当前,在国家主管部门的引领下,我国5G建设发展速度越来越快。广电也有自己的5G牌照,将参与整个5G建设。5G通信技术采用了许多新技术和不同的组网方式来满足不同场景的业务需求,新技术和新业务的使用必然带来新的安全需求。我们在建设5G网络的同时,需要高度重视网络安全,确保整个5G网络基础设施和服务的安全,否则将给社会和人民生活带来严重损失。2019年6月,工信部正式向中国电信、中国移动、中国联通、中国广电发放5G商用牌照。中国广电成为我国第四家5G基础电信运营商。近日,工信部向中国广电颁发4.9GHz频段5G试验频率牌照,同意在北京等16个城市部署5G网络。2020年2月,九部委联合发文《全国有线电视网络整合发展实施方案》,明确整合组建国家广电网络方案,由中国广电牵头建设具有广电特色的5G网络,为有线电视网络赋能.可见,5G是广电未来发展的重要方向。5G网络是未来物联网、车联网、智慧城市、智能家居等万物互联的基础。5G网络的高带宽、低时延、大连接等特点,将极大提升全社会各行业的信息化水平。它不仅提高了人与人之间沟通的速度和效率,而且有效扩展了人与物、物与物之间的连接层次和沟通能力。5G将渗透到万物互联的各个领域,极大丰富移动通信网络的业务范围,并逐步形成完整的生态系统。5G采用了很多不同于4G的新技术来满足各种应用场景的需求。新技术往往是“双刃剑”,在带来便利的同时也带来了新的挑战。5G网络架构引入SDN和NFV新技术,提高系统灵活性和效率,同时降低成本;但是,由于SDN和NFV使得网络边界变得非常模糊,以前依赖于物理边界保护的安全机制很难应用。为了满足低时延业务,5G接入点也会部署大量的MEC节点,MEC节点也会部署在云端,同样面临着各种安全风险。MEC安全需求MEC将计算存储能力和业务服务能力迁移到网络边缘,实现应用、服务和内容就地、近距离、分布式部署,解决5G增强移动的问题一定程度上宽带和海量机器类通信。、超高可靠和低延迟通信等技术场景。当边缘节点具有一定的规模后,就形成了边缘云。位于接入机房的边缘云规模小,易受物理攻击,但距离用户终端最近,可为业务提供超低时延保障。位于边缘机房的边缘云规模较大。虽然与前者相比时延相对较大,但具有更高的可靠性和安全性。MEC在为5G带来便利的同时,也带来了新的安全需求,主要包括两个方面:MEC应用的安全需求和MEC基础设施的安全需求:1.MEC应用的安全需求是实现5G的主要因素。5G垂直应用。关键是在MEC边缘云上部署可信的第三方应用。但是,目前还缺乏针对MEC应用程序安全检查的安全规范。除了试图耗尽恶意MEC应用运行的MEC主机的计算、网络和存储资源外,由于靠近基站,恶意MEC可以利用无线和网络能力开放接口重新配置无线接入网消耗竞争对手的资源。MEC应用程序分配的无线电资源。此外,恶意MEC应用还可以在本地环境中搜索易受攻击的设备,执行破解密码等程序。更为严重的是,运营商核心网用户面网元UPF往往与MEC应用部署在同一平台,进一步扩大了核心网的攻击面。因此,在将MEC应用实例化到5G网络之前,需要考虑MEC应用的安全需求。首先,要确保MEC应用来自可信的第三方应用提供商,可以通过镜像的签名验证来实现;第二,要保证上传的MEC镜像没有被非法篡改,可以通过完整性校验来实现;最后,需要在沙箱中检测MEC应用是否存在攻击行为和虚假计费行为。由于5G中第三方应用的计费从核心网下沉到边缘侧,绕过了核心网的强大监控,因此需要关注边缘应用的计费行为。2、MEC基础设施安全要求M??EC节点靠近网络边缘,外部环境可信度降低,运营商管控能力弱化。攻击者甚至可以通过物理攻击(如放火、砸机房等)的方式使本地MEC节点失效。此外,MEC资源有限,安全能力不足。能够抵挡的攻击种类和抵挡单体攻击的实力都不够,所以很容易被攻击。因此,MEC基础设施也有安全防护需求。这些要求分为两部分:物理基础设施保护要求和虚拟化基础设施保护要求。物理基础设施安全保护必须保证物理环境的安全。由于网络边缘分布式部署,边缘机房的管理往往不足。与云服务器相比,更容易受到物理攻击和物理端口窃听的风险。通过上锁和人员管理等方式保证物理环境的安全。其次,可信计算和可信IO访问的引入也可以保证物理服务器的可信性。虚拟基础设施需要应对主机操作系统、容器、虚拟机等多维度的安全风险。为加强主机操作系统的安全性,可对操作系统进行基础检测、漏洞扫描、病毒木马防范、升级和补丁管理;为了加强容器和虚拟机的安全性,可以设计有效的隔离机制,关闭不相关的端口,并对东西向流量进行安全检测。2.SDN/NFV安全需求5G新网络架构引入SDN和NFV技术,提供更灵活、高效、低成本的网络服务。在SDN/NFV与5G融合的过程中,也给5G移动通信网络带来了新的攻击面。1.SDN风险和安全需求SDN控制器是传输网和核心网网络调度的中心,存在很多安全漏洞。作为网络的“大脑”,当攻击者攻破控制器后,可以向所有网络设施发送指令,很容易使整个网络瘫痪。因此,设计安全可靠的SDN控制器对于移动通信网络至关重要。一个安全可靠的SDN控制器首先需要增加审计机制来检查访问控制器的用户是否合法。其次,控制器和底层交换设备之间必须存在加密通道,以防止中间人攻击。最后,对于运行在控制器上的应用软件,需要进行安全测试,防止应用程序被植入恶意代码。同时,应实施应用隔离和权限管理,限制应用对底层资源的访问。除了SDN控制器的安全需求外,负责数据转发的底层交换设备也容易受到各种攻击。例如,攻击者直接侵入交换机,用虚假的流信息填充流表,修改交换机对数据包的操作。底层交换设备除了主动检测攻击和安全防护外,还可以通过流量控制、拥塞丢包、超时调整等方式抵御外部攻击。2.NFV安全需求NFV技术是实现核心网元动态灵活部署的关键。然而,NFV平台自身存在漏洞问题和不安全的接口。同时,其上运行的虚拟安全功能(如5G核心网元)也面临远程调试、数据窃取和篡改等风险。因此,NFV的安全需求包括以下几个方面:VNF安全需求:核心网元通过VNF软件包实例化在虚拟化平台上,因此需要对第三方提供的VNF软件包进行完整性验证.同时,需要保护VNF的敏感数据和权限管理;NFV网络安全需求:VNF之间的通信流量可能只在同一台主机上,传统的物理安全设备很难检测到这种流量,所以NFV组网需要考虑VNF之间通信的安全性,比如双向身份验证、数据加密和完整性保护,同时可以部署虚拟机形式的安全功能,对主机内的流量进行监控;MANO安全需求:除了MANO平台上MANO实体之间交互的安全需求(如双向认证),还包括每个MANO实体的安全需求。例如,VNFM可以运行在虚拟机上,因此需要考虑虚拟机逃逸等安全威胁;3.垂直行业驱动的切片安全需求国际电信该联盟将5G服务分为三种类型:增强型移动宽带(eMBB)、超可靠低延迟服务(uRLLC)和海量机器类通信(mMTC)。每种类型都有不同的服务质量要求。例如,uRLLC业务需要满足低时延和高带宽,而海量机器类通信需要支持大连接,但对网络时延不敏感。为了根据不同的业务构建不同的网络,5G引入了网络切片的概念。网络切片是指在运营商物理网络之上构建多个虚拟网络,每个虚拟网络提供差异化??的网络服务。行业应用需求的差异决定了网络切片功能的差异化。并非所有切片都包含相同的网络功能,有些网络功能不需要根据需求进行配置或定制。1.跨域切片安全机制跨域切片安全机制是保证切片安全的基础。切片安全机制根据上层MANO平台下发的一致安全策略,通过切片或子切片隔离和统一切片认证实现切片的跨域安全保护。(1)有效的切片隔离机制网络切片运行在公共基础设施上。根据3GPP协议,控制平面的子切片可以在不同的切片之间共享,但是数据平面的子切片不能在切片之间共享。因此,网络切片需要在不同切片之间提供一种有效的隔离机制,以防止本切片的私有数据被其他切片有意或无意地访问。切片被访问。当切片隔离机制不合理时,可能会产生安全隐患。例如,一个切片允许租户在切片网络中部署自己的第三方网络功能,恶意的第三方网络功能可能会对其他切片发起攻击。此外,为了让租户放心地使用网络切片,切片中的资源和服务的隔离效果应该接近于现有的私有网络。(2)统一切片认证机制5G网络的接入方式多种多样,包括3GPP接入和非3GPP接入。同时,部分终端具备支持接入多个网络切片并在不同网络切片之间切换的能力,从而产生多种多样的5G接入场景。因此,5G应提供统一高效的切片认证方式,实现终端的接入认证和不同切片的鉴权。2、提供差异化??的切片安全处理能力切片网络除了为垂直行业提供差异化??的连接服务外,还需要根据各垂直行业的不同安全需求,提供差异化??的安全防护能力。在eMBB场景下,5G网络的峰值速率和用户体验速率是4G的10倍以上。大流量增加了基于流量检测、内容识别、加解密等技术的安全防护难度;不良视频内容识别、海量数据舆情分析等给安全监控带来挑战。因此,eMBB切片对安全功能的计算处理能力提出了极大的挑战。uRLLC场景具有高安全、高可靠、低时延的特点。在切片部署的过程中,需要考虑安全功能引入的延迟,以及高速情况下留给安全功能的开销。因此,uRLLC切片对安全响应的时效性要求更高。mMTC场景具有大连接、弱终端的特点。因此,安全和加密算法必须满足资源约束,终端不一定需要为每次通信都完成完整的安全过程。此外,mMTC切片还需要抵抗超大连接容易引起的全网或局部DDoS攻击。2020年,5G将进入大规模商用部署,广电也将在大融合背景下大力发展5G业务。在此背景下,5G安全越来越受到关注。由于IT与CT的融合,5G的安全要求不仅包括传统移动通信网络的要求,还包括IT新技术的引入和多样化的垂直业务。在发展5G的同时,还要关注5G网络的安全需求,最终能够提供高质量、高可靠、高安全的5G网络。【本文为专栏作者《NSFO科技博客》原创稿件,转载请联系原作者获得授权】点此查看该作者更多好文
