5G安全

参考文档:
5G概念白皮书
5G技术入门
5G总体白皮书2.0
5G愿景与需求
5G网络架构_顶层设计理念
5G网络架构设计白皮书
5G网络架构设计白皮书
5G安全架构白皮书-华为
5G网络安全需求与架构白皮书-中国信通院

5G安全

  • 1.5G安全架构
  • 2.终端安全技术
    • (1)安全需求
    • (2)关键技术
  • 3.空口安全技术
    • (1)安全需求
    • (2)关键技术
  • 4.数据处理和传输安全技术
    • (1)安全需求
    • (2)关键技术
  • 5.应用层安全技术
    • (1)安全需求
    • (2)关键技术
  • 6.物理层安全
    • (1)安全需求
    • (2)关键技术

括号内为(说明)或(举例)。

1.5G安全架构

设计原则:
在 5G 网络架构之上叠加逻辑安全架构
分域、分面设计安全架构,5G网络安全是一组独立的安全功能,这些安全功能在运营商网络中可以进行单独部署、配置或定制。同时从安全视角考虑风险级别,在设计上应进行安全边界防护设计,并将防护措施部署在靠近潜在攻击点的位置,提高反应速度、缩小影响范围);
可扩展、可编排的安全架构,不同的业务场景和用户对安全的期望不同,同时不同的时间和事件也可能触发安全功能的提升或降低、安全能力的增多或减少;
原子化、服务化的安全接口,安全能力对外开放:运营商的网络安全能力深入地渗透到第三方业务生态环境中,主要包括(但不限于)基于网络接入认证向第三方提供业务层的访问认证,即如果业务层与网络层互信时用户在通过网络接入认证后可以直接访问第三方业务,简化用户访问业务认证的同时也提高了业务访问效率;基于终端智能卡(如 UICC/eUICC/ iUICC)的安全能力,拓展业务层的认证维度,增强业务认证的安全性;
端到端全业务安全管理体系
架构包括:

  • 终端设备安全:在接入设备中设计有效的终端基础安全模块,可以在设备接入网络初始阶段完成自身安全检测,在设备运行阶段定期进行安全验证和维护
  • 空口安全:适合5G网络特性的transport stratum安全协议,实现多域融合的密钥管理、网络和用户身份认证、用户隐私保护、网络空口数据/信令加密保护、完整性保护、端到端安全认证和数据保护、安全域融合等
  • 数据处理和传输安全:主要通过基于SDN/NFV的服务层相关功能来保障
  • 应用层安全:应用层不止满足用户对于数据通信、娱乐、网络漫游等传统互联网的服务性需求,还可提供针对底层网络的数据预处理、数据转发等控制层操作的相关功能。未来5G网络的应用层更具攻击价值。主要研究内容是横跨接入云、控制云、转发云的网络域应用安全、网元自身应用安全、两者间的安全通信。
  • 物理层安全:研究安全传输、密钥生成、加密算法和接入认证技术,提出分等级的多层多域安全体系架构。网络开放还意味着安全保障服务的开放!网络安全由第三方负责。

2.终端安全技术

(1)安全需求

  • 更高的身份可靠性要求
  • 信息完整性需求
  • 隐私保护需求
  • 终端可靠性需求:智能终端执行环境的可靠性和应用程序来源的可信性
  • 智能化的安全防御:智能化的手段防御海量物联网设备的安全威胁,考虑海量终端被劫持并对网络发起DDoS攻击。
  • 全新的端到端安全评估

(2)关键技术

  • 面向终端的基础安全模块:提供一套独立于硬件和厂商的接口,实现全生命周期的密钥管理、数字证书管理以及各类安全域的动态管理,提供包括实体认证、信息的保密性、完整性、不可否认性等各类需求,还要具备高强度的硬件安全防护体系,能抵御各类物理攻击。
  • 基础安全模块安全管理技术:全基础安全模块系统框架设计、生命周期密钥管理、安全域控制(安全域动态分配和回收、跨域安全交互、安全策略的下载/更新/删除/锁定/解锁)、安全协议的设计、信息格式设计、基础安全模块的硬件安全设计(包括主机接口协议设计、密钥安全管理设计、密钥算法种类以及实现效率设计)。
  • 基础安全模块安全检测技术:引入人工智能来检测未知攻击、复杂攻击,使用机器学习的方法。包括安全功能检测(包括虚拟机异常监控、恶意代码检测、核心网流量异常检测、密码算法、随机数发生器、残余信息保护机制、存储器访问控制机制功能性检测)、抗攻击能力检测(基础安全模块芯片表面、背面的检测和简要分析)、建立自动化防御机制。为了快速应对安全威胁,运营商之间、运营商与厂商之间、运营商与行业用户之间需要联动,实时交换安全情报,实现安全协同的自动化、智能化。
  • 切片安全:切片安全差异化机制;切片的安全隔离,物理资源共享,逻辑功能分离,由于切片横跨多个子域(终端、接入网、核心网、承载网)各个子域的隔离都需要考虑,终端与切片网络的网元交互、安全协议、流程也需要隔离;终端访问切片控制,终端访问切片的控制方式也将是多种多样的,保证用户设备能适时接入切片,同时得到应有的访问安全防护,防止受到外界的攻击;切片管理面安全,保护切片在整个生命周期的安全,包括切片的准备、配置与激活、运行、撤销。

3.空口安全技术

(1)安全需求

  • 多种模式的快速接入认证、无缝漫游切换
  • 设计海量设备标识与密钥管理、高并发接入认证、及其类通信MTC的安全机制
  • 缺乏安全基础设施的D2D、AdHoc等边缘网络无法直接使用现有的安全技术,对于双重身份设备的安全管理(某些移动接入设备可以临时升级成小基站,获得更高权限)
  • 保证异构多域环境下的端到端的统一认证以及建立跨域的端到端安全机制
  • 业务对低耗能、高并发处理的要求,对边缘网络中轻量级密码算法和介入传输、服务提供网络中高并发的密码算法实现机制提出了挑战

(2)关键技术

  • 身份认证技术:适合于异构无线网络的安全、高效、低开销的统一的跨平台身份认证机制;针对不同业务应用的安全等级,设计基于生物特征、信道特征的多元化安全认证方法;针对海量终端同时接入,设计高并发的接入认证以及相关的海量设备标识和密钥管理系统。
  • 异构无线网络跨域的端到端认证和加密技术:设计适合异构无线网络的分层、分布式密钥管理和分发方法,保证信息跨域传输的机密性和完整性。
  • 安全高效的异构无线网络漫游切换技术
  • 轻量级加密和完整性算法

4.数据处理和传输安全技术

(1)安全需求

  • SDN的集中控制特性使得安全威胁由转发面转移到控制面,增加了控制器受攻击的风险;开放可编程特性增加了通过软件进行攻击的危险
  • NFV导致硬件网元的物理边界消失,引入软件安全问题,使攻击面变广,引入虚拟机安全、虚拟化软件安全、数据安全;部署集中化,引入通用硬件导致病毒在集中部署区域迅速传播,通用硬件漏洞更容易被攻击者发现和利用
  • 基于虚拟网络的切片也需要安全机制,保证切片的安全运营,用户正常接入

(2)关键技术

  • SDN控制器的渗透攻击防护
  • SDN控制器的DDoS攻击防护:考虑将SDN控制器逻辑分片,每个分片负责处理某几个交换机上的流量
  • 虚拟化安全:重用云计算中的虚拟化安全机制
  • MANO(虚拟化资源管理系统)安全:重用传统设备的安全加固、证书认证、TLS/IPSec安全通道等安全机制
  • SDN/NFV引入移动网后的部署安全:可以划分安全域并实现不同安全域之间的安全隔离的方式保证重点设备和系统部署在安全级别高的隔离环境中

5.应用层安全技术

(1)安全需求

  • 应用层自身的安全:终端应用的自身安全、服务方应用的安全、终端与服务方之间的安全通信
  • 5G网络向应用层提供的安全服务:身份管理、身份认证、访问控制、信息保护、隐私保护、密钥管理、密码计算、电子签名

(2)关键技术

  • 可扩展的身份管理机制:重点是身份标识的设计。为行业用户提供分层身份管理机制,即运营商管理行业用户身份,而行业用户管理终端用户身份;为个人用户提供以用户为单位的身份管理机制,允许用户对自身的多个设备(如可穿戴设备)在一定范围内进行灵活的管理,包括设备的入网和服务属性等,同一个用户的不同设备所使用的身份应该是相互关联的,他们的认证和授权也可以通过这个用户的身份标识进行关联,统一管理。面向海量物联网设备,引入基于非对称钥的身份管理机制,让运营商能够灵活高效的管理行业用户的 IoT 终端和可穿戴设备,缩短认证链条,提高海量设备网络接入认证效率。
  • 基于SIM/USIM的移动统一认证技术:面向传统 eMBB 设备,基于对称钥的身份管理机制将得以延续,即利用移动终端SIM/USIM卡绑定的个人移动ID,依托SIM卡应用认证、远程管理能力,为第三方业务提供统一认证服务。同时基于 SIM/USIM 的认证机制,可建立设备与网络的双向认证。
  • 安全能力开放:体现 5G 网元与外部业务提供方的安全能力开放,包括开放数字身份管理与认证能力。另外通过安全开放能力,也可以实现 5G 网络获取业务对于数据保护的安全需求,完成按需的用户面保护。

6.物理层安全

(1)安全需求

  • 2G到4G移动通信系统的无线安全都没有得到很好的保障,因此有必要在5G通信技术研究起步之初,兼顾通信和安全的双重需求,开展针对无线传播特点的安全防护机制的研究;
  • 无线通信的首要目标是防窃听,5G采用的传输组网技术可以很好地与物理层安全相结合,应该充分利用5G无线移动通信的物理层传输特性,研究安全传输、密钥生成、加密算法和接入认证技术,防止窃听;
  • 4G的加密和完整性保护机制中,必须确定身份才能进行密钥协商,因此会在开放的上下行公共信道上协商密钥,造成敏感信息泄露。

(2)关键技术

  • 物理层安全传输技术:主要包括面向多天线传输的一类技术,通过设计兼顾通信效率和安全性能的多天线预码,实现该场景下的安全传输;面向协作中继的一类技术,通过设计不同节点的安全协作策略保证安全传输;针对系统内部重要节点做到窃听防范;
  • 物理层密钥生成技术:利用无线信道的互易性、私有性和时变性,使通信双方通过信道特征提取和量化生成密钥,避免密钥分发和管理过程,从而增强密钥的安全性;
  • 基于物理层安全的认证增强:在高层进行与身份绑定的加密和完整性保护机制的基础上,补充对初始接入时信令、会话过程中信令和业务数据的物理层加密和完整性保护,设计一种全新的基于物理层安全的隧道密闭防护机制,利用安全传输技术,将初始会话协商过程指定到一个启用了物理层加密和完整性保护的专用控制信道上,以防止敏感信息的泄露,同时在现有加密和完整性保护方法上混叠物理层机密和完整性保护,防范USIM卡被复制条件下用户业务数据流被窃听的风险;利用无线通信系统中的物理传输信道的随机特征,提取出既包含足够信息量又具有较低复杂度,能够快速实时产生的物理层安全变量作为认证参数,设计新的适配多种无线接入技术的认证机制,突破异构无线移动通信网络中用户身份的统一标识、分层映射、隐藏传输等关键技术,实现利用较小的资源投入即可获得信息的高可靠传输与用户低延迟的统一安全接入。

你可能感兴趣的:(5G)