5G将至,但面临的安全压力不容小觑

  • 时间:
  • 浏览:0
  • 来源:5分赛车网投平台-5分时时彩投注平台_大发6合娱乐平台

随着5G商用脚步来临,转过身更大的一张网必须值得注意,那却说:安全。

在上周举行的“第四届互联网安全领袖峰会(CSS2018)”上,中国工程院院士、中国互联网学精理事长邬贺铨在谈及安全话题时提到:5G在终端接入身份认证、5G终端安全、网络切片以及物联网、车联网等各方面的安全大问题都跟事先的3G/4G需求不同,因而面对的挑战也将更加冗杂。之后我,在5G到来事先就要未雨绸缪提前把5G的安全大问题布局好。

一、接入和认证

在接入的身份认证方面,当移动用户首次附着网络时,3G/4G终端的长期身份标识(IMSI)会直接以明文的形式在信道中传输,用户身份被公开。之后我5G在USIM卡增加运营商设定的公钥,以该公钥直接将用户的SUPI(即IMSI)加密为SUCI,网络用私钥来解密,从而保护用户身份不被窃听攻击。

据悉,3GPP在TR33.899中给出了推荐的SUCI加密方案。移动管理实体在获取IMSI后,会向USIM分配临时身份信息GUTI/TMSI,用于后续通信。

在认证协议方面,5G面对的设备种类不再单一,也难以为不同的设备颁发总爱的身份凭证,垂直行业会有或多或少专用的认证机制。之后我,5G还必须实现从以USIM卡未出的单一身份管理妙招到灵活多样的身份管理妙招的过渡,以及对所涉及的身份凭证的产生、发放、归还等整个生命周期内的管理。

如此,5G就会使用EAP-AKA以实现统一框架下的双向认证,支持非3GPP的接入,使用5G-AKA增强归属网络控制。除了原有认证之外,还还必须借助第三方的二次认证提供认证服务。

同時 ,对海量IOT连接必须使用群组认证,对车联网要有V2V快速认证。密钥派发流程派发到网络边缘的各个认证节点,有效解决了对网络中间部署的集中的认证中心的信令冲击。

另外,原因5G接入网络包括LTE接入网络,攻击者有原因诱导用户至LTE接入妙招,从而原因针对隐私性泄露的降维攻击,5G隐私保护也必须考虑此类安全威胁。

二、5G终端的安全要求

据邬贺铨介绍:5G终端安全通用要求包括用户于信令数据的机密性保护、签约凭证的安全存储与解决、用户隐私保护等等。

而5G终端特殊安全要求包括:对uRLLC的终端必须支持高安全、高可靠的安全机制;对于mMTC终端,必须支持轻量级的安全算法和协议;对于或多或少特殊行业,必须专用的安全芯片,定制操作系统和特定的应用商店。

同時 ,在基于网络和UE辅助方面,UE终端设备负责派发信息,将相邻基站的CI、信号下行带宽 等信息通过测量报告上报给网络,网络结合网络拓扑、配置信息等相关数据,对所有数据进行综合分析,确认在某个区域中算是地处伪基站,同時 ,通过GPS和三角测量等定位技术,锁定伪基站位置,从而彻底打击伪基站。

三、网络切片和编排

不同切片的隔离是切片网络的基本要求,每个切片需预配有另一个 切片ID,终端(UE)在附着网络时必须提供切片ID,归属服务器(HSS)根据终端请求。必须从切片安全服务器(SSS)中采取与该切片ID对应的安全妙招和算法,并为UE创建与切片ID绑定的认证矢量。

之后我,在支持网络切片的运营支撑系统房间,必须进行安全态势管理与监测预警。利用各类安全探针,采用标准化的安全设备统一管控接口对安全事件进行上报,以淬硬层 学习手段嗅探和检测攻击。

同時 ,根据安全威胁能智能化声称相关的安全策略调整,并将哪此策略调整派发到各个安全设备中,从而构建起有另一个 安全的防护体系。

另外,在编排器方面,编排决定了网络/特定服务的拓扑社会形态,还将决定在何处部署安全机制和安全策略;管理和编排过程的最基本的安全需求是保证各服务之间共享资源的关联性和一致性;5G系统必须再编排过程中提供足够的安全保证。

四、网络的开放性

原因5G将提供移动性、会话、QoS和计费等功能的接口,方便第三方应用独立完成网络基本功能。还将开放ANO(管理和编排),让第三方服务提供者可独立实现网络部署、更新和扩容。

之后我,相比现有的相对封闭的移动通信系统来说,5G网络原因在开放授权过程中总爱出现信任大问题,则恶意第三方将通过获得的网络操控能力对网络发起攻击,APT攻击、DDOS、Worm恶意软件攻击等规模更大且更频繁。

之后我,随着用户(设备)种类增多、网络虚拟化技术的引入,用户、移动网络运营商及基础设施提供商之间的信任大问题也比事先的网络更加冗杂。

同時 ,在网络对外服务接口方面也必须认证授权,对冲突策略进行检测,相关权限控制和安全审计。

五、信令及SBA

在密钥管理方面,5G因应用场景丰富原因密钥种类呈现冗杂的特点:用于控制平面的机密性/完正性保护密钥;用户用户平面的机密性/完正性保护密钥(在这4G系统里是如此的,按需提供空口和/或UE到核心网之间的用户面加密和完正性保护);用户保护无线通信端信令和消息传输的密钥(提供空口和NAS层信令的加密和完正性保护);用户支持非3GPP接入密钥;用于保证网络切片通信安全的密钥;用于支持与LTE系统后向兼容的密钥等等。新的密钥支持层次化的密钥派生机制、认证机制的变化、切片引入、用户面完正性等。

在基于服务的网络体系(SBA)方面,网络功能在4G是网元的组合,而在5G是通过API交互的业务功能的组合,业务被定义为自中有 、可再用和独立管理。

业务的解耦便于快速部署和维护网络,模块化为网络切片提供灵活性;使用HTTP的API接口更易调用网络服务。

确实,SBA有有另一个 网元是直接服务于网络安全的:AUSF(认证服务功能)解决接入的认证服务请求;SEPP(安全边缘保护代理)对运营商网间交互的所有服务层信息提供应用层安全保护。

六、5G下的MEC并算是安全有点儿重要

为适应视频业务、VR/AR与车联网等对下行带宽 要求,节约网络下行带宽 ,需将存储和内容派发下沉到接入网。

据了解,MEC服务器还必须部署在网络汇聚结点事先,也还必须部署在基站内,流量将要能以更短的路由次数完成客户端与服务器之间的传递,从而缓解欺诈、中间人攻击等威胁。

同時 ,MEC通过对数据包的淬硬层 包解析(DPI)来识别业务和用户,并进行差异化的无线资源分配和数据包的下行带宽 保证。之后我,MEC并算是的安全有点儿重要。

另外,值得注意的是SDN与NFV依赖物理边界防护的安全机制在虚拟化下难以应用。必须考虑在5G环境下SDN控制网元与转发节点间的安全隔离和管理,以及SDN流表的安完正署和正确执行。

七、5G在车联网和物联网上的安全挑战

车联网要求空口下行带宽 低至1ms,而传统的认证和加密流程等协议,未考虑超高可靠低下行带宽 的通信场景。“为此要冗杂和优化原有安全上下文(包括密钥和数据承载信息)管理流程,支持MEC和隐私数据的保护。直接的V2V必须快速相互认证。”邬贺铨说。

通常物联网终端资源受限、网络环境冗杂、海量连接、容易受到攻击,需重视安全大问题:原因每个设备的每条消息都必须单独认证,若终端信令请求超过网络解决能力,则会触发信令风暴,5G对mMTC必须有群组认证机制;必须采用轻量化的安全机制,保证mMTC在安全方面不须增加过多的能量消耗;必须抗DDOS攻击机制,赢多NO-IoT终端被攻击者劫持和利用。