提到5G,人們的第一反應一定是極高的網速。5G採用了很多不同於4G的新技術,以適應多種應用場景的需求,其中就包括高傳輸速率。但新技術往往是“雙刃劍”,帶來便利的同時也會形成新的挑戰。
以往我們介紹5G的時候,更多側重於描繪5G強大的能力,但事實上,5G面向更廣泛的應用場景的同時,安全風控的壓力也更大,例如在工業、車聯網方面的應用,安全就至關重要。5G商用的時間越來越近,相信很多人會比較好奇,5G網絡如何保證自身的安全性?
在8月27日第四屆互聯網安全領袖峰會(CSS2018)上,中國工程院院士,中國互聯網協會理事長鄔賀銓先生就和大家分享了目前行業在5G網絡安全方面所做的部署和努力。IT之家在此基礎上進行梳理,為大家進行比較通俗的講解。
5G有哪些獨特的安全需求?
首先我們知道5G有三大典型業務場景,分別是增強型移動寬帶(eMBB)、高可靠低時延連接(uRLLC)、海量物聯網(mMTC)。他們對於安全性都有各自的需求:
eMBB能夠提供更高的體驗速率和更大帶寬的接入能力,但需要更高的安全處理性能,支持外部網絡二次認證以及已知漏洞的修補能力;
uRLLC能夠提供低時延和高可靠的信息交互能力,端到端的時延在ms級別,但在安全上,它需要低時延的安全算法/協議、邊緣計算的安全架構和隱私、關鍵數據的保護;
mMTC能夠提供更高連接密度時優化的信令控制能力,支持大規模、低成本、低能耗IoT設備的高效接入和管理,但它需要輕量化的安全,需要群組認證以及能夠抵抗DDos攻擊。
除了三大業務場景,5G網絡還採用了新的網絡架構,新架構具有以用戶為中心、功能模塊化、網絡可編排為設計理念,引入了多無線接入、SDN、雲計算、NFV等技術。
多無線接入需要統一的認證框架來解決3GPP體制和非3GPP體制接入的問題,自然需要更安全的運營網絡;
SDN、NFV等技術的引入(後文會詳細介紹),可以構建邏輯隔離的安全切片,用來支持不同應用場景差異化的需求,但會令網絡邊界變得模糊,以前依賴物理邊界防護的安全機制受到挑戰。
5G是如何應對的?
在這部分IT之家將對5G網絡應對安全新挑戰的方式進行介紹,並對其中一些基礎概念做一些科普。
1、首先是5G終端的接入和認證
前面介紹5G的三大應用場景,覆蓋面非常廣泛,例如eMBB需要高頻率,如果基站功率做大,運營成本很高;做大量的小站,很密集,也很難優化,所以需要宏蜂窩和微蜂窩聯合組網。
什麼是宏蜂窩和微蜂窩?他們都屬於基站,宏蜂窩的基站服務覆蓋半徑較大,一般在1~2.5千米左右,基站來看起來像鐵塔,比較高大;
微蜂窩的基站服務覆蓋半徑較小,大約為100m~1km,其發射功率也更小,,一般在2W左右,基站天線體型小,一般置於相對低的地方,無線波束折射、反射、散射於建築物間或建築物內,主要用來彌補宏蜂窩覆蓋的“盲點”,同時安置在宏蜂窩的“熱點”上,可滿足微小區域高質量高密度話務量要求。
根據鄔賀銓先生的介紹:
傳統蜂窩小區不論用戶面、控制面,上行、下行都在一個蜂窩小區,而5G控制面走到了宏蜂窩,用戶面走到微蜂窩,而且用戶面上行下行走的是不同的小區,甚至一個是5G,一個是4G。這種情況,傳統的4G安全機制是沒有考慮到這種密集異構組網的安全威脅下的。”
這會帶來來自不同網絡系統,不同接入技術,不同類型站點(宏蜂窩、小蜂窩、微蜂窩)常態並行接入的問題。所以5G採用了“跨越底層異構多層無線接入網的統一認證框架“,來實現雙向認證。
3G、4G用戶入網,會發送一個長期身份明文標識(IMSI),用戶身份容易被洩露。而根據鄔院士的介紹,5G在USIM卡上,首先接收運營商廣播的公鑰,然後這個公鑰將用戶長期的身份加密,網絡方面是用私鑰來解密,這樣用戶的身份就不會被竊聽,目前加密方案已經標準化了。
2、防止降維打擊
這一點比較好理解,正如我們前文所說,5G時代並不是沒有4G,語音通話在5G沒有覆蓋到的地方或者數據網絡質量不好的時候,也會回落到4G,而4G的安全未必有5G那麼好,所以需要防止降維打擊。
5G核心網的特徵之一是控制面和用戶面分離,而用戶面和控制面都會進行加密;此外,無線通信端信令和消息傳輸也會加密,包括空口的信令。
這裡解釋一下,信令就是信令是在無線通信系統中為使全網有軼序地工作,用來保證正常通信所需要的控制信號。通俗來說就是專門用來控制電路的,而不是我們打電話、上網的信號。
同時,5G網絡切片也會進行加密,還有支持4G後向兼容也需要加密,還包含用於支持非3GPP接入的密鑰等等。
可以看到,5G的密鑰具有多樣化的特點,同時這一系列密鑰既要保持整體系統的統一性,又需要具備一定的獨立性,以確保每個部分的安全性互不影響。
3、5G網絡切片安全隔離
網絡切片是5G一項很重要的技術。
網絡切片技術通俗來說就是將運營商的物理網絡劃分成多個虛擬網絡,每個虛擬網絡根據不同的服務需求來應對不同的網絡應用場景,這些場景也還是歸屬上面列舉的三大場景。打個比方,網絡切片技術就好像城市道路上劃分人行道、機動車道、公交車道、應急通道等等,每個通道(切片)有不同功能。
物理網絡是不變的,所以網絡切片本身是一種網絡虛擬化技術,並且切片與切片之間,是有隔離的,為A用戶提供的切片不能和B用戶互相串有,所以,每個切片都需要有它的身份識別。
目前的解決方法比較複雜,簡單來說是對每個切片被預先配置一個切片ID,將對應的切片安全規則存放於切片安全服務器(SSS)中,用戶設備(UE)接入網絡時需提供切片ID給歸屬服務器(HSS),HSS根據SSS中對應切片的安全配置採取與該切片ID對應的安全措施,並選擇對應的安全算法,來實現切片之間的安全隔離。
4、安全編排
網絡切片除了切片之間需要安全隔離,整體上還需要編排。另外5G的關鍵技術SDN也需要大量編排來實現靈活提供服務。
這裡又要簡單介紹一下SDN,還有NFV技術。它們是網絡切片技術能夠實現的基礎。
SDN又叫軟件定義網絡,它的內含和機理很複雜,我們同樣還是簡單瞭解即可。它的理念是讓應用軟件可以參與對網絡的控制管理,滿足上層業務需求,用自動化業務部署來簡化網絡運維。
通俗一點說,過去上層用戶發出請求時,需要通過網絡服務提供商傳達給網絡上的每一個網絡設備,再由設備的控制功能來控制設備進行數據轉發,實現整個通信網絡的數據流通。
這種情況下,隨著網絡中的數據越來越多,一旦傳輸計劃有變更,網絡服務提供商需要傳達到每一個網絡設備,效率低下。
SDN就是在上層應用(上層用戶和網絡服務提供商)和基礎網絡設施之間加入一個控制層,它將設備的控制功能和轉發功能分離,這樣硬件廠商就不用針對每個硬件設計和安裝對應的軟件系統,使得硬件可以通用化。具體的控制轉發功能由SDN控制層進行統一管理,這樣就大大提高了運行效率。
至於HFV技術,也叫做網絡功能虛擬化,它的概念是把設備中的功能提取出來,通過虛擬化的技術在上層提供虛擬功能模塊,聽起來和SDN有點像,但是彼此獨立的,簡單說,可以理解為SDN把設備虛擬化,而NFV把功能虛擬化。
所以可以看到,網絡切片技術不是一個單獨的技術,而是由很多具體的技術群協同實現,而通過上層統一的網絡安全編排,能夠讓網絡實現管理和協同能力,你可以把安全編排理解為指揮官,它不僅決定網絡特定服務的拓撲,還將決定在什麼地方要加入安全機制和安全策略。
正如鄔賀銓院士所說:
5G本身也需要在編排中提供足夠的安全保證,4G是沒有這個編排的,編排本身如此重要,會影響到整個網絡拓撲和服務質量。因此,編排本身的安全保護就是個非常重點的問題。
5、5G開放性的安全
5G的核心網架構相較於4G有很大的變化,中國移動牽頭提出的SBA架構被3GPP確認為5G核心網基礎構架。SBA是指基於服務的架構。
傳統4G網絡功能在4G是按網元組合的,網元就是網絡系統中的某個網絡單元或者節點,能夠獨立完成一種或幾種功能的設備,傳統的網元是封閉的、黑盒的,NFV虛擬出網絡功能軟件後,仍然是體塊較大的單體式架構。
SBA的理念是將單體架構分拆為多個粒度更小的微服務,微服務之間通過API交互,微服務彼此獨立,也獨立於其他服務進行部署、升級、擴展,頻繁更新擴展也不會影像客戶使用,更加靈活,就像App。
所以,鄔賀銓院士說:
5G是按照API、App的功能組合的。
需要調動什麼功能就調配相關App,把移動端當成手機終端一樣,把所有的能力當成App的調用。
這種網絡能力是開放的,5G會提供移動性、會話和QoS和計費等功能的接口,運營商會開放接口能力組織網絡,5G還會開放管理和編排能力,第三方還可以獨立地利用運營商開放的管理能力和編排能力,實現它的網絡部署、更新和擴容。
同時,SBA有兩個網元是直接服務於網絡安全的,一是AUSF認證服務器,二是SEPP安全邊緣保護代理,涉及運營商核心網絡之間的安全交互。
但開放意味著便利也意味著危險,開放授權過程中也有可能出現信任問題,導致惡意的第三方獲得網絡操控能力對5G網絡發起攻擊,如APT、DDoS等等。
對於這些問題,需要面向垂直行業的安全服務,其實思路和能力的開放一樣,將安全也進行開放。簡單來說就是將網絡裡的安全資源,密碼算法、5G認證協議和安全知識庫,對安全資源進行抽象和封裝,對外提供安全服務,對加密傳輸服務提供認證服務、信用服務、入侵檢測服務等等。
6、5G終端的安全性要求
在5G中,對於終端也有安全性要求,3GPP對終端安全有一些通用要求,包括用戶與信令數據的機密性保護,簽約憑證的安全存儲與處理,用戶隱私保護等等。而5G終端的一些特殊要求是根據其應用場景來的,例如車聯網這類高可靠、低時延終端,需要支持高安全、高可靠的安全機制,相對於一般的終端安全更要求高;uRLLC終端可持續的環境,操作系統的增強高速加解密處理能力。
總結
4G時代,我們已經見證了不少互聯網的安全事故,例如OpenSSL水牢漏洞、WannerCry勒索病毒、Petya勒索病毒變種肆虐等。而在即將到來的5G時代,網絡安全同樣面臨很多挑戰,上文介紹的行業應對挑戰的策略只是框架性質的,具體還有更加複雜的細節技術。
總體來說,5G的安全框架主要包含接入安全、網絡(接入網、核心網內部等)安全、用戶安全、應用安全(用戶設備和服務提供商之間的通信)、可信安全和管理安全這幾大內容,並且隨著未來5G商業化的鋪展,未來業務還有很多不確定性,也會能夠隨著實際應用而完善。
閱讀更多 IT之家 的文章
