以终端为中心的5G安全体系.pdf
以终端为中心的 5G安全体系 WHITE PAPER V7.0 K 2020.110 5G 2.0 UE Centric Security in 5G V2.0以终端 为中 心 的 5G 安 全 体系 UE Centric Security in 5G V2.0 1 摘 要 5G 的业务能力提升、 业务多样性扩展、 终端形态多样、 能力多样、 部署环境多元化, 以 及网络 的虚拟 化、 边缘 计算、 网络开 放等 新的 特征和 技术的 引入 , 特 别是在 智能网 联车 和各 种垂直行业中的应用, 使得 5G 安全遇到前所未有的威胁和风险 ,5G 终端安全的重要性也日 益凸显 。 本白皮书分析了 5G 中的终端和系统的安全威胁 , 以及传统和新兴的安全解决方案, 在 V1.0 版本的基础上,增加了 基于 EAT 协议和硬件安全令牌的 5G 终端状态证言、面向 用 户和 终端的 5G 应用认证和密钥管理、 更安全的 基础可信根等内容 , 进一步丰富了 “以终端为 中心的 5G 安全体系”概念。 在 “以终端为中心的 5G 安全体系” 中, 介绍 了 实施可信技术打造可信终端, 并以此为信 任根 建立以 用户所信任和授权的 终端为中心的 5G 安全体系,并将可信概念扩展、开放 给用 户的周边设备和其它应用 ,可以解决 5G 中处于最末端的终端安全以及高层应用安全 ,其核 心是对 用户和 用户 使用 的各种 业务提 供安 全保 障 ,实 现 “用 户域 安全 联盟” 。 作为 使用 者个 人的扩 展,终 端可 能代表 多个 角色 。 本白 皮书 讨论了 角色分 配、 隔离 、切换 相关的 安全 性 和 隐私保护 。 Abstract 5G system is designed with new features, like high capability network, diverse service, diverse terminal/equipment, and their diverse capability, diverse deployment environment. 5G network also introduces network-function-virtualization, network slicing, edge computing, and network openness. New and high-security threats come along with all those features, especially for ICV and various 5G vertical applications. The importance of 5G terminal security is becoming increasingly prominent. In this whitepaper, we analyzed the threats, then traditional and emerging security solutions. Beyond V1.0, we added new solutions on EAT protocol and hardware security token based 5G terminal security status attestation, user and terminal oriented 5G Authentication and Key Management for以终 端为 中心 的 5G 安全 体系 UE Centric Security in 5G V2.0 2 Applications, more secured essential Root of Trust. Those contents further enrich the concept of UE centric security framework in 5G. In the UE centric security framework, the trusted UE is built, by implementing the trusted computing and remote attestation technologies. Based on the trusted root, i.e. the user trusted and authorized UE, a security chain is enabled. Through hardware-token solution and secure key derivation functions, the trust opens to peripherals of the user and other authentication ends. The goal is to realize “Security Federation of User Domain”. One UE may represent multiple roles or multiple users, therefore we discussed the separation of the contexts and the protection of privacy.以终端 为中 心 的 5G 安 全 体系 UE Centric Security in 5G V2.0 3 本版白皮书在 1.0 版基础上主要进行了如下增补和修订: 更新了“摘要”和“Abstract ”; 将原“4.2.3 5G ME 认证过程 ”合并入 4.2.2 节; 修改 5.1 节标题和概述部分; 新增“5.2 终端中的基础可信根”节; 新增“5.5 基于 EAT 协议和硬件安全令牌的安全状态证言”节; 新增“5.6 5G 应用级密钥推 衍 ”节; 新增“5.7 终端作为用户对外操作的新型可信根”节; 更新了“6 总结和建议”章节; 增补“参考文献”和“缩略语”; 其它编辑性修正和更新;以终 端为 中心 的 5G 安全 体系 UE Centric Security in 5G V2.0 4 摘 要 . 1 ABSTRACT . 1 修 订列 表 . 3 目 录 . 4 1 前言 . 7 2 5G 应用 与终 端 . 7 2.1 5G 网络特征与场景 . 7 2.2 消费娱乐类 . 8 2.3 金融支付类 . 8 2.4 政企办公类 . 9 2.5 工业互联网类 . 10 2.6 基础设施联网类 . 10 2.7 行业定制专用类 . 11 2.8 数字钥匙 . 12 2.9 终端为中心的 5G 应用 . 12 3 安 全威 胁 . 12 3.1 终端安全威胁 . 12 3.1.1 病毒、蠕虫和木马 . 12 3.1.2 克隆终端 . 13 3.1.3 带病终端 . 13 3.1.4 终端劫持 . 13 3.1.5 DDos 攻击 . 14 3.1.6 芯片攻击 . 14 3.1.7 数据窃取 . 14 3.2 终端应用系统级安全威胁 . 14 3.2.1 敏感数据泄露 . 14 3.2.2 用户隐私泄露和财产损失 . 15 3.2.3 非法接入和越权使用 . 16 3.3 通信安全威胁 . 16 3.3.1 位置追踪 . 16 3.3.2 伪基站与降阶攻击 . 16 3.4 终端作为信任根开放后的安全威胁 . 17以终端 为中 心 的 5G 安 全 体系 UE Centric Security in 5G V2.0 5 3.5 5G 系统安全威胁 . 18 4 安 全解 决方案 . 18 4.1 传统方案 . 19 4.1.1 用户认证和授权 . 19 4.1.2 通信加密和完整性保护 . 20 4.1.3 终端侧安装杀毒软件 . 21 4.1.4 网络和服务器侧部署防火墙 . 21 4.2 新兴和附加方案 . 22 4.2.1 5G SUCI . 22 4.2.2 对 5G 终端的认证 . 23 4.2.3 5G 网络安全 . 28 4.2.4 伪基站防护 . 29 4.2.5 基于终端底层调用监控的病毒和恶意行为检测 . 29 4.2.6 可信环境和可信终端 . 30 4.2.7 虚拟机隔离 . 32 5 终 端为 中心的 安全 . 33 5.1 终端可信技术 . 33 5.1.1 可信终端 . 34 5.1.2 可信存储 . 36 5.1.3 可信执行环境 . 36 5.1.4 可信启动 . 37 5.1.5 可信硬件密码运算 . 38 5.1.6 可信调试 . 39 5.1.7 可信用户界面 . 39 5.1.8 可信传感器 . 40 5.1.9 隐私保护 . 41 5.2 终端中的基础可信根 . 41 5.3 远程证明 . 42 5.4 终端安全令牌 . 43 5.4.1 基本流程 . 43 5.4.2 基于本地生物识别的用户认证 . 44 5.4.3 安全保护 . 44 5.5 基于 EAT 协议和硬件安 全令牌的安全状态证言 . 45 5.6 5G 应用级密钥推衍 . 47 5.7 终端作为用户对外操作的新型可信根 . 50 5.8 可信能力开放 . 50 5.8.1 终端/ 用户授权的可信外设 . 50 5.8.2 网络与服务互信 . 51 5.9 多角色隔离与转换 . 52 6 总 结和 建议 . 53以终 端为 中心 的 5G 安全 体系 UE Centric Security in 5G V2.0 6 参 考文 献 . 53 缩 略词 表 . 54 关 键词 . 55 致谢 . 56以终端 为中 心 的 5G 安 全 体系 UE Centric Security in 5G V2.0 7 1 随着移动互联网 和工业 互联网 的发展, 移动终 端(UE )在 个人生活 中越来越占据了 重要 位置。5G 网络的部署, 将进一 步促进人和终端的结合, 提高终端为个人生活服务 和行业应用 的便利性。 部署和应用 5G 的新的安全机制设计, 应用最新的终端安全技术, 可以在提高便利 性的同时, 提升数据安全性和个人信息安全性。 2 5G 2.1 5G NGMN 在4 中, 总结 了 5G 的业务特征。 根据这些业务特征, 本章讨论了 5G 对传统业务 的影响以及可能带来的新业务场景,并给出了 5G 时代的安全风险和需求。 5G 业务特征 随着移动互联网的发展, 终端 (UE ) 在个人生 活中越来越占据了重要位置。5G 移动蜂窝 网络除在覆盖性 (例如飞机覆盖) 、 移动性 ( 例如高速移动) 、 连接 性、 使用性能 (速率/ 时 延) 、 可靠性等方面有 极大的提高外, 还带来新的特性, 例如 D2D 直接通信、 大量物联网终 端接入、广播通信等。5G 网络能力和应用开 放系统又为 5G 开辟新 的应用提供了支撑平台。 因此,5G 将对已有的移动业务进一步提升, 创造新的业务和新的商业模式, 从方方面面影响 用户的工作、出行、娱乐、生活。5G 也将开辟工业、商业、服务、政务等方面的新时代。以终 端为 中心 的 5G 安全 体系 UE Centric Security in 5G V2.0 8 2.2 Ovum 发布的5G 娱乐经济报告中 对未来十年进行预测 ,5G 用户的月平均流量将从 2019 年的 11.7GB 增长 7 倍 , 其中 90% 将被视 频消耗。 报告预计,5G 在未来十年将为传媒和 娱乐产业带来 1.3 万亿美元的新营收。 到 2028 年,5G 将会为传媒产业带来 3350 亿美元的营 收,在无线所带来营收中的比重会提升到 79.9% 。 5G 的高速率和高容量会带来多媒体业务和 VR/AR 业务的大规模爆 发。超高分辨率刷新 率的视频音频会提升人们对多媒体业务的体验。结合 5G 低时延特性,交互性的娱乐将称为 主流, 例如 AR 游戏、 体育、 娱乐节目 VR 直播等。 近年来新兴起的个人直播也走出户外, 多 以移动的形式为主。社交将以多媒体和 VR/AR 为主要交互形式。VR/AR 购物也为电子商 务 提供更贴近用户的平台能力。从 LTE 系统商 用对业界的影响可以预期,5G 将会带来更多的 娱乐形式和商业模式创新,更好地服务于人的休闲娱乐。 除了强大的通信能力以外,5G 终端将会给用户带来更好体验的录制、 播放能力, 以及用 户交互 能力。 为了 提高 用户体 验,相 应的 环境 感知能 力也得 到提 升, 例如更 准确的 定位 、速 度、运动识别,甚至可能会引入新的传感模式。 为支撑用户的消费娱乐, 5G 终端需要有更强 的处理器、 图形/ 声音/ 音乐处理能力, 更大更 快的存储,以及多模式的、强大的通信能力。 娱乐 系统中的安全风险主要是个人信息保护相关的, 以及某些 AR/VR 系统被攻击后产生 的财产或心理损害。 2.3 移动互联网带来了移动支付的发展。 在中国, 移动 支付已经成为零售业的主要支付方式, 替代了 传统的 现金 交易 方式。 由于基 础设 施的 差异, 中国的 移动 支付 发展道 路与国 外的 信用 卡为中心的道路差异明显。欧美移动支付以信用卡为中心,以卡号和 APP 为主要支付方式, 而中国则以 APP 内支付平台支付和零售扫码支付为主。 5G 网络提供了高速率、高可靠性、高效海量 MTC 接入、D2D 直接通信等能力。移动支 付除提高可靠性、提高性能、提高体验外,会出现新的支付形式。例如, 移动钱包。移动终端设备作为基本支付凭证。以终端 为中 心 的 5G 安 全 体系 UE Centric Security in 5G V2.0 9 非接触、 无需手动操作的自动支付。 物联网的发展,D2D 直接通信, 借助 WLAN、蓝 牙、 NFC 等与 5G 网络 无缝配合, 将当前的扫码支付转变到非接触无操作的自动支付。 例如停车费 、高速费 自动缴付。 移动 PoS 机,即将商家 的 PoS 机直接安装在移 动终端实现软件方式支付。 D2D 通信用户或设备间 直接转账,无需网络和服务器端实时介入。 区块链记账和电子货币交易。5G 终端计算能力和通信能力,会导引数字 货币的发展。 分布式记账能力在终端实现成为可能。 无钱包 无设 备支 付。借 助于生 物识 别技 术,仅 需要“ 人” 作为 凭证的 ,无需 任何 物理 载体的支付方式成为可能,例如更安全的人脸支付。 毫无疑问,支付金融类业务需要网络、平台以及终端提供足以信赖的安全性保证。支付金融 类业务被攻击成功直接造成个人或企业财务损失。 2.4 即使在移动互联网普及的 LTE 时代,政企的 移动办公发展非常缓慢,尤其是核心功能不 在移动 端开放 ,须 在封 闭的内 网中部 署。 其主 要原因 是网络 和设 备的 公开与 封闭的 矛盾 。在 固定网 络中, 网络 边界 清晰, 防护能 力不 论从 位置上 (网关 处) 还是 成本( 计算能 力、 通信 能力、 实时监 控能 力) 上都容 易部署 。但 是移 动端则 很难实 现网 络隔 离、软 件隔离 、可 信识 别,因此限制了政企办公的发展。 5G 网络提供了网络分片能力, 可以从终端到网络、 到应用提供一个完整的封闭的网络环 境,从 而提供 与固 定网 络相似 的安全 信任 等级 ,政企 应用可 以在 终端 安全部 署。移 动端 部署 可以扩 大政企 用户 的移 动性、 可接入 性, 可以 在家、 在途操 作敏 感业 务,提 高企业 效率 ;可 以扩大政府办公的便利性,使得上门服务、街头服务更加普及。 5G 网 络 的实 时性 、可靠 性 ,则 为政 企中 的敏感 业 务提 供更 加便 捷、可 靠 、安 全的 服务 。 消防、公共安全等业务可以通过移动端实现。 随着个人身份电子化、 个人生物特征与电子身份绑定的发展, 个人原本需要到场面对面办 理的业务,转移到移动终端上办理,提高便利性,降低行政成本。 5G 网络还提供广播类业务,与 IoT 系统结合 ,可以进一步实现行政电子化。例如,通过 实时通知到移动用户,通过 IoT 设备(屏、声 音)实现无处不在的恶劣天气实时预警等。以终 端为 中心 的 5G 安全 体系 UE Centric Security in 5G V2.0 10 政企办公类安全风险涉及比较广。 对于企业而言, 商业秘密被窃取, 造成直接财务损失。 对于政府而言,攻击的结果可能是公共安全事件,也可能是个人信息被窃取。 2.5 工业互联网应用终端种类繁多, 涉及的行业众多, 部署环境复杂。 本 文从应用场景和功能 两个角度进行分类。 从应用场景的角度看, 工业互联网类终端涵盖了 增强移动宽带 (eMBB ) 、 高可靠低时延 通信 (uRLLC ) 、 低功 耗大连接 (mMTC ) 三 大核心应用场景。 其中增强移动宽带类终端主要 用于视频监控类应用, 以及 AR/VR 应用, 包 括固定式监控摄像头以及移动式视频设备。 高可 靠低时 延类终 端主 要包 括工业 控制系 统、 远程 医疗、 无人机 、自 动驾 驶车辆 等对实 时性 要求 很高的 设备。 低功 耗大 连接类 终端主 要包 括各 种类型 的传感 器、 数据 采集器 等低功 耗物 联网 设备。 从终端的功能角度看, 工业互联网类终端包括数据采集类、 智能控制类、 智能业务类、 网 络通信 类等种 类。 数据 采集类 终端包 括各 种类 型的传 感器、 数据 采集 器、视 频设备 等, 其功 能主要 以数据 回传 为主 ,部分 设备有 一定 的计 算和分 析能力 。智 能控 制类终 端包括 各种 通过 网络控 制的阀 门、 开关 等,其 功能主 要以 自动 控制为 主,通 常有 一 定 的实时 性和安 全可 靠要 求。智 能业务 类终 端与 行业应 用相关 联, 包括 固定式 、移动 式, 通常 需要一 定的人 机交 互能 力。网 络通信 类终 端包 括有线 通信和 无线 通信 ,通常 需满足 语音 、视 频等多 媒体网 络传 输需 求。 工业互联网应用场景, 一般为半开放场景, 因此物理攻击和防护非常重要。 工业互联网涉 及到 矿山、 制造、物流等行业,一旦被攻击损失重大。 2.6 固定网络部署需要有线路铺设, 这往往需要大规模的土木施工, 有可能影响正常的生活、 工作、 商务、 交通 。甚 至大多 数情况 下根 本没 有施工 的可能 性。 同时 ,固定 网络一 旦部 署很 难改动,而当前电子化、 网络化、智能化的急速发展,使得很难完整考虑到未来的演进。 5G 可以提供高覆盖、高容量、高效率、低成本的 IoT 部署方式,提 供网络分片和专用网 络的网络环境,这些都将促进基础设施通过蜂窝网络进行互联互通的部署。由于 5G 提供了以终端 为中 心 的 5G 安 全 体系 UE Centric Security in 5G V2.0 11 IoT 联 网 的 低 功 率 设计, 不 方便 部 署电 源线 的低 数 据量 连 接点 可以 通过 电 池供 电 进行 解决 。 OTA(Over the Air ,空 口配置 )配置方式,可 以降低部署的复杂度和人力成本。D2D 直连通 信可为智能设备间的相互协同提供解决方案。 基础设施联网是环境智能化、 社会化的基础。 基础设施联网提供了人与环境的互动能力, 提供了 更完善 的信 息辅 助各种 人工智 能辅 助下 的“无 人化” 、“ 自动 化”操 作。例 如车 联网 的部署 ,需要 电子 化、 信息化 的道路 和交 通指 示 辅助 。通过 部署 无线 接入方 式,无 人区 的远 郊、乡村道路,可以通过太阳能电源加 5G IoT 终端部署实现基础设施智能化、联网化。 公共基础设施被攻击或被破坏, 直接损害公众利益, 甚至可能造成公共安全问题。 例如交 通设施 被攻击 可能 造成 交通拥 堵,灾 害预 警设 施被攻 击可能 造成 公众 恐慌。 对 基础 设施 的防 护, 除了要应对一般的网络攻击外, 还须防护物理攻击。 例如拆壳后直接对电路和器件攻击, 移动 通信终端的 位置等。 2.7 物联网终端具有行业定制化特点。不同行业终端的功能和安全需求差异较大。 (1)能源类 能源类行业包括电力、 石油石化、 煤炭、 新能源等行业。 该行业的定制终端包括专用传感 器、专 用控制 器和 专用 网络设 备等。 这类 终端 通常有 较高的 实时 性要 求,工 作在较 为恶 劣的 工业环境,具有相应的行业技术标准和检测标准。 (2)制造类 制造类行业主要关注智能制造对 5G 终端的需求, 包括工业物联网、 工业自动化控制、 物 流追踪、 工业 AR 、 云化机器人等 。 通过网络切片提供适用于各种制造场景的解决方案, 实现 实时高效和低能耗。 (3)交通运输类 交通运输类终端包括移动终端 (人员、 机动车、 轨道车辆、 船舶、 飞行器等) 和应用于固 定场景 的终端 (道 路、 轨道、 航运等 ), 这类 终端通 常有较 高的 实时 性和高 带宽要 求, 实现 移动终端与固定终端之间的协同。以终 端为 中心 的 5G 安全 体系 UE Centric Security in 5G V2.0 12 2.8 5G 时代,IoT 联网设备 的便利性 (低成本、 低耗电、 海量部署) 和可靠性, 将普及以 5G 为通信方式的智能门锁。OTA 的部署方式、 以 及开放平台部署能力, 也为快速部署、 动态管 理提供可能。 而 5G 提供的高可靠性、 高安全性的通信能力, 也为数字门锁 提供足够高的用户 信赖。D2D 通信的可能 , 使得无需蓝牙、NFC 、WLAN 等局域通信部 署, 即可实现数字钥匙 与数字 门禁间 的直 接通 信。使 用单一 的通 信方 式,替 代多种 通信 方式 ,用户 将只需 携带 一个 移动终 端,即 可走 遍天 下。配 合相应 的操 作系 统、平 台、软 件功 能, 以及精 确定位 ,实 现无 需用户操作,临近即识别、验证、开锁的操作。 2.9 5G 移动宽带和各种应用的发展, 终端早已成为个人生活, 尤其是信息生活的主体。 但传统的 业务设计仍以云端为中心,服务用户。 以 UE 为中心的 模式,即将终端设备经过使用者授权 后 ,作为个人的 数字代表,通过网络或临近通信协议,实现自动化操作。5G 的 D2D 通信, 以及 其他近场通信, 给 UE 为中心的应用提供了很大的想象空间。 例如, 实现自动寻车, 自动 打开车 锁,自 动根 据终 端调整 使用者 习惯 等等 。终端 可能是 移动 智能 手机, 或可穿 戴设 备, 甚至植 入人体 的设 备。 若为终 端颁发 了个 人电 子身份 证或电 子护 照, 可广泛 应用于 政务 、票 务、酒店住宿以及移动支付等应用 中。 终端设备替代了个人作为认证实体, 因此要保证终端设备的安全性, 并且要保证个人对终 端设备的授权。 3 本章从 终端安全威胁、系统安全威胁 、通信安全威胁等方面分析 5G 系统的安全威胁。 3.1 3.1.1 随着计算机技术的发展和网络的普及, 出现了越来越多的病毒、 蠕虫和木马, 而且复杂级 别持续 快速增 加, 存储 方式、 隐藏方 式、 传播 方式和 活动方 式等 不断 更新, 近而越 来越 难被以终端 为中 心 的 5G 安 全 体系 UE Centric Security in 5G V2.0 13 检测出 来。目 前这 些恶 意传播 代码泛 滥成 灾, 危害性 和破坏 性越 来越 强,可 以轻易 使终 端速 度变慢 、内存 变小 、数 据丢失 、隐私 被盗 、芯 片被毁 以及网 络瘫 痪, 给终端 用户造 成了 严重 的经济和心理的压力。 3.1.2 终端多数被放置在不安全的物理环境中, 攻击者很容易接触到, 而且终端成本不高, 攻击 者很容 易获取 。同 时终 端在芯 片、模 组或 者电 路板等 硬件上 ,缺 少相 应的硬 件保护 机制 ,如 防篡 改、 防逆向设计, 攻击者就可以对终端实施克隆; 通过伪造终端( 身份假冒) , 发布或传送 假数据、 监听网络中传输的敏感信息等, 可以形成大规模节点伪造/ 破坏, 影响面广、 危害较 为严重。 3.1.3 目前很多终端生产厂商普遍缺乏安全意识和安全能力, 在终端操作系统、 固件、 业务应用 等软件 的设计 和开 发过 程中, 存在编 码或 者逻 辑方面 的安全 漏洞 和缺 陷,而 且大部 分终 端没 有自动系统升级和漏洞修复机制,这就导致终端存在较高的软件漏洞风险。 不仅软件存在缺陷, 硬件也是如此。 很多终端在硬件架构设计上缺少安全意识, 比如, 设 备在外 壳设计 上没 有做 相应的 防拆除 设计 ,攻 击者就 能很容 易查 出外 壳接触 到内部 硬件 ,利 用工具 从内部 硬件 组件 中提取 固件或 数据 ,然 后加以 分析, 寻找 可以 利用的 漏 洞进 行攻 击; 设备如 果没有 响应 的电 磁信号 屏蔽机 制, 攻击 者则可 通过侧 信道 攻击 方式来 进行密 码系 统的 分析和破解。 由于软件和硬件的漏洞和缺陷, 导致终端 “先天不足” , 带病服役, 遗留了极大的安全隐 患,为恶意攻击者提供诸多“便利”。 3.1.4 随着网络和终端的发展, 越来越多的终端成为攻击者的劫持目标, 同时劫持方式也是趋于 多元化 ,其中 运用 较多 的方式 是, 攻 击者 通过 锁屏、 加密等 方式 劫持 终端, 从而敲 诈用 户钱 财 甚至 破坏终 端。 通常 攻击者 都是利 用系 统漏 洞或通 过网络 钓鱼 等方 式,向 受害终 端植 入 恶 意程序 ,加密 终端 上的 数据文 件 乃至 整个 终端 的存储 空间, 然后 向受 害者索 要数额 不等 的赎以终 端为 中心 的 5G 安全 体系 UE Centric Security in 5G V2.0 14 金后才 予以解 密, 如果 用户未 在指定 时间 缴纳 要求的 金额, 被锁 数据 文件甚 至整个 终端 将无 法 正常使用。 3.1.5 DDos 由于终端种类和数量繁多, 目前正逐渐成为 DDoS 攻击的目标。 大量终端或因恶意破坏, 或因自身存在漏洞,陆续沦为“肉鸡”被黑客远程控制,变成用来发动 DDoS 攻击的工具。 例如智能摄像头、网络视频监控设备、数字录像机等终端,都可能沦为 DDoS 攻击的目标。 移 动智 能终端 数量 庞大 ,计算 能力和 通信 能力 增长迅 速。作 为个 人主 要的通 信工具 ,一 旦侵 入可能追踪其社交网络进行病毒式蔓延传播。 3.1.6 随着技术的进步, 芯片上的晶体管和逻辑门越来越多, 压到固件里的指令数量和代码行数 也随之暴涨, 而随着代码的激增, 漏洞也就越来越多; 同时多数芯片架构缺少安全防护机制, 于此同 时攻击 方式 逐渐 成熟, 例如代 数攻 击、 故障注 入攻击 等, 从而 攻击者 可以较 轻松 的攻 破芯片,获取芯片内部数据。 3.1.7 终端上往往会涉及到重要敏感业务 数据或者个人的隐私信息, 例如智能电表的用电信息、 智能家 居采集 的用 户数 据、智 能穿戴 设备 采集 的个人 信息等 ,由 于终 端硬件 资源限 制, 或由 于成本 因子 , 当前 多数 终端缺 少敏感 数据 保护 机制, 这样就 导致 敏感 数据可 能被攻 击者 直接 窃取。 3.2 3.2.1 根据 GB/T 35273,个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安 全,极 易导致 个人 名誉 、身心 健康受 到损 害或 歧视性 待遇等 的个 人信 息。一 般包括 个人 身份 信息,生物特征信息,金融相关信息,儿童相关信息等。以终端 为中 心 的 5G 安 全 体系 UE Centric Security in 5G V2.0 15 越来越多的移动智能终 端中引入生物识别作为 认证方式,且有逐步向 低端终端渗透的趋 势, 尤其是仅需摄像头+ 软件设计的人脸识别。 终端必须安全地存储和使用这些生物特征数据。 生物特 征作为 人体 与生 俱来的 、无可 能修 改的 个人属 性,对 个人 而言 极为重 要。一 旦泄 露将 造成 不可挽回 的损失。 3.2.2 互联网时代诞生了一大批“免费”商 品,免费游戏、免费咨询、免费社交 APP 等。大部 分免费 模式依 赖于 用户 点击广 告或其 他付 费服 务得以 生存甚 至盈 利。 为了 提高 用户 点击 率、 转换率 ,免费 服务 提供 者 往往 会搜集 用户 的各 种隐私 数据及 行为 习惯 ,精准 推送信 息。 一些 服务提 供者甚 至会 将搜 集来的 用户信 息提 供给 第三方 牟利。 国内 外近 年来对 用户隐 私越 来越 重视,各国纷纷通过立法、清查等方式 保护用户个人信息。 随着用户使用 习惯的变 化,终端逐渐 成为个人 生活的中心。近 30% 的用户在智能 终端上 停留的时间占据了非工作时间的近 30% ,因此在终端上留下许多敏感、重要的个人数据。在 与各个服务提 供商签订隐私条款,信息被合法使用外,还可能有如下个人信息泄露情况: 操作系 统收 集个 人信息 。操作 系统 作为 系统总 体控制 者和 众多 传感器 的管理 者, 可能 在为应用提供合法使用的同时,拷贝、截留部分信息。 软件平台非法手机个人信息。 某些多 APP 公用平台、 安全软件/ 管家类平台具有多 APP 的访问权限,后台收集并关联多 APP 收集的个人信息。 恶意或流氓软件非法手机个人信息。 而非法收集或非法使用个人信息可能带来的风险包括: 心理上 个人 生活 被侵扰 。保有 隐私 是个 人的最 基本的 权利 ,不 愿意被 公开的 信息 会严 重破坏个人尊严和独立感。 直接 经济损失。金融、支付、购物类应用账户和凭据泄露,可能直接造成经济损失。 个人电 子账 户泄 露,可 能会影 响个 人形 象,甚 至造成 财产 损失 。攻击 者可能 冒充 用户 去进行 信息 发布 、社交 活动, 造成 自己 或家人 个人形 象受 损; 甚至可 能通过 诈骗 手段 引起经济损失。 定向推销或其他市场营销侵扰。 社交侵 扰。 社交 网络或 联系人 信息 泄露 ,可能 会为自 己的 社交 圈带来 不便, 进而 影响以终 端为 中心 的 5G 安全 体系 UE Centric Security in 5G V2.0 16 个人生活或个人工作。 3.2.3 非法接入和越权使用是传统网络 主要攻击模式。在 5G 系统中,各种传统的封闭网络都 对外开放,不再有物理上 的封闭和隔离。攻击者只要攻破任何一个单点,都有可能入侵整个 网络系统。 非封闭的网络使得代理、肉鸡、攻击跳板 更容易获取,且难以追踪。BYOD (Bring Your Own Device 自携 终端)工作的 模式下,终端往往又同时兼生活、工作 两个甚 至多个用途。 这使得终端上限制安装软件、限制 操作文件 等传统防护手段失效。 3.3 终端上对外通信协议 (蜂窝, WLAN , 蓝牙,NFC 等) 都设计了相应 的安全协议, 但由于 协议本身漏洞或使用配置不当可能会受到通信安全攻击。 例如, 用户随意接入不安全的 WLAN 网络,配置任意蓝牙连接 可见等。 3.3.1 终端在 WLAN 常开状 态下,会周期性扫描周边的 WLAN 接入点, 可能会被网络扫描到 其硬件 地址。 这些 接入 点可以 据此判 断用 户位 置。终 端内部 安装 的软 件,可 以获取 到终 端临 近的 WLAN 接入点, 根据接入点的位置,也可以计算用户的位置。 在 5G 前 的 网 络 中 , 终 端 在 某 些 情 况 下 会 使 用 明 文 向 网 络 报 告 自 己 的 永 久 通 信 识 别 符 (IMSI ),如果识别符 在空口或者在网络种被截获,则可以获取到用户的位置。 3.3.2 2G 的系统设计中, 仅设计了网络对终端的 单向认证, 终端无法判断接入的是否可信的基 站和网 络。攻 击者 可以 伪冒 基 站和网 络, 让用 户连接 到恶意 网络 ,从 而实现 进一步 攻击 。例 如,给 用户发 送短 信诱 骗用户 点击恶 意链 接 、 下载恶 意软件 或者 伪冒 服务电 话对用 户实 施诈 骗等。以终端 为中 心 的 5G 安 全 体系 UE Centric Security in 5G V2.0 17 3G 和 4G 网络设计时 ,已经实现了双向认证。但是由于需要与已有网络的配合,一般用 户配置允许降级回到 2G 网络。 攻击者可以利用这个特性, 制造条件让终端降阶接入到 2G 的 伪基站,实现相同的攻击。 5G 之前的网络, 虽然进行了用户隐私保护, 使用用户临时标识替代其永久标识, 但仍然 存在用 户向网 络明 文发 送永久 标识的 设计 。伪 基站 可 以通过 向用 户请 求其永 久标识 来对 特定 用户进行定位。5G 中设计了进一步的隐私保护, 网络上不会出现永久标识。 但是若伪基站对 用户实施降阶攻击,使用户降回 4G (5G 不允许降阶接入 2G/3G 网络),则仍然可以实施类 似攻击, 从而导致用户隐私泄露。5G 初始部署阶段, 运营商可能允许用户不更换 USIM 卡直 接接入 5G 网络,仍然有可能泄露用户 IMSI (International Mobile Subscriber Identity ,国际 移 动用户识别码 ) 。 当前仍有 4G/5G 无法覆盖的地区, 而用户接入策略中很难对用户进行区域 限制,因此运营商可能不得不允许用户回到 2G/3G 网络 ,仍然存在降阶攻击的可能。 3.4 在以终端为中心的安全系统中, 终端的可信作为安全信任的基础存在。 终端不仅仅是设备 的代表, 它成为了人的衍生部分, 代表 “物理 个体” (生物特征识别 , “我是” ) 和 “思想 个 体 ” (替代 “我知” ) 的认证 手段。 如不实施可靠的安全保护, 终端的遗失 、 伪冒等, 可能 造 成巨大的损失,甚至是不可挽回的损失。 终端代表 “物理 个体” , 存储了用户的生物特征 。 生物特征是伴随个人一生、 不可更改的 特征。 若生物 特征 被获 取 ,甚 至被公 开 , 那么 作为“ 物理个 人” 将失 去个人 的“物 理特 征唯 一拥有 者”的 属性 。换 言之, 任何人 都可 能伪 冒个人 ,导致 此个 人不 可能再 将生物 特征 作为 识别自己的可靠凭证。5G 时代, 生物特征信息 数据将成为 的网络安全攻防一个重要战场。 终端 遗失或被盗用时, 攻击者可以使用终端作为凭证 进行各种活动。 例如伪冒身份进行商 务 活动 、电子 支付 、社 交活动 等 ,从 而造 成经 济、名 誉、心 理上 的损 失。 因 此, 终 端上 对于 “授权 ”的操 作, 极为 重要。 必须通 过防 护手 段,保 证终端 只有 得到 自由意 志的所 有人 的授 权后才可 代表个人。以终 端为 中心 的 5G 安全 体系 UE Centric Security in 5G V2.0 18 3.5 5G 5G 网络系统 设计中引入了大量先进技术和理念, 例如虚拟化、 服务化的核心网, 网络能 力对外 开放, 边缘 计算 与就近 服务等 ,促 进了 新的业 务场景 和业 务形 态的出 现,引 入了 大量 新形态的终端。所有的这些变化都会带来新的安全威胁。 5G 中会大量运行敏感业务和高等级安全业务, 例如 移动支付、 警务 、 救援等。 攻击这些 业务造成的安全风险不言而喻。5G 系统中业务多样化、 开放化, 广泛渗透到各个领域, 包括 工业生 产、公 共安 全等 。很多 领域的 通信 之前 仅运 行 在封闭 网络 环境 中,使 用特定 的终 端和 软件。这些领域使用公共网络后,会面临来自开放网络的威胁。 5G 中终端形态多样化。 从低成本低功耗低管理的物联网终端, 到普通用户的移动智能终 端, 到
