雷锋网编者按:从最后的“人人都能上网”,到挪动互联网时代的“随时可以上网”,再到5G时代的“万物互联”,这些革新都极大的改动了我们的日常生活。
和现有的挪动通讯网相比,5G网络拥有更高的速度,更多的设备接入,更低的网络延迟。但与此同时,它也面临着愈加复杂的平安成绩,在6月13日举行的2018中国网络平安大会中,来自中国电子科技集团公司的首席迷信家曾浩洋,就带来了“第五代挪动通讯零碎(5G)平安概览”的演讲。
以下是现场演讲内容,雷锋网在不改动原意的根底上停止了编辑整理。
5G是以后十分抢手的话题,最近运营商也在频繁地发布建立现网的音讯,觉得5G离我们越来越近。平安不断是挪动通讯零碎关注的成绩, 在5G时代,平安会面临什么样的应战?它和4G以前的平安有什么不同?需求我们在哪些方面展开研讨?如今终究预备好没有?明天上午我就这个成绩与大家一同讨论一下。 我的引见分为四局部。
一、5G面临的平安需求与应战
第一,5G有新的使用场景,有加强挪动宽带,低功耗大衔接、低时延高牢靠三大使用场景。
因而,5G不只仅是速率变得更高,时延变得更低,它将浸透到万物互联的各个范畴,与工业控制、智慧交通严密结合在一同。所以,平安就变得尤其重要。
在这几大使用场景中,对加强挪动宽带来说,它的平安应战需求更高的平安处置功能,这时分用户体验速率曾经到达1G;二是它需求支持内部网络二次认证,能更好地与业务结合在一同;三是需求处理目前发现的已知破绽的成绩。
对低功耗网络来说,需求轻量化的平安机制,以顺应功耗受限、时延受限的物联网设备的需求;需求经过群组认证机制,处理海量物联网设备认证时所带来的信令风暴的成绩;需求抗DDOS攻击机制,应对由于设备平安才能缺乏被攻击者应用,而对网络根底设备发起攻击的风险。
关于低时延高牢靠来说,需求提供低时延的平安算法和协议,要简化和优化原有平安上下文的交流、密钥管理等流程,支持边缘计算架构,支持隐私和关键数据的维护。
第二,新网络架构的应战。
为了更好地支持5G使用场景,如今5G提出了以 IT 为中心的网络架构,会引入多无线接入、SDN、云计算、NFV 等技术。
对多无线接入来说需求一致的认证框架来处理 3GPP 体制和非 3GPP 体制接入的成绩。比方无线 Wi-Fi 接入需求一致认证,在多接入环境下提供平安的运营网络。
SDN和NFV这样的技术引入,可以构建逻辑隔离的平安切片,用来支持不同使用场景差别化的需求。但这些技术个引入也对平安形成带来了宏大的应战,由于它使网络边界变得非常模糊,以前依赖物理边界防护的平安机制难以失掉使用。所以,平安机制要顺应虚拟化、云化的需求。
这是5G新的网络架构,这个图是中国挪动牵头的5G架构的SBA规范,5G把原来4G的物理网元停止了重新的分解和组合,经过效劳和效劳编排的方式来进步网络的功用,经过效劳总线完成网元之间的逻辑接口。效劳总线的开放才能和可兼容性使得网络具有很大的灵敏性和可扩展性,可以支持不同的业务。
但这对我们的平安设计也会带来新的应战,我们也要顺应这样的效劳化、虚拟化、软件定义的变化,也就是说我们要提供平安即效劳、软件定义的平安等才能。
5G网络会变得愈加开放,相比现有的绝对封锁的挪动通讯零碎来说,会面临更多的网络空间平安成绩。比方 APT 攻击、DDOS、Worm 歹意软件攻击等,而且攻击会愈加猛烈,规模更大,影响也会更大。
针对这些5G平安的应战,相关的 5G 研讨组织,比方 3GPP、欧盟的 5GPPP 以及 NGMN 这些组织都停止了深化的需求剖析。
第三,总体平安需求。
总体的需求包括 5G 必需要提供比 4G 更高,至多和 4G 的平安和隐私维护程度相当的平安保证。详细的需求包括要对签约、效劳网络、设备停止认证和鉴权。要对网络切片要停止严厉的隔离,甚至对敏感数据的隔离强度应该同等于物理上分隔的网络。要避免降维攻击,可以应用机器学习或人工智能办法检测初级网络平安要挟。平安的才能要能效劳化,要能契合和顺应网络架构的需求。
二、平安架构与相关平安机制
1、5G平安防护架构。
这是平安功用要素组成和他们之间的互相关系。5G平安防护架构延用了原来4G平安参考架构,相比之前添加了非3GPP接入、切片和虚拟网元的平安、网络开放接口平安和平安管理等平安实体。
整个来看,它的平安触及到接入的平安(用于处理用户的平安接入)、无线空口平安、网络域平安(用来保证网元之间信令和数据交流的平安)、用户域平安,使用域平安、网络开放接口平安、管理域平安几个局部。
这是基于SBA架构下的功用部署思索。
SBA有两个网元是直接效劳于网络平安的,一是 AUSF认证效劳器,二是SEPP平安边缘维护代理,触及运营商中心网络之间的平安交互。在其它网元中应嵌入相应的平安功用。
2、次要的平安机制。
网络接入方面,认证协议上运用了 EAP-AKA 以完成一致框架下的双向认证,支持非3GPP的接入,运用5G-AKA加强归属网络控制。
除了原有认证之外,可以借助第二方第三方的二次认证提招认证效劳。
认证扩展,要顺应于IoTD群组认证,顺应于车联网的点对点疾速认证。
隐私维护,在USIM卡添加运营商设定的公钥,初次附着网络运用公钥加密IMSI,处理初始接入身份泄露成绩。
信令维护,提供空口和NAS层信令的加密和完好性维护。
用户面报,按需提供空口和/或UE到中心网之间的用户面加密和完好性维护。用户面加密和完好性维护在以前的4G零碎里是没有的成绩,如今依据物联网需求可以按需选择。
密钥体系,算法需求支持主流的加密和完好性算法,但如今这些算法能够会在5G做进一步的改良,由于5G运营周期在20年,20年之中,比方量子计算比拟成熟,遭到攻击的风险会增大。所以,在算法方面也能够会停止晋级。在密钥体制方面,还是要支持水平化的密钥派活力制,同时可以提供由于认证机制变化,切片引入和用户面的完好性维护所需求的这些新的密钥。
网络平安方面,次要机制散布在这些范畴。根底设备平安里需求有资源的平安隔离,零碎防护控制、平安加固,从而使得根底设备可以平安可信地运转。
在网络域方面,需求对VNF虚拟化网络平安停止可信评价。网源之间的平安通讯和挪动边缘计算平安、SDN平安。
网络平安切片方面,需求提供网络切片的平安隔离,差别化的平安效劳,终端可以平安地拜访切片,切片的平安管理以及外部的平安通讯等等。
在网络对外效劳接口方面,也需求认证受权,对抵触战略停止检测,相关权限控制和平安审计。
平安态势管理与监测预警方面,我们要借助于,位于各种网络功用以及平安设备类的平安探针,采用规范化的平安设备一致管控接口对平安事情停止上报,下发一致的平安战略,可以停止深度学习、机器学习手腕来嗅探和攻击的检测,应对未知的平安要挟。同时,依据平安要挟能智能化生成相关的平安战略调整,并将这些战略调整下发到各个平安设备中,从而构建起一个平安的防护体系。
隐私维护方面,如今对团体信息维护十分关注的,5G里下面承载着很多用户的隐私和敏感信息,包括用户的号码,用户地位信息等等,我们能够需求从技术和管理两个途径停止维护,在技术方面,加密传输和加密存储,拜访控制,对关键隐私数据在网络传输中停止匿名。
管理方面,一是数据最小化,只能获取本人必要的信息;二是除了最小化数据之外的信息需求征得用户的答应才干停止运用。
三、5G规范化任务停顿
第一,5G零碎规范化的规划。
这是以3GPP规范规划来描绘的,去年年底曾经完成非独立组网5G规范,这是支持加强挪动宽带产品,同时完成5G零碎架构规范。依照方案是在本月,对依照独立组网的5G规范,支持加强挪动宽带和低时延高牢靠场景。方案明年年底完成满足ITU全部要求的完好5G规范。
关于平安规范的停顿,目前展开5G平安研讨的组织次要有几个:
1、3GPP,重点研讨范畴包括平安架构、RAN平安、认证机制、用户隐私、网络切片。目前次要的效果是TR 33.899报告以及规范标准TS 33.501。
2、5GPPP,这是一个欧盟的研讨组织,他们重点研讨范畴包括平安架构、用户隐私、认证机制。目前次要研讨效果是5G平安态势白皮书。
3、NGMN,重点研讨范畴相关方面是用户隐私、网络切片、MEC平安,他们也构成了相关的建议书,包括接入网改良/抗DDOS攻击、网络切片,MEC低时延/用户体验等等。
4、ETSI重点关注平安体系构造、NFV平安性、MEC平安、隐私,次要构成平安报告次要集中在NFV和MEC方面。
第二,5G平安规范化的推进状况。
2016年2月,启动相关平安研讨任务,2017年8月份完成了第一阶段平安规范的研讨,构成了33.899的报告。去年2月份启动了第一阶段平安规范的研讨。往年3月份,这个规范曾经根本解冻,构成了往年3月份构成了33.501的标准。第二阶段的规范是在2019年12月完成。这是和大零碎同步的。
这两个阶段研讨的重点侧重不太一样,第一阶段次要关怀的是架构、认证、平安凭证、上下文管理、密钥平安、无线接入平安、用户隐私、网络域的平安等等,次要是4G平安的加强。第二阶段,次要研讨内容,从往年下半年到明年次要针对新的场景,就是大规模物联网、低时延高牢靠两个场景下的平安机制,以及对现有平安功用进一步完善,包括SBA平安、网络切片平安和边缘计算平安等等。
第三,国际规范停顿状况
在国际规范状况之下,这是中国通讯规范化协会组织展开的,目前也是深度规划相应的规范体系,在2016年10月份启动了平安研讨,方案往年年终完成平安报告。规范制定,往年4月启动5G网络平安技术要求的立项,方案明年年底完成。
后面三个局部,我们重点次要是引见了5G零碎本身的平安思索。
四、面向5G使用的平安能够触及的范畴。
第一,5G环境下的终端平安。
3GPP里,对终端平安提出了通用要求,包括用户与信令数据的秘密性维护,签约凭证的平安存储与处置,用户隐私维护等等。针对使用场景,也对终端平安提出了一些特殊的要求,比方uRLLC终端可继续的环境,操作零碎的加强高速加解密处置才能,关于mMTC终端,需求支持轻量级的平安算法和协议,可以抗物理攻击、低功耗、低本钱的完成,关于uRLLC的终端需求支持高平安、高牢靠的平安机制,可以支持超级实验室的平安硬件,入网时的互相认证等等。关于一些特殊行业,他需求用到平安终端来说需求转用的平安芯片,定制操作零碎和特定的使用商店。
5G环境下,终端平安应该是云端协同进攻的体系,在终端方面需求从硬件层、零碎层、使用层几个层次思索相应的平安防护措施,同时我们可以借用云端,借用网络才能提供更多的网络平安支持,包括端到端加密,数据平安存储,由于网络带宽足够,一些敏感区域不一定要存在终端上,可以存在云端。云端构成的平安监测预警。的如今用的比拟多的基于云端的近程管控,使用平安和零碎平安的支撑等等。
第二,面向垂直行业的平安效劳。
对各种垂直行业来说,业务使用、平安要挟和平安需求存在很大的差别。我们可以依托5G网络根底设大多数人都曾因不佳的交通状况而迟过到、叫过苦。经济的快速发展带动的是社会各方面的全面提升,但在此过程中,交通的发展却没跟得上前进的步幅,各类交通难题让交管部门伤透脑筋,如何利用AI来解决相关难题已成当务之急。备,基于后面效劳化的思想,在一致架构下为垂直行业提供定制性和差别化的平安才能。详细来说,我们可以对网络里的平安资源,密码算法、5G认证协议和平安知识库,对平安资源停止笼统和封装,对外提供平安效劳,对加密传输效劳提招认证效劳、信誉效劳、入侵检测效劳等等,这些效劳会经过网络才能开放引擎,开放给各种使用,这样就可以使使用在运用网络通道的同时也可以取得网络提供的平安效劳,可以更高效、更平安地完成信息效劳。
第三,平安行业专网建立。
对国防、政务、公共平安和关键行业,对平安有着特别的要求,包括高平安业务牢靠维护、敏感信息平安存储与受控拜访、特殊用户隐私维护、特殊行业运营管理。特殊行业在4G以前是基于运营商的公共根底网络,在下面结构了专网的技术来完成,这种方式投资本钱是比拟高的,建立周期比拟短,同时可扩展性、灵敏性也存在缺乏,它的技术体制难以跟上开展,通讯零碎自身停顿是很快的,我们往往可以看到零碎曾经进入到4G,但很多专网还停留在2G、3G上。5G如今开放性架构和灵敏性的使用,为构建行业特定专网提供了新的处理思绪。在互联网思维的影响下,传统服务业不再局限于规模效益,加强对市场的反应速度成为传统服务业发展的首要选择。在互联网思维下,通过对传统服务业的改革,为传统服务业发展创造了全新的天地。
详细来看是两种途径:
1、对平安的需求停止定义,5G网络可以提供差别化的平安效劳,可以定制和优化取得想要的平安才能。
2、对平安要求更高的行业来说,可以将满足本人平安需求的才能、功用停止事例化,经过效劳接口编排到网络切片当中,构成本人的专业高平安切片。
在这些方面可以对认证,空口加密,用户立体加密算法停止交换,对存储在UDM的隐私数据、敏感数据停止维护。
基于后面的措施,可以构建行业专业的切片,这个切片和其他的切片资源是隔离的,同时网络平安战略是可以定制的,采取强的平安定制,以防备合法接入以及跨切片的攻击等。
还可以经过在业务层面停止终端加密,加强行业使用的平安性,我们是行业使用专网的处理思绪。
以上就是我们分享的对5G平安方面的看法。总的来看,由于5G它的网络构造、技术体制发作了很大的变化,所以,5G平安绝对之前的通讯平安也有很大的变化,目前5G平安基于对之前的平安加强上,关于新的使用场景,比方物联网和车联网环境,还用得绝对比拟滞后,如何保证各种场景下5G五零碎支持的平安以及平安高效地运用5G零碎,还需求我们广阔同仁们展开深化的探究。
以上内容来自2018中国网络平安大会,雷锋网 (大众号:雷锋网) 编辑整理。
。
