Thuật ngữ an ninh miền kiến trúc dựa trên dịch vụ áp dụng cho các giao diện dựa trên dịch vụ trong mạng lõi 5G. Từ quan điểm an ninh, có ba loại giao diện dựa trên dịch vụ, được minh họa trong Hình 2.9.
Hình 2.9 : Kiến trúc bảo mật giao diện dựa trên dịch vụ.
Giao diện PLMN trực tiếp TLS
Giao diện liên PLMN qua bảo mật lớp ứng dụng IPX
Giao diện nội bộ PLMN NDS/IP hoặc TLS 5GC SEPP SEPP P SEPP SEPP 5GC 5GC 5G C N32 N32 N32
35
Đầu tiên bao gồm các giao diện dựa trên dịch vụ bên trong mạng của một nhà khai thác, được bảo mật bằng cách sử dụng bảo mật lớp mạng IP hoặc TLS theo cách được mô tả trong mục 2.5.2. Giao diện dựa trên dịch vụ giữa hai mạng được triển khai qua điểm tham chiếu N32, điểm này kết nối các proxy bảo vệ cạnh bảo mật (SEPP). Nếu điểm tham chiếu N32 là kết nối trực tiếp không truyền qua trao đổi gói IP ( IPX), thì nó được bảo mật chỉ bằng TLS. Tuy nhiên, một kịch bản khác phát sinh nếu điểm tham chiếu N32 đi ngang qua IPX. Mỗi nhà khai thác mạng liên lạc với nhà cung cấp dịch vụ IPX đáng tin cậy của riêng mình và có mối quan hệ kinh doanh mà thông qua đó nhà cung cấp dịch vụ có thể muốn đọc và thậm chí sửa đổi các phần tử thông tin riêng lẻ trong các bản tin báo hiệu đối tượng HTTP/2 và JavaScript (JSON). (Một ví dụ là việc sửa đổi tiêu đề HTTP/2 cho mục đích định tuyến, trong khi các ví dụ khác có thể đề cập đến việc cung cấp các dịch vụ giá trị gia tăng của IPX.) Các nhà cung cấp dịch vụ khác cũng có thể tham gia, nhưng họ chỉ chuyển tiếp bản tin qua đường dẫn.
Đối với những giao diện đó, bảo mật ở lớp mạng hoặc lớp truyền tải sẽ không được ưu tiên. Thay vào đó, các SEPP bảo mật hầu hết các bản tin báo hiệu ở lớp ứng dụng, bằng cách áp dụng mã hóa và bảo vệ tính toàn vẹn cho các phần tử thông tin HTTP/2 và JSON riêng lẻ, đồng thời cho phép nhà cung cấp dịch vụ IPX thực hiện các sửa đổi được ủy quyền đối với chúng.
Hình 2.10 cho thấy các chi tiết kiến trúc. Trong sơ đồ, chức năng mạng tiêu dùng (CNF) yêu cầu dịch vụ từ chức năng mạng nhà sản xuất (pNF) trong mạng của nhà khai thác khác. Các mạng giao tiếp bằng cách sử dụng các SEPP - được ký hiệu là cSEPP và pSEPP tương ứng - và có mối quan hệ kinh doanh với các nhà cung cấp dịch vụ IPX của riêng họ, được ký hiệu là cIPX và pIPX.
Điểm tham chiếu N32 có hai thành phần. N32-c mang bản tin báo hiệu HTTP/2 quản lý mối quan hệ giữa hai SEPP. Những bản tin đó được bảo mật bằng TLS, vì vậy chúng không thể bị đọc hoặc sửa đổi bởi các IPX can thiệp. N32-f chuyển tiếp các bản tin báo hiệu HTTP/2 tiếp theo giữa hai chức năng mạng. Các bản tin đó được bảo mật ở lớp ứng dụng bằng mã hóa và ký đối tượng JSON (JOSE), một khuôn khổ bảo mật hỗ trợ tính toàn vẹn và bảo vệ phát lại bằng chữ ký web JSON (JWS) [8] và hỗ trợ mã hóa bằng mã hóa web JSON (JWE ).
36
Hình 2.10 : Các nguyên tắc gửi thông điệp an toàn qua N32-f.