5G是新一代信息通信技術的發展方向,不僅具有更強的性能,而且也具備更加豐富的應用場景,從傳統的人與人通信延伸覆蓋到人與物、物與物之間的智能互聯,是未來經濟社會數字化轉型的關鍵基礎設施。當前,5G正處於網絡規模建設與應用推廣普及階段,構建多層次的5G融合應用安全體系,是5G應用發展的重要前提與保障。
5G融合應用安全可分為應用層和網絡層安全,應用層安全主要由應用服務提供商負責(例如車聯網服務提供商、在線支付服務提供商),網絡層安全則由基礎電信企業負責,需要基礎電信企業結合各垂直行業的不同安全需求提供網絡層的安全保障能力。5G融合應用剛剛起步,基礎電信企業如何基於5G網絡的網絡切片、網絡功能開放等技術在網絡層為不同行業應用提供安全服務能力成為業界關注的焦點。
三大應用場景需要差異化安全服務
5G支持增強移動寬帶(eMBB)、海量機器類通信(mMTC)和超可靠低時延通信(uRLLC)三大應用場景,不同應用場景支持不同類型的應用業務,對5G網絡具有差異化的安全需求。
增強移動寬帶場景需要更強的用戶隱私保護能力。eMBB場景能夠支持高清視頻、虛擬現實(VR)、增強現實(AR)等高速率、大帶寬業務,提升以“人”為中心的娛樂、社交等個人消費業務的體驗。相比4G,相關應用將會記錄更多的用戶身份、位置、身體行為等隱私數據,5G網絡需要在用戶數據採集、處理和傳輸中提供相應的機密性、完整性和隱私保護措施。
海量機器類通信場景(mMTC)需要更靈活的安全機制。主要支持智慧城市、智能農業等高連接密度業務,由於終端形態多樣,數量眾多,安全能力差異大,部署環境不安全,終端很容易被利用作為DoS攻擊源或觸發信令風暴,5G網絡不僅需要提供開銷較小、功能可配置的輕量級安全機制,還應具有識別非法、被劫持UE的能力,避免影響5G網絡正常服務。
超可靠低時延通信(uRLLC)需要更優化的安全保障能力。支持自動駕駛、工業互聯網等對可靠性、時延要求較高的業務。這些業務由於涉及駕乘人生命安全、工業生產安全,對5G網絡安全保障能力要求最高,且安全機制不能增加過多時延,需要對安全保障流程和方式進行優化。
5G採用靈活的安全架構設計
基於不同應用場景差異化的安全服務需求分析,5G網絡採用靈活的安全架構設計,可以為行業應用提供內生、自適應、差異化的安全保障能力。
一是支持不同層級的安全隔離能力。為了支撐基礎電信企業在共享網絡基礎設施上服務不同行業應用,5G網絡採用虛擬化技術,構建出具有不同服務能力的邏輯網絡,即網絡切片。不同垂直應用可以使用獨立的網絡切片,5G網絡能夠通過不同等級的網絡切片間或切片內的安全隔離機制保護網絡切片內的重要數據和服務質量。網絡切片的安全隔離措施包括資源隔離(例如物理層、操作系統層或虛機層的資源隔離)、通信隔離(例如IPSEC/TLS加密)、管理隔離(例如與編排管理模塊之間獨立交互接口)等方面,並可以根據行業需求區分出完全、部分和無隔離等不同安全隔離等級。
二是支持差異化的安全功能配置能力。為了支持不同行業應用對5G網絡承載數據的不同安全保護要求,5G網絡支持在網絡切片中配置不同的安全功能:在機密性保護方面,可以按需開啟對信令面或用戶面數據等不同數據類型的加密保護,並配置不同強度的加密算法,包括128比特、64比特密鑰長度或專用輕量級等加密算法,防止數據竊取;在完整性保護方面,可以按需開啟對信令或對用戶面等不同數據類型的完整性保護,並可在UE已具備應用層完整性保護能力下選擇不開啟網絡層的完整性保護;在用戶認證鑑權方面,5G網絡可以靈活配置不同類型的證書,支持基於生物特徵、多因子等多種認證方式,並允許在主認證基礎上擴展支持應用專屬的認證流程;在應對網絡攻擊方面,5G網絡還可以按需配置不同的威脅信息蒐集或處置模塊,發現或限制網絡攻擊的影響範圍。
三是支持不同等級的用戶隱私保護能力。當用戶完成5G網絡的接入認證後,會進一步與行業應用所在的網絡切片或應用服務器進行身份認證,並通過5G網絡收集必要的用戶信息。為了防止攻擊者在網絡層竊取用戶隱私,5G網絡需要利用加密、完整性保護、臨時性標識等機制來保護用戶敏感信息,包括用戶在不同行業應用中的身份標識(網絡標識、設備標識、應用賬號等)、所連接的應用服務信息(網絡切片類型、請求服務內容)、位置軌跡等。5G網絡可以按照保護數據的不同範圍分為網絡不感知用戶標識(標識保護)、網絡不感知用戶行為(關鍵行為數據保護)和網絡不感知用戶數據(用戶數據保護)。
四是支持安全即服務的開放能力。5G網絡可以提供安全服務能力,一方面,基礎電信企業可以將網絡切片交由第三方應用服務商直接管理,通過網絡功能開放接口使其在授權範圍內對網絡安全能力進行配置與調整;另一方面,也可以由基礎電信企業直接提供安全服務,包括為行業應用服務商提供網絡層的入侵檢測、密鑰管理、身份與訪問管理等服務,讓行業應用服務商更多地聚焦上層業務的安全能力構建。
隨著5G網絡與垂直行業的不斷融合,5G網絡面向行業應用的安全服務能力還將不斷豐富與拓展。當前5G網絡R16版本標準正在制定中,包括網絡切片安全、蜂窩物聯網安全、uRLLC安全等。為了更好地推動5G網絡的垂直行業應用,一方面要加強基礎電信企業對5G網絡安全服務能力的構建,深度挖掘垂直行業應用在網絡層的安全服務需求;另一方面要加強與應用服務提供商在安全保障能力的協作,通過應用層和網絡層的多層次安全機制,共同為5G各行業融合應用提供安全保障。
閱讀更多 視訊廣電 的文章
