0
雷鋒網編者按:從最初的“人人都能上網”,到移動互聯網時代的“隨時能夠上網”,再到5G時代的“萬物互聯”,這些變革都極大的改變了我們的日常生活。
和現有的移動通信網相比,5G網絡擁有更高的速度,更多的設備接入,更低的網絡延遲。但與此同時,它也面臨著更加復雜的安全問題,在6月13日舉辦的2018中國網絡安全大會中,來自中國電子科技集團公司的首席科學家曾浩洋,就帶來了“第五代移動通信系統(5G)安全概覽”的演講。
以下是現場演講內容,雷鋒網在不改變原意的基礎上進行了編輯整理。
5G是當前非常熱門的話題,最近運營商也在頻繁地發布建設現網的消息,感覺5G離我們越來越近。安全一直是移動通信系統關注的問題,在5G時代,安全會面臨什么樣的挑戰?它和4G以前的安全有什么不同?需要我們在哪些方面開展研究?現在究竟準備好沒有?今天上午我就這個問題與大家一起探討一下。我的介紹分為四部分。
第一,5G有新的應用場景,有增強移動寬帶,低功耗大連接、低時延高可靠三大應用場景。
因此,5G不僅僅是速率變得更高,時延變得更低,它將滲透到萬物互聯的各個領域,與工業控制、智慧交通緊密結合在一起。所以,安全就變得尤其重要。
在這幾大應用場景中,對增強移動寬帶來說,它的安全挑戰需要更高的安全處理性能,這時候用戶體驗速率已經達到1G;二是它需要支持外部網絡二次認證,能更好地與業務結合在一起;三是需要解決目前發現的已知漏洞的問題。
對低功耗網絡來說,需要輕量化的安全機制,以適應功耗受限、時延受限的物聯網設備的需要;需要通過群組認證機制,解決海量物聯網設備認證時所帶來的信令風暴的問題;需要抗DDOS攻擊機制,應對由于設備安全能力不足被攻擊者利用,而對網絡基礎設施發起攻擊的危險。
對于低時延高可靠來說,需要提供低時延的安全算法和協議,要簡化和優化原有安全上下文的交換、密鑰管理等流程,支持邊緣計算架構,支持隱私和關鍵數據的保護。
第二,新網絡架構的挑戰。
為了更好地支持5G應用場景,現在5G提出了以 IT 為中心的網絡架構,會引入多無線接入、SDN、云計算、NFV 等技術。
對多無線接入來說需要統一的認證框架來解決 3GPP 體制和非 3GPP 體制接入的問題。比如無線 Wi-Fi 接入需要統一認證,在多接入環境下提供安全的運營網絡。
SDN和NFV這樣的技術引入,可以構建邏輯隔離的安全切片,用來支持不同應用場景差異化的需求。但這些技術個引入也對安全造成帶來了巨大的挑戰,由于它使網絡邊界變得十分模糊,以前依賴物理邊界防護的安全機制難以得到應用。所以,安全機制要適應虛擬化、云化的需要。
這是5G新的網絡架構,這個圖是中國移動牽頭的5G架構的SBA標準,5G把原來4G的物理網元進行了重新的分解和組合,通過服務和服務編排的方式來提高網絡的功能,通過服務總線實現網元之間的邏輯接口。服務總線的開放能力和可兼容性使得網絡具有很大的靈活性和可擴展性,可以支持不同的業務。
但這對我們的安全設計也會帶來新的挑戰,我們也要適應這樣的服務化、虛擬化、軟件定義的變化,也就是說我們要提供安全即服務、軟件定義的安全等能力。
5G網絡會變得更加開放,相比現有的相對封閉的移動通信系統來說,會面臨更多的網絡空間安全問題。比如 APT 攻擊、DDOS、Worm 惡意軟件攻擊等,而且攻擊會更加猛烈,規模更大,影響也會更大。
針對這些5G安全的挑戰,相關的 5G 研究組織,比如 3GPP、歐盟的 5GPPP 以及 NGMN 這些組織都進行了深入的需求分析。
第三,總體安全需求。
總體的需求包括 5G 必須要提供比 4G 更高,至少和 4G 的安全和隱私保護水平相當的安全保障。具體的需求包括要對簽約、服務網絡、設備進行認證和鑒權。要對網絡切片要進行嚴格的隔離,甚至對敏感數據的隔離強度應該等同于物理上分隔的網絡。要防止降維攻擊,能夠利用機器學習或人工智能方法檢測高級網絡安全威脅。安全的能力要能服務化,要能符合和適應網絡架構的需要。
二、安全架構與相關安全機制
1、5G安全防護架構。
這是安全功能要素組成和他們之間的相互關系。5G安全防護架構延用了原來4G安全參考架構,相比之前增加了非3GPP接入、切片和虛擬網元的安全、網絡開放接口安全和安全管理等安全實體。
整個來看,它的安全涉及到接入的安全(用于解決用戶的安全接入)、無線空口安全、網絡域安全(用來保證網元之間信令和數據交換的安全)、用戶域安全,應用域安全、網絡開放接口安全、管理域安全幾個部分。
這是基于SBA架構下的功能部署考慮。
SBA有兩個網元是直接服務于網絡安全的,一是 AUSF認證服務器,二是SEPP安全邊緣保護代理,涉及運營商核心網絡之間的安全交互。在其它網元中應嵌入相應的安全功能。
2、主要的安全機制。
網絡接入方面,認證協議上使用了 EAP-AKA 以實現統一框架下的雙向認證,支持非3GPP的接入,使用5G-AKA增強歸屬網絡控制。
除了原有認證之外,可以借助第二方第三方的二次認證提供認證服務。
認證擴展,要適應于IoTD群組認證,適應于車聯網的點對點快速認證。
隱私保護,在USIM卡增加運營商設定的公鑰,首次附著網絡使用公鑰加密IMSI,解決初始接入身份泄露問題。
信令保護,提供空口和NAS層信令的加密和完整性保護。
用戶面報,按需提供空口和/或UE到核心網之間的用戶面加密和完整性保護。用戶面加密和完整性保護在以前的4G系統里是沒有的問題,現在根據物聯網需要可以按需選擇。
密鑰體系,算法需要支持主流的加密和完整性算法,但現在這些算法可能會在5G做進一步的改進,因為5G運營周期在20年,20年之中,比如量子計算比較成熟,受到攻擊的風險會增大。所以,在算法方面也可能會進行升級。在密鑰體制方面,還是要支持程度化的密鑰派生機制,同時能夠提供由于認證機制變化,切片引入和用戶面的完整性保護所需要的這些新的密鑰。
網絡安全方面,主要機制分布在這些領域。基礎設施安全里需要有資源的安全隔離,系統防護控制、安全加固,從而使得基礎設施能夠安全可信地運行。
在網絡域方面,需要對VNF虛擬化網絡安全進行可信評估。網源之間的安全通信和移動邊緣計算安全、SDN安全。
網絡安全切片方面,需要提供網絡切片的安全隔離,差異化的安全服務,終端能夠安全地訪問切片,切片的安全管理以及內部的安全通信等等。
在網絡對外服務接口方面,也需要認證授權,對沖突策略進行檢測,相關權限控制和安全審計。
安全態勢管理與監測預警方面,我們要借助于,位于各種網絡功能以及安全設備類的安全探針,采用標準化的安全設備統一管控接口對安全事件進行上報,下發統一的安全策略,可以進行深度學習、機器學習手段來嗅探和攻擊的檢測,應對未知的安全威脅。同時,根據安全威脅能智能化生成相關的安全策略調整,并將這些策略調整下發到各個安全設備中,從而構建起一個安全的防護體系。
隱私保護方面,現在對個人信息保護非常關注的,5G里上面承載著很多用戶的隱私和敏感信息,包括用戶的號碼,用戶位置信息等等,我們可能需要從技術和管理兩個途徑進行保護,在技術方面,加密傳輸和加密存儲,訪問控制,對關鍵隱私數據在網絡傳輸中進行匿名。
管理方面,一是數據最小化,只能獲取自己必要的信息;二是除了最小化數據之外的信息需要征得用戶的許可才能進行使用。
第一,5G系統標準化的規劃。
這是以3GPP標準規劃來描述的,去年年底已經完成非獨立組網5G標準,這是支持增強移動寬帶產品,同時完成5G系統架構標準。按照計劃是在本月,對按照獨立組網的5G標準,支持增強移動寬帶和低時延高可靠場景。計劃明年年底完成滿足ITU全部要求的完整5G標準。
對于安全標準的進展,目前開展5G安全研究的組織主要有幾個:
1、3GPP,重點研究領域包括安全架構、RAN安全、認證機制、用戶隱私、網絡切片。目前主要的成果是TR 33.899報告以及標準規范TS 33.501。
2、5GPPP,這是一個歐盟的研究組織,他們重點研究領域包括安全架構、用戶隱私、認證機制。目前主要研究成果是5G安全態勢白皮書。
3、NGMN,重點研究領域相關方面是用戶隱私、網絡切片、MEC安全,他們也形成了相關的建議書,包括接入網改進/抗DDOS攻擊、網絡切片,MEC低時延/用戶體驗等等。
4、ETSI重點關注安全體系結構、NFV安全性、MEC安全、隱私,主要形成安全報告主要集中在NFV和MEC方面。
第二,5G安全標準化的推進情況。
2016年2月,啟動相關安全研究工作,2017年8月份完成了第一階段安全標準的研究,形成了33.899的報告。去年2月份啟動了第一階段安全標準的研究。今年3月份,這個標準已經基本凍結,形成了今年3月份形成了33.501的規范。第二階段的標準是在2019年12月完成。這是和大系統同步的。
這兩個階段研究的重點側重不太一樣,第一階段主要關心的是架構、認證、安全憑證、上下文管理、密鑰安全、無線接入安全、用戶隱私、網絡域的安全等等,主要是4G安全的增強。第二階段,主要研究內容,從今年下半年到明年主要針對新的場景,就是大規模物聯網、低時延高可靠兩個場景下的安全機制,以及對現有安全功能進一步完善,包括SBA安全、網絡切片安全和邊緣計算安全等等。
第三,國內標準進展情況
在國內標準情況之下,這是中國通信標準化協會組織開展的,目前也是深度規劃相應的標準體系,在2016年10月份啟動了安全研究,計劃今年年終完成安全報告。標準制訂,今年4月啟動5G網絡安全技術要求的立項,計劃明年年底完成。
前面三個部分,我們重點主要是介紹了5G系統自身的安全考慮。
第一,5G環境下的終端安全。
3GPP里,對終端安全提出了通用要求,包括用戶與信令數據的機密性保護,簽約憑證的安全存儲與處理,用戶隱私保護等等。針對應用場景,也對終端安全提出了一些特殊的要求,比如uRLLC終端可持續的環境,操作系統的增強高速加解密處理能力,對于mMTC終端,需要支持輕量級的安全算法和協議,能夠抗物理攻擊、低功耗、低成本的實現,對于uRLLC的終端需要支持高安全、高可靠的安全機制,能夠支持超級實驗室的安全硬件,入網時的相互認證等等。對于一些特殊行業,他需要用到安全終端來說需要轉用的安全芯片,定制操作系統和特定的應用商店。
5G環境下,終端安全應該是云端協同防御的體系,在終端方面需要從硬件層、系統層、應用層幾個層次考慮相應的安全防護措施,同時我們可以借用云端,借用網絡能力提供更多的網絡安全支持,包括端到端加密,數據安全存儲,因為網絡帶寬足夠,一些敏感區域不一定要存在終端上,可以存在云端。云端形成的安全監測預警。的現在用的比較多的基于云端的遠程管控,應用安全和系統安全的支撐等等。
第二,面向垂直行業的安全服務。
對各種垂直行業來說,業務應用、安全威脅和安全需求存在很大的差異。我們可以依托5G網絡基礎設施,基于前面服務化的思想,在統一架構下為垂直行業提供定制性和差異化的安全能力。具體來說,我們可以對網絡里的安全資源,密碼算法、5G認證協議和安全知識庫,對安全資源進行抽象和封裝,對外提供安全服務,對加密傳輸服務提供認證服務、信用服務、入侵檢測服務等等,這些服務會通過網絡能力開放引擎,開放給各種應用,這樣就可以使應用在使用網絡通道的同時也可以獲得網絡提供的安全服務,能夠更高效、更安全地實現信息服務。
第三,安全行業專網建設。
對國防、政務、公共安全和關鍵行業,對安全有著特別的要求,包括高安全業務可靠保護、敏感信息安全存儲與受控訪問、特殊用戶隱私保護、特殊行業運營管理。特殊行業在4G以前是基于運營商的公共基礎網絡,在上面構造了專網的技術來實現,這種方式投資成本是比較高的,建設周期比較短,同時可擴展性、靈活性也存在不足,它的技術體制難以跟上發展,通信系統本身進展是很快的,我們往往可以看到系統已經進入到4G,但很多專網還停留在2G、3G上。5G現在開放性架構和靈活性的應用,為構建行業特定專網提供了新的解決思路。
具體來看是兩種途徑:
1、對安全的需求進行定義,5G網絡可以提供差異化的安全服務,可以定制和優化獲得想要的安全能力。
2、對安全要求更高的行業來說,可以將滿足自己安全需求的能力、功能進行事例化,通過服務接口編排到網絡切片當中,形成自己的專業高安全切片。
在這些方面可以對認證,空口加密,用戶平面加密算法進行替換,對存儲在UDM的隱私數據、敏感數據進行保護。
基于前面的措施,可以構建行業專業的切片,這個切片和其他的切片資源是隔離的,同時網絡安全策略是可以定制的,采取強的安全定制,以防范非法接入以及跨切片的攻擊等。
還可以通過在業務層面進行終端加密,增強行業應用的安全性,我們是行業應用專網的解決思路。
以上就是我們分享的對5G安全方面的認識。總的來看,由于5G它的網絡結構、技術體制發生了很大的變化,所以,5G安全相對之前的通信安全也有很大的變化,目前5G安全基于對之前的安全增強上,對于新的應用場景,比如物聯網和車聯網環境,還用得相對比較滯后,如何保證各種場景下5G五系統支持的安全以及安全高效地運用5G系統,還需要我們廣大同仁們開展深入的探索。
以上內容來自2018中國網絡安全大會,雷鋒網編輯整理。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
