1。5G网络安全面临“4G改变生活,5G改变社会”的新考验,在“新基建”浪潮的助推下,5G被赋予了时代意义。同时,我们也要看到,5G赋能万千行业快速发展的同时,也面临着新的威胁和挑战。5G时代,移动网络的商业环境、应用场景、技术形态、网络环境、监管要求都发生了变化,移动网络生态也发生了变化:从商业环境来看,移动网络已经从单代理网络到多代理网络。网络中存在更多不同的信任关系;从应用场景来看,面向人的连接向面向机器的连接演进,承载了更多的服务;从技术角度看,基础设施云化、网络功能虚拟化、软件定义网络、网络切片、边缘计算、能力开放等技术的引入,使网络架构和层次复杂化,边界模糊;从安全治理的角度,国家对移动网络提出了更高的安全要求;它需要从被动防御转变为主动防御。移动网络正在从可信可控网络向不可信网络发展。但是,目前的移动网络安全架构(包括5G网络)仍然是按照安全域和安全层次进行设计,采用传统的基于位置和区域的安全设计方法和安全技术。因此,无边界网络与传统安全防护的巨大差距,将给网络和应用带来极大的安全风险。5G时代的云网融合需要新的解决方案来适应网络无边界、泛在时代。2、基于零信任理念拓展5G网络安全。5GC安全协议在设计时并没有刻意提及零信任架构,但实际上作为移动通信网络安全架构,3GPP的安全设计与零信任之间存在一定的非严格映射关系。a)身份认证:UDM/UDR存储终端的身份信息,提供终端接入网络时的IAM功能;NRF通过证书实现NF身份的验证和认证。b)访问授权:NRF可以看作是一个策略引擎,根据NF身份认证结果、运营商策略、网络切片等信息,集中控制NF之间的相互访问关系,通过OAuth2.0完成服务授权。c)流量安全:TLS广泛应用于PLMN中NF与运营商互通等场景,为控制面流量提供安全保护。d)最小服务集:NF/NRF等5GC网元只为指定的API提供服务。根据零信任架构的核心观点,5GC内外网的安全威胁等级相同:5G将广泛应用于工业互联网、物联网等业务场景,部署环境复杂;它可以在多个制造商中互操作,并且某些NF是不安全的。信任域中的5GNFs在环境部署、安全协议实现理解差异、NFs在特定情况下被恶意感染等诸多特殊场景下也存在风险。因此,可以利用零信任架构的设计理念进一步增强5G安全协议。3、构建基于零信任的5G网络自适应安全基于零信任安全的5G网络自适应安全防护体系,可以提高5G网络本身,特别是网络管理面和5G核心网的安全性,满足5G网络的需求安全操作。通过在5GCSBA架构中引入零信任安全的基本要素,实现基于证书体系的NFS认证、基于NFSID的业务访问授权、基于TLS的安全传输;通过细化访问策略实现最小权限访问;通过网络层动态白名单、SPA(SinglePacketAuthentication)技术隐藏服务入口;通过流量检测、可视化分析,实现持续安全评估、安全评级、全生命周期安全管理。图:“1+3+9+N”5G网络自适应安全防护系统“1+3+9+N”5G网络自适应安全防护系统,即1个5G网络自适应安全防护系统和3个基础平台:零-trust可信接入平台、零信任威胁感知平台、零信任终端管控平台,实现九大安全能力:可信身份管理能力、最小授权能力、业务访问控制能力、暴露面收敛能力、流量威胁检测能力、联动阻断能力、终端环境感知能力、数据管控能力、动态策略编排能力,保护N个业务系统,增强5G网络纵深主动防御能力。可信访问:在NFConsumer正式发起TLS通信前,可以向policyserver发送SPA预认证消息(可以是NRF等),NRF通知NFProducer开启相应的自定义安全规则Consumer,允许NFConsumer作为客户端连接,安全规则可以基于IPtable等状态防火墙机制实现。在SPA完成之前,NFProducer上的防火墙规则默认为AllDeny。这种预认证实现了防火墙规则的动态切换,避免了知名端口的滥用。威胁感知:通过对网络流量的非侵入式长期记录和分析,可以对流量进行分类,感知通信模式的变化,分析可能的攻击模式。Indirect模式下,SCP作为HTTPS转发节点,提供相应的流量监控、异常告警、日志记录和安全审计功能,并通过API为管理节点提供查询或连接安全态势感知系统的服务;在Direct模式下,每个NF/NRF也有类似的功能,并以API的形式提供这些安全能力。例如,当一个AccessToken被多个NF使用,并向同一个NF发起多个连接时,目标NF应该发出告警,通知管理员AccessToken可能已经泄露,中间人攻击发生攻击。终端控制:5GC自适应安全防护在提供服务时充分考虑端侧评分机制,防止对端NF加载并通过可信验证后的网络攻击。这种攻击可能是在NF运行过程中被攻击,也可能是渗透植入恶意软件,也可能是软件设计不严密造成的漏洞。NF根据对端NF的运行时间、流量和网络行为逐步累积自己的信任分,并根据攻击类型的严重程度扣分。持续存在时的恶意NF隔离。4.打造5G安全运营闭环和新一代零信任网络空间保护体系。构建面向5G网络的全球安全防护体系,遵循“先认证用户和设备,后接入服务”的产品逻辑,实现终端域安全和边缘域安全。、核心域安全、应用域安全和管理域安全全覆盖。通过对传统安全产品和技术的升级改造,以及有针对性的创新研究和突破,实现安全能力与5G安全需求的完美匹配。着力打造智能敏捷的5G安全运营闭环。
