赞
踩
从最初的“人人都能上网”,到移动互联网时代的“随时能够上网”,再到5G时代的“万物互联”,这些变革都极大的改变了我们的日常生活。
和现有的移动通信网相比,5G网络拥有更高的速度,更多的设备接入,更低的网络延迟
5G是当前非常热门的话题,最近运营商也在频繁地发布建设现网的消息,感觉5G离我们越来越近。安全一直是移动通信系统关注的问题,在5G时代,安全会面
第一,5G有新的应用场景,有增强移动宽带,低功耗大连接、低时延高可靠三大应用场景。
因此,5G不仅仅是速率变得更高,时延变得更低,它将渗透到万物互联的各个领域,与工业控制、智慧交通紧密结合在一起。所以,安全就变得尤其重要。
在这几大应用场景中,对增强移动宽带来说,它的安全挑战需要更高的安全处理性能,这时候用户体验速率已经达到1G;二是它需要支持外部网络二次认证,能更好地与业务结合在一起;三是需要解决目前发现的已知漏洞的问题。
对低功耗网络来说,需要轻量化的安全机制,以适应功耗受限、时延受限的物联网设备的需要;需要通过群组认证机制,解决海量物联网设备认证时所带来的信令风暴的问题;需要抗DDOS攻击机制,应对由于设备安全能力不足被攻击者利用,而对网络基础设施发起攻击的危险。
对于低时延高可靠来说,需要提供低时延的安全算法和协议,要简化和优化原有安全上下文的交换、密钥管理等流程,支持边缘计算架构,支持隐私和关键数据的保护。
为了更好地支持5G应用场景,现在5G提出了以 IT 为中心的网络架构,会引入多无线接入、SDN、云计算、NFV 等技术。
对多无线接入来说需要统一的认证框架来解决 3GPP 体制和非 3GPP 体制接入的问题。比如无线 Wi-Fi 接入需要统一认证,在多接入环境下提供安全的运营网络。
SDN和NFV这样的技术引入,可以构建逻辑隔离的安全切片,用来支持不同应用场景差异化的需求。但这些技术个引入也对安全造成带来了巨大的挑战,由于它使网络边界变得十分模糊,以前依赖物理边界防护的安全机制难以得到应用。所以,安全机制要适应虚拟化、云化的需要。
这是5G新的网络架构,这个图是中国移动牵头的5G架构的SBA标准,5G把原来4G的物理网元进行了重新的分解和组合,通过服务和服务编排的方式来提高网络的功能,通过服务总线实现网元之间的逻辑接口。服务总线的开放能力和可兼容性使得网络具有很大的灵活性和可扩展性,可以支持不同的业务。
但这对我们的安全设计也会带来新的挑战,我们也要适应这样的服务化、虚拟化、软件定义的变化,也就是说我们要提供安全即服务、软件定义的安全等能力。
5G网络会变得更加开放,相比现有的相对封闭的移动通信系统来说,会面临更多的网络空间安全问题。比如 APT 攻击、DDOS、Worm 恶意软件攻击等,而且攻击会更加猛烈,规模更大,影响也会更大。
针对这些5G安全的挑战,相关的 5G 研究组织,比如 3GPP、欧盟的 5GPPP 以及 NGMN 这些组织都进行了深入的需求分析。
总体的需求包括 5G 必须要提供比 4G 更高,至少和 4G 的安全和隐私保护水平相当的安全保障。具体的需求包括要对签约、服务网络、设备进行认证和鉴权。要对网络切片要进行严格的隔离,甚至对敏感数据的隔离强度应该等同于物理上分隔的网络。要防止降维攻击,能够利用机器学习或人工智能方法检测高级网络安全威胁。安全的能力要能服务化,要能符合和适应网络架构的需要。
二、安全架构与相关安全机制
1、5G安全防护架构。
这是安全功能要素组成和他们之间的相互关系。5G安全防护架构延用了原来4G安全参考架构,相比之前增加了非3GPP接入、切片和虚拟网元的安全、网络开放接口安全和安全管理等安全实体。
整个来看,它的安全涉及到接入的安全(用于解决用户的安全接入)、无线空口安全、网络域安全(用来保证网元之间信令和数据交换的安全)、用户域安全,应用域安全、网络开放接口安全、管理域安全几个部分。
这是基于SBA架构下的功能部署考虑。
SBA有两个网元是直接服务于网络安全的,一是 AUSF认证服务器,二是SEPP安全边缘保护代理,涉及运营商核心网络之间的安全交互。在其它网元中应嵌入相应的安全功能。
3GPP里,对终端安全提出了通用要求,包括用户与信令数据的机密性保护,签约凭证的安全存储与处理,用户隐私保护等等。针对应用场景,也对终端安全提出了一些特殊的要求,比如uRLLC终端可持续的环境,操作系统的增强高速加解密处理能力,对于mMTC终端,需要支持轻量级的安全算法和协议,能够抗物理攻击、低功耗、低成本的实现,对于uRLLC的终端需要支持高安全、高可靠的安全机制,能够支持超级实验室的安全硬件,入网时的相互认证等等。对于一些特殊行业,他需要用到安全终端来说需要转用的安全芯片,定制操作系统和特定的应用商店。
5G环境下,终端安全应该是云端协同防御的体系,在终端方面需要从硬件层、系统层、应用层几个层次考虑相应的安全防护措施,同时我们可以借用云端,借用网络能力提供更多的网络安全支持,包括端到端加密,数据安全存储,因为网络带宽足够,一些敏感区域不一定要存在终端上,可以存在云端。云端形成的安全监测预警。的现在用的比较多的基于云端的远程管控,应用安全和系统安全的支撑等等。
对各种垂直行业来说,业务应用、安全威胁和安全需求存在很大的差异。我们可以依托5G网络基础设施,基于前面服务化的思想,在统一架构下为垂直行业提供定制性和差异化的安全能力。具体来说,我们可以对网络里的安全资源,密码算法、5G认证协议和安全知识库,对安全资源进行抽象和封装,对外提供安全服务,对加密传输服务提供认证服务、信用服务、入侵检测服务等等,这些服务会通过网络能力开放引擎,开放给各种应用,这样就可以使应用在使用网络通道的同时也可以获得网络提供的安全服务,能够更高效、更安全地实现信息服务。
对国防、政务、公共安全和关键行业,对安全有着特别的要求,包括高安全业务可靠保护、敏感信息安全存储与受控访问、特殊用户隐私保护、特殊行业运营管理。特殊行业在4G以前是基于运营商的公共基础网络,在上面构造了专网的技术来实现,这种方式投资成本是比较高的,建设周期比较短,同时可扩展性、灵活性也存在不足,它的技术体制难以跟上发展,通信系统本身进展是很快的,我们往往可以看到系统已经进入到4G,但很多专网还停留在2G、3G上。5G现在开放性架构和灵活性的应用,为构建行业特定专网提供了新的解决思路。
具体来看是两种途径:
1、对安全的需求进行定义,5G网络可以提供差异化的安全服务,可以定制和优化获得想要的安全能力。
2、对安全要求更高的行业来说,可以将满足自己安全需求的能力、功能进行事例化,通过服务接口编排到网络切片当中,形成自己的专业高安全切片。
在这些方面可以对认证,空口加密,用户平面加密算法进行替换,对存储在UDM的隐私数据、敏感数据进行保护。
基于前面的措施,可以构建行业专业的切片,这个切片和其他的切片资源是隔离的,同时网络安全策略是可以定制的,采取强的安全定制,以防范非法接入以及跨切片的攻击等。
还可以通过在业务层面进行终端加密,增强行业应用的安全性,我们是行业应用专网的解决思路。
车联网要求空口时延低至1ms,而传统的认证和加密流程等协议,未考虑超高可靠低时延的通信场景。“为此要简化和优化原有安全上下文(包括密钥和数据承载信息)管理流程,支持MEC和隐私数据的保护。直接的V2V需要快速相互认证。”邬贺铨说。
通常物联网终端资源受限、网络环境复杂、海量连接、容易受到攻击,需重视安全问题:如果每个设备的每条消息都需要单独认证,若终端信令请求超过网络处理能力,则会触发信令风暴,5G对mMTC需要有群组认证机制;需要采用轻量化的安全机制,保证mMTC在安全方面不要增加过多的能量消耗;需要抗DDOS攻击机制,赢多NO-IoT终端被攻击者劫持和利用。
以上就是我们分享的对5G安全方面的认识。总的来看,由于5G它的网络结构、技术体制发生了很大的变化,所以,5G安全相对之前的通信安全也有很大的变化,目前5G安全基于对之前的安全增强上,对于新的应用场景,比如物联网和车联网环境,还用得相对比较滞后,如何保证各种场景下5G五系统支持的安全以及安全高效地运用5G系统,还需要我们广大同仁们开展深入的探索。
参考:http://baijiahao.baidu.com/s?id=1604514129428322790&wfr=spider&for=pc
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。