5G时代,信息通达度爆表,同时网络安全更是至关重要。
第一:5G落地后网络安全先行
未来几乎每个行业都离不开5G网络,但金融、医疗、交通等应用场景对5G网络安全性要求极高。比如,转型数字银行之后,5G网络的安全性直接关系到用户的财产安全和金融系统的稳定;智慧城市背景下,如果车联网受到攻击“怠工”,将严重威胁交通安全。此外,5G网络更加强调云化,网络功能虚拟化以及软件定义功能。消费级用户之外,5G更加侧重于行业垂直应用,这对于加密传输、可信赖认证也提出了更高的要求。
第二:框架搭建应与安全建设同步
5G网络采用的是颠覆性的架构设计。对于5G网络安全解决方案来说,首先需要支持统一认证框架。接入5G的终端也是多样化的,有的终端是物的终端,会带来新的安全问题,目前看来,需要从机密性、隐私保护、伪基站防护、网间安全、完整性、认证类型等方面,来提升5G背景下的网络安全。
第三:终端信息安全需加码
5G商用万物互联,保障物联网安全首先要加强终端设备的安全。可以从两个方面出发:一方面,可以增加终端设备的存储空间,这样就可以直接嵌入安全软件,这么做的弊端是成本会急剧上升;另一方面,可以减少终端设备不必要的功能,正所谓功能越多,漏洞便越多。其次要加强传输网络的安全。要加强网络通信协议自身的安全防护,因为目前越来越多的黑客瞄准通信协议入手进行破解攻击;并对要对网络中传输的数据进行加密,防止数据明文传输被轻易截获。
5G在终端接入身份认证、5G终端安全、网络切片以及物联网、车联网等各方面的安全问题都跟之前的3G/4G需求不同,因而面对的挑战也将更加复杂。因此,在5G到来之前就要未雨绸缪提前把5G的安全问题布局好。
一,接入和认证 在接入的身份认证方面,当移动用户首次附着网络时,3G/4G终端的长期身份标识(IMSI)会直接以明文的形式在信道中传输,用户身份被公开。但是5G在USIM卡增加运营商设定的公钥,以该公钥直接将用户的SUPI(即IMSI)加密为SUCI,网络用私钥来解密,从而保护用户身份不被窃听攻击。 据悉,3GPP在TR33.899中给出了推荐的SUCI加密方案。移动管理实体在获取IMSI后,会向USIM分配临时身份信息GUTI/TMSI,用于后续通信。 在认证协议方面,5G面对的设备种类不再单一,也难以为不同的设备颁发一直的身份凭证,垂直行业会有一些专用的认证机制。因此,5G还需要实现从以USIM卡未出的单一身份管理方式到灵活多样的身份管理方式的过渡,以及对所涉及的身份凭证的产生、发放、撤销等整个生命周期内的管理。 那么,5G就会使用EAP-AKA以实现统一框架下的双向认证,支持非3GPP的接入,使用5G-AKA增强归属网络控制。除了原有认证之外,还可以借助第三方的二次认证提供认证服务。 同时,对海量IOT连接需要使用群组认证,对车联网要有V2V快速认证。密钥分发流程下发到网络边缘的各个认证节点,有效防止了对网络中间部署的集中的认证中心的信令冲击。 另外,由于5G接入网络包括LTE接入网络,攻击者有可能诱导用户至LTE接入方式,从而导致针对隐私性泄露的降维攻击,5G隐私保护也需要考虑此类安全威胁。
二,5G终端的安全要求 据邬贺铨介绍:5G终端安全通用要求包括用户于信令数据的机密性保护、签约凭证的安全存储与处理、用户隐私保护等等。 而5G终端特殊安全要求包括:对uRLLC的终端需要支持高安全、高可靠的安全机制;对于mMTC终端,需要支持轻量级的安全算法和协议;对于一些特殊行业,需要专用的安全芯片,定制操作系统和特定的应用商店。 同时,在基于网络和UE辅助方面,UE终端设备负责收集信息,将相邻基站的CI、信号强度等信息通过测量报告上报给网络,网络结合网络拓扑、配置信息等相关数据,对所有数据进行综合分析,确认在某个区域中是否存在伪基站,同时,通过GPS和三角测量等定位技术,锁定伪基站位置,从而彻底打击伪基站。
三,网络切片和编排 不同切片的隔离是切片网络的基本要求,每个切片需预配一个切片ID,终端(UE)在附着网络时需要提供切片ID,归属服务器(HSS)根据终端请求。需要从切片安全服务器(SSS)中采取与该切片ID对应的安全措施和算法,并为UE创建与切片ID绑定的认证矢量。 因此,在支持网络切片的运营支撑系统房间,需要进行安全态势管理与监测预警。利用各类安全探针,采用标准化的安全设备统一管控接口对安全事件进行上报,以深度学习手段嗅探和检测攻击。 同时,根据安全威胁能智能化声称相关的安全策略调整,并将这些策略调整下发到各个安全设备中,从而构建起一个安全的防护体系。 另外,在编排器方面,编排决定了网络/特定服务的拓扑结构,还将决定在何处部署安全机制和安全策略;管理和编排过程的最基本的安全需求是保证各服务之间共享资源的关联性和一致性;5G系统需要再编排过程中提供足够的安全保证。
四,网络的开放性 由于5G将提供移动性、会话、QoS和计费等功能的接口,方便第三方应用独立完成网络基本功能。还将开放ANO(管理和编排),让第三方服务提供者可独立实现网络部署、更新和扩容。 但是,相比现有的相对封闭的移动通信系统来说,5G网络如果在开放授权过程中出现信任问题,则恶意第三方将通过获得的网络操控能力对网络发起攻击,APT攻击、DDOS、Worm恶意软件攻击等规模更大且更频繁。 因此,随着用户(设备)种类增多、网络虚拟化技术的引入,用户、移动网络运营商及基础设施提供商之间的信任问题也比以前的网络更加复杂。 同时,在网络对外服务接口方面也需要认证授权,对冲突策略进行检测,相关权限控制和安全审计。
五,信令及SBA 在密钥管理方面,5G因应用场景丰富导致密钥种类呈现多样化的特点:用于控制平面的机密性/完整性保护密钥;用户用户平面的机密性/完整性保护密钥(在这4G系统里是没有的,按需提供空口和/或UE到核心网之间的用户面加密和完整性保护);用户保护无线通信端信令和消息传输的密钥(提供空口和NAS层信令的加密和完整性保护);用户支持非3GPP接入密钥;用于保证网络切片通信安全的密钥;用于支持与LTE系统后向兼容的密钥等等。新的密钥支持层次化的密钥派生机制、认证机制的变化、切片引入、用户面完整性等。 在基于服务的网络体系(SBA)方面,网络功能在4G是网元的组合,而在5G是通过API交互的业务功能的组合,业务被定义为自包含、可再用和独立管理。 业务的解耦便于快速部署和维护网络,模块化为网络切片提供灵活性;使用HTTP的API接口更易调用网络服务。 其实,SBA有两个网元是直接服务于网络安全的:AUSF(认证服务功能)处理接入的认证服务请求;SEPP(安全边缘保护代理)对运营商网间交互的所有服务层信息提供应用层安全保护。
六,5G下的MEC本身安全特别重要 为适应视频业务、VR/AR与车联网等对时延要求,节约网络带宽,需将存储和内容分发下沉到接入网。 据了解,MEC服务器可以部署在网络汇聚结点之后,也可以部署在基站内,流量将能够以更短的路由次数完成客户端与服务器之间的传递,从而缓解欺诈、中间人攻击等威胁。 同时,MEC通过对数据包的深度包解析(DPI)来识别业务和用户,并进行差异化的无线资源分配和数据包的时延保证。因此,MEC本身的安全特别重要。 另外,值得注意的是SDN与NFV依赖物理边界防护的安全机制在虚拟化下难以应用。需要考虑在5G环境下SDN控制网元与转发节点间的安全隔离和管理,以及SDN流表的安全部署和正确执行。
七,5G在车联网和物联网上的安全挑战 车联网要求空口时延低至1ms,而传统的认证和加密流程等协议,未考虑超高可靠低时延的通信场景。“为此要简化和优化原有安全上下文(包括密钥和数据承载信息)管理流程,支持MEC和隐私数据的保护。直接的V2V需要快速相互认证。”邬贺铨说。
通常物联网终端资源受限、网络环境复杂、海量连接、容易受到攻击,需重视安全问题:如果每个设备的每条消息都需要单独认证,若终端信令请求超过网络处理能力,则会触发信令风暴,5G对mMTC需要有群组认证机制;需要采用轻量化的安全机制,保证mMTC在安全方面不要增加过多的能量消耗;需要抗DDOS攻击机制,赢多NO-IoT终端被攻击者劫持和利用。
5G网络是第五代移动通信网络,其峰值理论传输速度可达每秒数10Gb,比4G网络的传输速度快数百倍。近日,关于5G建设的消息频出,不少网友表示已经蠢蠢欲动,准备换5G手机了。那么,2019年5G建设将达到何等程度?在即将到来的5G时代,网络安全行业又是怎样一番新形势呢?
全国多地明确2019年5G基站建设目标
2019年被认为是5G商用部署元年,据媒体报道,广东、江西、天津、上海、重庆、武汉、太原等地已发布信息基础设施建设三年行动计划,对当地5G基站建设规模做出了部署。
应用场景的成熟度是5G商用的关键,5G网络在交通运输场地的覆盖应用近日出现新进展。2月18日,上海虹桥火车站采用华为的5G室内数字系统,着手建设全球首个5G火车站,今年内将完成5G网络深度覆盖;2月19日,沈阳“智慧机场”5G网络应用项目正式启动,这是东北地区首个实现5G网络信号覆盖的通航基地;除了航空基地、铁路车站外,高速公路也在开展5G应用。
5G应用场景的测试正紧锣密鼓展开,而5G网络的安全问题也被推到风口浪尖。5G网络的新发展趋势,尤其是5G新业务、新架构、新技术,都会对网络安全和用户隐私保护提出新的威胁。
5G新场景造成新的安全威胁
5G的eMBB场景与传统移动互联网场景相比,主要的区别是能为用户提供更高的网络速率和更高密度的容量,因此将出现数量众多的小站。传统4G安全机制未考虑此种密集组网场景下的安全威胁,因此,除了传统移动互联网所存在的安全威胁外,在这种密集组网场景下可能会存在小站接入的安全威胁。
2020年,联网设备预计达到500亿台,由于大部分物联网终端具有资源受限、拓扑动态变化、网络环境复杂等特点,与传统的无线网络相比,大规模物联网场景在5G网络环境下更容易受到威胁和攻击。此外,在低时延、高可靠场景中,尤其针对远程实时医疗等时延敏感应用,为避免车辆碰撞、手术误操作等事故,要求5G网络能在保证高可靠性的同时提供低至1ms的时延QoS保障。而传统的安全协议,如认证流程、加解密流程等,在设计时未考虑超高可靠低时延的通信场景。
5G网络虽然被称为“未来的网络”,但其安全缺陷也需要重视,其新型网络架构需要具备更加灵活、更高智能和更好性能的能力。5G安全机制除了要满足基本通信安全,还需要为不同业务场景提供差异化安全服务,能够适应多种网络接入方式及新型网络架构,保护用户隐私,并支持提供开放的安全能力。
5G新型网络架构对安全提出了新要求
1.NFV安全需求
5G安全针对NFV等虚拟化技术的引入,需要为网络设备提供多元化的系统级防护,防止各类非法攻击和入侵。5G网络环境将包含多厂家的软硬件基础设施,因此网络身份必须得到有效管理,从而防止非法用户对网络资源的访问。
2.网络切片安全需求
网络切片是5G网络的关键特征。服务、资源和数据在网络切片中被隔离保护的效果要达到接近于传统私网一样的用户感受,这样才能令用户放心将原本存放在私有网络中的应用数据存放到在云端。
3.多RAT接入的安全需求
5G网络需要构建一个通用的认证机制,能够在不同接入技术及不安全接入网上建立一个安全的运营网络。另外,需要保证在异构网络间切换的安全互操作,如安全上下文的传递、密钥的更新、异构网络间安全上下文的隔离等。
5G新型网络架构需要具备更加灵活、更高智能和更好性能的能力。正如网络安全专家所说:5G网络应用越复杂,安全问题便越多,5G时代网络安全一定会有很多挑战,不过我们可以用更智能、更整体的维度去观察和应对安全局势!
安全9问题我不担心,我只担心我的房子。4G的时候说忘记关流量第二天房子就是移动的了,5G会不会打个盹房子就不是自己的了。