當前,全球新一輪科技革命和產(chǎn)業(yè)變革正孕育興起,跨行業(yè)、跨領(lǐng)域的融合創(chuàng)新不斷深入,將產(chǎn)生大量新應(yīng)用、新業(yè)態(tài)、新模式,對移動通信技術(shù)也提出了更高要求。第五代移動通信(5G)作為新一代移動通信技術(shù)發(fā)展的方向,將在提升移動互聯(lián)網(wǎng)用戶業(yè)務(wù)體驗的基礎(chǔ)上,進一步滿足未來
物聯(lián)網(wǎng)應(yīng)用的海量需求,與工業(yè)、醫(yī)療、交通等行業(yè)深度融合,實現(xiàn)真正的“萬物互聯(lián)”。
面對5G網(wǎng)絡(luò)的新發(fā)展趨勢,尤其是5G新業(yè)務(wù)、新架構(gòu)、新技術(shù),都會對安全和用戶隱私保護提出新的挑戰(zhàn)。5G安全機制除了要滿足基本通信安全外,還需要為不同業(yè)務(wù)場景提供差異化安全服務(wù),能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu),保護用戶隱私,并支持提供開放的安全能力。
5G新場景帶來新的安全威脅
5G的eMBB場景與傳統(tǒng)移動互聯(lián)網(wǎng)場景相比,主要的區(qū)別是為用戶提供更快的網(wǎng)絡(luò)速率和高密度的容量,因此將出現(xiàn)數(shù)量眾多的小站。小站的部署方式、部署條件以及功能都存在靈活多樣的特點。傳統(tǒng)4G安全機制未考慮此種密集組網(wǎng)場景下的安全威脅,因此,除了傳統(tǒng)移動互聯(lián)網(wǎng)所存在的安全威脅外,在這種密集組網(wǎng)場景下可能會存在小站接入的安全威脅。
針對大規(guī)模
物聯(lián)網(wǎng)場景,預(yù)計到2020年,聯(lián)網(wǎng)設(shè)備將達500億臺。終端包括
物聯(lián)網(wǎng)終端、
RFID標簽、近距離無線通信終端、移動通信終端、攝像頭以及傳感器網(wǎng)絡(luò)網(wǎng)關(guān)等。由于大部分物聯(lián)網(wǎng)終端具有資源受限、拓撲動態(tài)變化、網(wǎng)絡(luò)環(huán)境復雜、以數(shù)據(jù)為中心以及與應(yīng)用密切相關(guān)等特點,與傳統(tǒng)的無線網(wǎng)絡(luò)相比,更容易受到威脅和攻擊。在此海量設(shè)備情況下,為了確保信息的準確有效性,需要在機器通信中引入安全機制。而若每個設(shè)備的每條消息都需要單獨認證,則網(wǎng)絡(luò)側(cè)安全信令的驗證需要消耗大量資源。在傳統(tǒng)4G網(wǎng)絡(luò)認證機制中沒有考慮到這種海量認證信令的問題,一旦網(wǎng)絡(luò)收到終端信令請求超過了網(wǎng)絡(luò)各項信令資源的處理能力,則會觸發(fā)信令風暴,導致網(wǎng)絡(luò)服務(wù)出現(xiàn)問題。進一步的,整個移動通信系統(tǒng)可能會因此出現(xiàn)故障,進而崩潰。
而在低時延高可靠場景,尤其針對車聯(lián)網(wǎng)、遠程實時醫(yī)療等時延敏感應(yīng)用,提出了低時延高安全性的需要。在這些場景中,為避免車輛碰撞、手術(shù)誤操作等事故,要求5G網(wǎng)絡(luò)能在保證高可靠性的同時提供低至1ms的時延QoS保障。而傳統(tǒng)的安全協(xié)議,如認證流程、加解密流程等,在設(shè)計時未考慮超高可靠低時延的通信場景。這樣可能會造成傳統(tǒng)的復雜的安全協(xié)議/算法造成的時延無法滿足超低時延的需求。同時,5G中超密集部署技術(shù)的應(yīng)用使得單個接入節(jié)點覆蓋范圍很小,當車輛等終端快速移動時,網(wǎng)絡(luò)的移動性管理過程將會非常頻繁,為了低時延的目標,移動性管理相關(guān)的功能單元和流程需要進行優(yōu)化。
5G新型網(wǎng)絡(luò)架構(gòu)對安全提出了新的要求
5G新型網(wǎng)絡(luò)架構(gòu)需要更靈活、更智能和更好的性能,可以自動適配海量業(yè)務(wù)的差異化服務(wù)要求,基于全網(wǎng)視圖來綜合調(diào)度網(wǎng)絡(luò)資源,包括接入能力、計算能力、存儲能力和網(wǎng)絡(luò)連接能力等,具體包括:5G網(wǎng)絡(luò)基于控制和轉(zhuǎn)發(fā)分離模式實現(xiàn)用戶面更加扁平的架構(gòu);依托新型架構(gòu)的全局控制功能,可以實現(xiàn)多種接入技術(shù)的協(xié)同控制;借鑒IT虛擬化技術(shù)思想對網(wǎng)元形態(tài)和網(wǎng)絡(luò)連接方法進行重構(gòu),5G網(wǎng)絡(luò)的基礎(chǔ)設(shè)施引入NFV等虛擬化技術(shù),實現(xiàn)網(wǎng)絡(luò)切片和網(wǎng)元按需部署,增加整體網(wǎng)絡(luò)的靈活性和伸縮性。
——NFV安全需求
5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施平臺將更多地選擇基于通用硬件架構(gòu)的數(shù)據(jù)中心構(gòu)成支持5G網(wǎng)絡(luò)的高轉(zhuǎn)發(fā)性能和電信級管理要求。NFV技術(shù)實現(xiàn)底層物理資源到虛擬化資源的映射,構(gòu)造虛擬機(VM),加載網(wǎng)絡(luò)邏輯功能(VNF);虛擬化系統(tǒng)實現(xiàn)對虛擬化基礎(chǔ)設(shè)施平臺的統(tǒng)一管理和資源的動態(tài)重配置。NFV具有幫助強化網(wǎng)絡(luò)安全的潛力,安全策略可編排,并且可以發(fā)揮虛擬化的優(yōu)勢,隔離業(yè)務(wù)負載從而強化安全。NFV在強化安全的同時也帶來了新的安全隱患。相比傳統(tǒng)電信設(shè)備,軟件硬件分離的特點以及虛擬化網(wǎng)絡(luò)的開放性給NFV帶來了新的潛在安全問題:
第一,引入新的高危區(qū)域——虛擬化管理層。虛擬化管理層是NFV的核心,一旦被攻破,在其上的所有虛擬機將直接面對攻擊,后果將不堪設(shè)想。
第二,彈性、虛擬網(wǎng)絡(luò)使安全邊界模糊,安全策略難于隨網(wǎng)絡(luò)調(diào)整而實時、動態(tài)遷移,虛擬機容易受到同一主機的其他虛擬機的攻擊;傳統(tǒng)基于物理安全邊界的防護機制在
云計算的環(huán)境難以得到有效應(yīng)用。
第三,用戶失去對資源的完全控制以及多租戶共享計算資源,帶來的數(shù)據(jù)泄漏與攻擊風險,給數(shù)據(jù)安全保護提出了更高的要求。并且用戶、應(yīng)用和數(shù)據(jù)資源聚集,容易成為黑客攻擊的目標,而且一旦被攻擊,影響范圍廣、危害大。
5G安全針對NFV等虛擬化技術(shù)的引入,需要為網(wǎng)絡(luò)設(shè)備提供多元化的系統(tǒng)級防護,防止各類非法的攻擊和入侵。5G網(wǎng)絡(luò)環(huán)境將包含多廠家的軟硬件基礎(chǔ)設(shè)施,因此網(wǎng)絡(luò)身份必須得到有效管理,從而防止非法用戶對網(wǎng)絡(luò)資源的訪問。5G安全將提供傳輸保護,為數(shù)據(jù)傳輸提供如機密性和完整性等安全防護,應(yīng)對傳輸中數(shù)據(jù)的惡意竊聽和轉(zhuǎn)發(fā)。
——網(wǎng)絡(luò)切片安全需求
網(wǎng)絡(luò)切片是5G網(wǎng)絡(luò)的關(guān)鍵特征。一個網(wǎng)絡(luò)切片將構(gòu)成一個端到端的邏輯網(wǎng)絡(luò),按切片需求方的需求靈活地提供一種或多種網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)切片重要的安全問題是網(wǎng)絡(luò)切片需要提供不同切片實例之間的隔離機制,防止本切片內(nèi)的資源被其他類型網(wǎng)絡(luò)切片中網(wǎng)絡(luò)節(jié)點非法訪問。例如醫(yī)療切片網(wǎng)絡(luò)中的病人,只希望被接入到本切片網(wǎng)絡(luò)中的醫(yī)生訪問,而不希望被其他切片網(wǎng)絡(luò)中的人訪問。相同業(yè)務(wù)類型的網(wǎng)絡(luò)切片之間也存在隔離的需求,例如不同的企業(yè)的在使用相同業(yè)務(wù)類型的切片網(wǎng)絡(luò)時,并不希望本企業(yè)內(nèi)的服務(wù)資源被其他企業(yè)的網(wǎng)絡(luò)切片節(jié)點訪問。
服務(wù)、資源和數(shù)據(jù)在網(wǎng)絡(luò)切片中被隔離保護的效果要達到接近于傳統(tǒng)私網(wǎng)一樣的用戶感受,這樣才能使用戶能放心地將原本存放在私有網(wǎng)絡(luò)中的應(yīng)用數(shù)據(jù)存放到在云端,用戶在享有隨時隨地可訪問私有資源的同時不需要擔憂這些資源的安全問題,這樣才能促進各種垂直業(yè)務(wù)的健康快速發(fā)展。
——多RAT接入的安全需求
異構(gòu)接入網(wǎng)絡(luò)將是下一代接入網(wǎng)絡(luò)的主要技術(shù)特征之一,5G網(wǎng)絡(luò)將是多種無線接入技術(shù)融合共存的網(wǎng)絡(luò)。異構(gòu)不僅體現(xiàn)在接入技術(shù)的不同,如WiFi和蜂窩網(wǎng)絡(luò)方面,還體現(xiàn)在接入網(wǎng)絡(luò)因為屬于不同擁有者而造成的局部網(wǎng)絡(luò)架構(gòu)方面的差異上,因此,5G網(wǎng)絡(luò)需要構(gòu)建一個通用的認證機制,能夠在不同的接入技術(shù)、不安全的接入網(wǎng)之上建立一個安全的運營網(wǎng)絡(luò)。
另外,在異構(gòu)網(wǎng)絡(luò)間的安全互操作方面,終端可能在異構(gòu)網(wǎng)絡(luò)間進行切換,這時需要保證在異構(gòu)網(wǎng)絡(luò)間切換的安全互操作,如安全上下文的傳遞、密鑰的更新、異構(gòu)網(wǎng)絡(luò)間安全上下文的隔離等。
未來5G安全將在更加多樣化的場景、多種接入方式以及新型網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上,提供全方位的安全保障。除滿足基本通信安全外,5G安全機制能夠為不同的業(yè)務(wù)場景提供差異化的安全服務(wù),能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu),保護用戶隱私,并支持提供開放的安全能力。當前,5G標準化工作已經(jīng)全面啟動,3GPPSA2將在2016年年底完成5G網(wǎng)絡(luò)架構(gòu)的研究工作,因此亟須盡早明確5G網(wǎng)絡(luò)的安全需求,并且在5G網(wǎng)絡(luò)的整體架構(gòu)設(shè)計和后續(xù)標準化中綜合考慮5G安全要求,這樣才能最終實現(xiàn)構(gòu)建更加安全可信的5G新型網(wǎng)絡(luò)的目標。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:下一代移動網(wǎng)需構(gòu)建差異化安全機制
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839420351.html