導(dǎo)讀:5G安全白皮書的密集發(fā)布,不僅回應(yīng)了國際社會對于5G產(chǎn)品在安全問題上的擔(dān)憂,也表明當(dāng)前5G安全問題已引發(fā)包括政府、企業(yè)及客戶在內(nèi)的產(chǎn)業(yè)鏈各方的全方位關(guān)注。
近日,華為發(fā)布了題為《與合作伙伴共同確保5G安全》的最新版網(wǎng)絡(luò)安全白皮書。該白皮書在專業(yè)技術(shù)分析的基礎(chǔ)上提出,在全球電信產(chǎn)業(yè)系統(tǒng)的密切協(xié)作下,5G的安全系數(shù)遠(yuǎn)高于此前的任何一代網(wǎng)絡(luò)。此前,在2018年10月,美國也發(fā)布了《5G安全問題演變》的白皮書,該白皮書從政治、社會、技術(shù)等多角度闡釋了5G發(fā)展可能帶來的安全問題,并提出了應(yīng)對建議。此外,中興、愛立信等多家企業(yè)也發(fā)布了自己的5G安全白皮書。
5G安全白皮書的密集發(fā)布,不僅回應(yīng)了國際社會對于5G產(chǎn)品在安全問題上的擔(dān)憂,也表明當(dāng)前5G安全問題已引發(fā)包括政府、企業(yè)及客戶在內(nèi)的產(chǎn)業(yè)鏈各方的全方位關(guān)注。
5G網(wǎng)絡(luò)安全問題不容忽視
5G網(wǎng)絡(luò)給社會帶來的變革是全方位的,其面臨的安全問題也是多領(lǐng)域的。既包括技術(shù),也包括終端;既包括接入,也包括輸出;既包括內(nèi)部,也包括外部;既包括本身,也包括應(yīng)用。
5G終端的安全要求
5G終端安全通用要求包括用戶與信令數(shù)據(jù)的機(jī)密性保護(hù)、簽約憑證的安全存儲與處理、用戶隱私保護(hù)等多個(gè)方面。5G終端特殊安全要求包括對于超可靠低延遲通信的終端需要支持高安全、高可靠的安全機(jī)制,對于海量機(jī)器類通信終端需要支持輕量級的安全算法和協(xié)議,對于一些特殊行業(yè)需要專用的安全芯片,以及定制操作系統(tǒng)和特定的應(yīng)用商店。
在網(wǎng)絡(luò)和用戶設(shè)備輔助方面,用戶設(shè)備輔助終端設(shè)備負(fù)責(zé)收集信息,將相鄰基站的扇區(qū)編號、信號強(qiáng)度等信息通過測量上報(bào)給網(wǎng)絡(luò),網(wǎng)絡(luò)結(jié)合網(wǎng)絡(luò)拓?fù)洹⑴渲眯畔⒌认嚓P(guān)數(shù)據(jù),對所有數(shù)據(jù)進(jìn)行綜合分析,確認(rèn)某個(gè)區(qū)域中是否存在偽基站,同時(shí),通過GPS和三角測量等定位技術(shù),鎖定偽基站位置,從而徹底打擊偽基站。
網(wǎng)絡(luò)切片和編排安全問題
不同切片的隔離是切片網(wǎng)絡(luò)的基本要求。每個(gè)切片需要預(yù)配一個(gè)切片ID,當(dāng)終端附著網(wǎng)絡(luò)時(shí)提供切片ID,然后在切片安全服務(wù)器中采取與該切片ID相對應(yīng)的安全措施和算法,并為終端創(chuàng)建與切片ID綁定的認(rèn)證矢量。因此,支持網(wǎng)絡(luò)切片的運(yùn)營支撐系統(tǒng)需要進(jìn)行安全態(tài)勢管理與監(jiān)測預(yù)警,利用各類安全探針,采用標(biāo)準(zhǔn)化的安全設(shè)備統(tǒng)一管控接口,并對安全事件進(jìn)行上報(bào);同時(shí),根據(jù)安全威脅智能化生成相關(guān)的安全策略調(diào)整,并將這些策略調(diào)整下發(fā)到各個(gè)安全設(shè)備中,從而構(gòu)建起一個(gè)安全的防護(hù)體系。
網(wǎng)絡(luò)開放性的安全問題
雖然5G將提供移動性、會話、服務(wù)質(zhì)量和計(jì)費(fèi)等功能的接口,還將開放管理和編排,讓第三方服務(wù)提供者可獨(dú)立實(shí)現(xiàn)網(wǎng)絡(luò)部署、更新和擴(kuò)容。但是,相比現(xiàn)有的相對封閉的移動通信系統(tǒng)來說,5G網(wǎng)絡(luò)如果在開放授權(quán)過程中出現(xiàn)信任問題,那么惡意第三方將通過獲得的網(wǎng)絡(luò)操控能力對網(wǎng)絡(luò)發(fā)起攻擊,尤其是高級持續(xù)威脅攻擊、分布式拒絕服務(wù)、蠕蟲惡意軟件攻擊等將會規(guī)模更大而且更加頻繁。因此,隨著用戶(設(shè)備)種類增多、網(wǎng)絡(luò)虛擬化技術(shù)的引入,用戶、移動網(wǎng)絡(luò)運(yùn)營商以及基礎(chǔ)設(shè)施提供商之間的信任問題也比以前的網(wǎng)絡(luò)更加復(fù)雜。同時(shí),在網(wǎng)絡(luò)對外服務(wù)接口方面也需要進(jìn)行認(rèn)證授權(quán),并對沖突策略進(jìn)行檢測,同時(shí)對相關(guān)權(quán)限進(jìn)行控制和安全審計(jì)。
5G下移動邊緣計(jì)算本身的安全問題
移動邊緣計(jì)算服務(wù)器可以部署在網(wǎng)絡(luò)匯聚結(jié)點(diǎn)之后,也可以部署在基站內(nèi),流量將以更短的路由次數(shù)完成客戶端與服務(wù)器之間的傳遞,從而緩解欺詐、中間人攻擊等威脅。同時(shí),移動邊緣計(jì)算通過對數(shù)據(jù)包的深度包解析來識別業(yè)務(wù)和用戶,并進(jìn)行差異化的無線資源分配和數(shù)據(jù)包的時(shí)延保證。因此,移動邊緣計(jì)算本身的安全特別重要,需要考慮在5G環(huán)境下軟件定義網(wǎng)絡(luò)控制網(wǎng)元與轉(zhuǎn)發(fā)節(jié)點(diǎn)間的安全隔離和管理,以及軟件定義網(wǎng)絡(luò)流表的安全部署和正確執(zhí)行。
5G在車聯(lián)網(wǎng)和物聯(lián)網(wǎng)上的安全挑戰(zhàn)
車聯(lián)網(wǎng)要求空口時(shí)延低至1ms,而傳統(tǒng)的認(rèn)證和加密流程等協(xié)議并未考慮超高可靠低時(shí)延的通信場景,為此要簡化和優(yōu)化原有安全上下文(包括密鑰和數(shù)據(jù)承載信息)管理流程,支持移動邊緣計(jì)算和隱私數(shù)據(jù)的保護(hù)。通常物聯(lián)網(wǎng)具備終端資源受限、網(wǎng)絡(luò)環(huán)境復(fù)雜、海量連接等特征,容易受到攻擊,等特征所以安全問題更是不能忽視。如果每個(gè)設(shè)備的每條消息都需要單獨(dú)認(rèn)證,那么終端信令請求一旦超過網(wǎng)絡(luò)處理能力,則會觸發(fā)信令風(fēng)暴。因此,5G對海量機(jī)器類通信需要有群組認(rèn)證機(jī)制,需要采用輕量化的安全機(jī)制保證海量機(jī)器類通信在安全方面不要增加過多的能量消耗,還需要抗網(wǎng)絡(luò)攻擊機(jī)制以應(yīng)對5G終端被攻擊者劫持和利用。
值得期待的3種安全機(jī)制
為了提高通信安全并且保護(hù)用戶的隱私,在繼承3G、4G網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上,5G網(wǎng)絡(luò)又開發(fā)了多種全新的網(wǎng)絡(luò)安全機(jī)制,其中“網(wǎng)絡(luò)切片”、“多元可擴(kuò)展認(rèn)證”和“智能型主動防御”這三種安全機(jī)制最值得關(guān)注和期待。
網(wǎng)絡(luò)切片安全機(jī)制
網(wǎng)絡(luò)切片是5G及未來通信網(wǎng)絡(luò)中的一項(xiàng)關(guān)鍵技術(shù),其面向業(yè)務(wù)配置網(wǎng)絡(luò)的特性可以有效地助力垂直行業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型,不同移動終端的安全性能和對安全的需求在不同的應(yīng)用場景下是完全不同的。例如,用于手機(jī)之類視頻播放的增強(qiáng)型移動寬帶終端,對終端認(rèn)證、加解密的安全需求同長期演進(jìn)技術(shù)類似;而傳感器式的終端由于計(jì)算能力有限、安全需求不高、對成本敏感,它僅需輕量級的認(rèn)證、加解密算法;對于高可靠安全通信,終端則需要快速接入認(rèn)證、加強(qiáng)密算法的支持。
多元信任模型
進(jìn)入5G時(shí)代,移動通信網(wǎng)絡(luò)不只服務(wù)于個(gè)人消費(fèi)者,更重要的是將服務(wù)于垂直行業(yè),衍生出極為豐富的新產(chǎn)品。5G時(shí)代不僅僅是更快的移動網(wǎng)絡(luò)或更強(qiáng)大的智能手機(jī),更將產(chǎn)生諸如海量機(jī)器類通信和超可靠低延遲通信這些鏈接世界的新型業(yè)務(wù)。
5G網(wǎng)絡(luò)將融合傳統(tǒng)二元信任模型,并構(gòu)建多元信任模型。網(wǎng)絡(luò)和垂直行業(yè)可結(jié)合進(jìn)行業(yè)務(wù)身份管理,使得業(yè)務(wù)運(yùn)行更加高效,用戶的個(gè)性化需求也得以滿足。5G網(wǎng)絡(luò)面臨大量新增的物聯(lián)網(wǎng)設(shè)備和可穿戴設(shè)備,使用傳統(tǒng)的用戶管理機(jī)制在開戶、認(rèn)證等方面成本過于高昂,已經(jīng)不能完全滿足5G用戶管理的需求,因此需要制定靈活可擴(kuò)展的身份管理機(jī)制,根據(jù)業(yè)務(wù)特征及其新的安全威脅進(jìn)行優(yōu)化,在安全和運(yùn)營成本之間取得平衡。
智能化主動安全防御機(jī)制
5G是個(gè)開放的網(wǎng)絡(luò),存在海量物聯(lián)網(wǎng)設(shè)備暴露在戶外、硬件資源受限、無人值守、易受黑客攻擊和控制等問題,這些問題將會使5G網(wǎng)絡(luò)面臨大量的網(wǎng)絡(luò)攻擊。如果采用現(xiàn)有的人工防御機(jī)制,不僅響應(yīng)速度慢,而且防御成本將急劇增加,所以需要考慮采用智能化防御來自海量物聯(lián)網(wǎng)設(shè)備的安全威脅。此外,網(wǎng)絡(luò)攻擊日趨自動化,0day攻擊的可能性越來越大,5G網(wǎng)絡(luò)需要考慮由被動變主動的安全防御機(jī)制。
技術(shù)與監(jiān)管并重將成為5G安全問題的解決愿景
誠如中興在其《5G安全白皮書》所描述的那樣,“如同歷史上所有偉大的技術(shù)一樣,5G也需要經(jīng)歷兩次發(fā)明過程,一次是5G本身技術(shù)的研發(fā),另一次是5G安全技術(shù)的研發(fā)?!彪S著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,5G已經(jīng)從技術(shù)能力上為放號做好準(zhǔn)備。然而如何讓市場(尤其是垂直行業(yè))放心的、大規(guī)模的使用5G網(wǎng)絡(luò),是擺在產(chǎn)業(yè)界面前的新挑戰(zhàn)。為了讓5G走的更遠(yuǎn),安全是非常重要的一環(huán)。5G網(wǎng)絡(luò)安全不僅僅是一個(gè)技術(shù)問題,對安全監(jiān)管也提出了更高的要求,需要新的法律框架、監(jiān)管模式和評估認(rèn)證體系,同時(shí)對現(xiàn)有的網(wǎng)絡(luò)治理體系、運(yùn)維體系和客服體系也提出了挑戰(zhàn)。
重視核心基礎(chǔ)技術(shù)的安全及積累
5G技術(shù)是眾多通信技術(shù)、標(biāo)準(zhǔn)的商用化集合。無論是何種類型的應(yīng)用場景,最終的實(shí)現(xiàn)均依靠落地后的終端、基站、承載網(wǎng)、核心網(wǎng)等設(shè)備。以華為、中國移動等為代表的中國企業(yè)早在多年前就積極參與了5G標(biāo)準(zhǔn)規(guī)范的制定及產(chǎn)品基礎(chǔ)研發(fā),積累了核心技術(shù)的同時(shí)也掌握了部分標(biāo)準(zhǔn)話語權(quán)。在未來,我國應(yīng)當(dāng)繼續(xù)重視這些掌握核心技術(shù)企業(yè)的情況,確保5G基礎(chǔ)設(shè)備和技術(shù)的安全可控。
研究制定5G相關(guān)法規(guī)、監(jiān)管等措施
對于新型應(yīng)用場景,如VR、智能網(wǎng)聯(lián)汽車、大規(guī)模工業(yè)傳感器等,目前尚未有成型的法律法規(guī)及監(jiān)管措施。面對新業(yè)態(tài),新的領(lǐng)域也需要出臺相關(guān)法律法規(guī)以規(guī)范使用情況,只有這樣才能讓5G新技術(shù)更好地服務(wù)于廣大人民群眾的日常生活。
進(jìn)一步加強(qiáng)對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)
5G時(shí)代的到來,如智能網(wǎng)聯(lián)汽車、VR輔助醫(yī)療、大規(guī)模傳感器網(wǎng)絡(luò)等多類型的海量數(shù)據(jù)將會匯入各大運(yùn)營商的5G承載網(wǎng)中,5G承載網(wǎng)必定會成為對人民群眾乃至國家安全影響重大的關(guān)鍵信息基礎(chǔ)設(shè)施,這對5G承載網(wǎng)絡(luò)的安全防護(hù)也提出了更高的要求。
關(guān)注新業(yè)態(tài)網(wǎng)絡(luò)安全
在5G時(shí)代,場景的多樣化使得管理角度需要實(shí)現(xiàn)以網(wǎng)絡(luò)為中心到以數(shù)據(jù)為中心的轉(zhuǎn)變。有以下幾個(gè)做法:一是對數(shù)據(jù)進(jìn)行分類分級,不同級別的數(shù)據(jù)實(shí)現(xiàn)差異化管理措施;二是關(guān)注處理大量數(shù)據(jù)的企業(yè),審查其合規(guī)性;三是密切關(guān)注數(shù)據(jù)泄露事件,迅速響應(yīng)處理。
5G網(wǎng)絡(luò)是一個(gè)全融合的網(wǎng)絡(luò),其安全問題也是連接“移動智能終端、寬帶和云”的系統(tǒng)化安全問題,更是涉及物理安全、傳輸安全以及信息安全的全方位安全問題,并由此產(chǎn)生了如大數(shù)據(jù)安全保護(hù)、虛擬化網(wǎng)絡(luò)安全、智能終端安全等關(guān)鍵安全問題。此外,超脫于技術(shù)之上的是一套監(jiān)管體系的構(gòu)建。因?yàn)榧夹g(shù)是不斷發(fā)展的,而監(jiān)管體制卻是5G安全的恒久保障,唯有做到技術(shù)與體制培育并重,才能讓5G網(wǎng)絡(luò)真正為人們的生產(chǎn)、生活帶來更多的便利。