當(dāng)前位置:首頁 > 通信技術(shù) > 通信網(wǎng)絡(luò)
[導(dǎo)讀] 隨著5G商用腳步來臨,背后更大的一張網(wǎng)需要值得注意,那就是:安全。 在上周舉行的“第四屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)(CSS2018)”上,中國工程院院士、中國互聯(lián)網(wǎng)協(xié)會(huì)理事長鄔賀銓在談及安全話題

隨著5G商用腳步來臨,背后更大的一張網(wǎng)需要值得注意,那就是:安全。

在上周舉行的“第四屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)(CSS2018)”上,中國工程院院士、中國互聯(lián)網(wǎng)協(xié)會(huì)理事長鄔賀銓在談及安全話題時(shí)提到:5G在終端接入身份認(rèn)證、5G終端安全、網(wǎng)絡(luò)切片以及物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等各方面的安全問題都跟之前的3G/4G需求不同,因而面對(duì)的挑戰(zhàn)也將更加復(fù)雜。因此,在5G到來之前就要未雨綢繆提前把5G的安全問題布局好。

一,接入和認(rèn)證

在接入的身份認(rèn)證方面,當(dāng)移動(dòng)用戶首次附著網(wǎng)絡(luò)時(shí),3G/4G終端的長期身份標(biāo)識(shí)(IMSI)會(huì)直接以明文的形式在信道中傳輸,用戶身份被公開。但是5G在USIM卡增加運(yùn)營商設(shè)定的公鑰,以該公鑰直接將用戶的SUPI(即IMSI)加密為SUCI,網(wǎng)絡(luò)用私鑰來解密,從而保護(hù)用戶身份不被竊聽攻擊。

據(jù)悉,3GPP在TR33.899中給出了推薦的SUCI加密方案。移動(dòng)管理實(shí)體在獲取IMSI后,會(huì)向USIM分配臨時(shí)身份信息GUTI/TMSI,用于后續(xù)通信。

在認(rèn)證協(xié)議方面,5G面對(duì)的設(shè)備種類不再單一,也難以為不同的設(shè)備頒發(fā)一直的身份憑證,垂直行業(yè)會(huì)有一些專用的認(rèn)證機(jī)制。因此,5G還需要實(shí)現(xiàn)從以USIM卡未出的單一身份管理方式到靈活多樣的身份管理方式的過渡,以及對(duì)所涉及的身份憑證的產(chǎn)生、發(fā)放、撤銷等整個(gè)生命周期內(nèi)的管理。

那么,5G就會(huì)使用EAP-AKA以實(shí)現(xiàn)統(tǒng)一框架下的雙向認(rèn)證,支持非3GPP的接入,使用5G-AKA增強(qiáng)歸屬網(wǎng)絡(luò)控制。除了原有認(rèn)證之外,還可以借助第三方的二次認(rèn)證提供認(rèn)證服務(wù)。

同時(shí),對(duì)海量IOT連接需要使用群組認(rèn)證,對(duì)車聯(lián)網(wǎng)要有V2V快速認(rèn)證。密鑰分發(fā)流程下發(fā)到網(wǎng)絡(luò)邊緣的各個(gè)認(rèn)證節(jié)點(diǎn),有效防止了對(duì)網(wǎng)絡(luò)中間部署的集中的認(rèn)證中心的信令沖擊。

另外,由于5G接入網(wǎng)絡(luò)包括LTE接入網(wǎng)絡(luò),攻擊者有可能誘導(dǎo)用戶至LTE接入方式,從而導(dǎo)致針對(duì)隱私性泄露的降維攻擊,5G隱私保護(hù)也需要考慮此類安全威脅。

二,5G終端的安全要求

據(jù)鄔賀銓介紹:5G終端安全通用要求包括用戶于信令數(shù)據(jù)的機(jī)密性保護(hù)、簽約憑證的安全存儲(chǔ)與處理、用戶隱私保護(hù)等等。

而5G終端特殊安全要求包括:對(duì)uRLLC的終端需要支持高安全、高可靠的安全機(jī)制;對(duì)于mMTC終端,需要支持輕量級(jí)的安全算法和協(xié)議;對(duì)于一些特殊行業(yè),需要專用的安全芯片,定制操作系統(tǒng)和特定的應(yīng)用商店。

同時(shí),在基于網(wǎng)絡(luò)和UE輔助方面,UE終端設(shè)備負(fù)責(zé)收集信息,將相鄰基站的CI、信號(hào)強(qiáng)度等信息通過測(cè)量報(bào)告上報(bào)給網(wǎng)絡(luò),網(wǎng)絡(luò)結(jié)合網(wǎng)絡(luò)拓?fù)洹⑴渲眯畔⒌认嚓P(guān)數(shù)據(jù),對(duì)所有數(shù)據(jù)進(jìn)行綜合分析,確認(rèn)在某個(gè)區(qū)域中是否存在偽基站,同時(shí),通過GPS和三角測(cè)量等定位技術(shù),鎖定偽基站位置,從而徹底打擊偽基站。

三,網(wǎng)絡(luò)切片和編排

不同切片的隔離是切片網(wǎng)絡(luò)的基本要求,每個(gè)切片需預(yù)配一個(gè)切片ID,終端(UE)在附著網(wǎng)絡(luò)時(shí)需要提供切片ID,歸屬服務(wù)器(HSS)根據(jù)終端請(qǐng)求。需要從切片安全服務(wù)器(SSS)中采取與該切片ID對(duì)應(yīng)的安全措施和算法,并為UE創(chuàng)建與切片ID綁定的認(rèn)證矢量。

因此,在支持網(wǎng)絡(luò)切片的運(yùn)營支撐系統(tǒng)房間,需要進(jìn)行安全態(tài)勢(shì)管理與監(jiān)測(cè)預(yù)警。利用各類安全探針,采用標(biāo)準(zhǔn)化的安全設(shè)備統(tǒng)一管控接口對(duì)安全事件進(jìn)行上報(bào),以深度學(xué)習(xí)手段嗅探和檢測(cè)攻擊。

同時(shí),根據(jù)安全威脅能智能化聲稱相關(guān)的安全策略調(diào)整,并將這些策略調(diào)整下發(fā)到各個(gè)安全設(shè)備中,從而構(gòu)建起一個(gè)安全的防護(hù)體系。

另外,在編排器方面,編排決定了網(wǎng)絡(luò)/特定服務(wù)的拓?fù)浣Y(jié)構(gòu),還將決定在何處部署安全機(jī)制和安全策略;管理和編排過程的最基本的安全需求是保證各服務(wù)之間共享資源的關(guān)聯(lián)性和一致性;5G系統(tǒng)需要再編排過程中提供足夠的安全保證。

四,網(wǎng)絡(luò)的開放性

由于5G將提供移動(dòng)性、會(huì)話、QoS和計(jì)費(fèi)等功能的接口,方便第三方應(yīng)用獨(dú)立完成網(wǎng)絡(luò)基本功能。還將開放ANO(管理和編排),讓第三方服務(wù)提供者可獨(dú)立實(shí)現(xiàn)網(wǎng)絡(luò)部署、更新和擴(kuò)容。

但是,相比現(xiàn)有的相對(duì)封閉的移動(dòng)通信系統(tǒng)來說,5G網(wǎng)絡(luò)如果在開放授權(quán)過程中出現(xiàn)信任問題,則惡意第三方將通過獲得的網(wǎng)絡(luò)操控能力對(duì)網(wǎng)絡(luò)發(fā)起攻擊,APT攻擊、DDOS、Worm惡意軟件攻擊等規(guī)模更大且更頻繁。

因此,隨著用戶(設(shè)備)種類增多、網(wǎng)絡(luò)虛擬化技術(shù)的引入,用戶、移動(dòng)網(wǎng)絡(luò)運(yùn)營商及基礎(chǔ)設(shè)施提供商之間的信任問題也比以前的網(wǎng)絡(luò)更加復(fù)雜。

同時(shí),在網(wǎng)絡(luò)對(duì)外服務(wù)接口方面也需要認(rèn)證授權(quán),對(duì)沖突策略進(jìn)行檢測(cè),相關(guān)權(quán)限控制和安全審計(jì)。

五,信令及SBA

在密鑰管理方面,5G因應(yīng)用場(chǎng)景豐富導(dǎo)致密鑰種類呈現(xiàn)多樣化的特點(diǎn):用于控制平面的機(jī)密性/完整性保護(hù)密鑰;用戶用戶平面的機(jī)密性/完整性保護(hù)密鑰(在這4G系統(tǒng)里是沒有的,按需提供空口和/或UE到核心網(wǎng)之間的用戶面加密和完整性保護(hù));用戶保護(hù)無線通信端信令和消息傳輸?shù)拿荑€(提供空口和NAS層信令的加密和完整性保護(hù));用戶支持非3GPP接入密鑰;用于保證網(wǎng)絡(luò)切片通信安全的密鑰;用于支持與LTE系統(tǒng)后向兼容的密鑰等等。新的密鑰支持層次化的密鑰派生機(jī)制、認(rèn)證機(jī)制的變化、切片引入、用戶面完整性等。

在基于服務(wù)的網(wǎng)絡(luò)體系(SBA)方面,網(wǎng)絡(luò)功能在4G是網(wǎng)元的組合,而在5G是通過API交互的業(yè)務(wù)功能的組合,業(yè)務(wù)被定義為自包含、可再用和獨(dú)立管理。

業(yè)務(wù)的解耦便于快速部署和維護(hù)網(wǎng)絡(luò),模塊化為網(wǎng)絡(luò)切片提供靈活性;使用HTTP的API接口更易調(diào)用網(wǎng)絡(luò)服務(wù)。

其實(shí),SBA有兩個(gè)網(wǎng)元是直接服務(wù)于網(wǎng)絡(luò)安全的:AUSF(認(rèn)證服務(wù)功能)處理接入的認(rèn)證服務(wù)請(qǐng)求;SEPP(安全邊緣保護(hù)代理)對(duì)運(yùn)營商網(wǎng)間交互的所有服務(wù)層信息提供應(yīng)用層安全保護(hù)。

六,5G下的MEC本身安全特別重要

為適應(yīng)視頻業(yè)務(wù)、VR/AR與車聯(lián)網(wǎng)等對(duì)時(shí)延要求,節(jié)約網(wǎng)絡(luò)帶寬,需將存儲(chǔ)和內(nèi)容分發(fā)下沉到接入網(wǎng)。

據(jù)了解,MEC服務(wù)器可以部署在網(wǎng)絡(luò)匯聚結(jié)點(diǎn)之后,也可以部署在基站內(nèi),流量將能夠以更短的路由次數(shù)完成客戶端與服務(wù)器之間的傳遞,從而緩解欺詐、中間人攻擊等威脅。

同時(shí),MEC通過對(duì)數(shù)據(jù)包的深度包解析(DPI)來識(shí)別業(yè)務(wù)和用戶,并進(jìn)行差異化的無線資源分配和數(shù)據(jù)包的時(shí)延保證。因此,MEC本身的安全特別重要。

另外,值得注意的是SDN與NFV依賴物理邊界防護(hù)的安全機(jī)制在虛擬化下難以應(yīng)用。需要考慮在5G環(huán)境下SDN控制網(wǎng)元與轉(zhuǎn)發(fā)節(jié)點(diǎn)間的安全隔離和管理,以及SDN流表的安全部署和正確執(zhí)行。

七,5G在車聯(lián)網(wǎng)和物聯(lián)網(wǎng)上的安全挑戰(zhàn)

車聯(lián)網(wǎng)要求空口時(shí)延低至1ms,而傳統(tǒng)的認(rèn)證和加密流程等協(xié)議,未考慮超高可靠低時(shí)延的通信場(chǎng)景。“為此要簡化和優(yōu)化原有安全上下文(包括密鑰和數(shù)據(jù)承載信息)管理流程,支持MEC和隱私數(shù)據(jù)的保護(hù)。直接的V2V需要快速相互認(rèn)證?!编w賀銓說。

通常物聯(lián)網(wǎng)終端資源受限、網(wǎng)絡(luò)環(huán)境復(fù)雜、海量連接、容易受到攻擊,需重視安全問題:如果每個(gè)設(shè)備的每條消息都需要單獨(dú)認(rèn)證,若終端信令請(qǐng)求超過網(wǎng)絡(luò)處理能力,則會(huì)觸發(fā)信令風(fēng)暴,5G對(duì)mMTC需要有群組認(rèn)證機(jī)制;需要采用輕量化的安全機(jī)制,保證mMTC在安全方面不要增加過多的能量消耗;需要抗DDOS攻擊機(jī)制,贏多NO-IoT終端被攻擊者劫持和利用。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動(dòng)力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉