5G安全技术研究*
2020-08-14田永春康令州
赵 文,罗 敏,田永春,康令州
(中国电子科技集团公司第三十研究所,四川 成都 610041)
0 引言
“4G改变生活,5G改变社会”,5G技术作为实现万物互联的新一代移动通信技术,正将跨行业、跨领域的需求、创新不断融合,为社会带来新的变革。同时,5G网络与业务的安全发展既关乎产业革命的大趋势,也关乎未来人们生产生活的方方面面,已成为 5G 生态的重要组成部分[1]。
1 5G网络特点及安全风险
5G网络具有增强移动宽带(Enhanced Mobile Broadband,eMBB)、高可靠低时延通信(Ultra-reliable and Low Latency Communications,uRLLC)以及海量机器类通信(Massive Machine Type Communication,mMTC)的特性,同时提供了灵活定制、弹性部署的智能网络能力。与3G/4G移动通信网络相比,5G网络将出现更多更密集的小站部署,高可靠低延时的网络保障,大规模的物联网应用等,庞大的设备数量和复杂的接入网络,使得 5G 网络面临更巨大的安全挑战。
(1)终端安全风险
5G 中除了使用传统的手机,uRLLC 和 mIoT(Massive Internet of Things) 场景将引入大量新型终端。智能终端的使用,不可避免地存在恶意程序、固件漏洞、窃听、篡改用户信息等威胁。从用户的隐私角度来看,USIM(Universal Subscriber Identity Module,全球用户识别卡)中的信息不仅标识了用户而且提供了用户更多的隐私信息,攻击者可以通过这些信息自动地追踪用户,伪造、篡改用户隐私信息,非法侵扰、知悉、收集隐私信息等。
(2)无线接入安全风险
与3/4G类似,5G接入也存在着伪基站的可能,对终端—5G网络之间的信令、业务交互构成安全威胁,需要在5G接入网络中引入安全机制予以规避。MEC(Mobile Edge Computing)边缘节点也可能因为存在漏洞被攻击者所控制,对5G边缘计算过程中的信息安全造成威胁,从而形成窃听,或者假冒终端或MEC节点向核心网发起DDoS攻击。
(3)网络安全风险
5G采用软件定义网络SDN(Software Defined Network)、网络功能虚拟化NFV(Network Function Virtualization)技术对所有网元进行虚拟化,使网络功能不再依赖于专用硬件,资源可灵活共享,向第三方开放部分管理运维功能。但是将虚拟网元逻辑组成网络切片的方法可能存在漏洞,网络能力开放过程或者5G运维系统可能存在漏洞;利用这些漏洞,可实施窃听、干扰等攻击,严重时可中断、瘫痪5G核心网的正常运行,造成安全风险。
(4)移动应用安全风险
不同垂直行业的不同移动业务应用将运行在5G网络之上,其中业务应用服务器可能存在漏洞,服务器提供的API接口可能存在漏洞,如这些应用层面的漏洞被攻击者利用,可造成应用数据的非授权访问及泄露,威胁垂直行业用户的企业信息安全。
2 5G网络安全技术分析
2.1 5G安全技术框架
5G安全总体架构的研究相对较少,3GPP R15发布了TS 33.501[2]标准中提出的5G安全架构,从网络接入域安全、网络域安全、用户域安全、应用域安全、基于SBA的信令域安全、安全的可视性和可配置性六个方面描述了5G安全网络面临的安全问题及研究领域。
国内的IMT-2020发布的《5G网络安全需求与架构白皮书》中[3]提出了5G安全架构,认为5G网络架构中的重要特征包括NFV/SDN、切片以及能力开放,5G需要提供统一的认证框架,支持多种接入方式和接入凭证;提供按需的安全保护满足多种应用场景中的终端设备的生命周期要求、业务的时延要求;提供隐私保护,满足用户隐私保护以及相关法规的要求等。
2.2 终端安全技术
(1)数据加密技术
对终端用户的数据加密是解决终端安全性问题最有效的手段之一。5G移动通信里沿用了4G所采用的AES(Advanced Encryption Standard,高级加密标准)、3GPP流密码算法、祖冲之算法,这些算法目前已被业界证明是安全的。但随着越来越多的用户群体加入,特别是一些特殊行业(如国防、政务、关键行业等)用户群体的加入,既有的128bit密钥将不能完全应对攻击者的破译威胁,一方面,需要考虑用户数据及信令数据的加密保护,包括端到端的加密,数据的存储加密等,另一方面考虑使用更长的密钥或者对用户的密码算法更换,应获得更好的安全效果。
(2)隐私保护技术
用户隐私保护也是对终端安全应当考虑的重要问题。针对用户首次向网络认证时在空口上传明文SUPI(SUbscription Permanent Identifier,用户永久标识符)的问题,3GPP中是通过非对称密码保护SUPI,生成并在空口上使用SUCI(SUbscription Concealed Identifier,用户隐藏标识符),以便于保护用户的签约身份标识。对于特殊行业用户,除了在不改变原有接口及协议流程的基础上,通过采用定制化的密码增强方案提高特殊行业用户的安全性,还可以通过对特殊行业用户的SUPI进行跳变,避免攻击者通过攻击公网中拜访网络网元获取用户SUPI,并进一步获取用户相关隐私信息及对用户进行持续性攻击,提供特殊行业用户隐私保护安全。
2.3 无线接入安全技术
无线接入安全主要由用户设备(User Equipment,UE)、接入网(AccessNetwork,AN)和核心网(Core Network,CN)中的各功能实体配合完成的,实现UE安全接入5G网络。
接入网主要包括多种接入技术的相关设备及功能,如eNB、gNB、AP/AC等,为UE提供无线信号接入,并为UE和接入网设备之间的控制面信令及用户面数据提供完整性和机密性保护。
与5G无线接入安全相关的核心网网元主要包括控制面功能单元(Core Network-Control Plane CNCP)、认证服务器单元AUthentication Server,AUS)和核心网用户网关(User Plane-Gateway,UP-GW)等,其中CN-CP终结来自UE的信令,并且在UE成功接入网络后,通过推衍UE和CN-CP之间的信令的完整性、机密性保护密钥,实现对UE和核心网之间信令的安全防护;UP-GW能够终结来自UE的用户面数据,通过推衍UE和UP-GW之间的用户面数据的完整性、机密性保护密钥,实现对UE和核心网之间用户面数据的安全保护。
2.4 网络安全技术
(1)基于切片安全隔离技术
网络切片是5G特征,通过切片构成端到端的逻辑网络,以安全资源虚拟化、软件定义安全、安全能力开放共享、多元化信任以及多等级安全等功能为垂直行业与特殊行业等应用提供定制化、差异化的安全能力。
针对普通公众用户,将运营商提供的5G网络基础设施中的网络功能与安全功能通过切片编排策略(Management ANd Orchestration,MANO),并生成网络切片;而针对高安全高保密业务要求的特殊行业用户,则需要将运营商的部分网络功能与安全功能、特殊行业的部分增强网络功能、定制化安全保密功能通过MANO编排到同一个网络切片中。通过对不同的切片进行可信安全隔离,建立切片内的安全通道,确保数据传输的机密性、完整性以及防重放攻击等。通过切片内与切片间的数据转发与边界控制机制,实现切片间数据的安全转发,并实施基于安全策略的数据流控制,防止非法或未授权数据流的越界。
通过网络切片的安全隔离,构建一个独立的安全资源通道,以达到不同切片之间私有数据、网络资源、安全资源的隔离,从而防止数据的流动,资源的侵占,以避免用户信息的泄漏。
(2)多层次安全防护技术
5G网络的安全保护应当是一个多层次的安全体系保护,对终端的用户数据与信令数据定义了进行机密性、完整性的保护措施。
在5G网络网元实体交互的安全通信中,实施对信令交互过程的完整性、身份认证等保护,以适合5G网络功能虚拟化、按需服务等条件下的动态灵活、易管理的信令保护协议需求,以实现网元之间高效安全的交互。
对于定制化的网络切片应用,如特殊行业应用,提供基于网络层安全加密;还可以通过对业务层面进行应用层加密,以增强的行业应用的安全性。在不同层次的加密方案中,可以对加密算法进行针对性的替换,以获得更好的安全效果。
2.5 安全管理
(1)统一认证管理
5G网络中统一了不同终端的入网主认证体制,并给出了将可扩展认证协议(extensible authentication protocol,简称EAP)框架。EAP是一个可以灵活封装各种认证协议的统一认证框架,支持AP-PSK,EAP-TLS,EAP-AKA等多种认证协议[4]。对于特殊行业用户,可以采用AKA(Authentication and Key Agreement)认证机制,进行终端和网络的双向认证。在认证过程中,终端和服务网络均随机产生一个安全密钥,用于派生出加密和完整性保护的密钥,对用户接入的安全性进行保护,并结合用户SUPI跳变隐藏,为用户提供高强度入网认证。
在3GPP 标准介绍了二次认证的流程,但对具体使用哪种认证方式并未做出明确的规定。因此,可以通过定制不同的安全策略,对一般用户和特殊行业用户进行不同安全等级的二次认证。二次认证模型如图1所示。
图1 二次认证模型
对于一般终端用户,入网主认证通过后,还需要完成与AAA((Authentication、Authorization、Accounting,认证授权计费)服务器之间的二次认证,然后才能接入用户的数据网络。
对于特殊行业用户,可以利用5G的开放性特征,部署行业自定义的AAA,采用定制的二次认证算法和协议,实现行业自主可控的二次身份认证功能[5]。
(2)统一信任服务
统一信任服务主要基于多元信任管理与传递模型,通过统一身份信息管理设施、多元信任模式下的身份认证服务、设备交互授权管理、单点登录和安全行为审计与管理、安全应用中间件等技术,根据不同业务不同行业的用户需求,建立统一信任服务,实现5G网络用户对5G承载业务的“一次认证,全网通行”。
3 结语
5G作为新一代移动通信网络基础设施,在网络架构、技术体制等方面与4G相比发生了巨大变化,虽然5G网络在体系架构上有针对性进行了安全性设计,但对于不同的行业应用仍然需要差异化安全设计。本文通过对5G网络主要安全技术的分析,提出了一些针对特殊行业用户的安全性增强措施,有助于构建更加安全的5G行业应用。随着5G的更广泛应用,还需要进一步研究轻量级认证算法、网络切片安全隔离、低时延多层级加密等关键技术,实现5G网络在行业的真正安全使用。