作为新一代移动通信技术,5G系统在提升移动互联网用户业务体验的基础之上,进一步满足未来物联网应用的海量需求,与各行业深度融合,实现真正的“万物互联”。
5G网络支持更高带宽、更低时延、更大连接密度,可以满足3类应用场景:增强移动宽带(EnhancedMobileBroadband,eMBB),超可靠低时延通信(Ultra-reliableandLow-latencyCommunications,uRLLC)以及海量机器类通信(MassiveMachineTypeCommunications,mMTC)。
为满足3种不同业务类型的通信需要,要求运营商能够针对新系统、新环境下的差异性,研究5G业务系统安全方面的典型特征,做好5G网络业务的安全管控,保障5G网络系统业务运营安全。
25G网络架构与数据流分析
本文以目前5G网络规划使用的NSAOption3x、SAOption2两种架构为例,对5G数据流走向及存在的信息安全问题进行分析。
2.1NSAOption3x网络架构介绍与数据流分析
对于NSAOption3x方案,数据可按承载粒度由4GeNB基站或5GgNB基站通过S1-U隧道和EPC+交互,X2接口除了承载信令外,还支持数据面报文的交互,即gNB支持将一个承载内的下行数据按照一定规则通过X2接口分流至eNB,上行数据可从eNB通过X2接口发送至gNB,也可直接通过NR空口发送至gNB。所有信令数据通过eNB到核心网,Volte数据通过eNB到核心网。
2.2SAOption2网络架构介绍与数据流分析
在SAOption2组网方式中,接入层及非接入层信令和数据均通过5G协议进行传输。
在核心网层面,核心网组网架构、设备为5G新核心网架构、设备;所有核心网信令、流程按照5G核心网协议进行传输;5G控制面采用基于服务的架构(SBA),控制面网元包含AUSF、AMF、SMF、NSSF、NEF、NRF、PCF、UDM等;5G用户面功能设备为UPF;可以对垂直行业用户提供业务优化能力,如网络切片、边缘计算(MEC)信息开放等。
在接入网层面,5GSA用户通过NR空口接入5G核心网;5G接入采用gNB基站;支持与4G切换、重选互操作;所有控制面数据与用户面数据均通过gNB传输到5G核心网。
35G信息安全管控
5G网络架构以及应用的变化,使得5G的信息安全管控也随之发生改变。下面我们从5G信息安全管控体系以及5G应用于人工智能(AI)、物联网(IoT)、云计算(CloudComputing)、大数据(BigData)、边缘计算(EdgeComputing)这几个方面可能带来的变化为切入点,介绍5G网络的信息安全管控问题。
3.15G信息安全管控体系问题总述
(1)NSA架构下的信息安全管控变化。NSA架构下,架构与应用的变化为:接入网基站发生变化,引入5G的gNB基站;会出现5G应用于人工智能、物联网、云计算、大数据、边缘计算等场景下的新业务;5G传输速率会相比于4G明显提高。
基于以上变化,我们需要确认安全管控的需求点为:信息安全管控系统的覆盖能力能否对5G新业务进行覆盖;现有系统的解析、计算能力需对5G场景下的高速率业务进行匹配。
(2)SA架构下的信息安全管控变化。SA架构下,架构与应用的变化为:接入网、核心网的设备、流程、信令均发生变化,接入网与核心网均引入新的5G设备;会出现更多5G应用于不同场景的新业务;会产生大量垂直行业下的新应用;会引入边缘计算、切片。
基于以上变化,我们需要确认安全管控的需求点为:信息安全管控系统的覆盖能力;部分信息安全管控系统需要改造,匹配系统架构;为新的应用场景、业务、协议提供安全管控能力;为垂直行业提供安全管控。
3.25G在人工智能场景下的信息安全管控
3.2.15G与人工智能融合下的信息安全风险
5G网络下,人工智能提供的应用数量日益增长,同时这些应用也会带来安全风险,如:
(1)深度伪造技术。深度伪造(Deepfake)是一种利用人工智能和机器学习将人的脸叠加到另外一个人的身体上的技术。目前,华盛顿大学研究人员已经可以利用音视频人工智能技术,虚拟出政治人物演讲,达到以假乱真的效果。未来,不法分子可能会利用人工智能技术,针对公众人物制作虚假视频,进行诈骗、政治宣传等。
(2)人工智能恶意软件。据报道,IBM研究院安全研究人员开发了一种由人工智能驱动的“高度针对性和回避性”攻击工具DeepLocker,将现有的几种人工智能模型与当前的恶意软件技术相结合,创建一种特别具有挑战性的新型恶意软件。该恶意软件可以隐藏其意图,直到它触达特定受害者,才会释放恶意行为。
(4)人工智能钓鱼邮件。黑客可以使用人工智能技术,对用户大量生成有针对性的钓鱼邮件。此外,还可利用对抗生成网络技术,巧妙绕过目前已有的反钓鱼邮件系统,达到攻击用户的目的。
3.2.2针对5G与人工智能融合下新增风险的管控措施
人工智能信息安全风险,并非在5G网络下所特有的风险,而是人工智能自身所具有的风险。5G网络使得人工智能技术的使用迅速增加,因此人工智能的安全风险也增大,我们针对人工智能风险提出了以下管控措施:
(2)源头预防与联合治理相结合。对于人工智能生成的虚假音视频,目前的安全管控系统很难直接监测,因此只能联合多方进行管控。建议视频发布源头加强审核,工信部、公安部、网信办等有关部门加大违规人员、网站处罚力度。
3.35G在物联网场景下的信息安全管控
3.3.15G与物联网融合下的信息安全风险
3.3.2针对5G与物联网融合下新增风险的管控措施
对于疑似违规的物联网卡,可以基于物联网卡开卡(注册)信息、位置信息、上网流量、通话记录、短信记录等数据进行专项分析,并对安全风险进行监控,可采取的物联网卡安全监测方法如下。
(4)恶意攻击检测。根据上网日志、DNS日志等数据,发现物联网卡设备被人植入后门,并恶意利用进行DDoS攻击、僵尸网络挖矿等行为。
3.45G在云计算场景下的信息安全管控
5G环境下,更多的云计算资源将会接入网络,也会加速高清视频、虚拟现实/增强现实(VR/AR)、云视频等业务的发展。资源的扩张,业务的发展,也会给信息安全管控带来新的挑战。
3.4.15G与云计算融合下的信息安全风险
在5G网络环境下,云计算可能带来的信息安全风险参见表1。
3.4.2针对5G与云计算融合下新增风险的管控措施
如表1所介绍,对于5G环境下带宽增大的问题,需要对现在不良信息集中管控系统前端采集点进行适当扩容,来满足新增需求;对于新出现的业务、协议(例如HTTPS等),需要针对其进行专项研究,并对特定的内容进行还原、解析、判定。
3.55G在边缘计算中的信息安全管控
3.5.15G与边缘计算融合下的信息安全风险
移动边缘计算(MEC)是一个“硬件+软件”的系统,通过在移动网络边缘提供IT服务环境和云计算能力,以减少网络操作和服务交付的时延,是5G的重要支撑力量。在5G独立组网商用以后,预计车联网、虚拟现实、增强现实、高清视频、工业互联网、远程医疗等众多垂直行业应用会涉及边缘计算。边缘计算有如下特点:
(1)传统的CDN/WebCache中,边缘节点不直接产生数据,也不对数据进行处理,而是由内容中心对数据进行分发,或直接对用户上网数据进行缓存。
(2)在边缘计算中,用户设备(例如汽车、工程设备、医疗平台、家庭电脑、智能手机等)产生用户侧数据,上传到边缘云/边缘服务器,边缘服务器在不跟中心服务器发生交互的前提下,直接对数据进行储存、计算,并将处理结果返回给用户设备。
(3)用户侧上传的尤其是媒体类型的数据,可能存在信息安全风险隐患。
3.5.2针对5G与边缘计算融合下新增风险的管控措施
边缘计算由5G用户名功能模块和边缘计算平台构成;5G网络中控制面和用户面彻底分离,控制面网元可以集中在大区/省中心,用户面网元可根据业务需求(如时延要求)分层部署在不同的网络位置,包括大区/省中心、地市、区县等;深度报文检测(DeepPacketInspection,DPI)设备可对UE到用户面的N3接口数据进行采集,进而进行监控。
45G对现有安全管控系统影响分析
4.15GNSA架构对安全管控系统的影响
4.1.1对DPI采集设备的影响
在5GNSA网络架构下,DPI采集设备的架构图参见图1,采集点包括S1-U接口、省网网间出口、省网出口、IDC出口、骨干网出口以及国际出口。
对于DPI设备的具体影响,表2进行了总结。
4.1.2对安全管控系统覆盖面的影响
在NSA架构下,安全管控系统只有接入网的架构、信令、用户面数据流发生变化,核心网架构、信令、数据流未发生变化;5G业务所有的信令数据、业务数据可被现有系统采集,可以实现管控。
4.25GSA架构对安全管控系统的影响
4.2.1对DPI采集设备的影响
在5GSA网络架构下,DPI采集设备的架构参见图2。在该架构图中,DPI采集点会发生变化。
对于DPI设备的具体影响,表3进行了总结。
(3)SA架构下5G业务所有的信令数据可以被现有系统采集,可以实现语音管控。
4.2.3对垃圾短信管控系统的影响
5GSA架构下,短消息发送流程分为SMSoNAS以及SMSoIP两种模式,两种模式下的短信发送都会经过SMSC(短信中心),可被现有垃短系统监控。
4.2.4对不良信息管控系统的影响
5结语
本文对5G新网络环境下可能面临的信息安全风险进行了简要分析,并针对5G下两种不同的网络架构,提出了信息安全风险的影响面以及可能的管控措施、手段。通过以上措施,我们可以对5G下可能出现的信息安全风险提前做好准备,为5G网络更好地运行打下良好基础。