5G:你说的安全该怎么“全”?

网络,安全,5G,用户,技术,

提到5G,人们的第一反应一定是极高的网速。5G采用了很多不同于4G的新技术,以适应多种应用场景的需求,其中就包括高传输速率。但新技术往往是“双刃剑”,带来便利的同时也会形成新的挑战。

 

以往我们介绍5G的时候,更多侧重于描绘5G强大的能力,但事实上,5G面向更广泛的应用场景的同时,安全风控的压力也更大,例如在工业、车联网方面的应用,安全就至关重要。5G商用的时间越来越近,相信很多人会比较好奇,5G网络如何保证自身的安全性?

在8月27日第四届互联网安全领袖峰会(CSS2018)上,中国工程院院士,中国互联网协会理事长邬贺铨先生就和大家分享了目前行业在5G网络安全方面所做的部署和努力。IT之家在此基础上进行梳理,为大家进行比较通俗的讲解。

5G有哪些独特的安全需求?

首先我们知道5G有三大典型业务场景,分别是增强型移动宽带(eMBB)、高可靠低时延连接(uRLLC)、海量物联网(mMTC)。他们对于安全性都有各自的需求:

 

eMBB能够提供更高的体验速率和更大带宽的接入能力,但需要更高的安全处理性能,支持外部网络二次认证以及已知漏洞的修补能力;

uRLLC能够提供低时延和高可靠的信息交互能力,端到端的时延在ms级别,但在安全上,它需要低时延的安全算法/协议、边缘计算的安全架构和隐私、关键数据的保护;

mMTC能够提供更高连接密度时优化的信令控制能力,支持大规模、低成本、低能耗IoT设备的高效接入和管理,但它需要轻量化的安全,需要群组认证以及能够抵抗DDos攻击。

除了三大业务场景,5G网络还采用了新的网络架构,新架构具有以用户为中心、功能模块化、网络可编排为设计理念,引入了多无线接入、SDN、云计算、NFV等技术。

多无线接入需要统一的认证框架来解决3GPP体制和非3GPP体制接入的问题,自然需要更安全的运营网络;

SDN、NFV等技术的引入(后文会详细介绍),可以构建逻辑隔离的安全切片,用来支持不同应用场景差异化的需求,但会令网络边界变得模糊,以前依赖物理边界防护的安全机制受到挑战。

5G是如何应对的?

在这部分IT之家将对5G网络应对安全新挑战的方式进行介绍,并对其中一些基础概念做一些科普。

1、首先是5G终端的接入和认证

前面介绍5G的三大应用场景,覆盖面非常广泛,例如eMBB需要高频率,如果基站功率做大,运营成本很高;做大量的小站,很密集,也很难优化,所以需要宏蜂窝和微蜂窝联合组网。

 

什么是宏蜂窝和微蜂窝?他们都属于基站,宏蜂窝的基站服务覆盖半径较大,一般在1~2.5千米左右,基站来看起来像铁塔,比较高大;

微蜂窝的基站服务覆盖半径较小,大约为100m~1km,其发射功率也更小,,一般在2W左右,基站天线体型小,一般置于相对低的地方,无线波束折射、反射、散射于建筑物间或建筑物内,主要用来弥补宏蜂窝覆盖的“盲点”,同时安置在宏蜂窝的“热点”上,可满足微小区域高质量高密度话务量要求。

 

根据邬贺铨先生的介绍:

传统蜂窝小区不论用户面、控制面,上行、下行都在一个蜂窝小区,而5G控制面走到了宏蜂窝,用户面走到微蜂窝,而且用户面上行下行走的是不同的小区,甚至一个是5G,一个是4G。这种情况,传统的4G安全机制是没有考虑到这种密集异构组网的安全威胁下的。”

这会带来来自不同网络系统,不同接入技术,不同类型站点(宏蜂窝、小蜂窝、微蜂窝)常态并行接入的问题。所以5G采用了“跨越底层异构多层无线接入网的统一认证框架“,来实现双向认证。

 

3G、4G用户入网,会发送一个长期身份明文标识(IMSI),用户身份容易被泄露。而根据邬院士的介绍,5G在USIM卡上,首先接收运营商广播的公钥,然后这个公钥将用户长期的身份加密,网络方面是用私钥来解密,这样用户的身份就不会被窃听,目前加密方案已经标准化了。

2、防止降维打击

这一点比较好理解,正如我们前文所说,5G时代并不是没有4G,语音通话在5G没有覆盖到的地方或者数据网络质量不好的时候,也会回落到4G,而4G的安全未必有5G那么好,所以需要防止降维打击。

 

5G核心网的特征之一是控制面和用户面分离,而用户面和控制面都会进行加密;此外,无线通信端信令和消息传输也会加密,包括空口的信令。

这里解释一下,信令就是信令是在无线通信系统中为使全网有轶序地工作,用来保证正常通信所需要的控制信号。通俗来说就是专门用来控制电路的,而不是我们打电话、上网的信号。

同时,5G网络切片也会进行加密,还有支持4G后向兼容也需要加密,还包含用于支持非3GPP接入的密钥等等。

可以看到,5G的密钥具有多样化的特点,同时这一系列密钥既要保持整体系统的统一性,又需要具备一定的独立性,以确保每个部分的安全性互不影响。

3、5G网络切片安全隔离

网络切片是5G一项很重要的技术。

网络切片技术通俗来说就是将运营商的物理网络划分成多个虚拟网络,每个虚拟网络根据不同的服务需求来应对不同的网络应用场景,这些场景也还是归属上面列举的三大场景。打个比方,网络切片技术就好像城市道路上划分人行道、机动车道、公交车道、应急通道等等,每个通道(切片)有不同功能。

 

物理网络是不变的,所以网络切片本身是一种网络虚拟化技术,并且切片与切片之间,是有隔离的,为A用户提供的切片不能和B用户互相串有,所以,每个切片都需要有它的身份识别。

 

目前的解决方法比较复杂,简单来说是对每个切片被预先配置一个切片ID,将对应的切片安全规则存放于切片安全服务器(SSS)中,用户设备(UE)接入网络时需提供切片ID给归属服务器(HSS),HSS根据SSS中对应切片的安全配置采取与该切片ID对应的安全措施,并选择对应的安全算法,来实现切片之间的安全隔离。

4、安全编排

网络切片除了切片之间需要安全隔离,整体上还需要编排。另外5G的关键技术SDN也需要大量编排来实现灵活提供服务。

这里又要简单介绍一下SDN,还有NFV技术。它们是网络切片技术能够实现的基础。

SDN又叫软件定义网络,它的内含和机理很复杂,我们同样还是简单了解即可。它的理念是让应用软件可以参与对网络的控制管理,满足上层业务需求,用自动化业务部署来简化网络运维。

通俗一点说,过去上层用户发出请求时,需要通过网络服务提供商传达给网络上的每一个网络设备,再由设备的控制功能来控制设备进行数据转发,实现整个通信网络的数据流通。

这种情况下,随着网络中的数据越来越多,一旦传输计划有变更,网络服务提供商需要传达到每一个网络设备,效率低下。

 

SDN就是在上层应用(上层用户和网络服务提供商)和基础网络设施之间加入一个控制层,它将设备的控制功能和转发功能分离,这样硬件厂商就不用针对每个硬件设计和安装对应的软件系统,使得硬件可以通用化。具体的控制转发功能由SDN控制层进行统一管理,这样就大大提高了运行效率。

至于HFV技术,也叫做网络功能虚拟化,它的概念是把设备中的功能提取出来,通过虚拟化的技术在上层提供虚拟功能模块,听起来和SDN有点像,但是彼此独立的,简单说,可以理解为SDN把设备虚拟化,而NFV把功能虚拟化。

所以可以看到,网络切片技术不是一个单独的技术,而是由很多具体的技术群协同实现,而通过上层统一的网络安全编排,能够让网络实现管理和协同能力,你可以把安全编排理解为指挥官,它不仅决定网络特定服务的拓扑,还将决定在什么地方要加入安全机制和安全策略。

正如邬贺铨院士所说:

 

5G本身也需要在编排中提供足够的安全保证,4G是没有这个编排的,编排本身如此重要,会影响到整个网络拓扑和服务质量。因此,编排本身的安全保护就是个非常重点的问题。

5、5G开放性的安全

5G的核心网架构相较于4G有很大的变化,中国移动牵头提出的SBA架构被3GPP确认为5G核心网基础构架。SBA是指基于服务的架构。

传统4G网络功能在4G是按网元组合的,网元就是网络系统中的某个网络单元或者节点,能够独立完成一种或几种功能的设备,传统的网元是封闭的、黑盒的,NFV虚拟出网络功能软件后,仍然是体块较大的单体式架构。

SBA的理念是将单体架构分拆为多个粒度更小的微服务,微服务之间通过API交互,微服务彼此独立,也独立于其他服务进行部署、升级、扩展,频繁更新扩展也不会影像客户使用,更加灵活,就像App。

 

所以,邬贺铨院士说:

5G是按照API、App的功能组合的。

需要调动什么功能就调配相关App,把移动端当成手机终端一样,把所有的能力当成App的调用。

这种网络能力是开放的,5G会提供移动性、会话和QoS和计费等功能的接口,运营商会开放接口能力组织网络,5G还会开放管理和编排能力,第三方还可以独立地利用运营商开放的管理能力和编排能力,实现它的网络部署、更新和扩容。

同时,SBA有两个网元是直接服务于网络安全的,一是AUSF认证服务器,二是SEPP安全边缘保护代理,涉及运营商核心网络之间的安全交互。

但开放意味着便利也意味着危险,开放授权过程中也有可能出现信任问题,导致恶意的第三方获得网络操控能力对5G网络发起攻击,如APT、DDoS等等。

对于这些问题,需要面向垂直行业的安全服务,其实思路和能力的开放一样,将安全也进行开放。简单来说就是将网络里的安全资源,密码算法、5G认证协议和安全知识库,对安全资源进行抽象和封装,对外提供安全服务,对加密传输服务提供认证服务、信用服务、入侵检测服务等等。

6、5G终端的安全性要求

在5G中,对于终端也有安全性要求,3GPP对终端安全有一些通用要求,包括用户与信令数据的机密性保护,签约凭证的安全存储与处理,用户隐私保护等等。而5G终端的一些特殊要求是根据其应用场景来的,例如车联网这类高可靠、低时延终端,需要支持高安全、高可靠的安全机制,相对于一般的终端安全更要求高;uRLLC终端可持续的环境,操作系统的增强高速加解密处理能力。

 

总结

4G时代,我们已经见证了不少互联网的安全事故,例如OpenSSL水牢漏洞、WannerCry勒索病毒、Petya勒索病毒变种肆虐等。而在即将到来的5G时代,网络安全同样面临很多挑战,上文介绍的行业应对挑战的策略只是框架性质的,具体还有更加复杂的细节技术。

总体来说,5G的安全框架主要包含接入安全、网络(接入网、核心网内部等)安全、用户安全、应用安全(用户设备和服务提供商之间的通信)、可信安全和管理安全这几大内容,并且随着未来5G商业化的铺展,未来业务还有很多不确定性,也会能够随着实际应用而完善。

加载更多>>
责任编辑:王晓宇
专题 更多>>