媒体和公司高兴地报道“ 5G时代已经到来或即将到来”,并承诺与此相关的我们的生活将发生不可思议的变化。 变革将以物联网,智慧城市,工业4.0的形式出现,并伴随着大量的网络物理系统和新技术的引入。 此外,生态系统中的关系数量实际上等于其上可能的攻击媒介的数量。 因此,我们需要讨论5G安全性。 不,我们不建议加入描述“致命辐射”恐怖的点击和宣传活动,而是谈论保护网络和5G设备免遭黑客攻击。 更确切地说,是关于5G网络的安全架构。5G技术为市场和用户提供了巨大的机会。 但是与此同时,您需要询问如何构建5G网络保护,这肯定会引起黑客的兴趣。 5G网络的引入将创建完全不同的业务模型,并将新的参与者引入移动技术领域。 因此,在开发安全系统时,必须考虑到这一点,并且应该在可以信任的人,程度和数据/功能之间做出明确的区分。 使用新技术,例如网络虚拟化(即逻辑网络与网络设备的分离)和SDN(软件配置的网络),将导致类似的结果,仅在这种情况下,我们谈论的是应用程序所有者与计算资源和数据存储供应商之间的互动,以及严格保护参与者之间传输的信息的要求。
为了解决这些问题,制定标准并确保新一代网络的安全性,启动了
5G-Ensure国际项目,来自诺基亚和爱立信等欧洲主要公司的科学家和专家参加了该项目。 在各自政府的支持下,他们正在制定网络安全通用路线图以及该领域的特定工具和解决方案。 作为该项目的一部分,2018年4月,来自牛津大学,法国橘子实验室和瑞典皇家技术学院等世界各地不同组织的15位专家对5G网络的基础架构进行了分析,并提出了他们对安全性架构的看法,这将有助于更好地了解什么与3G / 4G时代相比,在不断变化的条件下如何以及如何保护入侵者。 该研究的全文可在
此处找到5G网络的安全体系结构,并在这篇文章中介绍了该研究理论部分的主要思想。 更多实际问题和此类体系结构的应用示例将专门撰写单独的博客文章。
什么是安全架构?根据研究的作者,创建安全系统的关键点之一是使用安全体系结构。 这种体系结构的存在使得可以详细检查与系统关联的所有对象及其关系。 这种全面的评估使我们能够分析整个系统的安全级别及其各个部分的安全性,了解这些部分如何影响系统,识别可能的威胁并制定有效的措施来应对和管理安全性。
此外,为了提供最有效的保护,架构和工具的开发应在5G网络部署之前或与其并行进行。 最近,网络安全风险的数量一直在增加,与生态系统本身相关的攻击因素(例如,物联网设备)已被添加到“人为”因素中。 因此,与定义的防病毒或防火墙形式的传统外部保护方法相反,“按定义安全”系统的趋势正逐渐受到欢迎,该系统在开发或部署过程中内置了保护机制。 对于5G网络这样的系统尤其如此,因为由于互连的规模和数量,“事实上”保护它们将更加困难。
安全体系结构的主要组件是域,层,安全区域和安全管理类。
域是根据对特定5G网络重要的某些物理或逻辑参数选择的一组网络对象。
一层是与一个或多个域提供的服务的某些方面相关的协议,数据和功能。
安全范围(SR)涵盖了一个或多个层/域的所有安全需求。
安全管理类(SCC) -系统保护的一组功能和机制(包括措施和对策),涉及安全的一个特定方面,例如,确保数据完整性。 SCC有助于避免,检测,阻止,抵消或最小化5G网络中的安全风险,包括对物理和逻辑网络基础架构,用户设备和传输数据安全性的威胁。
域是5G安全架构的基石,因为它们使描述5G网络的各种功能和参与者变得容易。 图1显示了主要的5G域并显示了它们的网络位置。 水平线H1,H2和垂直线V1,V2分隔了顶级域。 位于H1上方的那些域代表逻辑网络的各个组成部分,被称为成员域。 H1和H2之间的域负责网络的物理组件,称为基础结构域。 H2以下的域是复合域,这些域立即负责网络的多个方面,例如从属关系或联合管理。 V1将用户设备与网络分开,V2将运营商的网络与外部网络(例如,Internet服务)分开。
在2G,3G和4G网络中,基础结构域和成员域之间没有区别。 但是,这种区别是5G网络的基础,因为虚拟化和SDN为软件“软化”网络奠定基础,并引入了诸如网络“切片”和移动外围计算之类的技术。
图1-5G网络安全架构:SD-网络切片,TA-信任锚,IP-基础架构提供商。 虚线表示可选元素/链接。图2显示了研究作者在其5G网络安全架构中强调
的层的
示意图 。 根据对安全性和暴露于相同类型威胁(例如基站替换或无线电信号的“干扰”)的一般要求原则将它们组合在一起,这些都是对与之交互的用户设备和接入点的常见威胁。 使用层有助于更好地构建5G网络中的安全管理系统,并确定在何处以及出于何种目的更有效地使用它们。
图2-5G架构中的层层应用程序(应用程序),家庭(房屋),服务(服务),传输(传输)和访问(访问)类似于规范3GPP TS 23.101中描述的那些。 它们包括与服务最终用户有关的协议和功能。 处理和存储家庭网络的订阅数据和服务; 提供电信服务; 通过网络从其他层传输用户数据。
当用户漫游时,“家庭”层的某些协议和功能采用“服务”层,该层被视为其子层。 同样,“访问”层是“传输”的子层,因为无线接口是整个数据传输系统的一部分。 该研究的作者添加了管理层,以显示对5G网络中管理系统的威胁,例如,未经授权的配置更改,受破坏的网络密钥和证书以及恶意网络功能的添加。 他负责图的其余各层,因为他负责管理系统所有层的网络功能。
安全区域在体系结构中用于描述某些区域的安全需求和要求,因此其组成取决于特定站点和网络功能而有所不同。 例如,对于网络访问的安全性,重要的是保护基站的数据存储系统,防止未经授权的“空中”引入数据,防止转发用户并将用户连接到伪造的基站。 同时,对于基本网络安全领域,主要因素是保护标识符的机密性,安全的身份验证和授权,密钥分发和算法交换的安全性。
主要的安全管理类别是身份和访问管理,身份验证,容错,机密性,完整性,信息的可用性和隐私(这些类别取自ITU-T X.805),以及审计,信任和保证以及对要求的遵从性(这些类别由研究作者添加)。 基于安全管理类的安全机制例如是为身份和访问控制提供长期(3GPP中的IMSI)和短期(3GPP中的TMSI或GUTI)标识符。 3GPP和HTTP Digest中的AKA可对用户进行身份验证,或使用非对称密码和数字签名来提供容错能力。
安全架构的系统分析与实现该研究的作者为系统的逐步分析和安全体系结构的实现提供了自己的方法。
步骤1.您需要从物理和逻辑顶级域开始创建5G网络模型。 它们的主要特征将是隶属关系,管理和宗旨。 然后,您需要选择系统将支持的网络切片(切片域)的类型。 此顶级域模型应基于网络本身的功能体系结构。
步骤2,接下来,您需要输入连接某些域的控制点(接口)。 这些断点将确定域之间交互的依赖性和类型。 通过这些点传输的数据必须根据选定的层和协议进行标识和描述,然后应为其分配适当的安全区域。
步骤3.对于每个控制点,有必要确定关系的类型以及相关域之间的“信任”程度。
步骤4.下一个项目将是TVRA的实施-评估威胁和风险,并制定使用安全管理类应对威胁和风险的计划。 TVRA中的中间步骤之一必须是确定将在何处和由谁采取安全措施,并且在分析时必须考虑系统中使用的域,层和安全区域。
步骤5.选择安全管理类别时,应基于设计安全原则,并使用最有效和经验证的安全方法。
步骤6.最后,有必要实施所选的安全措施并检查结果是否达到目标。
绩效指标该研究的作者分析了上一代网络的安全架构以及最流行的5G技术应用场景,并提出了许多定性指标,这些指标将有助于确定创建的5G网络安全架构的有效性。
其中包括:向后兼容性:使用5G网络安全体系结构描述和分析3G和4G网络安全性的能力,因为它们将成为新一代网络的组成部分。
灵活性和适应性:使安全体系结构适应网络解决方案
的能力,该解决方案将在以后上市。 我们还讨论了开发和改进安全体系结构的可能性,以有效应对新威胁并确保与开发时不存在的新安全系统兼容。
信任问题:当前的移动网络涉及三方信任模型,涉及移动运营商,服务提供商和最终用户,其中移动运营商负责网络的状态和安全。 该模型不适用于5G网络,在该网络中会有更多的参与者扮演不同的角色,例如,虚拟化基础架构的提供者或VNF(虚拟网络功能)的提供者,对于它们中的每一个,都必须明确定义新的多边信任模型中的角色。
虚拟化和切片或“切片”网络:预计5G
网络绝对适合任何用例。 由于不同的使用方式对这些网络提出了完全不同的要求,甚至可能相互矛盾,因此5G网络应该是通用的。 虚拟化技术和网络切片将帮助他们。 因此,虚拟化和切片也应该是5G安全架构的必需部分。
协议和网络功能:与当前的移动网络一样,随着5G的引入,将出现许多新的(受保护和不安全的)协议和网络功能。 此外,对于5G网络的正常运行,将使用大量的5G网络,包括从前几代继承的解决方案。 因此,安全体系结构必须能够识别所有适用的协议和网络功能,以便开发最有效的安全系统。
安全管理要点: 5G网络将比4G网络和更早的一代复杂得多。 他们将拥有更多的参与者,更多不同的级别和访问网络的方式。 此外,从新的(虚拟化)网络节点几乎可以在任何时候自动从网络或部分网络中添加和删除的意义上讲,5G网络将更具“动态性”。 明确定义网络边界和接口对于识别和建模攻击媒介至关重要。
安全管理:随着新的使用场景,5G网络将带来的新的信任模型和新技术,新的安全功能和新问题将会出现。 因此,安全架构应考虑到这一点,并允许模拟具有不同功能集和各种弱点的移动网络。
网络管理:由于认为这取决于特定网络的实现和应用场景,因此当前移动网络的规范并未以任何方式正式化网络管理的各个方面。 新角色和新参与者将出现在5G网络中,因此网络管理问题对于确保其有效和安全运行至关重要,这应在安全架构中得到体现。
敬请期待因此,根据专家的意见,我们发现了安全架构的及时开发如何有助于更好地评估可能的风险并正确选择了确保5G网络和相关系统安全的机制。 在下一篇文章中,我们将从理论转向实践,并讨论该研究的作者如何建议为5G生态系统中最大和最复杂的对象之一-“智能”城市开发安全体系结构。