叢 海
內(nèi)蒙古自治區(qū)新聞出版廣播影視科研所 內(nèi)蒙古 呼和浩特市 010050
5G網(wǎng)絡(luò)為了能夠給產(chǎn)業(yè)側(cè)垂直行業(yè)和消費(fèi)者提供ROADS(Real-time,On-Demand,All online,DIY,Social)的體驗(yàn),使用了諸如網(wǎng)絡(luò)功能虛擬化(NFV)、用戶面和控制面隔離(CUPS)、網(wǎng)絡(luò)切片(NS)、軟件定義網(wǎng)絡(luò)(SDN)和移動(dòng)/多接入邊緣計(jì)算(MEC)之類的技術(shù),構(gòu)建了端到端能夠協(xié)同的云化架構(gòu),這一架構(gòu)為在各個(gè)環(huán)節(jié)實(shí)現(xiàn)敏捷、自動(dòng)化和智能提供了可能。5G架構(gòu)由資源&功能層、網(wǎng)絡(luò)層和服務(wù)層構(gòu)成。如圖1所示。
資源和功能層中,在SDN、NFV等技術(shù)支撐下,基于物理基礎(chǔ)設(shè)施實(shí)現(xiàn)接入網(wǎng)RAN、傳輸網(wǎng)絡(luò)、MEC邊緣以及核心網(wǎng)絡(luò)的云化和可編程化。資源和功能層的另一重要能力是可編程控制,由SDN控制器以及底層的轉(zhuǎn)發(fā)節(jié)點(diǎn)組成,SDN控制器根據(jù)網(wǎng)絡(luò)的拓?fù)湟约熬唧w的業(yè)務(wù)需求生成特定的數(shù)據(jù)轉(zhuǎn)發(fā)路徑。
圖1 5G架構(gòu)圖
5G通過(guò)SDN架構(gòu)實(shí)現(xiàn)端到端網(wǎng)絡(luò)和業(yè)務(wù)的協(xié)同,提升業(yè)務(wù)的自動(dòng)開(kāi)通部署和智能運(yùn)維能力,同時(shí)需要面向高質(zhì)量的垂直行業(yè)客戶需求,提供網(wǎng)絡(luò)資源的隔離以及層次化的網(wǎng)絡(luò)保障機(jī)制,實(shí)現(xiàn)時(shí)延控制及分段的故障定位功能。
網(wǎng)絡(luò)層的關(guān)鍵功能是跨接入網(wǎng)CloudRAN(利用云重構(gòu)無(wú)線接入網(wǎng)絡(luò))、MEC和核心網(wǎng)的端到端網(wǎng)絡(luò)切片。利用SDN、NFV等技術(shù)可以在通用網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)之上,將單個(gè)物理網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)絡(luò)實(shí)現(xiàn)靈活且可擴(kuò)展的網(wǎng)絡(luò)切片。網(wǎng)絡(luò)切片在邏輯上是隔離的,這種結(jié)構(gòu)可以實(shí)現(xiàn)面向服務(wù)的網(wǎng)絡(luò)視圖,以服務(wù)化的方式為不同類型的客戶群提供可定制化的服務(wù)支持,同時(shí)很好地滿足獨(dú)立運(yùn)維的需求。
作為5G承載多種類型垂直業(yè)務(wù)基礎(chǔ)的端到端網(wǎng)絡(luò)切片之間共享公共資源和組件,例如網(wǎng)絡(luò)切片選擇功能等(NSSF)。網(wǎng)絡(luò)切片可以分配有單獨(dú)的網(wǎng)絡(luò)功能組件,例如接入和移動(dòng)性管理功能(AMF),會(huì)話管理功能(SMF),策略控制功能(PCF)等,就是通過(guò)這些功能組件來(lái)滿足特定網(wǎng)絡(luò)切片的專用功能。
此外,控制面功能和用戶面功能(CPF/UPF)分離簡(jiǎn)化了5G核心網(wǎng)的基于服務(wù)的體系結(jié)構(gòu)Service-Based Architecture(SBA)??刂泼娴哪K化、組件化和用戶面的可編程化使得5G網(wǎng)絡(luò)功能的可編排成為可能,可以根據(jù)不同需求選擇相應(yīng)的控制面/用戶面功能以實(shí)現(xiàn)網(wǎng)絡(luò)功能的按需配置。網(wǎng)絡(luò)能力開(kāi)放功能(NEF)進(jìn)行網(wǎng)絡(luò)能力的抽象及分析或以API的形式開(kāi)放給第三方。
5GC的用戶面功能(UPF)下沉到靠近基站的邊緣MEC,作為MEC的一個(gè)網(wǎng)元,負(fù)責(zé)將邊緣網(wǎng)絡(luò)的流量分流到MEC,二者在邏輯上UPF與MEC是分離的、松耦合的。在部署上,可以集成部署統(tǒng)一承載,也可以獨(dú)立部署,主要取決于具體的業(yè)務(wù)場(chǎng)景的需求。
5G支撐多種網(wǎng)絡(luò)應(yīng)用場(chǎng)景,滿足多種業(yè)務(wù)承載需求,服務(wù)層主要實(shí)現(xiàn)為不同的垂直行業(yè)提供端到端的服務(wù)創(chuàng)建和服務(wù)管理能力,同時(shí),按需將網(wǎng)絡(luò)能力開(kāi)放給高質(zhì)量或有特殊業(yè)務(wù)要求的客戶。
架構(gòu)圖右側(cè)展現(xiàn)的主要是5G端到端的協(xié)同管控、服務(wù)編排以及全生命周期的服務(wù)管理和安全保障能力。5G通過(guò)開(kāi)放和標(biāo)準(zhǔn)化的北向接口(NBI)來(lái)對(duì)接上層端到端業(yè)務(wù)編排系統(tǒng),共同實(shí)現(xiàn)端到端的業(yè)務(wù)流程自動(dòng)化服務(wù)編排、連接、監(jiān)控和管理。
5G大部分的威脅和挑戰(zhàn)與4G一致,但需要重點(diǎn)考慮新業(yè)務(wù)、新架構(gòu)、新技術(shù)給5G網(wǎng)絡(luò)帶來(lái)的安全挑戰(zhàn)。3GPP SA3工作組對(duì)5G安全的威脅和風(fēng)險(xiǎn)做了十七個(gè)方面的分析,包括:安全架構(gòu)、接入認(rèn)證、安全上下文、密鑰管理、RAN(無(wú)線接入網(wǎng))安全、下一代UE安全、授權(quán)、用戶注冊(cè)信息隱私保護(hù)、網(wǎng)絡(luò)切片安全、網(wǎng)絡(luò)域安全、安全可視化&安全配置管理、憑證分發(fā)、安全的互聯(lián)互通和演進(jìn)、小數(shù)據(jù)安全、廣播/多播安全、管理面安全和密碼算法的風(fēng)險(xiǎn)分析。
基站自身服務(wù)可用性面臨著外部空口無(wú)線信號(hào)干擾和協(xié)議攻擊的威脅。5G核心網(wǎng)的部分網(wǎng)元如統(tǒng)一數(shù)據(jù)管理(UDM)會(huì)處理、保存用戶的個(gè)人信息,所以可能面臨用戶信息泄露和服務(wù)可用性攻擊的威脅。需要考慮網(wǎng)絡(luò)切片業(yè)務(wù)服務(wù)商的接入認(rèn)證。在新技術(shù)方面,就需要考慮量子計(jì)算等新技術(shù)對(duì)傳統(tǒng)密碼算法的影響。需要考慮SDN、NFV、MEC、云和虛擬化等面臨的安全威脅和挑戰(zhàn)。
5G網(wǎng)絡(luò)面臨的安全威脅和攻擊面隨著其開(kāi)放性而不斷擴(kuò)大,所以基于業(yè)務(wù)場(chǎng)景梳理所面臨的安全威脅,有針對(duì)性的采取安全措施降低風(fēng)險(xiǎn),收縮攻擊面成為5G網(wǎng)絡(luò)自身及5G+融合發(fā)展歷程中需要持續(xù)解決的問(wèn)題。主要包括如下三方面。
越來(lái)越多的應(yīng)用程序和用例出于本地化計(jì)算和超低延遲的需要,需要計(jì)算和存儲(chǔ)更靠近邊緣和數(shù)據(jù)產(chǎn)生的位置,這樣會(huì)有更多的能力和服務(wù)下沉到MEC,增大MEC的暴露風(fēng)險(xiǎn)。
5G網(wǎng)絡(luò)引入了一些新技術(shù)、新機(jī)制和基于軟件的體系結(jié)構(gòu)而隨之引入的風(fēng)險(xiǎn)。例如SDN、軟件定義接入(SDA/CloudRAN)、軟件定義無(wú)線電(SDR)、控制面和用戶面隔離機(jī)制(CUPS),MEC,網(wǎng)絡(luò)切片(NS)和NFV等,基于服務(wù)的、云化的、容器化和虛擬化的5G網(wǎng)絡(luò)架構(gòu)在更好地支撐垂直行業(yè)不斷增長(zhǎng)的新業(yè)務(wù)需求和新業(yè)務(wù)場(chǎng)景的同時(shí),也擴(kuò)大了暴露面和攻擊面。
跨越接入、邊緣和核心的大部分威脅面是由于網(wǎng)絡(luò)架構(gòu)更加靈活并向互聯(lián)網(wǎng)開(kāi)放而引起的。網(wǎng)絡(luò)能力開(kāi)放,多類型更大范圍更多數(shù)量的設(shè)備和用戶以及供應(yīng)商會(huì)按需接入網(wǎng)絡(luò),甚至?xí)芾砗团渲?G網(wǎng)絡(luò),都會(huì)加劇因開(kāi)放而帶來(lái)的風(fēng)險(xiǎn)。如圖2所示。
5G作為“新基建”服務(wù)于垂直行業(yè)并帶來(lái)日益豐富的服務(wù),不同的業(yè)務(wù)應(yīng)用場(chǎng)景將具有不同的安全性要求。例如,物聯(lián)網(wǎng)服務(wù)涉及復(fù)雜的應(yīng)用程序和數(shù)千億個(gè)連接(到2025年全球預(yù)計(jì)750億),同時(shí),物聯(lián)網(wǎng)設(shè)備的計(jì)算能力一般較低,電池壽命要求較高。如果采用傳統(tǒng)的單用戶身份驗(yàn)證方式則很可能會(huì)產(chǎn)生高昂的成本開(kāi)銷并可能導(dǎo)致信令風(fēng)暴,同時(shí)也會(huì)增加物聯(lián)網(wǎng)設(shè)備在計(jì)算和電池方面的負(fù)擔(dān)。再如,車聯(lián)網(wǎng)(IoV)服務(wù)對(duì)網(wǎng)絡(luò)延遲和可靠性要求苛刻,甚至通信中的安全威脅可能危及生命。
因此,需要特別關(guān)注產(chǎn)業(yè)側(cè)和5G網(wǎng)絡(luò)側(cè)相融合而產(chǎn)生的融合安全挑戰(zhàn),這些挑戰(zhàn)包括但不限于如下四方面。
第一方面是產(chǎn)業(yè)側(cè)和5G網(wǎng)絡(luò)側(cè)融合發(fā)展中,對(duì)滿足多個(gè)應(yīng)用場(chǎng)景的統(tǒng)一身份驗(yàn)證框架提出了嚴(yán)峻挑戰(zhàn)。統(tǒng)一身份認(rèn)證框架需要滿足兩側(cè)的網(wǎng)絡(luò)訪問(wèn)身份驗(yàn)證要求,包括終端設(shè)備身份驗(yàn)證,用戶身份驗(yàn)證,多種身份驗(yàn)證方法和多種身份驗(yàn)證機(jī)制。
第二方面是降低用戶和設(shè)備在身份驗(yàn)證、身份管理和數(shù)據(jù)傳輸開(kāi)銷等方面的挑戰(zhàn)。比如接入時(shí)的身份驗(yàn)證機(jī)制,服務(wù)訪問(wèn)期間的身份驗(yàn)證機(jī)制,用戶和設(shè)備在移動(dòng)期間的安全上下文(場(chǎng)景)切換機(jī)制以及網(wǎng)絡(luò)節(jié)點(diǎn)上的數(shù)據(jù)加解密機(jī)制等。
第三方面是需要對(duì)用戶面(UPF)數(shù)據(jù)提供按需保護(hù)的挑戰(zhàn)。根據(jù)服務(wù)類型、部署方式(與MEC集成或分開(kāi))和安全要求部署相適配的安全保護(hù)機(jī)制,比如采用端點(diǎn)加密、輕量級(jí)加密算法等機(jī)制。
圖2 5G端到端威脅視圖
第四方面是需要滿足網(wǎng)絡(luò)和安全能力均具有彈性和伸縮性要求的挑戰(zhàn)。例如,當(dāng)網(wǎng)絡(luò)水平擴(kuò)展或收縮時(shí),能夠及時(shí)啟動(dòng)或終止某些安全功能實(shí)例以滿足安全要求。
為了提供更高的系統(tǒng)靈活性和效率,5G在網(wǎng)絡(luò)組織上采用多天線技術(shù)(MIMO)、網(wǎng)絡(luò)切片技術(shù)(NS)、軟件定義網(wǎng)絡(luò)(SDN)網(wǎng)絡(luò)功能虛擬化(NFV)等,引入邊緣計(jì)算(MEC)等技術(shù),大大縮短端到端的傳輸時(shí)延,有效提升了應(yīng)用處理效率。在運(yùn)營(yíng)管理上采用大數(shù)據(jù)和人工智能技術(shù),這些與原有移動(dòng)網(wǎng)絡(luò)架構(gòu)完全迥異的深刻變化,新技術(shù)的引入也給5G網(wǎng)絡(luò)安全帶來(lái)了新挑戰(zhàn)。
5G網(wǎng)絡(luò)利用虛擬化技術(shù)實(shí)現(xiàn)了軟件和硬件的解耦,網(wǎng)絡(luò)功能通過(guò)軟件實(shí)現(xiàn),不再依賴于特殊的通信硬件平臺(tái),在方便靈活的同時(shí)首先需要特別關(guān)注虛擬化安全風(fēng)險(xiǎn)。其次,網(wǎng)絡(luò)虛擬化使用大量的開(kāi)源和第三方軟件,這增加了引入安全漏洞的可能性。通過(guò)SDN架構(gòu)實(shí)現(xiàn)端到端網(wǎng)絡(luò)和業(yè)務(wù)的協(xié)同,提升業(yè)務(wù)的自動(dòng)開(kāi)通部署和智能運(yùn)維能力的同時(shí)需要格外注意SDN的安全風(fēng)險(xiǎn)。
5G網(wǎng)絡(luò)切片提供差異化的網(wǎng)絡(luò)服務(wù)的同時(shí)也帶來(lái)了新的安全挑戰(zhàn)。例如,網(wǎng)絡(luò)切片內(nèi)以及切片之間的資源和安全隔離問(wèn)題,跨網(wǎng)絡(luò)切片的安全策略調(diào)度和用戶設(shè)備(UE)的身份認(rèn)證問(wèn)題,跨網(wǎng)絡(luò)切片的用戶設(shè)備(UE)的數(shù)據(jù)封裝問(wèn)題,網(wǎng)絡(luò)切片管理器與其目標(biāo)物理主機(jī)平臺(tái)之間相互的身份認(rèn)證問(wèn)題以防實(shí)例化假冒攻擊,以及針對(duì)網(wǎng)絡(luò)切片的降維度或降級(jí)攻擊等。
移動(dòng)多接入訪問(wèn)邊緣計(jì)算(MEC)站點(diǎn)通常部署在物理?xiàng)l件相對(duì)較差的機(jī)房中,也難以復(fù)用核心網(wǎng)絡(luò)側(cè)的安全保障措施,在物理安全保證和網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制方面面臨相對(duì)較大的風(fēng)險(xiǎn)。在數(shù)據(jù)安全方面,5G園區(qū)專網(wǎng)中企業(yè)通常要求數(shù)據(jù)不出園區(qū),要求MEC部署在園區(qū)側(cè)同時(shí)確保MEC系統(tǒng)平臺(tái)中的數(shù)據(jù)安全。此外,園區(qū)側(cè)擔(dān)心安全攻擊可能會(huì)從運(yùn)營(yíng)商的網(wǎng)絡(luò)滲透到園區(qū)側(cè),而運(yùn)營(yíng)商也認(rèn)為園區(qū)側(cè)網(wǎng)絡(luò)不可控且不可信,可能會(huì)將安全威脅或病毒傳播到運(yùn)營(yíng)商側(cè)。為了應(yīng)對(duì)這些安全要求和挑戰(zhàn),必須采取安全、細(xì)顆粒度的隔離措施,以確保運(yùn)營(yíng)商側(cè)網(wǎng)絡(luò)與園區(qū)側(cè)網(wǎng)絡(luò)之間的相互信任和通信,明確雙方各自的安全邊界,同時(shí)充分利用MEC的優(yōu)勢(shì),確保安全性。
5G核心網(wǎng)絡(luò)(CN)的功能架構(gòu)引入了NEF功能組件,以實(shí)現(xiàn)網(wǎng)絡(luò)能力的開(kāi)放性。在南向接口(SBI)方面,NEF與5G核心網(wǎng)中的各種服務(wù)網(wǎng)元進(jìn)行通信。在北向接口(NBI)方面,NEF將向垂直行業(yè)不同的應(yīng)用程序功能(AF)開(kāi)放API,通過(guò)集中式API網(wǎng)關(guān),NEF可以實(shí)現(xiàn)5G核心網(wǎng)絡(luò)功能的統(tǒng)一開(kāi)放性。
由于調(diào)用NEF API的AF可能來(lái)自諸如Internet之類的外部運(yùn)營(yíng)商或垂直行業(yè)客戶,因此這種開(kāi)放性暴露的風(fēng)險(xiǎn)可能會(huì)對(duì)5G核心網(wǎng)絡(luò)乃至整個(gè)5G網(wǎng)絡(luò)帶來(lái)嚴(yán)重的安全威脅。5G核心網(wǎng)絡(luò)的網(wǎng)元提供服務(wù)開(kāi)放性并通過(guò)API相互調(diào)用所開(kāi)放的能力。因此,在5G網(wǎng)絡(luò)上,需要在核心網(wǎng)絡(luò)和外部第三方應(yīng)用程序之間以及核心網(wǎng)絡(luò)的內(nèi)部網(wǎng)元NE之間,支持更高和更靈活的安全功能,以實(shí)現(xiàn)安全能力的服務(wù)化調(diào)用。
5G網(wǎng)絡(luò)支持多種接入技術(shù),例如WLAN、LTE、固定網(wǎng)絡(luò)和新的5G無(wú)線接入技術(shù)(RAT),不同的接入技術(shù)具有不同的安全要求和身份驗(yàn)證機(jī)制。另外,用戶可以具有多個(gè)終端,并且一個(gè)終端可以支持多種接入方法。當(dāng)終端在不同的接入方式之間切換時(shí),或者用戶在不同的終端上使用相同的服務(wù)時(shí),需要進(jìn)行快速認(rèn)證,以保證服務(wù)的連續(xù)性,從而獲得更好的用戶體驗(yàn)。
因此,5G網(wǎng)絡(luò)需要建立統(tǒng)一的認(rèn)證框架,構(gòu)建一個(gè)統(tǒng)一的身份管理系統(tǒng),以集成不同的接入認(rèn)證方法和身份驗(yàn)證方法,并優(yōu)化現(xiàn)有的安全認(rèn)證協(xié)議,以提高在異構(gòu)網(wǎng)絡(luò)之間切換終端的安全認(rèn)證效率,確保用戶在終端或接入方式之間切換的業(yè)務(wù)連續(xù)性。
5G網(wǎng)絡(luò)上服務(wù)和場(chǎng)景的多樣性以及網(wǎng)絡(luò)的開(kāi)放性增加了用戶和設(shè)備(UE)隱私信息被泄露的風(fēng)險(xiǎn)。例如在5G+智能醫(yī)療場(chǎng)景中,有關(guān)患者的機(jī)密信息(例如病歷、處方、治療方法和治療計(jì)劃等)在收集、存儲(chǔ)、傳輸和使用過(guò)程中有被泄漏或篡改的風(fēng)險(xiǎn)。或者在5G+智能交通場(chǎng)景中,有關(guān)車輛位置和駕駛軌跡之類的私人信息也可能被泄漏,并被非法追蹤和使用。因此,對(duì)5G網(wǎng)絡(luò)的用戶隱私保護(hù)和數(shù)據(jù)安全提出了更高的要求。
主要的安全威脅有四方面。
第一是5G網(wǎng)絡(luò)是具有多種接入技術(shù)的異構(gòu)網(wǎng)絡(luò),用戶隱私和數(shù)據(jù)分散在網(wǎng)絡(luò)的功能實(shí)體上,數(shù)據(jù)挖掘技術(shù)使第三方能夠匯聚和分析分散的私人數(shù)據(jù)并獲得更多私人用戶信息。
第二是5G網(wǎng)絡(luò)需要優(yōu)化和糾正4G網(wǎng)絡(luò)上的國(guó)際移動(dòng)用戶身份(IMSI)漏洞,并使用增強(qiáng)的安全機(jī)制來(lái)保護(hù)用戶身份免遭泄露,同時(shí)防止對(duì)用戶進(jìn)行降維攻擊。
第三是網(wǎng)絡(luò)攻擊者還可以通過(guò)使用UE位置信息或空中接口數(shù)據(jù)包的連續(xù)性來(lái)跟蹤和攻擊UE。因此,5G中用戶設(shè)備(UE)的位置隱私數(shù)據(jù)面臨泄露和被跟蹤的安全威脅。
第四是5G網(wǎng)絡(luò)需要在接入技術(shù)和運(yùn)營(yíng)商之間切換時(shí)充分考慮用戶數(shù)據(jù)面臨的隱私暴露風(fēng)險(xiǎn),并制定涵蓋用戶身份,位置和訪問(wèn)服務(wù)的全面隱私保護(hù)策略。