文│ 华为产品总监 刘洪善
4G及之前的移动通信技术已覆盖了全球 35 亿用户,而5G技术的数据传输更多、功耗更低、时延更小的特性,将使其渗透到社会生活的方方面面,也带来对其安全性的广泛关注。5G 在继承4G安全性的基础上,增加了新的安全特性,诸如认证授权、隐私保护、数据传输安全、网络架构和互通安全等,在网络安全上有较大进步。但是,短期内 ,5G 的安全仍面临不小的挑战,其安全防护需要各界相互配合、共同努力,体系化、立体化地做好5G安全防护。
一、5G在安全性上的进步
(一)设计了用户唯一标识以保护用户隐私数据
5G设计了终端用户永久标识符(SUPI),以确定用户的真实身份,并保护该用户在网络上传输的数据。
(二)引入公私钥加密体系保护用户数据
通过公私钥体系加密用户在网络上传播的数据。公钥是公开的,放在用户终端,用来加密数据;私钥是保密的,放在运营商手中,用来解密。如此一来,攻击者即使嗅探或劫持了用户的信息,没有私钥,也无法解密出用户的数据。
(三)用户面数据完整性保护
5G提供了按需使用的空口和用户到核心网之间的用户面加密和完整性保护。在4G以及之前的系统中没有启用这一特性,因为会增加数据处理压力,增大数据处理和传输时延。
(四)终端和网络的双向认证
5G 提供了双向认证能力,使终端和网络都能确认对方身份的合法性。从用户面来说,避免了恶意和非法用户接入网络;从网络面来说,避免了攻击者伪造通信基站和热点进行欺诈用户的行为。
(五)为终端提供端到端的安全隔离通道
这个通道保障即使某一终端被攻击变成傀儡机,也很难在网络中复制和扩散攻击行为,比如传播恶意程序等,遏制恶意程序在网络中广泛传播造成的破坏。
二、5G 面临的安全挑战
虽然5G本身设计了新的安全特性,但是,也面临实际的安全问题;而且,5G作为一种基础设施,导致5G场景下的安全防护,不仅需要关注5G技术本身,也要关注5G相关的云管端的整体安全防护。
(一)过渡时期旧的安全风险仍存在
由于5G网络不可能一下取代旧的4G、3G网络,仍需要复用旧的网络,5G的安全特性虽然更进步了,旧系统存在的安全风险仍会导致5G的网络安全情况未有质的改善。
(二)5G万物互联的特点使攻击更有利可图
一方面,5G把网络安全扩大到物理安全、财产安全甚至人身安全,黑客攻击成功会比之前单纯的网络攻击更有利可图,驱动更多的黑客研究5G安全,攻击发生的可能性更大;另一方面,5G的应用环境更开放,互联网的设备和环境更广泛,这让黑客攻击机会更多,俯仰之间都是攻击目标。
(三)对数据保护提出更高的要求
5G收集的信息比之前更多更丰富,而且这些数据一般都非常敏感,涉及用户的隐私,因此,用户数据的保护变得异常重要,5G的运营主体和应用开发者需要承担起自己的防护责任;监管措施也要加强,以确保5G的运营主体确实履行用户数据保护的责任。
(四)防护边界变得模糊
网络切片技术是电信网络技术的一大创新,其基于无线接入网、核心网等基础设施,虚拟出一系列可满足用户定制化业务需求的逻辑网络。区别于传统物理专网的私有性与封闭性,5G网络切片因是建立在共享资源之上的虚拟化网络,使网络边界变得十分模糊,传统的依赖物理网络边界保护网络和信息安全的理念和设施不能完全适用,需要在原有防护理念和设备的基础上,引入新的防护体系。
(五)边缘计算带来的新风险
多接入边缘计算技术(MEC)是 5G的核心技术之一,采用分布式技术,把服务的计算和决策能力下沉到边缘,而不是集中到云端,与现有的云等集中式的网络架构大为不同。边缘计算力求在网络边缘就把能处理的事情处理完,不再把数据都上传到云端进行集中式的计算并回传结果,降低了数据传输时延、减少传输压力,大幅提升用户体验。但是,计算和决策下沉到网络边缘,也导致包括终端、终端应用和终端平台等都暴露在不安全的环境里,环境复杂、可信度低、管理控制能力减弱,使边缘节点更容易遭到非授权访问、敏感数据泄露、恶意数据伪造等威胁。
(六)5G使用的云平台的安全挑战
首先,云平台的安全防护,包括云平台基础设施安全:基础设施本身的安全性、在网络边界部署安全防护设备等;运维安全:实时检测攻击、快速响应安全事件、及时恢复业务等;运营安全:防止非法用户利用平台的运营漏洞获取不属于自己的资源和业务;安全合规:满足业务所在区域法律法规的要求;服务安全:确保交付的服务是研发和运维过程的安全质量;安全服务:为用户提供按需使用的安全服务,自主防御网络攻击。
其次,云是一个大的资源池,分配不同的模块给用户使用,数据和业务的绝对隔离,不允许非法用户访问不属于自己的业务和数据;提供防止外部攻击的手段,保护资源和数据的安全;提供合适的数据保护手段,防止用户数据泄露。
三、应对5G安全挑战的方法
(一)系统性、差异性的安全保护
系统性,即以用户数据安全为中心,在数据从产生到传输至终端的完整生命周期中,不仅注意5G本身的安全防护,也要针对云、终端等进行系统地、完整地防护。
差异性,即5G的最大优势之一是可以根据用户的业务需要,灵活地进行数据保护选项的启用,这就导致不同用户、不同业务的安全防护策略不同。因此,在安全方案设计的开始,就要注意根据用户的业务进行设计,差异化地实现安全防护。
(二)统一的端到端的身份认证
以5G提供的更安全的用户身份认证为基础,引入区块链、去中心化身份识别系统等新技术,加上云和端的认证方式,形成统一的认证链和权威的数字身份体系:从终端到云到运营商网络到基站,都进行完整的身份认证,以过滤掉大部分的非法用户和非法入侵,并防止如木马等的传播。
(三)利用5G开放的安全能力
5G 以接口的形式开放了其网络能力,以方便不同的行业和用户根据自身的业务需要进行定制化的服务开发。为满足制定化的安全需求,5G将其安全能力进行抽象、封装,使用户可以按需、动态地定制灵活、差异化的安全能力。
(四)利用AI技术实现智能防御
人工智能(AI)为 5G提供了智能的攻击检测和防御手段。通过AI技术,可以持续地收集网络中的流量和各种日志,进行识别、归类、分析、联动,一方面把需要重点关注的安全攻击识别出来,一方面为防御提供决策源和方法,联动系统中的各种防御手段,下发防御策略,做到有针对性地防护。
(五)加强边缘计算的安全防护
按业界的普遍认识,边缘计算的防护须关注以下方面:
物理安全:由于边缘计算节点,例如,智能摄像头处于开放的环境中,更容易受到物理破坏,因此,在环境上,应尽量选择人难以到达的区域进行部署或通过门禁、监控等避免破坏;在设备设计上,应考虑自身的防破坏设计;在软件系统上,严防嗅探、篡改攻击。
云平台安全:边缘计算节点的统一后台一般都位于云上,应加强云平台灾备、数据安全、防攻击等方面的设计,保障云平台的业务连续性。
网络安全:加强网络隔离,区分不同数据所在区域的安全等级,按不同安全等级设计不同强度的防御措施,包括网络流量检测、分析、攻击发现、响应等。
安全管理:以身份认证、权限控制、账号管理、操作审计为核心,设计对边缘节点和云平台的安全管理措施,确保用户的身份合法、权限得当、账号符合平台的要求,并且可存档记录所有用户的操作日志,以备安全事件溯源。
数据安全:由于边缘节点的环境不可控,其被嗅探、劫持的风险更高,因此,其安全防护应注意两个方面:首先,在数据的存储层面上,对数据所在存储进行绝对的网络和资源隔离,保障其他云租户访问不到不属于自己的数据;对存储数据库进行安全防护、敏感数据发现、数据脱敏和审计,保障数据安全;提供密码管理服务和数据加密服务,方便用户对高密级的数据进行加密;其次,在数据的传输层面上,使用安全套接层、虚拟专用网络等技术,实现用户和网站间数据的传输加密,保护网站和用户间的通信数据。
(六)网络切片安全
无线接入网隔离:无线频谱从时域、频域、空域维度被划分为不同的资源块,用于承载终端和基站之间数据传输。可使用逻辑隔离的方式,实现基站对资源块的动态调配。
承载隔离:有软硬两种隔离方式。软隔离通过虚拟局域网标识实现切片的承载隔离;硬隔离则引入灵活以太网技术,基于以太网协议,在以太网媒体访问控制器和物理层接口的中间层增加灵活以太网垫片层(Flex Ethernet Shim),实现 FlexE 分片。
网络切片间隔离:为防止网络切片间相互干扰,一方面,核心网可进行物理隔离,为高安全等级的切片分配独立的物理资源;另一方面,借助虚拟化技术,在网络层通过划分子网进行网络隔离。
网络功能隔离:根据不同的安全等级划分不同的网络,并配置安全防护机制,保护网络内的设施和数据安全。
网络切片与用户隔离:为防止恶意用户攻击网络切片,可采用接入认证和访问控制等机制对网络切片和用户进行隔离。
(七)云安全防护
防攻击体系:围绕攻击者可能的攻击路径构建防御体系,让用户像搭积木一样,选择其中一款或数款组建符合业务需要的安全体系,堵住攻击。例如,网站遭到大流量攻击,性能下降、访问卡顿,可选择分布式拒绝服务攻击(DDoS)高防对恶意流量进行拦截,保障网站流量正常;为明了云主机的安全情况,可在主机上安装企业主机安全服务,实时发现弱口令、恶意程序、网页防篡改等,降低主机安全风险。
数据保护体系:围绕云上数据的全生命周期,提供从访问认证、敏感数据识别、防攻击、防泄漏到审计组成的环环相扣的解决安全方案。例如,为解决数据越权访问的问题,设置数据库防火墙,对数据库的所有操作进行细粒度控制,实现权限最小化;通过反向代理技术,过滤进出数据库的所有流量,发现异常并自动阻断。
可信云平台和云服务体系:按照全球各区域最权威的安全标准,不断完善从技术到流程到人员管理到安全制度等各方面,以保障云平台和云服务本身的安全可靠。
(本文刊登于《中国信息安全》杂志2019年第7期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。