閱讀: 187
目前在國家主管部門的領(lǐng)導(dǎo)下,中國5G的建設(shè)和發(fā)展速度越來越快,廣電也擁有自己的5G牌照,也會參與到整個5G的建設(shè)中來。5G通信技術(shù)采用了很多新的技術(shù)以及不同的組網(wǎng)方式來滿足不同的場景的業(yè)務(wù)需求,而新技術(shù)新業(yè)務(wù)的使用也必將帶來新的安全需求。我們需要在建設(shè)5G網(wǎng)絡(luò)的同時高度關(guān)注網(wǎng)絡(luò)安全,才能保證整個5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)的安全,否則將會給社會和人民生活帶來嚴(yán)重?fù)p失。
2019年6月,工信部正式向中國電信、中國移動、中國聯(lián)通以及中國廣電發(fā)放5G商用牌照,中國廣電成為我國境內(nèi)第四家5G基礎(chǔ)電信運(yùn)營企業(yè)。近期,工信部向中國廣電頒發(fā)了4.9GHz頻段5G試驗頻率使用許可,同意其在北京等16個城市部署5G網(wǎng)絡(luò),2020年2月九部委聯(lián)合印發(fā)《全國有線電視網(wǎng)絡(luò)整合發(fā)展實施方案》,明確全國廣電一網(wǎng)的整合與組建方案,由中國廣電主導(dǎo),建設(shè)具有廣電特色的5G網(wǎng)絡(luò)并賦能有線電視網(wǎng)絡(luò),由此可見5G是廣電未來發(fā)展的重要方向。
5G網(wǎng)絡(luò)是未來物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市、智慧家庭等萬物互聯(lián)的基礎(chǔ)。5G網(wǎng)絡(luò)的高帶寬、低時延、大連接特性,將大幅度提升全社會各產(chǎn)業(yè)的信息化水平。它不僅提升了人與人之間通信的速度和效率,還將有效拓展人與物、物與物之間的連接水平和通信能力。5G將滲透到萬物互聯(lián)的各個領(lǐng)域,極大豐富移動通信網(wǎng)絡(luò)的業(yè)務(wù)范疇,并將逐步形成完善的生態(tài)體系。
5G采用了很多不同于4G的新技術(shù),以適應(yīng)多種應(yīng)用場景的需求,新技術(shù)往往是“雙刃劍”,帶來便利的同時也會形成新的挑戰(zhàn)。5G網(wǎng)絡(luò)架構(gòu)引入新的技術(shù)SDN、NFV來提高系統(tǒng)的靈活性和效率,同時降低成本;但由于SDN、NFV使網(wǎng)絡(luò)邊界變得十分模糊,以前依賴物理邊界防護(hù)的安全機(jī)制難以得到應(yīng)用。為了滿足低時延業(yè)務(wù),在5G接入點(diǎn)也將部署大量的MEC節(jié)點(diǎn),MEC節(jié)點(diǎn)也將采用云化的部署方式,同樣面臨各種各樣的安全風(fēng)險。
MEC安全需求
MEC通過將計算存儲能力與業(yè)務(wù)服務(wù)能力向網(wǎng)絡(luò)邊緣遷移,使應(yīng)用、服務(wù)和內(nèi)容可以實現(xiàn)本地化、近距離、分布式部署,從而一定程度解決了5G增強(qiáng)移動寬帶、海量機(jī)器類通信、超高可靠低時延通信等技術(shù)場景的業(yè)務(wù)需求。邊緣節(jié)點(diǎn)具備一定的規(guī)模后形成邊緣云。位于接入機(jī)房處的邊緣云規(guī)模較小,容易遭受物理攻擊,但距離用戶終端最近,能夠為業(yè)務(wù)提供超低時延保障。位于邊緣機(jī)房的邊緣云規(guī)模較大,雖然時延相對前者較大,但可靠性、安全性更高。
MEC為5G帶來便利的同時也帶來了新的安全需求,主要包括兩個方面:MEC應(yīng)用的安全需求和MEC基礎(chǔ)設(shè)施的安全需求:
- MEC應(yīng)用的安全需求
5G垂直應(yīng)用落地的一大關(guān)鍵是在MEC邊緣云上部署可信的第三方應(yīng)用。然而,目前仍缺少對MEC應(yīng)用進(jìn)行安全檢查的安全規(guī)范。惡意MEC應(yīng)用除了會嘗試耗盡它所運(yùn)行的MEC主機(jī)的計算、網(wǎng)絡(luò)、存儲資源外,因為緊鄰在基站側(cè),惡意MEC可以利用無線和網(wǎng)絡(luò)能力開放接口重新配置無線接入網(wǎng)以達(dá)到消耗競爭對手MEC應(yīng)用分配到的無線資源。此外,惡意MEC應(yīng)用還可在本地環(huán)境搜索易受攻擊的設(shè)備,執(zhí)行破解密碼等程序。更為嚴(yán)重的是,運(yùn)營商核心網(wǎng)用戶面網(wǎng)元UPF常與MEC應(yīng)用共平臺部署,進(jìn)一步擴(kuò)大核心網(wǎng)的攻擊面。
因此,在將MEC應(yīng)用實例化到5G網(wǎng)絡(luò)前,需要考慮MEC應(yīng)用的安全需求。首先,要確保MEC應(yīng)用來自可信的第三方應(yīng)用提供商,可以通過對鏡像進(jìn)行簽名驗證來實現(xiàn);其次,要確保上傳的MEC鏡像未經(jīng)過非法篡改,可以通過完整性校驗實現(xiàn);最后,需要在沙箱中檢測MEC應(yīng)用是否存在攻擊行為及虛假計費(fèi)行為。因為5G中第三方應(yīng)用的計費(fèi)從核心網(wǎng)下沉到邊緣側(cè),繞過了核心網(wǎng)的有力監(jiān)控,因此,針對邊緣應(yīng)用的計費(fèi)行為需要重點(diǎn)關(guān)注。
- MEC基礎(chǔ)設(shè)施的安全需求
MEC節(jié)點(diǎn)靠近網(wǎng)絡(luò)的邊緣,外部環(huán)境可信度降低,運(yùn)營商的管理控制能力減弱。攻擊者甚至可以通過物理攻擊的手段(如放火、砸毀機(jī)房等)使本地MEC節(jié)點(diǎn)失效。此外,MEC自身資源有限、安全能力不夠完善,可抵御的攻擊種類和抵御單個攻擊的強(qiáng)度不夠,容易被攻擊。
因此,MEC基礎(chǔ)設(shè)施也存在著安全防護(hù)需求。這些需求分為包括兩個部分:物理基礎(chǔ)設(shè)施防護(hù)需求和虛擬化基礎(chǔ)設(shè)施防護(hù)需求。
- 物理基礎(chǔ)設(shè)施安全防護(hù)要確保物理環(huán)境的安全。由于位于網(wǎng)絡(luò)邊緣側(cè)且分布式部署,邊緣機(jī)房往往管理力度不夠,相對于云服務(wù)器,更容易遭受物理攻擊和物理端口被竊聽的風(fēng)險?赏ㄟ^加鎖、人員管理等方式保障物理環(huán)境安全。其次,可信計算和可信IO接入的引入也可以保障物理服務(wù)器的可信。
- 虛擬基礎(chǔ)設(shè)施需要應(yīng)對多維度的安全風(fēng)險,包括宿主機(jī)操作系統(tǒng)、容器和虛擬機(jī)。為加強(qiáng)宿主機(jī)操作系統(tǒng)安全性,可以對操作系統(tǒng)進(jìn)行基礎(chǔ)檢查、漏洞掃描、病毒和木馬防范、升級及補(bǔ)丁管理;為加強(qiáng)容器和虛擬機(jī)安全性,可設(shè)計有效的隔離機(jī)制,關(guān)閉無關(guān)端口、并對東西向流量進(jìn)行安全檢測。
SDN/NFV安全需求
5G新的網(wǎng)絡(luò)架構(gòu)引入了SDN、NFV技術(shù),提供更靈活、更高效、更低成本的網(wǎng)絡(luò)服務(wù)。SDN/NFV在與5G融合的過程中,也給5G移動通信網(wǎng)帶來了新的攻擊面。
- SDN風(fēng)險和安全需求
SDN控制器是傳輸網(wǎng)和核心網(wǎng)網(wǎng)絡(luò)調(diào)度的中心,其本身存在不少安全脆弱點(diǎn)。作為網(wǎng)絡(luò)的“大腦”,當(dāng)攻擊者攻破控制器,就可以向所有的網(wǎng)絡(luò)設(shè)施發(fā)送指令,很容易使整個網(wǎng)絡(luò)癱瘓。因此,設(shè)計一個安全可靠的SDN控制器對于移動通信網(wǎng)來說是必不可少的。
安全可靠的SDN控制器首先需要加入審計機(jī)制,檢查訪問控制器的用戶是否合法。其次,控制器和底層交換設(shè)備之間必須存在一個加密通道,以防止中間人攻擊。最后,對于控制器上運(yùn)行的應(yīng)用軟件,需要進(jìn)行安全測試以防止應(yīng)用被植入惡意代碼,同時還應(yīng)做到應(yīng)用隔離和權(quán)限管理,以限制應(yīng)用對底層資源的訪問權(quán)限。
除了SDN控制器的安全需求外,負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)的底層交換設(shè)備也容易遭受各種攻擊,如攻擊者直接入侵交換機(jī)用虛假流信息填滿流表、修改交換機(jī)對數(shù)據(jù)包的操作。底層交換設(shè)備,除了進(jìn)行主動的攻擊檢測外進(jìn)行安全防護(hù)外,還可以通過流控、擁塞丟包和超時調(diào)整等方式抵御外部攻擊。
- NFV安全需求
NFV技術(shù)是核心網(wǎng)網(wǎng)元能夠動態(tài)靈活部署的關(guān)鍵。然而,NFV平臺存在平臺自身的脆弱性問題和不安全的接口,同時運(yùn)行于上的虛擬安全功能(如5G核心網(wǎng)網(wǎng)元)也面臨著遠(yuǎn)程調(diào)試、數(shù)據(jù)竊取與篡改等風(fēng)險。因此,NFV的安全需求包括以下幾個方面:
- VNF安全需求:核心網(wǎng)網(wǎng)元通過VNF軟件包實例化在虛擬化平臺之上,因此有必要對第三方提供的VNF軟件包進(jìn)行完整性校驗,同時需要對VNF進(jìn)行敏感數(shù)據(jù)保護(hù)和權(quán)限管理;
- NFV網(wǎng)絡(luò)安全需求:VNF之間通信的流量可能只在同一宿主機(jī)內(nèi),傳統(tǒng)的物理安全設(shè)備很難檢測到這樣的流量,因此NFV組網(wǎng)需要考慮VNF之間通信的安全,如雙向認(rèn)證、數(shù)據(jù)加密和完整性保護(hù),同時可以部署虛擬機(jī)形態(tài)的安全功能對主機(jī)內(nèi)的流量進(jìn)行安全監(jiān)控;
- MANO安全需求:MANO平臺除了有MANO各實體之間交互的安全需求(如雙向認(rèn)證),還包括每個MANO實體的安全需求,如VNFM可以運(yùn)行在虛擬機(jī)上,因此需要考慮虛擬機(jī)逃逸等安全威脅;
面向垂直行業(yè)驅(qū)動的切片安全需求
國際電信聯(lián)盟將5G業(yè)務(wù)劃分為三個類型:增強(qiáng)型移動寬帶(eMBB)、超高可靠性低時延業(yè)務(wù)(uRLLC)和海量機(jī)器類通信(mMTC)。每個類型有不同的服務(wù)質(zhì)量需求,如uRLLC業(yè)務(wù)需要滿足低時延、高帶寬,而海量機(jī)器類通信需要支持大連接,但對網(wǎng)絡(luò)時延并不敏感。
為了能夠根據(jù)不同業(yè)務(wù)構(gòu)建不同網(wǎng)絡(luò),5G引入了網(wǎng)絡(luò)切片的概念。網(wǎng)絡(luò)切片是指在運(yùn)營商的物理網(wǎng)絡(luò)之上構(gòu)建多個虛擬網(wǎng)絡(luò),每個虛擬網(wǎng)絡(luò)提供差異化的網(wǎng)絡(luò)服務(wù)。行業(yè)應(yīng)用需求的差異決定了網(wǎng)絡(luò)切片功能的差異化。并非所有切片都包含相同的網(wǎng)絡(luò)功能,有些網(wǎng)絡(luò)功能基于需求可以不用配置或進(jìn)行定制化的裁剪。
- 跨域的切片安全機(jī)制
跨域的切片安全機(jī)制是保障切片安全的基礎(chǔ)。根據(jù)上層MANO平臺下發(fā)的一致性安全策略,切片安全機(jī)制通過切片或子切片隔離、統(tǒng)一的切片認(rèn)證等方式實現(xiàn)對切片的跨域安全防護(hù)。
網(wǎng)絡(luò)切片運(yùn)行于公有的基礎(chǔ)設(shè)施之上。根據(jù)3GPP協(xié)議,不同的切片之間可以共享控制面的子切片,而對于數(shù)據(jù)面的子切片而言,切片之間無法共享。因此,網(wǎng)絡(luò)切片需要提供不同切片之間有效的隔離機(jī)制,防止本切片的隱私數(shù)據(jù)被其他切片有意或無意訪問,如車聯(lián)網(wǎng)切片中,車輛的位置信息、身份信息等敏感信息并不希望被其他切片所訪問。當(dāng)切片隔離機(jī)制不合理時可能會帶來安全隱患,如某個切片允許租戶在切片網(wǎng)絡(luò)中部署自身的第三方網(wǎng)絡(luò)功能,惡意的第三方網(wǎng)絡(luò)功能可能會對其他切片發(fā)起攻擊。此外,為了使租戶放心地使用網(wǎng)絡(luò)切片,切片中資源、服務(wù)的隔離效果應(yīng)該接近于現(xiàn)有的私有網(wǎng)絡(luò)。
5G網(wǎng)絡(luò)的接入方式多種多樣,包括3GPP接入和非3GPP接入。同時,某些終端具備支持接入多種網(wǎng)絡(luò)切片、在不同網(wǎng)絡(luò)切片之間切換的能力,從而導(dǎo)致5G接入場景多種多樣。因此,5G應(yīng)該提供一種統(tǒng)一、高效的切片認(rèn)證方式,實現(xiàn)終端對不同切片的接入認(rèn)證和鑒權(quán)。
- 提供差異化的切片安全處理能力
切片網(wǎng)絡(luò)除了可以為垂直行業(yè)提供差異化的連接服務(wù)外,還需要根據(jù)各垂直行業(yè)安全需求的不同提供差異化的安全防護(hù)能力。
eMBB場景下,5G網(wǎng)絡(luò)峰值速率和用戶體驗速率較4G增長10倍以上。超大流量增加了基于流量檢測、內(nèi)容識別、加解密等技術(shù)的安全防護(hù)難度;不良視頻內(nèi)容識別、海量數(shù)據(jù)的輿情分析等方面對安全監(jiān)測帶來挑戰(zhàn)。因此,eMBB切片對安全功能的計算與處理能力帶來了很大挑戰(zhàn)。
uRLLC場景具有高安全、高可靠、低時延的特點(diǎn)。在切片部署的過程中需要考慮安全功能引入的時延以及在高速率情況下留給安全功能的開銷。因此,uRLLC切片對安全響應(yīng)時效性要求較高。
mMTC場景具有大連接、弱終端的特點(diǎn)。因此,安全和加密算法必須滿足資源受限的約束,同時終端并不一定每一次通信都需要完成完整的安全流程。此外,mMTC切片還需要抵御超大連接易引發(fā)的全網(wǎng)或局部規(guī)模DDoS攻擊。
2020年5G將進(jìn)入規(guī)模部署商用,廣電在大融合背景下也將大力發(fā)展5G業(yè)務(wù),在這樣的背景下,5G安全愈發(fā)引人關(guān)注。5G由于其IT和CT融合的特性,其安全需求不僅包括傳統(tǒng)移動通信網(wǎng)的需求,還有新型的IT技術(shù)和多樣化垂直服務(wù)引入的需求。在發(fā)展5G的同時,我們也要關(guān)注5G網(wǎng)絡(luò)的安全需求,最終能夠提供一張高質(zhì)量、高可靠、高安全的5G網(wǎng)絡(luò)。