其他
三个锦囊 剖析5G安全难题
上一篇我们讲了
5G面临的威胁和端到端安全挑战
今天,启明星辰的专家们
从三个视角深度分析
如何解决5G端到端安全问题
共同徜徉5G安全的智慧海洋~
1
讨论5G安全需要从两个维度入手。第一个维度是5G网络侧,也就是说保护5G平台本身。第二个重要的维度是产业侧,也就是说采取特定的安全方法和机制来保护那些5G所承载的垂直行业业务应用服务。
在这两个维度之上建立起5G安全的整体和全局视角,然后根据定位的不同再聚焦自己所关注的安全问题,显得更加有的放矢。具体内容如下图所示:
5G自身安全和产业侧安全相融合
5G安全对当前的安全技术和安全机制提出了新挑战和新要求,需要重点关注网络侧和产业侧相融合的安全问题,需求新的解决方法,对新技术加以研究学习和应用,同时获得专项预算支持。
2
这里简介看待5G安全的另一个视角,也就是软件定义安全和安全能力服务化视角。这个视角的主要特点表现为如下所列的“四化”安全能力。
1)安全能力定制化(Customized):安全能力可编程、可软件定义,具备开放性和敏捷性特点。2)安全功能模块化(Modularized):安全功能原子化、模块化,能够按需组合,更好地适配5G垂直行业的业务特点和安全诉求。3)基础架构虚拟化(Virtualized):根据3GPP、ITU等标准化组织的设计,在第二阶段和第三阶段中,5G网络的虚拟化、云化、软件化和可编程编排的应用会越来越多,NFV和SDX成为常态。与之相适配的安全能力也需要采用虚拟化架构,逻辑单元能够动态配置,安全能力可编排,使安全能力对云更加适应与友好。4)安全管理集中化(Centralized):集中管理、协调和编排安全能力,安全能力可调度、可编排、可软件定义。
5G安全能力服务化和软件定义安全SDS
分层跨域端到端E2E主动安全视角
看待5G安全的第三个视角是端到端的主动安全。需要考虑5G端到端的整体架构以确保5G网络的安全性。端到端(E2E)的5G网络架构由下一代无线接入网络(NG-RAN或CloudRAN)、多接入边缘计算(MEC),核心网络(Core)、数据网络(DN)和云服务组成。如前面所述,网络切片(NS)、网络功能虚拟化(NFV)、NFV管理和编排(MANO)和软件定义网络(SDN)是实现5G网络架构的重要技术。具体内容如下图所示:
分层分域端到端的安全的设计关键是基于5G网络架构和安全参考模型,覆盖如下几个方面的内容:
1)物理基础设施安全。2)接入和传输网安全。主要包括用户和设备(UE)安全、空口安全、接入和传输安全等。3)边缘云安全MEC安全。UPF下沉、MEC系统平台安全、边云协同安全、UPF和MEC的集成和分离安全性等。4)核心网络安全。SBA安全性、漫游安全性、异构运营商5G网络边界安全性等。5)端到端网络切片安全。切片内、切片间的安全隔离,切片管理器的安全性,切片实例选择安全性、切片管理接口安全性、跨切片的UE数据安全性、切片与其承载物理基础设施间的认证与信任机制等。6)SDN、NFV、云和虚拟化的安全性。7)数据安全和隐私保护。数据生命周期安全,包括5G数据采集、存储、传输、共享交换、使用和销毁的安全性,构建数据资产图谱和数据安全能力地图并防止敏感信息泄露。8)安全运维、管理和编排。打通南向接口和北向接口,将安全能力“解构解耦”,按需通过软件定义将安全能力“结构”,可基于服务链编排。5G网络需要利用全面的端到端安全策略,该策略应覆盖网络的所有层,包括应用程序,信令和数据平面。9)接口安全。10)统一认证框架。根据所承载和服务行业的安全认证需求,可以基于统一认证框架,采用二次认证或分布式认证相结合,采用轻量级认证机制和算法,更好地适配接入业务的属性特点,发挥5G的优势。
展望和后续工作
本文重点从三个视角来探讨如何解决5G端到端的安全问题,因为端到端的架构需要端到端的安全与之相适配。5G安全问题的三个视角侧重于威胁和评估基础上的整体和体系化地解决问题,这次仅给出了思路和概要,尚不能构成完整的解决方案。
从整体视角看待5G端到端的安全,并不意味着反对从某个具体场景或具体应用的角度给出单一解决方法。因此,准备从三个方面展开后续工作,一是根据具体需要选择其中一个视角,给出完整和详细的解决方案;二是根据具体需要,形成技术专题解决方案,比如5G网络切片安全解决方案等;三是聚焦5G专网(如园区网)场景,结合实验,形成5G园区网专网安全解决方案或报告。
往期相关文章链接1、不知风险 何谈5G?
•
END
•