導讀:5G安全白皮書的密集發(fā)布,不僅回應了國際社會對于5G產(chǎn)品在安全問題上的擔憂,也表明當前5G安全問題已引發(fā)包括政府、企業(yè)及客戶在內(nèi)的產(chǎn)業(yè)鏈各方的全方位關(guān)注。
近日,華為發(fā)布了題為《與合作伙伴共同確保5G安全》的最新版網(wǎng)絡安全白皮書。該白皮書在專業(yè)技術(shù)分析的基礎上提出,在全球電信產(chǎn)業(yè)系統(tǒng)的密切協(xié)作下,5G的安全系數(shù)遠高于此前的任何一代網(wǎng)絡。此前,在2018年10月,美國也發(fā)布了《5G安全問題演變》的白皮書,該白皮書從政治、社會、技術(shù)等多角度闡釋了5G發(fā)展可能帶來的安全問題,并提出了應對建議。此外,中興、愛立信等多家企業(yè)也發(fā)布了自己的5G安全白皮書。
5G安全白皮書的密集發(fā)布,不僅回應了國際社會對于5G產(chǎn)品在安全問題上的擔憂,也表明當前5G安全問題已引發(fā)包括政府、企業(yè)及客戶在內(nèi)的產(chǎn)業(yè)鏈各方的全方位關(guān)注。
5G網(wǎng)絡安全問題不容忽視
5G網(wǎng)絡給社會帶來的變革是全方位的,其面臨的安全問題也是多領(lǐng)域的。既包括技術(shù),也包括終端;既包括接入,也包括輸出;既包括內(nèi)部,也包括外部;既包括本身,也包括應用。
5G終端的安全要求
5G終端安全通用要求包括用戶與信令數(shù)據(jù)的機密性保護、簽約憑證的安全存儲與處理、用戶隱私保護等多個方面。5G終端特殊安全要求包括對于超可靠低延遲通信的終端需要支持高安全、高可靠的安全機制,對于海量機器類通信終端需要支持輕量級的安全算法和協(xié)議,對于一些特殊行業(yè)需要專用的安全芯片,以及定制操作系統(tǒng)和特定的應用商店。
在網(wǎng)絡和用戶設備輔助方面,用戶設備輔助終端設備負責收集信息,將相鄰基站的扇區(qū)編號、信號強度等信息通過測量上報給網(wǎng)絡,網(wǎng)絡結(jié)合網(wǎng)絡拓撲、配置信息等相關(guān)數(shù)據(jù),對所有數(shù)據(jù)進行綜合分析,確認某個區(qū)域中是否存在偽基站,同時,通過GPS和三角測量等定位技術(shù),鎖定偽基站位置,從而徹底打擊偽基站。
網(wǎng)絡切片和編排安全問題
不同切片的隔離是切片網(wǎng)絡的基本要求。每個切片需要預配一個切片ID,當終端附著網(wǎng)絡時提供切片ID,然后在切片安全服務器中采取與該切片ID相對應的安全措施和算法,并為終端創(chuàng)建與切片ID綁定的認證矢量。因此,支持網(wǎng)絡切片的運營支撐系統(tǒng)需要進行安全態(tài)勢管理與監(jiān)測預警,利用各類安全探針,采用標準化的安全設備統(tǒng)一管控接口,并對安全事件進行上報;同時,根據(jù)安全威脅智能化生成相關(guān)的安全策略調(diào)整,并將這些策略調(diào)整下發(fā)到各個安全設備中,從而構(gòu)建起一個安全的防護體系。
網(wǎng)絡開放性的安全問題
雖然5G將提供移動性、會話、服務質(zhì)量和計費等功能的接口,還將開放管理和編排,讓第三方服務提供者可獨立實現(xiàn)網(wǎng)絡部署、更新和擴容。但是,相比現(xiàn)有的相對封閉的移動通信系統(tǒng)來說,5G網(wǎng)絡如果在開放授權(quán)過程中出現(xiàn)信任問題,那么惡意第三方將通過獲得的網(wǎng)絡操控能力對網(wǎng)絡發(fā)起攻擊,尤其是高級持續(xù)威脅攻擊、分布式拒絕服務、蠕蟲惡意軟件攻擊等將會規(guī)模更大而且更加頻繁。因此,隨著用戶(設備)種類增多、網(wǎng)絡虛擬化技術(shù)的引入,用戶、移動網(wǎng)絡運營商以及基礎設施提供商之間的信任問題也比以前的網(wǎng)絡更加復雜。同時,在網(wǎng)絡對外服務接口方面也需要進行認證授權(quán),并對沖突策略進行檢測,同時對相關(guān)權(quán)限進行控制和安全審計。
5G下移動邊緣計算本身的安全問題
移動邊緣計算服務器可以部署在網(wǎng)絡匯聚結(jié)點之后,也可以部署在基站內(nèi),流量將以更短的路由次數(shù)完成客戶端與服務器之間的傳遞,從而緩解欺詐、中間人攻擊等威脅。同時,移動邊緣計算通過對數(shù)據(jù)包的深度包解析來識別業(yè)務和用戶,并進行差異化的無線資源分配和數(shù)據(jù)包的時延保證。因此,移動邊緣計算本身的安全特別重要,需要考慮在5G環(huán)境下軟件定義網(wǎng)絡控制網(wǎng)元與轉(zhuǎn)發(fā)節(jié)點間的安全隔離和管理,以及軟件定義網(wǎng)絡流表的安全部署和正確執(zhí)行。
5G在車聯(lián)網(wǎng)和物聯(lián)網(wǎng)上的安全挑戰(zhàn)
車聯(lián)網(wǎng)要求空口時延低至1ms,而傳統(tǒng)的認證和加密流程等協(xié)議并未考慮超高可靠低時延的通信場景,為此要簡化和優(yōu)化原有安全上下文(包括密鑰和數(shù)據(jù)承載信息)管理流程,支持移動邊緣計算和隱私數(shù)據(jù)的保護。通常物聯(lián)網(wǎng)具備終端資源受限、網(wǎng)絡環(huán)境復雜、海量連接等特征,容易受到攻擊,等特征所以安全問題更是不能忽視。如果每個設備的每條消息都需要單獨認證,那么終端信令請求一旦超過網(wǎng)絡處理能力,則會觸發(fā)信令風暴。因此,5G對海量機器類通信需要有群組認證機制,需要采用輕量化的安全機制保證海量機器類通信在安全方面不要增加過多的能量消耗,還需要抗網(wǎng)絡攻擊機制以應對5G終端被攻擊者劫持和利用。
值得期待的3種安全機制
為了提高通信安全并且保護用戶的隱私,在繼承3G、4G網(wǎng)絡安全技術(shù)的基礎上,5G網(wǎng)絡又開發(fā)了多種全新的網(wǎng)絡安全機制,其中“網(wǎng)絡切片”、“多元可擴展認證”和“智能型主動防御”這三種安全機制最值得關(guān)注和期待。
網(wǎng)絡切片安全機制
網(wǎng)絡切片是5G及未來通信網(wǎng)絡中的一項關(guān)鍵技術(shù),其面向業(yè)務配置網(wǎng)絡的特性可以有效地助力垂直行業(yè)進行數(shù)字化轉(zhuǎn)型,不同移動終端的安全性能和對安全的需求在不同的應用場景下是完全不同的。例如,用于手機之類視頻播放的增強型移動寬帶終端,對終端認證、加解密的安全需求同長期演進技術(shù)類似;而傳感器式的終端由于計算能力有限、安全需求不高、對成本敏感,它僅需輕量級的認證、加解密算法;對于高可靠安全通信,終端則需要快速接入認證、加強密算法的支持。
多元信任模型
進入5G時代,移動通信網(wǎng)絡不只服務于個人消費者,更重要的是將服務于垂直行業(yè),衍生出極為豐富的新產(chǎn)品。5G時代不僅僅是更快的移動網(wǎng)絡或更強大的智能手機,更將產(chǎn)生諸如海量機器類通信和超可靠低延遲通信這些鏈接世界的新型業(yè)務。
5G網(wǎng)絡將融合傳統(tǒng)二元信任模型,并構(gòu)建多元信任模型。網(wǎng)絡和垂直行業(yè)可結(jié)合進行業(yè)務身份管理,使得業(yè)務運行更加高效,用戶的個性化需求也得以滿足。5G網(wǎng)絡面臨大量新增的物聯(lián)網(wǎng)設備和可穿戴設備,使用傳統(tǒng)的用戶管理機制在開戶、認證等方面成本過于高昂,已經(jīng)不能完全滿足5G用戶管理的需求,因此需要制定靈活可擴展的身份管理機制,根據(jù)業(yè)務特征及其新的安全威脅進行優(yōu)化,在安全和運營成本之間取得平衡。
智能化主動安全防御機制
5G是個開放的網(wǎng)絡,存在海量物聯(lián)網(wǎng)設備暴露在戶外、硬件資源受限、無人值守、易受黑客攻擊和控制等問題,這些問題將會使5G網(wǎng)絡面臨大量的網(wǎng)絡攻擊。如果采用現(xiàn)有的人工防御機制,不僅響應速度慢,而且防御成本將急劇增加,所以需要考慮采用智能化防御來自海量物聯(lián)網(wǎng)設備的安全威脅。此外,網(wǎng)絡攻擊日趨自動化,0day攻擊的可能性越來越大,5G網(wǎng)絡需要考慮由被動變主動的安全防御機制。
技術(shù)與監(jiān)管并重將成為5G安全問題的解決愿景
誠如中興在其《5G安全白皮書》所描述的那樣,“如同歷史上所有偉大的技術(shù)一樣,5G也需要經(jīng)歷兩次發(fā)明過程,一次是5G本身技術(shù)的研發(fā),另一次是5G安全技術(shù)的研發(fā)?!彪S著網(wǎng)絡規(guī)模的不斷擴大,5G已經(jīng)從技術(shù)能力上為放號做好準備。然而如何讓市場(尤其是垂直行業(yè))放心的、大規(guī)模的使用5G網(wǎng)絡,是擺在產(chǎn)業(yè)界面前的新挑戰(zhàn)。為了讓5G走的更遠,安全是非常重要的一環(huán)。5G網(wǎng)絡安全不僅僅是一個技術(shù)問題,對安全監(jiān)管也提出了更高的要求,需要新的法律框架、監(jiān)管模式和評估認證體系,同時對現(xiàn)有的網(wǎng)絡治理體系、運維體系和客服體系也提出了挑戰(zhàn)。
重視核心基礎技術(shù)的安全及積累
5G技術(shù)是眾多通信技術(shù)、標準的商用化集合。無論是何種類型的應用場景,最終的實現(xiàn)均依靠落地后的終端、基站、承載網(wǎng)、核心網(wǎng)等設備。以華為、中國移動等為代表的中國企業(yè)早在多年前就積極參與了5G標準規(guī)范的制定及產(chǎn)品基礎研發(fā),積累了核心技術(shù)的同時也掌握了部分標準話語權(quán)。在未來,我國應當繼續(xù)重視這些掌握核心技術(shù)企業(yè)的情況,確保5G基礎設備和技術(shù)的安全可控。
研究制定5G相關(guān)法規(guī)、監(jiān)管等措施
對于新型應用場景,如VR、智能網(wǎng)聯(lián)汽車、大規(guī)模工業(yè)傳感器等,目前尚未有成型的法律法規(guī)及監(jiān)管措施。面對新業(yè)態(tài),新的領(lǐng)域也需要出臺相關(guān)法律法規(guī)以規(guī)范使用情況,只有這樣才能讓5G新技術(shù)更好地服務于廣大人民群眾的日常生活。
進一步加強對關(guān)鍵信息基礎設施保護
5G時代的到來,如智能網(wǎng)聯(lián)汽車、VR輔助醫(yī)療、大規(guī)模傳感器網(wǎng)絡等多類型的海量數(shù)據(jù)將會匯入各大運營商的5G承載網(wǎng)中,5G承載網(wǎng)必定會成為對人民群眾乃至國家安全影響重大的關(guān)鍵信息基礎設施,這對5G承載網(wǎng)絡的安全防護也提出了更高的要求。
關(guān)注新業(yè)態(tài)網(wǎng)絡安全
在5G時代,場景的多樣化使得管理角度需要實現(xiàn)以網(wǎng)絡為中心到以數(shù)據(jù)為中心的轉(zhuǎn)變。有以下幾個做法:一是對數(shù)據(jù)進行分類分級,不同級別的數(shù)據(jù)實現(xiàn)差異化管理措施;二是關(guān)注處理大量數(shù)據(jù)的企業(yè),審查其合規(guī)性;三是密切關(guān)注數(shù)據(jù)泄露事件,迅速響應處理。
5G網(wǎng)絡是一個全融合的網(wǎng)絡,其安全問題也是連接“移動智能終端、寬帶和云”的系統(tǒng)化安全問題,更是涉及物理安全、傳輸安全以及信息安全的全方位安全問題,并由此產(chǎn)生了如大數(shù)據(jù)安全保護、虛擬化網(wǎng)絡安全、智能終端安全等關(guān)鍵安全問題。此外,超脫于技術(shù)之上的是一套監(jiān)管體系的構(gòu)建。因為技術(shù)是不斷發(fā)展的,而監(jiān)管體制卻是5G安全的恒久保障,唯有做到技術(shù)與體制培育并重,才能讓5G網(wǎng)絡真正為人們的生產(chǎn)、生活帶來更多的便利。