点击上方
U学在线
一键
关注
,
回复
以下数字即可查看更多
精
彩内容
:
【111】 中国铁塔设计监理服务大变革
【112】 独家!24家通信企业家族谱大全
【113】 2018年通信、一建等资格考试安排
【114】 国内预计部署:1425万个5G基站
【115】 工信部审查200个项目存在质量问题
(来源:雷锋网;
作者:郭佳)
从最初的“人人都能上网”,到移动互联网时代的“随时能够上网”,再到5G时代的“万物互联”,这些变革都极大的改变了我们的日常生活。
和现有的移动通信网相比,5G网络拥有更高的速度,更多的设备接入,更低的网络延迟。但与此同时,它也面临着更加复杂的安全问题,在6月13日举办的2018中国网络安全大会中,来自中国电子科技集团公司的首席科学家
曾浩洋
,就带来了
“第五代移动通信系统(5G)安全概览
”的演讲。
以下是现场演讲内容
5G是当前非常热门的话题,最近运营商也在频繁地发布建设现网的消息,感觉5G离我们越来越近。安全一直是移动通信系统关注的问题,
在5G时代,安全会面临什么样的挑战?它和4G以前的安全有什么不同?需要我们在哪些方面开展研究?现在究竟准备好没有?
今天上午我就这个问题与大家一起探讨一下。我的介绍分为四部分。
一、5G面临的安全需求与挑战
第一,5G有新的应用场景,有增强移动宽带,低功耗大连接、低时延高可靠三大应用场景。
因此,5G不仅仅是速率变得更高,时延变得更低,它将渗透到万物互联的各个领域,与工业控制、智慧交通紧密结合在一起。所以,安全就变得尤其重要。
在这几大应用场景中,对增强移动宽带来说,它的安全挑战需要更高的安全处理性能,这时候用户体验速率已经达到1G;二是它需要支持外部网络二次认证,能更好地与业务结合在一起;三是需要解决目前发现的已知漏洞的问题。
对低功耗网络来说,需要轻量化的安全机制,以适应功耗受限、时延受限的物联网设备的需要;需要通过群组认证机制,解决海量物联网设备认证时所带来的信令风暴的问题;需要抗DDOS攻击机制,应对由于设备安全能力不足被攻击者利用,而对网络基础设施发起攻击的危险。
对于低时延高可靠来说,需要提供低时延的安全算法和协议,要简化和优化原有安全上下文的交换、密钥管理等流程,支持边缘计算架构,支持隐私和关键数据的保护。
第二,新网络架构的挑战。
为了更好地支持5G应用场景,现在5G提出了以 IT 为中心的网络架构,会引入多无线接入、SDN、云计算、NFV 等技术。
对多无线接入来说需要统一的认证框架来解决 3GPP 体制和非 3GPP 体制接入的问题。比如无线 Wi-Fi 接入需要统一认证,在多接入环境下提供安全的运营网络。
SDN和NFV这样的技术引入,可以构建逻辑隔离的安全切片,用来支持不同应用场景差异化的需求。但这些技术个引入也对安全造成带来了巨大的挑战,由于它使网络边界变得十分模糊,以前依赖物理边界防护的安全机制难以得到应用。所以,安全机制要适应虚拟化、云化的需要。
这是5G新的网络架构,这个图是中国移动牵头的5G架构的SBA标准,5G把原来4G的物理网元进行了重新的分解和组合,通过服务和服务编排的方式来提高网络的功能,通过服务总线实现网元之间的逻辑接口。服务总线的开放能力和可兼容性使得网络具有很大的灵活性和可扩展性,可以支持不同的业务。
但这对我们的安全设计也会带来新的挑战,我们也要适应这样的服务化、虚拟化、软件定义的变化,也就是说我们要提供安全即服务、软件定义的安全等能力。
5G网络会变得更加开放,相比现有的相对封闭的移动通信系统来说,会面临更多的网络空间安全问题。比如 APT 攻击、DDOS、Worm 恶意软件攻击等,而且攻击会更加猛烈,规模更大,影响也会更大。
针对这些5G安全的挑战,相关的 5G 研究组织,比如 3GPP、欧盟的 5GPPP 以及 NGMN 这些组织都进行了深入的需求分析。
第三,总体安全需求。
总体的需求包括 5G 必须要提供比 4G 更高,至少和 4G 的安全和隐私保护水平相当的安全保障。具体的需求包括要对签约、服务网络、设备进行认证和鉴权。要对网络切片要进行严格的隔离,甚至对敏感数据的隔离强度应该等同于物理上分隔的网络。要防止降维攻击,能够利用机器学习或人工智能方法检测高级网络安全威胁。安全的能力要能服务化,要能符合和适应网络架构的需要。
二、安全架构与相关安全机制
第一、5G安全防护架构。
这是安全功能要素组成和他们之间的相互关系。5G安全防护架构延用了原来4G安全参考架构,相比之前增加了非3GPP接入、切片和虚拟网元的安全、网络开放接口安全和安全管理等安全实体。
整个来看,它的安全涉及到接入的安全(用于解决用户的安全接入)、无线空口安全、网络域安全(用来保证网元之间信令和数据交换的安全)、用户域安全,应用域安全、网络开放接口安全、管理域安全几个部分。
这是基于SBA架构下的功能部署考虑。
SBA有两个网元是直接服务于网络安全的,一是 AUSF认证服务器,二是SEPP安全边缘保护代理,涉及运营商核心网络之间的安全交互。在其它网元中应嵌入相应的安全功能。
第二
、主要的安全机制。
网络接入方面,认证协议上使用了 EAP-AKA 以实现统一框架下的双向认证,支持非3GPP的接入,使用5G-AKA增强归属网络控制。
除了原有认证之外,可以借助第二方第三方的二次认证提供认证服务。
认证扩展,要适应于IoTD群组认证,适应于车联网的点对点快速认证。
隐私保护,在USIM卡增加运营商设定的公钥,首次附着网络使用公钥加密IMSI,解决初始接入身份泄露问题。
信令保护,提供空口和NAS层信令的加密和完整性保护。
用户面报,按需提供空口和/或UE到核心网之间的用户面加密和完整性保护。用户面加密和完整性保护在以前的4G系统里是没有的问题,现在根据物联网需要可以按需选择。
密钥体系,算法需要支持主流的加密和完整性算法,但现在这些算法可能会在5G做进一步的改进,因为5G运营周期在20年,20年之中,比如量子计算比较成熟,受到攻击的风险会增大。所以,在算法方面也可能会进行升级。在密钥体制方面,还是要支持程度化的密钥派生机制,同时能够提供由于认证机制变化,切片引入和用户面的完整性保护所需要的这些新的密钥。
网络安全方面,主要机制分布在这些领域。基础设施安全里需要有资源的安全隔离,系统防护控制、安全加固,从而使得基础设施能够安全可信地运行。
在网络域方面,需要对VNF虚拟化网络安全进行可信评估。网源之间的安全通信和移动边缘计算安全、SDN安全。
网络安全切片方面,需要提供网络切片的安全隔离,差异化的安全服务,终端能够安全地访问切片,切片的安全管理以及内部的安全通信等等。
在网络对外服务接口方面,也需要认证授权,对冲突策略进行检测,相关权限控制和安全审计。
安全态势管理与监测预警方面,我们要借助于,位于各种网络功能以及安全设备类的安全探针,采用标准化的安全设备统一管控接口对安全事件进行上报,下发统一的安全策略,可以进行深度学习、机器学习手段来嗅探和攻击的检测,应对未知的安全威胁。同时,根据安全威胁能智能化生成相关的安全策略调整,并将这些策略调整下发到各个安全设备中,从而构建起一个安全的防护体系。
隐私保护方面,现在对个人信息保护非常关注的,5G里上面承载着很多用户的隐私和敏感信息,包括用户的号码,用户位置信息等等,我们可能需要从技术和管理两个途径进行保护,在技术方面,加密传输和加密存储,访问控制,对关键隐私数据在网络传输中进行匿名。
管理方面,一是数据最小化,只能获取自己必要的信息;二是除了最小化数据之外的信息需要征得用户的许可才能进行使用。
三、5G标准化工作进展
第一,5G系统标准化的规划。
这是以3GPP标准规划来描述的,去年年底已经完成非独立组网5G标准,这是支持增强移动宽带产品,同时完成5G系统架构标准。按照计划是在本月,对按照独立组网的5G标准,支持增强移动宽带和低时延高可靠场景。计划明年年底完成满足ITU全部要求的完整5G标准。
对于安全标准的进展,目前开展5G安全研究的组织主要有几个:
1、3GPP,重点研究领域包括安全架构、RAN安全、认证机制、用户隐私、网络切片。目前主要的成果是TR 33.899报告以及标准规范TS 33.501。
2、5GPPP,这是一个欧盟的研究组织,他们重点研究领域包括安全架构、用户隐私、认证机制。目前主要研究成果是5G安全态势白皮书。
3、NGMN,重点研究领域相关方面是用户隐私、网络切片、MEC安全,他们也形成了相关的建议书,包括接入网改进/抗DDOS攻击、网络切片,MEC低时延/用户体验等等。
4、ETSI重点关注安全体系结构、NFV安全性、MEC安全、隐私,主要形成安全报告主要集中在NFV和MEC方面。
第二,5G安全标准化的推进情况。
2016年2月,启动相关安全研究工作,2017年8月份完成了第一阶段安全标准的研究,形成了33.899的报告。去年2月份启动了第一阶段安全标准的研究。今年3月份,这个标准已经基本冻结,形成了今年3月份形成了33.501的规范。第二阶段的标准是在2019年12月完成。这是和大系统同步的。
这两个阶段研究的重点侧重不太一样,第一阶段主要关心的是架构、认证、安全凭证、上下文管理、密钥安全、无线接入安全、用户隐私、网络域的安全等等,主要是4G安全的增强。第二阶段,主要研究内容,从今年下半年到明年主要针对新的场景,就是大规模物联网、低时延高可靠两个场景下的安全机制,以及对现有安全功能进一步完善,包括SBA安全、网络切片安全和边缘计算安全等等。
第三,国内标准进展情况
