收藏
下载资源 加入会员免费下载

2021-2022年5G信息安全分析报告.pdf

返回 相关 举报
2021-2022年5G信息安全分析报告.pdf_第1页
第1页 / 共45页
2021-2022年5G信息安全分析报告.pdf_第2页
第2页 / 共45页
2021-2022年5G信息安全分析报告.pdf_第3页
第3页 / 共45页
2021-2022年5G信息安全分析报告.pdf_第4页
第4页 / 共45页
2021-2022年5G信息安全分析报告.pdf_第5页
第5页 / 共45页
亲,该文档总共45页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
1 2021-2022年 5G信 息 安 全 分 析 报 告 1 目 录1 引 言 .32 5G 安 全 需 求 .32.1 5G 安 全 总 体 架 构 .32.2 认 证 /鉴 别 与 授 权 .42.3 接 入 安 全 .52.3.1 满 足 多 类 型 终 端 、 多 接 入 技 术 、 多 接 入 类 型 .52.3.2 满 足 典 型 应 用 场 景 .52.4 移 动 边 缘 计 算 ( MEC) 安 全 .62.4.1 移 动 边 缘 计 算 (MEC)内 涵 与 特 点 . 62.4.2 MEC安 全 需 求 .72.5 切 片 安 全 .82.5.1 NFV 安 全 需 求 .92.5.2 SDN安 全 需 求 .10 2.5.3 网 络 切 片 的 安 全 隔 离 需 求 .102.6 数 据 完 整 性 和 机 密 性 .112.7 隐 私 保 护 .112.8 安 全 管 理 .122.8.1 5G安 全 管 理 的 必 要 性 .122.8.2 5G安 全 管 理 需 求 分 析 .132.9 密 钥 体 系 .142.10终 端 安 全 .152.10.1 5G移 动 终 端 共 性 安 全 需 求 .162.10.2 eMBB终 端 安 全 需 求 . 172.10.3 mMTC终 端 安 全 需 求 .172.10.4 uRLLC 终 端 安 全 需 求 .173 主 要 解 决 思 路 .183.1 5G 安 全 总 体 架 构 .18 3.2 认 证 /鉴 别 与 授 权 .213.2.1 广 泛 网 络 实 体 的 身 份 标 识 支 持 .213.2.2 多 安 全 级 别 的 网 络 实 体 身 份 凭 证 机 制 .223.2.3 统 一 的 网 络 实 体 身 份 鉴 别 体 系 .233.2.4 多 元 实 体 间 的 安 全 资 源 授 权 管 理 .243.3 接 入 安 全 .253.3.1 支 持 多 类 型 终 端 、 多 接 入 类 型 、 多 接 入 方 式 .253.3.2 5G支 持 典 型 应 用 场 景 的 接 入 安 全 .263.4 移 动 边 缘 计 算 ( MEC) 安 全 .303.4.1 MEC边 缘 节 点 硬 件 设 施 保 护 .303.4.2 MEC系 统 隐 私 泄 露 防 护 .313.4.3 MEC三 元 认 证 与 鉴 权 .333.5 切 片 安 全 .343.6 数 据 完 整 性 和 机 密 性 .35 3.7 隐 私 保 护 .35 2 3.8 安 全 管 理 .373.9 密 钥 体 系 .393.10终 端 安 全 .404 5G 安 全 标 准 化 .445 总 结 .44参 考 文 献 .45鸣 谢 .45 3 1引言5G 移 动 通 信 系 统 需 要 支 持 增 强 移 动 宽 带 、 高 可 靠 低 时 延 以 及 低 功 耗 大 连 接等 应 用 场 景 。 除 了 移 动 互 联 网 应 用 , 5G 还 需 要 为 车 联 网 、 物 联 网 ( IoT) 、 虚拟 现 实 、 高 速 铁 路 等 新 兴 行 业 的 发 展 提 供 快 速 响 应 、 无 处 不 在 的 网 络 接 入 , 为垂 直 行 业 的 快 速 发 展 、 创 新 提 供 信 息 基 础 平 台 。 5G 新 的 应 用 场 景 、 新 的 技 术 和新 的 服 务 方 式 给 5G的 安 全 带 来 许 多 新 的 安 全 需 求 与 风 险 。5G 对 不 同 场 景 提 供 的 接 入 方 式 和 网 络 服 务 方 式 存 在 较 大 差 异 , 支 持 的 业 务交 付 方 式 也 不 同 , 安 全 需 求 的 差 异 性 非 常 明 显 。 特 别 是 物 联 网 应 用 场 景 带 来 的大 连 接 认 证 、 高 可 用 性 、 低 时 延 、 低 能 耗 等 安 全 需 求 , 以 及 5G 引 入 的SDN/NFV、 虚 拟 化 、 移 动 边 缘 计 算 和 异 构 无 线 网 络 融 合 等 新 技 术 带 来 的 变 化 和安 全 风 险 , 对 5G 移 动 通 信 系 统 的 接 入 认 证 /鉴 权 、 切 片 安 全 、 数 据 保 护 和 用 户 隐 私 保 护 等 方 面 提 出 全 新 的 挑 战 。目 前 对 5G 安 全 标 准 进 行 研 究 的 主 要 集 中 在 3GPP SA3、 ETSI 和 国 内 的CCSA TC5 WG5 和 TC8 WG2。 3GPP SA3 目 前 正 在 研 究 的 技 术 报 告 TR 33.899是 5G 安 全 标 准 化 工 作 的 基 础 , TR33.899( V1.2.0) 给 出 了 17 个 安 全 领 域 共109 关 键 议 题 ( Key Issue) 数 百 个 解 决 方 案 ( Solution) , 基 本 上 覆 盖 了 5G 安全 的 所 有 安 全 需 求 。 ETSI 的 网 络 功 能 虚 拟 化 标 准 工 作 组 ( NFV ISG) 将 在 5G网 络 的 基 础 设 施 标 准 化 中 扮 演 重 要 角 色 , 主 要 目 标 是 研 究 基 于 NFV的 开 放 、 互操 作 、 商 业 生 态 链 的 技 术 规 范 。基 于 国 际 国 内 标 准 化 工 作 进 展 和 国 内 相 关 单 位 的 最 新 研 究 成 果 , 本 白 皮 书针 对 5G 安 全 总 体 架 构 、 认 证 /鉴 别 与 授 权 、 接 入 安 全 、 切 片 安 全 、 密 钥 体 系 和终 端 安 全 等 10 个 5G安 全 领 域 的 安 全 需 求 进 行 了 梳 理 , 并 针 对 相 应 的 需 求 对 国 内 外 的 解 决 思 路 进 行 了 描 述 , 以 期 对 5G安 全 的 研 究 工 作 有 所 促 进 。2 5G安全需求2.1 5G安全总体架构“安 全 总 体 架 构 ”是 对 系 统 安 全 体 系 架 构 的 结 构 化 描 述 , 对 模 型 中 功 能 模 块与 安 全 模 块 、 安 全 模 块 间 安 全 相 互 关 系 的 定 义 。 科 学 、 合 理 的 安 全 架 构 可 以 有效 的 指 导 整 个 系 统 具 体 安 全 机 制 设 计 与 技 术 研 发 。5G 安 全 应 打 破 以 往 移 动 通 信 系 统 成 型 后 “打 补 丁 式 ”的 升 级 演 进 模 式 , 与5G 移 动 通 信 技 术 同 步 演 进 , 实 现 系 统 安 全 内 生 与 安 全 威 胁 “标 本 兼 治 ”的 目 标 。为 了 实 现 这 一 目 标 , 5G 安 全 总 体 架 构 ( 以 下 简 称 安 全 架 构 ) 的 设 计 应 具 备 良 好的 弹 性 与 可 扩 展 性 , 并 能 够 满 足 5G安 全 技 术 的 演 进 发 展 需 求 。 4 具 体 而 言 , 对 应 5G 应 用 、 网 络 、 无 线 接 入 、 终 端 、 系 统 等 演 进 带 来 的 新安 全 需 求 , 可 以 从 以 下 五 个 方 面 概 括 5G安 全 总 体 架 构 的 设 计 需 求 :1) 5G 将 渗 透 到 交 通 、 医 疗 、 工 业 等 多 元 化 的 垂 直 行 业 和 领 域 , 并 支 持 人与 人 、 人 与 物 、 物 与 物 间 多 样 化 的 信 息 交 互 。 因 此 , 安 全 架 构 应 面 向 多 样 化 、海 量 的 应 用 与 终 端 , 支 持 统 一 的 身 份 管 理 和 认 证 功 能 , 支 持 多 元 化 的 信 任 关 系构 建 ; 面 向 多 元 化 安 全 需 求 , 支 持 差 异 化 安 全 策 略 与 模 组 的 灵 活 适 配 。2) 随 着 SDN、 NFV、 切 片 等 技 术 的 引 入 , 5G 网 络 呈 现 出 虚 拟 化 、 软 件化 、 开 放 化 等 特 点 。 面 对 这 些 特 点 , 安 全 架 构 应 支 持 高 可 靠 的 虚 拟 化 安 全 技 术( 如 SDN 安 全 、 切 片 安 全 、 VNF 安 全 等 ) ; 支 持 开 放 接 口 调 用 合 规 性 监 管 ,确 保 服 务 与 能 力 的 安 全 开 放 。3) 5G 无 线 接 入 网 具 有 多 类 型 接 入 技 术 融 合 、 超 密 集 组 网 等 特 点 , 并 引 入 了 移 动 边 缘 计 算 ( MEC) 等 新 型 服 务 技 术 。 因 此 , 安 全 架 构 应 支 持 多 类 型 接 入技 术 融 合 统 一 接 入 安 全 管 理 , 并 具 备 MEC内 生 服 务 安 全 能 力 。4) 5G在 丰 富 垂 直 行 业 与 专 用 领 域 的 应 用 , 使 得 5G终 端 类 型 呈 现 多 元 化 。因 此 , 安 全 架 构 应 针 对 多 元 化 终 端 的 安 全 需 求 , 支 持 差 异 化 安 全 策 略 与 模 组 的灵 活 适 配 , 以 及 高 可 信 终 端 安 全 运 行 环 境 构 建 。5) 5G应 用 、 网 络 、 无 线 接 入 、 终 端 等 方 面 的 特 点 , 导 致 5G网 络 的 攻 击 面大 幅 增 加 , 因 此 , 为 了 应 对 潜 在 未 知 安 全 威 胁 , 在 安 全 架 构 中 还 需 要 引 入 能 够对 5G网 络 安 全 态 势 管 理 和 监 测 预 警 的 长 效 手 段 。2.2认证/鉴别与授权认 证 /鉴 别 与 授 权 主 要 包 括 以 下 方 面 的 需 求 : ( 1) 广 泛 网 络 实 体 的 身 份 标 识 支 持 : 在 5G 网 络 服 务 背 景 和 物 联 网 应 用 需求 下 , 用 户 、 机 构 、 网 络 设 备 和 资 源 、 网 络 服 务 等 不 同 种 类 的 网 络 实 体 将 大 量接 入 , 需 要 5G 网 络 对 不 同 类 型 的 实 体 标 识 进 行 广 泛 的 支 持 。 如 何 定 义 网 络 实体 的 身 份 标 识 , 以 及 制 定 相 应 的 身 份 标 识 注 册 和 查 询 机 制 , 是 5G 网 络 服 务 亟待 解 决 的 需 求 之 一 。( 2) 海 量 网 络 实 体 接 入 的 凭 证 支 持 : 身 份 凭 证 是 指 用 于 区 分 网 络 实 体 身 份标 识 的 可 信 依 据 。 5G 网 络 服 务 需 要 为 物 联 网 提 供 海 量 实 体 身 份 凭 证 的 支 持 , 如何 高 效 地 进 行 凭 证 的 生 成 和 验 证 , 并 针 对 网 络 实 体 不 同 的 安 全 能 力 与 安 全 需 求等 级 提 供 可 靠 的 多 级 别 凭 证 服 务 , 都 将 是 5G 网 络 实 体 接 入 凭 证 的 重 要 研 究 问题 。 ( 3) 统 一 的 网 络 实 体 身 份 鉴 别 : 身 份 鉴 别 即 对 网 络 实 体 凭 证 进 行 鉴 别 的 过 5 程 。 5G 网 络 中 需 要 接 入 网 络 用 户 、 网 络 设 备 及 网 络 服 务 等 多 类 网 络 实 体 , 网 络应 用 需 要 对 各 类 实 体 进 行 有 效 身 份 鉴 别 。 由 于 网 络 实 体 身 份 凭 证 的 提 供 方 、 网络 身 份 凭 证 类 型 和 鉴 别 机 制 都 不 尽 相 同 , 为 确 保 网 络 应 用 对 于 网 络 实 体 身 份 的高 效 、 正 确 鉴 别 , 5G 网 络 中 需 研 究 并 提 供 统 一 的 身 份 鉴 别 机 制 或 服 务 , 使 得 网络 实 体 可 以 互 通 互 认 , 同 时 在 鉴 别 过 程 中 有 效 保 护 网 络 用 户 隐 私 信 息 。( 4) 多 元 实 体 间 的 安 全 资 源 授 权 管 理 : 5G网 络 中 , 网 络 实 体 的 广 泛 接 入 ,将 引 发 网 络 应 用 、 网 络 资 源 的 大 规 模 扩 张 , 各 类 网 络 应 用 互 通 协 作 也 将 越 来 越多 , 这 将 带 来 网 络 资 源 跨 应 用 共 享 的 迫 切 需 求 。 如 何 通 过 有 效 的 授 权 管 理 来 保证 网 络 应 用 可 控 、 安 全 地 访 问 特 定 网 络 用 户 网 络 资 源 , 建 立 网 络 身 份 提 供 方 和网 络 资 源 提 供 方 等 众 多 网 络 实 体 间 的 多 元 信 任 , 是 5G 网 络 环 境 下 资 源 共 享 的重 要 问 题 之 一 。2.3接入安全 2.3.1满足多类型终端、多接入技术、多接入类型5G 时 代 要 实 现 万 物 互 联 , 5G 网 络 不 仅 用 于 人 与 人 的 通 信 , 还 用 于 人 与物 、 物 与 物 的 通 信 , 为 此 , 5G 网 络 需 要 支 持 多 样 化 的 接 入 终 端 , 多 种 接 入 类 型和 多 种 接 入 技 术 。 从 终 端 类 型 看 , 分 为 有 卡 终 端 和 无 卡 终 端 。 有 卡 终 端 以SIM/USIM 卡 作 为 用 户 身 份 和 密 钥 载 体 , 具 备 一 定 的 计 算 和 存 储 能 力 ; 无 卡 终端 没 有 内 置 专 用 载 体 存 储 身 份 密 钥 信 息 , 通 常 以 IP 地 址 或 者 MAC 作 为 自 己 的身 份 , 用 数 字 证 书 提 供 安 全 保 障 ; 从 接 入 类 型 看 , 5G 网 络 需 要 支 持 3GPP 接入 , 非 3GPP 接 入 , 可 信 接 入 和 非 信 任 接 入 ; 从 接 入 技 术 看 , 5G 网 络 除 了 支 持5G 新 无 线 接 入 技 术 之 外 , 还 要 兼 容 3G 接 入 、 LTE 接 入 、 WLAN 和 固 定 接 入 等技 术 。 因 此 5G 网 络 是 融 合 了 多 种 类 型 的 终 端 、 接 入 类 型 和 接 入 技 术 的 异 构 型网 络 , 而 不 同 的 终 端 , 不 同 的 接 入 类 型 和 接 入 技 术 存 在 不 同 的 安 全 需 求 , 使 用不 同 的 认 证 协 议 和 密 钥 协 商 机 制 , 5G 网 络 需 要 研 究 构 建 统 一 的 认 证 框 架 来 融 合 不 同 的 接 入 认 证 机 制 , 满 足 具 有 不 同 安 全 能 力 的 终 端 的 安 全 接 入 需 求 。2.3.2满足典型应用场景未 来 5G 网 络 需 要 支 持 三 大 类 典 型 应 用 : 增 强 移 动 宽 带 ( eMBB) 、 海 量 机器 类 通 信 ( mMTC) 和 超 可 靠 低 时 延 通 信 ( uRLLC) 。 这 三 类 应 用 场 景 根 据 各自 的 应 用 特 性 存 在 不 同 的 接 入 安 全 需 求 。eMBB 重 点 是 提 供 超 高 带 宽 , 用 于 满 足 诸 如 虚 拟 现 实 ( VR) 、 大 视 频 等 对带 宽 有 极 高 要 求 的 业 务 。 3GPP 制 定 5G 第 一 阶 段 的 标 准 就 是 为 了 满 足 eMBB 应用 。 eMBB 应 用 的 接 入 安 全 通 过 继 承 和 扩 展 LTE 的 接 入 安 全 机 制 实 现 , 主 要 针 6 对 LTE接 入 下 用 户 首 次 接 入 时 IMSI 采 用 明 文 传 送 存 在 的 安 全 风 险 , 采 取 了IMSI 加 密 传 输 的 机 制 , 另 外 结 合 5G 网 络 架 构 , 进 一 步 增 强 了 密 钥 派 生 机 制 来满 足 各 接 入 层 次 安 全 传 输 的 需 要 。mMTC 应 用 的 主 要 特 点 是 接 入 网 络 的 终 端 数 量 巨 大 , 终 端 无 卡 , 安 全 能 力较 弱 , 功 耗 小 , 资 源 受 限 , 小 数 据 传 送 等 。 按 照 传 统 的 接 入 方 式 , 每 个 终 端 和网 络 之 间 需 要 进 行 多 次 交 互 才 能 完 成 认 证 过 程 , 实 现 网 络 接 入 。 mMTC 应 用下 , 如 果 终 端 仍 然 延 用 传 统 接 入 方 式 , 海 量 终 端 并 发 接 入 网 络 极 有 可 能 产 生 信令 风 暴 , 造 成 网 络 拥 塞 ; 另 外 , 在 接 入 失 败 情 况 下 终 端 不 断 尝 试 重 新 接 入 网 络发 起 认 证 , 这 对 于 低 功 耗 无 人 值 守 的 MTC 终 端 将 加 速 其 电 池 消 耗 。 因 此 需 要研 究 包 括 简 化 认 证 机 制 , 优 化 认 证 协 议 在 内 的 满 足 MTC 设 备 高 效 快 速 接 入 的轻 量 化 安 全 接 入 方 式 。 针 对 物 联 网 传 输 的 是 小 数 据 且 是 零 星 传 送 的 数 据 特 征 ,需 要 为 小 数 据 传 送 建 立 通 道 。 如 果 小 数 据 传 送 的 无 线 网 络 缺 少 安 全 保 护 机 制 , 攻 击 者 就 有 可 能 通 过 访 问 小 数 据 接 口 入 侵 网 络 , 因 此 还 需 要 研 究 针 对 小 数 据 的空 口 传 输 安 全 保 证 机 制 。uRLLC 应 用 对 通 信 可 靠 性 , 低 时 延 有 极 高 的 要 求 , 例 如 车 联 网 、 远 程 医 疗等 应 用 。 网 络 安 全 通 常 与 网 络 性 能 效 率 是 互 为 矛 盾 的 , 增 强 网 络 安 全 防 护 机制 , 必 然 以 牺 牲 网 络 性 能 , 降 低 网 络 效 率 为 代 价 , uRLLC 应 用 也 不 例 外 , 如 果引 入 安 全 机 制 , 就 必 然 会 影 响 业 务 时 延 。 但 是 安 全 对 于 uRLLC 应 用 又 是 不 可 或缺 的 , 如 果 车 联 网 业 务 缺 乏 安 全 机 制 保 护 , 就 会 存 在 交 通 信 息 被 窃 取 或 篡 改 进而 影 响 到 行 车 安 全 甚 至 威 胁 到 生 命 安 全 。 因 此 在 保 证 可 靠 性 和 低 时 延 等 业 务 性能 的 同 时 , 需 要 研 究 uRLLC 的 接 入 安 全 , 研 究 车 联 网 通 信 时 的 身 份 认 证 、 车 辆身 份 信 息 的 保 护 、 数 据 传 输 安 全 等 接 入 安 全 解 决 方 案 。2.4移动边缘计算(MEC)安全2.4.1移动边缘计算(MEC)内涵与特点 移 动 边 缘 计 算 ( Mobile Edge Computing, MEC) 作 为 5G 网 络 新 型 网 络 架 构之 一 , 通 过 将 云 计 算 能 力 和 IT服 务 环 境 下 沉 到 移 动 通 信 网 络 边 缘 , 就 近 向 用 户提 供 服 务 , 从 而 构 建 一 个 具 备 高 性 能 、 低 延 迟 与 高 带 宽 的 电 信 级 服 务 环 境 。MEC的 特 点 概 括 如 下 :共 生 融 合 : MEC 作 为 移 动 通 信 系 统 的 共 生 系 统 , 与 5G 移 动 接 入 网 络 、 回传 网 络 、 市 省 级 核 心 网 络 融 合 部 署 。 MEC 系 统 利 用 基 于 服 务 架 构 ( Service-Based Architecture, SBA) 获 取 5G开 放 服 务 , 并 向 5G网 络 用 户 提 供 边 缘 服务 。 7 按 需 临 近 部 署 : MEC 节 点 可 根 据 应 用 服 务 需 求 按 需 、 分 布 式 部 署 于 移 动 网络 边 缘 的 多 个 位 置 。 这 种 灵 活 、 临 近 的 部 署 方 式 在 为 超 低 时 延 要 求 提 供 保障 的 同 时 也 能 够 降 低 高 带 宽 业 务 的 数 据 流 对 核 心 网 带 来 的 压 力 。虚 拟 化 构 建 : 在 通 用 硬 件 平 台 通 过 虚 拟 化 技 术 构 建 计 算 环 境 , 承 载 来 自 于第 三 方 或 运 营 商 的 MEC 应 用 。 为 了 支 持 MEC 快 速 灵 活 的 部 署 , MEC 节 点可 支 持 与 5G NFV 兼 容 的 虚 拟 化 方 式 , 与 5G NFV同 平 台 部 署 。高 可 协 作 性 : MEC 各 节 点 间 的 应 用 与 服 务 具 有 较 高 的 可 协 作 性 。 不 同 的MEC 节 点 的 应 用 间 能 够 通 过 协 作 的 方 式 向 用 户 提 供 服 务 ( 如 移 动 性 导 致 的服 务 迁 移 ) 。 同 时 , 对 于 具 有 高 可 靠 性 需 求 的 关 键 应 用 , 可 通 过 在 节 点 间进 行 服 务 热 备 和 快 恢 复 , 提 高 系 统 的 应 急 和 容 灾 能 力 。 此 外 , 通 过 在 多 个MEC 计 算 节 点 间 使 用 协 作 的 方 式 执 行 安 全 策 略 ( 如 分 布 式 加 密 ) , 在 降 低 单 个 节 点 的 计 算 量 的 同 时 , 还 能 提 升 策 略 的 安 全 性 。基 于 用 户 信 息 感 知 的 高 质 量 、 个 性 化 服 务 : MEC 应 用 能 通 过 与 5G 网 络 间标 准 化 的 协 议 和 接 口 , 感 知 用 户 信 息 , 并 融 合 信 息 技 术 与 通 信 技 术 提 供 更高 的 用 户 服 务 体 验 。 另 外 , 通 过 对 用 户 信 息 的 进 一 步 挖 掘 , 能 够 提 升 5G边缘 网 络 数 据 的 商 业 价 值 。2.4.2 MEC安全需求 图 1 MEC安 全 需 求 及 内 涵MEC 的 安 全 需 求 总 结 如 图 1 所 示 , 接 下 来 将 对 其 中 MEC 特 有 的 安 全 需 求进 行 详 细 描 述 :( 1) 物 理 设 施 保 护 : MEC 按 需 临 近 部 署 的 特 点 在 为 用 户 提 供 高 质 量 服 务的 同 时 , 也 在 客 观 上 缩 短 了 攻 击 者 与 MEC 物 理 设 施 之 间 的 距 离 , 使 得 攻 击 者 8 更 有 可 能 接 触 MEC 物 理 设 施 , 造 成 MEC 物 理 设 备 毁 坏 、 服 务 中 断 、 用 户 隐 私和 数 据 泄 露 等 严 重 后 果 。 另 一 方 面 , 广 泛 部 署 的 MEC 边 缘 计 算 节 点 同 样 面 临着 各 种 自 然 灾 害 ( 如 台 风 、 冰 雹 ) 和 工 业 灾 难 的 威 胁 。 以 上 因 素 都 可 能 直 接 破坏 MEC 硬 件 基 础 设 施 , 造 成 服 务 的 突 然 中 断 以 及 数 据 的 意 外 丢 失 。 因 此 需 要在 考 虑 性 能 和 成 本 的 基 础 上 最 大 限 度 为 MEC 节 点 配 备 相 应 的 物 理 设 施 保 护 措施 。 ( 2) 安 全 能 力 受 限 下 的 MEC 节 点 安 全 防 护 : 由 于 性 能 、 成 本 、 部 署 灵 活性 要 求 等 多 种 因 素 制 约 , 单 个 MEC 节 点 的 安 全 防 护 能 力 ( 如 可 抵 御 的 攻 击 种类 , 抵 御 单 个 攻 击 的 强 度 等 ) 受 到 限 制 。 因 此 需 要 : 针 对 MEC 节 点 应 用 特 征及 终 端 特 征 ( IoT 终 端 /移 动 智 能 终 端 ) , 有 的 放 矢 地 部 署 相 应 的 安 全 防 护 措施 ; 充 分 利 用 MEC 节 点 的 高 可 协 作 特 性 , 通 过 例 如 基 于 智 能 协 同 的 安 全 防 护等 技 术 , 借 助 周 边 节 点 的 空 闲 安 全 防 护 资 源 , 提 升 单 个 节 点 能 抵 御 的 攻 击 强 度 上 限 。( 3) 扩 展 信 任 模 型 构 建 : MEC 系 统 与 移 动 通 信 系 统 共 生 融 合 的 部 署 方 式扩 充 了 以 往 的 “用 户 分 别 跟 网 络 和 服 务 进 行 认 证 ”的 二 元 信 任 关 系 构 建 模 型 。 需要 构 建 用 户 、 MEC 系 统 、 MEC 应 用 、 移 动 通 信 网 络 两 两 之 间 , 以 及 MEC系 统内 部 的 信 任 关 系 。 具 体 而 言 : 需 要 构 建 MEC 系 统 与 5G 网 络 间 的 信 任 关 系 以 合法 使 用 5G 开 放 网 络 服 务 ( 如 本 地 分 流 ) 向 用 户 提 供 服 务 ; 需 要 构 建 MEC 系 统与 MEC 应 用 间 的 信 任 关 系 防 止 恶 意 应 用 接 管 用 户 服 务 ; 需 要 构 建 MEC 系 统 与用 户 间 的 信 任 关 系 以 确 认 MEC 系 统 和 用 户 的 合 法 性 。 在 MEC 系 统 内 部 , 需 要构 建 MEC 节 点 与 MEC 控 制 器 间 的 信 任 关 系 , 防 止 “伪 MEC 节 点 ”恶 意 接 入 窃取 用 户 和 服 务 信 息 ; 需 要 构 建 MEC节 点 间 的 信 任 关 系 以 支 持 节 点 间 协 作 。( 4) 隐 私 及 数 据 保 护 : MEC“基 于 用 户 信 息 感 知 的 高 质 量 、 个 性 化 服 务 ”的特 点 在 提 供 便 利 的 同 时 也 让 MEC 应 用 不 可 避 免 的 接 触 到 大 量 移 动 用 户 与 设 备 的 隐 私 和 数 据 信 息 , 如 用 户 身 份 、 位 置 、 移 动 轨 迹 等 。 而 对 这 些 信 息 进 一 步 挖掘 后 , 还 得 到 用 户 的 作 息 规 律 、 生 活 习 惯 、 健 康 状 况 等 诸 多 信 息 。 因 此 , 在MEC 隐 私 及 数 据 保 护 中 , 需 要 配 备 相 应 的 隐 私 泄 漏 防 护 措 施 , 严 控 第 三 方MEC 应 用 的 行 为 , 防 止 其 泄 漏 、 滥 用 用 户 的 隐 私 及 数 据 信 息 ; 需 要 通 过 动 态 身份 标 识 和 匿 名 等 技 术 削 弱 MEC 计 算 节 点 标 识 和 地 理 位 置 的 映 射 关 系 , 防 止 第三 方 根 据 MEC 节 点 位 置 推 断 用 户 的 地 理 位 置 ; 需 要 确 保 数 据 在 边 缘 的 安 全 存储 ; 需 要 向 用 户 提 供 隐 私 及 数 据 管 理 服 务 , 确 保 隐 私 策 略 用 户 可 适 配 。2.5切片安全虚 拟 化 是 5G新 架 构 的 一 个 主 要 特 征 。 NFV 是 促 使 5G新 架 构 具 备 虚 拟 化 特征 , 从 而 实 现 5G 网 络 灵 活 性 和 弹 性 等 特 性 的 使 能 技 术 。 NFV 是 2013 年 由 13 9 家 运 营 商 发 起 , 由 ETSI定 义 , 采 用 虚 拟 化 技 术 、 基 于 通 用 硬 件 实 现 电 信 功 能 节点 的 软 件 化 , 打 破 传 统 电 信 设 备 的 竖 井 式 体 系 , 其 核 心 特 征 是 分 层 解 耦 和 引 入新 的 MANO(Management and Orchestration)管 理 体 系 。网 络 虚 拟 化 后 , 传 统 的 网 络 设 备 功 能 将 以 VNF(Virtualized NetworkFunction, 虚 拟 化 网 络 功 能 )的 方 式 运 行 在 NFVI(Network Function VirtualizationInfrastructure, NFV 基 础 设 施 )上 。 NFVI 由 通 用 的 硬 件 资 源 、 虚 拟 化 层 ( 即Hypervisor) 以 及 虚 拟 资 源 ( 虚 拟 计 算 、 虚 拟 存 储 和 虚 拟 网 络 ) 组 成 , 为 实 例 化的 VNF 提 供 计 算 、 存 储 和 网 络 资 源 。 新 增 的 MANO 管 理 体 系 实 现 对 NFVI 的管 理 , 包 括 分 配 虚 拟 资 源 给 VNF, 监 控 和 上 报 虚 拟 资 源 以 及 硬 件 资 源 性 能 以 及故 障 等 。SDN 解 耦 了 设 备 的 控 制 面 和 数 据 面 , 并 且 控 制 面 实 现 集 中 控 制 , 开 放 可 编程 接 口 供 应 用 层 使 用 , 实 现 了 灵 活 的 定 义 网 络 。2.5.1 NFV安全需求 ( 1) NFV 的 安 全 需 求 :VNF 安 全 需 求 : 包 括 对 VNF 软 件 包 进 行 安 全 管 理 ( 如 上 在 前 以 及 更 新时 进 行 完 整 性 验 证 ) 、 对 VNF进 行 访 问 控 制 以 及 进 行 敏 感 数 据 保 护 。NFV 网 络 安 全 需 求 : 包 括 VNF通 信 安 全 需 求 ( 即 VNF通 信 安 全 需 保 证通 信 的 双 方 相 互 认 证 , 并 且 通 信 内 容 需 受 到 机 密 性 、 完 整 性 防 重 放 的 保护 ) 及 组 网 安 全 需 求 ( 包 含 边 界 防 护 、 安 全 域 划 分 以 及 流 量 隔 离 ) 。( 2) MANO安 全 需 求 :MANO 实 体 共 有 的 安 全 需 求 : 包 括 需 对 MANO实 体 进 行 安 全 加 固 , 实现 安 全 服 务 最 小 化 原 则 , 如 关 闭 不 必 要 的 服 务 和 端 口 等 ; 安 装 防 病 毒 软件 , 并 定 期 检 查 、 查 杀 病 毒 以 及 升 级 病 毒 库 ; 需 防 止 非 法 访 问 、 敏 感 信息 泄 露 ; 需 保 证 MANO实 体 所 在 的 平 台 可 信 等 。 MANO各 个 实 体 独 有 的 安 全 需 求 : NFVO遭 受 DDoS/DoS攻 击 ; VNFM和 VIM 可 以 运 行 在 虚 拟 机 上 , 此 时 会 面 临 虚 拟 机 逃 逸 、 虚 拟 机 隔 离 失败 等 虚 拟 化 相 关 的 安 全 威 胁 。MANO 实 体 间 交 互 以 及 MANO系 统 与 其 他 实 体 间 交 互 的 安 全 需 求 : 通信 内 容 需 受 到 机 密 性 和 完 整 性 保 护 以 及 防 重 放 ; 实 体 间 双 向 认 证 。MANO 管 理 安 全 : MANO 系 统 的 需 进 行 账 号 、 权 限 的 合 理 分 配 和 管理 , 实 行 严 格 的 访 问 控 制 , 并 且 启 用 强 口 令 策 略 等 。 1 0 2.5.2 SDN安全需求SDN的 安 全 需 求 主 要 包 括 :应 用 层 的 安 全 需 求 : APP 需 对 控 制 器 的 身 份 进 行 认 证 ; APP和 控 制 器 之间 的 通 信 要 受 到 完 整 性 和 机 密 性 保 护 ; APP 自 身 要 进 行 安 全 加 固 , 防 止安 全 攻 击 。控 制 器 的 安 全 需 求 : SDN 控 制 器 要 具 有 DDoS/DoS 防 护 能 力 或 者 限 速的 能 力 ; SDN 控 制 器 要 实 现 服 务 器 的 安 全 加 固 、 满 足 安 全 服 务 最 小 化原 则 、 关 闭 所 有 不 必 要 的 端 口 和 服 务 , 并 使 用 渗 透 测 试 相 关 的 工 具 ( 包括 nessus, NMAP, Symantec 杀 毒 工 具 , wirshack, webscarab 以 及 BackTrack 等 ) 进 行 安 全 检 查 , 修 复 安 全 漏 洞 ; SDN 控 制 器 需 执 行 策 略 冲 突检 测 和 防 止 机 制 , 避 免 管 理 策 略 和 安 全 策 略 被 绕 行 ; SDN 控 制 器 需 对 接 入 的 APP进 行 身 份 认 证 和 权 限 检 查 。转 发 层 的 安 全 需 求 : 通 过 设 置 ACL, 关 闭 不 要 的 服 务 和 端 口 , 及 时 修补 漏 洞 等 手 段 加 强 转 发 设 备 自 身 安 全 ; 另 外 , 转 发 设 备 具 备 并 开 启 限 速功 能 。南 北 向 接 口 的 安 全 需 求 : 需 进 行 双 向 认 证 , 并 且 通 信 内 容 需 进 行 机 密性 、 完 整 性 和 防 重 放 保 护 ; 需 对 协 议 强 壮 性 进 行 分 析 和 测 试 , 修 复 协 议漏 洞 。2.5.3网络切片的安全隔离需求网 络 切 片 需 要 提 供 不 同 切 片 实 例 之 间 的 隔 离 机 制 , 防 止 本 切 片 内 的 资 源 被其 他 类 型 网 络 切 片 中 网 络 节 点 非 法 访 问 。 例 如 医 疗 切 片 网 络 中 的 病 人 , 只 希 望被 接 入 到 本 切 片 网 络 中 的 医 生 访 问 , 而 不 希 望 被 其 他 切 片 网 络 中 的 人 访 问 。 相 同 业 务 类 型 的 网 络 切 片 之 间 也 存 在 隔 离 的 需 求 , 例 如 不 同 的 企 业 的 在 使用 相 同 业 务 类 型 的 切 片 网 络 时 , 并 不 希 望 本 企 业 内 的 服 务 资 源 被 其 他 企 业 的 网络 切 片 节 点 访 问 。服 务 、 资 源 和 数 据 在 网 络 切 片 中 被 隔 离 保 护 的 效 果 要 达 到 接 近 于 传 统 私 有网 一 样 用 户 感 受 , 这 样 才 能 使 得 用 户 能 放 心 的 将 原 本 存 放 在 私 有 网 络 中 的 应 用数 据 存 放 到 在 云 端 , 用 户 在 享 有 随 时 随 地 可 访 问 私 有 资 源 的 同 时 不 需 要 担 忧 这些 资 源 的 安 全 问 题 , 这 样 才 能 促 进 各 种 垂 直 业 务 的 健 康 快 速 发 展 。当 运 营 商 根 据 业 务 的 不 同 将 网 功 能 分 割 成 不 同 的 网 络 切 片 时 , 需 要 考 虑 是否 进 行 切 片 内 的 认 证 和 授 权 , 以 及 如 何 进 行 切 片 内 的 认 证 和 授 权 。 当 切 片 管 理的 某 些 功 能 开 放 给 第 三 方 时 , 还 需 要 考 虑 哪 些 认 证 和 授 权 功 能 可 以 开 放 给 第 三 1 1 方 , 以 及 由 运 营 商 控 制 的 主 认 证 和 授 权 与 由 第 三 方 控 制 的 二 次 认 证 和 授 权 的 融合 机 制 。2.6数据完整性和机密性在 5G 网 络 中 无 线 空 中 接 口 仍 然 存 在 窃 听 、 篡 改 等 安 全 威 胁 。 在 接 入 网 存在 的 安 全 问 题 主 要 来
展开阅读全文
相关资源
相关搜索
资源标签

copyright@ 2017-2022 报告吧 版权所有
经营许可证编号:宁ICP备17002310号 | 增值电信业务经营许可证编号:宁B2-20200018  | 宁公网安备64010602000642