您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
5G 網(wǎng)絡(luò)安全發(fā)展與創(chuàng)新安全體系及技術(shù)探索
摘 要:5G 的快速發(fā)展逐步開啟了萬物互聯(lián)新時(shí)代,但同時(shí) 5G 技術(shù)的應(yīng)用當(dāng)前依然面臨著多種風(fēng)險(xiǎn)挑戰(zhàn)。因此,以 5G 新技術(shù)的安全問題為重點(diǎn),探索國內(nèi)外 5G 安全技術(shù)的主要發(fā)展趨勢,并從架構(gòu)、能力以及挑戰(zhàn) 3 個(gè)方面對 5G 網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析。針對現(xiàn)有 5G網(wǎng)絡(luò)的安全問題,從防護(hù)體系設(shè)計(jì)、多元信任體系構(gòu)建以及新技術(shù)融合創(chuàng)新等方面進(jìn)行 5G網(wǎng)絡(luò)安全創(chuàng)新體系設(shè)計(jì),從而更好地提高 5G 網(wǎng)絡(luò)安全性,提升 5G 技術(shù)在各行各業(yè)的應(yīng)用能力。
內(nèi)容目錄:
1 5G 網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀
1.1 國外 5G 安全發(fā)展現(xiàn)狀
1.2 國內(nèi) 5G 安全發(fā)展現(xiàn)狀
2 5G 網(wǎng)絡(luò)安全現(xiàn)狀分析
2.1 5G 網(wǎng)絡(luò)現(xiàn)有安全架構(gòu)
2.2 5G 網(wǎng)絡(luò)現(xiàn)有安全能力
2.3 當(dāng)前 5G 網(wǎng)絡(luò)安全防護(hù)挑戰(zhàn)
3 5G 網(wǎng)絡(luò)安全創(chuàng)新體系及技術(shù)探索
3.1 立體 5G 網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)
3.2 5G 網(wǎng)絡(luò)在行業(yè)專用網(wǎng)絡(luò)領(lǐng)域的多元信任體系建立
3.3 新型技術(shù)與 5G 網(wǎng)絡(luò)安全融合創(chuàng)新
4 結(jié) 語
在全球科技界、產(chǎn)業(yè)界的共同努力下,5G商用進(jìn)程大幅加快,與經(jīng)濟(jì)社會的融合日趨緊密,人們對 5G 的暢想正一步步走向觸手可及的現(xiàn)實(shí),各行各業(yè)都希望通過 5G 來提升信息化技術(shù)水平。因此,5G的安全能力逐步成為關(guān)注焦點(diǎn),全球各國都開始制定和研究 5G 安全相關(guān)標(biāo)準(zhǔn)及技術(shù),希望 5G 的高安全性會讓各行業(yè)堅(jiān)定不移地大力推動邊緣設(shè)備的智能化、無線化、自動化、安全化,促進(jìn) 5G 產(chǎn)業(yè)鏈的全面升級。同時(shí),為了讓未來 5G 能夠適配更加多樣化的應(yīng)用場景,5G 網(wǎng)絡(luò)安全技術(shù)還需不斷創(chuàng)新和突破,并通過差異化的網(wǎng)絡(luò)服務(wù)、接入方式以及創(chuàng)新技術(shù)融合等方面,實(shí)現(xiàn)全方位安全保障提升,使 5G 技術(shù)在提供高性能、高可靠、高可用服務(wù)的同時(shí),具備內(nèi)在的高等級安全防御能力。
1、5G 網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀
從全球視角來看,數(shù)字經(jīng)濟(jì)在農(nóng)業(yè)現(xiàn)代化、城鎮(zhèn)化以及工業(yè)現(xiàn)代化等方面的作用凸顯,數(shù)字經(jīng)濟(jì)的浪潮已經(jīng)迎面而來、深入發(fā)展。5G 網(wǎng)絡(luò)作為數(shù)字經(jīng)濟(jì)發(fā)展的通信基礎(chǔ)設(shè)施,其網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)架構(gòu)也在快速演進(jìn),且面對國內(nèi)外網(wǎng)絡(luò)安全形勢的不斷變化,5G 網(wǎng)絡(luò)安全技術(shù)的創(chuàng)新發(fā)展需求也在日益凸顯。
當(dāng)前業(yè)界針對 5G 安全的熱點(diǎn)研究,主要集中于安全能力部署、安全體系架構(gòu)、內(nèi)生安全機(jī)理以及結(jié)合 5G 網(wǎng)絡(luò)云化、虛擬化等特點(diǎn)。已有相當(dāng)數(shù)量的標(biāo)準(zhǔn)研究機(jī)構(gòu)、高校以及企業(yè)開展了 5G 安全技術(shù)研究,以內(nèi)源性防御架構(gòu)為重點(diǎn),挖掘 5G 網(wǎng)絡(luò)的內(nèi)生安全元素。主要包括物理層安全技術(shù)、網(wǎng)絡(luò)切片安全技術(shù)、用戶隱私保護(hù)技術(shù)、輕量級加密技術(shù),以及應(yīng)用于 5G 安全的區(qū)塊鏈、人工智能等新型融合技術(shù)。各國出于自身政治、經(jīng)濟(jì)以及技術(shù)等方面的考慮,在5G安全技術(shù)研究方面表現(xiàn)出各自不同的策略。
1.1 國外 5G 安全發(fā)展現(xiàn)狀
2020 年 3 月,美國頒布了《美國 5G 安全國家戰(zhàn)略》,內(nèi)容包括頻譜規(guī)劃、評估 5G 漏洞、安全原則制定以及 5G 安全評審簡化等方面,并協(xié)同盟友共同推動全球 5G 安全的開發(fā)和部署 。因此,該戰(zhàn)略計(jì)劃主要用于識別和評估 5G 相關(guān)的基礎(chǔ)設(shè)施、設(shè)備、軟件以及系統(tǒng)等方面潛在的安全威脅和漏洞,并支持 5G 及未來通信技術(shù)安全方面的發(fā)展。
2020 年 1 月, 美 國 國 防 高 級 研 究 計(jì) 劃 局(Defense Advanced Research Projects Agency,DARPA)發(fā)布了 OPS-5G 項(xiàng)目。該項(xiàng)目作為美國 5G 安全技術(shù)研究的新方向,主要是為 5G 移動設(shè)備開發(fā)一個(gè)輕便的、符合標(biāo)準(zhǔn)的網(wǎng)絡(luò)棧,該網(wǎng)絡(luò)棧免費(fèi)、開源且安全性較高 [1]。其目標(biāo)是提高 5G 整體技術(shù)的安全性,建立以美國為主導(dǎo)的、兼容標(biāo)準(zhǔn)的、不依賴于硬件且安全的開源軟件。
2020 年 1 月,歐盟國家網(wǎng)絡(luò)安全協(xié)作組(NIS Corporation Group)發(fā)布《5G 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)消減措施工具箱》,包括 8 條戰(zhàn)略措施和 11 條技術(shù)措施 。其中,技術(shù)措施從安全網(wǎng)絡(luò)架構(gòu)、訪問控制、虛擬化網(wǎng)絡(luò)功能安全、安全 5G 網(wǎng)絡(luò)管理運(yùn)維等方面提出相關(guān)建議,以保護(hù) 5G 網(wǎng)絡(luò)的機(jī)密性、完整性和可用性等為安全目標(biāo)。
1.2 國內(nèi) 5G 安全發(fā)展現(xiàn)狀
2019—2020 年是我國 5G 元年,各部委針對5G 均單獨(dú)發(fā)文且要求加強(qiáng) 5G 安全保障,體現(xiàn)了國家對 5G 安全技術(shù)研究方面的重視。
2020 年 8 月 25 日,國家發(fā)展和改革委員會發(fā)布了《推動 5G 安全體系建設(shè)》。該指導(dǎo)方案要求加大 5G 安全技術(shù)研發(fā)投入,推動 5G 漏洞挖掘、入侵防御以及數(shù)據(jù)挖掘等方面的安全技術(shù)研發(fā),構(gòu)建全局感知、預(yù)警防護(hù)、威脅監(jiān)測以及聯(lián)動處置的 5G 安全保障框架 。
2020 年 2 月 4 日,中國信息通信研究院和IMT-2020(5G)推進(jìn)組聯(lián)合發(fā)布了《5G 安全報(bào)告》。該報(bào)告系統(tǒng)性分析了 5G 關(guān)鍵技術(shù)、典型應(yīng)用場景及產(chǎn)業(yè)生態(tài)的安全風(fēng)險(xiǎn),并提出了相應(yīng)的安全理念及應(yīng)對思路。重點(diǎn)關(guān)注了 5G 新技術(shù)對移動互聯(lián)網(wǎng)帶來的巨大挑戰(zhàn),包括物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)以及車聯(lián)網(wǎng)等,詳細(xì)討論了 5G安全特性、需求以及漏洞,給出現(xiàn)有的解決方案,以及有關(guān)第三代合作伙伴計(jì)劃(3rd Generation Partnership Project,3GPP)5G 網(wǎng)絡(luò)中新功能和新技術(shù)的一些開放研究問題。同時(shí),該報(bào)告從安全性和隱私性的角度介紹了 5G 安全模型的核心技術(shù)和支持技術(shù),包括網(wǎng)絡(luò)軟件化、物理層和 5G 隱私安全,指出了符合未來 5G 高安全要求的研究方向。
2020 年底,中國 5G 網(wǎng)絡(luò)用戶數(shù)超過 1.6 億,約占全球 5G 總用戶數(shù)的 89%,已建成 5G 基站91.6萬個(gè),占全球70%,5G連接數(shù)已超過3.65億,占全球 80%。因此,5G 安全是保障所有基礎(chǔ)業(yè)務(wù)安全的重要一環(huán),中國在 5G 安全技術(shù)研究及應(yīng)用方面正在不斷推進(jìn),且具有一定的領(lǐng)先優(yōu)勢。在推進(jìn)過程中,中國有望保持并率先實(shí)現(xiàn) 5G 安全技術(shù)方面的研發(fā)突破。
2、5G 網(wǎng)絡(luò)安全現(xiàn)狀分析
面對當(dāng)前信息化發(fā)展趨勢,各類應(yīng)用場景、業(yè)務(wù)能力對 5G 網(wǎng)絡(luò)的技術(shù)安全及隱私保護(hù)提出了更高的要求。因此,5G 整體安全架構(gòu)及能力在滿足基本通信需求外,相較于 3G、4G 時(shí)代,進(jìn)一步提出了差異化安全服務(wù)、多種網(wǎng)絡(luò)設(shè)備接入方式以及新型安全架構(gòu)等安全需求,從而更好地提供開放安全能力。
2.1 5G 網(wǎng)絡(luò)現(xiàn)有安全架構(gòu)
為了更好地突出 5G 高速率、低時(shí)延、海量終端接入等優(yōu)勢,當(dāng)前 5G 網(wǎng)絡(luò)安全架構(gòu)主要從密鑰認(rèn)證接入、節(jié)點(diǎn)安全保護(hù)研究等方面進(jìn)行實(shí)現(xiàn)。5G 網(wǎng)絡(luò)架構(gòu)如圖 1 所示,包括 8 個(gè)安全能力領(lǐng)域 。
圖 1 5G 網(wǎng)絡(luò)
(1)網(wǎng)絡(luò)接入安全。保障用戶接入網(wǎng)絡(luò)的數(shù)據(jù)安全。
(2)網(wǎng)絡(luò)域安全。保障信令面和用戶面的信令數(shù)據(jù)安全交互,包括無線接入網(wǎng)節(jié)點(diǎn)、服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)與歸屬環(huán)境間的信息交互。
(3)首次認(rèn)證和密鑰管理。包括認(rèn)證和密鑰管理的各種機(jī)制,體現(xiàn)統(tǒng)一的認(rèn)證框架。
(4)二次認(rèn)證和密鑰管理。通過設(shè)備二次認(rèn)證及相關(guān)密鑰管理,進(jìn)一步提升終端用戶與外部數(shù)據(jù)網(wǎng)絡(luò)間業(yè)務(wù)認(rèn)證的安全性。體現(xiàn)部分業(yè)務(wù)接入 5G 網(wǎng)絡(luò)時(shí),5G 網(wǎng)絡(luò)對于業(yè)務(wù)的授權(quán)。
(5)安全能力開放。5G 網(wǎng)元可對外部業(yè)務(wù)提供方開放安全能力,從而實(shí)現(xiàn)基于業(yè)務(wù)需求的按需用戶保障。
(6)應(yīng)用安全。保障終端用戶與業(yè)務(wù)應(yīng)用方之間的安全通信。
(7)切片安全。體現(xiàn)切片的安全保護(hù)。例如,用戶設(shè)備(User Equipment,UE)接入切片的授權(quán)安全、切片隔離安全等。
(8)安全可視化和可配置。體現(xiàn)用戶可以感知安全特性是否被執(zhí)行,這些安全特性是否可以保障業(yè)務(wù)的安全使用和提供。
2.2 5G 網(wǎng)絡(luò)現(xiàn)有安全能力
2.2.1 網(wǎng)絡(luò)切片安全
5G 網(wǎng)絡(luò)采用了服務(wù)化網(wǎng)絡(luò)架構(gòu),引入了網(wǎng)絡(luò)切片技術(shù),通過引入網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization,NFV)技術(shù)和軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)架構(gòu)實(shí)現(xiàn)了切片化。網(wǎng)絡(luò)切片技術(shù)即通過不同網(wǎng)元的編排組合使得網(wǎng)絡(luò)具有不同的功能,具備較高的靈活性和可定制性。
在傳統(tǒng)移動網(wǎng)絡(luò)的安全機(jī)制下,切片安全可以提供接入認(rèn)證、信令及數(shù)據(jù)加密保護(hù)等在內(nèi)的安全能力。在當(dāng)前 5G 網(wǎng)絡(luò)安全架構(gòu)下,切片安全可以結(jié)合物理隔離等隔離機(jī)制,實(shí)現(xiàn)網(wǎng)絡(luò)切片間端到端的安全隔離防護(hù),包括核心網(wǎng)隔離、承載隔離以及無線接入網(wǎng)(Radio Access Network,RAN)隔離等。因此,切片安全能夠滿足垂直行業(yè)應(yīng)用差異化需求,并提供了更健壯的數(shù)據(jù)安全保護(hù)、更豐富的認(rèn)證機(jī)制支持和更嚴(yán)密的用戶隱私保護(hù) 。
2.2.2 認(rèn)證和授權(quán)安全
5G 在 4G 安全特性的基礎(chǔ)上對部分安全特性進(jìn)行了增強(qiáng),并且針對不同業(yè)務(wù)場景拓展了安全能力,其中更完善的認(rèn)證機(jī)制是 5G 網(wǎng)絡(luò)的重要安全特性。5G 網(wǎng)絡(luò)針對不同的認(rèn)證場景考慮了更多有效的認(rèn)證選擇,包括處于間接 3GPP 連接模式下的終端設(shè)備有效利用資源的認(rèn)證機(jī)制,以及針對物聯(lián)網(wǎng)群組的有效認(rèn)證機(jī)制。當(dāng)前 5G系統(tǒng)還支持服務(wù)網(wǎng)絡(luò)認(rèn)證、接入網(wǎng)授權(quán)、UE 授權(quán)以及未認(rèn)證緊急服務(wù)等多種認(rèn)證機(jī)制能力。
5G 認(rèn)證和授權(quán)機(jī)制為網(wǎng)絡(luò)接入和業(yè)務(wù)接入提供了統(tǒng)一的認(rèn)證框架,支持多種網(wǎng)絡(luò)接入和認(rèn)證機(jī)制。5G 網(wǎng)絡(luò)認(rèn)證繼承了 4G 網(wǎng)絡(luò)安全性較高的認(rèn)證與密鑰協(xié)商協(xié)議(Authentication and Key Agreement,AKA)認(rèn)證機(jī)制,并進(jìn)一步增強(qiáng)了AKA 的機(jī)制和能力,稱作 5G-AKA。另外,5G引 入 了 擴(kuò) 展 認(rèn) 證 協(xié) 議(Extensive Authentication Protocol,EAP) 認(rèn) 證 框 架, 將 EAP-AKA 作 為5G 網(wǎng)絡(luò)的基本認(rèn)證方法予以支持。
2.2.3 MEC 安全防護(hù)
采用邊緣計(jì)算技術(shù)(Mobile Edge Computing,MEC)打造用戶內(nèi)部 5G 網(wǎng)絡(luò),可保證用戶業(yè)務(wù)數(shù)據(jù)不傳送到外網(wǎng),保證數(shù)據(jù)私密性。同時(shí),MEC不會對傳輸?shù)臄?shù)據(jù)內(nèi)容做存儲,從而不會出現(xiàn)MEC 節(jié)點(diǎn)數(shù)據(jù)泄露現(xiàn)象。此外,MEC 與用戶本地服務(wù)器之間部署防火墻進(jìn)行數(shù)據(jù)隔離,從物理層面上有效提升了 5G 網(wǎng)絡(luò)數(shù)據(jù)的安全性 。
2.2.4 安全能力開放
5G 網(wǎng)絡(luò)安全能力可通過能力開放接口提供給用戶,以便用戶按照自身需求編排定制化網(wǎng)絡(luò)安全服務(wù)。5G 網(wǎng)絡(luò)可通過將安全能力進(jìn)行抽象、封裝,配合其他網(wǎng)絡(luò)能力及資源,動態(tài)按需組合部署,為用戶提供靈活、可定制的差異化安全能力。
2.3 當(dāng)前 5G 網(wǎng)絡(luò)安全防護(hù)挑戰(zhàn)
5G 網(wǎng)絡(luò)技術(shù)得益于其通用化平臺部署能力以及靈活的部署形式,改變了無線網(wǎng)絡(luò)傳統(tǒng)語音 + 用戶的運(yùn)營模式,豐富了蜂窩網(wǎng)絡(luò)通信技術(shù)的應(yīng)用場景,但也對其安全防護(hù)能力帶來了一定挑戰(zhàn)。
2.3.1 多場景下網(wǎng)絡(luò)安全防護(hù)體系挑戰(zhàn)
5G網(wǎng)絡(luò)技術(shù)所提出的增強(qiáng)移動寬帶(Enhanced Mobile Broadband,eMBB)、高可靠低時(shí)延(Ultra Reliable Low-Latency Communications,uRLLC)、海量機(jī)器類通信(Massive Machine Type Communi cation,mMTC)3 大核心網(wǎng)絡(luò)能力,可以衍生出大量的差異化網(wǎng)絡(luò)需求場景。因此,為單一場景設(shè)計(jì)的網(wǎng)絡(luò)安全防護(hù)體系不再能夠適用于具有多樣化應(yīng)用場景的 5G 網(wǎng)絡(luò)。針對行業(yè)應(yīng)用差異化的網(wǎng)絡(luò)能力需求,5G 網(wǎng)絡(luò)安全防護(hù)體系也需要匹配相應(yīng)的場景需求,避免安全網(wǎng)絡(luò)策略成為關(guān)鍵網(wǎng)絡(luò)指標(biāo)的能力短板。因此,需要建立創(chuàng)新安全防護(hù)體系,滿足物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市等實(shí)際場景需求,從而成為數(shù)字化社會建設(shè)網(wǎng)絡(luò)能力底座 。
2.3.2 行業(yè)專用 5G 網(wǎng)絡(luò)安全信任體系挑戰(zhàn)
5G 網(wǎng)絡(luò)峰值數(shù)據(jù)傳輸速率相比于 4G 網(wǎng)絡(luò)增長超過 10 倍,可滿足 4K 超高清視頻、虛擬現(xiàn)實(shí)及增強(qiáng)現(xiàn)實(shí)等數(shù)據(jù)業(yè)務(wù)的大帶寬需求,且5G 網(wǎng)絡(luò)的鏈接密度相比于 4G 網(wǎng)絡(luò)有了質(zhì)的提升 。相較于之前的傳統(tǒng)移動通信,5G 網(wǎng)絡(luò)行業(yè)應(yīng)用需求逐漸增多。針對 5G 網(wǎng)絡(luò)“一網(wǎng)賦能萬業(yè)”的開放性特點(diǎn),如何構(gòu)建一個(gè)運(yùn)營商 +行業(yè)客戶 + 網(wǎng)絡(luò)的多元信任關(guān)系是當(dāng)前 5G 網(wǎng)絡(luò)安全面臨的主要挑戰(zhàn)之一。需要充分融合可靈活下沉部署的行業(yè) 5G 移動通信網(wǎng)絡(luò)、不同的垂直行業(yè)及多運(yùn)營管理模式,構(gòu)建完善的統(tǒng)一信任網(wǎng)絡(luò)服務(wù)體系。
2.3.3 創(chuàng)新技術(shù)下 5G 網(wǎng)絡(luò)安全快速發(fā)展挑戰(zhàn)
作為新一輪科技革命和產(chǎn)業(yè)變革中的關(guān)鍵技術(shù)之一,5G網(wǎng)絡(luò)當(dāng)前已成為支撐社會數(shù)智化、網(wǎng)絡(luò)化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)設(shè)施,也是促進(jìn)各行業(yè)經(jīng)濟(jì)發(fā)展的重要手段。當(dāng)前,大數(shù)據(jù)、人工智能及區(qū)塊鏈等新興技術(shù)迅速發(fā)展,為經(jīng)濟(jì)社會各領(lǐng)域發(fā)展賦能。但是新興技術(shù)的發(fā)展也會帶來新的挑戰(zhàn),如何將挑戰(zhàn)轉(zhuǎn)化為 5G 快速發(fā)展的機(jī)遇至關(guān)重要。因此,需要將 5G 網(wǎng)絡(luò)安全與其他新興技術(shù)深度融合,成為共生共進(jìn)、相互促進(jìn)的共同體,通過融合創(chuàng)新探索 5G 網(wǎng)絡(luò)安全的新可能性,進(jìn)一步促進(jìn) 5G 網(wǎng)絡(luò)安全的快速發(fā)展。
3、5G 網(wǎng)絡(luò)安全創(chuàng)新體系及技術(shù)探索
針對上述 5G 網(wǎng)絡(luò)安全現(xiàn)狀的分析,為了更好地解決 5G 網(wǎng)絡(luò)安全所面臨的挑戰(zhàn),并讓 5G技術(shù)更廣泛地運(yùn)用于多行業(yè)領(lǐng)域,5G 網(wǎng)絡(luò)安全創(chuàng)新體系及技術(shù)發(fā)展可從立體 5G 網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)、行業(yè) 5G 專網(wǎng)多元信任體系建立以及新型技術(shù)融合創(chuàng)新等方面展開探索。
3.1 立體 5G 網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)
為滿足 5G 網(wǎng) 絡(luò) eMBB、uRLLC、mMTC 等場景需求,可通過構(gòu)建立體的 5G 網(wǎng)絡(luò)安全防護(hù)體系以應(yīng)對不同場景下所面臨的風(fēng)險(xiǎn)。5G 網(wǎng)絡(luò)的安全防護(hù)體系以構(gòu)建形式為標(biāo)準(zhǔn),大致可分為兩類,如圖 2 所示:一類是基于 3GPP 協(xié)議規(guī)定的標(biāo)準(zhǔn)框架下增量疊加安全技術(shù)所形成的 5G增量安全防護(hù)體系;另一類是基于 3GPP 協(xié)議框架下針對原生實(shí)現(xiàn)流程的定制化修改而實(shí)現(xiàn)的5G 內(nèi)生安全防護(hù)體系。
圖 2 5G 網(wǎng)絡(luò)安全防護(hù)體系
3.1.1 5G 增量安全防護(hù)體系設(shè)計(jì)
5G 增量安全防護(hù)技術(shù)是基于已有的標(biāo)準(zhǔn)化5G網(wǎng)絡(luò)的安全能力,在應(yīng)用層面疊加安全技術(shù),實(shí)現(xiàn)定制化的 5G 網(wǎng)絡(luò)安全功能。
通過引入 SDN 概念以及 NFV 技術(shù),5G 網(wǎng)絡(luò)基礎(chǔ)設(shè)施實(shí)現(xiàn)了硬件設(shè)備與網(wǎng)絡(luò)功能的解耦,從而形成了一個(gè)通用化、虛擬化、開放化的網(wǎng)絡(luò) 。然而,這樣的網(wǎng)絡(luò)構(gòu)建模式也會帶來新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),需要在網(wǎng)絡(luò)功能實(shí)體共享硬件設(shè)備資源的同時(shí),構(gòu)建一個(gè)網(wǎng)絡(luò)功能之間的運(yùn)算、存儲和交互的數(shù)據(jù)隔離機(jī)制,嚴(yán)格規(guī)范網(wǎng)絡(luò)功能實(shí)體的硬件資源限制,避免 5G 網(wǎng)絡(luò)在硬件設(shè)備集中部署的情況下,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在基礎(chǔ)設(shè)施中快速傳播的情況發(fā)生。
MEC 是 5G 網(wǎng)絡(luò)的核心設(shè)備之一,通過在靠近網(wǎng)絡(luò)邊緣的客戶 / 基站機(jī)房處部署部分網(wǎng)絡(luò)服務(wù)能力和業(yè)務(wù)訪問服務(wù)端,從而顯著降低在數(shù)據(jù)傳輸過程中產(chǎn)生的時(shí)延,提升網(wǎng)絡(luò)帶寬利用率,從而為時(shí)延敏感性網(wǎng)絡(luò)業(yè)務(wù)提供可靠的網(wǎng)絡(luò)能力支持。由于其物理部署位置的特殊性,硬件設(shè)備長期處于無人看管的環(huán)境下。因此,對于整個(gè) 5G 網(wǎng)絡(luò),MEC 的物理防護(hù)及接口管控是網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的一大重點(diǎn)研究方向 。
3.1.2 5G 內(nèi)生安全防護(hù)體系設(shè)計(jì)
5G 內(nèi)生安全防護(hù)技術(shù)是通過對標(biāo)準(zhǔn)化 5G網(wǎng)絡(luò)進(jìn)行定制化流程改造,滿足行業(yè)應(yīng)用的實(shí)際安全能力要求。
通過對 3GPP 組織定義的標(biāo)準(zhǔn)化 5G 網(wǎng)絡(luò)架構(gòu)以及信令交互流程的定制化改造,在不影響標(biāo)準(zhǔn)化 5G 網(wǎng)絡(luò)組件的完整功能的前提下,實(shí)現(xiàn)5G 網(wǎng)絡(luò)架構(gòu)內(nèi)部的安全能力疊加。這種定制化的內(nèi)生網(wǎng)絡(luò)安全防護(hù)體系可以滿足對 5G 網(wǎng)絡(luò)安全有定制化需求的特殊行業(yè)用戶的安全標(biāo)準(zhǔn)。然而,此類定制化專用 5G 網(wǎng)絡(luò)配套設(shè)備與部分標(biāo)準(zhǔn)化的 5G 網(wǎng)絡(luò)設(shè)施之間的兼容性問題難以避免,模塊化部署能力較差。
3.2 5G 網(wǎng)絡(luò)在行業(yè)專用網(wǎng)絡(luò)領(lǐng)域的多元信任體系建立
5G 網(wǎng)絡(luò)高帶寬、低時(shí)延、大連接的技術(shù)優(yōu)勢使其在行業(yè)專用網(wǎng)絡(luò)領(lǐng)域具有非常廣闊的應(yīng)用場景,行業(yè)專用網(wǎng)絡(luò)也是 5G 網(wǎng)絡(luò)建設(shè)的重要方向之一。不同于傳統(tǒng)網(wǎng)絡(luò)的運(yùn)營商 + 用戶的商業(yè)模式,5G 行業(yè)專網(wǎng)建設(shè)需要構(gòu)建一個(gè)運(yùn)營商 + 行業(yè)客戶 + 網(wǎng)絡(luò)用戶的全新的多元信任關(guān)系 。根據(jù)不同行業(yè)應(yīng)用對于網(wǎng)絡(luò)能力的差異化需求,5G 行業(yè)專網(wǎng)的部分甚至全部網(wǎng)絡(luò)設(shè)施都需要下沉部署至用戶內(nèi)部機(jī)房。差異化的部署模式勢必需要在各方設(shè)備之間構(gòu)建一個(gè)完善的安全信任體系,以面對各個(gè)場景下的安全威脅。因此,運(yùn)營商和行業(yè)用戶需要明確相關(guān)設(shè)備維護(hù)與數(shù)據(jù)安全能力的責(zé)任劃分,共同面對全新網(wǎng)絡(luò)建設(shè)模式所帶來的安全挑戰(zhàn) 。
5G 行業(yè)專用網(wǎng)絡(luò)部分或全部網(wǎng)絡(luò)設(shè)施下沉部署的建設(shè)模式勢必造成專用網(wǎng)絡(luò)的相關(guān)網(wǎng)絡(luò)接口處于運(yùn)營商的安全管控防護(hù)能力之外,從而造成網(wǎng)絡(luò)設(shè)施下沉部署的安全風(fēng)險(xiǎn)。同時(shí),部分網(wǎng)絡(luò)設(shè)施的下沉部署也會間接造成網(wǎng)絡(luò)設(shè)施之間的信令交互需要依賴 5G 公用網(wǎng)絡(luò)的傳輸承載網(wǎng)絡(luò),因此,需要構(gòu)建一種遠(yuǎn)程信令傳輸?shù)脑O(shè)備信任機(jī)制,完善新型網(wǎng)絡(luò)部署架構(gòu)的安全能力。同時(shí),運(yùn)營商與行業(yè)客戶需要詳細(xì)評估部分網(wǎng)絡(luò)設(shè)施下沉部署可能造成的網(wǎng)絡(luò)安全隱患,協(xié)商明確網(wǎng)絡(luò)設(shè)施安全責(zé)任劃分,盡可能地規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn) 。
通過利用 5G 網(wǎng)絡(luò)的 SDN 和 NFV 技術(shù)優(yōu)勢,基于已有 5G 公用網(wǎng)絡(luò)設(shè)施內(nèi)建立獨(dú)立的網(wǎng)絡(luò)切片,以實(shí)現(xiàn)公網(wǎng)專用的網(wǎng)絡(luò)建設(shè)模式。在這種網(wǎng)絡(luò)構(gòu)建模式下,存在用戶是否具備公網(wǎng)接入能力、用戶行為與業(yè)務(wù)的管控主體劃分、應(yīng)用層面數(shù)據(jù)的歸屬、應(yīng)用層面的安全防護(hù)責(zé)任劃分等一系列網(wǎng)絡(luò)安全相關(guān)問題,需要運(yùn)營商和行業(yè)客戶根據(jù)實(shí)際網(wǎng)絡(luò)建設(shè)需求進(jìn)行規(guī)劃協(xié)商,構(gòu)建一個(gè)公網(wǎng)專用建設(shè)模式的運(yùn)營管控體系,盡可能地規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
針對部分特殊行業(yè)應(yīng)用在地理跨域的多園區(qū)網(wǎng)絡(luò)互聯(lián)的 5G 專用網(wǎng)絡(luò)建設(shè)需求,將采取5G 網(wǎng)絡(luò)設(shè)施的多園區(qū)分布式部署的形式,以構(gòu)建一個(gè)小型化的跨域 5G 網(wǎng)絡(luò)。該類型網(wǎng)絡(luò)中存在網(wǎng)絡(luò)接口防護(hù)、用戶簽約信息的安全傳輸、用戶面數(shù)據(jù)的傳輸加密、網(wǎng)絡(luò)路由的安全策略等網(wǎng)絡(luò)安全問題。這些問題需要運(yùn)營商和行業(yè)用戶明確相關(guān)的硬件設(shè)備與網(wǎng)絡(luò)運(yùn)營的責(zé)任劃分,構(gòu)建一個(gè)跨域?qū)S镁W(wǎng)絡(luò)建設(shè)的多元組網(wǎng)架構(gòu)的運(yùn)營管控模式,形成一個(gè)雙方認(rèn)可的網(wǎng)絡(luò)安全運(yùn)維技術(shù)規(guī)范,盡可能地規(guī)避相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
3.3 新型技術(shù)與 5G 網(wǎng)絡(luò)安全融合創(chuàng)新
隨著量子計(jì)算、人工智能等尖端技術(shù)的快速發(fā)展,新的網(wǎng)絡(luò)攻擊技術(shù)和新的網(wǎng)絡(luò)攻擊模式將會為傳統(tǒng)的網(wǎng)絡(luò)通信架構(gòu)帶來新的挑戰(zhàn)。為應(yīng)對尖端技術(shù)在網(wǎng)絡(luò)攻擊中的應(yīng)用,通過在網(wǎng)絡(luò)中引入例如基于機(jī)器學(xué)習(xí)的多模態(tài)分析模型以及區(qū)塊鏈技術(shù)的去中心化密鑰體系等其他領(lǐng)域的新型尖端技術(shù),實(shí)現(xiàn) 5G 網(wǎng)絡(luò)技術(shù)與新興技術(shù)的融合,構(gòu)建一個(gè)具備演進(jìn)能力的 5G 網(wǎng)絡(luò)安全體系。
3.3.1 5G 安全 + 多模態(tài)智慧網(wǎng)絡(luò)安全創(chuàng)新體系融合
模 態(tài) 是 指 一 種 信 息 的 來 源 形 式, 其 定 義非常廣泛,可以是一種聲音、一類圖像、一種語言或者一種無線電波信號。多模態(tài)機(jī)器學(xué)習(xí)(MultiModal Machine Learning,MMML)是通過機(jī)器學(xué)習(xí)的技術(shù)基礎(chǔ),實(shí)現(xiàn)同時(shí)感知并處理來自多種類、多源、多模態(tài)不同類型的信息。多模態(tài)機(jī)器學(xué)習(xí)是目前人工智能領(lǐng)域較為熱門的研究方向,在新一代蜂窩網(wǎng)絡(luò)技術(shù)演進(jìn)過程中有很大的發(fā)展前景 。
多模態(tài)網(wǎng)絡(luò)技術(shù)研究的目的是在先進(jìn)無線通信網(wǎng)絡(luò)環(huán)境下,應(yīng)用多模態(tài)機(jī)器學(xué)習(xí)技術(shù),以提升網(wǎng)絡(luò)整體的運(yùn)行效率,改善網(wǎng)絡(luò)業(yè)務(wù)體驗(yàn),是 5G 網(wǎng)絡(luò)技術(shù)演進(jìn)的一個(gè)重要方向。通過在 5G 網(wǎng)絡(luò)的基礎(chǔ)設(shè)施中引入多模態(tài)機(jī)器學(xué)習(xí)技術(shù),賦予網(wǎng)絡(luò)集通信、感知、計(jì)算于一體的能力,構(gòu)建一個(gè)具備核心網(wǎng)、承載網(wǎng)、無線網(wǎng)及終端 4 個(gè)維度的智慧網(wǎng)絡(luò)安全防護(hù)體系,如圖 3 所示,以滿足 5G 網(wǎng)絡(luò)多樣化部署形式及差異化部署場景的安全防護(hù)能力需求 。
圖 3 5G 智慧網(wǎng)絡(luò)安全防護(hù)體系
(1)無線信號環(huán)境模型構(gòu)建與智能波束管理。傳統(tǒng)網(wǎng)絡(luò)的無線信號覆蓋完全依賴運(yùn)營商進(jìn)行網(wǎng)絡(luò)規(guī)劃,然而 5G 網(wǎng)絡(luò)高帶寬、低時(shí)延、大連接的技術(shù)優(yōu)勢賦予其濃重的行業(yè)應(yīng)用承載屬性,傳統(tǒng)的網(wǎng)絡(luò)覆蓋模型勢必難以在兼顧公網(wǎng)覆蓋的基礎(chǔ)上滿足行業(yè)用戶的無線覆蓋需求。針對行業(yè)用戶無線覆蓋需求單獨(dú)建設(shè)基站,則存在網(wǎng)絡(luò)建設(shè)成本過高、基站覆蓋邊界難以確定、站間信號干擾及終端接入不穩(wěn)定等問題。通過在無線網(wǎng)絡(luò)建設(shè)中引入多模態(tài)機(jī)器學(xué)習(xí)技術(shù),構(gòu)建區(qū)域內(nèi)的無線信號環(huán)境模型,形成區(qū)域內(nèi)的用戶接入狀態(tài)的態(tài)勢感知,實(shí)現(xiàn)區(qū)域內(nèi)的無線信號環(huán)境的多維度呈現(xiàn) ?;跓o線信號環(huán)境模型,充分利用 5G 無線網(wǎng)網(wǎng)絡(luò)空分復(fù)用技術(shù)優(yōu)勢及基站的智能波束管理系統(tǒng),根據(jù)實(shí)際用戶需求,實(shí)時(shí)調(diào)整無線信號覆蓋區(qū)域,從而達(dá)到優(yōu)化行業(yè)用戶接入體驗(yàn),降低站間信號干擾的目的。
(2)智能路由與網(wǎng)絡(luò)態(tài)勢感知。傳統(tǒng)網(wǎng)絡(luò)基于 IP 的單一化尋址路由機(jī)制已經(jīng)難以適應(yīng)目前 5G 網(wǎng)絡(luò)承載的多樣化業(yè)務(wù)需求,缺乏數(shù)據(jù)傳輸安全能力以及對終端行為的感知能力。多模態(tài)網(wǎng)絡(luò)的智能路由技術(shù)以 SDN 和 NFV 技術(shù)為基礎(chǔ),實(shí)現(xiàn)控制層面與傳輸層面的能力解耦 。通過構(gòu)建一個(gè)以 IP 路由為基礎(chǔ),配合內(nèi)容標(biāo)識、身份標(biāo)識、空間標(biāo)識等多模態(tài)信息的智能化路由尋址模型,從根本上突破傳統(tǒng)網(wǎng)絡(luò)的尋址機(jī)制瓶頸,滿足 5G 網(wǎng)絡(luò)差異化的業(yè)務(wù)需求?;趯?shí)時(shí)更新優(yōu)化的智能路由模型,可實(shí)現(xiàn)對于網(wǎng)絡(luò)整體態(tài)勢的實(shí)時(shí)感知,配部署網(wǎng)絡(luò)安全傳輸設(shè)備,建立智能化安全防護(hù)模型,形成針對用戶的惡意訪問行為的精確感知,從而構(gòu)建一個(gè)集網(wǎng)絡(luò)安全態(tài)勢感知、數(shù)據(jù)安全智能路由、惡意行為告警及網(wǎng)絡(luò)安全防護(hù)功能于一體的傳輸網(wǎng)絡(luò)安全體系,從根源上杜絕如分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)等惡意行為對 5G 網(wǎng)絡(luò)造成的安全隱患。
(3)終端行為感知與管控。相比于傳統(tǒng)網(wǎng)絡(luò),為滿足物聯(lián)網(wǎng)、車聯(lián)網(wǎng)以及智慧城市等應(yīng)用環(huán)節(jié)的網(wǎng)絡(luò)能力需求,3GPP 組織預(yù)計(jì) 5G 網(wǎng)絡(luò)在 mMTC 場景下需支持每平方千米 100 萬用戶的接入數(shù)量,假定終端僅以正常頻率發(fā)起用戶接入,高并發(fā)的信令傳輸依舊會對傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系帶來不小的壓力。超大規(guī)模的終端接入能力必定伴隨著由挾持終端發(fā)起的 DDoS攻擊的風(fēng)險(xiǎn)。因此,終端行為的感知與管控能力是 5G 網(wǎng)絡(luò) mMTC 場景下必不可少的安全防護(hù)能力。通過在網(wǎng)絡(luò)側(cè)收集終端用戶的行為信息,充分利用多模態(tài)機(jī)器學(xué)習(xí)技術(shù)針對多源數(shù)據(jù)的辨識能力,訓(xùn)練一個(gè)具備識別用戶實(shí)時(shí)狀態(tài)的終端行為的管控模型,從而在網(wǎng)絡(luò)側(cè)形成針對終端異常或惡意行為的感知、識別、管控的一體化能力,進(jìn)一步提升 5G 網(wǎng)絡(luò)的運(yùn)行效率,增強(qiáng)網(wǎng)絡(luò)的可靠性。
(4)網(wǎng)絡(luò)的智慧化運(yùn)營管理。通過充分利用多模態(tài)網(wǎng)絡(luò)通信、感知、計(jì)算一體化的能力,可在 5G 網(wǎng)絡(luò)的各個(gè)層面構(gòu)建完善的安全防護(hù)體系。以上述安全防護(hù)能力為基礎(chǔ),進(jìn)一步利用多模態(tài)機(jī)器學(xué)習(xí)技術(shù)的多源感知辨識能力,構(gòu)建一個(gè)網(wǎng)絡(luò)的智慧化運(yùn)營管理系統(tǒng)。通過對各個(gè)維度網(wǎng)絡(luò)安全態(tài)勢的總體感知,統(tǒng)籌協(xié)調(diào)各個(gè)維度的安全防護(hù)策略,最終實(shí)現(xiàn)終端業(yè)務(wù)權(quán)限管控、無線網(wǎng)絡(luò)信號覆蓋智能化補(bǔ)盲、傳輸線路智能化路由的一體化智慧運(yùn)營管理系統(tǒng)。在最大化各維度的安全防護(hù)能力的同時(shí),顯著提升網(wǎng)絡(luò)的運(yùn)行效率、安全能力及可靠性。
3.3.2 5G 安全 + 區(qū)塊鏈創(chuàng)新技術(shù)融合
5G 網(wǎng)絡(luò)空間中存在大量的設(shè)備,且類型及網(wǎng)絡(luò)環(huán)境均很復(fù)雜,虛擬狀態(tài)和物理狀態(tài)同時(shí)存在。因此,5G 移動通信網(wǎng)絡(luò)中各網(wǎng)絡(luò)元素在復(fù)雜網(wǎng)絡(luò)運(yùn)營環(huán)境中的交互行為是安全性的主要挑戰(zhàn)之一。
區(qū)塊鏈作為一種分布式數(shù)據(jù)庫,可記錄起源區(qū)塊到當(dāng)前區(qū)塊的所有事物,并具有分散性、匿名性、不可變性及可審計(jì)等特點(diǎn) 。因此,通過基于區(qū)塊鏈的 5G 安全通信基礎(chǔ)設(shè)施,可以實(shí)現(xiàn)面向隱私的加密音頻和視頻通信、欺詐管理、身份服務(wù)及通信數(shù)據(jù)管理的全新解決方案,從而構(gòu)建一個(gè) 5G 物聯(lián)的網(wǎng)絡(luò)安全架構(gòu)。
(1)基于區(qū)塊鏈 5G 接入設(shè)備安全防護(hù)。面對 5G 網(wǎng)絡(luò)中大量嵌入式設(shè)備存在的隱私和安全問題,可通過構(gòu)建私有鏈分布式靈活管理用戶設(shè)備身份,從而避免存在攻擊中心節(jié)點(diǎn)的情況。即使某個(gè)設(shè)備節(jié)點(diǎn)被攻破,整個(gè)通信網(wǎng)絡(luò)系統(tǒng)仍可以安全運(yùn)行,不會造成大規(guī)模的網(wǎng)絡(luò)癱瘓。利用區(qū)塊鏈技術(shù)真正實(shí)現(xiàn)了 5G 網(wǎng)絡(luò)通信數(shù)據(jù)去中心化,有效預(yù)防了對數(shù)據(jù)信息的竊取和攻擊,滿足了 5G 網(wǎng)絡(luò)對數(shù)據(jù)信息應(yīng)用安全性和可靠性的要求,并使多臺設(shè)備可以完整儲存相關(guān)數(shù)據(jù) 。
(2)基于區(qū)塊鏈 5G 網(wǎng)絡(luò)數(shù)據(jù)的安全防護(hù)。區(qū)塊鏈不可篡改以及安全追溯的特征,也可以提升 5G 網(wǎng)絡(luò)中的數(shù)據(jù)安全,并為數(shù)據(jù)的高質(zhì)量應(yīng)用提供可靠保證。用戶數(shù)據(jù)加密存儲在分布式數(shù)據(jù)庫中,通過權(quán)限管理,對節(jié)點(diǎn)數(shù)據(jù)的安全性實(shí)現(xiàn)合理控制 。當(dāng)用戶訪問某些數(shù)據(jù)時(shí),可將訪問請求記錄在區(qū)塊鏈系統(tǒng)中。在系統(tǒng)使用過程中,用戶可隨時(shí)更改訪問權(quán)限,且相關(guān)操作具有透明、可審計(jì)的優(yōu)勢,用戶可隨時(shí)追蹤數(shù)據(jù),明確數(shù)據(jù)具體應(yīng)用性質(zhì),使得數(shù)據(jù)安全性得到保障 。
4、結(jié) 語
5G 網(wǎng)絡(luò)架構(gòu)的革新使其具備了垂直行業(yè)應(yīng)用網(wǎng)絡(luò)承載能力,且多樣化的垂直行業(yè)應(yīng)用場景也為網(wǎng)絡(luò)的安全防護(hù)體系帶來了新的挑戰(zhàn)。
本文闡述了國內(nèi)外 5G 安全技術(shù)發(fā)展情況,并從安全架構(gòu)、安全能力以及安全風(fēng)險(xiǎn)挑戰(zhàn) 3 個(gè)方面分析了當(dāng)前 5G 網(wǎng)絡(luò)安全現(xiàn)狀。針對 5G 移動通信網(wǎng)絡(luò)安全體系現(xiàn)存的挑戰(zhàn)展開分析,并進(jìn)一步研究討論如何改進(jìn)當(dāng)前 5G 網(wǎng)絡(luò)安全體系的創(chuàng)新研發(fā)方向,包括構(gòu)建創(chuàng)新安全防護(hù)體系、行業(yè)專網(wǎng)多元信任體系以及探索新型技術(shù)與 5G網(wǎng)絡(luò)安全融合創(chuàng)新前景,助力建立一個(gè)多維度且全方面的立體網(wǎng)絡(luò)安全體系。
如今,5G 所連接的已經(jīng)是一個(gè)龐大智慧的網(wǎng)絡(luò)體系,且隨著各項(xiàng)新型產(chǎn)業(yè)、對抗性技術(shù)的快速發(fā)展,5G 安全威脅對各垂直行業(yè)的影響也將逐步從間接影響轉(zhuǎn)化為直接影響。因此,5G 網(wǎng)絡(luò)安全技術(shù)還需不斷發(fā)展和探索,為 5G未來發(fā)展構(gòu)建確定性保障。
引用格式:何明 , 宋琪 , 童貞 , 等 .5G 網(wǎng)絡(luò)安全發(fā)展與創(chuàng)新安全體系及技術(shù)探索 [J]. 信息安全與通信保密 ,2023(2):34-45.
作者簡介 >>>
何 明,男,碩士,高級工程師,主要研究方向?yàn)?G 移動通信安全;宋 琪,女,碩士,工程師,主要研究方向?yàn)?5G 核心網(wǎng)安全;童 貞, 女, 碩 士,工 程 師,主要研究方向?yàn)?5G 核心網(wǎng)安全;曾 熙,女,碩士,主要研究方向?yàn)?5G 核心網(wǎng)安全;王 震,男,學(xué)士,高級工程師,主要研究方向?yàn)?5G 移動通信安全;李鋮陽,男,碩士,主要研究方向?yàn)?5G 核心網(wǎng)安全。
選自《信息安全與通信保密》2023年第2期(為便于排版,已省去原文參考文獻(xiàn))
文章來源: 信息安全與通信保密雜志社