探索5G网络安全架构与安防业务融合
2021/7/19 11:48   《中国安防》      关键字:5G网络安全 架构 与 安防业务 融合      浏览量:
5G的快速发展使其成为我国新一代信息基础设施的重要组成部分。我国于2015年发布《5G概念白皮书》,并于2019年实现5G试商用,2020年实现重点城市规模商用。在国家大力开展5G技术研发与标准化、5G基础设施建设的同时,同步开展5G安全总体架构、安全机制研究和标准化推进,具有重要的意义。
  文 / 肖容 公安部第三研究所
  一、前言
  5G的快速发展使其成为我国新一代信息基础设施的重要组成部分。我国于2015年发布《5G概念白皮书》,并于2019年实现5G试商用,2020年实现重点城市规模商用。在国家大力开展5G技术研发与标准化、5G基础设施建设的同时,同步开展5G安全总体架构、安全机制研究和标准化推进具有重要的意义。
  5G移动通信系统需要满足千倍流量增长、降低时延、海量设备连接的网络发展需要,5G在无线传输和网络方面进行大量创新,在技术、架构和应用支持等方面与3G、4G或其他无线通信系统存在非常大的区别,带来全新的安全需求和风险,从而对5G的安全架构和安全机制设计提出了全新的挑战。在继承4G安全性的基础上,5G安全的网络设计充分考虑以往通信网络的安全不足,从安全系统、安全功能、安全服务等多维度设计安全架构,以实现数据安全保护,体现统一认证框架和业务认证,满足能力开放以及支持切片安全和应用安全保护机制等需求。本文从5G移动通信网络安全的关键性技术原理及架构、5G移动通信网络安全技术现阶段的突破、5G移动通信网络安全技术未来发展趋势等方面进行分析,探讨5G网络安全对安防行业的作用。
  二、5G移动通信网络安全的关键性技术原理及架构介绍
  1.安全系统架构
  安全系统架构定义安全的主要功能和各个功能实体之间的安全通信接口关系,并根据不同通信接口的功能和需求定义了对应的安全特征组,实现对5G系统安全能力的初步分类,为后续安全技术的研究提供指导。5G安全系统架构如图1所示。

  5G安全分为公用基础设施物理硬件平台安全和虚拟化网元实体安全(图1中除公用基础设施物理硬件平台安全之上的部分)两大部分。硬件平台安全主要保证物理基础设施设备的安全可信运行,确保网元实体功能运行在可信的物理设施之上;虚拟化网元实体安全是5G研究的主要方面,完成传统移动通信系统的所有安全功能。
  2.安全功能架构
  5G安全功能架构是从安全功能的角度来阐述5G安全功能的相互作用关系。由于安全功能通常要多方完成,这里按照安全功能主要发挥的地方进行简单分类,以说明它们之间的作用关系。
    从近年来不断被披露的网络安全事件及其带来的严重后果来看,传统静态设防的方式已难以满足要求。5G安全防护体系针对虚拟化的网络环境,结合网络切片和网络能力开放等5G网络能力特征,提供动态可重构的安全防护能力。安全功能架构如图2所示。

  (1)虚拟化安全基础资源
  虚拟化安全基础资源为整个安全防护体系提供用户签约身份信息和认证信息等基础安全资源,为安全管理、可重构安全防护提供基础的安全服务。
  (2)安全服务
  安全服务采用5G网络虚拟化一致的思路对安全基础资源进行虚拟化抽象、封装和组合,分发到相关的网元中,为终端安全、接入安全、网络安全、业务安全和安全管理等提供基础安全服务集合。
  (3)安全管理
  安全管理利用大数据分析、云计算等技术,借助全局网络视图和知识库,实现对网络流量、网络行为、安全事件等信息的全面采集、分析,进行安全态势感知,通过漏洞挖掘和异常威胁检测,实现对攻击的监测预警,及时有效地发现网络上的安全漏洞和入侵行为,并通过开放和标准化的安全接口协同终端、接入、网络等安全功能实现多域安全联动,快速封堵网络的安全漏洞,从而形成体系化的动态可重构安全防御能力,有效应对各种安全风险和不断翻新的攻击威胁。
  (4)安全防护
  可重构的安全防护是整个5G安全的实际执行者,接收5G运营商的安全策略和5G安全管理下发的统一安全机制,具体执行实体包括终端、接入网、核心网和5G应用的安全防护实体。
  3.安全服务架构
  5G安全从服务的受众角度主要考虑两个方面,一是保证网络基础设施的安全,主要解决面向公众用户的5G网络安全问题,为用户提供基本、普适性的安全能力;二是面向承载业务的安全,在保证5G承载业务安全、稳定、可靠地使用网络提供的服务同时,为垂直行业与特殊行业等应用提供定制化、差异性的安全能力。根据前面的分析以及我国5G网络架构的相关成果可知,5G网络安全的架构是一个面向服务的架构,其相关功能和服务将嵌入网络架构的资源层、能力层和应用层三个层面。5G安全功能与5G网络架构的关系及安全应用视图如图3所示。

  资源层实现加密、签名、密钥管理基础设施(KeyManagement Infrastructure,KMI)、公钥基础设施(Public Key Infrastructure,PKI) 等基础安全资源的抽象与封装,对上层提供调用接口; 能力层通过对资源能力的组合,形成无线接入安全、网络安全、业务安全、管理安全、合法监听等五个方向上的具体安全功能,通过5G网络统一的逻辑编排,实现能力开放;应用层为各行业、应用提供各种安全能力,对5G系统的整体安全提供支撑。
  三、5G 移动通信网络安全技术现阶段的突破
  本部分将从安全认证、隐私保护、切片安全、终端安全等几个主要方面介绍5G安全技术研究进展。
  1.安全认证
  5G 需要支持多种接入技术,如4G接入、5G接入及WLAN接入等。由于不同的接入网络使用不同的接入技术,5G需要允许垂直行业的设备和网络使用其特有的接入技术。为了更好地支持物联网的接入,使用户可以在不同接入网间实现无缝切换,需要研究建立5G的统一密钥体系,为各种设备提供统一接入认证服务,实现多场景海量终端的灵活高效身鉴权。可扩展认证协议(EAP)认证框架是能满足5G统一认证需求的备选方案之一[1] 。EAP是一个可以灵活封装各种认证协议的统一认证框架,支持身份认证预共享密钥协议(AP-PSK),可扩展身份认证安全传输层协议(EAP-TLS),可扩展身份认证协议与密钥协商协议(EAP-AKA)等多种认证协议。在3GPP目前所定义的5G网络架构中,认证服务器功能、处理功能(AUSF/ARPF)网元、接入管理功能(AMF)网元等功能模块组成了EAP统一认证框架。在此框架下,不同接入体制的终端设备都能无缝接入5G网络。相关研究方面,纪韬[2]兼顾执行效率和安全的接入认证方案,针对智能移动电话等计算能力较强的设备采用基于KP-ABE的匿名接入认证,针对计算能力较弱的设备采用基于群组的接入认证,并验证了多种常见攻击下的安全性;李小文[3]等人结合5GAKA认证机制的特点,提出了终端5GAKA认证过程的具体设计方案;贾聿庸[4]等人提出了以用户为中心身份认证管理技术解决用户和设备之间的关系、访问第三方服务以及物联网设备可见性等问题。
  2.隐私保护
  5G网络涉及多种网络接入类型并兼容垂直行业应用,提供差异化的隐私保护能力。用户隐私在多种网络、服务、应用及网络设备中存储使用,不同用户、不同业务场景对隐私保护的需求不尽相同,因此需要针对不同的用户和业务场景采用不同技术措施解决5G网络的隐私保护问题。另外,根据隐私数据在5G网络中的实际使用情况,从数据采集传输、数据脱敏、数据加密、安全基线建立、数据发布保护等方面采用不同技术措施保证数据的安全。因此,5G网络需要支持安全、灵活、按需的隐私保护机制。5G网络对用户隐私的保护可以分为身份标识保护、位置信息保护、服务信息保护等几种类型。当前5G网络中隐私保护所采用的主要技术措施有数据加密技术、基于限制发布的隐私保护技术、访问控制技术、虚拟存储和传输保护技术、5G网络隐私增强技术等。相关研究方面,赵静[5]分析了5G终端使用4G卡时存在SUPU信息泄露的问题; 李梁等人[6]为了解决5G智能电网中电力回收的安全性和隐私保护问题,提出了基于V2G(Vehicle-to-Grid)的具有隐私保护能力的5G智能电网电力注入系统;冯中华等人[7]分析了基于隐私保护的车联网身份认证系统面临的攻击威胁,提出了基于证书和假名机制的隐私保护方案。
  3.切片安全
  5G引入网络切片和软件定义网络 / 网络功能虚拟化(SDN/NFV)技术概念之后,安全边界模糊化问题导致了传统移动通信网络以物理实体为核心的安全防护技术在5G网络新环中已经不再适用[8]。安全性不仅与安全特征的物理部署有关,更重要的是与虚拟资产部署的安全特征有关,需要建立起以虚拟资源和虚拟功能为目标的安全防护体系。因此不仅要在网络切片、NFV 层面研究虚拟化基础设施可信运行及资源隔离与虚拟化网络切片的安全保障机制,更需要在管理架构上进行设计调整,以适应被管虚拟资源和虚拟功能灵活多变的组网需求[9][10][11][12] 。相关研究方面,毛玉欣等人 [13]提出了网络切片端到端安全隔离的实现方法,可以实现切片在接入网络、承载网络和核心网络中的隔离;周巍[14]从网络切片安全的关键需求出发,提出了基于网络部署方案的切片安全分级保护,以及基于密码技术的切片内用户数据保护;陈松等人[15]提出了安全隔离、终端访问安全连接、切片安全构建、切片内部安全通信等切片安全技术; 孙志勇等人[16]提出了网络切片中虚拟节点与物理节点的安全参数评估模型,建立虚拟节点与物理节点的安全约束关系,从而提高网络切片的容侵性能; 邓伟华[17]提出了基于安全威胁检测的虚拟机迁移策略,能够有效降低安全防护成本。
  4. 终端安全
  终端安全是 5G 安全体系中不可缺少的一环。安全架构在终端中引入终端安全面,在终端安全面中通过构建受信存储、计算环境和标准化安全接口,分别从终端自身和外部两方面为终端安全提供保障。终端自身安全保障可以通过构建可信存储和计算环境,提升终端自身的安全防护能力;终端外部安全保障通过引入标准化的安全接口,支持第三方安全服务和安全模块的引入,并支持基于云的安全增强机制,为终端提供安全监测、安全分析、安全管控等辅助安全功能[18][19][20] 。在 3G/4G 阶段,3GPP一直注重加强对移动网络的安全设计,终端安全则完全交由终端厂家自行开发。由于缺少统一标准的牵引,移动终端安全技术发展缓慢,产业化进展滞后,很快就成为用户隐私泄露的重灾区。近年来,虽然有芯片厂家或终端企业陆续推出了一些安全技术,但总体来说,受已有架构的限制,对于解决不同角度的安全问题,缺乏普适性设计。相关研究方面,秦宁丽[21]提出了一种基于国密算法的智能移动终端安全防护技术,能够提升终端的数据存储、传输及应用安全;黄霞[22]从智能家居的终端架构特点出发,提出了智能家居 APP 安全、通信网络安全、智能终端安全等安全问题的应对措施;钟磊等人[23]引入机器学习算法对终端安全事件进行分析与分类,有效降低了终端用户的安全风险;吴庆升等人[24]从网络准入、硬软件等层面研究终端存在的安全威胁,从接入控制、身份认证、监控与审计等方面提出了终端安全防护的设计思路;黄飞飞等人[25]全面分析了终端数据面临的安全威胁,提出了终端数据防泄漏的安全管理建议。
  四、5G移动通信网络安全技术未来发展趋势
  随着5G商用的推进和5G应用的增长,针对5G移动通信安全技术将呈现多元化、精细化、主动化的发展趋势,具体的研究趋势包括 :
  1.在技术架构上,5G安全将实现虚拟化安全技术的广泛应用。随着 SDN、NFV、切片等技术的引入,5G网络呈现出虚拟化、软件化、开放化等特点,促使安全架构实现对高可靠虚拟化安全技术的支持。
  2.在部署理念上,5G安全将实现从外挂式防护到内生式安全的跨越。5G将充分利用网络架构的优势,如软硬件解耦、虚拟化和动态化,挖掘内生安全性和开发内生安全关键技术,构建基于非可信网络组件的高可靠性、高安全性5G网络。
  3.在应用需求上,5G安全将实现差异化安全策略的灵活适配。5G在丰富垂直行业与专用领域的应用,使得5G终端类型呈现多元化,从而促使安全架构应对多元化终端的安全需求,实现差异化安全策略与模组的灵活适配。
  五、探索5G网络安全在安防行业的作用
  5G 网络安全技术特点结合安防的人防、物防和技防核心监控方法,本章节将探索5G网络安全在安防行业的作用。
  1.轻量级加密算法及协议为技防添彩
  5G网络的低延迟、高密度传输特性以及许多可能会出现的安全问题的解决都需要更加高效的轻量级加解密算法及相应协议的提出。通常来说流密码体制非常适合快速加解密的处理,而基于角色和属性的访问控制加密也将有助于云系统数据安全存储和安全管理效率的提高,对于开发5G轻量级加密算法具有借鉴意义。由于5G的高速传输和低延迟特性,5G的网络安全协议中对于时间戳和入侵者能力的描述将需要进一步细微化,由此而引发的形式化安全分析方法、安全规则以及安全检测系统等传统安全方法的变化将会提高技防的功效。
  2.多安全域融合的安全访问控制机制为人防减负
  5G网络将对多种网络技术实现支持并提供统一的接入平台。通过提供标准接口 API,实现用户通信的完全无缝连接服务。在这种情况下,用户的通信过程将可能会涉及到多种网络通信技术领域,以及多种通信安全域。为了解决这一问题,可提供统一的跨平台身份认证方法,保证多种无线网络互联互通;针对其安全性较弱以及容易暴露用户隐私的缺点, 提出适合于异构无线网络的安全、高效和低开销的密钥管理与身份认证机制,将利用5G安全技术为人防减负。
  3.基于定向传输的物理层安全技术为物防赋能
  在5G网络技术中,通过使用大规模阵列天线,可以实现空域内信号定向传递给指定接受点。在这种传输技术下,无线信号的传输将不再使用广播的方式,从而会避免中间人攻击的存在,保证传输的安全。这种基于定向传输的物理层安全技术为物防赋能。
  六、总结与展望
  本文明确了5G网络安全三大架构,在安全认证、隐私保护、切片安全、终端安全等核心安全功能方面进行研究现状阐述,并在此基础上给出了5G安全技术的发展趋势,为5G网络安全在安防行业的安全整体技防、人防、物防等应用方面工作提供参考借鉴。
  
    参考文献:
  [1]齐旻鹏,彭晋. 5G网络的认证体系[J].中兴通讯技术,2019,25(4): 14-18.
  [2]纪韬.5G网络中身份认证协议研究[D].西安:西安电子科技大学,2018.
  [3]李小文,李阳阳,雷秀.5G终端认证和密钥协商过程的研究与实现[J]. 计算机工程与应用,2019,55(11):35-39.
  [4]贾聿庸,汤建欢.5G时代以用户为中心的认证技术研究[J].互联网天地,2018(11):48-54.
  [5]赵静.5G用户卡标准特性及兼容分析[C]//G 网络创新研讨会(2019) 论文集,2019:82-86.
  [6]李梁,张应辉,邓恺鑫等.5G智能电网中具有隐私保护的电力注入系统[J]. 信息网络安全,2018(12):87-92.
  [7]冯中华,曾梦岐,陶建军.5G时代车联网安全和隐私问题研究[J].通信技术,2017,50(5): 1010-1015.
  [8]刘彩霞,胡鑫鑫.5G 网络切片技术综述[J].无线电通信技术,2019,45(6): 569-575.
  [9]袁琦.5G网络切片安全技术与发展分析[J].移动通信,2019,43( 10): 26-30.
  [10]孙同伦.5G网络切片安全研究[J].信息与电脑( 理论版),2019(5): 193-194.
  [11]罗玙榕,曹进,李晖.软件定义5G通信网络的虚拟化与切片安全[J].中兴通讯技术,2019,25(4):30-35.
  [12]李雪永.浅析5G网络切片安全[J]. 现代信息科技,2018,2(4): 72-73.
  [13]毛玉欣,陈林,游世林等5G网络切片安全隔离机制与应用[J].移动通信,2019,43(10):31-37.
  [14] 周巍.5G网络切片安全技术研究[J].移动通信,2019,43( 10): 38-42.
  [15] 陈松,梁文婷,宋楠等.5G网络切片安全防护设计[J].通信技术,2019,52( 10) : 2499 - 2506.
  [16] 孙志勇,季新生,游伟等.基于安全分级的网络切片备份与重映射方法研究[J].网络与信息安全学报,2018,4(11):49-57.
  [17] 邓伟华.基于安全威胁预测的5G网络切片功能迁移策略[J].计算机产品与流通,2018(12): 42,78.
  [18] 周代卫,王正也,周宇等.5G终端业务发展趋势及技术挑战[J].电信网技术,2015(3):64-68.
  [19] 彭彦青.浅析5G终端业务的发展趋势及技术特点[J].通讯世界,2019,26(5): 12-13.
  [20] 周平. 物联网终端安全分析及实践[J].通讯世界,2019,26(10):50-51.
  [21] 秦宁丽,李博,姚学鹏.基于国密算法的智能移动终端安全防护技术研究[C]∥电力通信技术研究及应用,2019: 386-390.
  [22] 黄霞.智能家居物联网终端的安全威胁与应对措施探讨[J].中国新通信,2019,21(19) : 173.
  [23] 钟磊,张斌武,何恒宏.终端安全管理系统在气象网络中的研究与应用[J/OL]. 计算机技术与发展,2019( 12) : 1 -
  9.[2019 - 12 - 03].http: ∥ kns.cnki.net/kcms/detail / 61.1450.TP.20190924.1535.034.html.
  [24] 吴庆升,李晓敏,未来终端安全防护的发展方向[J].信息与电脑( 理论版) ,2019(16) : 208 - 209.
  [25] 黄飞飞,刘晓天,王洪彬,等.终端数据防泄漏安全管理思考[J].网络安全技术与应用,2019(8) : 78 - 79.

微信扫描二维码,关注公众……

《中国安防》杂志是由中国安全防范产品行业协会主管、主办的集权威性、专业性、可读性于一体的安防行业国家级期刊。自1994年创刊以来,受到了广大读者和作者的关心和支持,......[详情]