閱讀: 187
目前在國家主管部門的領導下,中國5G的建設和發(fā)展速度越來越快,廣電也擁有自己的5G牌照,也會參與到整個5G的建設中來。5G通信技術(shù)采用了很多新的技術(shù)以及不同的組網(wǎng)方式來滿足不同的場景的業(yè)務需求,而新技術(shù)新業(yè)務的使用也必將帶來新的安全需求。我們需要在建設5G網(wǎng)絡的同時高度關注網(wǎng)絡安全,才能保證整個5G網(wǎng)絡基礎設施和業(yè)務的安全,否則將會給社會和人民生活帶來嚴重損失。
2019年6月,工信部正式向中國電信、中國移動、中國聯(lián)通以及中國廣電發(fā)放5G商用牌照,中國廣電成為我國境內(nèi)第四家5G基礎電信運營企業(yè)。近期,工信部向中國廣電頒發(fā)了4.9GHz頻段5G試驗頻率使用許可,同意其在北京等16個城市部署5G網(wǎng)絡,2020年2月九部委聯(lián)合印發(fā)《全國有線電視網(wǎng)絡整合發(fā)展實施方案》,明確全國廣電一網(wǎng)的整合與組建方案,由中國廣電主導,建設具有廣電特色的5G網(wǎng)絡并賦能有線電視網(wǎng)絡,由此可見5G是廣電未來發(fā)展的重要方向。
5G網(wǎng)絡是未來物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市、智慧家庭等萬物互聯(lián)的基礎。5G網(wǎng)絡的高帶寬、低時延、大連接特性,將大幅度提升全社會各產(chǎn)業(yè)的信息化水平。它不僅提升了人與人之間通信的速度和效率,還將有效拓展人與物、物與物之間的連接水平和通信能力。5G將滲透到萬物互聯(lián)的各個領域,極大豐富移動通信網(wǎng)絡的業(yè)務范疇,并將逐步形成完善的生態(tài)體系。
5G采用了很多不同于4G的新技術(shù),以適應多種應用場景的需求,新技術(shù)往往是“雙刃劍”,帶來便利的同時也會形成新的挑戰(zhàn)。5G網(wǎng)絡架構(gòu)引入新的技術(shù)SDN、NFV來提高系統(tǒng)的靈活性和效率,同時降低成本;但由于SDN、NFV使網(wǎng)絡邊界變得十分模糊,以前依賴物理邊界防護的安全機制難以得到應用。為了滿足低時延業(yè)務,在5G接入點也將部署大量的MEC節(jié)點,MEC節(jié)點也將采用云化的部署方式,同樣面臨各種各樣的安全風險。
MEC安全需求
MEC通過將計算存儲能力與業(yè)務服務能力向網(wǎng)絡邊緣遷移,使應用、服務和內(nèi)容可以實現(xiàn)本地化、近距離、分布式部署,從而一定程度解決了5G增強移動寬帶、海量機器類通信、超高可靠低時延通信等技術(shù)場景的業(yè)務需求。邊緣節(jié)點具備一定的規(guī)模后形成邊緣云。位于接入機房處的邊緣云規(guī)模較小,容易遭受物理攻擊,但距離用戶終端最近,能夠為業(yè)務提供超低時延保障。位于邊緣機房的邊緣云規(guī)模較大,雖然時延相對前者較大,但可靠性、安全性更高。
MEC為5G帶來便利的同時也帶來了新的安全需求,主要包括兩個方面:MEC應用的安全需求和MEC基礎設施的安全需求:
- MEC應用的安全需求
5G垂直應用落地的一大關鍵是在MEC邊緣云上部署可信的第三方應用。然而,目前仍缺少對MEC應用進行安全檢查的安全規(guī)范。惡意MEC應用除了會嘗試耗盡它所運行的MEC主機的計算、網(wǎng)絡、存儲資源外,因為緊鄰在基站側(cè),惡意MEC可以利用無線和網(wǎng)絡能力開放接口重新配置無線接入網(wǎng)以達到消耗競爭對手MEC應用分配到的無線資源。此外,惡意MEC應用還可在本地環(huán)境搜索易受攻擊的設備,執(zhí)行破解密碼等程序。更為嚴重的是,運營商核心網(wǎng)用戶面網(wǎng)元UPF常與MEC應用共平臺部署,進一步擴大核心網(wǎng)的攻擊面。
因此,在將MEC應用實例化到5G網(wǎng)絡前,需要考慮MEC應用的安全需求。首先,要確保MEC應用來自可信的第三方應用提供商,可以通過對鏡像進行簽名驗證來實現(xiàn);其次,要確保上傳的MEC鏡像未經(jīng)過非法篡改,可以通過完整性校驗實現(xiàn);最后,需要在沙箱中檢測MEC應用是否存在攻擊行為及虛假計費行為。因為5G中第三方應用的計費從核心網(wǎng)下沉到邊緣側(cè),繞過了核心網(wǎng)的有力監(jiān)控,因此,針對邊緣應用的計費行為需要重點關注。
- MEC基礎設施的安全需求
MEC節(jié)點靠近網(wǎng)絡的邊緣,外部環(huán)境可信度降低,運營商的管理控制能力減弱。攻擊者甚至可以通過物理攻擊的手段(如放火、砸毀機房等)使本地MEC節(jié)點失效。此外,MEC自身資源有限、安全能力不夠完善,可抵御的攻擊種類和抵御單個攻擊的強度不夠,容易被攻擊。
因此,MEC基礎設施也存在著安全防護需求。這些需求分為包括兩個部分:物理基礎設施防護需求和虛擬化基礎設施防護需求。
- 物理基礎設施安全防護要確保物理環(huán)境的安全。由于位于網(wǎng)絡邊緣側(cè)且分布式部署,邊緣機房往往管理力度不夠,相對于云服務器,更容易遭受物理攻擊和物理端口被竊聽的風險?赏ㄟ^加鎖、人員管理等方式保障物理環(huán)境安全。其次,可信計算和可信IO接入的引入也可以保障物理服務器的可信。
- 虛擬基礎設施需要應對多維度的安全風險,包括宿主機操作系統(tǒng)、容器和虛擬機。為加強宿主機操作系統(tǒng)安全性,可以對操作系統(tǒng)進行基礎檢查、漏洞掃描、病毒和木馬防范、升級及補丁管理;為加強容器和虛擬機安全性,可設計有效的隔離機制,關閉無關端口、并對東西向流量進行安全檢測。
SDN/NFV安全需求
5G新的網(wǎng)絡架構(gòu)引入了SDN、NFV技術(shù),提供更靈活、更高效、更低成本的網(wǎng)絡服務。SDN/NFV在與5G融合的過程中,也給5G移動通信網(wǎng)帶來了新的攻擊面。
- SDN風險和安全需求
SDN控制器是傳輸網(wǎng)和核心網(wǎng)網(wǎng)絡調(diào)度的中心,其本身存在不少安全脆弱點。作為網(wǎng)絡的“大腦”,當攻擊者攻破控制器,就可以向所有的網(wǎng)絡設施發(fā)送指令,很容易使整個網(wǎng)絡癱瘓。因此,設計一個安全可靠的SDN控制器對于移動通信網(wǎng)來說是必不可少的。
安全可靠的SDN控制器首先需要加入審計機制,檢查訪問控制器的用戶是否合法。其次,控制器和底層交換設備之間必須存在一個加密通道,以防止中間人攻擊。最后,對于控制器上運行的應用軟件,需要進行安全測試以防止應用被植入惡意代碼,同時還應做到應用隔離和權(quán)限管理,以限制應用對底層資源的訪問權(quán)限。
除了SDN控制器的安全需求外,負責數(shù)據(jù)轉(zhuǎn)發(fā)的底層交換設備也容易遭受各種攻擊,如攻擊者直接入侵交換機用虛假流信息填滿流表、修改交換機對數(shù)據(jù)包的操作。底層交換設備,除了進行主動的攻擊檢測外進行安全防護外,還可以通過流控、擁塞丟包和超時調(diào)整等方式抵御外部攻擊。
- NFV安全需求
NFV技術(shù)是核心網(wǎng)網(wǎng)元能夠動態(tài)靈活部署的關鍵。然而,NFV平臺存在平臺自身的脆弱性問題和不安全的接口,同時運行于上的虛擬安全功能(如5G核心網(wǎng)網(wǎng)元)也面臨著遠程調(diào)試、數(shù)據(jù)竊取與篡改等風險。因此,NFV的安全需求包括以下幾個方面:
- VNF安全需求:核心網(wǎng)網(wǎng)元通過VNF軟件包實例化在虛擬化平臺之上,因此有必要對第三方提供的VNF軟件包進行完整性校驗,同時需要對VNF進行敏感數(shù)據(jù)保護和權(quán)限管理;
- NFV網(wǎng)絡安全需求:VNF之間通信的流量可能只在同一宿主機內(nèi),傳統(tǒng)的物理安全設備很難檢測到這樣的流量,因此NFV組網(wǎng)需要考慮VNF之間通信的安全,如雙向認證、數(shù)據(jù)加密和完整性保護,同時可以部署虛擬機形態(tài)的安全功能對主機內(nèi)的流量進行安全監(jiān)控;
- MANO安全需求:MANO平臺除了有MANO各實體之間交互的安全需求(如雙向認證),還包括每個MANO實體的安全需求,如VNFM可以運行在虛擬機上,因此需要考慮虛擬機逃逸等安全威脅;
面向垂直行業(yè)驅(qū)動的切片安全需求
國際電信聯(lián)盟將5G業(yè)務劃分為三個類型:增強型移動寬帶(eMBB)、超高可靠性低時延業(yè)務(uRLLC)和海量機器類通信(mMTC)。每個類型有不同的服務質(zhì)量需求,如uRLLC業(yè)務需要滿足低時延、高帶寬,而海量機器類通信需要支持大連接,但對網(wǎng)絡時延并不敏感。
為了能夠根據(jù)不同業(yè)務構(gòu)建不同網(wǎng)絡,5G引入了網(wǎng)絡切片的概念。網(wǎng)絡切片是指在運營商的物理網(wǎng)絡之上構(gòu)建多個虛擬網(wǎng)絡,每個虛擬網(wǎng)絡提供差異化的網(wǎng)絡服務。行業(yè)應用需求的差異決定了網(wǎng)絡切片功能的差異化。并非所有切片都包含相同的網(wǎng)絡功能,有些網(wǎng)絡功能基于需求可以不用配置或進行定制化的裁剪。
- 跨域的切片安全機制
跨域的切片安全機制是保障切片安全的基礎。根據(jù)上層MANO平臺下發(fā)的一致性安全策略,切片安全機制通過切片或子切片隔離、統(tǒng)一的切片認證等方式實現(xiàn)對切片的跨域安全防護。
網(wǎng)絡切片運行于公有的基礎設施之上。根據(jù)3GPP協(xié)議,不同的切片之間可以共享控制面的子切片,而對于數(shù)據(jù)面的子切片而言,切片之間無法共享。因此,網(wǎng)絡切片需要提供不同切片之間有效的隔離機制,防止本切片的隱私數(shù)據(jù)被其他切片有意或無意訪問,如車聯(lián)網(wǎng)切片中,車輛的位置信息、身份信息等敏感信息并不希望被其他切片所訪問。當切片隔離機制不合理時可能會帶來安全隱患,如某個切片允許租戶在切片網(wǎng)絡中部署自身的第三方網(wǎng)絡功能,惡意的第三方網(wǎng)絡功能可能會對其他切片發(fā)起攻擊。此外,為了使租戶放心地使用網(wǎng)絡切片,切片中資源、服務的隔離效果應該接近于現(xiàn)有的私有網(wǎng)絡。
5G網(wǎng)絡的接入方式多種多樣,包括3GPP接入和非3GPP接入。同時,某些終端具備支持接入多種網(wǎng)絡切片、在不同網(wǎng)絡切片之間切換的能力,從而導致5G接入場景多種多樣。因此,5G應該提供一種統(tǒng)一、高效的切片認證方式,實現(xiàn)終端對不同切片的接入認證和鑒權(quán)。
- 提供差異化的切片安全處理能力
切片網(wǎng)絡除了可以為垂直行業(yè)提供差異化的連接服務外,還需要根據(jù)各垂直行業(yè)安全需求的不同提供差異化的安全防護能力。
eMBB場景下,5G網(wǎng)絡峰值速率和用戶體驗速率較4G增長10倍以上。超大流量增加了基于流量檢測、內(nèi)容識別、加解密等技術(shù)的安全防護難度;不良視頻內(nèi)容識別、海量數(shù)據(jù)的輿情分析等方面對安全監(jiān)測帶來挑戰(zhàn)。因此,eMBB切片對安全功能的計算與處理能力帶來了很大挑戰(zhàn)。
uRLLC場景具有高安全、高可靠、低時延的特點。在切片部署的過程中需要考慮安全功能引入的時延以及在高速率情況下留給安全功能的開銷。因此,uRLLC切片對安全響應時效性要求較高。
mMTC場景具有大連接、弱終端的特點。因此,安全和加密算法必須滿足資源受限的約束,同時終端并不一定每一次通信都需要完成完整的安全流程。此外,mMTC切片還需要抵御超大連接易引發(fā)的全網(wǎng)或局部規(guī)模DDoS攻擊。
2020年5G將進入規(guī)模部署商用,廣電在大融合背景下也將大力發(fā)展5G業(yè)務,在這樣的背景下,5G安全愈發(fā)引人關注。5G由于其IT和CT融合的特性,其安全需求不僅包括傳統(tǒng)移動通信網(wǎng)的需求,還有新型的IT技術(shù)和多樣化垂直服務引入的需求。在發(fā)展5G的同時,我們也要關注5G網(wǎng)絡的安全需求,最終能夠提供一張高質(zhì)量、高可靠、高安全的5G網(wǎng)絡。