2021-2022年5G信息安全分析报告.doc
2021-2022年5G信息安全分析报告4目录1引言325G 安全需求32.1 5G 安全总体架构32.2 认证/鉴别与授权42.3 接入安全52.3.1满足多类型终端、多接入技术、多接入类型52.3.2满足典型应用场景52.4 移动边缘计算(MEC)安全62.4.1移动边缘计算(MEC)内涵与特点62.4.2MEC 安全需求72.5 切片安全82.5.1NFV 安全需求92.5.2SDN 安全需求102.5.3网络切片的安全隔离需求102.6 数据完整性和机密性112.7 隐私保护112.8 安全管理122.8.15G 安全管理的必要性122.8.25G 安全管理需求分析132.9 密钥体系142.10终端安全152.10.1 5G 移动终端共性安全需求162.10.2 eMBB 终端安全需求172.10.3 mMTC 终端安全需求172.10.4 uRLLC 终端安全需求173主要解决思路183.1 5G 安全总体架构183.2 认证/鉴别与授权213.2.1广泛网络实体的身份标识支持213.2.2多安全级别的网络实体身份凭证机制223.2.3统一的网络实体身份鉴别体系233.2.4多元实体间的安全资源授权管理243.3 接入安全253.3.1支持多类型终端、多接入类型、多接入方式253.3.25G 支持典型应用场景的接入安全263.4 移动边缘计算(MEC)安全303.4.1MEC 边缘节点硬件设施保护303.4.2MEC 系统隐私泄露防护313.4.3MEC 三元认证与鉴权333.5 切片安全343.6 数据完整性和机密性353.7 隐私保护353.8 安全管理373.9 密钥体系393.10终端安全4045G 安全标准化445总结44参考文献45鸣谢451 引言5G 移动通信系统需要支持增强移动宽带、高可靠低时延以及低功耗大连接 等应用场景。除了移动互联网应用,5G 还需要为车联网、物联网(IoT)、虚 拟现实、高速铁路等新兴行业的发展提供快速响应、无处不在的网络接入,为 垂直行业的快速发展、创新提供信息基础平台。5G 新的应用场景、新的技术和 新的服务方式给 5G 的安全带来许多新的安全需求与风险。5G 对不同场景提供的接入方式和网络服务方式存在较大差异,支持的业务 交付方式也不同,安全需求的差异性非常明显。特别是物联网应用场景带来的 大连接认证、高可用性、低时延、低能耗等安全需求,以及 5G 引入的 SDN/NFV、虚拟化、移动边缘计算和异构无线网络融合等新技术带来的变化和 安全风险,对 5G 移动通信系统的接入认证/鉴权、切片安全、数据保护和用户 隐私保护等方面提出全新的挑战。目前对 5G 安全标准进行研究的主要集中在 3GPP SA3、ETSI 和国内的CCSA TC5 WG5 和 TC8 WG2。3GPP SA3 目前正在研究的技术报告 TR 33.899是 5G 安全标准化工作的基础,TR33.899(V1.2.0)给出了 17 个安全领域共 109 关键议题(Key Issue)数百个解决方案(Solution),基本上覆盖了 5G 安 全的所有安全需求。ETSI 的网络功能虚拟化标准工作组(NFV ISG)将在 5G 网络的基础设施标准化中扮演重要角色,主要目标是研究基于 NFV 的开放、互 操作、商业生态链的技术规范。基于国际国内标准化工作进展和国内相关单位的最新研究成果,本白皮书 针对 5G 安全总体架构、认证/鉴别与授权、接入安全、切片安全、密钥体系和 终端安全等 10 个 5G 安全领域的安全需求进行了梳理,并针对相应的需求对国 内外的解决思路进行了描述,以期对 5G 安全的研究工作有所促进。2 5G 安全需求2.1 5G 安全总体架构“安全总体架构”是对系统安全体系架构的结构化描述,对模型中功能模块 与安全模块、安全模块间安全相互关系的定义。科学、合理的安全架构可以有 效的指导整个系统具体安全机制设计与技术研发。5G 安全应打破以往移动通信系统成型后“打补丁式”的升级演进模式,与5G 移动通信技术同步演进,实现系统安全内生与安全威胁“标本兼治”的目标。 为了实现这一目标,5G 安全总体架构(以下简称安全架构)的设计应具备良好 的弹性与可扩展性,并能够满足 5G 安全技术的演进发展需求。具体而言,对应 5G 应用、网络、无线接入、终端、系统等演进带来的新 安全需求,可以从以下五个方面概括 5G 安全总体架构的设计需求:1)5G 将渗透到交通、医疗、工业等多元化的垂直行业和领域,并支持人 与人、人与物、物与物间多样化的信息交互。因此,安全架构应面向多样化、 海量的应用与终端,支持统一的身份管理和认证功能,支持多元化的信任关系 构建;面向多元化安全需求,支持差异化安全策略与模组的灵活适配。2)随着 SDN、NFV、切片等技术的引入,5G 网络呈现出虚拟化、软件 化、开放化等特点。面对这些特点,安全架构应支持高可靠的虚拟化安全技术(如 SDN 安全、切片安全、VNF 安全等);支持开放接口调用合规性监管, 确保服务与能力的安全开放。3)5G 无线接入网具有多类型接入技术融合、超密集组网等特点,并引入 了移动边缘计算(MEC)等新型服务技术。因此,安全架构应支持多类型接入 技术融合统一接入安全管理,并具备 MEC 内生服务安全能力。4)5G 在丰富垂直行业与专用领域的应用,使得 5G 终端类型呈现多元化。 因此,安全架构应针对多元化终端的安全需求,支持差异化安全策略与模组的 灵活适配,以及高可信终端安全运行环境构建。5)5G 应用、网络、无线接入、终端等方面的特点,导致 5G 网络的攻击面 大幅增加,因此,为了应对潜在未知安全威胁,在安全架构中还需要引入能够 对 5G 网络安全态势管理和监测预警的长效手段。2.2 认证/鉴别与授权认证/鉴别与授权主要包括以下方面的需求:(1)广泛网络实体的身份标识支持:在 5G 网络服务背景和物联网应用需 求下,用户、机构、网络设备和资源、网络服务等不同种类的网络实体将大量 接入,需要 5G 网络对不同类型的实体标识进行广泛的支持。如何定义网络实 体的身份标识,以及制定相应的身份标识注册和查询机制,是 5G 网络服务亟 待解决的需求之一。(2)海量网络实体接入的凭证支持:身份凭证是指用于区分网络实体身份 标识的可信依据。5G 网络服务需要为物联网提供海量实体身份凭证的支持,如 何高效地进行凭证的生成和验证,并针对网络实体不同的安全能力与安全需求 等级提供可靠的多级别凭证服务,都将是 5G 网络实体接入凭证的重要研究问 题。(3)统一的网络实体身份鉴别:身份鉴别即对网络实体凭证进行鉴别的过程。5G 网络中需要接入网络用户、网络设备及网络服务等多类网络实体,网络 应用需要对各类实体进行有效身份鉴别。由于网络实体身份凭证的提供方、网 络身份凭证类型和鉴别机制都不尽相同,为确保网络应用对于网络实体身份的 高效、正确鉴别,5G 网络中需研究并提供统一的身份鉴别机制或服务,使得网 络实体可以互通互认,同时在鉴别过程中有效保护网络用户隐私信息。(4)多元实体间的安全资源授权管理: 5G 网络中,网络实体的广泛接入, 将引发网络应用、网络资源的大规模扩张,各类网络应用互通协作也将越来越 多,这将带来网络资源跨应用共享的迫切需求。如何通过有效的授权管理来保 证网络应用可控、安全地访问特定网络用户网络资源,建立网络身份提供方和 网络资源提供方等众多网络实体间的多元信任,是 5G 网络环境下资源共享的 重要问题之一。2.3 接入安全2.3.1 满足多类型终端、多接入技术、多接入类型5G 时代要实现万物互联,5G 网络不仅用于人与人的通信,还用于人与 物、物与物的通信,为此,5G 网络需要支持多样化的接入终端,多种接入类型 和多种接入技术。 从终端类型看,分为有卡终端和无卡终端。 有卡终端以 SIM/USIM 卡作为用户身份和密钥载体,具备一定的计算和存储能力;无卡终 端没有内置专用载体存储身份密钥信息,通常以 IP 地址或者 MAC 作为自己的 身份,用数字证书提供安全保障;从接入类型看,5G 网络需要支持 3GPP 接 入,非 3GPP 接入,可信接入和非信任接入;从接入技术看,5G 网络除了支持 5G 新无线接入技术之外,还要兼容 3G 接入、LTE 接入、WLAN 和固定接入等 技术。因此 5G 网络是融合了多种类型的终端、接入类型和接入技术的异构型 网络,而不同的终端,不同的接入类型和接入技术存在不同的安全需求,使用 不同的认证协议和密钥协商机制,5G 网络需要研究构建统一的认证框架来融合 不同的接入认证机制,满足具有不同安全能力的终端的安全接入需求。2.3.2 满足典型应用场景未来 5G 网络需要支持三大类典型应用:增强移动宽带(eMBB)、海量机 器类通信(mMTC)和超可靠低时延通信(uRLLC)。这三类应用场景根据各 自的应用特性存在不同的接入安全需求。eMBB 重点是提供超高带宽,用于满足诸如虚拟现实(VR)、大视频等对 带宽有极高要求的业务。3GPP 制定 5G 第一阶段的标准就是为了满足 eMBB 应 用。eMBB 应用的接入安全通过继承和扩展 LTE 的接入安全机制实现,主要针5对 LTE 接入下用户首次接入时 IMSI 采用明文传送存在的安全风险,采取了 IMSI 加密传输的机制,另外结合 5G 网络架构,进一步增强了密钥派生机制来 满足各接入层次安全传输的需要。mMTC 应用的主要特点是接入网络的终端数量巨大,终端无卡,安全能力 较弱,功耗小,资源受限,小数据传送等。按照传统的接入方式,每个终端和 网络之间需要进行多次交互才能完成认证过程,实现网络接入。mMTC 应用 下,如果终端仍然延用传统接入方式,海量终端并发接入网络极有可能产生信 令风暴,造成网络拥塞;另外,在接入失败情况下终端不断尝试重新接入网络 发起认证,这对于低功耗无人值守的 MTC 终端将加速其电池消耗。因此需要 研究包括简化认证机制,优化认证协议在内的满足 MTC 设备高效快速接入的 轻量化安全接入方式。针对物联网传输的是小数据且是零星传送的数据特征, 需要为小数据传送建立通道。如果小数据传送的无线网络缺少安全保护机制, 攻击者就有可能通过访问小数据接口入侵网络,因此还需要研究针对小数据的 空口传输安全保证机制。uRLLC 应用对通信可靠性,低时延有极高的要求,例如车联网、远程医疗 等应用。网络安全通常与网络性能效率是互为矛盾的,增强网络安全防护机 制,必然以牺牲网络性能,降低网络效率为代价,uRLLC 应用也不例外,如果 引入安全机制,就必然会影响业务时延。但是安全对于 uRLLC 应用又是不可或 缺的,如果车联网业务缺乏安全机制保护,就会存在交通信息被窃取或篡改进 而影响到行车安全甚至威胁到生命安全。因此在保证可靠性和低时延等业务性 能的同时,需要研究 uRLLC 的接入安全,研究车联网通信时的身份认证、车辆 身份信息的保护、数据传输安全等接入安全解决方案。2.4 移动边缘计算(MEC)安全2.4.1 移动边缘计算(MEC)内涵与特点移动边缘计算(Mobile Edge Computing, MEC)作为 5G 网络新型网络架构 之一,通过将云计算能力和 IT 服务环境下沉到移动通信网络边缘,就近向用户 提供服务,从而构建一个具备高性能、低延迟与高带宽的电信级服务环境。 MEC 的特点概括如下:l 共生融合:MEC 作为移动通信系统的共生系统,与 5G 移动接入网络、回 传网络、市省级核心网络融合部署。MEC 系统利用基于服务架构(Service- Based Architecture, SBA)获取 5G 开放服务,并向 5G 网络用户提供边缘服 务。6l 按需临近部署:MEC 节点可根据应用服务需求按需、分布式部署于移动网 络边缘的多个位置。这种灵活、临近的部署方式在为超低时延要求提供保 障的同时也能够降低高带宽业务的数据流对核心网带来的压力。l 虚拟化构建:在通用硬件平台通过虚拟化技术构建计算环境,承载来自于 第三方或运营商的 MEC 应用。为了支持 MEC 快速灵活的部署,MEC 节点 可支持与 5G NFV 兼容的虚拟化方式,与 5G NFV 同平台部署。l 高可协作性:MEC 各节点间的应用与服务具有较高的可协作性。不同的 MEC 节点的应用间能够通过协作的方式向用户提供服务(如移动性导致的 服务迁移)。同时,对于具有高可靠性需求的关键应用,可通过在节点间 进行服务热备和快恢复,提高系统的应急和容灾能力。此外,通过在多个 MEC 计算节点间使用协作的方式执行安全策略(如分布式加密),在降低 单个节点的计算量的同时,还能提升策略的安全性。l 基于用户信息感知的高质量、个性化服务:MEC 应用能通过与 5G 网络间 标准化的协议和接口,感知用户信息,并融合信息技术与通信技术提供更 高的用户服务体验。另外,通过对用户信息的进一步挖掘,能够提升 5G 边 缘网络数据的商业价值。2.4.2MEC 安全需求图 1 MEC 安全需求及内涵MEC 的安全需求总结如图 1 所示,接下来将对其中 MEC 特有的安全需求 进行详细描述:(1)物理设施保护:MEC 按需临近部署的特点在为用户提供高质量服务 的同时,也在客观上缩短了攻击者与 MEC 物理设施之间的距离,使得攻击者7更有可能接触 MEC 物理设施,造成 MEC 物理设备毁坏、服务中断、用户隐私 和数据泄露等严重后果。另一方面,广泛部署的 MEC 边缘计算节点同样面临 着各种自然灾害(如台风、冰雹)和工业灾难的威胁。以上因素都可能直接破 坏 MEC 硬件基础设施,造成服务的突然中断以及数据的意外丢失。因此需要 在考虑性能和成本的基础上最大限度为 MEC 节点配备相应的物理设施保护措 施。(2)安全能力受限下的 MEC 节点安全防护: 由于性能、成本、部署灵活 性要求等多种因素制约,单个 MEC 节点的安全防护能力(如可抵御的攻击种 类,抵御单个攻击的强度等)受到限制。因此需要:针对 MEC 节点应用特征 及终端特征(IoT 终端/移动智能终端),有的放矢地部署相应的安全防护措 施;充分利用 MEC 节点的高可协作特性,通过例如基于智能协同的安全防护 等技术,借助周边节点的空闲安全防护资源,提升单个节点能抵御的攻击强度 上限。(3)扩展信任模型构建:MEC 系统与移动通信系统共生融合的部署方式 扩充了以往的“用户分别跟网络和服务进行认证”的二元信任关系构建模型。需 要构建用户、MEC 系统、MEC 应用、移动通信网络两两之间,以及 MEC 系统 内部的信任关系。具体而言:需要构建 MEC 系统与 5G 网络间的信任关系以合 法使用 5G 开放网络服务(如本地分流)向用户提供服务;需要构建 MEC 系统 与 MEC 应用间的信任关系防止恶意应用接管用户服务;需要构建 MEC 系统与 用户间的信任关系以确认 MEC 系统和用户的合法性。在 MEC 系统内部,需要 构建 MEC 节点与 MEC 控制器间的信任关系,防止“伪 MEC 节点”恶意接入窃 取用户和服务信息;需要构建 MEC 节点间的信任关系以支持节点间协作。(4)隐私及数据保护:MEC“基于用户信息感知的高质量、个性化服务”的 特点在提供便利的同时也让 MEC 应用不可避免的接触到大量移动用户与设备 的隐私和数据信息,如用户身份、位置、移动轨迹等。而对这些信息进一步挖 掘后,还得到用户的作息规律、生活习惯、健康状况等诸多信息。因此,在 MEC 隐私及数据保护中,需要配备相应的隐私泄漏防护措施,严控第三方 MEC 应用的行为,防止其泄漏、滥用用户的隐私及数据信息;需要通过动态身 份标识和匿名等技术削弱 MEC 计算节点标识和地理位置的映射关系,防止第 三方根据 MEC 节点位置推断用户的地理位置;需要确保数据在边缘的安全存 储;需要向用户提供隐私及数据管理服务,确保隐私策略用户可适配。2.5 切片安全虚拟化是 5G 新架构的一个主要特征。NFV 是促使 5G 新架构具备虚拟化特 征,从而实现 5G 网络灵活性和弹性等特性的使能技术。NFV 是 2013 年由 139家运营商发起,由 ETSI 定义,采用虚拟化技术、基于通用硬件实现电信功能节 点的软件化,打破传统电信设备的竖井式体系,其核心特征是分层解耦和引入 新的 MANO(Management and Orchestration)管理体系。网络虚拟化后,传 统的网络设备功能 将以 VNF(Virtualized Network Function,虚拟化网络功能)的方式运行在 NFVI(Network Function Virtualization Infrastructure,NFV 基础设施)上。NFVI 由通用的硬件资源、虚拟化层(即 Hypervisor)以及虚拟资源(虚拟计算、虚拟存储和虚拟网络)组成,为实例化 的 VNF 提供计算、存储和网络资源。新增的 MANO 管理体系实现对 NFVI 的 管理,包括分配虚拟资源给 VNF,监控和上报虚拟资源以及硬件资源性能以及 故障等。SDN 解耦了设备的控制面和数据面,并且控制面实现集中控制,开放可编 程接口供应用层使用,实现了灵活的定义网络。2.5.1 NFV 安全需求(1)NFV 的安全需求:l VNF 安全需求:包括对 VNF 软件包进行安全管理(如上在前以及更新 时进行完整性验证)、对 VNF 进行访问控制以及进行敏感数据保护。l NFV 网络安全需求:包括 VNF 通信安全需求(即 VNF 通信安全需保证 通信的双方相互认证,并且通信内容需受到机密性、完整性防重放的保 护)及组网安全需求(包含边界防护、安全域划分以及流量隔离)。(2)MANO 安全需求:l MANO 实体共有的安全需求:包括需对 MANO 实体进行安全加固,实 现安全服务最小化原则,如关闭不必要的服务和端口等;安装防病毒软 件,并定期检查、查杀病毒以及升级病毒库;需防止非法访问、敏感信 息泄露;需保证 MANO 实体所在的平台可信等。l MANO 各个实体独有的安全需求:NFVO 遭受 DDoS/DoS 攻击;VNFM 和 VIM 可以运行在虚拟机上,此时会面临虚拟机逃逸、虚拟机隔离失 败等虚拟化相关的安全威胁。l MANO 实体间交互以及 MANO 系统与其他实体间交互的安全需求:通 信内容需受到机密性和完整性保护以及防重放;实体间双向认证。l MANO 管理安全:MANO 系统的需进行账号、权限的合理分配和管 理,实行严格的访问控制,并且启用强口令策略等。2.5.2SDN 安全需求SDN 的安全需求主要包括:l 应用层的安全需求:APP 需对控制器的身份进行认证;APP 和控制器之 间的通信要受到完整性和机密性保护;APP 自身要进行安全加固,防止 安全攻击。l 控制器的安全需求:SDN 控制器要具有 DDoS/DoS 防护能力或者限速 的能力;SDN 控制器要实现服务器的安全加固、满足安全服务最小化 原则、关闭所有不必要的端口和服务,并使用渗透测试相关的工具(包 括 nessus, NMAP, Symantec 杀毒工具, wirshack, webscarab 以及 Back Track 等)进行安全检查,修复安全漏洞;SDN 控制器需执行策略冲突 检测和防止机制,避免管理策略和安全策略被绕行;SDN 控制器需对 接入的 APP 进行身份认证和权限检查。l 转发层的安全需求:通过设置 ACL,关闭不要的服务和端口,及时修 补漏洞等手段加强转发设备自身安全;另外,转发设备具备并开启限速 功能。l 南北向接口的安全需求:需进行双向认证,并且通信内容需进行机密 性、完整性和防重放保护;需对协议强壮性进行分析和测试,修复协议 漏洞。2.5.3网络切片的安全隔离需求网络切片需要提供不同切片实例之间的隔离机制,防止本切片内的资源被 其他类型网络切片中网络节点非法访问。例如医疗切片网络中的病人,只希望 被接入到本切片网络中的医生访问,而不希望被其他切片网络中的人访问。相同业务类型的网络切片之间也存在隔离的需求,例如不同的企业的在使 用相同业务类型的切片网络时,并不希望本企业内的服务资源被其他企业的网 络切片节点访问。服务、资源和数据在网络切片中被隔离保护的效果要达到接近于传统私有 网一样用户感受,这样才能使得用户能放心的将原本存放在私有网络中的应用 数据存放到在云端,用户在享有随时随地可访问私有资源的同时不需要担忧这 些资源的安全问题,这样才能促进各种垂直业务的健康快速发展。当运营商根据业务的不同将网功能分割成不同的网络切片时,需要考虑是 否进行切片内的认证和授权,以及如何进行切片内的认证和授权。当切片管理 的某些功能开放给第三方时,还需要考虑哪些认证和授权功能可以开放给第三10方,以及由运营商控制的主认证和授权与由第三方控制的二次认证和授权的融 合机制。2.6 数据完整性和机密性在 5G 网络中无线空中接口仍然存在窃听、篡改等安全威胁。在接入网存 在的安全问题主要来自无线的空中接口。空中接口的信息是在无线信道上传输 的,入侵者容易捕获手机终端或基站的无线信号,从而非法取得或篡改用户和 网络发送的信息。另外网络域安全是 5G 网络安全的重要环节,用户信息在 5G 网络域内和不 同的网络域之间是以明文形式传输的,用户信息可能被窃听,一些用户的机密 数据在网络域内可能被窃取,将会对信息安全产生很大影响。由于网络域采用 互联网技术进行连接,可能受到病毒的威胁、受到黑客的攻击,传送的数据可 能被修改、可能被未授权者获得等。因此,网络域节点间的信息保护、边界保 护、病毒防护是保证业务顺利开展的重要安全措施。2.7 隐私保护5G 网络需要为不同业务场景提供差异化安全服务,能够适应多种网络接入 方式及新型网络架构。这些新场景、新架构和新技术都让 5G 网络有了更高的 隐私保护需求。另外,5G 网络针对垂直行业用户会产生大量的敏感信息。迫切 需要在 5G 开放网络环境之上,采取措施保证行业用户的隐私安全。uRLLC 作为 5G 网络典型应用场景广泛应用于车联网自动驾驶及远程工业 控制领域。在自动驾驶过程中,车辆的身份信息、位置信息存在被暴露和跟踪 的风险,这些隐私信息一旦被泄露,产生的后果是非常严重。mMTC 和 eMBB 场景使得 5G 网络中的业务信息会以几何级别增长。这些信息包含针对某个网 络实体的不同测度的描述。通过对这些海量数据的分析,网络用户的隐私信息 可能会被泄漏。例如,黑客可能获取某用户的部分移动电话数据、运动手环数 据、部分 APP 的消费数据、位置信息数据等等多方面的信息之后,通过对这些 数据的分析获取某人特定的隐私信息。在 5G 场景下,如何实现对隐私数据的 分级,提高抵抗大数据攻击的隐私保护的能力将会成为一个亟待解决的问题。5G 网络作为一个复杂的生态系统,存在基础设施提供商、移动通信网络运 营商、虚拟运营商等多种类型参与方,用户数据在这个由多种接入技术、多层 网络、多种设备和多个参与方交互的复杂网络中存储、传输和处理,面临着诸 多隐私泄露的风险。另外,5G 网络中大量引入虚拟化技术,在带来灵活性的同 时也使得网络安全边界更加的模糊,在多租户共享计算资源的情况下,用户的 隐私数据更容易受到攻击和泄露。相比传统网络而言,这种情况所产生的隐私11泄露影响范围更广、危害更大。因此,对 5G 网络的隐私保护提出了更高的挑 战。当前 4G 网络中,系统已经使用临时签约标识符来增强用户的隐私,降低 签约数据通过偷听无线链路的方式被识别和跟踪的可能性。但现有 4G 网络也 暴露了一些隐私问题需要解决,比如 IMSI 泄露问题以及位置信息的泄露问题。 IMSI 的泄露会直接导致用户身份信息的泄露。因此,在 5G 网络设计之初,需 要充分考虑现有 4G 网络中的隐私漏洞,增加适合 5G 网络的安全措施和协议来 弥补之前网络的隐私漏洞,保护用户的身份信息和位置信息。2.8 安全管理2.8.1 5G 安全管理的必要性根据 ITU-T 对通信系统 FCAPS 管理模型的定义,安全管理是指对为保护通 信系统的工作安全、内容安全而增加的各种安全机制的管理体系总和,目的不 仅在于要确保通信网络环境是安全的,也要确保收集的安全相关的信息被适当 处理。安全管理包括了管理网络的认证、授权、审计,以及内部/外部用户对网 络资源的合法访问控制,也包括了对网络防火墙、入侵检测系统、安全策略的 配置和管理。5G 引入 IT 技术的同时也将 IT 面临的安全风险引入,需要安全管 理对网络进行统一的管理与监测。5G 的安全管理需要贴合 5G 网络特有的安全需求,具有独特的解决思路。5G 网络的发展,是在 ICT 融合的大背景下进行的,充分吸收了 ICT 融合的一些 基本思想和基础技术,如 SDN、NFV 等。ICT 技术的引入,不可避免的将使 5G 网络面临 IT 网络类似的攻击和威胁,而更广阔的应用场景和虚拟化技术的 引入,带来了攻击方式泛在化与安全边界模糊化这两个显著特征:(1)攻击方式泛在化。5G 网络下攻击源/目标的规模因物物互联的引入得 到迅速放大;攻击途径也因异构接入方式的多样化得到了扩展; SDN 控制器受 到攻击可能导致整个网络瘫痪或者被劫持;采用 NFV 虚拟化技术的云计算,也 会引起数据残留、资源风暴等新的安全问题。(2)安全边界模糊化。网络的安全边界由于物理分割在 SDN/NFV 架构下 已经消失,因此内外网隔离的安全边界需要重新界定;云环境下多租户共用物 理资源也导致多个租户的服务可能运行在一个计算节点上,缺乏明确物理边 界;接入网络上会承载众多的数据中心和应用程序的网络接口,没有明确的安 全边界,造成信任缺失。考虑到未来 5G 网络的可能演进,因此根本的解决途径是需要通过安全管12理在 5G 网络内实施积极主动的全面监测预警以解决攻击方式泛在化问题;在 5G 架构方面通过引入统一信任框架以信任关系逻辑重构安全边界,解决边界模 糊化问题。5G 安全管理应特别对以上解决途径提供支撑。2.8.2 5G 安全管理需求分析考虑上述基本要求,5G 安全管理需满足以下需求:(1)能够管理 5G 安全服务/组件,并提供安全策略调整的统一入口为了解决 5G 网络存在的攻击方式泛在化的安全问题,5G 网络及网络切片 中将会存在各种安全服务或组件,以使 5G 网络及业务抵御来自各种位置的中 间人攻击、信息重放攻击、窃听嗅探等安全威胁。例如,网络切片中会存在虚 拟防火墙、IDS/IPS 等安全专用设备,同时 VNF 网元在实现时会落实 3GPP 标 准规范规定的各种安全措施。5G 安全管理应为运营商/第三方租户提供对这些 服务或组件的安全策略调整的统一入口,实现如对虚拟安全专用设备的管理配 置、对各种安全措施的参数调整等功能,帮助运营商、租户及时调整网络安全 策略以应对网络安全威胁。(2)能够对 5G 网络安全态势进行监测预警 为了应对攻击方式泛在化的挑战,及时感知到正在进行的、或者潜在的攻击威胁, 5G 网络切片还需要监控切片中各种虚拟安全专用设备的运行状态,对采集到的所有信息加以智能化的整合/分析,定位攻击方式及来源,并将这些 信息整合成安全态势及时向管理员告警,以应对 APT、DOS、DDoS 等网络攻 击手段。其次,考虑到 5G 网络将新产生大量具有管理功能的网元,如 PCF、 AUSF、ARPF、UDM 等,它们都属于敏感网元,一旦被恶意控制,它们自身连 同它们所管理的资源本身也会一起被劫持,因此 5G 网络的监测预警也需要将 敏感网元状态纳入安全监控审计。(3)能够为构建 5G 统一的信任管理体系提供安全支撑5G 网络需要安全管理为统一的信任管理体系提供安全支撑,以应对安全边 界模糊问题。按照业界共识,5G 网络会有大量新的参与者、新的设备类型加入 价值链,例如运营商、虚拟基础设施提供商、虚拟网络功能供应商、租户、终 端用户、终端设备等等类型的角色;以上因素导致了 5G 必定存在多元化的价 值链,以及相应的信任关系。信任体系的脆弱,将导致一系列严重安全问题, 例如 5G 网络能力开放使得经由控制 API 接口对 5G 网络本身进行恶意功能编排 与组合成为可能。因此,5G 安全管理需为价值链中各种角色提供身份凭据及其 对应权限的管理服务(包含凭据的颁发、使用、注销、权限关联等方面的内 容),并提供认证方面的支撑,解决各个角色/实体之间的多元信任问题,以支15撑安全边界的逻辑重构。(4)能够为第三方 5G 网络切片/敏感业务提供差异化的安全支撑5G 网络支持多种类型的切片和业务,以供第三方租户使用;不同的切片/ 业务除开在性能、QoS 方面的差异之外,还因承载数据的敏感程度差异,具有 不同的安全等级要求;安全管理应为这种差异化提供安全支撑。例如,4G 移动 通信网络中只对终端接入认证及语音和数据通信等常规服务提供密钥管理的密 钥管理体制,已无法满足 5G 多种切片/业务场景下各异的密钥管理新需求,也 无法支持基于第三方身份凭据的二次认证;又如,以特殊行业为代表的高安全 需求用户在使用 5G 网络的过程中,移动终端之间以及移动终端和后台服务端 之间大多数情况下需要进行端到端的认证和加密通信,而普通用户则往往不会 存在这种需求;再如,业界至今未对是否在 5G 终端与网络之间使用非对称的 密码技术达成一致结论,也未对第三方租户使用非对称密码技术有所提及,未 来存在变数。总之,5G 安全管理应对不同的安全要求综合考虑,尽力兼容可能 出现的差异化场景,尽力为第三方 5G 网络切片/敏感业务提供匹配的安全支 撑。(5)需要适应 5G 网络特有的网络切片和虚拟化特点5G 引入网络切片和 SDN/NFV 技术概念之后,安全边界模糊化问题导致了 传统的移动通信网络以物理实体为核心的安全防护技术在 5G 网络新环境中已 经不再适用。安全性不仅与安全特征的物理部署有关,更重要的是与虚拟资产 部署的安全特征有关,需要建立起以虚拟资源和虚拟功能为目标的安全防护体 系。因此不仅要在网络切片、NFV 层面研究虚拟化基础设施可信运行及资源隔 离与虚拟化网络切片的安全保障机制,更需要在管理架构上进行设计、调整, 以适应被管虚拟资源和虚拟功能灵活、多变的组网。2.9 密钥体系5G 的密钥层次(key hierarchy)考虑的是如何利用一个根密钥为不同层 面,不同类型的消息流提供多个相互独立的密钥的问题。因此,在 5G 的密钥 层次中,需要考虑以下问题:l不同的接入方式。5G 系统会考虑多种接入方式,因此不同的接入方式 可能会需要不同的密钥。l移动性管理与会话管理的分离。5G 系统考虑移动性管理与会话管理的 分离,因此针对不同的信息流,需要考虑使用不同的密钥进行保护。l核心网与接入网的分离。5G 系统承袭 4G LTE 系统设计原理,仍然考虑核心网与接入网信令的分离,因此仍然需要针对非接入层信令和接入层 信令独立考虑安全保护,故而需要独立的密钥l 加密与完整性。针对信令和用户数据,需要独立的考虑对信息的加密保 护和完整性保护,因此针对不同的保护方式,需要不同的密钥。l 由移动性引入的密钥更新与隔离。5G 系统仍然需要考虑终端在移动状 态下的密钥更新与隔离,因此需要考虑密钥的更新问题。l 密钥之间的相互独立性。为了保证派生的密钥之间具备一定的独立性, 因此仍然需要像 4G 那样引入若干中间密钥,借由中间密钥来切断派生 密钥之间的关联性。此外,未来 5G 需要考虑大规模物联网终端接入、超低时延超高可靠性等 场景,以及并可能出现用户凭证使用非对称密钥的情况。未来 5G 的密钥体系 也可能随着这些场景与用户凭证的变化而发生变化。2.10终端安全从 3G 网络引入移动互联网开始,移动终端日益成为黑客攻击的主要目 标。在 3G/4G 阶段,3GPP 一直注重加强对移动网络的安全设计,终端安全则 完全交由终端厂家自行开发。由于缺少统一标准的牵引,移动终端安全技术发 展缓慢,产业化进展滞后,很快就成为用户隐私泄露的重灾区。近年来,虽然 有芯片厂家或终端企业陆续推出了一些安全技术,但总体来说受已有架构的限 制,解决不同角度的安全问题,缺乏普适性设计。5G 网络的安全体系由移动终端侧和网络侧配合共同完成,无论是控制面还 是用户面都需要移动终端的安全配合。从信息流向来看,移动终端既是用户信 息和隐私数据的源头也是其归宿;从网络切片来看,移动终端是网络安全切片 的实现起点也是实现终点;从垂直行业来看,5G 网络的一大特征就是对垂直行 业的深度支持,垂直行业存在着多样化的安全要求,其安全能力更是需要移动 终端的支持。综上,移动终端安全是 5G 网络安全体系中不可缺少的一环。移动终端安全涉及到硬件层、操作系统层以及应用层等多个层面的问题, 威胁因素主要来自外部网络。解决终端安全问题,首先要从多个层面提升终端 自身抵御攻击的免疫能力,同时也要对外部网络如网络接入、应用服务等进行 安全增强,引入基于云的安全增强机制来为终端安全提供辅助支撑。5G 网络明 确了三种典型应用场景,带来 eMBB、mMTC、uRLLC 三种典型终端,并引入 了行业用户作为新的利益相关方,因此 5G 终端安全还需要考虑针对不同应用 终端以及不同行业用户群体的双重安全需求。本章节主要围绕终端安全技术需 求,结合行业用户和三种典型终端需求进行阐述。2.10.1 5移动终端共性安全需求(1)可信执行环境伴随着 5G 技术的发展,移动终端正在成为互联网和物联网业务的关键入 口,网络攻击面的大幅扩大,敏感信息的指数增加,使得 5G 终端将面临更加 艰难的安全环境。为 5G 终端建立可信任执行环境,是 5G 时代的必然要求。移动终端的运行环境面临来自硬件和软件的威胁,移动终端硬件安全威胁 主要来源于终端芯片设计安全漏洞或硬件体系安全防护不足,可导致平台安全 权限被获取、存储的隐私数据被窃取等安全风险,需要从硬件角度设计使终端 核心器件具有抗物理攻击的能力,为移动终端的安全起到基础作用;移动终端 软件系统是移动终端的灵魂,对软件系统的攻击包括:利用操作系统漏洞等获 取终端控制权、修改安全策略,利用信息保护缺失、内存监管漏洞、应用程序 漏洞等窃取用户信息、篡改信息和信令、植入恶意代码、扰乱系统的正常工 作,利用 WIFI、蓝牙等外设配置漏洞吸引终端接入,窃取敏感信息等。利用上 述攻击手段,可以轻易地收集用户数据,控制和更改终端软件,甚至在极端情 况下,可以遥控瘫痪所有入
