中國(guó)移動(dòng)通信集團(tuán)甘肅有限公司蘭州分公司 楊萬(wàn)輝
蘭州大學(xué)應(yīng)用技術(shù)研究院有限責(zé)任公司 王孟玄
5G通信技術(shù)的應(yīng)用會(huì)大大提升移動(dòng)互聯(lián)網(wǎng)用戶的業(yè)務(wù)體驗(yàn),同時(shí)能夠很好的滿足物聯(lián)網(wǎng)等全新技術(shù)的要求,能夠?qū)崿F(xiàn)“萬(wàn)物互聯(lián)”。但是在5G技術(shù)應(yīng)用過(guò)程中,特別是在5G全新業(yè)務(wù)、全新架構(gòu)方面還存在安全方面的挑戰(zhàn)。5G在應(yīng)用時(shí)不但要確保基礎(chǔ)通信的安全性,同時(shí)也要保證各種應(yīng)用場(chǎng)景具有足夠的安全性,可以匹配不同網(wǎng)絡(luò)連接方式和新型網(wǎng)絡(luò)架構(gòu),并且可以實(shí)現(xiàn)開(kāi)放的安全性能。所以對(duì)于5G網(wǎng)絡(luò)安全方面的問(wèn)題進(jìn)行分析是非常必要的,建立起網(wǎng)絡(luò)安全架構(gòu),通過(guò)風(fēng)險(xiǎn)點(diǎn)分析進(jìn)一步達(dá)成5G網(wǎng)絡(luò)安全框架的共識(shí),能夠?yàn)?G網(wǎng)絡(luò)的安全應(yīng)用提供參考和指導(dǎo)。
5G時(shí)代網(wǎng)絡(luò)發(fā)展推動(dòng)了各行各業(yè)的發(fā)展,網(wǎng)絡(luò)和行業(yè)的融合形成了大量全新的應(yīng)用場(chǎng)景,例如無(wú)人值守物聯(lián)網(wǎng)終端、車(chē)聯(lián)網(wǎng)和自動(dòng)駕駛、云端機(jī)器人等等。同時(shí)IT技術(shù)和通信技術(shù)的融合會(huì)促使網(wǎng)絡(luò)架構(gòu)發(fā)生相應(yīng)的變革,確保網(wǎng)絡(luò)可以更加便捷、靈活的應(yīng)用在多場(chǎng)景當(dāng)中。5G網(wǎng)絡(luò)在不同場(chǎng)景應(yīng)用過(guò)程中會(huì)涉及到很多內(nèi)容,包括:不同接入方式以及接入憑證、多種類型的終端設(shè)備、不同的時(shí)延需要以及隱私保護(hù)等等,因此一定要加強(qiáng)5G網(wǎng)絡(luò)的安全性保障。總的來(lái)說(shuō)要滿足如下幾方面的安全目標(biāo):能夠根據(jù)需要形成安全保護(hù)、具有統(tǒng)一的認(rèn)證框架、具有隱私保護(hù)、確保切片的安全、NFV/SDN引入移動(dòng)網(wǎng)絡(luò)的安全以及能力開(kāi)放的安全。
為了滿足上述安全方面的要求,5G網(wǎng)絡(luò)安全架構(gòu)在設(shè)計(jì)方面(特別是新業(yè)務(wù)、新特征、新的接入方式以及新的設(shè)備形態(tài)方面)更是要特別注意。在設(shè)計(jì)方面,5G網(wǎng)絡(luò)安全架構(gòu)需要遵照如下幾方面原則,包括:支持?jǐn)?shù)據(jù)安全保護(hù)、體現(xiàn)出統(tǒng)一的認(rèn)證框架和業(yè)務(wù)認(rèn)證、具有開(kāi)放屬性、支持切片安全和應(yīng)用安全保護(hù)機(jī)制,5G網(wǎng)絡(luò)安全架構(gòu)具體如圖1所示。
圖1 5G網(wǎng)絡(luò)安全架構(gòu)示意圖
按照5G安全設(shè)計(jì)的基本原則可以將其網(wǎng)絡(luò)安全架構(gòu)分為如下的安全域。
第一,網(wǎng)絡(luò)接入方面的安全。一定要確保各方面用戶接入到網(wǎng)絡(luò)具有良好的數(shù)據(jù)安全性。首先,對(duì)于控制面來(lái)說(shuō)需要實(shí)現(xiàn)無(wú)線和核心網(wǎng)信令的保護(hù),需要確保用戶設(shè)備(UE)和網(wǎng)絡(luò)間信令具有完整性;其次,對(duì)于用戶面來(lái)說(shuō)需要實(shí)現(xiàn)無(wú)線和接入網(wǎng)間空口數(shù)據(jù)的保護(hù),同時(shí)也要實(shí)現(xiàn)無(wú)線和核心網(wǎng)內(nèi)用戶安全終結(jié)點(diǎn)間數(shù)據(jù)保護(hù),需要確保用戶設(shè)備(UE)和網(wǎng)絡(luò)間用戶數(shù)據(jù)的完整性。
第二,網(wǎng)絡(luò)域方面的安全。要確保網(wǎng)元信令以及用戶數(shù)據(jù)交換的安全性,涉及到的內(nèi)容較多,例如服務(wù)網(wǎng)絡(luò)共同節(jié)點(diǎn)和歸屬環(huán)境之間、服務(wù)網(wǎng)絡(luò)共同節(jié)點(diǎn)和NS之間、服務(wù)網(wǎng)絡(luò)共同節(jié)點(diǎn)和歸屬環(huán)境之間等。
第三,首次認(rèn)證和密鑰管理方面的安全。此方面主要指認(rèn)證以及密鑰管理的相應(yīng)機(jī)制,可以展現(xiàn)統(tǒng)一的認(rèn)證框架,例如用戶設(shè)備和3GPP網(wǎng)絡(luò)間安全憑證方面的認(rèn)證,同時(shí)也包括認(rèn)證完成后數(shù)據(jù)保護(hù)密鑰管理方面的內(nèi)容。對(duì)于不同的應(yīng)用場(chǎng)景來(lái)說(shuō),所采用的設(shè)備有所差異,總的來(lái)說(shuō)可以將認(rèn)證安全憑證存儲(chǔ)在UICC等安全硬件當(dāng)中。
第四,安全能力開(kāi)放方面。要充分展現(xiàn)出5G網(wǎng)絡(luò)和業(yè)務(wù)提供方的安全能力開(kāi)放,同時(shí)以此為基礎(chǔ)也能夠?qū)崿F(xiàn)5G網(wǎng)絡(luò)獲取業(yè)務(wù)對(duì)于數(shù)據(jù)保護(hù)的安全需要,可以實(shí)現(xiàn)根據(jù)需求實(shí)現(xiàn)安全保護(hù)。
第五,安全可視化以及可配置。此方面主要是確保用戶能夠獲取安全特性被執(zhí)行情況的信息,能夠明確安全特性能夠有效確保業(yè)務(wù)的安全使用以及提供等等。
5G網(wǎng)絡(luò)架構(gòu)對(duì)于終端的安全并不會(huì)造成直接風(fēng)險(xiǎn),但是由于終端和末端設(shè)備具有直接關(guān)聯(lián)性,所以終端安全也是非常關(guān)鍵的。從GSMA的分析報(bào)告中能夠得知,近些年物聯(lián)網(wǎng)設(shè)備數(shù)量成幾何級(jí)數(shù)增加,到2025年全球物聯(lián)網(wǎng)設(shè)備會(huì)超過(guò)250億臺(tái),但是現(xiàn)階段并不是所有設(shè)備都具有足夠的安全防護(hù)性能,若是其中某個(gè)設(shè)備存在安全問(wèn)題都會(huì)對(duì)5G網(wǎng)絡(luò)架構(gòu)造成風(fēng)險(xiǎn)。一方面,5G網(wǎng)絡(luò)中大量物聯(lián)網(wǎng)設(shè)備安全漏洞容易造成非常強(qiáng)大的僵尸網(wǎng)絡(luò)攻擊,非法人員可利用這些聯(lián)網(wǎng)設(shè)備對(duì)網(wǎng)絡(luò)各個(gè)方面進(jìn)行全方位的攻擊;另一方面,由于5G網(wǎng)絡(luò)具有超高帶寬性能,會(huì)造成終端形成大流量拒絕服務(wù)(DoS)攻擊,這就對(duì)5G網(wǎng)絡(luò)防火墻以及IPS安全設(shè)備帶寬防護(hù)性能提出了較大的挑戰(zhàn)。
(1)5G RAN和空中接口的特點(diǎn)分析
不同于4G時(shí)期IMSI在空口明文發(fā)送的形式,5G網(wǎng)絡(luò)的用戶永久身份標(biāo)識(shí)主要是通過(guò)加密形式進(jìn)行發(fā)送的;不同于4G時(shí)期以DNS欺騙方式的MiTM中間人數(shù)據(jù)篡改攻擊風(fēng)險(xiǎn),5G網(wǎng)絡(luò)具有較強(qiáng)的用戶面數(shù)據(jù)完整性保護(hù)機(jī)制。
(2)5G RAN和空中接口的安全風(fēng)險(xiǎn)
第一,尋呼協(xié)議的保密性、匿名性不足。對(duì)于終端的TMSI來(lái)說(shuō),主要是通過(guò)純文本的方式進(jìn)行尋呼信息發(fā)送,在加上涉及資源利用率方面的問(wèn)題,核心網(wǎng)往往設(shè)置成無(wú)法經(jīng)常更新的TMSI。
第二,尋呼協(xié)議缺少有效認(rèn)證。尋呼協(xié)議無(wú)法進(jìn)行較為完整的檢測(cè),這就會(huì)造成外部攻擊人員容易對(duì)尋呼信道造成劫持,同時(shí)能夠大規(guī)模的對(duì)攻擊范圍內(nèi)任何設(shè)備發(fā)送虛假尋呼信息,甚至是緊急的報(bào)警信息。攻擊人員可以分析尋呼信息中TMSI的發(fā)生次數(shù),以此為基礎(chǔ)可以分析所攻擊的終端設(shè)備存在與否,嚴(yán)重情況下攻擊人員可以通過(guò)弱匿名的方式將用戶電話映射到TMSI上,同時(shí)能夠?qū)τ脩羲谖恢眠M(jìn)行判定。
第三,除此之外,5G網(wǎng)絡(luò)空口也可能存在安全方面的風(fēng)險(xiǎn),之所以會(huì)產(chǎn)生這些風(fēng)險(xiǎn),其根本原因在于建立RRC連接或者TAU時(shí)進(jìn)行空口安全加密之前的消息為明文(容易被攻擊),針對(duì)此可以進(jìn)行如下幾方面的攻擊:①對(duì)于終端設(shè)備類別信息進(jìn)行采集。主要是利用對(duì)現(xiàn)有網(wǎng)絡(luò)UE數(shù)據(jù)進(jìn)行大量收集并且建立起字典模型,在此基礎(chǔ)上形成偽基站或者無(wú)線中繼設(shè)備,借此就可以在空口對(duì)UE能力查詢消息進(jìn)行收集,之后對(duì)所收集信息和字典模型內(nèi)的信息實(shí)施對(duì)比分析,這樣就能夠判定現(xiàn)階段蜂窩網(wǎng)絡(luò)中終端設(shè)備的類別,甚至能夠得到更為詳盡的數(shù)據(jù)信息,之后就能夠更具針對(duì)性的對(duì)終端設(shè)備實(shí)施攻擊。②對(duì)于終端設(shè)備的性能進(jìn)行降級(jí)。主要是利用無(wú)線中繼設(shè)備實(shí)施“中間人攻擊”,可以對(duì)用戶終端所報(bào)無(wú)線性能數(shù)據(jù)實(shí)施非法修改,這樣就會(huì)降低終端設(shè)備的性能(例如載波聚合能力、MIMO能力、終端最大支持上下行速率等等),嚴(yán)重情況下會(huì)將某些性能完全關(guān)閉。
第四,5G傳輸和“核心網(wǎng)”的安全風(fēng)險(xiǎn)。①相對(duì)于4G網(wǎng)絡(luò)來(lái)說(shuō),5G網(wǎng)絡(luò)非常大的改變?cè)谟谌谌肓恕熬W(wǎng)絡(luò)功能虛擬化(NFV)技術(shù)”以及“軟件定義網(wǎng)絡(luò)(SDN)技術(shù)”,這兩種技術(shù)都是建立在通用硬件以及開(kāi)源軟件基礎(chǔ)上形成的,所以這些技術(shù)的應(yīng)用會(huì)對(duì)5G核心網(wǎng)性能提升發(fā)揮重大作用,但是也會(huì)一定程度引入安全風(fēng)險(xiǎn),例如虛擬機(jī)安全問(wèn)題、虛擬網(wǎng)絡(luò)安全問(wèn)題、通用軟硬件系統(tǒng)安全問(wèn)題、開(kāi)源軟件安全問(wèn)題等等。②多接入邊緣計(jì)算的安全風(fēng)險(xiǎn)問(wèn)題。對(duì)于5G網(wǎng)絡(luò)來(lái)說(shuō),通過(guò)多接入邊緣計(jì)算技術(shù)(MEC)能夠?qū)⒍喾N性能(包括數(shù)據(jù)轉(zhuǎn)發(fā)、數(shù)據(jù)緩存、應(yīng)用計(jì)算等)實(shí)施下沉,使得網(wǎng)絡(luò)位置和終端用戶更加接近,可以大大降低業(yè)務(wù)時(shí)延性。5G網(wǎng)絡(luò)架構(gòu)也可以實(shí)現(xiàn)用戶名功能下沉式部署,通過(guò)此種方式能夠?qū)EC進(jìn)行支撐,同時(shí)MEC也能夠?qū)⒕W(wǎng)絡(luò)能力開(kāi)放給上層應(yīng)用。但是通過(guò)MEC的應(yīng)用,也使得原本安全性較高的移動(dòng)通信核心網(wǎng)擴(kuò)展到了安全性相對(duì)較低的區(qū)域(例如基站機(jī)房等),更加容易受到外部攻擊。另外,對(duì)于5G網(wǎng)絡(luò)架構(gòu)來(lái)說(shuō),若是MEC中某個(gè)應(yīng)用防護(hù)相對(duì)較弱受到攻擊,就會(huì)對(duì)整個(gè)MEC以及5G網(wǎng)絡(luò)的安全造成非常大的影響。
結(jié)束語(yǔ):雖然針對(duì)5G網(wǎng)絡(luò)風(fēng)險(xiǎn)采取了多重技術(shù)措施確保其完整性、保密性,但是還是會(huì)存在不同程度的安全風(fēng)險(xiǎn)。針對(duì)這些風(fēng)險(xiǎn),可以在采取傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施的同時(shí),對(duì)于后續(xù)接入到5G網(wǎng)絡(luò)的相應(yīng)設(shè)備采取零信任的機(jī)制實(shí)施身份驗(yàn)證以及限制,在其正式接入到5G網(wǎng)絡(luò)前一定要對(duì)其安全級(jí)別進(jìn)行全方位評(píng)定,并且要控制設(shè)備所連資源的有限性,這樣就能夠有效減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。另外,也可以采取大數(shù)據(jù)、AI技術(shù)等對(duì)5G網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的動(dòng)態(tài)識(shí)別以及聯(lián)動(dòng)處理。