收藏
下载资源 加入会员免费下载

2021-2022年5G 安全研究报告.pdf

返回 相关 举报
2021-2022年5G 安全研究报告.pdf_第1页
第1页 / 共27页
2021-2022年5G 安全研究报告.pdf_第2页
第2页 / 共27页
2021-2022年5G 安全研究报告.pdf_第3页
第3页 / 共27页
2021-2022年5G 安全研究报告.pdf_第4页
第4页 / 共27页
2021-2022年5G 安全研究报告.pdf_第5页
第5页 / 共27页
亲,该文档总共27页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
2021-2022年5G 安全研究报告 目 录1 构 建 更 安 全 灵 活 的 5G 网 络1.1 产 业 互 联 网 优 势 之 选 . 31.2 全 新 的 安 全 挑 战 .42 可 定 制 化 的 切 片 安 全 2.1 网 络 切 片 和 切 片 安 全 . 72.2 网 络 切 片 的 端 到 端 隔 离 .72.3 面 向 应 用 的 切 片 定 制 .103 边 缘 计 算 安 全3.1 MEC 在 5G 中 的 应 用 .123.2 安 全 是 MEC 部 署 的 关 键 要 素 .123.3 MEC 安 全 防 护 . 144 安 全 能 力 开 放 4.1 安 全 能 力 开 放 模 型 . 174.2 可 信 数 字 身 份 .184.3 智 能 网 络 防 御 .195 5G 安 全 治 理 与 评 估 .206 总 结 与 展 望 .22 1第 一 部 分 1 构 建 更 安 全 灵 活 的 5G 网 络 1.1 产 业 互 联 网 优 势 之 选移 动 通 信 网 作 为 商 业 化 的 电 信 网 络 , 在 标 准 设 计 之 初 , 就 充 分 考 虑 了 网 络 接 入 的 移 动性 、 可 靠 性 和 安 全 性 。 通 过 SIM/USIM 等 身 份 标 识 、 认 证 授 权 、 信 道 与 承 载 加 密 、 访 问 控制 等 方 式 , 提 供 了 良 好 的 安 全 通 信 能 力 。 经 过 包 括 运 营 商 、 标 准 组 织 以 及 设 备 商 等 在 内 的电 信 产 业 界 几 十 年 的 锤 炼 , 移 动 通 信 网 络 安 全 架 构 日 臻 完 善 , 成 为 未 来 产 业 互 联 网 安 全 通信 的 优 势 之 选 。5G 网 络 继 承 了 4G 的 安 全 特 性 , 同 时 对 认 证 授 权 、 隐 私 保 护 、 数 据 传 输 安 全 、 网 络 架构 和 互 通 安 全 等 进 行 了 优 化 或 增 强 。 相 对 WiFi、 企 业 专 网 等 非 3GPP 接 入 机 制 , 5G 提 供了 更 大 范 围 的 移 动 性 , 也 为 用 户 提 供 了 更 健 壮 的 业 务 安 全 性 、 更 严 密 的 数 据 保 护 以 及 更 强 的 用 户 隐 私 性 。5G 提 供 了 基 于 统 一 认 证 框 架 的 双 向 认 证 能 力 , 使 终 端 和 网 络 都 能 够 确 认 对 方 身 份 的 合法 性 。 这 样 不 仅 能 避 免 非 法 用 户 接 入 网 络 , 也 能 避 免 利 用 伪 基 站 、 伪 热 点 进 行 诈 骗 或 者 窃取 用 户 信 息 。 另 外 , 由 于 对 终 端 进 行 认 证 , 可 以 追 溯 终 端 使 用 者 的 身 份 和 行 为 轨 迹 , 增 加了 攻 击 者 的 法 律 风 险 , 可 以 有 效 降 低 攻 击 的 概 率 。5G 网 络 为 终 端 提 供 了 端 到 端 的 安 全 通 道 , 使 终 端 之 间 能 够 有 效 地 隔 离 , 即 使 某 一 终 端被 攻 破 , 恶 意 程 序 也 很 难 在 5G 网 络 中 横 向 传 播 , 使 得 攻 击 的 扩 散 势 头 以 及 导 致 的 损 失 得到 遏 制 。 传 统 消 费 互 联 网 的 设 计 初 衷 是 开 放 性 , 这 也 是 导 致 网 络 安 全 问 题 频 发 的 一 个 根 源 。 未来 的 产 业 互 联 网 将 会 连 接 金 融 、 能 源 、 工 业 、 交 通 等 重 要 领 域 的 高 价 值 资 产 , 半 封 闭 甚 至封 闭 性 的 网 络 将 是 更 好 的 选 择 。 5G 网 络 切 片 不 但 能 够 为 不 同 SLA 的 业 务 提 供 网 络 架 构 的定 制 , 还 能 够 提 供 安 全 的 网 络 隔 离 能 力 。目 前 , 3GPP 正 在 进 一 步 对 增 强 的 基 于 服 务 的 架 构 安 全 、 固 定 移 动 融 合 安 全 、 非 公 众网 络 ( NPN) 安 全 以 及 公 众 网 络 ( PLMN) 与 NPN 互 通 安 全 、 增 强 的 蜂 窝 物 联 网 安 全 、 高可 靠 低 时 延 ( uRLLC) 业 务 安 全 、 基 于 3GPP 的 应 用 的 认 证 和 密 钥 管 理 、 V2X 业 务 安 全 等领 域 开 展 标 准 研 究 或 者 标 准 制 订 工 作 , 以 进 一 步 增 强 5G 网 络 在 面 向 不 同 业 务 场 景 时 的 安全 能 力 , 为 用 户 提 供 更 全 面 、 灵 活 的 网 络 安 全 选 项 。 中 兴 通 讯 认 为 , 未 来 的 5G 将 成 为 整 个 社 会 的 基 石 。 如 果 说 传 统 移 动 网 络 的 安 全 性 主要 影 响 的 是 互 联 网 经 济 的 话 , 5G 网 络 的 安 全 性 将 会 对 包 括 实 体 经 济 在 内 的 所 有 社 会 、 经 济领 域 的 安 全 带 来 重 大 影 响 。 因 此 , 在 3GPP 标 准 定 义 的 安 全 框 架 之 上 , 我 们 需 要 更 加 全 面 、更 加 系 统 化 的 分 析 5G 面 临 的 安 全 挑 战 , 并 作 出 应 对 。 4 1.2 全 新 的 安 全 挑 战重 新 定 义 5G 基 础 设 施5G 商 业 生 态 引 入 了 新 的 监 管 者 、 商 业 主 体 , 也 带 来 了 不 同 的 信 任 模 型 。 为 了 打 造 多 元化 、 可 信 的 5G 生 态 , 承 载 不 同 业 务 特 征 的 数 字 资 产 , 实 现 ITU-T 定 义 的 商 业 目 标 , 5G网 络 基 础 设 施 不 再 局 限 于 纯 粹 的 流 量 承 载 , 而 是 在 SDN/NFV、 MEC 等 新 技 术 的 支 撑 下 ,进 行 了 重 新 定 义 , 提 供 基 于 切 片 定 制 的 按 需 网 络 服 务 。 5G 能 力 架 构 及 安 全 保 障安 全 可 靠 的 5G 专 网 接 入随 着 互 联 网 从 消 费 领 域 向 产 业 领 域 不 断 演 进 , 并 逐 步 涉 及 能 源 、 工 业 、 交 通 等 关 键 基础 设 施 , 其 承 载 的 商 业 价 值 与 社 会 影 响 力 远 远 高 于 传 统 的 消 费 类 业 务 , 因 此 网 络 评 价 指 标不 再 局 限 于 带 宽 与 流 量 价 格 , 对 于 安 全 性 与 可 靠 性 的 充 分 考 量 成 为 首 要 的 因 素 以 及 非 常 刚性 的 约 束 。 未 来 , 5G 将 深 入 我 们 的 生 活 方 式 , 影 响 全 社 会 的 福 祉 , 并 与 产 业 创 新 与 经 济 增长 直 接 相 关 , 5G 网 络 必 须 能 够 提 供 不 低 于 传 统 高 等 级 专 网 的 安 全 性 与 可 靠 性 , 才 能 够 胜 任关 键 基 础 设 施 中 高 价 值 资 产 的 承 载 , 这 需 要 在 网 络 切 片 基 础 之 上 提 供 进 一 步 的 安 全 加 固 能力 。 在 面 向 重 要 基 础 设 施 的 5G 专 网 中 , 可 以 按 照 资 产 价 值 及 其 SLA 特 征 , 将 业 务 网 络 分割 为 不 同 的 区 域 , 不 同 的 区 域 采 用 具 有 不 同 安 全 属 性 的 网 络 切 片 进 行 承 载 。 5 融 贯 行 业 的 资 产 保 障5G 连 接 了 物 联 网 和 垂 直 行 业 的 关 键 基 础 设 施 , 实 现 了 移 动 网 络 从 面 向 人 的 连 接 向 面 向机 器 连 接 的 演 变 , 也 使 得 安 全 威 胁 在 IT 域 与 OT 域 之 间 进 行 双 向 渗 透 变 得 可 能 。 另 外 , 由于 被 攻 击 的 目 标 往 往 连 接 物 理 世 界 的 人 或 资 产 , 使 得 攻 击 导 致 的 后 果 更 为 严 重 , 后 续 的 处置 也 更 为 复 杂 。 由 于 各 类 基 础 设 施 大 量 分 散 在 网 络 的 边 缘 , 因 此 边 缘 计 算 ( MEC) 将 会 是垂 直 行 业 重 要 的 选 择 与 屏 障 。 运 营 商 需 要 采 取 必 要 的 安 全 措 施 , 保 护 MEC 节 点 自 身 以 及MEC 节 点 中 客 户 数 字 资 产 的 安 全 。持 续 创 新 的 安 全 服 务随 着 网 络 与 业 务 融 合 的 深 入 展 开 , 一 方 面 , 5G 网 络 自 身 需 要 在 充 分 考 虑 特 定 行 业 的 业 务 特 点 与 安 全 态 势 基 础 上 , 引 入 新 型 智 能 化 检 测 技 术 与 防 御 手 段 , 提 供 持 续 创 新 的 安 全 能力 。 另 一 方 面 , 5G 网 络 可 以 向 垂 直 行 业 应 用 , 开 放 自 身 的 安 全 能 力 , 降 低 垂 直 行 业 的 安 全开 发 与 部 署 成 本 , 提 升 创 新 效 率 。多 元 化 的 网 络 安 全 治 理产 业 互 联 网 与 5G 网 络 融 合 , 同 样 也 会 对 网 络 安 全 治 理 带 来 冲 击 。 首 先 是 安 全 规 范 的多 元 化 , 如 金 融 、 电 力 、 工 业 互 联 网 等 不 同 行 业 , 对 于 基 础 设 施 有 着 与 电 信 网 络 不 同 的 安全 法 规 和 标 准 、 数 据 保 护 规 范 以 及 安 全 评 测 标 准 ; 其 次 是 资 产 主 体 的 多 元 化 , 例 如 MEC上 的 设 备 、 平 台 及 应 用 , 往 往 需 要 贯 穿 多 个 商 业 主 体 。 5G 如 何 满 足 这 种 多 元 化 的 网 络 安 全治 理 需 求 , 能 否 构 建 统 一 的 网 络 安 全 治 理 体 系 , 有 待 探 索 。 6 2第 二 部 分 2 可 定 制 化 的 切 片 安 全 7 2.1 网 络 切 片 和 切 片 安 全5G 网 络 切 片 是 基 于 无 线 接 入 网 、 承 载 网 与 核 心 网 基 础 设 施 , 以 及 网 络 虚 拟 化 技 术 构 建的 一 个 面 向 不 同 业 务 特 征 的 逻 辑 网 络 。 运 营 商 可 以 为 不 同 行 业 应 用 在 共 享 的 网 络 基 础 设 施上 通 过 能 力 开 放 、 智 能 调 度 、 安 全 隔 离 等 技 术 分 别 构 建 彼 此 隔 离 的 5G 网 络 切 片 , 提 供 差异 化 的 网 络 服 务 。网 络 切 片 技 术 有 利 于 构 建 以 运 营 商 为 中 心 的 开 放 网 络 生 态 , 充 分 发 挥 网 络 基 础 设 施 的潜 力 , 拓 展 新 的 收 入 来 源 。 同 时 , 对 于 垂 直 行 业 而 言 , 网 络 切 片 也 有 利 于 大 大 降 低 专 网 的建 设 和 运 营 成 本 , 并 且 可 以 借 助 网 络 切 片 灵 活 的 性 能 弹 缩 优 势 , 快 速 满 足 动 态 变 化 的 网 络需 求 。 网 络 切 片 技 术 的 应 用 是 电 信 网 络 的 一 次 重 大 变 革 , 为 电 信 网 络 和 行 业 应 用 的 深 度 融 合 奠 定 了 坚 实 基 础 。 区 别 于 传 统 物 理 专 网 的 私 有 性 与 封 闭 性 , 5G 网 络 切 片 是 建 立 在 共 享 资源 之 上 的 虚 拟 化 专 用 网 络 , 切 片 安 全 除 了 提 供 传 统 移 动 网 络 安 全 机 制 之 外 ( 例 如 接 入 认 证 、接 入 层 和 非 接 入 层 信 令 和 数 据 的 加 密 与 完 整 性 保 护 等 ) , 还 需 要 提 供 网 络 切 片 之 间 端 到 端安 全 隔 离 机 制 。2.2 网 络 切 片 的 端 到 端 隔 离为 了 满 足 不 同 业 务 的 安 全 等 级 需 求 , 网 络 切 片 结 合 了 各 种 物 理 隔 离 和 逻 辑 隔 离 机 制 ,来 实 现 网 络 切 片 间 的 隔 离 防 护 。 5G 网 络 切 片 端 到 端 隔 离 可 分 为 RAN 隔 离 、 承 载 隔 离 和 核心 网 隔 离 , 如 下 图 所 示 。 5G 网 络 切 片 端 到 端 隔 离 模 型 8 RAN 隔 离网 络 切 片 在 RAN 侧 的 隔 离 主 要 面 向 无 线 频 谱 资 源 以 及 基 站 处 理 资 源 。 5G OFDMA 系统 中 , 无 线 频 谱 从 时 域 、 频 域 、 空 域 维 度 被 划 分 为 不 同 的 资 源 块 , 用 于 承 载 终 端 和 基 站 之间 数 据 传 输 。 频 谱 资 源 的 隔 离 可 以 分 为 物 理 隔 离 和 逻 辑 隔 离 。 物 理 隔 离 是 给 网 络 切 片 分 配专 用 频 谱 带 宽 , 这 时 分 配 给 切 片 的 资 源 块 是 连 续 的 。 逻 辑 隔 离 是 资 源 块 按 照 不 同 切 片 的 要求 按 需 分 配 , 分 配 给 每 个 切 片 的 资 源 块 是 不 连 续 的 , 多 个 切 片 共 享 总 的 频 谱 资 源 。无 论 是 物 理 隔 离 还 是 逻 辑 隔 离 , 由 于 资 源 块 的 正 交 性 , 两 者 的 隔 离 能 力 基 本 相 当 。 但是 专 用 频 谱 的 覆 盖 范 围 和 覆 盖 效 果 通 常 不 如 共 享 频 谱 , 当 数 据 文 件 较 大 , 或 者 用 户 处 于 小区 边 缘 时 , 由 于 无 法 使 用 更 宽 的 频 谱 传 输 , 使 用 物 理 隔 离 的 切 片 往 往 无 法 达 到 更 高 的 传 输速 率 。 另 外 由 于 物 理 隔 离 方 式 实 现 成 本 较 高 , 资 源 分 配 不 够 灵 活 , 因 此 频 谱 租 赁 代 价 高 昂 。 逻 辑 隔 离 可 以 实 现 基 站 调 度 器 根 据 不 同 切 片 的 传 输 要 求 , 对 资 源 块 动 态 调 配 , 提 高 了 频 谱资 源 利 用 率 , 因 此 , 行 业 应 用 在 无 特 殊 要 求 的 情 况 下 , 应 首 选 逻 辑 隔 离 方 案 。DU 和 CU 是 对 传 统 RAN 功 能 的 进 一 步 重 构 , DU 用 于 处 理 L1(PHY)和 L2(MAC)层 功能 , 例 如 资 源 块 调 度 、 调 制 编 码 、 功 控 等 功 能 , CU 用 于 处 理 L2 层 以 上 的 功 能 , 例 如 分 组数 据 汇 聚 、 切 换 等 功 能 。 基 站 处 理 资 源 的 隔 离 可 以 从 DU 和 CU 两 个 方 面 考 虑 , DU 软 件 目前 依 赖 于 专 用 硬 件 实 现 , CU 软 件 则 既 可 以 在 专 用 硬 件 运 行 , 也 可 以 虚 拟 化 在 通 用 服 务 器 上运 行 。 网 络 切 片 在 DU 的 处 理 资 源 隔 离 可 通 过 物 理 隔 离 的 方 式 , 为 不 同 的 切 片 分 配 不 同 的DU 单 板 或 处 理 核 , 也 可 以 通 过 逻 辑 隔 离 的 方 式 共 享 处 理 资 源 。 从 专 用 硬 件 成 本 和 处 理 效 率的 角 度 , DU 更 多 采 用 共 享 处 理 资 源 的 方 式 。 当 CU 软 件 运 行 在 专 用 硬 件 上 时 , 策 略 可 以 类似 于 DU, 更 倾 向 于 共 享 处 理 资 源 。 当 CU 软 件 运 行 在 通 用 服 务 器 上 时 , 网 络 切 片 在 CU 的 隔 离 可 基 于 NFV 隔 离 技 术 实 现 , 通 过 虚 机 /容 器 隔 离 实 现 CU 隔 离 。 根 据 切 片 的 安 全 隔 离要 求 , 在 DU、 CU 上 的 隔 离 机 制 可 单 独 或 组 合 使 用 。承 载 隔 离5G 网 络 依 托 数 据 中 心 部 署 , 跨 越 数 据 中 心 的 物 理 通 信 链 路 需 要 承 载 多 个 切 片 的 业 务 数据 。 网 络 切 片 在 承 载 侧 的 隔 离 可 通 过 软 隔 离 和 硬 隔 离 两 种 方 案 实 现 。软 隔 离 方 案 基 于 现 有 网 络 机 制 , 通 过 VLAN 标 签 与 网 络 切 片 标 识 的 映 射 实 现 。 网 络 切片 具 备 唯 一 的 切 片 标 识 , 根 据 切 片 标 识 为 不 同 的 切 片 数 据 映 射 封 装 不 同 的 VLAN 标 签 , 通过 VLAN 隔 离 实 现 切 片 的 承 载 隔 离 。 软 隔 离 方 案 虽 然 将 不 同 切 片 的 数 据 进 行 了 VLAN 区 分 , 但 是 标 记 有 VLAN 标 签 的 所 有切 片 数 据 仍 然 混 杂 在 一 起 进 行 调 度 转 发 。 硬 隔 离 方 案 则 引 入 FlexE 技 术 , 基 于 以 太 网 协 议 ,在 L1(PHY)和 L2(MAC)层 之 间 创 造 另 一 “ 垫 层 ” , 实 现 FlexE 分 片 。 FlexE 分 片 是 基 于 时隙 调 度 将 一 个 物 理 以 太 网 端 口 划 分 为 多 个 以 太 网 弹 性 管 道 , 使 得 承 载 网 络 既 具 备 类 似 于TDM(时 分 复 用 )独 占 时 隙 、 隔 离 性 好 的 特 性 , 又 具 备 以 太 网 统 计 复 用 、 网 络 效 率 高 的 特 点 。 9 网 络 切 片 的 承 载 隔 离 可 以 同 时 使 用 软 隔 离 和 硬 隔 离 的 方 案 , 在 对 网 络 切 片 使 用 VLAN实 现 逻 辑 隔 离 的 情 况 下 , 进 一 步 利 用 FlexE 分 片 技 术 , 实 现 在 时 隙 层 面 的 物 理 隔 离 。核 心 网 隔 离5G 核 心 网 基 于 虚 拟 化 基 础 设 施 构 建 , 并 且 由 很 多 种 不 同 的 网 络 功 能 构 成 , 有 些 网 络 功能 为 切 片 专 用 , 有 些 则 在 多 个 切 片 之 间 共 享 , 因 此 在 核 心 网 侧 的 隔 离 需 要 采 用 多 重 隔 离 机制 , 如 下 图 所 示 。 核 心 网 隔 离 模 型网 络 切 片 间 隔 离由 于 网 络 切 片 共 享 统 一 的 核 心 网 基 础 设 施 , 为 了 确 保 一 个 切 片 的 异 常 不 会 影 响 到 其 他切 片 , 一 方 面 , 核 心 网 可 以 采 用 物 理 隔 离 的 方 案 , 为 安 全 性 要 求 较 高 的 切 片 分 配 相 对 独 立的 物 理 资 源 , 另 一 方 面 , 还 可 以 采 用 逻 辑 隔 离 方 案 , 借 助 成 熟 的 虚 拟 化 技 术 , 在 网 络 层 通过 划 分 VLAN/VXLAN 子 网 进 行 隔 离 , 在 管 理 层 通 过 分 权 分 域 实 现 切 片 管 理 和 编 排 的 隔 离 。相 对 于 物 理 隔 离 方 案 , 逻 辑 隔 离 对 资 源 分 配 更 加 灵 活 , 更 为 经 济 。网 络 功 能 隔 离 不 同 网 络 功 能 ( NF) 需 要 根 据 自 身 的 安 全 级 别 要 求 与 信 任 关 系 , 进 行 安 全 域 划 分 , 以提 供 网 络 功 能 之 间 的 相 互 隔 离 。 随 着 MEC 应 用 的 普 及 , 大 量 UPF 等 网 络 功 能 需 要 从 核 心网 络 域 下 沉 至 网 络 边 缘 , 与 基 站 或 DU/CU 共 址 部 署 , 这 会 使 得 下 沉 的 NF 与 其 他 核 心 网NF 被 进 一 步 划 分 到 不 同 的 安 全 子 域 。 切 片 共 享 的 网 络 功 能 与 切 片 内 的 网 络 功 能 互 访 时 , 需要 设 置 安 全 防 护 机 制 ( 例 如 白 名 单 ) 进 行 控 制 , 限 制 非 法 访 问 。网 络 切 片 与 用 户 隔 离为 了 避 免 CN 网 络 切 片 遭 受 来 自 外 部 的 攻 击 进 而 威 胁 到 切 片 安 全 、 可 靠 的 运 行 , 可 以在 切 片 网 络 和 终 端 用 户 之 间 、 以 及 切 片 网 络 和 行 业 应 用 之 间 部 署 安 全 隔 离 机 制 。 切 片 网 络和 终 端 用 户 之 间 的 隔 离 可 采 用 基 于 切 片 的 接 入 认 证 和 访 问 控 制 等 机 制 。 切 片 网 络 和 行 业 应 用 的 隔 离 , 可 以 通 过 部 署 虚 拟 或 者 物 理 防 火 墙 , 并 设 置 访 问 策 略 来 进 行 。 10 2.3 面 向 应 用 的 切 片 定 制5G 网 络 切 片 面 向 不 同 垂 直 行 业 的 业 务 特 征 提 供 差 异 化 的 按 需 服 务 定 制 能 力 , 其 中 安 全性 是 定 制 过 程 中 必 须 考 虑 的 关 键 因 素 之 一 , 如 下 图 所 示 。 面 向 垂 直 行 业 应 用 的 切 片 定 制对 于 业 务 时 延 和 安 全 性 要 求 极 高 的 应 用 , 例 如 远 程 医 疗 业 务 , 必 须 提 供 切 片 安 全 隔 离等 级 最 高 、 切 片 接 入 控 制 最 严 格 的 网 络 服 务 。 因 此 在 设 计 、 编 排 、 部 署 切 片 时 可 实 施 如 下端 到 端 的 物 理 隔 离 方 案 : 在 无 线 侧 分 配 独 立 的 小 区 、 专 用 频 段 ; 在 核 心 网 侧 分 配 专 用 的 处理 机 资 源 ; 在 传 输 网 络 上 使 用 专 线 进 行 传 输 。对 于 普 通 的 网 络 应 用 , 例 如 车 载 娱 乐 、 在 线 导 航 等 , 对 安 全 性 无 严 苛 要 求 , 在 设 计 、编 排 和 部 署 切 片 时 , 可 采 用 如 下 隔 离 方 案 : 无 线 侧 基 于 共 享 小 区 、 资 源 块 隔 离 ; 核 心 网 侧可 以 共 享 部 分 控 制 面 NF, 用 户 面 和 其 他 控 制 面 NF 基 于 切 片 隔 离 ; 承 载 网 侧 共 享 传 输 资 源 ,通 过 策 略 路 由 、 SDN、 IPSec、 FlexE 等 技 术 实 现 隔 离 。 11 3第 三 部 分 3 边 缘 计 算 安 全 12 3.1 MEC 在 5G 中 的 应 用多 接 入 边 缘 计 算 技 术 ( MEC) 是 5G 业 务 多 元 化 的 核 心 技 术 之 一 , 采 用 分 布 式 网 络 架构 , 把 服 务 能 力 和 应 用 推 进 到 网 络 边 缘 , 改 变 了 当 前 网 络 与 业 务 分 离 的 状 态 , 是 5G 的 代表 性 能 力 。在 5G 架 构 设 计 中 , 通 过 支 持 用 户 面 功 能 ( UPF) 下 沉 部 署 、 灵 活 分 流 等 功 能 , 实 现对 MEC 的 支 持 , 同 时 MEC 可 将 移 动 网 络 的 位 置 服 务 、 带 宽 管 理 等 开 放 给 上 层 应 用 , 从 而优 化 业 务 应 用 , 启 发 新 的 商 业 模 式 , 进 一 步 提 升 网 络 价 值 。MEC 将 数 据 缓 存 能 力 、 流 量 转 发 能 力 与 应 用 服 务 能 力 进 行 下 沉 , 网 络 位 置 更 接 近 用 户 , 能 够 大 幅 降 低 业 务 时 延 , 满 足 车 联 网 、 工 业 互 联 网 等 低 时 延 业 务 需 求 , 减 少 对 传 输 网 的 带宽 压 力 , 降 低 传 输 成 本 , 支 持 高 清 视 频 、 AR/VR 等 高 带 宽 业 务 的 需 求 , 并 进 一 步 提 高 内 容分 发 效 率 , 提 升 用 户 体 验 。 5G 网 络 中 的 MEC随 着 5G 网 络 即 将 步 入 商 用 , 未 来 各 种 超 高 带 宽 类 、 低 时 延 类 的 新 兴 业 务 将 逐 步 涌 现 ,因 此 , 一 方 面 , 对 5G 网 络 中 部 署 MEC 面 临 的 安 全 问 题 的 研 究 需 要 加 强 ; 另 一 方 面 , 还 需要 研 究 将 MEC 部 署 在 企 业 园 区 或 指 定 的 安 全 区 域 所 带 来 的 新 的 安 全 挑 战 。3.2 安 全 是 MEC 部 署 的 关 键 要 素典 型 的 MEC 承 载 了 部 分 核 心 网 功 能 、 运 营 商 增 值 业 务 以 及 垂 直 行 业 业 务 等 , 并 与 无线 接 入 网 络 、 核 心 网 、 企 业 网 络 、 互 联 网 等 多 个 外 部 网 络 互 联 。 从 总 体 上 看 , MEC 是 中 心 计 算 的 延 伸 , 既 继 承 了 中 心 计 算 的 优 势 , 也 面 临 和 中 心 计 算 相 似 的 威 胁 ; 具 体 来 看 , 由 于在 物 理 位 置 、 网 络 边 界 、 客 户 主 体 、 业 务 类 型 等 多 方 面 发 生 了 变 化 , 导 致 MEC 在 组 网 架构 与 运 营 模 式 上 与 传 统 电 信 网 存 在 较 大 差 异 , 因 此 在 安 全 性 方 面 也 面 临 新 的 挑 战 。 13 MEC 架 构网 络 架 构由 于 MEC 节 点 靠 近 网 络 的 边 缘 , 外 部 环 境 可 信 度 降 低 , 管 理 控 制 能 力 减 弱 , 使 得 MEC平 台 和 MEC 应 用 处 于 相 对 不 安 全 的 物 理 环 境 , 更 容 易 遭 受 非 授 权 访 问 、 敏 感 数 据 泄 露 、(D)DoS 攻 击 、 设 备 物 理 攻 击 等 威 胁 。 另 外 , 运 营 商 网 络 功 能 与 不 可 信 任 的 第 三 方 应 用 共 平台 部 署 , 进 一 步 导 致 网 络 边 界 模 糊 、 虚 拟 机 逃 逸 、 镜 像 篡 改 、 数 据 窃 取 与 篡 改 等 诸 多 安 全问 题 , 使 得 内 部 威 胁 滋 生 蔓 延 的 风 险 加 大 , 增 大 了 运 营 商 资 产 和 行 业 资 产 的 风 险 。网 络 功 能 部 分 核 心 网 功 能 跟 随 MEC 下 沉 到 边 缘 数 据 中 心 , 增 大 了 核 心 网 面 临 的 攻 击 面 。 传 统电 信 网 络 由 核 心 网 网 关 , 例 如 GGSN, PGW, 收 集 用 户 计 费 信 息 上 报 给 计 费 系 统 实 施 计 费 。如 果 以 上 网 关 跟 随 MEC 部 署 在 接 入 站 点 , 例 如 赛 事 场 馆 、 购 物 中 心 等 公 共 场 所 , 由 于 流量 不 经 过 核 心 区 域 , 可 能 存 在 非 法 窃 听 、 欺 骗 性 计 费 等 威 胁 。 另 外 , 由 于 MEC 节 点 的 业务 覆 盖 范 围 有 限 , 一 旦 用 户 发 生 跨 节 点 切 换 , 例 如 高 铁 数 据 服 务 , 也 会 面 临 站 点 间 相 互 信任 、 网 络 连 接 上 下 文 如 何 安 全 传 递 等 安 全 问 题 。网 络 运 维MEC 是 一 个 多 元 化 系 统 , 包 括 了 移 动 通 信 网 络 、 MEC 能 力 开 放 服 务 以 及 行 业 应 用 等多 个 系 统 , 因 此 需 要 构 建 有 效 的 信 任 模 型 , 为 多 个 系 统 的 安 全 共 存 提 供 信 任 基 础 。 除 了 需 要 建 立 用 户 、 行 业 应 用 及 MEC 服 务 ( 如 定 位 服 务 ) 之 间 的 信 任 模 型 , 还 需 要 考 虑 建 立 移动 终 端 、 网 络 切 片 与 MEC 平 台 之 间 的 信 任 模 型 。 MEC 架 构 与 5G 网 络 由 两 个 不 同 的 标 准体 系 定 义 , 如 何 将 两 者 有 机 融 合 , 满 足 运 营 商 及 行 业 用 户 不 同 的 运 维 需 求 , 是 MEC 需 要重 点 研 究 的 问 题 之 一 。 14 3.3 MEC 安 全 防 护MEC 的 安 全 防 护 继 承 了 电 信 云 数 据 中 心 的 安 全 防 护 手 段 , 包 括 云 化 的 基 础 设 施 加 固 ,以 及 虚 拟 化 的 网 络 安 全 服 务 等 。 同 时 , 针 对 MEC 面 临 的 全 新 安 全 挑 战 , 还 需 要 从 多 个 方面 进 行 针 对 性 的 加 固 。基 础 设 施 加 固物 理 安 全 : 根 据 不 同 业 务 场 景 , MEC 节 点 可 部 署 在 边 缘 数 据 中 心 、 无 人 值 守 的 站 点 机房 , 甚 至 靠 近 用 户 的 现 场 。 由 于 处 于 相 对 开 放 的 环 境 中 , MEC 设 备 更 易 遭 受 物 理 性 破 坏 ,需 要 与 场 所 的 提 供 方 一 起 , 共 同 评 估 和 保 障 基 础 设 施 的 物 理 安 全 , 引 入 门 禁 、 环 境 监 控 等 安 全 措 施 ; 对 于 MEC 设 备 , 还 需 要 加 强 自 身 防 盗 、 防 破 坏 方 面 的 结 构 设 计 , 对 设 备 的 I/O接 口 、 调 试 接 口 进 行 控 制 。 此 外 MEC 节 点 还 必 须 具 备 在 严 苛 、 恶 劣 物 理 环 境 下 的 持 续 工作 能 力 。平 台 安 全 : 针 对 部 署 在 运 营 商 控 制 较 弱 区 域 的 MEC 节 点 , 需 要 引 入 安 全 加 固 措 施 ,加 强 平 台 管 理 安 全 、 数 据 存 储 和 传 输 安 全 , 在 需 要 时 引 入 可 信 计 算 等 技 术 , 从 系 统 启 动 到上 层 应 用 , 逐 级 验 证 , 构 建 可 信 的 MEC 平 台 。 为 保 证 更 高 的 可 用 性 , 同 质 化 的 MEC 之 间可 以 建 立 起 “ MEC 资 源 池 ” , 相 互 之 间 提 供 异 地 灾 备 能 力 , 当 遇 到 不 可 抗 的 外 部 事 件 时 ,可 以 快 速 切 换 到 其 他 MEC, 保 证 业 务 的 连 续 性 。网 络 安 全 : MEC 连 接 了 多 重 外 部 网 络 , 传 统 的 边 界 防 御 、 内 外 部 认 证 、 隔 离 与 加 密 等 防 护 技 术 , 需 要 继 续 在 MEC 中 使 用 。 从 MEC 平 台 内 部 来 看 , MEC 被 划 为 不 同 的 功 能 域 ,如 管 理 域 、 核 心 网 域 、 基 础 服 务 域 ( 位 置 业 务 /CDN 等 ) 、 第 三 方 应 用 域 等 , 彼 此 之 间 需要 划 分 到 不 同 安 全 域 , 引 入 各 种 虚 拟 安 全 能 力 , 实 现 隔 离 和 访 问 控 制 。 同 时 需 要 部 署 入 侵检 测 技 术 、 异 常 流 量 分 析 、 反 APT 等 系 统 , 对 恶 意 软 件 、 恶 意 攻 击 等 行 为 进 行 检 测 , 防 止威 胁 横 向 扩 展 。 此 外 , 基 于 边 缘 分 布 式 的 特 点 , 可 以 在 多 个 MEC 节 点 部 署 检 测 点 , 相 互协 作 实 现 对 恶 意 攻 击 的 检 测 。运 维 管 理 安 全 增 强MEC 上 运 行 和 存 储 着 运 营 商 和 行 业 客 户 的 各 种 数 据 资 产 , 同 时 , 5G 核 心 网 用 户 面 的下 沉 也 带 来 了 非 法 窃 听 、 欺 骗 性 计 费 等 威 胁 。 为 了 确 保 MEC 节 点 中 资 产 与 数 据 的 安 全 , 需 要 对 使 用 MEC 的 各 方 的 行 为 执 行 认 证 ( Authentication) 、 授 权 ( Authorization) 、审 计 ( Audit) , 此 外 , 还 需 要 在 平 台 层 面 、 网 络 层 面 、 业 务 层 面 等 多 个 维 度 , 对 数 据 资 产的 所 有 权 、 使 用 权 和 运 维 权 进 行 分 权 分 域 的 管 理 。 当 边 缘 域 与 核 心 域 之 间 涉 及 到 管 理 、 计费 等 关 键 性 通 讯 时 , 需 要 充 分 利 用 PKI 以 及 TLS/IPSec 等 协 议 , 实 施 认 证 授 权 与 传 输 加密 。 15 为 了 确 保 运 行 版 本 的 安 全 , 防 止 带 毒 运 行 , MEC 需 要 支 持 针 对 VNF 版 本 包 在 不 同 交付 环 节 之 间 的 签 名 ( 发 布 方 ) 与 验 签 ( 接 收 方 ) , 同 时 需 要 对 发 布 的 版 本 包 做 签 名 校 验 。为 了 避 免 安 全 漏 洞 影 响 到 MEC 节 点 上 其 它 功 能 域 的 安 全 , 在 第 三 方 应 用 引 入 之 前 ,需 要 执 行 严 格 的 管 控 流 程 , 对 其 进 行 全 面 的 安 全 评 估 和 检 测 。 同 时 通 过 应 用 注 册 过 程 对 应用 权 限 进 行 控 制 , 通 过 审 计 手 段 对 应 用 行 为 进 行 问 责 , 以 规 范 第 三 方 应 用 的 运 行 。数 据 资 产 保 护MEC 节 点 位 于 网 络 边 缘 , 处 于 运 营 商 控 制 较 弱 的 开 放 网 络 环 境 中 , 数 据 窃 取 、 泄 露 的风 险 相 对 较 高 。 部 分 垂 直 行 业 , 对 数 据 管 控 有 更 严 格 的 要 求 , 要 求 企 业 数 据 不 出 园 区 。 这 对 MEC 中 数 据 存 储 、 传 输 、 处 理 的 安 全 性 提 出 了 较 高 的 要 求 。在 MEC 部 署 、 业 务 运 行 过 程 中 , 必 须 对 MEC 应 用 可 能 涉 及 的 数 据 进 行 识 别 , 包 括 用户 的 标 识 、 接 入 位 置 等 。 对 安 全 要 求 高 的 数 据 需 要 采 用 加 密 方 式 存 储 ; 对 行 业 高 价 值 资 产数 据 , 应 尽 量 使 用 IPSec/TLS 等 安 全 传 输 方 式 , 避 免 传 输 过 程 中 数 据 泄 露 或 被 篡 改 。 对 数据 处 理 、 分 析 和 使 用 , 需 要 服 从 当 地 的 数 据 隐 私 法 律 法 规 , 结 合 数 据 操 作
展开阅读全文
相关资源
相关搜索
资源标签

copyright@ 2017-2022 报告吧 版权所有
经营许可证编号:宁ICP备17002310号 | 增值电信业务经营许可证编号:宁B2-20200018  | 宁公网安备64010602000642