广告

5G网络安全体系构建与关键技术解析

时间:2020-08-07 作者:耿亚慧 阅读:
“5G是把双刃剑,必将引发新的风险”, 5G作为关键信息基础设施和数字化转型的重要基石,在开启万物互联新局面的同时,也带来了新的安全挑战和风险,成为全球面临的共同问题。在2020年国际电子产业链资源对接大会上,广东南方电信规划咨询设计院咨询规划研究院副院长罗成博士为我们解析《5G安全体系和关键技术》。
广告

“5G是把双刃剑,必将引发新的风险”, 5G作为关键信息基础设施和数字化转型的重要基石,在开启万物互联新局面的同时,也带来了新的安全挑战和风险,成为全球面临的共同问题。5G安全是5G生态的重要组成部分和5G发展的关键基础条件,我们需要在5G网络建设时期予以重点和充分的考虑。

假基站,信息泄漏问题严重

假基站是一种利用GSM单向认证缺陷的非法无线电通信设备,主要由主机和笔记本电脑组成,能够搜取以其为中心、一定半径范围内的GSM移动电话信息,并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信,通常安放在汽车或者一个比较隐蔽的地方发送。假基站运行时,用户手机信号被强制连接到该设备上,无法连接到公用电信网络,以影响手机用户的正常使用。

假基站的问题是研究员在设计通信规则时候存在的漏洞,3G、4G考虑到这个问题后就变成了双向认证,手机把信息传递给基站,基站也要把信息传递给手机,信息在这个通道内完成双向认证。

但是4G时代假基站依然有机可乘,由于3GPP协议本身考虑到复杂的234G网络互操作和各种业务情况,为了更好地兼容网络、更好地服务用户造成的。4G手机的TAU跟踪区(相当于2G中的位置区)更新过程分为空闲态(无承载建立)、空闲态(核心网要求认证和安全模式)、空闲态(要求承载建立)和连接态等几种形态。4G假基站获取用户信息是发生在其中空闲态(核心网要求认证)这个环节的。

假基站设置为一个异常的TAC(跟踪码,简单理解为位置码),使处于RRC空闲态的手机重选到假基站,通过UE(用户设备、手机)上报的跟踪区更新请求(TAURequest),来获取用户的GUTI(全球唯一临时标识,网络产生的用于标识用户的唯一标识,以减少IMSI的使用次数),并进一步获取用户的IMSI(国际移动用户识别码,可算出用户的手机号码)。这样就知道了某个用户在某时到过某地(通过大数据就可以描绘某人的行动轨迹)。

信息泄漏问题在生活中比较普遍,安全是一个防不胜防的事情。罗成博士说道:【那安全的意义是什么?安全就是要解决“什么人,在什么地方,可以做什么事”的问题。】

5G安全需求有哪些?

新应用场景需求

5G有三大应用场景,第一个是低时延uRLLC,第二是大联接mMTC,第三个高带宽eMBB。对应的有三个点,能解决用户的“痛点、爽点、痒点”。

第一个是低时延,因为5G具有低时延的效应,可以在工业互联网或者是社会GDP方面做出重要的贡献,所以我们需要5G网络,5G网络就解决了我们的痛点。

低时延场景下的业务需要更高级别的安全保护。但涉及接入认证、数据传输安全保护、终端移动过程中切换、数据加解密等方面的过于复杂的安全机制会增加时延,就不能满足低时延业务的要求,因此就需要优化安全机制。

第二个是大连接,通过大范围地连接、大范围地联动,让我们身边各个产品都为你服务。这可以解决用户的的“痒点”,靠的就是物联网。

但是大连接采用单用户认证方案则成本高昂,而且容易造成信令风暴问题。

大量低功耗、计算和存储资源有限的终端难以部署复杂的安全策略,因此容易被攻击,进而引发对其他用户乃至整个网络的攻击,造成系统瘫痪、网络中断等安全风险。同时,海量终端间的信息交互也面临着隐私泄露、虚假消息欺骗等安全风险。

第三个是大带宽,5G网络能让我们使用更大的带宽,这时候5G网络就解决了我们的爽点。不过大带宽意味着大数据,大数据意味着你在数据存储和流量检测这一块面临着巨大地挑战,同时,新业务的兴起将引入新的媒体传播形式,也会对内容监管识别带来挑战。

新技术的需求

由于5G运用了很多新的技术,所以在新的技术方面也产生了新的需求。

第一个是SDN,有3大特点:

  1. SDN控制网元和转发节点的安全隔离和管理。
  2. 控制器是天然的网络中心,很容易成为DoS攻击的目标。
  3. SDN流表的安全部署和正确执行。

第二个是网络功能虚拟化(NFV)的安全

网络功能不再依赖专有通信硬件平台,打破传统网络通过物理隔离来保证安全性的机制。网络编排与管理安全。

第三个是边缘计算(MEC)的安全

受到物理攻击的可能性较大,攻击者会通过边缘计算平台攻击核心网。在MEC平台中,可部署应用包括自有应用与第三方应用,存在多应用安全风险。

第四个是网络切片的安全,有3个方面:

  1. 资源共用带来的安全风险。
  2. 切片交互带来的安全风险。
  3. 服务模式带来的安全风险。

5G安全架构

5G安全架构分为两方面,一个是5G通信的安全,另一个是5G行业应用的安全。

5G通信安全部分可以从三个维度来看,保障对象、安全能力、运行安全。保护我们的信息,数据,网络,以及网元,可能是虚拟的网元,也可能是实际的网元。安全能力包含多个方面。

5G网络运行的时候,希望可以即时处置一些威胁恢复,监测态势感知和一些未知的风险,并且实现威胁防护。

在5G通信网络这一块对应的就是应用安全,围绕5G应用能够正常运行,包含车联网、物联网、工业互联网等等。

5G安全关键技术

5G安全涉及很多关键技术,第一个是5G具有统一的认证协议EAP,各种接入方式均可在EAP框架下接入5G核心网:用户通过WLAN接入时可使用EAP-AKA’认证,有线接入时可采用IEEE802.1x认证,5G新空口接入时可使用EAP-AKA认证。不同的接入网使用在逻辑功能上统一的AMF和AUSF/ARPF提供认证服务,基于此,用户在不同接入网间进行无缝切换成为可能。总结下来就是EAP是一个框什么都往里面装。

第二个是切片怎么保护,切片是个墙,墙里墙外都要很健壮。

  1. UE 和切片间安全
  2. 切片的非授权访问
  3. 切片内 NF 间安全 

第三个是5G要有差异化的安全保障,区分服务就是差异化的服务,根据应用与服务侧的业务安全需求,确定相应切片的安全保护机制,并部署相关切片的用户面安全防护。例如考虑 mMTC 中设备的轻量级特征,此切片内数据可以根据 mMTC 业务需求部署轻量级的用户面安全保护机制。另外,切片内还包含 UE 至核心网的会话传输模式,因此基于不同的会话做用户面数据保护,可以增加安全保护的灵活度。总结下来就是区分服务是一个宝,人人都要服务好。

第四个是5G可以开放,5G 网络安全能力可以通过 API 接口开放给第三方业务, 让第三方业务能便捷地使用移动网络的安全能力, 从而让第三方业务提供商有更多的时间和精力专注于具体应用业务逻辑的开发, 进而快速、灵活地部署各种新业务,以满足用户不断变化的需求;同时运营商通过 API 接口开放 5G 网络安全能力,让运营商的网络安全能力深入地渗透到第三方业务生态环境中,进而增强用户黏性,拓展运营商的业务收入来源。总结下来就是开放是一个钻,瓷器活儿都能揽。

第五个是灵活的安全凭证管理,这里存在多种安全凭证,如对称安全凭证和非对称安全凭证。非对称密钥体制具有天然的去中心化特点,无需在网络侧保存所有终端设备的密钥,无需部署永久在线的集中式身份管理节点。

网络认证节点可以采用去中心化部署方式,如下移至网络边缘,终端和网络的认证无需访问网络中心的用户身份数据库。总结下来就是灵活凭证是个符,边缘领走镇妖魔,灵活凭证可以起到很好的减轻中心化。

还有SDA的安全和NFV的安全,边缘计算的安全,边缘计算的安全是分层分类来解决它的安全问题。

还有数据安全,例如大数据安全保障,核心要解决的问题就是数据全生命周期的运营,数据的采集、传输、使用、销毁、数据的运营产生利润的那一部分,使数据发挥价值的部分,这些都需要我们关注数据的安全。

安全管理和安全运维

安全管理也不可忽视,安全管理就像你对整个5G安全的一个行政上的管理,安全管理做得好,等保才能过的了,只有安全管理做好了,这些规范和制度才能有验收的标准。

最后一个是运维要靠PDCA,安全永不松懈!例如,建议一个公司的安全管理可以这样做,管理层下面成立一个安全委员会,安全委员会成立两个专门做安全的,一个是安全实验室,一个是操作维护安全事件的响应团队。

安全实验室采用漏洞扫描工具执行安全漏洞扫描,及时发现网络是否存在漏洞。通过不断的安全累积更新、外部事件触发以及内部定期扫描,建立5G网络的安全漏洞加固基线,并不断发布、更新、升级。

操作维护安全事件响应团队专门负责接收安全相关漏洞的应急响应组织,为5G运维提供全局处理的解决方案,包括响应并处理提交的安全事件,响应并处理行业协会公布的安全事件,制定5G运维重大信息安全事件管理策略和安全事件处理方案,验证系统软件提供商和专业安全厂商发布的漏洞及补丁等。

5G是一项改变社会的新技术,但是真正希望安全能够伴我们同行。

责编:Yvonne Geng

  • 卫士通
  • 卫士通
本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
耿亚慧
电子工程专辑(EETimes China)内容编辑。
  • 除了紫壳iPhone 12,苹果还发布了M1处理器的iPad Pro和i 只有1小时的苹果2021春季新品发布会,除了换壳的iPhone 12,苹果还带来了哪些新品呢?首先重头戏是8核M1芯片版的iPad Pro,这也是苹果继iPhone 12之后的第二条5G产品线;然后搭载M1芯片的iMac 也如约而至;爆料很久、却迟迟未见的AirTag也终于现身……
  • 苏伊士运河堵塞,路由器芯片短缺,延迟交货,超过一年 苏伊士运河的堵塞曾经给本就芯片短缺的局面带来更大的问题,然而运河的快速疏通似乎减少了这种影响。不过,最近有知情人士透露,短短一周左右的运河堵塞却导致了路由器零部件和产品的推迟交货,其延迟周期可能达到一年甚至更久。最后,责编拼了一副对联,以飨读者。
  • 工厂自动化、物流和资产管理中Wi-Fi HaLow的应用 设备供应商可以使用经过优化的Wi-Fi HaLow芯片和协议栈,来创建无线资产标签、跟踪器、扫描仪和监视器,以在较远的距离和一定的数据速率范围内运行。以下是四个工厂自动化和资产管理的用例,说明了在供应链中,是如何集成Wi-Fi HaLow技术的。
  • 浅谈光学精密测量技术 在科技日新月异的当下,光学技术被广泛运用到工业的各个领域,从成像光学到机器视觉,从光学材料到显示技术,从光学照明到人造太阳,从激光制造到激光武器,从光纤通信到量子通信,都是利用光学技术和光学基本原理得以实现的先进技术。
  • 低时延无线系统设计时,工程师都会考虑哪些因素? 无线通信网络的设计通常侧重考虑带宽、工作频率和时延等因素。本文将着重介绍实现低时延性能的设计考虑因素,特别是从设备首次接收到信号,到信号到达其最终目的地之间的时间如何实现最小化。
  • iFixit拆解小米11:拆卸方便,为减小厚度内部集成度相当高 iFixit 日前拆解了最新的小米11 手机。虽然外媒对小米11 的报导是“小米11 延续了小米高性价比的旗舰智能机市场战略”,而iFixit 的细致拆解分析表明,为了实现高性价比,小米11 确实在多个方面做了取舍,且大部分与手机的是使用寿命和耐用性有关。
  • 千亿级别的暴涨与暴跌的比特币为啥 比特币暴跌20%或有400亿美金资金爆仓,显卡行业也深受波及,而这背后一方面是政府的禁令频发,另一方面金融犯罪的案例被推到了台面上,再加持众多资本狂割韭菜使得整个市场乌烟瘴气。而纵观发展历史,速度快的CPU为何没有用武之地呢,本文来带你一探究竟。
  • EE快讯——华为2021第18届全球分析 2021年4月12日,华为在深圳举办了第18届华为全球分析师大会,会上华为徐文伟提出了未来10年九大技术挑战与研究方向;轮值董事长徐直军表示:6G比5G快50倍,将在2030年左右推出,同时表示要提升软件能力减少芯片依赖,对海思的态度是养得起,也会一直养着,对于业界一直猜测的麒麟9000芯片库存还有多少,徐直军表示:华为的库存可以支撑公司活得更长一点。另一方面,欧菲光的前途终于有了结果...
  • 紫光展锐:大破大立,做数字世界的生态 4月20日,以“构go”为主题的2021紫光展锐创见未来大会在线上举行。会上,展锐重磅发布了5G业务新品牌——唐古拉系列,推出了Cat.1bis新技术特性,并分享了创新业务AR领域的最新商用进展。此外,展锐重申了公司产业定位——数字世界的生态承载者,并公布了对消费电子业务和工业物联网领域的前瞻预见和战略规划。
  • 安谋中国发布全新“山海”S12解决 安谋中国今天发布面向 AIoT 系统的全栈安全解决方案“山海”S12,包含硬件加解密引擎、安全软件和安全服务三大部分,从芯片的安全 IP 层到云端安全应用和安全管理提供全链路的安全保护。“山海”S12可以广泛应用于智能手机、平板、智能电视及安防等行业,为多种安全解决方案如数字版权保护、AI 安全、身份认证等提供基础安全能力。
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了