5G商用脚步来临背后的安全问题怎么办

2019年05月15日 来源:

9月3日消息,随着5G商用脚步来临,背后更大的一张需要值得注意,那就是:安全。

在上周举行的第四届互联安全领袖峰会(CSS2018)上,中国工程院院士、中国互联协会理事长邬贺铨在谈及安全话题时提到:5G在终端接入身份认证、5G终端安全、络切片以及物联、车联等各方面的安全问题都跟之前的3G/4G需求不同,因而面对的挑战也将更加复杂。因此,在5G到来之前就要有备无患提早把5G的安全问题布局好。

1,接入和认证

在接入的身份认证方面,当移动用户首次附着络时,3G/4G终端的长时间身份标识(IMSI)会直接以明文的形式在信道中传输,用户身份被公然。但是5G在USIM卡增加运营商设定的公钥,以该公钥直接将用户的SUPI(即IMSI)加密为SUCI,络用私钥来解密,从而保护用户身份不被窃听攻击。

据悉,3GPP在TR33.899中给出了推荐的SUCI加密方案。移动管理实体在获取IMSI后,会向USIM分配临时身份信息GUTI/TMSI,用于后续通信。

在认证协议方面,5G面对的装备种类不再单一,也难以为不同的装备颁发一直的身份凭证,垂直行业会有一些专用的认证机制。因此,5G还需要实现从以USIM卡未出的单一身份管理方式到灵活多样的身份管理方式的过渡,和对所涉及的身份凭证的产生、发放、撤销等整个生命周期内的管理。

那么,5G就会使用EAP-AKA以实现统一框架下的双向认证,支持非3GPP的接入,使用5G-AKA增强归属络控制。除了原有认证之外,还可以借助第三方的二次认证提供认证服务。

同时,对海量IOT连接需要使用群组认证,对车联要有V2V快速认证。密钥分发流程下发到络边沿的各个认证节点,有效防止了对络中间部署的集中的认证中心的信令冲击。

另外,由于5G接入络包括LTE接入络,攻击者有可能诱导用户至LTE接入方式,从而导致针对隐私性泄露的降维攻击,5G隐私保护也需要考虑此类安全威胁。

二,5G终端的安全要求

据邬贺铨介绍:5G终端安全通用要求包括用户于信令数据的机密性保护、签约凭证的安全存储与处理、用户隐私保护等等。

而5G终端特殊安全要求包括:对uRLLC的终端需要支持高安全、高可靠的安全机制;对于mMTC终端,需要支持轻量级的安全算法和协议;对于一些特殊行业,需要专用的安全芯片,定制操作系统和特定的应用商店。

同时,在基于络和UE辅助方面,UE终端设备负责收集信息,将相邻基站的CI、信号强度等信息通过测量报告上报给络,络结合络拓扑、配置信息等相关数据,对所有数据进行综合分析,确认在某个区域中是不是存在伪基站,同时,通过GPS和三角测量等定位技术,锁定伪基站位置,从而彻底打击伪基站。

三,络切片和编排

不同切片的隔离是切片络的基本要求,每个切片需预配一个切片ID,终端(UE)在附着络时需要提供切片ID,归属服务器(HSS)根据终端请求。需要从切片安全服务器(SSS)中采取与该切片ID对应的安全措施和算法,并为UE创建与切片ID绑定的认证矢量。

因此,在支持络切片的运营支撑系统房间,需要进行安全态势管理与监测预警。利用各类安全探针,采用标准化的安全设备统一管控接口对安全事件进行上报,以深度学习手段嗅探和检测攻击。

同时,根据安全威胁能智能化宣称相干的安全策略调整,并将这些策略调整下发到各个安全设备中,从而构建起一个安全的防护体系。

另外,在编排器方面,编排决定了络/特定服务的拓扑结构,还将决定在何处部署安全机制和安全策略;管理和编排进程的最基本的安全需求是保证各服务之间共享资源的关联性和一致性;5G系统需要再编排过程中提供足够的安全保证。

四,络的开放性

由于5G将提供移动性、会话、QoS和计费等功能的接口,方便第三方运用独立完成络基本功能。还将开放ANO(管理和编排),让第三方服务提供者可独立实现络部署、更新和扩容。

但是,相比现有的相对封闭的移动通讯系统来讲,5G络如果在开放授权进程中出现信任问题,则恶意第三方将通过取得的络操控能力对络发起攻击,APT攻击、DDOS、Worm歹意软件攻击等规模更大且更频繁。

因此,随着用户(设备)种类增多、络虚拟化技术的引入,用户、移动络运营商及基础设施提供商之间的信任问题也比以前的络更加复杂。

同时,在络对外服务接口方面也需要认证授权,对冲突策略进行检测,相关权限控制和安全审计。

五,信令及SBA

在密钥管理方面,5G因应用场景丰富致使密钥种类出现多样化的特点:用于控制平面的机密性/完整性保护密钥;用户用户平面的机密性/完整性保护密钥(在这4G系统里是没有的,按需提供空口和/或UE到核心之间的用户面加密和完整性保护);用户保护无线通信端信令和消息传输的密钥(提供空口和NAS层信令的加密和完整性保护);用户支持非3GPP接入密钥;用于保证络切片通信安全的密钥;用于支持与LTE系统后向兼容的密钥等等。新的密钥支持层次化的密钥派生机制、认证机制的变化、切片引入、用户面完整性等。

在基于服务的络体系(SBA)方面,络功能在4G是元的组合,而在5G是通过API交互的业务功能的组合,业务被定义为自包含、可再用和独立管理。

业务的解耦便于快速部署和维护络,模块化为络切片提供灵活性;使用HTTP的API接口更易调用络服务。

其实,SBA有两个元是直接服务于络安全的:AUSF(认证服务功能)处理接入的认证服务请求;SEPP(安全边沿保护代理)对运营商间交互的所有服务层信息提供运用层安全保护。

6,5G下的MEC本身安全特别重要

为适应视频业务、VR/AR与车联等对时延要求,节约络带宽,需将存储和内容分发下沉到接入。

据了解,MEC服务器可以部署在络汇聚结点以后,也可以部署在基站内,流量将能够以更短的路由次数完成客户端与服务器之间的传递,从而缓解欺诈、中间人攻击等威逼。

同时,MEC通过对数据包的深度包解析(DPI)来识别业务和用户,并进行差异化的无线资源分配和数据包的时延保证。因此,MEC本身的安全特别重要。

另外,值得注意的是SDN与NFV依赖物理边界防护的安全机制在虚拟化下难以应用。需要斟酌在5G环境下SDN控制元与转发节点间的安全隔离和管理,以及SDN流表的安全部署和正确履行。

七,5G在车联和物联上的安全挑战

车联要求空口时延低至1ms,而传统的认证和加密流程等协议,未考虑超高可靠低时延的通信场景。为此要简化和优化原有安全上下文(包括密钥和数据承载信息)管理流程,支持MEC和隐私数据的保护。直接的V2V需要快速相互认证。邬贺铨说。

通常物联终端资源受限、络环境复杂、海量连接、容易受到攻击,需重视安全问题:如果每个设备的每条消息都需要单独认证,若终端信令要求超过络处理能力,则会触发信令风暴,5G对mMTC需要有群组认证机制;需要采用轻量化的安全机制,保证mMTC在安全方面不要增加过多的能量消耗;需要抗DDOS攻击机制,赢多NO-IoT终端被攻击者劫持和利用。

白带多白带异常
益母颗粒一般吃多少天
产后感染多久能好
相关文章
  • 药价谈判半数省份未落地患者与药企双输
    药价谈判半数省份未落地患者与药企双输

    历时十个月的药价谈判使三种治疗乙肝和肺癌药品降幅超50%,但半数省份未落地,导致患者跨省买药,外资药企陷入焦灼。7月27日,广州乙肝公益组织亿友公益联合8个省份的乙肝病友以及乙肝携带者给全国19个省份(安徽、福建、甘肃、广东、广西、贵州、海南、河...

  • 我市居民人均食盐量超标近一倍盐重影响健康
    我市居民人均食盐量超标近一倍盐重影响健康

    盐是人们生活中不可或缺的调味品。对很多中国人来说,一道菜中可以没有酱油,没有味精,但绝不能没有盐。正是这“不咸不淡”的问题,正悄悄危害着人们的健康。《中国居民膳食指南》推荐每日人均食盐标准量6克,我市居民吃盐量竟然超了将近一倍。日前,全...

  • 葛洲坝高价拿地北京新地王项目单价将超15万元
    葛洲坝高价拿地北京新地王项目单价将超15万元

    葛洲坝地产在上一周的北京房地产市场上赚足了眼球。来势汹汹上市央企子公司以49.5亿元拍得位于北京市丰台区花乡樊家村危改6号、12号、2号(教育用地)地块,其溢价率达到50%。葛洲坝地产在上一周的北京房地产市场上赚足了眼球。来势汹汹上市央企子公司以49.5亿...

  • 中国假日全球性影响力与日俱增
    中国假日全球性影响力与日俱增

    2014年节假日放假方案公布后,春节、国庆节两个长假得以保留,翘首观望国内外旅游业界表示肯定和欢迎,“中国假日”全球性影响力将继续与日俱增。我国黄金周的影响力通过出境游辐射全世界,我国大陆消费者的强大购买力,不仅刺激了港澳台地区的经济,也在...

  • 高盛募集85亿美元私人资本运营基金
    高盛募集85亿美元私人资本运营基金

    社近日的报道,全球著名投行高盛集团公布已完成了GSCapitalPartnersV的筹资——一只共筹集85亿美元(约合663亿港元)的私募基金,这将是有史以来规模最大的私人资本运营基金,同时也是高盛第五只专门通过私下洽商股权投资成立的基金。高盛同时表示,公司已承诺投入...

  • 詹皇22分韦德末节发飙韦德北京时间德隆0分热火20领先篮
    詹皇22分韦德末节发飙韦德北京时间德隆0分热火20领先篮

    热火胜篮 詹姆斯单挑皮尔斯数据 投篮点 实录 调查 热议 阅兵北京时间5月9日,NBA季后赛第二轮次战的厮杀如火如荼,热火坐镇主场与篮展开次轮第二战的角逐。两队在前三节还缠斗得相当胶着,不过韦德在末节的出色发挥带领热火接连刷分,并且波什和詹姆斯也跟...