行業(yè)動(dòng)態(tài)

浪潮來襲,如何打好5G安全這張“牌”?

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-03-24    瀏覽次數(shù):
 

信息來源:51CTO

從2G到4G,移動(dòng)網(wǎng)絡(luò)已成為日常生活不可或缺的符號(hào),而5G的到來更將滲透到未來社會(huì)的各個(gè)領(lǐng)域,它提供了更快的速度,更可靠的連接,成功推動(dòng)了萬物互聯(lián)的時(shí)代。與此同時(shí),5G移動(dòng)通信技術(shù)也將面臨新業(yè)務(wù)、新架構(gòu)、新技術(shù)帶來的安全挑戰(zhàn)和機(jī)遇,以及更高的用戶隱私保護(hù)需求。

僅就質(zhì)量而言,5G領(lǐng)先于4G,風(fēng)險(xiǎn)也遠(yuǎn)大于4G

從用戶的角度來看,5G本質(zhì)上不同于任何先前的移動(dòng)代。從長遠(yuǎn)來看,由5G支持的機(jī)器類型通信將成為5G的戰(zhàn)略差異和獨(dú)特賣點(diǎn)。5G網(wǎng)絡(luò)將成為促進(jìn)數(shù)字化、自動(dòng)化以及M2M和運(yùn)輸解決方案等連接的關(guān)鍵基礎(chǔ)設(shè)施。因此,5G網(wǎng)絡(luò)安全也面臨重大風(fēng)險(xiǎn)。

為什么5G網(wǎng)絡(luò)會(huì)帶來更大的安全隱患

根據(jù)2019年布魯金斯大學(xué)的報(bào)告,5G網(wǎng)絡(luò)比4G更容易受到攻擊:


  • 5G網(wǎng)絡(luò)從傳統(tǒng)基于硬件的集中式交換轉(zhuǎn)變?yōu)榉植际健④浖x的數(shù)字化路由,從而更易受到攻擊。
  • 以前由物理設(shè)備執(zhí)行的高級(jí)網(wǎng)絡(luò)功能現(xiàn)在已通過軟件進(jìn)行虛擬化,從而增加了網(wǎng)絡(luò)漏洞。
  • 即使網(wǎng)絡(luò)中的軟件漏洞已被鎖定,但5G網(wǎng)絡(luò)仍由軟件管理,這意味著獲得網(wǎng)絡(luò)管理軟件控制權(quán)的攻擊者也可以控制網(wǎng)絡(luò)。
  • 5G帶寬的急劇擴(kuò)張創(chuàng)造了更多的攻擊途徑。
  • 未來大量智能設(shè)備與物聯(lián)網(wǎng)的連接也將導(dǎo)致網(wǎng)絡(luò)漏洞激增。


5G三大場景的安全性劃分

首先我們知道5G有三大典型業(yè)務(wù)場景,分別是增強(qiáng)型移動(dòng)寬帶(eMBB)、高可靠低時(shí)延連接(uRLLC)、海量物聯(lián)網(wǎng)(mMTC)。他們對于安全性都有各自不同的需求:


  • eMBB的主要特點(diǎn)是提供更高的體驗(yàn)速率和更大帶寬的接入能力,用于滿足諸如虛擬現(xiàn)實(shí)(VR)、大視頻等對帶寬有極高要求的業(yè)務(wù),但這也需要更高的安全處理性能,支持外部網(wǎng)絡(luò)二次認(rèn)證以及已知漏洞的修補(bǔ)能力;
  • uRLLC能夠提供低時(shí)延和高可靠的信息交互能力,端到端的時(shí)延在毫秒級(jí)別,主要用于車聯(lián)網(wǎng)、遠(yuǎn)程醫(yī)療等應(yīng)用。網(wǎng)絡(luò)安全通常與網(wǎng)絡(luò)性能效率是互為矛盾的,增強(qiáng)網(wǎng)絡(luò)安全防護(hù)機(jī)制,必然以犧牲網(wǎng)絡(luò)性能、降低網(wǎng)絡(luò)效率為代價(jià),因此uRLLC需要低時(shí)延的安全算法/協(xié)議、邊緣計(jì)算的安全架構(gòu)和隱私、關(guān)鍵數(shù)據(jù)的保護(hù);
  • mMTC能夠提供更高連接密度時(shí)優(yōu)化的信令控制能力,支持大規(guī)模、低成本、低能耗IoT設(shè)備的高效接入和管理,但它需要輕量化的安全,需要群組認(rèn)證以及能夠抵抗DDos攻擊。



5G的不同安全挑戰(zhàn)

5G對不同場景提供的接入方式和網(wǎng)絡(luò)服務(wù)方式存在較大差異,支持的業(yè)務(wù)交付方式也不同,安全需求的差異性非常明顯。特別是物聯(lián)網(wǎng)應(yīng)用場景帶來的大連接認(rèn)證、高可用性、低時(shí)延、低能耗等安全需求,以及5G引入的 SDN/NFV、虛擬化、移動(dòng)邊緣計(jì)算和異構(gòu)無線網(wǎng)絡(luò)融合等新技術(shù)帶來的變化和安全風(fēng)險(xiǎn),對5G移動(dòng)通信系統(tǒng)的接入、切片安全、數(shù)據(jù)保護(hù)和用戶隱私保護(hù)等方面提出了全新的挑戰(zhàn)。

接入安全

5G 時(shí)代網(wǎng)絡(luò)不僅用于人與人的通信,還用于人與物、物與物的通信,為此,5G 網(wǎng)絡(luò)需要支持多樣化的接入終端,多種接入類型和多種接入技術(shù)。


  • 從終端類型看,分為有卡終端和無卡終端。有卡終端以 SIM/USIM 卡作為用戶身份和密鑰載體,具備一定的計(jì)算和存儲(chǔ)能力;無卡終端沒有內(nèi)置專用載體存儲(chǔ)身份密鑰信息,通常以 IP 地址或者 MAC 作為自己的身份,用數(shù)字證書提供安全保障;
  • 從接入類型看,5G 網(wǎng)絡(luò)需要支持 3GPP 接入、非 3GPP 接入、可信接入和非信任接入;
  • 從接入技術(shù)看,5G 網(wǎng)絡(luò)除了支持 5G 新無線接入技術(shù)之外,還要兼容 3G 接入、LTE 接入、WLAN和固定接入等技術(shù)。


5G 網(wǎng)絡(luò)是融合了多種類型的終端、接入類型和接入技術(shù)的異構(gòu)型網(wǎng)絡(luò),而不同的終端,不同的接入類型和接入技術(shù)存在不同的安全需求,使用不同的認(rèn)證協(xié)議和密鑰協(xié)商機(jī)制,5G 網(wǎng)絡(luò)需要研究構(gòu)建統(tǒng)一的認(rèn)證框架來融合不同的接入認(rèn)證機(jī)制,滿足具有不同安全能力的終端的安全接入需求。

切片安全

5G 網(wǎng)絡(luò)切片是基于無線接入網(wǎng)、承載網(wǎng)與核心網(wǎng)基礎(chǔ)設(shè)施,以及網(wǎng)絡(luò)虛擬化技術(shù)構(gòu)建的一個(gè)面向不同業(yè)務(wù)特征的邏輯網(wǎng)絡(luò)。運(yùn)營商可以為不同行業(yè)應(yīng)用在共享的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上通過能力開放、智能調(diào)度、安全隔離等技術(shù)分別構(gòu)建彼此隔離的 5G 網(wǎng)絡(luò)切片,提供差異化的網(wǎng)絡(luò)服務(wù)。

同樣,網(wǎng)絡(luò)切片技術(shù)也對安全提出了更高的要求。例如,切片授權(quán)與接入控制;切片間的資源沖突;切片間的安全隔離;切片用戶的隱私保護(hù)等。切片技術(shù)的好處是可以隔離故障網(wǎng)元,做到網(wǎng)絡(luò)業(yè)務(wù)的隔離。但從另外一個(gè)角度來看,切片依賴于網(wǎng)絡(luò)資源和業(yè)務(wù)類型以及流量,要精準(zhǔn)地把握,否則將無法組織好跟業(yè)務(wù)對應(yīng)的切片。網(wǎng)絡(luò)切片需要提供不同切片實(shí)例之間的隔離機(jī)制,防止本切片內(nèi)的資源被其他類型網(wǎng)絡(luò)切片中網(wǎng)絡(luò)節(jié)點(diǎn)非法訪問。

邊緣計(jì)算安全

多接入邊緣計(jì)算(MEC)作為5G網(wǎng)絡(luò)新型網(wǎng)絡(luò)架構(gòu)之一,采用分布式網(wǎng)絡(luò)架構(gòu),把服務(wù)能力和應(yīng)用推進(jìn)到網(wǎng)絡(luò)邊緣,從而構(gòu)建一個(gè)具備高性能、低延遲與高帶寬的電信級(jí)服務(wù)環(huán)境。邊緣計(jì)算優(yōu)勢是就近處理,減少了對敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn),不足的之處是,由于邊緣計(jì)算不是集中的云計(jì)算,防護(hù)能力弱,本身易受攻擊,并且在管理方面由原來集中管理內(nèi)容監(jiān)管變成分散到各邊緣節(jié)點(diǎn),這又給管理上增加了額外的難度。

典型的MEC承載了部分核心網(wǎng)功能、運(yùn)營商增值業(yè)務(wù)以及垂直行業(yè)業(yè)務(wù)等,并與無線接入網(wǎng)絡(luò)、核心網(wǎng)、企業(yè)網(wǎng)絡(luò)、互聯(lián)網(wǎng)等多個(gè)外部網(wǎng)絡(luò)互聯(lián)。從總體上看,MEC 是中心計(jì)算的延伸,既繼承了中心計(jì)算的優(yōu)勢,也面臨和中心計(jì)算相似的威脅;具體來看,由于在物理位置、網(wǎng)絡(luò)邊界、客戶主體、業(yè)務(wù)類型等多方面發(fā)生了變化,導(dǎo)致 MEC 在組網(wǎng)架構(gòu)與運(yùn)營模式上與傳統(tǒng)電信網(wǎng)存在較大差異,因此在安全性方面也面臨新的挑戰(zhàn)。

隱私保護(hù)

5G 網(wǎng)絡(luò)需要為不同業(yè)務(wù)場景提供差異化安全服務(wù),能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)。這些新場景、新架構(gòu)和新技術(shù)都讓 5G 網(wǎng)絡(luò)有了更高的隱私保護(hù)需求。另外,5G 網(wǎng)絡(luò)針對垂直行業(yè)用戶會(huì)產(chǎn)生大量的敏感信息,迫切需要在5G開放網(wǎng)絡(luò)環(huán)境之上,采取措施保證行業(yè)用戶的隱私安全。5G網(wǎng)絡(luò)將啟用各種新型應(yīng)用程序,大量敏感數(shù)據(jù)將通過5G網(wǎng)絡(luò)傳輸,在不同使用情況下的隱私保護(hù)可能會(huì)根據(jù)安全要求(例如位置隱私,身份隱私)而有所不同。例如,車聯(lián)網(wǎng)可以監(jiān)控我們的活動(dòng)路線,智慧城市應(yīng)用可以收集我們的生活方式信息。在5G場景下,如何實(shí)現(xiàn)對隱私數(shù)據(jù)的分級(jí),提高抵抗大數(shù)據(jù)攻擊的隱私保護(hù)的能力將會(huì)成為一個(gè)亟待解決的問題。

5G安全標(biāo)準(zhǔn)化組織

目前對5G安全標(biāo)準(zhǔn)進(jìn)行研究的主要有3GPP SA3、ETSI NFV 和 ITU-T SG17、NGMN 等多個(gè)國際標(biāo)準(zhǔn)化組織。

3GPP

2017年12月,3GPP批準(zhǔn)了5G NR非獨(dú)立(NSA)規(guī)范,隨后于2018年6月通過了獨(dú)立(SA)規(guī)范,完成了5G第一階段(3GPP版本15)的無線電部分。其中,3GPP安全工作組(SA3)負(fù)責(zé)5G網(wǎng)絡(luò)安全構(gòu)架設(shè)計(jì)。在 2016 年 2 月召開的第 82 次會(huì)議上,3GPP SA3 開始了 5G 安全立項(xiàng)(下一代系統(tǒng)安全)方面的研究工作,該研究項(xiàng)目承接 SA2 的 5G 研究,收集、分析和研究下一代網(wǎng)絡(luò)中潛在的安全威脅和需求,同時(shí)與 SA2、RAN2 和 RAN3 合作開展下一代網(wǎng)絡(luò)的安全架構(gòu)和接入網(wǎng)安全研究。在 2017 年3月召開的第 86 次會(huì)議上,3GPP SA3開始了5G安全標(biāo)準(zhǔn)立項(xiàng) 5G System and Security Architecture-Phase 1 的標(biāo)準(zhǔn)工作,主要側(cè)重安全框架、接入安全、用戶數(shù)據(jù)的機(jī)密性和完整性保護(hù)、移動(dòng)性和會(huì)話管理安全、用戶身份的隱私保護(hù)以及與 EPS(演進(jìn)的分組系統(tǒng))的互通等相關(guān)的工作,后續(xù)3GPP在第二階段開展了切片安全、能力開放安全、256 比特密碼算法等相關(guān)標(biāo)準(zhǔn)工作。2018年9月,在3GPP SA3安全研究組第92次會(huì)議上,由中國移動(dòng)主導(dǎo)的5G虛擬化網(wǎng)元安全保障研究項(xiàng)目成功立項(xiàng)。該項(xiàng)目填補(bǔ)了業(yè)界在虛擬化網(wǎng)元安全保障及評(píng)估標(biāo)準(zhǔn)領(lǐng)域的空白,獲得了包括運(yùn)營商、設(shè)備廠商、研究機(jī)構(gòu)等在內(nèi)的10家公司共簽支持。

ETSI

ETSI 主要針對 NFV 的安全進(jìn)行了研究,在 NFV 下專門成立了安全子組對 NFV 安全進(jìn)行深入研究,主要聚焦 NFV 安全架構(gòu)、隱私保護(hù)、合法監(jiān)聽、MANO 安全、證書管理、安全管理、安全部署等方面的研究和標(biāo)準(zhǔn)化制定。ONF 和 ITU-T 在 SDN 安全方面也進(jìn)行了相關(guān)的標(biāo)準(zhǔn)化工作。

NGMN

2014年,由20多個(gè)國際領(lǐng)先運(yùn)營商CTO組成的NGMN理事會(huì)決定將NGMN的活動(dòng)重點(diǎn)放在定義5G的端到端要求上。2015年3月,NGMN 發(fā)布了5G白皮書,表達(dá)了其在 5G 愿景、需求、技術(shù)與架構(gòu)、頻譜、IPR 生態(tài)、以及路線圖等方面的觀點(diǎn),旨在指導(dǎo)未來技術(shù)平臺(tái)和相關(guān)標(biāo)準(zhǔn)的開發(fā),滿足未來的最終用戶需求。2017年,NGMN 成立了正式的 SCT 安全工作組,全面開展 5G 端到端架構(gòu)、5G 能力開放,以及車聯(lián)網(wǎng)等方面的安全技術(shù)工作。在《5G 端到端架構(gòu)框架》白皮書中,NGMN 分別從網(wǎng)絡(luò)層、業(yè)務(wù)使能層、業(yè)務(wù)應(yīng)用層、管理與編排、終端設(shè)備幾個(gè)方面闡述了 5G 安全的技術(shù)需求。NGMN還分析了5G采用網(wǎng)絡(luò)切片技術(shù)后可能面臨的安全威脅和安全缺陷。

總結(jié)

4G時(shí)代,我們已經(jīng)見證了不少網(wǎng)絡(luò)安全事故,在即將到來的5G時(shí)代,新型業(yè)務(wù)場景不斷涌現(xiàn),新技術(shù)發(fā)展帶來的安全挑戰(zhàn)同樣不容忽視。目前5G 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作正在全面展開,未來5G的發(fā)展也將隨著實(shí)際應(yīng)用的落地而不斷完善。


 
 

上一篇:2020年03月23日 聚銘安全速遞

下一篇:新加坡推出新型追蹤應(yīng)用程序 以緩解冠狀病毒傳播