首頁 > 關于我們 > 新聞動態 > 深度解讀

不知風險 何談5G

發布時間 2021-01-26

5G作為萬物互聯的基礎信息網絡,被稱為“網絡的網絡”和“系統的系統”,支持“高速泛在”和“智慧交互”的全場景化融合創新應用?!?G作為支撐經濟社會數字化、網絡化、智能化轉型的關鍵新型基礎設施,在穩投資、促消費、助升級、培植經濟發展新動能等方面潛力巨大”。


5G 網絡為了能夠給產業側垂直行業和消費者提供ROADS (Real- time, On-Demand, All online, DIY, Social) 的體驗,使用了諸如網絡功能虛擬化(NFV)、用戶面和控制面隔離(CUPS)、網絡切片(NS)、軟件定義網絡(SDN)和移動/多接入邊緣計算(MEC)之類的技術,構建了端到端能夠協同的云化架構,這一架構為在各個環節實現敏捷、自動化智能提供了可能。


5G架構由資源&功能層、網絡層和服務層構成。如下圖所示:


1.png

5G架構圖


1、資源和功能層中,在 SDN、NFV 等技術支撐下,基于物理基礎設施實現接入網RAN、傳輸網絡、MEC邊緣以及核心網絡的云化和可編程化。資源和功能層的另一重要能力是可編程控制,由SDN 控制器以及底層的轉發節點組成,SDN 控制器根據網絡的拓撲以及具體的業務需求生成特定的數據轉發路徑。


5G通過SDN架構實現端到端網絡和業務的協同,提升業務的自動開通部署和智能運維能力,同時需要面向高質量的垂直行業客戶需求,提供網絡資源的隔離以及層次化的網絡保障機制,實現時延控制及分段的故障定位功能。


2、網絡層的關鍵功能是跨接入網CloudRAN(華為“利用云重構無線接入網絡”)、MEC和核心網的端到端網絡切片。利用SDN、NFV等技術可以在通用網絡基礎結構之上,將單個物理網絡劃分為多個虛擬網絡實現靈活且可擴展的網絡切片。網絡切片在邏輯上是隔離的,這種結構可以實現面向服務的網絡視圖,以服務化的方式為不同類型的客戶群提供可定制化的服務支持,同時很好地滿足獨立運維的需求。


作為5G承載多種類型垂直業務基礎的端到端網絡切片之間共享公共資源和組件,例如網絡切片選擇功能等(NSSF)。網絡切片可以分配有單獨的網絡功能組件,例如接入和移動性管理功能(AMF),會話管理功能(SMF),策略控制功能(PCF)等,就是通過這些功能組件來滿足特定網絡切片的專用功能。


此外,控制面功能和用戶面功能(CPF/UPF)分離簡化了5G核心網的基于服務的體系結構Service-Based Architecture(SBA)??刂泼娴哪K化、組件化和用戶面的可編程化使得5G網絡功能的可編排成為可能,可以根據不同需求選擇相應的控制面 / 用戶面功能以實現網絡功能的按需配置。網絡能力開放功能(NEF)進行網絡能力的抽象及分析或以API的形式開放給第三方。


5GC的用戶面功能(UPF)下沉到靠近基站的邊緣MEC,作為MEC的一個網元,負責將邊緣網絡的流量分流到MEC,二者在邏輯上UPF與MEC是分離的、松耦合的。在部署上,可以集成部署統一承載,也可以獨立部署,主要取決于具體的業務場景的需求。


3、5G支撐多種網絡應用場景,滿足多種業務承載需求,服務層主要實現為不同的垂直行業提供端到端的服務創建和服務管理能力,同時,按需將網絡能力開放給高質量或有特殊業務要求的客戶。


4、架構圖右側展現的主要是5G端到端的協同管控、服務編排以及全生命周期的服務管理和安全保障能力。5G通過開放和標準化的北向接口(NBI)來對接上層端到端業務編排系統,共同實現端到端的業務流程自動化服務編排、連接、監控和管理。


從網絡安全方面看,安全能力的服務化編排和可視化管控也應該包含在內。當然,有關5G面臨的安全風險和解決思路正是本文要探討的話題。



5G面臨的威脅和端到端安全挑戰


5G 大部分的威脅和挑戰與4G 一致,但需要重點考慮新業務、新架構、新技術給5G 網絡帶來的安全挑戰。3GPP SA3 工作組對5G 安全的威脅和風險做了十七個方面的分析,包括:安全架構、接入認證、安全上下文、密鑰管理、RAN(無線接入網)安全、下一代UE 安全、授權、用戶注冊信息隱私保護、網絡切片安全、網絡域安全、安全可視化& 安全配置管理、憑證分發、安全的互聯互通和演進、小數據安全、廣播/ 多播安全、管理面安全和密碼算法的風險分析。


1、基站自身服務可用性面臨著外部空口無線信號干擾和協議攻擊的威脅。

2、5G 核心網的部分網元如統一數據管理(UDM)會處理、保存用戶的個人信息,所以可能面臨用戶信息泄露和服務可用性攻擊的威脅。

3、需要考慮網絡切片業務服務商的接入認證。

4、在新技術方面,就需要考慮量子計算等新技術對傳統密碼算法的影響。

5、需要考慮SDN、NFV、MEC、云和虛擬化等面臨的安全威脅和挑戰。


★ 5G端到端的安全威脅視圖


5G網絡面臨的安全威脅和攻擊面隨著其開放性而不斷擴大,所以基于業務場景梳理所面臨的安全威脅,有針對性的采取安全措施降低風險,收縮攻擊面成為5G網絡自身及5G+融合發展歷程中需要持續解決的問題。主要包括如下幾方面。


1) 網絡的物理結構發生變化,越來越多的應用程序和用例出于本地化計算和超低延遲的需要,需要計算和存儲更靠近邊緣和數據產生的位置,這樣會有更多的能力和服務下沉到MEC,增大MEC的暴露風險。


2) 5G網絡引入了一些新技術、新機制和基于軟件的體系結構而隨之引入的風險。例如SDN、軟件定義接入(SDA/CloudRAN)、軟件定義無線電(SDR)、控制面和用戶面隔離機制(CUPS),MEC,網絡切片(NS)和NFV等,基于服務的、云化的、容器化和虛擬化的5G網絡架構在更好地支撐垂直行業不斷增長的新業務需求和新業務場景的同時,也擴大了暴露面和攻擊面。


3) 跨越接入、邊緣和核心的大部分威脅面是由于網絡架構更加靈活并向互聯網開放而引起的。網絡能力開放,多類型更大范圍更多數量的設備和用戶以及供應商會按需接入網絡,甚至會管理和配置5G網絡,都會加劇因開放而帶來的風險。


2.png

5G端到端威脅視圖


★ 產業側與網絡側融合應用帶來的安全挑戰


5G作為“新基建”服務于垂直行業并帶來日益豐富的服務,不同的業務應用場景將具有不同的安全性要求。例如,物聯網服務涉及復雜的應用程序和數千億個連接(到2025年全球預計750億),同時,物聯網設備的計算能力一般較低,電池壽命要求較高。如果采用傳統的單用戶身份驗證方式則很可能會產生高昂的成本開銷并可能導致信令風暴,同時也會增加物聯網設備在計算和電池方面的負擔。再如,車聯網(IoV)服務對網絡延遲和可靠性要求苛刻,甚至通信中的安全威脅可能危及生命。


因此,需要特別關注產業側和5G網絡側相融合而產生的融合安全挑戰,這些挑戰包括但不限于如下幾個方面:


1) 產業側和5G網絡側融合發展中,對滿足多個應用場景的統一身份驗證框架提出了嚴峻挑戰。統一身份認證框架需要滿足兩側的網絡訪問身份驗證要求,包括終端設備身份驗證,用戶身份驗證,多種身份驗證方法和多種身份驗證機制。


2) 降低用戶和設備在身份驗證、身份管理和數據傳輸開銷等方面的挑戰。比如接入時的身份驗證機制,服務訪問期間的身份驗證機制,用戶和設備在移動期間的安全上下文(場景)切換機制以及網絡節點上的數據加解密機制等。


3) 需要對用戶面(UPF)數據提供按需保護的挑戰。根據服務類型、部署方式(與MEC集成或分開)和安全要求部署相適配的安全保護機制,比如采用端點加密、輕量級加密算法等機制。


4) 需要滿足網絡和安全能力均具有彈性和伸縮性要求的挑戰。 例如,當網絡水平擴展或收縮時,能夠及時啟動或終止某些安全功能實例以滿足安全要求。


★ IT/ICT和DT的融合網絡架構帶來的安全挑戰


為了提供更高的系統靈活性和效率,5G在網絡組織上采用多天線技術(MIMO)、網絡切片技術(NS)、軟件定義網絡(SDN)網絡功能虛擬化(NFV)等,引入邊緣計算(MEC)等技術,大大縮短端到端的傳輸時延,有效提升了應用處理效率。在運營管理上采用大數據和人工智能技術,這些與原有移動網絡架構完全迥異的深刻變化,新技術的引入也給5G網絡安全帶來了新挑戰:


1) 虛擬化和開源軟件帶來的安全挑戰。5G網絡利用虛擬化技術實現了軟件和硬件的解耦,網絡功能通過軟件實現,不再依賴于特殊的通信硬件平臺,在方便靈活的同時首先需要特別關注虛擬化安全風險。其次,網絡虛擬化使用大量的開源和第三方軟件,這增加了引入安全漏洞的可能性。通過SDN架構實現端到端網絡和業務的協同,提升業務的自動開通部署和智能運維能力的同時需要格外注意SDN的安全風險。


2) 網絡切片安全。5G網絡切片提供差異化的網絡服務的同時也帶來了新的安全挑戰。例如,網絡切片內以及切片之間的資源和安全隔離問題,跨網絡切片的安全策略調度和用戶設備(UE)的身份認證問題,跨網絡切片的用戶設備(UE)的數據封裝問題,網絡切片管理器與其目標物理主機平臺之間相互的身份認證問題以防實例化假冒攻擊,以及針對網絡切片的降維度或降級攻擊等。


3) MEC系統平臺的安全問題。移動多接入訪問邊緣計算(MEC)站點通常部署在物理條件相對較差的機房中,也難以復用核心網絡側的安全保障措施,在物理安全保證和網絡設備的訪問控制方面面臨相對較大的風險。在數據安全方面,5G園區專網中企業通常要求數據不出園區,要求MEC部署在園區側同時確保MEC系統平臺中的數據安全。此外,園區側擔心安全攻擊可能會從運營商的網絡滲透到園區側,而運營商也認為園區側網絡不可控且不可信,可能會將安全威脅或病毒傳播到運營商側。為了應對這些安全要求和挑戰,必須采取安全、細顆粒度的隔離措施,以確保運營商側網絡與園區側網絡之間的相互信任和通信,明確雙方各自的安全邊界,同時充分利用MEC的優勢,確保安全性。


★ 網絡能力開放帶來的安全挑戰


5G核心網絡(CN)的功能架構引入了NEF功能組件,以實現網絡能力的開放性。在南向接口(SBI)方面,NEF與5G核心網中的各種服務網元進行通信。在北向接口(NBI)方面,NEF將向垂直行業不同的應用程序功能(AF)開放API,通過集中式API網關,NEF可以實現5G核心網絡功能的統一開放性。


由于調用NEF API的AF可能來自諸如Internet之類的外部運營商或垂直行業客戶,因此這種開放性暴露的風險可能會對5G核心網絡乃至整個5G網絡帶來嚴重的安全威脅。5G核心網絡的網元提供服務開放性并通過API相互調用所開放的能力。因此,在5G網絡上,需要在核心網絡和外部第三方應用程序之間以及核心網絡的內部網元NE之間,支持更高和更靈活的安全功能,以實現安全能力的服務化調用。


★ 多種接入技術帶來的安全挑戰


5G網絡支持多種接入技術,例如WLAN、LTE、固定網絡和新的5G無線接入技術(RAT),不同的接入技術具有不同的安全要求和身份驗證機制。另外,用戶可以具有多個終端,并且一個終端可以支持多種接入方法。當終端在不同的接入方式之間切換時,或者用戶在不同的終端上使用相同的服務時,需要進行快速認證,以保證服務的連續性,從而獲得更好的用戶體驗。


因此,5G網絡需要建立統一的認證框架,構建一個統一的身份管理系統,以集成不同的接入認證方法和身份驗證方法,并優化現有的安全認證協議,以提高在異構網絡之間切換終端的安全認證效率,確保用戶在終端或接入方式之間切換的業務連續性。


★ 數據和用戶隱私面臨的安全挑戰


5G網絡上服務和場景的多樣性以及網絡的開放性增加了用戶和設備(UE)隱私信息被泄露的風險。 例如,在5G+智能醫療場景中,有關患者的機密信息(例如病歷、處方、治療方法和治療計劃等)在收集、存儲、傳輸和使用過程中有被泄漏或篡改的風險?;蛘咴?G+智能交通場景中,有關車輛位置和駕駛軌跡之類的私人信息也可能被泄漏,并被非法追蹤和使用。因此,對5G網絡的用戶隱私保護和數據安全提出了更高的要求。 主要的安全威脅如下:


1) 5G網絡是具有多種接入技術的異構網絡,用戶隱私和數據分散在網絡的功能實體上,數據挖掘技術使第三方能夠匯聚和分析分散的私人數據并獲得更多私人用戶信息。


2) 5G網絡需要優化和糾正4G網絡上的國際移動用戶身份(IMSI)漏洞,并使用增強的安全機制來保護用戶身份免遭泄露,同時防止對用戶進行降維攻擊。


3) 網絡攻擊者還可以通過使用UE位置信息或空中接口數據包的連續性來跟蹤和攻擊UE。 因此,5G中用戶設備(UE)的位置隱私數據面臨泄露和被跟蹤的安全威脅。


4) 5G網絡需要在接入技術和運營商之間切換時充分考慮用戶數據面臨的隱私暴露風險,并制定涵蓋用戶身份,位置和訪問服務的全面隱私保護策略。

上一篇 下一篇