5G萬物互聯(lián)的時代即將到來需要重構(gòu)5G安全架構(gòu)
5G網(wǎng)絡(luò)“高速率、低時延、海量連接”的特點,為個人移動通信帶來優(yōu)質(zhì)體驗的同時,還為各領(lǐng)域提供了重要的基礎(chǔ)通信服務(wù),為傳統(tǒng)行業(yè)的發(fā)展注入了新的動力,尤其在無人駕駛、工業(yè)控制、智慧城市等方面將大放異彩。信息網(wǎng)絡(luò)和垂直行業(yè)的深度融合,注定了5G時代信息安全問題將更加復(fù)雜多變。
全國政協(xié)委員、中國聯(lián)通研究院院長張云勇
信息安全的前提是核心技術(shù)必須掌握在自己手中。但是,從美國對中興通訊出口管制、將華為公司列入管制實體名單等事件中,反映出我國在信息核心技術(shù)領(lǐng)域還存在很多短板。隨著5G商用全面展開,我國必須加強自主芯片、操作系統(tǒng)、安全架構(gòu)等基礎(chǔ)核心技術(shù)的研發(fā),依托核心創(chuàng)新能力,統(tǒng)籌推進研發(fā)、標(biāo)準、產(chǎn)業(yè)的協(xié)同創(chuàng)新,形成支撐產(chǎn)業(yè)升級的自主創(chuàng)新能力,真正實現(xiàn)網(wǎng)絡(luò)強國。一方面需要依托國家頂層設(shè)計和支持力度,整合優(yōu)勢資源,探索合作機制,持續(xù)迭代以適應(yīng)不斷發(fā)展的技術(shù)和使用需求,提升國家自主創(chuàng)新能力。另一方面,核心技術(shù)需要通過國家指導(dǎo)下的重點領(lǐng)域產(chǎn)業(yè)化應(yīng)用,培育產(chǎn)業(yè)鏈和應(yīng)用生態(tài),使技術(shù)真正成為國之重器。
無處不在的安全需求
5G網(wǎng)絡(luò)可以提供增強移動寬帶(eMBB)、低功耗大連接(eMTC)、低時延高可靠(uRLLC)三大類應(yīng)用場景服務(wù)。5G網(wǎng)絡(luò)的特點是內(nèi)網(wǎng)和外網(wǎng)的邊界變得越來越模糊,網(wǎng)絡(luò)泛化成為一個大趨勢,需要重構(gòu)5G安全架構(gòu)。5G也是萬物互聯(lián)的時代,安全問題也越來越復(fù)雜,尤其是金融、醫(yī)療、交通等應(yīng)用場景對5G網(wǎng)絡(luò)安全性要求極高。安全需求無處不在,保障信息安全是發(fā)展5G的基本前提。
需求一:多應(yīng)用場景的安全需求
與前幾代移動通信網(wǎng)絡(luò)相比,5G網(wǎng)絡(luò)在速率、時延、連接數(shù)量等方面都有巨大飛躍,可滲透到國民生產(chǎn)生活的各個領(lǐng)域。5G的三類應(yīng)用場景在速率、連接、時延等方面需求差異很大,因此也產(chǎn)生了差異化的安全需求。
增強移動寬帶業(yè)務(wù),主要體現(xiàn)為高帶寬需求,此場景下終端與網(wǎng)絡(luò)需要進行大量的數(shù)據(jù)交互,例如VR、AR和高清視頻等。這類業(yè)務(wù)需要對用戶和業(yè)務(wù)的關(guān)鍵信息進行重點加密,并對信息傳輸采用統(tǒng)一加密方式進行安全管理。
低功耗大連接業(yè)務(wù)主要特點是終端設(shè)備多樣化、設(shè)備數(shù)量海量化、接入方式多元化,例如智慧城市、智慧農(nóng)業(yè)、共享經(jīng)濟等。這類業(yè)務(wù)安全需求較低,可采用統(tǒng)一加密方式進行安全管理,重點平衡安全管理與海量接入間的關(guān)系,提升設(shè)備接入使用的高效性。
低時延高可靠業(yè)務(wù)主要體現(xiàn)為業(yè)務(wù)對低時延和高可靠性的雙重要求,如車聯(lián)網(wǎng)的自動駕駛和輔助駕駛等遠程控制業(yè)務(wù)。這類業(yè)務(wù)涉及生命財產(chǎn),需要在保證高級別的安全保護措施下,不額外增加通信時延,需要重點優(yōu)化業(yè)務(wù)接入過程中身份認證的時延、數(shù)據(jù)安全保護傳輸帶來的時延。
需求二:多接入設(shè)備的安全需求
5G作為革新的通信網(wǎng)絡(luò),接入設(shè)備是多種多樣的。由于設(shè)備接入形式和應(yīng)用場景不同,安全需求也不同。
在通用業(yè)務(wù)場景中,5G業(yè)務(wù)需具備接入認證、數(shù)據(jù)機密性保護、用戶隱私保護等通用安全特性。
在垂直行業(yè)應(yīng)用中,不同的接入設(shè)備有其特殊的安全需求。例如自動駕駛應(yīng)用領(lǐng)域,車輛的移動性特點需要其隨時接入多種網(wǎng)絡(luò),業(yè)務(wù)邏輯復(fù)雜,安全性要求非常嚴格。此時,5G網(wǎng)絡(luò)“異構(gòu)多層無線接入”特性需提供多種網(wǎng)絡(luò)接入認證機制、密鑰切換機制等,以保證自動駕駛的安全性。
在一些涉及政府、國防、安全、科研、軍隊等重要行業(yè)領(lǐng)域,接入設(shè)備的安全性要求更加嚴苛。例如涉及國家秘密的重要通信領(lǐng)域,除了提供通用的安全認證機制之外,還需從接入終端的安全架構(gòu)、終端芯片、操作系統(tǒng)、密碼算法、認證機制等方面提供端到端的安全可信計算環(huán)境。
需求三:多商業(yè)模式的安全需求
5G網(wǎng)絡(luò)不僅要滿足超高流量密度、超高連接數(shù)密度、超高移動性的需求,還將為垂直行業(yè)提供通信服務(wù)。因此,5G時代,勢必會出現(xiàn)全新的網(wǎng)絡(luò)模式和通信服務(wù)模式,跨界運營將成為業(yè)務(wù)運營的常態(tài),傳統(tǒng)意義的網(wǎng)絡(luò)設(shè)備和終端的概念將會發(fā)生改變,各類新型終端以及業(yè)務(wù)形式的出現(xiàn)將會帶來不同態(tài)勢的安全需求。
這種情況下,現(xiàn)有移動通信系統(tǒng)“用戶—終端—運營商”式的簡單可信模式不能滿足5G時代各類新興的商業(yè)模式,需要對可信模式進行變革,以應(yīng)對相關(guān)領(lǐng)域的擴展型需求。例如,自動駕駛業(yè)務(wù)需要人、車、路、氣候等多方面的數(shù)據(jù)融合,需要建立安全、智能的運營體系,在提供超凡業(yè)務(wù)體驗的同時,需要構(gòu)建不同的安全服務(wù)流程、數(shù)據(jù)隱私保護機制等,來支撐創(chuàng)新的商業(yè)模式。
主動防御筑牢信息安全屏障
5G時代,垂直行業(yè)與移動網(wǎng)絡(luò)的深度融合,催生了網(wǎng)絡(luò)架構(gòu)的發(fā)展和安全需求的爆發(fā),帶動了傳統(tǒng)行業(yè)的深刻變革。當(dāng)前是5G技術(shù)、標(biāo)準以及產(chǎn)業(yè)運用蓬勃發(fā)展的重要時期,需要緊緊抓住發(fā)展機遇,統(tǒng)籌解決5G網(wǎng)絡(luò)落地商用階段遇到的各方面問題,全方位地推進5G產(chǎn)業(yè)發(fā)展,筑牢信息安全屏障。
場景1:新業(yè)務(wù)場景安全服務(wù)
5G網(wǎng)絡(luò)三大應(yīng)用場景的業(yè)務(wù)在速率、連接、時延等方面需求差異很大,安全服務(wù)需求也各不相同,針對這三類場景,需要分類別差異化地提供網(wǎng)絡(luò)安全服務(wù)。
在增強移動寬帶應(yīng)用場景下,為用戶提供高速上網(wǎng)體驗的同時,網(wǎng)絡(luò)需具備更快的安全反應(yīng)和處理能力,對惡意攻擊進行快速反應(yīng),及時修補漏洞避免更大的安全風(fēng)險;同時,由于5G網(wǎng)絡(luò)的開放性特征,為了更好地實現(xiàn)業(yè)務(wù)跨界融合,需要支持外部網(wǎng)絡(luò)的二次認證,提供更安全的服務(wù)。
在高密度大連接業(yè)務(wù)場景下,由于物聯(lián)網(wǎng)設(shè)備具有資源有限、無人值守、數(shù)量巨大等特點,很容易受到克隆攻擊、信令風(fēng)暴等攻擊,傳統(tǒng)的密碼認證方式不能很好地解決身份認證問題,需要提供群組認證機制,解決海量物聯(lián)網(wǎng)設(shè)備認證所帶來的克隆攻擊等風(fēng)險,需要提供抗DDOS攻擊機制,應(yīng)對信令風(fēng)暴攻擊的危險。
在低時延高可靠業(yè)務(wù)場景下,網(wǎng)絡(luò)需要能夠提供低時延和高可靠的交互能力,需要提供低時延的安全算法和協(xié)議、邊緣計算的安全架構(gòu)以及安全上下文的交換機制。
場景2:云端協(xié)同安全機制
5G網(wǎng)絡(luò)安全應(yīng)保護多種應(yīng)用場景下的通信安全以及5G網(wǎng)絡(luò)架構(gòu)安全,其主要安全機制包括網(wǎng)絡(luò)接入方面、認證擴展、信令保護,在安全策略的管理框架之內(nèi),基于服務(wù)化的思想,建立一種按需的5G安全管理機制,為垂直行業(yè)提供定制性和差異化的安全能力服務(wù)。對安全需求更高的行業(yè),還可將滿足自己安全需求的能力、功能進行定制化,通過服務(wù)接口編排到網(wǎng)絡(luò)切片當(dāng)中,形成行業(yè)專有的安全切片,和其他切片資源相互隔離,同時網(wǎng)絡(luò)安全策略采用強定制的方式,以防范非法接入以及跨切片的攻擊等。
當(dāng)前,云端協(xié)同的安全防御體系要求終端從硬件層、操作系統(tǒng)層、應(yīng)用層等多個層面分別構(gòu)建安全防護措施,同時利用云端網(wǎng)絡(luò)能力提供的安全支持,達到端到端的認證加密、多級隔離、數(shù)據(jù)安全存儲、遠程安全管控、應(yīng)用系統(tǒng)安全保障等防護。
場景3:能力開放主動防御
5G時代,隨著業(yè)務(wù)形式及運營模式的巨大變革,網(wǎng)絡(luò)能力開放已是大勢所趨。通過構(gòu)建統(tǒng)一開放的網(wǎng)絡(luò)安全能力,運營商可為垂直行業(yè)客戶提供各類安全服務(wù)。具體來說,可對網(wǎng)絡(luò)中的安全資源(包括密碼算法、5G認證協(xié)議和安全知識庫等)進行抽象和封裝,對外提供安全服務(wù),為加密傳輸業(yè)務(wù)提供認證服務(wù)、信用服務(wù)、入侵檢測等,使其更高效、更安全地實現(xiàn)信息安全服務(wù)。
傳統(tǒng)的信息安全,受限于技術(shù)發(fā)展,普遍采用被動防御方式。伴隨大數(shù)據(jù)分析技術(shù)、云計算技術(shù)、SDN技術(shù)、安全情報收集的發(fā)展,信息系統(tǒng)安全檢測技術(shù)對安全態(tài)勢分析越來越準確,對安全事件預(yù)警越來越及時精準,到5G時代,主動防御已成為必然。未來5G網(wǎng)絡(luò)作為連接的重要基礎(chǔ)設(shè)施,運營商可通過開放安全資源池,在網(wǎng)絡(luò)切片和邊緣計算的基礎(chǔ)上,定制5G安全專網(wǎng),在主動防御設(shè)計理念中引入AI等技術(shù),實現(xiàn)對垂直行業(yè)網(wǎng)絡(luò)的深層次安全加固。
當(dāng)前,世界政治經(jīng)濟形勢正在發(fā)生深刻復(fù)雜的變化,我國改革發(fā)展進入關(guān)鍵時期,國家信息安全面臨的形勢更加嚴峻復(fù)雜。近年來,從斯諾登事件、美國對我國企業(yè)的出口管制事件,再到關(guān)乎普通百姓的數(shù)據(jù)隱私泄露、惡意攻擊等問題,無不凸顯著我國信息安全問題的嚴峻性。
信息安全的前提是核心技術(shù)必須掌握在自己手中。5G時代在開放合作的理念下,我國必須加強自主芯片、操作系統(tǒng)等基礎(chǔ)核心技術(shù)的研發(fā)及產(chǎn)權(quán)保護和轉(zhuǎn)化,依托核心創(chuàng)新能力,統(tǒng)籌推進科技、標(biāo)準、產(chǎn)業(yè)的協(xié)同創(chuàng)新,形成支撐產(chǎn)業(yè)升級的自主創(chuàng)新能力,真正實現(xiàn)網(wǎng)絡(luò)強國。
來源:人民政協(xié)報