上一篇我們講了
5G面臨的威脅和端到端安全挑戰(zhàn)
今天,,啟明星辰的專家們
從三個(gè)視角深度分析
如何解決5G端到端安全問題
共同徜徉5G安全的智慧海洋~
1 5G網(wǎng)絡(luò)側(cè)與產(chǎn)業(yè)側(cè)相融合的安全視角
討論5G安全需要從兩個(gè)維度入手。第一個(gè)維度是5G網(wǎng)絡(luò)側(cè),,也就是說保護(hù)5G平臺(tái)本身,。第二個(gè)重要的維度是產(chǎn)業(yè)側(cè),,也就是說采取特定的安全方法和機(jī)制來保護(hù)那些5G所承載的垂直行業(yè)業(yè)務(wù)應(yīng)用服務(wù)。
在這兩個(gè)維度之上建立起5G安全的整體和全局視角,,然后根據(jù)定位的不同再聚焦自己所關(guān)注的安全問題,,顯得更加有的放矢。具體內(nèi)容如下圖所示:
5G自身安全和產(chǎn)業(yè)側(cè)安全相融合
整體和全局視角
5G安全不僅僅是技術(shù)問題,,需要從人員,、流程、技術(shù)和生態(tài)全面考慮,。
威脅建模和風(fēng)險(xiǎn)評(píng)估
可以使用5G STRIDE-LM建模方法,,構(gòu)建5G的全用例威脅模型,并對(duì)5G網(wǎng)絡(luò),、系統(tǒng),、虛擬化和接入的行業(yè)應(yīng)用等進(jìn)行風(fēng)險(xiǎn)評(píng)估,為創(chuàng)建和維護(hù)真正具有彈性的安全基礎(chǔ)架構(gòu)奠定基礎(chǔ),。
需要專項(xiàng)安全預(yù)算
5G安全對(duì)當(dāng)前的安全技術(shù)和安全機(jī)制提出了新挑戰(zhàn)和新要求,,需要重點(diǎn)關(guān)注網(wǎng)絡(luò)側(cè)和產(chǎn)業(yè)側(cè)相融合的安全問題,需求新的解決方法,,對(duì)新技術(shù)加以研究學(xué)習(xí)和應(yīng)用,,同時(shí)獲得專項(xiàng)預(yù)算支持。
將安全性植入網(wǎng)絡(luò)
5G是一個(gè)開放的生態(tài)系統(tǒng),,具有更加開放的第三方系統(tǒng),、第三方垂直行業(yè)應(yīng)用,當(dāng)然也伴隨著更大更多的暴露面和入侵面,,需要充分考慮5G的云化特點(diǎn),,在設(shè)計(jì)和開發(fā)階段導(dǎo)入安全需求,將安全性植入到網(wǎng)絡(luò)之中,,實(shí)現(xiàn)“安全左移”,。
跨層跨域的安全性
多層、多域和端到端(E2E)的進(jìn)行安全設(shè)計(jì)和規(guī)劃,,結(jié)合“View on 5G Architecture”從物理基礎(chǔ)設(shè)施,、資源和功能層、網(wǎng)絡(luò)層,、服務(wù)層和管理編排層多個(gè)層面考慮和設(shè)計(jì)安全性,;同時(shí),結(jié)合“5G網(wǎng)絡(luò)安全架構(gòu)參考模型”從用戶域,、接入域,、網(wǎng)絡(luò)域,、SBA域、應(yīng)用域和管理域六個(gè)域考慮和設(shè)計(jì)安全性,,二者相結(jié)合,,實(shí)現(xiàn)真正的端到端全覆蓋的安全性設(shè)計(jì)。
多解決方案共生
虛擬化,、云化,、容器化、NFV,、SDN作為5G的技術(shù)支撐,,同時(shí)具有網(wǎng)絡(luò)能力開放等屬性和特點(diǎn),因此需要保留多供應(yīng)商環(huán)境,,以更好地做好5G及其融合安全,。
使用先進(jìn)技術(shù)
從多個(gè)層面進(jìn)行安全保護(hù),需要使用諸如主動(dòng)分析,,ML,,AI等先進(jìn)技術(shù)。
共享情報(bào)和安全生態(tài)
為了主動(dòng)檢測(cè),、防御,、預(yù)測(cè)和響應(yīng)安全威脅,必須在供應(yīng)商,、合作伙伴和客戶之間共享與安全相關(guān)的情報(bào),,構(gòu)建安全生態(tài)。
智能化安全運(yùn)維和可視化安全運(yùn)營
由于5G的多接入技術(shù),、多認(rèn)證機(jī)制,、異構(gòu)應(yīng)用和云化等特點(diǎn),集中控制,、自動(dòng)化的智能安全措施和自適應(yīng)安全操作以及安全能力可視化就顯得尤為必須和重要,。
2 軟件定義5G安全(SDS)和網(wǎng)絡(luò)安全能力服務(wù)化視角
這里簡(jiǎn)介看待5G安全的另一個(gè)視角,也就是軟件定義安全和安全能力服務(wù)化視角,。這個(gè)視角的主要特點(diǎn)表現(xiàn)為如下所列的“四化”安全能力,。
1)安全能力定制化(Customized):安全能力可編程,、可軟件定義,,具備開放性和敏捷性特點(diǎn)。
2)安全功能模塊化(Modularized):安全功能原子化,、模塊化,,能夠按需組合,更好地適配5G垂直行業(yè)的業(yè)務(wù)特點(diǎn)和安全訴求,。
3)基礎(chǔ)架構(gòu)虛擬化(Virtualized):根據(jù)3GPP,、ITU等標(biāo)準(zhǔn)化組織的設(shè)計(jì),,在第二階段和第三階段中,5G網(wǎng)絡(luò)的虛擬化,、云化,、軟件化和可編程編排的應(yīng)用會(huì)越來越多,NFV和SDX成為常態(tài),。與之相適配的安全能力也需要采用虛擬化架構(gòu),,邏輯單元能夠動(dòng)態(tài)配置,安全能力可編排,,使安全能力對(duì)云更加適應(yīng)與友好,。
4)安全管理集中化(Centralized):集中管理、協(xié)調(diào)和編排安全能力,,安全能力可調(diào)度,、可編排、可軟件定義,。
具體內(nèi)容如下圖所示:
5G安全能力服務(wù)化和軟件定義安全SDS
云化:虛擬化安全技術(shù)保護(hù)邊緣云和核心云,,云化網(wǎng)絡(luò)基礎(chǔ)設(shè)施和虛擬網(wǎng)元安全。
組件化:安全需求的多樣化和定制化要求安全能力快速建立和修改,,安全部件分布式部署,。
可編排化:安全防策略自動(dòng)化配置和服務(wù)鏈編排,實(shí)現(xiàn)智能主動(dòng)防御,。
身份化:多角色,、可擴(kuò)展的身份管理,基于統(tǒng)一身份認(rèn)證框架的跨區(qū)域認(rèn)證與訪問控制,,這里會(huì)依據(jù)業(yè)務(wù)應(yīng)用場(chǎng)景的需要可以采用多因素認(rèn)證MFA,,輕量級(jí)認(rèn)證算法等機(jī)制。
集成化:組件在基礎(chǔ)架構(gòu)內(nèi)的自適應(yīng),、與信息系統(tǒng)的聚合,,提升協(xié)同能力。
場(chǎng)景化:面向不同垂直行業(yè)的業(yè)務(wù)模式,,支持差異化應(yīng)用場(chǎng)景,。
3 分層跨域端到端E2E主動(dòng)安全視角
看待5G安全的第三個(gè)視角是端到端的主動(dòng)安全。需要考慮5G端到端的整體架構(gòu)以確保5G網(wǎng)絡(luò)的安全性,。端到端(E2E)的5G網(wǎng)絡(luò)架構(gòu)由下一代無線接入網(wǎng)絡(luò)(NG-RAN或CloudRAN),、多接入邊緣計(jì)算(MEC),核心網(wǎng)絡(luò)(Core),、數(shù)據(jù)網(wǎng)絡(luò)(DN)和云服務(wù)組成,。如前面所述,網(wǎng)絡(luò)切片(NS),、網(wǎng)絡(luò)功能虛擬化(NFV),、NFV管理和編排(MANO)和軟件定義網(wǎng)絡(luò)(SDN)是實(shí)現(xiàn)5G網(wǎng)絡(luò)架構(gòu)的重要技術(shù),。具體內(nèi)容如下圖所示:
5G分層分域和端到端的主動(dòng)安全
分層分域端到端的安全的設(shè)計(jì)關(guān)鍵是基于5G網(wǎng)絡(luò)架構(gòu)和安全參考模型,覆蓋如下幾個(gè)方面的內(nèi)容:
1)物理基礎(chǔ)設(shè)施安全,。
2)接入和傳輸網(wǎng)安全,。主要包括用戶和設(shè)備(UE)安全、空口安全,、接入和傳輸安全等,。
3)邊緣云安全MEC安全。UPF下沉,、MEC系統(tǒng)平臺(tái)安全,、邊云協(xié)同安全、UPF和MEC的集成和分離安全性等,。
4)核心網(wǎng)絡(luò)安全,。SBA安全性、漫游安全性,、異構(gòu)運(yùn)營商5G網(wǎng)絡(luò)邊界安全性等,。
5)端到端網(wǎng)絡(luò)切片安全。切片內(nèi),、切片間的安全隔離,,切片管理器的安全性,切片實(shí)例選擇安全性,、切片管理接口安全性,、跨切片的UE數(shù)據(jù)安全性、切片與其承載物理基礎(chǔ)設(shè)施間的認(rèn)證與信任機(jī)制等,。
6)SDN,、NFV、云和虛擬化的安全性,。
7)數(shù)據(jù)安全和隱私保護(hù),。數(shù)據(jù)生命周期安全,包括5G數(shù)據(jù)采集,、存儲(chǔ),、傳輸、共享交換,、使用和銷毀的安全性,,構(gòu)建數(shù)據(jù)資產(chǎn)圖譜和數(shù)據(jù)安全能力地圖并防止敏感信息泄露。
8)安全運(yùn)維,、管理和編排,。打通南向接口和北向接口,將安全能力“解構(gòu)解耦”,,按需通過軟件定義將安全能力“結(jié)構(gòu)”,,可基于服務(wù)鏈編排。5G網(wǎng)絡(luò)需要利用全面的端到端安全策略,,該策略應(yīng)覆蓋網(wǎng)絡(luò)的所有層,,包括應(yīng)用程序,信令和數(shù)據(jù)平面,。
9)接口安全,。
10)統(tǒng)一認(rèn)證框架。根據(jù)所承載和服務(wù)行業(yè)的安全認(rèn)證需求,,可以基于統(tǒng)一認(rèn)證框架,,采用二次認(rèn)證或分布式認(rèn)證相結(jié)合,采用輕量級(jí)認(rèn)證機(jī)制和算法,,更好地適配接入業(yè)務(wù)的屬性特點(diǎn),,發(fā)揮5G的優(yōu)勢(shì)。
展望和后續(xù)工作
本文重點(diǎn)從三個(gè)視角來探討如何解決5G端到端的安全問題,,因?yàn)槎说蕉说募軜?gòu)需要端到端的安全與之相適配,。5G安全問題的三個(gè)視角側(cè)重于威脅和評(píng)估基礎(chǔ)上的整體和體系化地解決問題,這次僅給出了思路和概要,,尚不能構(gòu)成完整的解決方案,。
從整體視角看待5G端到端的安全,并不意味著反對(duì)從某個(gè)具體場(chǎng)景或具體應(yīng)用的角度給出單一解決方法,。因此,,準(zhǔn)備從三個(gè)方面展開后續(xù)工作,一是根據(jù)具體需要選擇其中一個(gè)視角,,給出完整和詳細(xì)的解決方案,;二是根據(jù)具體需要,形成技術(shù)專題解決方案,,比如5G網(wǎng)絡(luò)切片安全解決方案等,;三是聚焦5G專網(wǎng)(如園區(qū)網(wǎng))場(chǎng)景,結(jié)合實(shí)驗(yàn),,形成5G園區(qū)網(wǎng)專網(wǎng)安全解決方案或報(bào)告,。