5G(第五代移动通信技术)是新一代信息通信技术的主要发展方向,不仅具有更强的性能,而且应用场景更加丰富,从传统的人与人通信延伸覆盖到人与物、物与物之间智能互联,是未来经济社会数字化转型的关键新型基础设施。当前,5G正处于网络规模建设与应用推广普及阶段,构建多层次的5G融合应用安全体系是5G应用发展的重要前提与保障。

5G融合应用安全可以分为应用层和网络层安全,在应用层主要由应用服务提供商负责(例如车联网服务提供商、在线支付服务提供商),而网络层安全则由基础电信企业负责,需要基础电信企业结合各垂直行业的不同安全需求提供网络层的安全保障能力。5G融合应用刚刚起步,基础电信企业如何基于5G网络的网络切片、网络功能开放等技术在网络层为不同行业应用提供安全服务能力成为5G融合应用的关注焦点。

一、不同应用场景的差异化安全需求

5G支持增强移动宽带(eMBB)、海量机器类通信(mMTC)和超可靠低时延通信(uRLLC)三大应用场景,不同应用场景将支持不同类型的应用业务,对5G网络具有差异化的安全需求:

增强移动宽带场景需要更好的用户隐私保护能力。eMBB场景能够支持高清视频,虚拟现实(VR)、增强现实(AR)等高速率、大带宽业务,提升以“人”为中心的娱乐、社交等个人消费业务的业务体验。相比4G,相关应用将会记录更多的用户身份、位置、身体行为等隐私数据,5G网络需要在用户数据采集、处理和传输中提供相应的机密性、完整性和隐私保护措施。

海量机器类通信场景(mMTC)需要更灵活的安全机制。主要支持智慧城市、智能农业等高连接密度业务,由于终端形态多样,数量众多,安全能力差异大,部署环境不安全,终端很容易被利用作为DoS攻击源或触发信令风暴,5G网络不仅需要提供开销较小、功能可配置的轻量级安全机制,还应具有识别非法、被劫持UE的能力,避免影响5G网络正常服务。

超可靠低时延通信(uRLLC)需要更优化的安全保障能力。支持自动驾驶、工业互联网等对可靠性、时延要求较高业务。这些业务由于涉及驾乘人生命安全、工业生产安全,对5G网络安全保障能力要求最高,且安全机制不能增加过多时延,需要对安全保障流程和方式进行优化。

二、5G安全服务能力分析

基于不同应用场景差异化的安全服务需求分析,5G网络采用灵活的安全架构设计,可以为行业应用提供内生、自适应、差异化的安全保障能力,包括:

一是支持不同层级的安全隔离能力。为了支撑基础电信企业在共享网络基础设施上服务不同行业应用,5G网络采用虚拟化技术,构建出具有不同服务能力的逻辑网络,即网络切片。不同垂直应用可以使用独立的网络切片,5G网络能够通过不同等级的网络切片间或切片内的安全隔离机制保护网络切片内的重要数据和服务质量。网络切片的安全隔离措施包括资源隔离(例如物理层、操作系统层或虚机层的资源隔离)、通信隔离(例如IPSEC/TLS加密)、管理隔离(例如与编排管理模块之间独立交互接口)等方面,并可以根据行业需求区分出完全、部分和无隔离等不同安全隔离等级。

二是支持差异化的安全功能配置能力。为了支持不同行业应用对5G网络承载数据的不同安全保护要求,5G网络支持在网络切片中配置不同的安全功能:在机密性保护方面,可以按需开启对信令面或用户面数据等不同数据类型的加密保护,并配置不同强度的加密算法,包括128比特、64比特密钥长度或专用轻量级等加密算法,防止数据窃取;在完整性保护方面,可以按需开启对信令或对用户面等不同数据类型的完整性保护,并可在UE已具备应用层完整性保护能力下选择不开启网络层的完整性保护;在用户认证鉴权方面,5G网络可以灵活配置不同类型的证书,支持基于生物特征、多因子等多种认证方式,并允许在主认证基础上扩展支持应用专属的认证流程;在应对网络攻击方面,5G网络还可以按需配置不同的威胁信息搜集或处置模块,发现或限制网络攻击的影响范围。

三是支持不同等级的用户隐私保护能力。当用户完成5G网络的接入认证后,会进一步与行业应用所在的网络切片或应用服务器进行身份认证,并通过5G网络收集必要用户信息。为了防止攻击者在网络层窃取用户隐私,5G网络需要利用加密、完整性保护、临时性标识等机制来保护用户敏感信息,包括用户在不同行业应用中的身份标识(网络标识、设备标识、应用账号等)、所连接的应用服务信息(网络切片类型、请求服务内容)、位置轨迹等。5G网络可以按照保护数据的不同范围分为网络不感知用户标识(标识保护)、网络不感知用户行为(关键行为数据保护)和网络不感知用户数据(用户数据保护)。

四是支持安全即服务的开放能力。5G网络可以提供安全服务能力(SAAS, Security-as-a-Service ),一方面基础电信企业可以将网络切片交由第三方应用服务商直接管理,通过网络功能开放接口使其在授权范围内对网络安全能力进行配置与调整;另一方面也可以由基础电信企业直接提供安全服务,包括为行业应用服务商提供网络层的入侵检测、密钥管理、身份与访问管理等服务,使行业应用服务商更多地聚焦于上层业务的安全能力构建。

三、未来与展望

随着5G网络与垂直行业的不断融合,5G网络面向行业应用的安全服务能力还将不断丰富与拓展。当前5G网络R16版本标准正在制定中,包括网络切片安全、蜂窝物联网安全、uRLLC安全等。为了更好地推动5G网络的垂直行业应用,一方面要加强基础电信企业对5G网络安全服务能力构建,深度挖掘垂直行业应用在网络层的安全服务需求;另一方面要加强与应用服务提供商在安全保障能力的协作,通过应用层和网络层的多层次安全机制,共同为5G各行业融合应用提供安全保障。

作者简介

卢丹,中国信息通信研究院安全研究所高级工程师,主要从事网络安全技术发展与监管政策研究。联系方式:ludan@caict.ac.cn

声明:本文来自中国信通院CAICT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。