فیلتر بی اثر کالمن (UKFDP)، چهار مجموعه داده دنیای واقعی و میانگین خطای نسبی در نظر گرفته شده اند. نویسندگان [78]، برای تحلیل احتمالات قطع محرمانگی سیستم اینترنت اشیا از PLS و رویکردهای تحلیلی از جمله نظریه احتمال کلاسیک، تبدیل لاپلاس و قضیه انتگرال کوشی استفاده کردند.

د. توصیه های امنیتی توسط  ITU-T

این بخش از فصل ویژگی های امنیتی را که اساساً توسط ITU-Tتوصیه شده، مورد بحث قرار می دهد. این ویژگی ‌های امنیتی می توانند جنبه ‌های مختلفی از سیستم ها، برنامه‌ های کاربردی، خدمات و اطلاعات ICT در حوزه5G  را به شرح زیر بررسی کنند.

• کنترل دسترسی: مکا.نیسم های کنترل دسترسی مانع از استفاده مخرب از یک مطالعه، از جمله مانع استفاده غیرقانونی از آن می شوند. به طور معمول، این مکانیسم‌ ها (به عنوان مثال، کنترل دسترسی مبتنی بر نقش) تضمین می ‌کنند که تنها کاربران، دستگاه ‌ها یا ماشین ‌های مجاز، مجوز منابع موجود(به عنوان مثال خواندن، نوشتن، و غیره) در شبکه، پایگاه داده، جریان ‌های اطلاعات، سرویس ‌ها و برنامه‌ ها را دارند.
• محرمانگی داده ها: در یک شبکه5G ، بسیاری از دستگاه ها داده های حساس را جمع آوری و برای بسیاری از بخش های آسیب پذیر ارسال می کنند. بنابراین، محرمانه بودن داده ها از آن ها در برابر افشای غیرمجاز محافظت می کند و تضمین می کند که کاربران مجاز می توانند محتوای داده ها را بخوانند.
• یکپارچگی داده: ویژگی یکپارچگی تضمین می کند که داده ها در حین انتقال تغییر نمی کنند یا از مبدا به مقصد صحیح و سالم مانده اند.
• احراز هویت: احراز هویت هستار، مکانیسمی است که یک موجودیت برای اثبات هویت خود در ساختار مربوطه استفاده می کند. مکانیسم احراز هویت می تواند به حفاظت در برابر تهدیدات جعل هویت بپردازد.
• دسترس پذیری شبکه: تضمین می کند که شبکه همیشه در حالت عادی و حتی در عملیات بازیابی فاجعه در دسترس است. رویدادهایی از قبیل خرابی دستگاه، بلایای طبیعی و به خطر افتادن امنیت بر شبکه تأثیر می گذارند، اما شبکه باید در دسترس کاربران و دستگاه ها باشد.
• انکارناپذیری هویت: از این ویژگی نشان می دهد که مبدا داده ها یا پیام های دریافتی یک همتای خاص است. این همتا نمی ‌تواند اصالت داده یا پیام را به دروغ انکار کند، زیرا پیام توسط کلید خصوصی همتا امضا شده است.

ﻫ. تهدیدات امنیتی و توصیه های NGMN

پیشرفت های فناورانه، تغییرات پویا در معماری سیستم و الزامات شبکه را به ارمغان می آورد. با توجه به تعداد دستگاه های متصل به ارتباطات5G ، احتمال زیادی برای تهدیدات امنیتی جدید وجود دارد. با توجه به خواسته ها و الزامات امنیت سیستم،NGMN  برخی از تهدیدات احتمالی و توصیه هایی در مورد راه حل های آنها ارائه کرده است [99]-[96]. جدول 4 تهدیدهای امنیتی احتمالی و توصیه ارائه شده توسط NGMN را فهرست می کند.

در اکثر تهدیدات امنیتی، در تقسیم بندی شبکه، دسترسی به شبکه، MEC، تأخیر و تجربه کاربری سازگار، NGMN  توصیه کرده است که از بیرون ریزى مکانیسم‌ جدید یا احراز هویت استفاده گردد.

سه. حوزه های کلیدی امنیت 5G

این بخش، چالش ‌برانگیزترین مسائل امنیتی مربوط به حوزه ‌های امنیت کلیدی در5G ، یعنی کنترل دسترسی، احراز هویت، ارتباطات و رمزگذاری را ارائه می ‌کند.

 الف. احراز هویت

احراز هویت، نقش امنیتی مهمی در هر سیستم ارتباطی و تأیید هویت کاربران دارد. برای احراز هویت هر نسل از ارتباطات سیار از تکنیک های متعددی استفاده شده است. با این حال، این بخش تکنیک احراز هویت توسعه یافته توسط 3GPP برای سیستم ارتباطی 5G را توضیح می دهد. در مقدمه یک سری تقسیم بندی مقدماتی برای احراز هویت وجود دارد؛ احراز هویت اولیه و ثانویه. 3GPP مشخصات هنجاری فاز 1 شبکه 5G را براساس نسخه3GPP Release 15  تکمیل کرد. شکل 10 جویای احراز هویت امنیت شبکه 5G در فاز 1 است. احراز هویت اولیه، احراز هویت متقابل دستگاه و شبکه را در4G  و 5G ارائه می دهد. با این حال، به دلیل ماهیت تکامل یافته 5G، احراز هویت اولیه نیز تفاوت های جزئی ایجاد کرده است. مکانیسم‌ احراز هویت کنترل داخلی، دانش و فراخوان احراز هویت دستگاه را کنترل می کند. 5G-AKA و پروتکل تأیید اعتبار توسعه ‌یافته (EAP) -AKA دو انتخاب اجباری احراز هویت در فاز 1 شبکه 5G هستند. موارد خاصی مانند شبکه ‌های خصوصی به‌ صورت اختیاری اجازه می دهند تا احراز هویت بر اساس EAP انجام شود. احراز هویت اولیه می ‌تواند روی فناوری ‌های غیر-3GPP نیز اجرا شود، زیرا مستقل از فناوری RA (دسترسی رادیویی) است. احراز هویت شبکه های داده که خارج از دامنه اپراتورهای سیار صورت می گیرد، احراز هویت ثانویه نام دارد. در این روش، اعتبارنامه های مرتبط مبتنی بر EAP و روش های احراز هویت قابل اجرا هستند.

 

شکل 10. احراز هویت در بهبود امنیت فاز 1 شبکه 5G

 

احراز هویت متقابل و ارائه مواد کلیدی بین UE و شبکه بواسطه مدیریت کلید و رویه‌ های احراز هویت اولیه قابل دستیابی است. کلید اولیه و رویه های مدیریت احراز هویت، یک کلید پشتیبان به نام KSEAF ارائه می دهند. تابع احراز هویت سرور (AUSF) شبکه خانگی KSEAF را در SEAF سرور شبکه ارائه می دهد. طبق 3GPP و ETSI، تابع شبکه (NF) وAUSF ، احراز هویت UE را برای درخواست کننده NF در شبکه اصلی5G  فراهم می کند. این امر به منظور احراز هویت UE به مصرف کننده سرویس  NF اجازه می دهد تا از تابع مدیریت دسترسی و تحرک (AMF) استفاده نماید. NF هویت UE و نام شبکه سرویس دهنده را به منظور انجام احراز هویت در اختیار AUSF  قرار می دهد. اکنون AUSF از اطلاعات ارائه شده توسط AMF برای احراز هویت مبتنی بر5G- AKA یاEAP  استفاده می کند. شکل های 11 و 12 مکانیسم احراز هویت5G-AKA  و احراز هویت مبتنی برEAP  را با روش EAP-AKA نشان می دهد.

اخیراً نویسندگان مختلف مکانیسم تهدید امنیتی شبکه های 5G را در برابر تهدیدها و سناریوهای مختلف بررسی کرده اند. در مطالعه [100]، نویسندگان یک تجزیه و تحلیل رسمی از5G AKA  ارائه نمودند، الزامات دقیقی را از استانداردهای3GPP 5G  ارائه کردند و اهداف امنیتی غیرقابل دسترس را برجسته کردند. در مطالعه [101] به منظور احراز هویت BS، الگوریتمی ایجاد شد که الزامات موجود در پروتکل احراز هویت 5G  را برآورده می کند. مطالعه [102] تجزیه و تحلیلی در مورد5G AKA  ارائه کرد. وابستگی5G AKA  به کانال های بنیادین را آشکار نمود. استقرار مجدد حمله علیه پروتکل5G AKA ، از آسیب پذیری دستگاه ها در [103] سوء استفاده می کند. نویسندگان مطالعه [104]، بواسطه درک ضعف ‌های احراز هویت، صدور مجوز و مدیریت حساب (AAA)، مروری در مورد آسیب ‌پذیری ‌های4G  و 5G AKA ارائه کرده ‌اند. در مطالعه [105] نویسندگان سازگاری ماژول هویت جهانی مشترکین (USIM) را بواسطه پروتکل کاملاً محرمانه5G AKA  نشان داده ‌اند. با توجه به نیاز شبکه 5G ناهمگن، نویسندگان [106] یک مدل تهدید AKA مبتنی بر گروه پیشرفته را پیشنهاد کرده اند. نویسندگان مطالعه [107] نشان دادند که به جز حمله IMSI-catcher، همه حملات شناسایی شده علیه5G AKA  هنوز قابل اجرا هستند و نسخه اصلاح شده 5G AKA  برای پیشگیری از حمله مربوطه ارائه شده است.

براکن و همکارانش، در مطالعه [108] یک پروتکل جدید احراز هویت و تبادل کلید 5G را پیشنهاد کردند. نویسندگان از اعداد تصادفی استفاده کردند، این اعداد باعث کاهش هزینه های ارتباطی و ایجاد امنیت قوی شد. طرح پیشنهادی برای رمزگذاری SUPI و ایجاد پیامSUCI ، از رمزگذاری کلید نامتقارن استفاده می کند. توجه داشته باشید که در اینجاSUCI ، درخواست ورود به سیستم محسوب می شود. سپس درخواست ورود توسط شبکه خانگی تایید می شود. علاوه بر این، نویسندگان ادعا کردند که استفاده از اعداد تصادفی برای پروتکل 5G-AKA امکان پذیر است، زیرا اکنون ماژول های فعلی هویت جهانی مشترکین (USIMs) قادر به انجام عملیات رمزگذاری نامتقارن تصادفی هستند. علاوه بر این، طرح پیشنهادی آنها در برابر امنیت پس از تسخیرشدگی و امنیت پیشرو، ایمن است. در مطالعه دیگری، اوزلواچی-ما در مطالعه [109]، احراز هویت دگرسپاری عمودی ایمن را برای شبکه‌ های ناهمگون 5G پیشنهاد کرد. این طرح مکانیسم دگرسپاری ایمن و یکپارچه را برای ارائه احراز هویت قوی، سریع و متقابل فراهم می ‌کند. نویسندگان پیشنهاد کردند که از پروتکل امنیتی لایه انتقال-پروتکل تأیید اعتبار توسعه پذیر (EAP-TLS) استفاده شود، این پروتکل از یک طرح مبتنی بر گواهی استفاده می ‌کند. ما-هو در روشی مشابه، احراز هویت دگرسپاری مشترک بین لایه ‌ای را برای شبکه 5G پیشنهاد کرد [110]. ایده اصلی این طرح استفاده از لایه متقاطع (یعنی لایه فیزیکی) و سپس استفاده از احراز هویت EAP-AKA برای ارائه خدمات ایمن و قابل اعتمادتر به کاربر است. نویسندگان از آزمون غیر پارامتری کولموگروف–اسمیرنف (K-S) برای انجام احراز هویت لایه فیزیکی استفاده کردند.

نویسندگان [111]، با در نظر گرفتن پس ‌زمینه مدل امنیتی 5G، مدل احراز هویت 4G+RAM  را پیشنهاد کرده ‌اند که به پروتکل احراز هویت مجدد مبتنی بر فرکانس4G  پلاس(4G+FRP) و مدل احراز هویت نسبی4G  پلاس (4G+RAM) بستگی دارد. در مطالعه [112] نویسندگان برای ارتباط گروهی D2D ناشناس و ایمن، احراز هویت با حفظ حریم خصوصی (PPAKA-HAMC) و پروتکل تبادل کلید (PPAKA-IBS) را پیشنهاد کردند. در مطالعه [113]، نویسندگان یک طرح AKA  مبتنی بر مفهوم اینترنت اشیا را برای احراز هویت متقابل، رمزشناسی و چندین نوع حمله دیگر و  WSN های ناهمگن پیشنهاد کردند.

ب. کنترل دسترسی

هدف اصلی کنترل دسترسی، محدودیت انتخابی دسترسی به شبکه است. شبکه های کنترل دسترسی توسط ارائه دهندگان شبکه کنترل می شوند تا یک محیط شبکه امن و ایمن را فراهم کنند. این امر، عنصر سازنده هر نوع سیستم امنیتی شبکه به شمار می آید. محیط کنترل دسترسی، تنها دسترسی کاربران واقعی به سیستم را تایید می کند. شکل 14 یک سیستم کنترل دسترسی ایمن را با ویژگی های امنیتی اولیه نشان می دهد. استراتژی‌ های کنترل دسترسی در سطحی مستقل از مفهوم فوق ‌العاده پیاده ‌سازی نشان داده شده اند و سپس بواسطه تأثیرگذاری بر مکانیسم‌ های کاربردی دسترس پذیر در مورد خط مشی، بر سیستم واقعی تحمیل می ‌شوند. در برخی از جدیدترین سیستم های کنترل دسترسی، تمرکز زدایی شبکه، محیط امن سیستم شبکه را بهبود می بخشد. در مطالعه [120]، یک طرح انتخاب دسترسی در کنار چندین شنودگر برای D2D PLS پیشنهاد شده است. در طرح پیشنهادی، دستگاه های ارتباطی D2D با توجه به آستانه های فاصله، طیفی را با کاربران سلولی به اشتراک می گذارند. نویسندگان تداخلی ایجاد کردند که از طریق پارازیت برای هدایت نادرست شنودگر استفاده می شد. دستیابی به توان عملیاتی بهینه در طرح انتخاب دسترسی، سطح امنیتی شنودگرها را بهینه کرد. از جفت حفاظتی D2D برای محافظت از یک کاربر واحد استفاده می شود.

در مطالعه [121]، چارچوب خودکار ConfigSynth به منظور ارائه پیکربندی دقیق، تلفیقی و مقرون به صرفه شبکه پیشنهاد شده است. چارچوب پیشنهادی بواسطه توسعه مکانیسم‌ بهینه سازی اصلاح شد تا امنیت بهبود یابد. الگوریتم پیشنهادی به تفکیک و جداسازی، توزیع دستگاه های امنیتی می پردازد و جریان ترافیک را بهتر می کند. مطالعه [122]، برای جلوگیری از حمله کاهش رتبه شناسه بین‌ المللی مشترک تلفن همراه (IMSI) توسط LTE  BS  جعلی، استفاده از راه حل مبتنی بر نام مستعار موجود و مکانیسمی برای به روز رسانی نام مستعار LTE را ارائه نمود. در مطالعه [101]، با درک مسائل امنیتی پروتکل صفحه بندی، حمله ای به نام ToRPEDO مورد بررسی قرار گرفت.

یک سری تکنیک های پیشنهادی توسط چندین نویسنده، به منظور کنترل دسترسی بر اساس رمزگذاری، احراز هویت و اشتراک گذاری مخفی ارائه شده اند. در مطالعه [123]، کنترل دسترسی پیشرفته- حریم خصوصی و حسابداری (APAC) به منظور اطمینان از حریم خصوصی کاربر پیشنهاد شد. همچنین نویسندگان با اجرای پروتکل در منابع تجربی محدود، اعتبار آن را تأیید می کنند. نویسندگان در مطالعه [124]، طرح احراز هویت منحصر به فرد توسط بیومتریک و پسورد را برای سیستم های اطلاعات پزشکی مراقبت از راه دور (TMIS) پیشنهاد کرده اند. تکنیک پیشنهادی محرمانگی پیشرو، ناشناس بودن، هزینه محاسباتی کمتر و احراز هویت کارآمد را بدون دخالت سرور راه دور فراهم می ‌کند. در مطالعه [125]، نویسندگان پیشنهاد دادند که وضعیت موجود صنعت مدیریت و مشخصات سیاسی بواسطه توسعه طرح تأیید رسمی سیاست های کنترل دسترسی، گسترش یابد. نویسندگان مطالعه [126]، بر اساس به روز رسانی متن رمزنگاری شده و برون سپاری رایانشی در رایانش مه اینترنت اشیاء، یک طرح کنترل دسترسی را پیشنهاد دادند. داده های کاربر با استفاده از ABE رمزگذاری و سپس به فضای ذخیره سازی ابری وارد شدند. یک طرح امنیتی ایمن و کارآمد در مطالعه [127] ارائه شده است. طرح به اشتراک گذاری داده های امنیتی چندین کاربر در شبکه های اجتماعی آنلاین (OSN) ،بر اساس خط مشی متن رمزی و رمزگذاری مجدد مبتنی بر ویژگی (CP-ABPRE) و به اشتراک گذاری مخفی، پیشنهاد شده است. همچنین نویسندگان در مطالعه [127]، برای کاهش سربار رایانشی کاربران بواسطه دگرسپاری عملیات رمزگشایی در  OSNها و رصد توانایی مکانیسم برای بررسی متقابل داده ‌های رمزگشایی شده توسط OSN ها و لغو ویژگی برای دستیابی به محرمانگی پیشرو و پسرو، یک ساختار رمزگشایی جزئی را پیشنهاد کرده ‌اند. 

 

 

در مطالعه [128]، پروتکل پذیرش گره BiAC (اشتراک مخفی چند جمله ای دو متغیره) با استفاده از یک MANET  موقت و ایمن و یک چند جمله ای دو متغیره پیشنهاد شده است. پروتکل پیشنهادی، یک تکنیک پذیرش غیر تعاملی، کارآمد و ایمن برای اشتراک گذاری ایمن به شمار می آید. برای تمرکززدایی سیستم،MANET  ها مجازند کلیدهای مخفی را بدون اینکه کمک و هیچگونه پشتیبانی متمرکزی، به صورت جفتی و مخفیانه به اشتراک بگذارند. آنها همچنین تکنیکی را پیشنهاد کرده ‌اند که از طریق آن می‌ توان در زمان اجرا کانال ارتباطی امنی توسط جفت گره‌ های MANET ایجاد کرد. در مطالعه [129]، یک طرح کنترل دسترسی سلسله مراتبی تعمیم یافته به نام ساختار مبتنی بر رمزگذاری مشترک (SEBC)، بواسطه افزودن کاربران واجد شرایط به سیستم و اشتراک گذاری کاملاً مخفی و رمزگذاری متقارن، شناسایی شده است. پروتکل پیشنهادی روش‌ های جایگزین دسترسی به سیستم را تعریف می ‌کند و امکان توزیع وظایف را بین کاربران مختلف فراهم می ‌کند. همچنین یک طرح تخصیص کلید ایمن به نام ساختار مبتنی بر رمزگذاری آستانه داده پراکنی (TBEBC) ایجاد می کند، در این طرح مبانی رمزگذاری بر روی آستانه داده پراکنی کلید عمومی ایجاد می شود.

ویژگی های منحصر به فرد شبکه های ادهاک، تا حد زیادی سیستم را آسیب پذیر می کند. کنترل دسترسی به سیستم در گروه های شبکه ادهاک، نقش اساسی را ایفا می کند. از دسترسی مزاحم فردی یا گروهی به سیستم جلوگیری می کند. در مطالعه [130]، نویسندگان حمله ای را در مورد طرح امضای پیش نگر کنترل دسترسی پایدار (RSA) پیشنهاد نمودند. به عقیده نویسندگان، طرح RSA برخی از اطلاعات را افشا می کند و توسط خرابکاران به منظور بازسازی کامل رمز مشترک استفاده می شود. در مطالعه [131]، طرح رله مشارکتی تک-خروجی چند-ورودی (MISO) در وسیله نقلیه مورد مطالعه قرار گرفته است. پارازیت مشارکتی (CJ)، تکنیک های بدون محافظ و استقرار سیگنال اتخاذ شده اند و کاربر نزدیک می تواند از طریق آن ها سیگنال را رمزگشایی کند و برای کاربر دور به عنوان یک رله عمل می کند. طرح انتقال بهینه و ایمن، پس از تجزیه و تحلیل دقیق شنودگر تهدیدات امنیتی پیشنهاد شد. نویسندگان مطالعه [132]، در سناریوی عملی دریافت سیگنال (DL)، قابلیت اطمینان و عملکرد امنیتی را بواسطه خطاهای تخمین کانال (CE) در سیستم های C-RAN و سرهای رادیویی بطور بهینه در دسترس از راه دور (RRHs)، بررسی کرده ‌اند. نویسندگان مطالعه [133]، روش جدیدی را برای تأیید نیمه خودکار و اجرای سیاست کنترل دسترسی در سیستم های شبکه صنعتی (INS) پیشنهاد کرده اند. نویسندگان با در نظر گرفتن دو دیدگاه مختلف سیستم از جمله شرح مفصل طرح فیزیکی مورد نظر و الزامات انتزاعی سیاست ‌های کنترل دسترسی، از یک رویکرد دوگانه استفاده کردند. نویسندگان در مطالعه [133] برای تعریف سیاست ها از یک چارچوب پیاده سازی سطح بالا به نام کنترل دسترسی مبتنی بر نقش (RBAC) استفاده کردند.

علاوه بر این، اغلب رویدادهای رومینگ به دلیل استفاده از شبکه ‌های محلی 5G یا اپراتورهای میکرو 5G در شبکه 5G اتفاق می افتند [136]-[134]. اکثر این اپراتورهای محلی 5G مشابه MNO های اصلی، از سطح امنیتی بالایی برخوردار نیستند. بنابراین، مواجهه با یک شبکه محلی 5G مخرب به عنوان یک شبکه خدماتی، امری بسیار محتمل به شمار می آید [108]. بنابراین، احراز هویت 5G باید به اندازه کافی موثر واثر بخش باشد تا از برقراری ارتباط با چنین شبکه هایی جلوگیری شود.

 

شکل12. احراز هویت 5G و طرح تبادل کلید.

 

ج. امنیت ارتباطات

هدف ارتباطات 5G، ارائه پهنای باند با داده زیاد، ارتباط با تأخیر کم و پوشش سیگنالی گسترده برای پشتیبانی از طیف گسترده از سلسله مراتب اکوسیستم 5G  است. بنابراین ارتباطات5G  در کنار تغییرات معماری و ادغام فناوری های جدید به روز می شود. با این حال، این تغییرات می تواند منجر به چالش های امنیتی فوق العاده در شبکه های تلفن همراه 5G آینده شود [137].

حملات به ارتباطات 5G را می توان در بخش های مختلف از قبیل UE، شبکه های دسترسی و شبکه اصلی اپراتورهای تلفن همراه آغاز کرد [138]. جدول 5 حملات مربوط به بخش ‌های مختلف ارتباطات 5G را به منظور کمک به درک مسائل امنیتی آینده و چالش‌ های تأثیرگذار بر ارتباطات 5G، خلاصه می ‌کند. همچنین این امر برای بررسی تهدیدها و حملات در سیستم های قدیمی تلفن همراه (به عنوان مثال، 2G/3G/4G) مهم است. برخی از این حملات در سیستم های 5G نیز قابل اجرا هستند [3]. شکل 13 نقطه تاثیرگذاری هر یک از مسائل امنیتی در کانال ارتباطی 5G را نشان می دهد.

ترافیک شبکه اصلی 5G را می توان به دو نوع ، یعنی کنترل ترافیک و ترافیک داده های کاربر طبقه بندی کرد. هر دو نوع ترافیک در برابر تهدیدات امنیتی مختلف آسیب پذیر هستند. فقدان امنیت در سطح IP، موضوع امنیتی کلیدی در رابطه با ترافیک کنترل به شمار می آید. در شبکه اصلی 5G مبتنی برSDN، برای ایمن کردن ارتباط کانال کنترل از پروتکل ‌های امنیتی لایه بالاتر (لایه کاربردی) از جمله جلسات امنیت لایه انتقال (TLS) / لایهٔ سوکت‌ های امن (SSL) استفاده می ‌شود. آنها آسیب ‌پذیری ‌های در سطح IP از قبیل جعل IP، حملات تغییر پیام، حملات شنودگر، TCP SYN DoS، جعل IP و حملات بازنشانی TCP را شناسایی نمودند [119]. بنابراین استفاده از مکانیسم‌ های امنیتی سطح IP در کنار مکانیسم‌ های حفاظتی لایه بالاتر، امری ضروری تلقی می گردد. در مطالعات [21]، [72]، [139]، نویسندگان یک معماری امنیتی مبتنی بر IPSec را برای ایمن سازی ارتباطات کانال کنترل پیشنهاد کردند.

 

شکل 13. مسائل امنیتی مربوط به ارتباطات در شبکه 5G.

جدول 5. مسائل امنیتی مربوط به ارتباطات در شبکه 5G

 

در شبکه های SDN مقیاس بزرگ مانند شبکه های تلفن همراه، از چندین کنترلر SDN برای کنترل بخش های مختلف شبکه استفاده می شود [140]. برای برقراری ارتباط بین کنترلرهای (ICC) چندگانه موجود در SDN  از رابط شرقی/غربیSDN  استفاده می شود. این امر به اشتراک گذاری اطلاعات کنترل و انجام عملکردهای مختلف شبکه از قبیل همگام سازی سیاست های امنیتی، مدیریت تحرک، مدیریت ترافیک و نظارت بر شبکه کمک می کند.

 

شکل 14. الزامات امنیتی برای شبکه کنترل دسترسی.

بنابراین، امنیت این کانال های ICC برای اطمینان از عملکرد مناسب عملکردهای فوق، ضروری تلقی می گردد. اگر کانال اصلی ICC به خطر بیفتد، بدون در نظر گرفتن آنچه در بقیه شبکه اتفاق می افتد، کل سیستم در معرض خطر قرار می گیرد. کانال ‌های ICC در سیستم های SDN فعلی، در برابر طیف وسیعی از حملات IP و حملات مبتنی بر وب از قبیل DDoS، پخش مجدد، اسکن پورت IP و ربودن سرور نام دامنه (DNS) آسیب ‌پذیر هستند [141]، [142]. علاوه بر این، کانال ‌های ICC 5G در برابر سایر تهدیدات فیزیکی از قبیل نقص فنی، خطاهای انسانی و همچنین خرابی ‌های بلایای طبیعی آسیب ‌پذیر هستند. به ناچار،5G ICC  نیز در برابر طیف گسترده ای از تهدیدات سایبری و فیزیکی آسیب پذیر خواهد بود. علاوه بر این، سیستم های ارتباطی مبتنی بر SDN تنها تأثیر حملات سایبری را در نظر گرفته ‌اند. به عنوان مثال، لام و همکارانش به منظور افزایش امنیت انتقال داده‌ های رابط شرق/غرب در شبکه ‌های چند کنترلرSDN ، استفاده از مکانیسم تبادل کلید ایمن مبتنی بر پروتکل رمزنگاری مبتنی بر هویت (IBC) را پیشنهاد کردند [142]. با این حال، این پیشنهاد به بسیاری از حملات سایبری شناخته شده و تهدیدات فیزیکی توجه نکرده است.

در حالی که پیشرفت های صنعتی امنیت 5G به شیوه ای واکنشی پیش می رود، تحقیقات فعلی در زمینه امنیت تطبیقی، ​​رویکردی انعطاف پذیرتر و تاب آورتر را ارائه می دهند. با این حال، راه حل های امنیتی در شبکه های 4G فعلی، توسط فروشندگان مختلف طراحی شده اند؛ اکثر آنها راه حل های مختص فروشنده هستند. بنابراین، استفاده ترکیبی و تطبیقی و همگام سازی زمان واقعی راه حل های امنیتی مختلف در شبکه های امروزی، امری بسیار دشوار یا غیرممکن است [143]. بنابراین، امکان اصلاح سیستم موجود در زمان واقعی به منظور جلوگیری از حملات مداوم وجود ندارد و در شبکه ‌های 5G به سیستم های امنیتی انعطاف‌پذیر جدیدی نیاز است.

علاوه بر این، امنیت لایه فیزیکی یک حوزه مهم در ارتباطات 5G به شمار می آید. یک تحلیل پیشرفته از امنیت لایه فیزیکی در بخش 5 ارائه شده است.

د. رمزگذاری

رمزگذاری برای اطمینان از محرمانه بودن داده ها بسیار اهمیت دارد. رمزگذاری E2E در شبکه 5G، با توجه به مجموعه غنی خدمات این شبکه جدید، امری قابل توجه به شمار می آید. این امر می تواند در بخش های مختلف شبکه برای جلوگیری از دسترسی غیرمجاز به داده های تلفن همراه استفاده شود.

ترافیک رادیویی در شبکه 5G در لایه پروتکل همگرایی داده های بسته (PDCP) رمزگذاری شده است [82]. مشابه شبکه 4G LTE ، سه کلید رمزگذاری 128 بیتی مختلف برای صفحه کاربر، پروتکل لایه بدون دسترسی (NAS) و پروتکل های لایه بدون دسترسی (AS) استفاده می شود. علاوه بر این، برخی از الگوریتم‌ های رمزگذاری 4G  در شبکه رادیویی جدید  5G (NR) استفاده خواهند شد. طبق استانداردهای 3GPP 5G [144]، در شبکه 5G نیز از الگوریتم ‌های رمزگذاری EPS مبتنی بر استانداردهای تهی، SNOW3G  و استاندارد رمزگذاری پیشرفته (AES) استفاده خواهد شد. با این حال، شناسه های شبکه 5G تغییر یافته اند. 4G EEA (الگوریتم رمزگذاری EPS) در شبکه 5G به عنوان NEA (الگوریتم رمزگذاری NR) تعریف شده است [145].

ارتباط با تاخیر کم و قابلیت اطمینان فوق بالا (URLLC) یکی از کلاس های ترافیکی اصلی در شبکه 5G به شمار می آید. در RAN 5G NR با استقرار یک BS به عنوان دو واحد دو بخشی، به نام واحد مرکزی و واحد توزیع شده، به تاب آوری بالایی در برابر تهدیدات و حملات امنیتی دست می یابد [82]. این واحد دو بخشی به استقرار قابل پیکربندی عملکردهای حساس امنیتی برای دسترسی به 5G NR کمک می کند. برای مثال، رمزگذاری صفحه کاربر در یک موقعیت مرکزی امن و توابع غیر امنیتی در مکان ‌های توزیع شده کمتر امن، اجرا می‌ شوند.

علاوه بر این، رمزگذاری نقشی حیاتی در حفاظت از حریم خصوصی شبکه 5G ایفا می کند. برای انطباق با آخرین دستورالعمل ‌های حفظ حریم خصوصی از قبیل مقررات عمومی حفاظت از داده ‌ها (GDPR) [146]، [147] و بررسی مداوم دستورالعمل حفظ حریم خصوصی الکترونیک [148]، [149] در اروپا، لازم است که حفاظت از حریم خصوصی در سیستم های 5G  به عنوان یک الزام با اولویت بالا در نظر گرفته شود. در نتیجه، حفاظت از حریم خصوصی مشترکین در طراحی سیستم های 5G گنجانده شده است. شناسه ‌های بلندمدت و همچنین موقتی مشترکین شبکه 5G، با استفاده از یک مکانیسم پنهان محافظت می‌ شوند و این مکانیسم مبتنی بر طرح رمزگذاری یکپارچه منحنی بیضی (ECIES) [150] است و از کلید عمومی اپراتور خانگی استفاده می ‌کند [151].

علاوه بر این، اخیراً کمیته فنی ESTI در مورد امنیت سایبری دو مشخصات رمزگذاری را برای رمزگذاری مبتنی بر ویژگی (ABE) منتشر کرده است که می ‌توان از آن ها در شبکه 5G و اینترنت اشیاء استفاده نمود. این یک طرح رمزنگاری نامتقارن و چند جانبه می باشد و کنترل دسترسی را با رمزگذاری داده ‌ها ترکیب می ‌کند. اولین مشخصه ای که زمان ارائه دسترسی ایمن به داده ها به چندین طرف باید ارائه شود، است تمرکز بر روی حفاظت از داده های شخصی در دستگاه های اینترنت اشیاء، سرویس های ابری و تلفن همراه است. مشخصه دوم تمرکز بر روی مدل ‌ها، توابع و پروتکل ‌های اعتماد برای کنترل دسترسی به داده ‌ها در شبکه های 5G است[152]، [153].

علاوه بر این، در شبکه 5G  می توان برای از بین بردن تهدیدات گیرنده های IMSI از رمزگذاری IMSI [154] استفاده کرد [155]. گیرندگانIMSI ، مشترکین را شنودگر و ردیابی می کنند. حریم خصوصی آنها را نقض می نمایند [155]. در مطالعه [154]، نویسندگان برای دستیابی به این هدف الگوریتم جدید رمزگذاریIMSI را پیشنهاد کردند. دستگاه تلفن همراه باید یک جفت کلید نامتقارن عمومی/خصوصی و شماره تصادفی خود را تولید کند. این امر در شبکه 5G امکان پذیر است، زیرا USIM های فعلی می توانند انجام عملیات رمزگذاری نامتقارن تصادفی را انجام دهند [100]،[156].

چهار. مسائل امنیتی مرتبط با فناوری های کلیدی در 5G

این بخش شامل برخی از چالش برانگیزترین مسائل امنیتی مربوط به کلید 5G، یعنی  SDN/SDMN، NFV، MEC، رایانش ابری و تقسیم بندی شبکه است. علاوه بر این، تأثیر این فناوری ها بر امنیت 5G نیز در این بخش مورد بحث قرار می گیرد.

الف. چالش های امنیتی مربوط به  SDN/SDMN

SDN  به عنوان تلاشی برای ارائه سریع نوآوری های شبکه و ساده کردن و خودکارسازی مدیریت شبکه های بزرگ مطرح شد. به طور منطقی، صفحه کنترل متمرکز، به منظور ارسال بسته در داخل شبکه، کل سیستم در SDN را نظارت و کنترل می کند [157]. در میان سایر فناوری ها،SDN  یکی از فناوری ‌های5G  آینده دار است که می تواند در سال های آینده قابلیت اطمینان و سرعت بالایی برای سرازیر داده ‌ها و گره ‌های شبکه فراهم ‌کند [158] [159]. نویسندگان در مطالعه [160]، با استفاده از این دو مدل تهدید، یک تحلیل قیاسی بین شبکه سنتی و SDN ارائه نمودند. مدل پیشنهادی بر دارایی های حیاتی شبکه که مورد نیاز شبکه های تولید متداول است، تاکید دارد. نویسندگان مطالعه [51]، به منظور سازگاری شبکه ‌های میراث و SDN فعال، در طراحی مدل داده از سه استراتژی همگام‌ سازی استفاده کردند. مدل پیشنهادی، اطلاعات را به منظور همگام نگه داشتن سیستم مدیریت شبکه و کنترلر ذخیره می کند.

نویسندگان مطالعه [161]، معماری امنیتی مبتنی بر تجزیه و تحلیل کلان داده مدیریت خوشه ایمن برای صفحه کنترل به حداکثر رساندن خوشه پیشنهاد کرده اند. همچنین شامل یک تکنیک احراز هویت برای مدیریت خوشه و رویکردی برای بهینه سازی صفحه کنترل است.

نویسندگان مطالعه [162]، با ارائه یک معماری امنیتی مبتنی بر مولفه های چندلایه، آسیب ‌پذیری ‌های امنیتی در 5G SDMN، مجازی‌ سازی تابع شبکه و رایانش ابری را برطرف کرده ‌اند. به منظور افزایش امنیت SDMN در سطوح کنترل و داده، تکنیک پیشنهادی حاوی پنج مؤلفه از جمله ارتباطات مبتنی بر سیاست، ارتباطات ایمن، مدیریت رویداد، اطلاعات امنیتی و نظارت امنیتی می باشد. یک معماری امنیتی پایدار برای شبکه های5G  مبتنی بر SDN در مطالعه [138] پیشنهاد شده است. در اینجا، بواسطه افزودن احراز هویت رمزنگاری اضافی که به آن همگام سازی رمز می‌گویند، درخواست‌ های غیرقانونی مهاجمان مخرب شناسایی می ‌شوند. بنابراین، این طرح برای جداسازی حملات از درخواست های متداول شبکه، از رمزهای از پیش بارگذاری شده استفاده می کند. در نهایت، جدول 6  مسائل امنیتی مربوط به SDN/SDMN و ارتباط آنها با شبکه های 5G  و شبکه های پیش از5G  را خلاصه می کند.

ب. مسائل امنیتی مرتبط با مجازی سازی توابع شبکه

شبکه های تلفن همراه قبل از 5G دارای عملکردهای شبکه ای هستند و صرفاً مبتنی بر سخت افزار و نرم افزار خاص هستند. یک گره فیزیکی در شبکه نقش خاصی را ایفا می کند. این امر به طرق مختلف مانع استقرار و گسترش شبکه های مخابراتی خواهد شد. اولاً، اپراتورهای تلفن همراه قبل از 5G مجبور بودند یک شبکه حامل پیچیده با انواع زیادی گره اختصاصی و لوازم سخت افزاری را حفظ کنند. استقرار خدمات شبکه جدید دشوار و پرهزینه بود. همچنین، برای اجرای آنها نیز زمان زیادی صرف شده بود. افزودن یک سرویس جدید اساساً به این معنی است که شبکه صرفاً به سخت افزار دیگری نیاز دارد. این سخت افزار باید در شبکه گنجانده شود. با توجه به توسعه سریع فناوری های شبکه تلفن همراه، این خدمات به سرعت به پایان عمر خود می رسند. بنابراین، این خدمات شبکه به طور مرتب نیاز به ارتقا دارند. با این حال، این عملیات در شبکه های تلفن همراه فعلی به دلیل چرخه تدارکات-طراحی، یکپارچه سازی- استقرار بسیار گران هستند. علاوه بر این، تنوع زیاد و فزاینده تجهیزات سخت افزاری اختصاصی در شبکه اپراتورها، مدیریت آن را بسیار پیچیده و گران می کند[179].

بنابراین، اپراتورهای شبکه به دنبال ابزار جدیدی بودند تا با به حداقل رساندن وابستگی به محدودیت های سخت افزاری، شبکه را انعطاف پذیرتر و ساده تر کنند. NFV یک مفهوم جدید است که معماری تجهیزات شبکه را اصلاح می کند. NFV خدمات شبکه ای را که به طور سنتی بر روی سخت افزار انحصاری و اختصاصی اجرا می شود، مجازی سازی می کند. اکنون، آنها می توانند به عنوان یک برنامه نرم افزاری در یک ابر ذخیره شوند. شبکه با استفاده از سخت افزار متداول بازار ساخته می شود و تابع شبکه مورد نیاز را می توان بر اساس نیاز به صورت پویا بر روی چنین سخت افزاری مستقر نمود.

 

شکل 15. بردارهای تهدید در معماری NFV.

NFV  می تواند چندین مزیت ارائه دهد. با حذف تجهیزات مورد استفاده و حذف نیاز به استفاده از دستگاه های سخت افزاری اختصاصی، هزینه های تجهیزات (CAPEX) را کاهش می دهد. NFV می تواند با کاهش چرخه عمر نوآوری اپراتورهای شبکه، زمان ورود به بازار خدمات شبکه جدید را به میزان قابل توجهی افزایش دهد. علاوه بر این،NFV  در دسترس پذیری تجهیزات شبکه چند نسخه و چند اجاره ای را امکان پذیر می سازد. این امر اجازه می دهد تا یک پلت فرم سخت افزاری واحد بین برنامه ها، خدمات و مستاجران مختلف به اشتراک گذاشته شود. همچنینNFV  موجب افزایش نوآوری برای ارائه خدمات جدید و ایجاد جریان های درآمدی جدید می شود. بنابراین، NFV در شبکه 5G  نقش حیاتی ایفا خواهد کرد و یکی از فناوری های اساسی در شبکه های5G  به شمار می آید.

با این حال، چندین نگرانی امنیتی در سیستم های NFV 5G یافت شد. این مسائل امنیتی عمدتاً بر انعطاف پذیری و همچنین کیفیت کلی خدمات در شبکه های5G  تأثیر می گذارد. این حملات از سطح سخت افزار فیزیکی گرفته تا سطح معماری NFV را شامل می شوند. به طور مشخص، حملات امنیتی بر مولفه های سطح نرم افزار از قبیل مدیر زیرساخت مجازی (VIM) موجب آسیب پذیری های دیگری نیز می شوند و به صورت تصاعدی صورت می گیرند [35]. شکل 15 بردارهای تهدید مربوط به NFV را ارائه می دهد و جدول 7 حملات مربوط به بردارهای تهدید را خلاصه می کند.

 

 

 

 

 

جدول 6. مسائل امنیتی مربوط به DN/SDMN

 

بررسی های جامع مسائل امنیتی مربوط به NFV را می توان در مطالعات [35]، [164]، [182]-[180] یافت. علاوه بر این، مسائل امنیتی در VNF ها در مطالعه [170] ارائه شده است. ملاحظات امنیتی در مورد اپراتورهای شبکه مجازی تلفن همراه مبتنی بر ابر NFV در مطالعه [183] ​​مورد بحث قرار گرفته است. در مطالعه [177]، نویسندگان به منظور تفکیک ایمن حالت ‌های کاربردیNFV  و جلوگیری از آسیب ‌پذیری ‌های امنیتی ناشی از سرقت و دستکاری حالت ‌های داخلی کاربردهایNFV  که منابع فیزیکی مشابهی دارند، یک مکانیسم امنیتی جدید مبتنی بر برنامه‌ های افزودنی نگهبان نرم‌ افزار اینتل (Intel SGX) را پیشنهاد کردند. در مطالعات[186]-[184]، طرح های پیشنهادی برای گسترش سامانگرهای فعلی NFV و قابلیت مدیریت مکانیسم های امنیتی مرتبط با شبکه های 5G پیشنهاد شده است. در مطالعه [187]، نویسندگان مفهوم مجازی سازی عملکرد امنیت شبکه (NSFV) را در زیرساخت Openflow تعریف، بررسی و ارزیابی می کنند. NSFV در رابطه با ارائه خدمات شبکه، نظارت بر شبکه و امنیت E2E شبکه های5G  دارای چالش های امنیتی بالقوه می باشد. در مطالعه [188]، [189]، چارچوب های سیاست امنیتی شبکه های NFV پیشنهاد شد. در مطالعه [190]، یک معماری امنیتی برای شبکه های ارتباطی مبتنی بر NFV پیشنهاد شده است.

 

ج. MEC و مسائل امنیتی مرتبط با ابر

MEC ، معماری شبکه ای است که معمولاً اجازه می دهد تا فرآیند رایانش ابری در لبه شبکه انجام شود. در MEC، عملکردهای مورد نیاز برای تابع شبکه در نزدیکی UE و دور از اپراتور شبکه رخ می دهد. علاوه بر این، دستگاه ‌های لبه ای نسبت به دستگاه ‌های ابری در برابر حملات فیزیکی آسیب‌پذیرتر هستند. در رایانش لبه ای، صورتحساب یا تغییر مسیر داده فقط از طریق مولفه های لبه انجام می شود. شبکه های بازدید شده و خانگی نیز به مولفه های لبه بستگی دارند. شبکه اصلی تنها از طریق نظرسنجی دوره‌ای، می ‌تواند ردیابی داده‌ های دریافتی توسط کاربر لبه را در UE دیگر نگه دارد [191].

بسیاری از نویسندگان راه حل هایی را برای برخی از چالش های امنیتی در شبکه های MEC، ابری و شبکه های مشترک MEC  و ابری ارائه کردند. شکل 16 برخی از راه حل های مرتبط با MEC و شبکه های رایانش ابری را به تصویر می کشد. نهان‌ن گاری صفر و رمزنگاری بصری دو رویکرد پیشنهادی برای ارائه محتوای چندرسانه ای ایمن و داده های اشتراکی چندگانه به مشار می آیند. نویسندگان در مطالعه [192]، از تکنیک فوق برای ارائه راه حل امنیتی بیومتریک در تصاویر چهره استفاده کردند، این تکنیک هیچ تأثیری بر ارزش نگاره ای تصویر ندارد. نویسندگان برای احراز هویت محتوای چندرسانه ای، محافظت از حق کپی برداری را ارائه می دهند. نویسندگان در مطالعه [193]، با استفاده از ارتباط D2D با مه یا گره های لبه، چارچوب رایانش لبه ‌ای همراه را برای مکان امن و مشترک کاربر در یک مکان شلوغ پیشنهاد کرده اند.

نویسندگان در مطالعه [194]، یک سیستم مدیریت شهرت توزیع شده را برای رسیدگی به مسائل امنیتی در رایانش لبه ای خودرو (VEC) پیشنهاد کرده اند. نویسندگان مطالعه [195]، مجموعه فازی مبهم راف نرم را برای انتخاب سرویس امنیتی مناسب برای مسائل تصمیم گیری چند معیاره زمان واقعی در رایانش رایانش مه و رایانش لبه ‌ای همراه (FMEC) پیشنهاد کرده اند.