閱讀: 187
目前在國(guó)家主管部門(mén)的領(lǐng)導(dǎo)下,中國(guó)5G的建設(shè)和發(fā)展速度越來(lái)越快,廣電也擁有自己的5G牌照,也會(huì)參與到整個(gè)5G的建設(shè)中來(lái)。5G通信技術(shù)采用了很多新的技術(shù)以及不同的組網(wǎng)方式來(lái)滿(mǎn)足不同的場(chǎng)景的業(yè)務(wù)需求,而新技術(shù)新業(yè)務(wù)的使用也必將帶來(lái)新的安全需求。我們需要在建設(shè)5G網(wǎng)絡(luò)的同時(shí)高度關(guān)注網(wǎng)絡(luò)安全,才能保證整個(gè)5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)的安全,否則將會(huì)給社會(huì)和人民生活帶來(lái)嚴(yán)重?fù)p失。
2019年6月,工信部正式向中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通以及中國(guó)廣電發(fā)放5G商用牌照,中國(guó)廣電成為我國(guó)境內(nèi)第四家5G基礎(chǔ)電信運(yùn)營(yíng)企業(yè)。近期,工信部向中國(guó)廣電頒發(fā)了4.9GHz頻段5G試驗(yàn)頻率使用許可,同意其在北京等16個(gè)城市部署5G網(wǎng)絡(luò),2020年2月九部委聯(lián)合印發(fā)《全國(guó)有線電視網(wǎng)絡(luò)整合發(fā)展實(shí)施方案》,明確全國(guó)廣電一網(wǎng)的整合與組建方案,由中國(guó)廣電主導(dǎo),建設(shè)具有廣電特色的5G網(wǎng)絡(luò)并賦能有線電視網(wǎng)絡(luò),由此可見(jiàn)5G是廣電未來(lái)發(fā)展的重要方向。
5G網(wǎng)絡(luò)是未來(lái)物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)、智慧城市、智慧家庭等萬(wàn)物互聯(lián)的基礎(chǔ)。5G網(wǎng)絡(luò)的高帶寬、低時(shí)延、大連接特性,將大幅度提升全社會(huì)各產(chǎn)業(yè)的信息化水平。它不僅提升了人與人之間通信的速度和效率,還將有效拓展人與物、物與物之間的連接水平和通信能力。5G將滲透到萬(wàn)物互聯(lián)的各個(gè)領(lǐng)域,極大豐富移動(dòng)通信網(wǎng)絡(luò)的業(yè)務(wù)范疇,并將逐步形成完善的生態(tài)體系。
5G采用了很多不同于4G的新技術(shù),以適應(yīng)多種應(yīng)用場(chǎng)景的需求,新技術(shù)往往是“雙刃劍”,帶來(lái)便利的同時(shí)也會(huì)形成新的挑戰(zhàn)。5G網(wǎng)絡(luò)架構(gòu)引入新的技術(shù)SDN、NFV來(lái)提高系統(tǒng)的靈活性和效率,同時(shí)降低成本;但由于SDN、NFV使網(wǎng)絡(luò)邊界變得十分模糊,以前依賴(lài)物理邊界防護(hù)的安全機(jī)制難以得到應(yīng)用。為了滿(mǎn)足低時(shí)延業(yè)務(wù),在5G接入點(diǎn)也將部署大量的MEC節(jié)點(diǎn),MEC節(jié)點(diǎn)也將采用云化的部署方式,同樣面臨各種各樣的安全風(fēng)險(xiǎn)。
MEC安全需求
MEC通過(guò)將計(jì)算存儲(chǔ)能力與業(yè)務(wù)服務(wù)能力向網(wǎng)絡(luò)邊緣遷移,使應(yīng)用、服務(wù)和內(nèi)容可以實(shí)現(xiàn)本地化、近距離、分布式部署,從而一定程度解決了5G增強(qiáng)移動(dòng)寬帶、海量機(jī)器類(lèi)通信、超高可靠低時(shí)延通信等技術(shù)場(chǎng)景的業(yè)務(wù)需求。邊緣節(jié)點(diǎn)具備一定的規(guī)模后形成邊緣云。位于接入機(jī)房處的邊緣云規(guī)模較小,容易遭受物理攻擊,但距離用戶(hù)終端最近,能夠?yàn)闃I(yè)務(wù)提供超低時(shí)延保障。位于邊緣機(jī)房的邊緣云規(guī)模較大,雖然時(shí)延相對(duì)前者較大,但可靠性、安全性更高。
MEC為5G帶來(lái)便利的同時(shí)也帶來(lái)了新的安全需求,主要包括兩個(gè)方面:MEC應(yīng)用的安全需求和MEC基礎(chǔ)設(shè)施的安全需求:
- MEC應(yīng)用的安全需求
5G垂直應(yīng)用落地的一大關(guān)鍵是在MEC邊緣云上部署可信的第三方應(yīng)用。然而,目前仍缺少對(duì)MEC應(yīng)用進(jìn)行安全檢查的安全規(guī)范。惡意MEC應(yīng)用除了會(huì)嘗試耗盡它所運(yùn)行的MEC主機(jī)的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)資源外,因?yàn)榫o鄰在基站側(cè),惡意MEC可以利用無(wú)線和網(wǎng)絡(luò)能力開(kāi)放接口重新配置無(wú)線接入網(wǎng)以達(dá)到消耗競(jìng)爭(zhēng)對(duì)手MEC應(yīng)用分配到的無(wú)線資源。此外,惡意MEC應(yīng)用還可在本地環(huán)境搜索易受攻擊的設(shè)備,執(zhí)行破解密碼等程序。更為嚴(yán)重的是,運(yùn)營(yíng)商核心網(wǎng)用戶(hù)面網(wǎng)元UPF常與MEC應(yīng)用共平臺(tái)部署,進(jìn)一步擴(kuò)大核心網(wǎng)的攻擊面。
因此,在將MEC應(yīng)用實(shí)例化到5G網(wǎng)絡(luò)前,需要考慮MEC應(yīng)用的安全需求。首先,要確保MEC應(yīng)用來(lái)自可信的第三方應(yīng)用提供商,可以通過(guò)對(duì)鏡像進(jìn)行簽名驗(yàn)證來(lái)實(shí)現(xiàn);其次,要確保上傳的MEC鏡像未經(jīng)過(guò)非法篡改,可以通過(guò)完整性校驗(yàn)實(shí)現(xiàn);最后,需要在沙箱中檢測(cè)MEC應(yīng)用是否存在攻擊行為及虛假計(jì)費(fèi)行為。因?yàn)?G中第三方應(yīng)用的計(jì)費(fèi)從核心網(wǎng)下沉到邊緣側(cè),繞過(guò)了核心網(wǎng)的有力監(jiān)控,因此,針對(duì)邊緣應(yīng)用的計(jì)費(fèi)行為需要重點(diǎn)關(guān)注。
- MEC基礎(chǔ)設(shè)施的安全需求
MEC節(jié)點(diǎn)靠近網(wǎng)絡(luò)的邊緣,外部環(huán)境可信度降低,運(yùn)營(yíng)商的管理控制能力減弱。攻擊者甚至可以通過(guò)物理攻擊的手段(如放火、砸毀機(jī)房等)使本地MEC節(jié)點(diǎn)失效。此外,MEC自身資源有限、安全能力不夠完善,可抵御的攻擊種類(lèi)和抵御單個(gè)攻擊的強(qiáng)度不夠,容易被攻擊。
因此,MEC基礎(chǔ)設(shè)施也存在著安全防護(hù)需求。這些需求分為包括兩個(gè)部分:物理基礎(chǔ)設(shè)施防護(hù)需求和虛擬化基礎(chǔ)設(shè)施防護(hù)需求。
- 物理基礎(chǔ)設(shè)施安全防護(hù)要確保物理環(huán)境的安全。由于位于網(wǎng)絡(luò)邊緣側(cè)且分布式部署,邊緣機(jī)房往往管理力度不夠,相對(duì)于云服務(wù)器,更容易遭受物理攻擊和物理端口被竊聽(tīng)的風(fēng)險(xiǎn)?赏ㄟ^(guò)加鎖、人員管理等方式保障物理環(huán)境安全。其次,可信計(jì)算和可信IO接入的引入也可以保障物理服務(wù)器的可信。
- 虛擬基礎(chǔ)設(shè)施需要應(yīng)對(duì)多維度的安全風(fēng)險(xiǎn),包括宿主機(jī)操作系統(tǒng)、容器和虛擬機(jī)。為加強(qiáng)宿主機(jī)操作系統(tǒng)安全性,可以對(duì)操作系統(tǒng)進(jìn)行基礎(chǔ)檢查、漏洞掃描、病毒和木馬防范、升級(jí)及補(bǔ)丁管理;為加強(qiáng)容器和虛擬機(jī)安全性,可設(shè)計(jì)有效的隔離機(jī)制,關(guān)閉無(wú)關(guān)端口、并對(duì)東西向流量進(jìn)行安全檢測(cè)。
SDN/NFV安全需求
5G新的網(wǎng)絡(luò)架構(gòu)引入了SDN、NFV技術(shù),提供更靈活、更高效、更低成本的網(wǎng)絡(luò)服務(wù)。SDN/NFV在與5G融合的過(guò)程中,也給5G移動(dòng)通信網(wǎng)帶來(lái)了新的攻擊面。
- SDN風(fēng)險(xiǎn)和安全需求
SDN控制器是傳輸網(wǎng)和核心網(wǎng)網(wǎng)絡(luò)調(diào)度的中心,其本身存在不少安全脆弱點(diǎn)。作為網(wǎng)絡(luò)的“大腦”,當(dāng)攻擊者攻破控制器,就可以向所有的網(wǎng)絡(luò)設(shè)施發(fā)送指令,很容易使整個(gè)網(wǎng)絡(luò)癱瘓。因此,設(shè)計(jì)一個(gè)安全可靠的SDN控制器對(duì)于移動(dòng)通信網(wǎng)來(lái)說(shuō)是必不可少的。
安全可靠的SDN控制器首先需要加入審計(jì)機(jī)制,檢查訪問(wèn)控制器的用戶(hù)是否合法。其次,控制器和底層交換設(shè)備之間必須存在一個(gè)加密通道,以防止中間人攻擊。最后,對(duì)于控制器上運(yùn)行的應(yīng)用軟件,需要進(jìn)行安全測(cè)試以防止應(yīng)用被植入惡意代碼,同時(shí)還應(yīng)做到應(yīng)用隔離和權(quán)限管理,以限制應(yīng)用對(duì)底層資源的訪問(wèn)權(quán)限。
除了SDN控制器的安全需求外,負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)的底層交換設(shè)備也容易遭受各種攻擊,如攻擊者直接入侵交換機(jī)用虛假流信息填滿(mǎn)流表、修改交換機(jī)對(duì)數(shù)據(jù)包的操作。底層交換設(shè)備,除了進(jìn)行主動(dòng)的攻擊檢測(cè)外進(jìn)行安全防護(hù)外,還可以通過(guò)流控、擁塞丟包和超時(shí)調(diào)整等方式抵御外部攻擊。
- NFV安全需求
NFV技術(shù)是核心網(wǎng)網(wǎng)元能夠動(dòng)態(tài)靈活部署的關(guān)鍵。然而,NFV平臺(tái)存在平臺(tái)自身的脆弱性問(wèn)題和不安全的接口,同時(shí)運(yùn)行于上的虛擬安全功能(如5G核心網(wǎng)網(wǎng)元)也面臨著遠(yuǎn)程調(diào)試、數(shù)據(jù)竊取與篡改等風(fēng)險(xiǎn)。因此,NFV的安全需求包括以下幾個(gè)方面:
- VNF安全需求:核心網(wǎng)網(wǎng)元通過(guò)VNF軟件包實(shí)例化在虛擬化平臺(tái)之上,因此有必要對(duì)第三方提供的VNF軟件包進(jìn)行完整性校驗(yàn),同時(shí)需要對(duì)VNF進(jìn)行敏感數(shù)據(jù)保護(hù)和權(quán)限管理;
- NFV網(wǎng)絡(luò)安全需求:VNF之間通信的流量可能只在同一宿主機(jī)內(nèi),傳統(tǒng)的物理安全設(shè)備很難檢測(cè)到這樣的流量,因此NFV組網(wǎng)需要考慮VNF之間通信的安全,如雙向認(rèn)證、數(shù)據(jù)加密和完整性保護(hù),同時(shí)可以部署虛擬機(jī)形態(tài)的安全功能對(duì)主機(jī)內(nèi)的流量進(jìn)行安全監(jiān)控;
- MANO安全需求:MANO平臺(tái)除了有MANO各實(shí)體之間交互的安全需求(如雙向認(rèn)證),還包括每個(gè)MANO實(shí)體的安全需求,如VNFM可以運(yùn)行在虛擬機(jī)上,因此需要考慮虛擬機(jī)逃逸等安全威脅;
面向垂直行業(yè)驅(qū)動(dòng)的切片安全需求
國(guó)際電信聯(lián)盟將5G業(yè)務(wù)劃分為三個(gè)類(lèi)型:增強(qiáng)型移動(dòng)寬帶(eMBB)、超高可靠性低時(shí)延業(yè)務(wù)(uRLLC)和海量機(jī)器類(lèi)通信(mMTC)。每個(gè)類(lèi)型有不同的服務(wù)質(zhì)量需求,如uRLLC業(yè)務(wù)需要滿(mǎn)足低時(shí)延、高帶寬,而海量機(jī)器類(lèi)通信需要支持大連接,但對(duì)網(wǎng)絡(luò)時(shí)延并不敏感。
為了能夠根據(jù)不同業(yè)務(wù)構(gòu)建不同網(wǎng)絡(luò),5G引入了網(wǎng)絡(luò)切片的概念。網(wǎng)絡(luò)切片是指在運(yùn)營(yíng)商的物理網(wǎng)絡(luò)之上構(gòu)建多個(gè)虛擬網(wǎng)絡(luò),每個(gè)虛擬網(wǎng)絡(luò)提供差異化的網(wǎng)絡(luò)服務(wù)。行業(yè)應(yīng)用需求的差異決定了網(wǎng)絡(luò)切片功能的差異化。并非所有切片都包含相同的網(wǎng)絡(luò)功能,有些網(wǎng)絡(luò)功能基于需求可以不用配置或進(jìn)行定制化的裁剪。
- 跨域的切片安全機(jī)制
跨域的切片安全機(jī)制是保障切片安全的基礎(chǔ)。根據(jù)上層MANO平臺(tái)下發(fā)的一致性安全策略,切片安全機(jī)制通過(guò)切片或子切片隔離、統(tǒng)一的切片認(rèn)證等方式實(shí)現(xiàn)對(duì)切片的跨域安全防護(hù)。
網(wǎng)絡(luò)切片運(yùn)行于公有的基礎(chǔ)設(shè)施之上。根據(jù)3GPP協(xié)議,不同的切片之間可以共享控制面的子切片,而對(duì)于數(shù)據(jù)面的子切片而言,切片之間無(wú)法共享。因此,網(wǎng)絡(luò)切片需要提供不同切片之間有效的隔離機(jī)制,防止本切片的隱私數(shù)據(jù)被其他切片有意或無(wú)意訪問(wèn),如車(chē)聯(lián)網(wǎng)切片中,車(chē)輛的位置信息、身份信息等敏感信息并不希望被其他切片所訪問(wèn)。當(dāng)切片隔離機(jī)制不合理時(shí)可能會(huì)帶來(lái)安全隱患,如某個(gè)切片允許租戶(hù)在切片網(wǎng)絡(luò)中部署自身的第三方網(wǎng)絡(luò)功能,惡意的第三方網(wǎng)絡(luò)功能可能會(huì)對(duì)其他切片發(fā)起攻擊。此外,為了使租戶(hù)放心地使用網(wǎng)絡(luò)切片,切片中資源、服務(wù)的隔離效果應(yīng)該接近于現(xiàn)有的私有網(wǎng)絡(luò)。
5G網(wǎng)絡(luò)的接入方式多種多樣,包括3GPP接入和非3GPP接入。同時(shí),某些終端具備支持接入多種網(wǎng)絡(luò)切片、在不同網(wǎng)絡(luò)切片之間切換的能力,從而導(dǎo)致5G接入場(chǎng)景多種多樣。因此,5G應(yīng)該提供一種統(tǒng)一、高效的切片認(rèn)證方式,實(shí)現(xiàn)終端對(duì)不同切片的接入認(rèn)證和鑒權(quán)。
- 提供差異化的切片安全處理能力
切片網(wǎng)絡(luò)除了可以為垂直行業(yè)提供差異化的連接服務(wù)外,還需要根據(jù)各垂直行業(yè)安全需求的不同提供差異化的安全防護(hù)能力。
eMBB場(chǎng)景下,5G網(wǎng)絡(luò)峰值速率和用戶(hù)體驗(yàn)速率較4G增長(zhǎng)10倍以上。超大流量增加了基于流量檢測(cè)、內(nèi)容識(shí)別、加解密等技術(shù)的安全防護(hù)難度;不良視頻內(nèi)容識(shí)別、海量數(shù)據(jù)的輿情分析等方面對(duì)安全監(jiān)測(cè)帶來(lái)挑戰(zhàn)。因此,eMBB切片對(duì)安全功能的計(jì)算與處理能力帶來(lái)了很大挑戰(zhàn)。
uRLLC場(chǎng)景具有高安全、高可靠、低時(shí)延的特點(diǎn)。在切片部署的過(guò)程中需要考慮安全功能引入的時(shí)延以及在高速率情況下留給安全功能的開(kāi)銷(xiāo)。因此,uRLLC切片對(duì)安全響應(yīng)時(shí)效性要求較高。
mMTC場(chǎng)景具有大連接、弱終端的特點(diǎn)。因此,安全和加密算法必須滿(mǎn)足資源受限的約束,同時(shí)終端并不一定每一次通信都需要完成完整的安全流程。此外,mMTC切片還需要抵御超大連接易引發(fā)的全網(wǎng)或局部規(guī)模DDoS攻擊。
2020年5G將進(jìn)入規(guī)模部署商用,廣電在大融合背景下也將大力發(fā)展5G業(yè)務(wù),在這樣的背景下,5G安全愈發(fā)引人關(guān)注。5G由于其IT和CT融合的特性,其安全需求不僅包括傳統(tǒng)移動(dòng)通信網(wǎng)的需求,還有新型的IT技術(shù)和多樣化垂直服務(wù)引入的需求。在發(fā)展5G的同時(shí),我們也要關(guān)注5G網(wǎng)絡(luò)的安全需求,最終能夠提供一張高質(zhì)量、高可靠、高安全的5G網(wǎng)絡(luò)。