隨著5G商用腳步來臨,,背后更大的一張網(wǎng)需要值得注意,那就是:安全,。
在上周舉行的“第四屆互聯(lián)網(wǎng)安全領袖峰會(CSS2018)”上,,中國工程院院士、中國互聯(lián)網(wǎng)協(xié)會理事長鄔賀銓在談及安全話題時提到:5G在終端接入身份認證,、5G終端安全,、網(wǎng)絡切片以及物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等各方面的安全問題都跟之前的3G/4G需求不同,,因而面對的挑戰(zhàn)也將更加復雜,。因此,在5G到來之前就要未雨綢繆提前把5G的安全問題布局好,。
一,,接入和認證
在接入的身份認證方面,當移動用戶首次附著網(wǎng)絡時,3G/4G終端的長期身份標識(IMSI)會直接以明文的形式在信道中傳輸,,用戶身份被公開,。但是5G在USIM卡增加運營商設定的公鑰,以該公鑰直接將用戶的SUPI(即IMSI)加密為SUCI,,網(wǎng)絡用私鑰來解密,,從而保護用戶身份不被竊聽攻擊。
據(jù)悉,,3GPP在TR33.899中給出了推薦的SUCI加密方案,。移動管理實體在獲取IMSI后,會向USIM分配臨時身份信息GUTI/TMSI,,用于后續(xù)通信,。
在認證協(xié)議方面,5G面對的設備種類不再單一,,也難以為不同的設備頒發(fā)一直的身份憑證,,垂直行業(yè)會有一些專用的認證機制。因此,,5G還需要實現(xiàn)從以USIM卡未出的單一身份管理方式到靈活多樣的身份管理方式的過渡,,以及對所涉及的身份憑證的產(chǎn)生、發(fā)放,、撤銷等整個生命周期內(nèi)的管理,。
那么,5G就會使用EAP-AKA以實現(xiàn)統(tǒng)一框架下的雙向認證,,支持非3GPP的接入,,使用5G-AKA增強歸屬網(wǎng)絡控制。除了原有認證之外,,還可以借助第三方的二次認證提供認證服務,。
同時,對海量IOT連接需要使用群組認證,,對車聯(lián)網(wǎng)要有V2V快速認證,。密鑰分發(fā)流程下發(fā)到網(wǎng)絡邊緣的各個認證節(jié)點,有效防止了對網(wǎng)絡中間部署的集中的認證中心的信令沖擊,。
另外,,由于5G接入網(wǎng)絡包括LTE接入網(wǎng)絡,攻擊者有可能誘導用戶至LTE接入方式,,從而導致針對隱私性泄露的降維攻擊,,5G隱私保護也需要考慮此類安全威脅。
二,,5G終端的安全要求
據(jù)鄔賀銓介紹:5G終端安全通用要求包括用戶于信令數(shù)據(jù)的機密性保護,、簽約憑證的安全存儲與處理,、用戶隱私保護等等。
而5G終端特殊安全要求包括:對uRLLC的終端需要支持高安全,、高可靠的安全機制,;對于mMTC終端,需要支持輕量級的安全算法和協(xié)議,;對于一些特殊行業(yè),,需要專用的安全芯片,定制操作系統(tǒng)和特定的應用商店,。
同時,,在基于網(wǎng)絡和UE輔助方面,UE終端設備負責收集信息,,將相鄰基站的CI,、信號強度等信息通過測量報告上報給網(wǎng)絡,,網(wǎng)絡結合網(wǎng)絡拓撲,、配置信息等相關數(shù)據(jù),對所有數(shù)據(jù)進行綜合分析,,確認在某個區(qū)域中是否存在偽基站,,同時,通過GPS和三角測量等定位技術,,鎖定偽基站位置,,從而徹底打擊偽基站。
三,,網(wǎng)絡切片和編排
不同切片的隔離是切片網(wǎng)絡的基本要求,,每個切片需預配一個切片ID,終端(UE)在附著網(wǎng)絡時需要提供切片ID,,歸屬服務器(HSS)根據(jù)終端請求,。需要從切片安全服務器(SSS)中采取與該切片ID對應的安全措施和算法,并為UE創(chuàng)建與切片ID綁定的認證矢量,。
因此,,在支持網(wǎng)絡切片的運營支撐系統(tǒng)房間,需要進行安全態(tài)勢管理與監(jiān)測預警,。利用各類安全探針,,采用標準化的安全設備統(tǒng)一管控接口對安全事件進行上報,以深度學習手段嗅探和檢測攻擊,。
同時,,根據(jù)安全威脅能智能化聲稱相關的安全策略調整,并將這些策略調整下發(fā)到各個安全設備中,,從而構建起一個安全的防護體系,。
另外,,在編排器方面,編排決定了網(wǎng)絡/特定服務的拓撲結構,,還將決定在何處部署安全機制和安全策略,;管理和編排過程的最基本的安全需求是保證各服務之間共享資源的關聯(lián)性和一致性;5G系統(tǒng)需要再編排過程中提供足夠的安全保證,。
四,,網(wǎng)絡的開放性
由于5G將提供移動性、會話,、QoS和計費等功能的接口,,方便第三方應用獨立完成網(wǎng)絡基本功能。還將開放ANO(管理和編排),,讓第三方服務提供者可獨立實現(xiàn)網(wǎng)絡部署,、更新和擴容。
但是,,相比現(xiàn)有的相對封閉的移動通信系統(tǒng)來說,,5G網(wǎng)絡如果在開放授權過程中出現(xiàn)信任問題,則惡意第三方將通過獲得的網(wǎng)絡操控能力對網(wǎng)絡發(fā)起攻擊,,APT攻擊,、DDOS、Worm惡意軟件攻擊等規(guī)模更大且更頻繁,。
因此,,隨著用戶(設備)種類增多、網(wǎng)絡虛擬化技術的引入,,用戶,、移動網(wǎng)絡運營商及基礎設施提供商之間的信任問題也比以前的網(wǎng)絡更加復雜。
同時,,在網(wǎng)絡對外服務接口方面也需要認證授權,,對沖突策略進行檢測,相關權限控制和安全審計,。
五,,信令及SBA
在密鑰管理方面,5G因應用場景豐富導致密鑰種類呈現(xiàn)多樣化的特點:用于控制平面的機密性/完整性保護密鑰,;用戶用戶平面的機密性/完整性保護密鑰(在這4G系統(tǒng)里是沒有的,,按需提供空口和/或UE到核心網(wǎng)之間的用戶面加密和完整性保護);用戶保護無線通信端信令和消息傳輸?shù)拿荑€(提供空口和NAS層信令的加密和完整性保護),;用戶支持非3GPP接入密鑰,;用于保證網(wǎng)絡切片通信安全的密鑰;用于支持與LTE系統(tǒng)后向兼容的密鑰等等,。新的密鑰支持層次化的密鑰派生機制,、認證機制的變化,、切片引入、用戶面完整性等,。
在基于服務的網(wǎng)絡體系(SBA)方面,,網(wǎng)絡功能在4G是網(wǎng)元的組合,而在5G是通過API交互的業(yè)務功能的組合,,業(yè)務被定義為自包含,、可再用和獨立管理。
業(yè)務的解耦便于快速部署和維護網(wǎng)絡,,模塊化為網(wǎng)絡切片提供靈活性,;使用HTTP的API接口更易調用網(wǎng)絡服務。
其實,,SBA有兩個網(wǎng)元是直接服務于網(wǎng)絡安全的:AUSF(認證服務功能)處理接入的認證服務請求,;SEPP(安全邊緣保護代理)對運營商網(wǎng)間交互的所有服務層信息提供應用層安全保護。
六,,5G下的MEC本身安全特別重要
為適應視頻業(yè)務,、VR/AR與車聯(lián)網(wǎng)等對時延要求,節(jié)約網(wǎng)絡帶寬,,需將存儲和內(nèi)容分發(fā)下沉到接入網(wǎng),。
據(jù)了解,MEC服務器可以部署在網(wǎng)絡匯聚結點之后,,也可以部署在基站內(nèi),流量將能夠以更短的路由次數(shù)完成客戶端與服務器之間的傳遞,,從而緩解欺詐,、中間人攻擊等威脅。
同時,,MEC通過對數(shù)據(jù)包的深度包解析(DPI)來識別業(yè)務和用戶,,并進行差異化的無線資源分配和數(shù)據(jù)包的時延保證。因此,,MEC本身的安全特別重要,。
另外,值得注意的是SDN與NFV依賴物理邊界防護的安全機制在虛擬化下難以應用,。需要考慮在5G環(huán)境下SDN控制網(wǎng)元與轉發(fā)節(jié)點間的安全隔離和管理,,以及SDN流表的安全部署和正確執(zhí)行。
七,,5G在車聯(lián)網(wǎng)和物聯(lián)網(wǎng)上的安全挑戰(zhàn)
車聯(lián)網(wǎng)要求空口時延低至1ms,,而傳統(tǒng)的認證和加密流程等協(xié)議,未考慮超高可靠低時延的通信場景,?!盀榇艘喕蛢?yōu)化原有安全上下文(包括密鑰和數(shù)據(jù)承載信息)管理流程,,支持MEC和隱私數(shù)據(jù)的保護。直接的V2V需要快速相互認證,?!编w賀銓說。
通常物聯(lián)網(wǎng)終端資源受限,、網(wǎng)絡環(huán)境復雜,、海量連接、容易受到攻擊,,需重視安全問題:如果每個設備的每條消息都需要單獨認證,,若終端信令請求超過網(wǎng)絡處理能力,則會觸發(fā)信令風暴,,5G對mMTC需要有群組認證機制,;需要采用輕量化的安全機制,保證mMTC在安全方面不要增加過多的能量消耗,;需要抗DDOS攻擊機制,,贏多NO-IoT終端被攻擊者劫持和利用。