C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

亚星游戏官网-yaxin222  副版主

注册:2009-4-28455
发表于 2019-5-7 14:20:31 |显示全部楼层
摘要

多样化的场景、接入方式以及新型网络架构,给5G网络安全带来了新的需求和挑战。从5G网络的安全威胁分析入手,分析了NFV、SDN、云计算、网络切片、异构接入的安全需求,提出了接入安全域、核心安全域、业务安全域与管理安全域的安全部署策略,对5G网络安全部署架构进行了探讨。

关键词

5G网络;部署;安全

0  前言

当前,全球5G网络部署的步伐不断加速,国内运营商积极开展5G内外场功能验证和规模组网试验。5G技术发展演进,5G移动技术与IT技术不断融合,带来了网络架构的变革,使得网络能够灵活地支撑多种应用场景。网络架构的演进及业务的创新,为5G网络安全带来了新的需求和挑战。

从5G网络的安全威胁分析入手,分析5G网络安全需求,在此基础上对5G网络安全部署进行探讨。

1  5G网络安全威胁分析

1.1 5G网络基础设施

1.1.1 NFV

NFV的引入使5G网络具有网元功能App化、资源共享、部署集中化的特点,这些特点导致传统网络安全发生了变化。网元功能App化使传统硬件网元设备物理边界消失,App安全问题突出;计算、存储及网络资源共享化,把虚拟机安全、虚拟化App安全和数据安全等问题引入移动网络;部署集中化使病毒传播速度加快,此外,攻击者可能利用通用硬件漏洞发起攻击。

1.1.2 SDN

SDN使设备的控制面和数据面解耦,控制面实现集中控制,开放可编程接口供应用层使用,实现了灵活的定义网络。

集中控制使安全威胁由转发面转移到控制面,控制器安全风险增大,一旦控制器受到攻击,整个SDN网络都会受到影响,甚至瘫痪。由于采用标准化的接口和统一的协议,更容易被攻击者利用进而发起攻击;应用层开放可编程的特性加大了攻击者通过App进行攻击的风险。

SDN安全威胁主要来源于应用层、控制层、数据层以及南向和北向接口,如图1所示。

640?wx_fmt=png
图1    SDN安全威胁

1.1.3 云计算

5G网络应用云计算技术,面临的安全威胁包括:

a) 传统安全问题。虚拟化App同样面临传统网络安全问题,如访问控制、安全隔离、操作系统/应用程序的漏洞攻击、防病毒/恶意代码等。
b) 虚拟化引入新的安全问题。虚拟化技术的引入带来了新的攻击面,如虚拟化AppVM、虚拟化管理AppVMM等;由于传统安全设备对虚拟化网络流量不可见,虚拟化网络流量安全问题可能存在;用户对其本身的数据控制能力减弱,数据及隐私安全保护要求提高。

1.2  网络切片

在5G网络中引入网络切片技术,可实现灵活的资源编排和调度,为不同业务类型提供差异化的服务能力。网络切片面临的安全威胁主要包括:

a) UE访问未经授权的网络切片。
b) 网络切片密码泄漏,导致攻击者获取其他网络切片的数据。
c) 越权进行网络切片运维。
d) 非法占用资源影响其他网络切片,导致资源过度消耗的DDoS 攻击。
e) 当1个终端同时用2个切片时,攻击者从1个切片获取另1个切片信息等。

1.3  异构接入网络

5G网络兼容多种异构接入方式,包括3GPP接入和非3GPP接入,异构接入网络带来的安全威胁包括:

a) 接入性能问题。不同的接入技术可能使用不同的认证机制,如WLAN、蜂窝、D2D的认证机制各不相同。使用不同认证机制的终端接入网络后,核心网需对不同认证机制采取不同的安全信息管理(如认证信息),由此产生的资源开销,将影响终端接入网络的性能。
b) 不同接入网络间切换时的安全性问题。终端在不同的接入网之间进行切换,不同网络的认证机制、安全等级可能不同。攻击者如从较低安全等级的网络接入后,切换至较高安全等级的网络,则可能获取到不应获得的敏感信息。

2  5G网络安全需求分析

2.1  网络基础设施安全

2.1.1 NFV

NFV的安全需求主要包括:

a) VNF安全。VNFApp包安全管理;访问控制,敏感数据保护。
b) NFVI安全。保障虚拟机及其管理器安全。
c) NFV网络安全需求。通信双方相互认证,对通信内容进行保护;边界防护、安全域划分及流量隔离等。
d) MANO安全需求。MANO实体安全加固,防止敏感信息泄露;安装防病毒App;实体间双向认证,保护通信内容;严格配置MANO系统账号与管理权限。

2.1.2 SDN

SDN的安全需求主要包括:

a) 应用层的安全需求。APP对控制器身份进行认证;APP和控制器之间的通信保护;APP自身安全加固。
b) 控制器的安全需求。具备DDoS/DoS防护能力;服务器安全加固,满足安全服务最小化原则;实行策略冲突检测和防止机制;对接入的APP进行身份认证和权限检查。
c) 转发层的安全需求。满足安全服务最小化原则;具备限速功能。
d) 南北向接口的安全需求。双向认证;对通信内容进行机密性、完整性和防重放保护;对协议强壮性进行分析和测试,并修复漏洞。

2.1.3 云计算

a)虚拟机安全需求。病毒/恶意App入侵防护;虚拟机之间隔离;虚拟机之间通信安全,迁移安全,镜像存储安全;虚拟机访问控制等。
b)虚拟机管理器(VMM)安全需求。代码可靠性;病毒入侵防护,防止非法访问;安全配置和管理等。
c)虚拟化网络安全。结合虚拟化后的网络拓扑,重建网络安全域;判断虚机之间的流量通信是否符合安全策略,判断是否存在网络攻击;虚拟机网络始化时实现网络安全策略的自动部署,虚拟机迁移时,保证迁移前后网络安全配置环境一致。

2.2  网络切片安全

网络切片安全需求主要包括:

a) 网络资源隔离,不同切片采用不同密钥。
b) 切片ID验证,避免未经授权的切片访问。
c) 不同切片使用不同Key加密传输,防止Key泄露引发的切片攻击。
d) BSS/OSS系统和切片管理系统分离,切片运维权限受控。
e) 运维审计,操作可追溯。
f) 对合法用户异常行为进行抑制,限制接入,强制下线。

2.3  异构接入安全

a) 统一认证机制。5G网络兼容多种异构接入方式,包括3GPP接入和非3GPP接入,因此,5G网络需构建兼容多种认证机制的统一认证框架。

b) 安全互操作。终端可能在异构网络间进行切换,需保证异构网络间切换的安全互操作,如安全上下文的传递、密钥的更新、安全上下文的隔离等。

3  5G网络安全目标及部署

3.1  总体目标

5G网络安全总体目标包括:

a) 保障通信及数据安全。提供机密性及完整性保护;提供增强的隐私保护,保护用户隐私。
b) 保障异构接入安全。提供统一认证框架,支撑多种接入方式和接入凭证,保障终端设备安全接入网络。
c) 保障新型网络架构安全。提供SDN/NFV安全机制;提供网络切片安全机制。
d) 支撑差异化安全。提供按需的安全保护,满足多种应用场景的差异化安全需求。
e) 开放安全能力,保障能力开放安全。支撑数字身份管理、认证能力等的安全能力开放;提供全面的安全机制。

3.2  安全部署架构

如图2所示,5G网络安全部署架构划分为接入安全域、核心安全域、业务安全域与管理安全域。

640?wx_fmt=png
图2   5G网络安全部署架构

3.2.1 接入安全域

由于该域处于用户侧网络环境之中,为保障网络和业务的安全性,应重点保证用户鉴权功能的可用性,对用户数据和信令进行保护。

3.2.2 核心安全域

该域需要与内外部业务平台对接,因此要做好入侵检测、攻击防御、数据保护等工作,同时针对该域的云化、App化特性也需要对集中控制器、南北向接口等进行重点防护。

考虑非安全区域小基站通过安全网关接入核心网域,安全网关在核心网域进行部署,与基站之间通过双向认证后建立并管理IPSec隧道,通过该安全隧道,为无线侧与核心网之间控制面信令、用户面数据提供完整性和机密性保障,从而实现安全接入。

3.2.3 业务安全域

该域包括能力开放平台、自营及第三方业务平台等,因此既要防护网络侧对业务的攻击和滥用,也要防止利用平台和应用对网络发起的攻击。

在该域各类平台中部署病毒防护、漏洞扫描等软硬件,并对相关业务操作进行认证、授权及审计。同时,通过核心网域的防火墙与核心网域实现对接,有效进行安全隔离和访问控制。

3.2.4 管理安全域

管理安全域主要包括运营系统,其防护策略与平台类防护类似,在该域各类平台中部署病毒防护、漏洞扫描等软硬件,并对相关操作进行认证、授权及审计。

4  结束语

多样化的场景、接入方式以及新型网络架构,使5G网络除满足基本通信安全外,也能为不同业务场景提供差异化安全服务,适应新型网络架构及创新业务模式。本文研究分析了5G网络面临的主要安全威胁,分析了NFV、SDN、云计算、网络切片、异构接入的安全需求,在此基础上,提出了接入安全域、核心安全域、业务安全域与管理安全域的安全部署策略,对5G网络安全部署架构进行了探讨。

参考文献

[1]     IMT-2020. 5G网络安全需求与架构(白皮书)[R/OL].[2019-01-13]. http://www.txrjy.com/forum.php?mod=viewthread&tid=966155&highlight=.
[2]    Overview of 5G securitytechnology[J]. Science China(Information Sciences),2018,61(8):107-131.
[3]   王全方,琰崴. 5G电信云网络安全解决方案[J]. 邮电设计技术. 2018(11).
[4]    李宏佳,王利明,徐震,等.5G安全:通信与计算融合演进中的需求分析与架构设计[J]. 信息安全学报,2018(9).
[5]    杜滢,朱浩,杨红梅,等.5G移动通信技术标准综述[J]. 电信科学,2018(8):2-9.
[6]    尤肖虎,潘志文,高西奇,等.5G移动通信发展趋势与若干关键技术[J]. 中国科学:信息科学,2014,44(5):551-563.
[7]    3GPP. Study onArchitecture for Next Generation System:3GPP TR 23.799[S/OL].[2019-01-13]. https://portal.3gpp.org.
[8]    3GPP. System architecturefor the 5G System;Stage 2:3GPP TS 23.501[S/OL].[2019-01-13]. https://portal.3gpp.org.
[9]    3GPP. Study on thesecurity aspects of the next generation system:3GPP TR 33.899[S/OL].[2019-01-13]. https://portal.3gpp.org.
[10]     3GPP. Securityarchitecture and procedures for 5G system:3GPP TS 33.501[S/OL].[2019-01-13]. https://portal.3gpp.org.
[11]     3GPP. Study on Enhancementof Network Slicing:3GPP TR 23.740[S/OL].[2019-01-13]. https://portal.3gpp.org.
[12]     3GPP. Study on securityaspects of 5G network slicing management:3GPP TR 33.811[S/OL].[2019-01-13]. https://portal.3gpp.org.
[13]     3GPP. Study on securityaspects of network slicing enhancement:3GPP TR 33.813[S/OL].[2019-01-13]. https://portal.3gpp.org.
[14]     3GPP. Architectureenhancements for service capability exposure:3GPP TR 23.708[S/OL].[2019-01-13]. https://portal.3gpp.org.
[15]     3GPP. Study on evolutionof cellular IoT security for the 5G System:3GPP TR 33.861TR33.861[S/OL].[2019-01-13].https://portal.3gpp.org.
[16]     3GPP. Study on securityaspects of the 5G Service Based Architecture:3GPP TR 23.742[S/OL]. https://portal.3gpp.org.
[17]  黄开枝,金梁,赵华. 5G安全威胁及防护技术研究[J].  邮电设计技术. 2015(6).

编辑概况

高枫,高级工程师,主要研究方向为移动通信网安全。
马铮,高级工程师,主要研究方向为移动通信网安全、移动互联网安全相关领域。
张曼君,高级工程师,博士,主要从事网络安全技术相关研究工作。
张小梅,工程师,主要从事网络安全技术相关研究工作。
丁攀,助理工程师,主要从事网络安全技术相关研究工作。

举报本楼

本帖有 1 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-19 23:26 , Processed in 0.354865 second(s), 18 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图