广告

5G网络安全体系构建与关键技术解析

时间:2020-08-07 作者:耿亚慧 阅读:
“5G是把双刃剑,必将引发新的风险”, 5G作为关键信息基础设施和数字化转型的重要基石,在开启万物互联新局面的同时,也带来了新的安全挑战和风险,成为全球面临的共同问题。在2020年国际电子产业链资源对接大会上,广东南方电信规划咨询设计院咨询规划研究院副院长罗成博士为我们解析《5G安全体系和关键技术》。
广告

“5G是把双刃剑,必将引发新的风险”, 5G作为关键信息基础设施和数字化转型的重要基石,在开启万物互联新局面的同时,也带来了新的安全挑战和风险,成为全球面临的共同问题。5G安全是5G生态的重要组成部分和5G发展的关键基础条件,我们需要在5G网络建设时期予以重点和充分的考虑。7QYEETC-电子工程专辑

假基站,信息泄漏问题严重

假基站是一种利用GSM单向认证缺陷的非法无线电通信设备,主要由主机和笔记本电脑组成,能够搜取以其为中心、一定半径范围内的GSM移动电话信息,并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信,通常安放在汽车或者一个比较隐蔽的地方发送。假基站运行时,用户手机信号被强制连接到该设备上,无法连接到公用电信网络,以影响手机用户的正常使用。7QYEETC-电子工程专辑

假基站的问题是研究员在设计通信规则时候存在的漏洞,3G、4G考虑到这个问题后就变成了双向认证,手机把信息传递给基站,基站也要把信息传递给手机,信息在这个通道内完成双向认证。7QYEETC-电子工程专辑

但是4G时代假基站依然有机可乘,由于3GPP协议本身考虑到复杂的234G网络互操作和各种业务情况,为了更好地兼容网络、更好地服务用户造成的。4G手机的TAU跟踪区(相当于2G中的位置区)更新过程分为空闲态(无承载建立)、空闲态(核心网要求认证和安全模式)、空闲态(要求承载建立)和连接态等几种形态。4G假基站获取用户信息是发生在其中空闲态(核心网要求认证)这个环节的。7QYEETC-电子工程专辑

假基站设置为一个异常的TAC(跟踪码,简单理解为位置码),使处于RRC空闲态的手机重选到假基站,通过UE(用户设备、手机)上报的跟踪区更新请求(TAURequest),来获取用户的GUTI(全球唯一临时标识,网络产生的用于标识用户的唯一标识,以减少IMSI的使用次数),并进一步获取用户的IMSI(国际移动用户识别码,可算出用户的手机号码)。这样就知道了某个用户在某时到过某地(通过大数据就可以描绘某人的行动轨迹)。7QYEETC-电子工程专辑

信息泄漏问题在生活中比较普遍,安全是一个防不胜防的事情。罗成博士说道:【那安全的意义是什么?安全就是要解决“什么人,在什么地方,可以做什么事”的问题。】7QYEETC-电子工程专辑

5G安全需求有哪些?

新应用场景需求

5G有三大应用场景,第一个是低时延uRLLC,第二是大联接mMTC,第三个高带宽eMBB。对应的有三个点,能解决用户的“痛点、爽点、痒点”。7QYEETC-电子工程专辑

第一个是低时延,因为5G具有低时延的效应,可以在工业互联网或者是社会GDP方面做出重要的贡献,所以我们需要5G网络,5G网络就解决了我们的痛点。7QYEETC-电子工程专辑

低时延场景下的业务需要更高级别的安全保护。但涉及接入认证、数据传输安全保护、终端移动过程中切换、数据加解密等方面的过于复杂的安全机制会增加时延,就不能满足低时延业务的要求,因此就需要优化安全机制。7QYEETC-电子工程专辑

第二个是大连接,通过大范围地连接、大范围地联动,让我们身边各个产品都为你服务。这可以解决用户的的“痒点”,靠的就是物联网。7QYEETC-电子工程专辑

但是大连接采用单用户认证方案则成本高昂,而且容易造成信令风暴问题。7QYEETC-电子工程专辑

大量低功耗、计算和存储资源有限的终端难以部署复杂的安全策略,因此容易被攻击,进而引发对其他用户乃至整个网络的攻击,造成系统瘫痪、网络中断等安全风险。同时,海量终端间的信息交互也面临着隐私泄露、虚假消息欺骗等安全风险。7QYEETC-电子工程专辑

第三个是大带宽,5G网络能让我们使用更大的带宽,这时候5G网络就解决了我们的爽点。不过大带宽意味着大数据,大数据意味着你在数据存储和流量检测这一块面临着巨大地挑战,同时,新业务的兴起将引入新的媒体传播形式,也会对内容监管识别带来挑战。7QYEETC-电子工程专辑

新技术的需求

由于5G运用了很多新的技术,所以在新的技术方面也产生了新的需求。7QYEETC-电子工程专辑

第一个是SDN,有3大特点:

  1. SDN控制网元和转发节点的安全隔离和管理。
  2. 控制器是天然的网络中心,很容易成为DoS攻击的目标。
  3. SDN流表的安全部署和正确执行。

第二个是网络功能虚拟化(NFV)的安全

网络功能不再依赖专有通信硬件平台,打破传统网络通过物理隔离来保证安全性的机制。网络编排与管理安全。7QYEETC-电子工程专辑

第三个是边缘计算(MEC)的安全

受到物理攻击的可能性较大,攻击者会通过边缘计算平台攻击核心网。在MEC平台中,可部署应用包括自有应用与第三方应用,存在多应用安全风险。7QYEETC-电子工程专辑

第四个是网络切片的安全,有3个方面:

  1. 资源共用带来的安全风险。
  2. 切片交互带来的安全风险。
  3. 服务模式带来的安全风险。

5G安全架构

5G安全架构分为两方面,一个是5G通信的安全,另一个是5G行业应用的安全。7QYEETC-电子工程专辑

5G通信安全部分可以从三个维度来看,保障对象、安全能力、运行安全。保护我们的信息,数据,网络,以及网元,可能是虚拟的网元,也可能是实际的网元。安全能力包含多个方面。7QYEETC-电子工程专辑

5G网络运行的时候,希望可以即时处置一些威胁恢复,监测态势感知和一些未知的风险,并且实现威胁防护。7QYEETC-电子工程专辑

7QYEETC-电子工程专辑

在5G通信网络这一块对应的就是应用安全,围绕5G应用能够正常运行,包含车联网、物联网、工业互联网等等。7QYEETC-电子工程专辑

5G安全关键技术

5G安全涉及很多关键技术,第一个是5G具有统一的认证协议EAP,各种接入方式均可在EAP框架下接入5G核心网:用户通过WLAN接入时可使用EAP-AKA’认证,有线接入时可采用IEEE802.1x认证,5G新空口接入时可使用EAP-AKA认证。不同的接入网使用在逻辑功能上统一的AMF和AUSF/ARPF提供认证服务,基于此,用户在不同接入网间进行无缝切换成为可能。总结下来就是EAP是一个框什么都往里面装。7QYEETC-电子工程专辑

第二个是切片怎么保护,切片是个墙,墙里墙外都要很健壮。7QYEETC-电子工程专辑

  1. UE 和切片间安全
  2. 切片的非授权访问
  3. 切片内 NF 间安全 

第三个是5G要有差异化的安全保障,区分服务就是差异化的服务,根据应用与服务侧的业务安全需求,确定相应切片的安全保护机制,并部署相关切片的用户面安全防护。例如考虑 mMTC 中设备的轻量级特征,此切片内数据可以根据 mMTC 业务需求部署轻量级的用户面安全保护机制。另外,切片内还包含 UE 至核心网的会话传输模式,因此基于不同的会话做用户面数据保护,可以增加安全保护的灵活度。总结下来就是区分服务是一个宝,人人都要服务好。7QYEETC-电子工程专辑

第四个是5G可以开放,5G 网络安全能力可以通过 API 接口开放给第三方业务, 让第三方业务能便捷地使用移动网络的安全能力, 从而让第三方业务提供商有更多的时间和精力专注于具体应用业务逻辑的开发, 进而快速、灵活地部署各种新业务,以满足用户不断变化的需求;同时运营商通过 API 接口开放 5G 网络安全能力,让运营商的网络安全能力深入地渗透到第三方业务生态环境中,进而增强用户黏性,拓展运营商的业务收入来源。总结下来就是开放是一个钻,瓷器活儿都能揽。7QYEETC-电子工程专辑

第五个是灵活的安全凭证管理,这里存在多种安全凭证,如对称安全凭证和非对称安全凭证。非对称密钥体制具有天然的去中心化特点,无需在网络侧保存所有终端设备的密钥,无需部署永久在线的集中式身份管理节点。7QYEETC-电子工程专辑

网络认证节点可以采用去中心化部署方式,如下移至网络边缘,终端和网络的认证无需访问网络中心的用户身份数据库。总结下来就是灵活凭证是个符,边缘领走镇妖魔,灵活凭证可以起到很好的减轻中心化。7QYEETC-电子工程专辑

还有SDA的安全和NFV的安全,边缘计算的安全,边缘计算的安全是分层分类来解决它的安全问题。7QYEETC-电子工程专辑

还有数据安全,例如大数据安全保障,核心要解决的问题就是数据全生命周期的运营,数据的采集、传输、使用、销毁、数据的运营产生利润的那一部分,使数据发挥价值的部分,这些都需要我们关注数据的安全。7QYEETC-电子工程专辑

安全管理和安全运维

安全管理也不可忽视,安全管理就像你对整个5G安全的一个行政上的管理,安全管理做得好,等保才能过的了,只有安全管理做好了,这些规范和制度才能有验收的标准。7QYEETC-电子工程专辑

最后一个是运维要靠PDCA,安全永不松懈!例如,建议一个公司的安全管理可以这样做,管理层下面成立一个安全委员会,安全委员会成立两个专门做安全的,一个是安全实验室,一个是操作维护安全事件的响应团队。7QYEETC-电子工程专辑

安全实验室采用漏洞扫描工具执行安全漏洞扫描,及时发现网络是否存在漏洞。通过不断的安全累积更新、外部事件触发以及内部定期扫描,建立5G网络的安全漏洞加固基线,并不断发布、更新、升级。7QYEETC-电子工程专辑

操作维护安全事件响应团队专门负责接收安全相关漏洞的应急响应组织,为5G运维提供全局处理的解决方案,包括响应并处理提交的安全事件,响应并处理行业协会公布的安全事件,制定5G运维重大信息安全事件管理策略和安全事件处理方案,验证系统软件提供商和专业安全厂商发布的漏洞及补丁等。7QYEETC-电子工程专辑

5G是一项改变社会的新技术,但是真正希望安全能够伴我们同行。7QYEETC-电子工程专辑

责编:Yvonne Geng7QYEETC-电子工程专辑

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
耿亚慧
电子工程专辑(EETimes China)内容编辑。
  • 电信版FlexPai 2发布,柔宇携手中国电信共建5G万物互联 柔宇科技和中国电信在北京举办电信版FlexPai 2折叠屏手机新品发布会,并宣布成立“中国电信·柔宇科技融合创新实验室”。
  • Wi-Fi 6还没玩6,Wi-Fi 7又要来了! Wi-Fi 7,也就是又被称为极高传输量(Extremely High Throughput,EHT)技术的802.11be。标准订定者们设定了雄心勃勃的目标,但开放6GHz频段供Wi-Fi使用的批准流程进度缓慢,欧盟主管机关面临越来越大的压力。如果要赶上2024年中的802.11be标准拍板时程……
  • 告别“大锅饭”,5G终端切片打通商用落地最后一公里 网络切片技术的加持下,5G网络根据eMBB、uRLLC、mMTC三大应用场景划分出三大类切片,并且在每个大类的切片之下,又可以针对具体的应用划分为不同的子切片。通过这样的方式,将极大的提升各个不同场景下的各类应用在5G网络下的用户体验。
  • 汽车电子,从哪几个层面为汽车市场注入了活力? 智能化的电动车,在抽象层级结构上分成了感知层、决策层与执行层。这三个层级也代表了汽车半导体市场未来巨额的市场增量。其中感知层代表的是各类传感器产品,如摄像头、雷达、速度角度传感器等;决策层则是指计算控制芯片,如ECU、MCU等;而执行层就是电机、电控、转向等系统了,半导体在其中参与的主要是功率器件。
  • 数十亿台5G设备将面世,如何有效降低5G测试成本? 据估计,未来几年将有数十亿台5G设备面世,5G设备制造商需要在克服成本限制的同时交付高质量的产品。本文提供五种策略可以帮助OEM应对5G 设备面临的这些新挑战并降低测试成本。
  • 供应链称华为开始采购零部件,将恢复4G手机生产 据台媒报道,华为上周通知中国台湾的零部件厂商,将于本月起重新采购摄像头、IC载板等手机零部件。供应链从接到的出货通知推测,华为有可能在为重启4G手机生产做准备,但主要是中低端手机。
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了