0
引 言
5G的发展加速了特殊行业的数字化转型,提高了信息流转的便捷性、高效性。但是,发展与风险相伴随行,5G网络面临的安全风险也在不断加剧。
1
5G安全概述
基于前几代移动通信演进过程中发现的安全问题和积累的运维经验,5G网络对安全机制的考虑更加充分,具有更全面的数据安全保护、更丰富的认证机制支持、更严密的用户隐私保护、更灵活的网间信息保护等特点。5G网络与 4G网络的安全能力对比如表1所示。
表1 5G网络与4G网络的安全能力对比
2
国内外5G安全政策
2.1 国外5G安全政策
美国高度重视5G安全,将保障5G网络安全、重新领导5G产业提升到国家战略层面,动员国家力量,通过立法和行政命令等手段,积极消减5G网络安全风险。2020年3月,美国白宫发布了《5G安全国家战略》,同时,通过了《5G安全保障法》,确保美国5G安全,并推动盟友5G安全,其主导的《布拉格提案》,以事关国家安全、经济安全、其他国家利益和全球稳定为由,提出需要对5G网络结构和系统功能进行重点安全考量。
欧盟把5G网络作为建设数字欧洲的重点领域,高度重视5G技术的战略自主权和网络安全,出台了一系列旨在解决本地区5G网络安全问题的政策文件。2019年3月26日,欧盟委员会通过了《5G网络安全建议》,呼吁欧盟成员国完成国家风险评估,并审查国家安全措施,随后在整个欧盟层面共同开展统一风险评估工作 。2020年1月29日,欧盟正式发布5G网络安全“工具箱”,从战略和技术角度提出一系列加强5G安全的举措。
2.2 国内5G安全政策
我国高度重视5G网络技术的发展及应用。在推动5G发展的同时,5G安全也被提高到国家战略层面。
3
特殊行业5G专网网络模式
5G专网有7种网络模式,针对特殊行业的高安全需求,本文建议选用独立专网、基站共享专网、基站和控制面共享专网3种安全系数较高的模式。基于这 3种专网模式,对其网络部署进行安全性分析,为特殊行业用户的选择提供参考。
3.1 独立专网模式
独立专网模式如图1所示,其拥有完全独立的接入、承载、核心网设备及业务终端,为用户配置全套专用5G网络,例如5G基站(Next Generation Node B,gNB)、用户平面功能(User Plane Function,UPF)、移动边缘计算(Mobile Edge Computing,MEC)、5G核心网控制面(5G Core Network Control Plane,5GC CP)、统一数据管理(Unified Data Management,UDM)。专网与外界完全物理隔离,具有最高的安全性, 适用于需要超高安全隔离且对成本不敏感的应用场景。独立专网具有以下特点:一是可以保障完整的数据安全性;二是网络时延低,从核心网到无线接入网均部署于本地;三是网络自主可控;四是部署成本高,后期维护需要专业的运维团队。
图1 独立专网模式
3.2 基站共享专网模式
基站共享专网模式如图2所示,在该模式下,专网与公网仅共享gNB,UPF、UDM、5GC CP和MEC部署在专网内部,与公网在物理上隔离,数据流量在基站上分流,属于专网的数据流量被传送到用户专网的UPF中,专网网络数据保留在专网内部。这种模式能保证内部数据的安全性和网络低时延。由于共享无线接入网(Radio Access Network,RAN),基站只是逻辑隔离而不是物理隔离,安全性比独立专网模式稍弱,但可节省一些部署成本和维护成本。
图2 基站共享专网模式
3.3 基站和控制面共享专网模式
基站和控制面共享专网模式如图3所示,专用的UPF和MEC内置于专网内部,与公网共享gNB、UDM和5GC CP,专网的gNB和UPF通过N2接口、N4接口分别连接到公网网络的 5GC CP,并由运营商管理,专网设备信息存储在运营商服务器中,在数据安全性和隐私保护上比基站共享专网模式稍弱一些,但仍可保障网络低时延。
4
特殊行业5G专网的安全风险
4.1 终端设备安全风险
5G终端设备种类多样,终端能力差异大,随着终端设备的大量接入和使用,终端安全风险也逐渐凸显。一方面,在无线环境中,终端面临着身份被盗用、恶意终端非法接入的安全风险;另一方面,终端设备可能存在软硬件漏洞,导致敏感数据被泄露、被篡改,甚至系统被攻击。
4.2 接入与链路安全风险
接入与链路安全风险与网络建设模式密切相关,下面主要就文中选用的3种专网模式进行分析。
4.2.1 独立专网模式
在独立专网模式下,独立专网与5G公网完全独立,安全性不受5G公网影响。独立专网的安全风险主要来自自身运行的可靠性、稳定性和恶意用户攻击,其面临的安全风险主要有:
(1)当网元间没有开启身份认证时,攻击者有可能假冒网元接入核心网络,进行非法访问。
(2)如果没有对网元间传输的数据进行机密性和完整性保护,通信数据会面临被窃听、篡改的风险等。
(3)若独立5G核心网缺乏有效的可用性保障手段,一旦遭受攻击或服务失效,有可能导致整个独立专网无法正常运行。
4.2.2 基站共享专网模式
在基站共享专网模式下,基站逻辑分离,可以保证行业应用中专有网络数据流量的安全性,其面临的安全风险主要有:
(1)在基站与无线空口方面,因为无线信号的广播特性,可能会存在被窃听篡改、假冒终端/基站的中间人攻击等安全风险,将中心内部的信息违规泄露。
(2)无线空口存在通过适时发送干扰信号破坏终端与基站之间通信的智能干扰攻击风险,还存在伪基站、伪控制器站点对终端与5G网络之间的信令、业务交互构成安全威胁的风险。
(3)如果没有对链路中传输的数据进行机密性和完整性保护,通信数据面临被窃听、篡改的风险。
4.2.3 基站和控制面共享专网模式
在基站和控制面共享专网模式下,若在专网网元与用户行业网、专网网元和公网核心网间缺乏有效的安全管控措施,其面临的安全风险主要有:
(1)行业网用户可以非授权地访问到专网网元。一旦专网网元存在安全漏洞,有可能会被恶意用户攻击甚至是控制。
(2)专网网元负责业务数据转发和控制信令透传,如果缺乏对数据传输、存储、处理的安全保护,数据可能被恶意用户窃取,导致敏感信息的泄露。
(3)如果对专网网元缺乏有效的双向认证和鉴权机制,非授权虚假设备可能与其进行互通,导致系统被非法访问。
4.3 移动应用安全风险
不同移动业务应用将运行在5G网络上,其中业务应用服务器可能存在漏洞,服务器提供的应用程序编程接口(Application Programming Interface,API)可能存在漏洞,如果这些应用层面的漏洞被攻击者利用,可造成应用数据的非授权访问及泄露,威胁信息安全。
4.4 安全管理及运维管理风险
5
特殊行业5G安全总体框架
图4 特殊行业5G安全总体框架
5G安全防护是5G安全的执行者,接受5G安全管理的统一调度和控制,同时实时采集安全信息,并将其发送到5G安全管理中进行分析处理。
5.1 5G安全防护
5G安全防护包括终端安全、接入安全、链路安全、应用安全4个方面的安全防护。
(1)终端安全。在软硬件方面做好终端的安全加固和防护,定制操作系统和特定的应用商店,并按相关措施进行妥善保管;还可通过设备丢失发现、主动上报告警、远程销毁等应急处理手段,降低终端丢失后造成的安全风险;终端采用定期的漏洞扫描管理,避免软件的缺陷漏洞被利用。
同时,终端集成定制化安全模块,对通信数据进行端到端加密,防止终端的通信数据被窃听或篡改。
(2)接入安全。完成接入控制安全、空口通信保护、空口数据保护等,通过主认证、区域访问控制、资源访问控制等多重接入访问控制技术消减终端接入风险,并为空口传输的各种信令、数据提供机密性和完整性保护。
(3)链路安全。通过切片资源的合法使用切片的合法接入及切片数据隔离等实现网络切片安全;通过在承载网与RAN基站、承载网与核心网间及核心网与企业网间部署防火墙等安全设施,实现边界防护安全,防御来自外部的安全威胁;通过网络传输加密保障网络数据报文的机密性和完整性。通过安全域划分实现不同安全等级业务数据的隔离。
(4)应用安全。主要提供应用的端到端业务保护及隐私保护,通过身份认证、防病毒和恶意代码防范、软件系统更新、漏洞扫描、安全加固等方式进行安全防护。
5.2 5G安全管理
6
特殊行业5G应用的安全防御措施分析
6.1.1 机卡绑定
机卡绑定是指将特定的用户身份识别模块(Subscriber Identity Module,SIM)与所使用的终端设备进行绑定,不能随意更换或转移使用。SIM卡与终端硬件识别码(International Mobile Equipment Identity,IMEI)绑定一一对应关系,SIM卡拔出后在其他终端上无法使用,有效防止非授权终端滥用合法SIM卡造成的非法接入。
6.1.2 远程遥毁密钥资源
远程遥毁密钥资源是指如果合法终端状态异常,通过密钥管理限制其认证入网。当终端丢失或存在严重安全风险时,网络侧认证安全增强设备会向专用全球用户识别模块(Universal Subscriber Identity Module,USIM)发送遥毁指令,收到遥毁指令后,专用USIM卡将自动销毁/擦除卡内密钥资源。远程遥毁成功后,终端将无法通过主认证入网,只有在重新办卡(卡号可以不变)后,才能再次认证入网。
6.1.3 终端数据加密
终端数据加密是指通过采用密码技术实现数据的机密性和完整性保护。通过终端集成从而支持基于国密算法的非对称加密的定制化安全模块,实现主站对终端身份的鉴别和报文的完整性保护。
6.2 接入与链路安全防御
6.2.1 主认证增强
主认证增强是指基于国产/专用认证算法实现终端侧的主认证鉴权运算和入网认证增强,达到安全增强的目的。在专网模式下,终端部署安全增强USIM卡,完成认证处理;网络侧核心网部署专用UDM网元,面向核心网提供标准 UDM的接口,面向认证服务器提供专用认证调用接口,以实现国产/专用认证运算的嵌入。
6.2.2 区域访问控制
区域访问控制是指规划出区域位置管控范围,将终端设备与特定区域进行绑定。只有具备某区域权限的终端才能接入该区域网络,同时该区域网络的终端离开指定的服务区域则无法接入网络。区域访问控制可以防止终端非法接入或网络资源被滥用,可以对移动资产进行规范管理,并提供业务连续性保障;同时防止关键终端驻留非安全区域造成信息泄露,防止终端在非授权区域查看到非授权应用。
6.2.3 空口信令安全防护
空口信令安全防护是对核心网的安全边界防护,可以提高核心网的可用性。空口信令防护网关通常基于身份标识对基站和终端进行安全接入控制,防止非授权终端和非授权基站接入核心网。此外,还可以通过深度非接入层信令包分析,对流控制传输协议(Stream Control Transmission Protocol,SCTP)、下一代应用协议(Next Generation Application Protocol,NGAP)及网络附加存储(Network Attached Storage,NAS)层的信令报文进行安全检查,防止非法报文、伪装在非法流程中的合法报文进入核心网。
6.2.4 空口数据保护
空口数据保护是指对终端到基站的空口数据报文和控制信令进行加密和完整性保护。5G基站在分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)层实现数据加密和完整性保护功能,保证空口数据安全;对5G空口传递的订阅永久标识符(Subscription Permanent Identifier, SUPI)进行加密计算,避免SUPI明文在5G空口被非法跟踪截获。
6.2.5 地面链路数据保护
地面链路数据保护是指实现基站到核心网边缘的数据报文的加密和完整性保护。在5G基站到MEC UPF边界防火墙之间通过互联网安全协议(Internet Protocol Security,IPsec),实现N3接口的数据报文加密和完整性保护。在MEC UPF边界防火墙到应用服务器之间也采用IPsec协议,实现N6接口的数据报文加密和完整性保护。
6.2.6 身份防跟踪防定位
身份防跟踪防定位是指通过对国际移动用户识别码(International Mobile Subscriber Identification Number,IMSI)/SUPI隐私保护进行安全增强,为特殊行业用户提供隐私保护安全。专用USIM卡接收到网络侧发送的临时身份标识,校验无误后进行缓存,在适当时机控制终端使用最新接收的临时身份标识向归属网络发起重新附着请求,附着成功后即完成掩护SUPI的启用,从而实现对用户身份标识IMSI/SUPI进行掩护的目的。该防御措施解决了在通信基础设施上不暴露IMSI的问题,且在空口和通信网元上只能获取到某个时间周期内的动态IMSI,其中根密钥只需要在相关认证安全增强设备中进行管理和维护,即可提供根密钥从源头开始的安全可信能力。
6.3 应用安全防御
端到端业务防护采用密码技术实现业务数据的机密性和完整性保护,是应用安全防御的重要手段之一。当终端与应用系统进行信息交互时,交互数据易被攻击者窃取、篡改和破坏,需采取相关安全机制,实现终端与应用系统之间业务数据的安全传输。可在终端上内嵌加密模块,在网络侧数据网络(Data Network,DN)入口处部署安全网关,完成端到端业务加密防护。
6.4 安全管理防御
6.4.1 异常终端动态识别和隔离
异常终端动态识别和隔离是指根据终端的动态行为,识别异常终端,并对异常终端采取相关管控措施。核心网侧上下线信息、位置变化和机卡分离等动态行为在态势感知平台上呈现,以识别异常终端。同时对异常终端进行上下线控制、会话中断、故障定位与排查等操作,强化终端的管理。
6.4.2 流量溯源
7
结 语
未来,特殊行业应紧扣应用场景,将安全理念贯穿于5G应用的规划、建设、运维全过程,实现5G应用与5G安全同步开展,持续提升5G安全水平,同时制定相关管理制度,更好地推动5G在特殊行业的应用发展。
引用格式:陈潇,邓招,郭晓黎,等.5G在特殊行业应用的安全风险及防御措施[J].信息安全与通信保密,2024(6):94-104.
陈 潇,女,硕士,高级工程师,主要研究方向为通信网络与信息安全;
邓 招,男,硕士,高级工程师,主要研究方向为通信网络与信息安全;
郭晓黎,女,硕士,研究员,主要研究方向为通信网络与信息安全;
咸立文,男,学士,高级工程师,主要研究方向为网络安全、通信网络、密码应用。
请联系:15710013727(微信同号)
原文始发于微信公众号(信息安全与通信保密杂志社):5G在特殊行业应用的安全风险及防御措施
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论