技術(shù)
導(dǎo)讀:5G安全白皮書(shū)的密集發(fā)布,不僅回應(yīng)了國(guó)際社會(huì)對(duì)于5G產(chǎn)品在安全問(wèn)題上的擔(dān)憂,也表明當(dāng)前5G安全問(wèn)題已引發(fā)包括政府、企業(yè)及客戶在內(nèi)的產(chǎn)業(yè)鏈各方的全方位關(guān)注。
近日,華為發(fā)布了題為《與合作伙伴共同確保5G安全》的最新版網(wǎng)絡(luò)安全白皮書(shū)。該白皮書(shū)在專業(yè)技術(shù)分析的基礎(chǔ)上提出,在全球電信產(chǎn)業(yè)系統(tǒng)的密切協(xié)作下,5G的安全系數(shù)遠(yuǎn)高于此前的任何一代網(wǎng)絡(luò)。此前,在2018年10月,美國(guó)也發(fā)布了《5G安全問(wèn)題演變》的白皮書(shū),該白皮書(shū)從政治、社會(huì)、技術(shù)等多角度闡釋了5G發(fā)展可能帶來(lái)的安全問(wèn)題,并提出了應(yīng)對(duì)建議。此外,中興、愛(ài)立信等多家企業(yè)也發(fā)布了自己的5G安全白皮書(shū)。
5G安全白皮書(shū)的密集發(fā)布,不僅回應(yīng)了國(guó)際社會(huì)對(duì)于5G產(chǎn)品在安全問(wèn)題上的擔(dān)憂,也表明當(dāng)前5G安全問(wèn)題已引發(fā)包括政府、企業(yè)及客戶在內(nèi)的產(chǎn)業(yè)鏈各方的全方位關(guān)注。
5G網(wǎng)絡(luò)安全問(wèn)題不容忽視
5G網(wǎng)絡(luò)給社會(huì)帶來(lái)的變革是全方位的,其面臨的安全問(wèn)題也是多領(lǐng)域的。既包括技術(shù),也包括終端;既包括接入,也包括輸出;既包括內(nèi)部,也包括外部;既包括本身,也包括應(yīng)用。
5G終端的安全要求
5G終端安全通用要求包括用戶與信令數(shù)據(jù)的機(jī)密性保護(hù)、簽約憑證的安全存儲(chǔ)與處理、用戶隱私保護(hù)等多個(gè)方面。5G終端特殊安全要求包括對(duì)于超可靠低延遲通信的終端需要支持高安全、高可靠的安全機(jī)制,對(duì)于海量機(jī)器類通信終端需要支持輕量級(jí)的安全算法和協(xié)議,對(duì)于一些特殊行業(yè)需要專用的安全芯片,以及定制操作系統(tǒng)和特定的應(yīng)用商店。
在網(wǎng)絡(luò)和用戶設(shè)備輔助方面,用戶設(shè)備輔助終端設(shè)備負(fù)責(zé)收集信息,將相鄰基站的扇區(qū)編號(hào)、信號(hào)強(qiáng)度等信息通過(guò)測(cè)量上報(bào)給網(wǎng)絡(luò),網(wǎng)絡(luò)結(jié)合網(wǎng)絡(luò)拓?fù)?、配置信息等相關(guān)數(shù)據(jù),對(duì)所有數(shù)據(jù)進(jìn)行綜合分析,確認(rèn)某個(gè)區(qū)域中是否存在偽基站,同時(shí),通過(guò)GPS和三角測(cè)量等定位技術(shù),鎖定偽基站位置,從而徹底打擊偽基站。
網(wǎng)絡(luò)切片和編排安全問(wèn)題
不同切片的隔離是切片網(wǎng)絡(luò)的基本要求。每個(gè)切片需要預(yù)配一個(gè)切片ID,當(dāng)終端附著網(wǎng)絡(luò)時(shí)提供切片ID,然后在切片安全服務(wù)器中采取與該切片ID相對(duì)應(yīng)的安全措施和算法,并為終端創(chuàng)建與切片ID綁定的認(rèn)證矢量。因此,支持網(wǎng)絡(luò)切片的運(yùn)營(yíng)支撐系統(tǒng)需要進(jìn)行安全態(tài)勢(shì)管理與監(jiān)測(cè)預(yù)警,利用各類安全探針,采用標(biāo)準(zhǔn)化的安全設(shè)備統(tǒng)一管控接口,并對(duì)安全事件進(jìn)行上報(bào);同時(shí),根據(jù)安全威脅智能化生成相關(guān)的安全策略調(diào)整,并將這些策略調(diào)整下發(fā)到各個(gè)安全設(shè)備中,從而構(gòu)建起一個(gè)安全的防護(hù)體系。
網(wǎng)絡(luò)開(kāi)放性的安全問(wèn)題
雖然5G將提供移動(dòng)性、會(huì)話、服務(wù)質(zhì)量和計(jì)費(fèi)等功能的接口,還將開(kāi)放管理和編排,讓第三方服務(wù)提供者可獨(dú)立實(shí)現(xiàn)網(wǎng)絡(luò)部署、更新和擴(kuò)容。但是,相比現(xiàn)有的相對(duì)封閉的移動(dòng)通信系統(tǒng)來(lái)說(shuō),5G網(wǎng)絡(luò)如果在開(kāi)放授權(quán)過(guò)程中出現(xiàn)信任問(wèn)題,那么惡意第三方將通過(guò)獲得的網(wǎng)絡(luò)操控能力對(duì)網(wǎng)絡(luò)發(fā)起攻擊,尤其是高級(jí)持續(xù)威脅攻擊、分布式拒絕服務(wù)、蠕蟲(chóng)惡意軟件攻擊等將會(huì)規(guī)模更大而且更加頻繁。因此,隨著用戶(設(shè)備)種類增多、網(wǎng)絡(luò)虛擬化技術(shù)的引入,用戶、移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商以及基礎(chǔ)設(shè)施提供商之間的信任問(wèn)題也比以前的網(wǎng)絡(luò)更加復(fù)雜。同時(shí),在網(wǎng)絡(luò)對(duì)外服務(wù)接口方面也需要進(jìn)行認(rèn)證授權(quán),并對(duì)沖突策略進(jìn)行檢測(cè),同時(shí)對(duì)相關(guān)權(quán)限進(jìn)行控制和安全審計(jì)。
5G下移動(dòng)邊緣計(jì)算本身的安全問(wèn)題
移動(dòng)邊緣計(jì)算服務(wù)器可以部署在網(wǎng)絡(luò)匯聚結(jié)點(diǎn)之后,也可以部署在基站內(nèi),流量將以更短的路由次數(shù)完成客戶端與服務(wù)器之間的傳遞,從而緩解欺詐、中間人攻擊等威脅。同時(shí),移動(dòng)邊緣計(jì)算通過(guò)對(duì)數(shù)據(jù)包的深度包解析來(lái)識(shí)別業(yè)務(wù)和用戶,并進(jìn)行差異化的無(wú)線資源分配和數(shù)據(jù)包的時(shí)延保證。因此,移動(dòng)邊緣計(jì)算本身的安全特別重要,需要考慮在5G環(huán)境下軟件定義網(wǎng)絡(luò)控制網(wǎng)元與轉(zhuǎn)發(fā)節(jié)點(diǎn)間的安全隔離和管理,以及軟件定義網(wǎng)絡(luò)流表的安全部署和正確執(zhí)行。
5G在車(chē)聯(lián)網(wǎng)和物聯(lián)網(wǎng)上的安全挑戰(zhàn)
車(chē)聯(lián)網(wǎng)要求空口時(shí)延低至1ms,而傳統(tǒng)的認(rèn)證和加密流程等協(xié)議并未考慮超高可靠低時(shí)延的通信場(chǎng)景,為此要簡(jiǎn)化和優(yōu)化原有安全上下文(包括密鑰和數(shù)據(jù)承載信息)管理流程,支持移動(dòng)邊緣計(jì)算和隱私數(shù)據(jù)的保護(hù)。通常物聯(lián)網(wǎng)具備終端資源受限、網(wǎng)絡(luò)環(huán)境復(fù)雜、海量連接等特征,容易受到攻擊,等特征所以安全問(wèn)題更是不能忽視。如果每個(gè)設(shè)備的每條消息都需要單獨(dú)認(rèn)證,那么終端信令請(qǐng)求一旦超過(guò)網(wǎng)絡(luò)處理能力,則會(huì)觸發(fā)信令風(fēng)暴。因此,5G對(duì)海量機(jī)器類通信需要有群組認(rèn)證機(jī)制,需要采用輕量化的安全機(jī)制保證海量機(jī)器類通信在安全方面不要增加過(guò)多的能量消耗,還需要抗網(wǎng)絡(luò)攻擊機(jī)制以應(yīng)對(duì)5G終端被攻擊者劫持和利用。
值得期待的3種安全機(jī)制
為了提高通信安全并且保護(hù)用戶的隱私,在繼承3G、4G網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上,5G網(wǎng)絡(luò)又開(kāi)發(fā)了多種全新的網(wǎng)絡(luò)安全機(jī)制,其中“網(wǎng)絡(luò)切片”、“多元可擴(kuò)展認(rèn)證”和“智能型主動(dòng)防御”這三種安全機(jī)制最值得關(guān)注和期待。
網(wǎng)絡(luò)切片安全機(jī)制
網(wǎng)絡(luò)切片是5G及未來(lái)通信網(wǎng)絡(luò)中的一項(xiàng)關(guān)鍵技術(shù),其面向業(yè)務(wù)配置網(wǎng)絡(luò)的特性可以有效地助力垂直行業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型,不同移動(dòng)終端的安全性能和對(duì)安全的需求在不同的應(yīng)用場(chǎng)景下是完全不同的。例如,用于手機(jī)之類視頻播放的增強(qiáng)型移動(dòng)寬帶終端,對(duì)終端認(rèn)證、加解密的安全需求同長(zhǎng)期演進(jìn)技術(shù)類似;而傳感器式的終端由于計(jì)算能力有限、安全需求不高、對(duì)成本敏感,它僅需輕量級(jí)的認(rèn)證、加解密算法;對(duì)于高可靠安全通信,終端則需要快速接入認(rèn)證、加強(qiáng)密算法的支持。
多元信任模型
進(jìn)入5G時(shí)代,移動(dòng)通信網(wǎng)絡(luò)不只服務(wù)于個(gè)人消費(fèi)者,更重要的是將服務(wù)于垂直行業(yè),衍生出極為豐富的新產(chǎn)品。5G時(shí)代不僅僅是更快的移動(dòng)網(wǎng)絡(luò)或更強(qiáng)大的智能手機(jī),更將產(chǎn)生諸如海量機(jī)器類通信和超可靠低延遲通信這些鏈接世界的新型業(yè)務(wù)。
5G網(wǎng)絡(luò)將融合傳統(tǒng)二元信任模型,并構(gòu)建多元信任模型。網(wǎng)絡(luò)和垂直行業(yè)可結(jié)合進(jìn)行業(yè)務(wù)身份管理,使得業(yè)務(wù)運(yùn)行更加高效,用戶的個(gè)性化需求也得以滿足。5G網(wǎng)絡(luò)面臨大量新增的物聯(lián)網(wǎng)設(shè)備和可穿戴設(shè)備,使用傳統(tǒng)的用戶管理機(jī)制在開(kāi)戶、認(rèn)證等方面成本過(guò)于高昂,已經(jīng)不能完全滿足5G用戶管理的需求,因此需要制定靈活可擴(kuò)展的身份管理機(jī)制,根據(jù)業(yè)務(wù)特征及其新的安全威脅進(jìn)行優(yōu)化,在安全和運(yùn)營(yíng)成本之間取得平衡。
智能化主動(dòng)安全防御機(jī)制
5G是個(gè)開(kāi)放的網(wǎng)絡(luò),存在海量物聯(lián)網(wǎng)設(shè)備暴露在戶外、硬件資源受限、無(wú)人值守、易受黑客攻擊和控制等問(wèn)題,這些問(wèn)題將會(huì)使5G網(wǎng)絡(luò)面臨大量的網(wǎng)絡(luò)攻擊。如果采用現(xiàn)有的人工防御機(jī)制,不僅響應(yīng)速度慢,而且防御成本將急劇增加,所以需要考慮采用智能化防御來(lái)自海量物聯(lián)網(wǎng)設(shè)備的安全威脅。此外,網(wǎng)絡(luò)攻擊日趨自動(dòng)化,0day攻擊的可能性越來(lái)越大,5G網(wǎng)絡(luò)需要考慮由被動(dòng)變主動(dòng)的安全防御機(jī)制。
技術(shù)與監(jiān)管并重將成為5G安全問(wèn)題的解決愿景
誠(chéng)如中興在其《5G安全白皮書(shū)》所描述的那樣,“如同歷史上所有偉大的技術(shù)一樣,5G也需要經(jīng)歷兩次發(fā)明過(guò)程,一次是5G本身技術(shù)的研發(fā),另一次是5G安全技術(shù)的研發(fā)?!彪S著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,5G已經(jīng)從技術(shù)能力上為放號(hào)做好準(zhǔn)備。然而如何讓市場(chǎng)(尤其是垂直行業(yè))放心的、大規(guī)模的使用5G網(wǎng)絡(luò),是擺在產(chǎn)業(yè)界面前的新挑戰(zhàn)。為了讓5G走的更遠(yuǎn),安全是非常重要的一環(huán)。5G網(wǎng)絡(luò)安全不僅僅是一個(gè)技術(shù)問(wèn)題,對(duì)安全監(jiān)管也提出了更高的要求,需要新的法律框架、監(jiān)管模式和評(píng)估認(rèn)證體系,同時(shí)對(duì)現(xiàn)有的網(wǎng)絡(luò)治理體系、運(yùn)維體系和客服體系也提出了挑戰(zhàn)。
重視核心基礎(chǔ)技術(shù)的安全及積累
5G技術(shù)是眾多通信技術(shù)、標(biāo)準(zhǔn)的商用化集合。無(wú)論是何種類型的應(yīng)用場(chǎng)景,最終的實(shí)現(xiàn)均依靠落地后的終端、基站、承載網(wǎng)、核心網(wǎng)等設(shè)備。以華為、中國(guó)移動(dòng)等為代表的中國(guó)企業(yè)早在多年前就積極參與了5G標(biāo)準(zhǔn)規(guī)范的制定及產(chǎn)品基礎(chǔ)研發(fā),積累了核心技術(shù)的同時(shí)也掌握了部分標(biāo)準(zhǔn)話語(yǔ)權(quán)。在未來(lái),我國(guó)應(yīng)當(dāng)繼續(xù)重視這些掌握核心技術(shù)企業(yè)的情況,確保5G基礎(chǔ)設(shè)備和技術(shù)的安全可控。
研究制定5G相關(guān)法規(guī)、監(jiān)管等措施
對(duì)于新型應(yīng)用場(chǎng)景,如VR、智能網(wǎng)聯(lián)汽車(chē)、大規(guī)模工業(yè)傳感器等,目前尚未有成型的法律法規(guī)及監(jiān)管措施。面對(duì)新業(yè)態(tài),新的領(lǐng)域也需要出臺(tái)相關(guān)法律法規(guī)以規(guī)范使用情況,只有這樣才能讓5G新技術(shù)更好地服務(wù)于廣大人民群眾的日常生活。
進(jìn)一步加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)
5G時(shí)代的到來(lái),如智能網(wǎng)聯(lián)汽車(chē)、VR輔助醫(yī)療、大規(guī)模傳感器網(wǎng)絡(luò)等多類型的海量數(shù)據(jù)將會(huì)匯入各大運(yùn)營(yíng)商的5G承載網(wǎng)中,5G承載網(wǎng)必定會(huì)成為對(duì)人民群眾乃至國(guó)家安全影響重大的關(guān)鍵信息基礎(chǔ)設(shè)施,這對(duì)5G承載網(wǎng)絡(luò)的安全防護(hù)也提出了更高的要求。
關(guān)注新業(yè)態(tài)網(wǎng)絡(luò)安全
在5G時(shí)代,場(chǎng)景的多樣化使得管理角度需要實(shí)現(xiàn)以網(wǎng)絡(luò)為中心到以數(shù)據(jù)為中心的轉(zhuǎn)變。有以下幾個(gè)做法:一是對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),不同級(jí)別的數(shù)據(jù)實(shí)現(xiàn)差異化管理措施;二是關(guān)注處理大量數(shù)據(jù)的企業(yè),審查其合規(guī)性;三是密切關(guān)注數(shù)據(jù)泄露事件,迅速響應(yīng)處理。
5G網(wǎng)絡(luò)是一個(gè)全融合的網(wǎng)絡(luò),其安全問(wèn)題也是連接“移動(dòng)智能終端、寬帶和云”的系統(tǒng)化安全問(wèn)題,更是涉及物理安全、傳輸安全以及信息安全的全方位安全問(wèn)題,并由此產(chǎn)生了如大數(shù)據(jù)安全保護(hù)、虛擬化網(wǎng)絡(luò)安全、智能終端安全等關(guān)鍵安全問(wèn)題。此外,超脫于技術(shù)之上的是一套監(jiān)管體系的構(gòu)建。因?yàn)榧夹g(shù)是不斷發(fā)展的,而監(jiān)管體制卻是5G安全的恒久保障,唯有做到技術(shù)與體制培育并重,才能讓5G網(wǎng)絡(luò)真正為人們的生產(chǎn)、生活帶來(lái)更多的便利。