从2G到4G,移动网络已成为日常生活不可或缺的符号,而5G的到来更将渗透到未来社会的各个领域,它提供了更快的速度,更可靠的连接,成功推动了万物互联的时代。与此同时,5G移动通信技术也将面临新业务、新架构、新技术带来的安全挑战和机遇,以及更高的用户隐私保护需求。
仅就质量而言,5G领先于4G,风险也远大于4G
从用户的角度来看,5G本质上不同于任何先前的移动代。从长远来看,由5G支持的机器类型通信将成为5G的战略差异和独特卖点。5G网络将成为促进数字化、自动化以及M2M和运输解决方案等连接的关键基础设施。因此,5G网络安全也面临重大风险。
为什么5G网络会带来更大的安全隐患
根据2019年布鲁金斯大学的报告,5G网络比4G更容易受到攻击:
- 5G网络从传统基于硬件的集中式交换转变为分布式、软件定义的数字化路由,从而更易受到攻击。
- 以前由物理设备执行的高级网络功能现在已通过软件进行虚拟化,从而增加了网络漏洞。
- 即使网络中的软件漏洞已被锁定,但5G网络仍由软件管理,这意味着获得网络管理软件控制权的攻击者也可以控制网络。
- 5G带宽的急剧扩张创造了更多的攻击途径。
- 未来大量智能设备与物联网的连接也将导致网络漏洞激增。
5G三大场景的安全性划分
首先我们知道5G有三大典型业务场景,分别是增强型移动宽带(eMBB)、高可靠低时延连接(uRLLC)、海量物联网(mMTC)。他们对于安全性都有各自不同的需求:
- eMBB的主要特点是提供更高的体验速率和更大带宽的接入能力,用于满足诸如虚拟现实(VR)、大视频等对带宽有极高要求的业务,但这也需要更高的安全处理性能,支持外部网络二次认证以及已知漏洞的修补能力;
- uRLLC能够提供低时延和高可靠的信息交互能力,端到端的时延在毫秒级别,主要用于车联网、远程医疗等应用。网络安全通常与网络性能效率是互为矛盾的,增强网络安全防护机制,必然以牺牲网络性能、降低网络效率为代价,因此uRLLC需要低时延的安全算法/协议、边缘计算的安全架构和隐私、关键数据的保护;
- mMTC能够提供更高连接密度时优化的信令控制能力,支持大规模、低成本、低能耗IoT设备的高效接入和管理,但它需要轻量化的安全,需要群组认证以及能够抵抗DDos攻击。
5G的不同安全挑战
5G对不同场景提供的接入方式和网络服务方式存在较大差异,支持的业务交付方式也不同,安全需求的差异性非常明显。特别是物联网应用场景带来的大连接认证、高可用性、低时延、低能耗等安全需求,以及5G引入的 SDN/NFV、虚拟化、移动边缘计算和异构无线网络融合等新技术带来的变化和安全风险,对5G移动通信系统的接入、切片安全、数据保护和用户隐私保护等方面提出了全新的挑战。
接入安全
5G 时代网络不仅用于人与人的通信,还用于人与物、物与物的通信,为此,5G 网络需要支持多样化的接入终端,多种接入类型和多种接入技术。
- 从终端类型看,分为有卡终端和无卡终端。有卡终端以 SIM/USIM 卡作为用户身份和密钥载体,具备一定的计算和存储能力;无卡终端没有内置专用载体存储身份密钥信息,通常以 IP 地址或者 MAC 作为自己的身份,用数字证书提供安全保障;
- 从接入类型看,5G 网络需要支持 3GPP 接入、非 3GPP 接入、可信接入和非信任接入;
- 从接入技术看,5G 网络除了支持 5G 新无线接入技术之外,还要兼容 3G 接入、LTE 接入、WLAN和固定接入等技术。
5G 网络是融合了多种类型的终端、接入类型和接入技术的异构型网络,而不同的终端,不同的接入类型和接入技术存在不同的安全需求,使用不同的认证协议和密钥协商机制,5G 网络需要研究构建统一的认证框架来融合不同的接入认证机制,满足具有不同安全能力的终端的安全接入需求。
切片安全
5G 网络切片是基于无线接入网、承载网与核心网基础设施,以及网络虚拟化技术构建的一个面向不同业务特征的逻辑网络。运营商可以为不同行业应用在共享的网络基础设施上通过能力开放、智能调度、安全隔离等技术分别构建彼此隔离的 5G 网络切片,提供差异化的网络服务。
同样,网络切片技术也对安全提出了更高的要求。例如,切片授权与接入控制;切片间的资源冲突;切片间的安全隔离;切片用户的隐私保护等。切片技术的好处是可以隔离故障网元,做到网络业务的隔离。但从另外一个角度来看,切片依赖于网络资源和业务类型以及流量,要精准地把握,否则将无法组织好跟业务对应的切片。网络切片需要提供不同切片实例之间的隔离机制,防止本切片内的资源被其他类型网络切片中网络节点非法访问。
边缘计算安全
多接入边缘计算(MEC)作为5G网络新型网络架构之一,采用分布式网络架构,把服务能力和应用推进到网络边缘,从而构建一个具备高性能、低延迟与高带宽的电信级服务环境。边缘计算优势是就近处理,减少了对敏感数据泄露的风险,不足的之处是,由于边缘计算不是集中的云计算,防护能力弱,本身易受攻击,并且在管理方面由原来集中管理内容监管变成分散到各边缘节点,这又给管理上增加了额外的难度。
典型的MEC承载了部分核心网功能、运营商增值业务以及垂直行业业务等,并与无线接入网络、核心网、企业网络、互联网等多个外部网络互联。从总体上看,MEC 是中心计算的延伸,既继承了中心计算的优势,也面临和中心计算相似的威胁;具体来看,由于在物理位置、网络边界、客户主体、业务类型等多方面发生了变化,导致 MEC 在组网架构与运营模式上与传统电信网存在较大差异,因此在安全性方面也面临新的挑战。
隐私保护
5G 网络需要为不同业务场景提供差异化安全服务,能够适应多种网络接入方式及新型网络架构。这些新场景、新架构和新技术都让 5G 网络有了更高的隐私保护需求。另外,5G 网络针对垂直行业用户会产生大量的敏感信息,迫切需要在5G开放网络环境之上,采取措施保证行业用户的隐私安全。5G网络将启用各种新型应用程序,大量敏感数据将通过5G网络传输,在不同使用情况下的隐私保护可能会根据安全要求(例如位置隐私,身份隐私)而有所不同。例如,车联网可以监控我们的活动路线,智慧城市应用可以收集我们的生活方式信息。在5G场景下,如何实现对隐私数据的分级,提高抵抗大数据攻击的隐私保护的能力将会成为一个亟待解决的问题。
5G安全标准化组织
目前对5G安全标准进行研究的主要有3GPP SA3、ETSI NFV 和 ITU-T SG17、NGMN 等多个国际标准化组织。
3GPP
2017年12月,3GPP批准了5G NR非独立(NSA)规范,随后于2018年6月通过了独立(SA)规范,完成了5G第一阶段(3GPP版本15)的无线电部分。其中,3GPP安全工作组(SA3)负责5G网络安全构架设计。在 2016 年 2 月召开的第 82 次会议上,3GPP SA3 开始了 5G 安全立项(下一代系统安全)方面的研究工作,该研究项目承接 SA2 的 5G 研究,收集、分析和研究下一代网络中潜在的安全威胁和需求,同时与 SA2、RAN2 和 RAN3 合作开展下一代网络的安全架构和接入网安全研究。在 2017 年3月召开的第 86 次会议上,3GPP SA3开始了5G安全标准立项 5G System and Security Architecture-Phase 1 的标准工作,主要侧重安全框架、接入安全、用户数据的机密性和完整性保护、移动性和会话管理安全、用户身份的隐私保护以及与 EPS(演进的分组系统)的互通等相关的工作,后续3GPP在第二阶段开展了切片安全、能力开放安全、256 比特密码算法等相关标准工作。2018年9月,在3GPP SA3安全研究组第92次会议上,由中国移动主导的5G虚拟化网元安全保障研究项目成功立项。该项目填补了业界在虚拟化网元安全保障及评估标准领域的空白,获得了包括运营商、设备厂商、研究机构等在内的10家公司共签支持。
ETSI
ETSI 主要针对 NFV 的安全进行了研究,在 NFV 下专门成立了安全子组对 NFV 安全进行深入研究,主要聚焦 NFV 安全架构、隐私保护、合法监听、MANO 安全、证书管理、安全管理、安全部署等方面的研究和标准化制定。ONF 和 ITU-T 在 SDN 安全方面也进行了相关的标准化工作。
NGMN
2014年,由20多个国际领先运营商CTO组成的NGMN理事会决定将NGMN的活动重点放在定义5G的端到端要求上。2015年3月,NGMN 发布了5G白皮书,表达了其在 5G 愿景、需求、技术与架构、频谱、IPR 生态、以及路线图等方面的观点,旨在指导未来技术平台和相关标准的开发,满足未来的最终用户需求。2017年,NGMN 成立了正式的 SCT 安全工作组,全面开展 5G 端到端架构、5G 能力开放,以及车联网等方面的安全技术工作。在《5G 端到端架构框架》白皮书中,NGMN 分别从网络层、业务使能层、业务应用层、管理与编排、终端设备几个方面阐述了 5G 安全的技术需求。NGMN还分析了5G采用网络切片技术后可能面临的安全威胁和安全缺陷。
总结
4G时代,我们已经见证了不少网络安全事故,在即将到来的5G时代,新型业务场景不断涌现,新技术发展带来的安全挑战同样不容忽视。目前5G 网络安全标准化工作正在全面展开,未来5G的发展也将随着实际应用的落地而不断完善。
