在新冠肺炎疫情期間,隨著越來越多的企業(yè)采取遠(yuǎn)程辦公政策以及遠(yuǎn)程醫(yī)療應(yīng)用的增加,5G網(wǎng)絡(luò)安全變得更加重要。舉例來說,員工在辦公室以外工作導(dǎo)致企業(yè)IT基礎(chǔ)設(shè)施外延,在受到網(wǎng)絡(luò)安全攻擊時(shí),系統(tǒng)脆弱性會(huì)進(jìn)一步加劇。此外,病人通過平板電腦、筆記本電腦或手機(jī)與醫(yī)療專家聯(lián)系時(shí),也需要確保病人敏感信息的安全。
在5G生態(tài)系統(tǒng)中,所有的參與者,包括移動(dòng)運(yùn)營商、網(wǎng)絡(luò)供應(yīng)商、系統(tǒng)集成商和終端企業(yè),應(yīng)該在其被允許進(jìn)入網(wǎng)絡(luò)之前,先識別、分析和評估其每個(gè)組件的健康狀況,并基于評估結(jié)果,在允許范圍內(nèi)對連接5G服務(wù)進(jìn)行一些限制??梢酝ㄟ^以下因素來實(shí)現(xiàn):
1、零信任方法:對于所有設(shè)備和軟件,端到端的可靠安全態(tài)勢將有助于減少整個(gè)5G生態(tài)系統(tǒng)的風(fēng)險(xiǎn)敞口。在連接到網(wǎng)絡(luò)或資源之前,需要對設(shè)備的安全級別進(jìn)行評估,然后,設(shè)備僅允許連接到資源,并且應(yīng)基于訪問需求及設(shè)備的安全健康水平?jīng)Q定是否允許設(shè)備訪問資源。
2、通用加密:為了盡可能降低數(shù)據(jù)泄露或損壞風(fēng)險(xiǎn),電信運(yùn)營商和其他5G參與者應(yīng)該利用強(qiáng)大的加密方法來保護(hù)端點(diǎn)與服務(wù)之間的通信。這包括采用靈活的加密方法,并隨著標(biāo)準(zhǔn)和風(fēng)險(xiǎn)的演變而逐漸增強(qiáng)加密。集中式密鑰管理過程將有助于減少“中間人”攻擊,即攻擊者干預(yù)通信雙方建立的聯(lián)系,令雙方認(rèn)為他們是在直接與對方通信。
3、人工智能編排:機(jī)器學(xué)習(xí)(ML)和人工智能將在識別和降低時(shí)刻變化的風(fēng)險(xiǎn)方面發(fā)揮至關(guān)重要的作用,它們能夠提供具有出色響應(yīng)速度和準(zhǔn)確性的洞見和智慧,以管理超密集機(jī)器類型通信和超低延遲應(yīng)用的安全策略。人工智能和機(jī)器學(xué)習(xí)技術(shù)將在整個(gè)5G架構(gòu)中被用于安全編排,包括流量分析、深度數(shù)據(jù)包檢測(DPI)、威脅識別和感染隔離等活動(dòng)。
基于以上三個(gè)方面,可構(gòu)建網(wǎng)絡(luò)安全的三個(gè)基礎(chǔ):信任,以推動(dòng)網(wǎng)絡(luò)安全措施的采用;彈性,以預(yù)防、安然度過破壞性的網(wǎng)絡(luò)攻擊,并在攻擊后恢復(fù);實(shí)施,快速行動(dòng)以解決新生和現(xiàn)有的威脅。
同時(shí)根據(jù)5G安全設(shè)計(jì)原則,可將5G網(wǎng)絡(luò)安全架構(gòu)分為以下八個(gè)安全域:
1、網(wǎng)絡(luò)接入安全:保障用戶接入網(wǎng)絡(luò)的數(shù)據(jù)安全??刂泼妫河脩粼O(shè)備(UE)與網(wǎng)絡(luò)之間信令的機(jī)密性和完整性安全保護(hù),包括無線和核心網(wǎng)信令保護(hù)。用戶面:UE和網(wǎng)絡(luò)之間用戶數(shù)據(jù)的機(jī)密性和/或完整性安全保護(hù),包括UE與(無線)接入網(wǎng)之間的空口數(shù)據(jù)保護(hù),以及UE與核心網(wǎng)中用戶安全終結(jié)點(diǎn)之間的數(shù)據(jù)保護(hù)。
2、網(wǎng)絡(luò)域安全:保障網(wǎng)元之間信令和用戶數(shù)據(jù)的安全交換,包括(無線)接入網(wǎng)與服務(wù)網(wǎng)絡(luò)共同節(jié)點(diǎn)之間,服務(wù)網(wǎng)絡(luò)共同節(jié)點(diǎn)與歸屬環(huán)境(HE)之間,服務(wù)網(wǎng)絡(luò)共同節(jié)點(diǎn)與NS之間,HE與NS之間的交互。
3、首次認(rèn)證和密鑰管理:包括認(rèn)證和密鑰管理的各種機(jī)制,體現(xiàn)統(tǒng)一的認(rèn)證框架。具體為:UE與3GPP網(wǎng)絡(luò)之間基于運(yùn)營商安全憑證的認(rèn)證,以及認(rèn)證成功后用戶數(shù)據(jù)保護(hù)的密鑰管理。根據(jù)不同場景中設(shè)備形式的不同,UE中認(rèn)證安全憑證可以存儲(chǔ)在UE上基于硬件的防篡改的安全環(huán)境中,如UICC(通用集成電路卡)。
4、二次認(rèn)證和密鑰管理:UE與外部數(shù)據(jù)網(wǎng)絡(luò)(如,業(yè)務(wù)提供方)之間的業(yè)務(wù)認(rèn)證以及相關(guān)密鑰管理。體現(xiàn)部分業(yè)務(wù)接入5G網(wǎng)絡(luò)時(shí),5G網(wǎng)絡(luò)對于業(yè)務(wù)的授權(quán)。
5、安全能力開放:體現(xiàn)5G網(wǎng)元與外部業(yè)務(wù)提供方的安全能力開放,包括開放數(shù)字身份管理與認(rèn)證能力。另外通過安全開放能力,也可以實(shí)現(xiàn)5G網(wǎng)絡(luò)獲取業(yè)務(wù)對于數(shù)據(jù)保護(hù)的安全需求,完成按需的用戶面保護(hù)
6、應(yīng)用安全:此安全域保證用戶和業(yè)務(wù)提供方之間的安全通信。
7、切片安全:體現(xiàn)切片的安全保護(hù),例如UE接入切片的授權(quán)安全,切片隔離安全等
8、安全可視化和可配置:體現(xiàn)用戶可以感知安全特性是否被執(zhí)行,這些安全特性是否可以保障業(yè)務(wù)的安全使用和提供。
我們認(rèn)為,5G網(wǎng)絡(luò)安全應(yīng)支持多種安全憑證的管理,包括對稱安全憑證管理和非對稱安全憑證管理。
對稱安全憑證管理對稱安全憑證管理機(jī)制,便于運(yùn)營商對于用戶的集中化管理。如,基于(U)SIM卡的數(shù)字身份管理,是一種典型的對稱安全憑證管理,其認(rèn)證機(jī)制已得到業(yè)務(wù)提供者和用戶廣泛的信賴。
非對稱安全憑證管理采用非對稱安全憑證管理可以實(shí)現(xiàn)物聯(lián)網(wǎng)場景下的身份管理和接入認(rèn)證,縮短認(rèn)證鏈條,實(shí)現(xiàn)快速安全接入,降低認(rèn)證開銷。
非對稱安全憑證管理主要包括以下兩類分支:證書機(jī)制和基于身份安全I(xiàn)BC(基于身份密碼學(xué))機(jī)制。其中證書機(jī)制是應(yīng)用較為成熟的非對稱安全憑證管理機(jī)制,已廣泛應(yīng)用于金融和CA(證書中心)等業(yè)務(wù),不過證書復(fù)雜度較高;而基于IBC的身份管理,設(shè)備ID可以作為其公鑰,在認(rèn)證時(shí)不需要發(fā)送證書,具有傳輸效率高的優(yōu)勢。
5G網(wǎng)絡(luò)應(yīng)支持安全、靈活、按需的隱私保護(hù)機(jī)制。5G網(wǎng)絡(luò)對用戶隱私的保護(hù)可以分為以下幾類:
1、身份標(biāo)識保護(hù):用戶身份是用戶隱私的重要組成部分,5G網(wǎng)絡(luò)使用加密技術(shù)、匿名化技術(shù)等為臨時(shí)身份標(biāo)識、永久身份標(biāo)識、設(shè)備身份標(biāo)識、網(wǎng)絡(luò)切片標(biāo)識等身份標(biāo)識提供保護(hù)。
2、位置信息保護(hù):5G網(wǎng)絡(luò)中海量的用戶設(shè)備及其應(yīng)用,產(chǎn)生大量用戶位置相關(guān)的信息,如定位信息、軌跡信息等,5G網(wǎng)絡(luò)使用加密等技術(shù)提供對位置信息的保護(hù),并可防止通過位置信息分析和預(yù)測用戶軌跡。
3、服務(wù)信息保護(hù):相比4G網(wǎng)絡(luò),5G網(wǎng)絡(luò)中的服務(wù)將更加多樣化,用戶對使用服務(wù)產(chǎn)生的信息保護(hù)需求增強(qiáng),用戶服務(wù)信息主要包括用戶使用的服務(wù)類型、服務(wù)內(nèi)容等,5G網(wǎng)絡(luò)使用機(jī)密性、完整性保護(hù)等技術(shù)對服務(wù)信息提供保護(hù)。
4、隱私保護(hù):5G網(wǎng)絡(luò)使用機(jī)密性、完整性保護(hù)等技術(shù)對服務(wù)信息提供保護(hù)。隱私保護(hù)能力在服務(wù)和網(wǎng)絡(luò)應(yīng)用中,不同的用戶隱私類型保護(hù)需求不盡相同,存在差異性,因此需要網(wǎng)絡(luò)提供靈活、按需的隱私保護(hù)能力。
5、差異化隱私保護(hù)能力:5G網(wǎng)絡(luò)能夠針對不同的應(yīng)用、不同的服務(wù),靈活設(shè)定隱私保護(hù)范圍和保護(hù)強(qiáng)度(如提供機(jī)密性保護(hù)、提供機(jī)密性和完整性保護(hù)等),提供差異化隱私保護(hù)能力。
6、用戶偏好保護(hù)能力:5G網(wǎng)絡(luò)能夠根據(jù)用戶需求,為用戶提供設(shè)置隱私保護(hù)偏好的能力,同時(shí)具備隱私保護(hù)的可配置、可視化能力。
7、用戶行為保護(hù)能力:5G網(wǎng)絡(luò)中業(yè)務(wù)和場景的多樣性,以及網(wǎng)絡(luò)的開放性,使得用戶隱私信息可能從封閉的平臺轉(zhuǎn)移到開放的平臺上,因此需要對用戶行為相關(guān)的數(shù)據(jù)分析提供保護(hù),防止從公開信息中挖掘和分析出用戶隱私信息。
隱私保護(hù)技術(shù)
5G網(wǎng)絡(luò)可提供多樣化的技術(shù)手段對用戶隱私進(jìn)行保護(hù),使用基于密碼學(xué)的機(jī)密性保護(hù)、完整性保護(hù)、匿名化技術(shù)等對用戶身份進(jìn)行保護(hù),使用基于密碼學(xué)的機(jī)密性保護(hù)、完整性保護(hù)對位置信息、服務(wù)信息進(jìn)行保護(hù)。
為提供差異化隱私保護(hù)能力,網(wǎng)絡(luò)通過安全策略可配置和可視化技術(shù),以及可配置的隱私保護(hù)偏好技術(shù),實(shí)現(xiàn)對隱私信息保護(hù)范圍和保護(hù)強(qiáng)度的靈活選擇;采用大數(shù)據(jù)分析相關(guān)的保護(hù)技術(shù),實(shí)現(xiàn)對用戶行為相關(guān)數(shù)據(jù)的安全保護(hù)。
總結(jié)與展望
我們認(rèn)為,5G安全將面臨場景業(yè)務(wù)多樣化、網(wǎng)絡(luò)架構(gòu)全面云化、安全能力開放帶來的安全需求、挑戰(zhàn)和更高的用戶隱私保護(hù)需求。5G系統(tǒng)需要在不同的接入技術(shù)、云化網(wǎng)絡(luò)架構(gòu)之上建立一個(gè)統(tǒng)一的安全管理機(jī)制,構(gòu)建通用的安全核心能力,并在安全核心能力之上,提供差異化的安全功能、策略和解決方案,支持不同的業(yè)務(wù)場景。