当前,全球新一轮科技革命和产业变革加速发展,5G 作为新一代信息通信技术演进升级的重要方向,是实现万物互联的关键信息基础设施、经济社会数字化转型的重要驱动力量。但是,5G 技术造福社会、造福人民的同时,也引发了新的网络安全风险。



近日,中国信息通信研究院和 IMT-2020(5G) 推进组发布了《5G 安全报告》(下称《报告》)。报告系统梳理了 5G 关键技术、典型应用场景及产业生态的安全风险,提出安全理念和应对思路措施,并对后续加强各方互信合作,更好地推动 5G 发展与安全进行了展望和倡议。


5G 的架构和技术


2015 年,国际电信联盟(ITU)发布了《IMT 愿景:5G 架构和总体目标》,定义了增强移动宽带(eMBB)、超高可靠低时延(uRLLC)、海量机器类型通信(mMTC)三大应用场景,以及峰值速率、流量密度等八大关键性能指标。


与 4G 相比,5G 将提供至少十倍于 4G 的峰值速率、毫秒级的传输时延和每平方公里百万级的连接能力。



雷锋网注:图为 5G 网络架构


从网络架构来看,5G 网络整体延续 4G 特点,包括接入网、核心网和上层应用(如下图)。为满足 5G 移动互联和移动物联的多样化业务需求,5G 网络在核心网和接入网均采用了新的关键技术,实现了技术创新和网络变革。


从技术方面来看,5G 采用的主要关键技术有:


服务化架构:5G 服务化架构中,将网络功能以服务的方式对外提供,不同的网络功能服务之间通过标准接口进行互通,支持按需调用、功能重构,从而提高核心网的灵活性和开放性。5G 服务化架构是 5G 时代迅速满足垂直行业需求的重要手段。


网络功能虚拟化:采用虚拟化技术,将传统网络的专用网元进行软硬件解耦,构造出基于统一虚拟设施的网络功能,实现资源的集中控制、动态配置、高效调度和智能部署,缩短网络运营的业务创新周期。


网络切片:网络切片可在一个物理网络上切分出功能、特性各不相同的多个逻辑网络,同时支持多种业务场景。基于网络切片技术,可以提高网络资源利用率、隔离不同业务场景所需的网络资源。


边缘计算:边缘计算是在网络边缘、靠近用户的位置,提供计算和数据处理能力,以提升网络数据处理效率,满足垂直行业对网络低时延、大流量以及安全等方面的需求。


网络能力开放:5G 网络可以通过能力开放接口将网络能力开放给第三方应用,以便第三方按照各自的需求设计定制化的网络服务。


接入网关键技术:5G 在接入网采用灵活的系统设计来支持多业务、多场景,采用新型信道编码方案和大规模天线技术等以支持高速率传输和更优覆盖。


2019 年 6 月 6 日,中国工信部发放了 5G 商用牌照,中国正式进入 5G 商用时代 。那么,5G 的发展的背后有何意义呢?


《报告》指出, 5G 是全球信息技术发展最新成果,最重要的突破是将人与人之间的通信,拓展到人与物、物与物之间的通信,开启万物泛在互联、人机深度交互、智能引领变革的新时代。


另外,5G 还赋予经济、社会、民生不同的意义。5G 的发展培育经济发展新动能,创造了智慧社会新模式, 拓展了民生福祉新内涵。


5G 安全框架


5G 安全既包括由终端和网络组成的 5G 网络本身通信安全,也包括 5G 网络承载的上层应用安全。移动通信网络标准在设计之初,就充分考虑了网络的可靠性和安全性,经过全球通信行业几十年的共同努力,移动通信网络安全架构日臻完善。


5G 继承了 4G 网络分层分域的安全架构,在 3GPP 5G 安全标准《5G 系统安全架构和流程》中规定:


在安全分层方面,5G 与 4G 完全一样,分为传送层、归属层/服务层和应用层,各层间相互隔离;


在安全分域方面,5G 安全框架分为接入域安全、网络域安全、用户域安全、应用域安全、服务域安全、安全可视化和配置安全六个域,与 4G 网络安全架构相比,增加了服务域安全。


与 4G 相比,5G 具有更强的安全能力,主要体现在:


服务域安全。针对 5G 全新服务化架构带来的安全风险,5G 采用完善的服务注册、发现、授权安全机制及安全协议来保障服务域安全。


增强的用户隐私保护。5G 网络使用加密方式传送用户身份标识,以防范攻击者利用空中接口明文传送用户身份标识来非法追踪用户的位置和信息。


增强的完整性保护。在 4G 空中接口用户面数据加密保护的基础上,5G 网络进一步支持用户面数据的完整性保护,以防范用户面数据被篡改。


增强的网间漫游安全。5G 网络提供了网络运营商网间信令的端到端保护,防范以中间人攻击方式获取运营商网间的敏感数据。


统一认证框架。4G 网络不同接入技术采用不同的认证方式和流程,难以保障异构网络切换时认证流程的连续性。5G 采用统一认证框架,能够融合不同制式的多种接入认证方式。


综上,5G 针对服务化架构、隐私保护、认证授权等安全方面的增强需求,提供了标准化的解决方案和更强的安全保障机制。


5G 安全问题分析


尽管 5G 网络具有较强的可靠性和安全性,但是作为关键信息基础设施和数字化转型的重要基石,在开启万物互联新局面的同时,也带来了新的安全挑战和风险。


正确认识 5G 安全问题,需要从技术、场景等角度进行客观分析,也需要从产业生态维度进行综合评估。


1.技术

在技术方面,本小节主要从四个方面进行阐述,并针对不同的技术安全风险分别给出了应对措施:


(1)网络功能虚拟化


安全风险:一是虚拟环境下,管理控制功能高度集中,一旦其功能失效或被非法控制,将影响整个系统的安全稳定运行;二是多个虚拟网络功能(VNF)共享下层基础资源,若某个虚拟网络功能被攻击将会波及其他功能;三是由于网络虚拟化大量采用开源和第三方软件,引入安全漏洞的可能性加大。


技术应对措施:一是进行系统安全加固,对管理控制操作进行安全跟踪和审计,提升防攻击能力。二是提供端到端、多层次资源的安全隔离措施,对关键数据进行加密和备份。三是加强开源第三方软件安全管理。


(2)网络切片


安全风险:网络切片基于虚拟化技术,在共享的资源上实现逻辑隔离,如果没有采取适当的安全隔离机制和措施,当某个低防护能力的网络切片受到攻击,攻击者可以此为跳板攻击其他切片,进而影响其正常运行。


技术应对措施:针对上述安全风险,可使用云化、虚拟化隔离措施,如物理隔离,虚机(VM)资源隔离、虚拟防火墙等,实现精准、灵活的切片隔离,保证不同切片使用者之间资源的有效隔离,同时要做好网络切片运维和运营安全的管理,确保相应的技术措施得到落实。


(3)边缘计算


安全风险:一是边缘计算节点下沉到核心网边缘,在部署到相对不安全的物理环境时,受到物理攻击的可能性更大。二是在边缘计算平台上可部署多个应用,共享相关资源,一旦某个应用防护较弱被攻破,将会影响在边缘计算平台上其他应用的安全运行。


技术应对措施:一是对边缘计算设施加强物理保护和网络防护,充分利用已有的安全技术进行平台加固并增强边缘设施自身的防盗防破坏措施。二是加强应用的安全防护,完善应用层接入到边缘计算节点的安全认证与授权机制,在部署第三方应用时,要根据部署模式明确各方安全责任划分并协作落实。


(4)网络能力开放


安全风险:一是网络能力开放将用户个人信息、网络数据和业务数据等从网络运营商内部的封闭平台中开放出来,网络运营商对数据的管理控制能力减弱,可能会带来数据泄露的风险。二是网络能力开放接口采用互联网通用协议,会进一步将互联网已有的安全风险引入到 5G 网络。


技术应对措施:一是加强 5G 网络数据保护,强化安全威胁监测与处置。二是加强网络开放接口安全防护能力,防止攻击者从开放接口渗透进入运营商网络。


2.场景

除了技术,5G 应用场景也面临着新的安全风险。目前 5G 典型场景以增强移动宽带业务为主,并逐步拓展到各垂直行业。3GPP 已经完成 eMBB 场景相关安全标准制定工作,uRLLC 及 mMTC 场景标准正在制定中。


增强移动宽带(eMBB)场景:主要应用包括 4K/8K 超高清移动视频、沉浸式的 AR(增强现实)/VR(虚拟现实)业务。主要风险是:增强移动宽带场景下的超大流量对于现有网络安全防护手段形成挑战。


超高可靠低时延(uRLLC)场景:典型应用包括工业互联网、车联网自动驾驶等。uRLLC 能够提供高可靠、低时延的服务质量保障,其主要安全风险是:低时延需求造成复杂安全机制部署受限。


海量机器类通信(mMTC)场景:应用覆盖领域广,接入设备多、应用地域和设备供应商标准分散、业务种类多。主要安全风险是:泛在连接场景下的海量多样化终端易被攻击利用,对网络运行安全造成威胁。


针对 5G 典型应用场景安全风险,可采取如下应对措施:


一是加强安全防护技术和设备的演进升级,有效适应和应对超大流量对现有防护手段带来的冲击。


二是建立面向低时延需求的安全机制,统筹优化业务接入认证、数据加解密等环节带来的时延,尽力提升低时延条件下安全防护能力。


三是构建基于大规模机器类通信场景的安全模型,建立智能动态防御体系应对网络攻击,防止网络安全威胁横向扩散。


3.产业生态

5G 产业生态主要包括网络运营商、设备供应商、行业应用服务提供商等,其安全基础技术及产业支撑能力的持续创新性和全球协同性,对 5G 安全构成重要影响。


(1)网络部署运营安全分析


5G 网络的安全管理贯穿于部署运营的整个生命周期。一是在 5G 安全设计方面,由于 5G 网络的开放性和复杂性,对权限管理、安全域划分隔离、内部风险评估控制、应急处置等方面提出更高要求。


二是在 5G 网络部署方面,网元分布式部署可能面临系统配置不合理、物理环境防护不足等问题;


三是在 5G 运行维护方面,5G 具有运维粒度细和运营角色多的特点,细粒度的运维要求和运维角色的多样化意味着运维配置错误的风险提升,错误的安全配置可能导致 5G 网络遭受不必要的安全攻击。


此外,5G 运营维护要求高,对从业人员操作规范性、业务素养等带来挑战,也会影响 5G 网络的安全性。


(2)垂直行业应用安全分析


5G 与垂直行业深度融合,行业应用服务提供商与网络运营商、设备供应商一起,成为 5G 产业生态安全的重要组成部分。


一是 5G 网络安全、应用安全、终端安全问题相互交织,互相影响,行业应用服务提供商由于直接面对用户提供服务,在确保应用安全和终端安全方面承担主体责任,需要与网络运营商明确安全责任边界,强化协同配合,从整体上解决安全问题。


二是不同垂直行业应用存在较大差别,安全诉求存在差异,安全能力水平不一,难以采用单一化、通用化的安全解决方案来确保各垂直行业安全应用。


(3)产业链供应安全分析


5G 技术门槛高、产业链长,应用领域广泛,产业链涵盖系统设备、芯片、终端、应用软件、操作系统等,其安全基础技术及产业支撑能力的持续创新性和全球协同性,对 5G 及其应用构成重大影响。


如果不能在基础性、通用性和前瞻性安全技术方面加强创新,产业链环节同步更新完善 5G 网络安全产品和解决方案,不断提供更为安全可靠的 5G 技术产品,将增加网络基础设施的脆弱性,影响 5G 安全体系的完善。


根据 5G 网络生态中不同的角色划分,5G 网络生态的安全应充分考虑各主体不同层次的安全责任和要求,既需要从网络运营商、设备供应商的角度考虑安全措施与保障,也需要垂直行业如能源、金融、医疗、交通、工业等行业应用服务提供商采取恰当的安全措施。


如何看待 5G 安全问题?


《报告》指出,对于 5G 安全问题,应持有发展理念、系统理念、客观理念、以及合作理念来看待:


(1)发展理念。5G 是信息技术发展的最新成果,反映了全球信息化发展的历史潮流和趋势,不能因为 5G 有安全风险,就放慢或迟滞 5G 发展。要坚持用发展的视角看待安全风险,正确处理发展和安全的关系,坚持安全与发展同步推进。


(2)系统理念。5G 技术向各领域融合渗透,安全风险与多主体紧密相关,需要用全面系统的理念看待和应对。5G 技术发展以及应用场景具有广泛性、开放性、挑战性和多元性,既需要明确网络运营商、设备供应商、行业应用服务提供商等产业链各环节不同主体的责任和义务,又需要加强各主体之间的协同合作。


(3)客观理念。由于 5G 与物联网、人工智能等新技术新应用融合,会带来更加复杂的安全问题,需要从客观、中立的技术角度对 5G 安全风险进行全面评估,在现有成熟机制和已有的技术应对手段基础上,通过产业创新和技术研发逐步解决。


(4)合作理念。5G 安全是全球性挑战,没有谁可以独善其身。从之前的全球多个标准到 5G 时代的全球统一标准,5G 进程正是各方创新合作的生动写照,在安全方面也应携手努力,加强创新合作,共同构建和平、安全、开放、合作的网络空间。


五、如何应对 5G 安全问题?


1.坚持发展与安全同步部署


坚持发展与安全并重、鼓励与规范并举的理念,在加快 5G 网络部署、深度推进 5G 与各领域融合应用的同时,持续开展 5G 安全能力建设,统筹做好 5G 网络设施安全、应用安全、数据安全等工作。密切跟踪 5G 安全风险,动态开展 5G 技术安全评估,明确 5G 安全保障重点。


2.构建多元协同、清晰明确的安全责任体系


明确产业生态各方责任,不断完善个人信息保护、关键信息基础设施保护、网络信息治理等相关法律法规和政策要求,确保网络运营商、设备供应商、行业服务提供商等主体各司其职、各负其责。加强各行业之间的协同,发挥行业组织作用,建立健全 5G 网络与垂直行业安全服务保障准则和信用体系,共同应对 5G 垂直领域融合应用安全问题。


3.持续推进 5G 安全创新发展


加强 5G 安全技术与标准研究,加快建立 5G 安全检测体系,大力推进 5G 安全技术攻关,推动资产识别、漏洞挖掘、入侵防御、数据保护、追踪溯源等网络安全产品的演进升级,持续构建完备、多元、可靠的 5G 安全产品供应和服务体系。加速 5G 安全技术创新成果转化和试点验证,加大在车联网、工业互联网等垂直领域的安全服务和解决方案推广力度。


4.强化 5G 应用安全风险动态评估


5G 在各类垂直行业中的融合应用将在网络规模部署后不断涌现,其特点与垂直领域高度相关,安全风险也呈现持续动态变化的特点,需结合 5G 垂直领域各自特点,开展行业应用安全相关标准研究,持续开展安全风险跨行业、跨领域评估,强化评估结果运用和转化,及时提出安全应对和处置措施,防范安全风险。


5.构建 5G 网络安全一体化防护机制


积极推动 5G 网络基础设施安全保障手段建设,建立健全 5G 网络威胁信息共享联动机制,实现威胁信息共享、共治。加快构建 5G 网络威胁监测、全局感知、预警防护、联动处置一体化网络安全防御体系,形成覆盖全生命周期的网络安全防护能力。


6.加强 5G 综合人才培养和培训


统筹推进 5G 跨学科专业人才培育,建立完善产教融合、校企合作的人才培养体系,加大人才培养支持力度,持续深化 5G 安全培训教育,丰富 5G 安全人才发掘机制,建立多层次安全从业人员选拔渠道。


六、展望和倡议

即使 5G 带来的安全问题能够从不同方面加以解决,但是为了 5G 技术更好地造福世界,各方应秉持合作互信的理念,加快 5G 安全国际标准制定,建立互信互认的评测认证体系,加强产业上下游合作,提升全球 5G 安全发展信心。


1.加强开放合作互信,共同应对 5G 安全风险。


秉持开放包容、平等互利、合作共赢的理念和原则,推动建立增强互信的双边或多边框架,充分重视各方对 5G 安全问题的正当关切,积极在联合国国际电信联盟等多边组织框架下探讨 5G 安全相关国际政策和规则;增进各方战略互信,进一步完善对话协商机制,加强 5G 网络威胁信息的共享,有效协调处置重大网络安全事件。探索最佳实践,共同分享应对 5G 安全风险的先进经验和做法。


2.加快推进 5G 安全国际标准,凝聚全球统一共识


在 ITU、3GPP 等 5G 国际标准框架下,聚焦网络功能虚拟化、网络切片等 5G网络新引入或增强的关键技术,共同推进 5G 增强技术及安全机制后续国际标准研制,加快形成针对覆盖多种应用场景的 5G 安全解决方案。加强产品和服务安全体系建设,在 5G 产品设计、研发、运维等全生命周期严格遵循国际安全标准规范。


3.建立 5G 安全国际评测认证体系,推动实现互信互认


加强交流合作,推进形成全球共识的 5G 安全评测认证体系,构建 5G产品研发设计、生产制造和运行维护全流程的安全审计和技术安全检测机制,加快形成全球范围内公开透明、广泛可接受的 5G 安全信任基线和安全测评等级,促进测评结果的双边或多边互认,共同保障 5G全球产业链的健康发展。


4.加强产业链上下游合作,提振 5G 安全信心


加强全球移动通信产业链协同和创新,积极搭建全球产业应用合作和创新平台,加大在关键元器件、核心算法等方面的全球创新研究合作,促进多元化应用在 5G 网络上示范合作和实践经验分享。鼓励多元化全球采购策略,促进形成高效合理的产业链全球配置和分工,推动移动通信供应链条互联互通,逐步连通全球各区域上下游供应链的各类生产要素。为 5G 产业全球化发展营造开放、公平、透明、非歧视的市场环境。



来源:雷锋网