天天操人人干,夜夜操夜夜爽,一级片中国,国产成视频

真情服務(wù)  厚德載物
今天是:
聯(lián)系我們

市場部:0564-3227239
技術(shù)部:0564-3227237
財(cái)務(wù)部: 0564-3227034
公司郵箱:lachs@126.com
技術(shù)郵箱:cc1982@163.com
地址:六安市淠望路103號

技術(shù)分類
推薦資訊
當(dāng)前位置:首 頁 > 技術(shù)中心 > 存儲設(shè)備 > 查看信息
5G新技術(shù)驅(qū)動的網(wǎng)絡(luò)安全需求
作者:永辰科技  來源:綠盟科技  發(fā)表時(shí)間:2020-6-29 16:40:18  點(diǎn)擊:2291

文章目錄

目前在國家主管部門的領(lǐng)導(dǎo)下,中國5G的建設(shè)和發(fā)展速度越來越快,廣電也擁有自己的5G牌照,也會參與到整個(gè)5G的建設(shè)中來。5G通信技術(shù)采用了很多新的技術(shù)以及不同的組網(wǎng)方式來滿足不同的場景的業(yè)務(wù)需求,而新技術(shù)新業(yè)務(wù)的使用也必將帶來新的安全需求。我們需要在建設(shè)5G網(wǎng)絡(luò)的同時(shí)高度關(guān)注網(wǎng)絡(luò)安全,才能保證整個(gè)5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)的安全,否則將會給社會和人民生活帶來嚴(yán)重?fù)p失。

2019年6月,工信部正式向中國電信、中國移動、中國聯(lián)通以及中國廣電發(fā)放5G商用牌照,中國廣電成為我國境內(nèi)第四家5G基礎(chǔ)電信運(yùn)營企業(yè)。近期,工信部向中國廣電頒發(fā)了4.9GHz頻段5G試驗(yàn)頻率使用許可,同意其在北京等16個(gè)城市部署5G網(wǎng)絡(luò),2020年2月九部委聯(lián)合印發(fā)《全國有線電視網(wǎng)絡(luò)整合發(fā)展實(shí)施方案》,明確全國廣電一網(wǎng)的整合與組建方案,由中國廣電主導(dǎo),建設(shè)具有廣電特色的5G網(wǎng)絡(luò)并賦能有線電視網(wǎng)絡(luò),由此可見5G是廣電未來發(fā)展的重要方向。

5G網(wǎng)絡(luò)是未來物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市、智慧家庭等萬物互聯(lián)的基礎(chǔ)。5G網(wǎng)絡(luò)的高帶寬、低時(shí)延、大連接特性,將大幅度提升全社會各產(chǎn)業(yè)的信息化水平。它不僅提升了人與人之間通信的速度和效率,還將有效拓展人與物、物與物之間的連接水平和通信能力。5G將滲透到萬物互聯(lián)的各個(gè)領(lǐng)域,極大豐富移動通信網(wǎng)絡(luò)的業(yè)務(wù)范疇,并將逐步形成完善的生態(tài)體系。

5G采用了很多不同于4G的新技術(shù),以適應(yīng)多種應(yīng)用場景的需求,新技術(shù)往往是“雙刃劍”,帶來便利的同時(shí)也會形成新的挑戰(zhàn)。5G網(wǎng)絡(luò)架構(gòu)引入新的技術(shù)SDN、NFV來提高系統(tǒng)的靈活性和效率,同時(shí)降低成本;但由于SDN、NFV使網(wǎng)絡(luò)邊界變得十分模糊,以前依賴物理邊界防護(hù)的安全機(jī)制難以得到應(yīng)用。為了滿足低時(shí)延業(yè)務(wù),在5G接入點(diǎn)也將部署大量的MEC節(jié)點(diǎn),MEC節(jié)點(diǎn)也將采用云化的部署方式,同樣面臨各種各樣的安全風(fēng)險(xiǎn)。

MEC安全需求

MEC通過將計(jì)算存儲能力與業(yè)務(wù)服務(wù)能力向網(wǎng)絡(luò)邊緣遷移,使應(yīng)用、服務(wù)和內(nèi)容可以實(shí)現(xiàn)本地化、近距離、分布式部署,從而一定程度解決了5G增強(qiáng)移動寬帶、海量機(jī)器類通信、超高可靠低時(shí)延通信等技術(shù)場景的業(yè)務(wù)需求。邊緣節(jié)點(diǎn)具備一定的規(guī)模后形成邊緣云。位于接入機(jī)房處的邊緣云規(guī)模較小,容易遭受物理攻擊,但距離用戶終端最近,能夠?yàn)闃I(yè)務(wù)提供超低時(shí)延保障。位于邊緣機(jī)房的邊緣云規(guī)模較大,雖然時(shí)延相對前者較大,但可靠性、安全性更高。

MEC為5G帶來便利的同時(shí)也帶來了新的安全需求,主要包括兩個(gè)方面:MEC應(yīng)用的安全需求和MEC基礎(chǔ)設(shè)施的安全需求:

  1. MEC應(yīng)用的安全需求

5G垂直應(yīng)用落地的一大關(guān)鍵是在MEC邊緣云上部署可信的第三方應(yīng)用。然而,目前仍缺少對MEC應(yīng)用進(jìn)行安全檢查的安全規(guī)范。惡意MEC應(yīng)用除了會嘗試耗盡它所運(yùn)行的MEC主機(jī)的計(jì)算、網(wǎng)絡(luò)、存儲資源外,因?yàn)榫o鄰在基站側(cè),惡意MEC可以利用無線和網(wǎng)絡(luò)能力開放接口重新配置無線接入網(wǎng)以達(dá)到消耗競爭對手MEC應(yīng)用分配到的無線資源。此外,惡意MEC應(yīng)用還可在本地環(huán)境搜索易受攻擊的設(shè)備,執(zhí)行破解密碼等程序。更為嚴(yán)重的是,運(yùn)營商核心網(wǎng)用戶面網(wǎng)元UPF常與MEC應(yīng)用共平臺部署,進(jìn)一步擴(kuò)大核心網(wǎng)的攻擊面。

因此,在將MEC應(yīng)用實(shí)例化到5G網(wǎng)絡(luò)前,需要考慮MEC應(yīng)用的安全需求。首先,要確保MEC應(yīng)用來自可信的第三方應(yīng)用提供商,可以通過對鏡像進(jìn)行簽名驗(yàn)證來實(shí)現(xiàn);其次,要確保上傳的MEC鏡像未經(jīng)過非法篡改,可以通過完整性校驗(yàn)實(shí)現(xiàn);最后,需要在沙箱中檢測MEC應(yīng)用是否存在攻擊行為及虛假計(jì)費(fèi)行為。因?yàn)?G中第三方應(yīng)用的計(jì)費(fèi)從核心網(wǎng)下沉到邊緣側(cè),繞過了核心網(wǎng)的有力監(jiān)控,因此,針對邊緣應(yīng)用的計(jì)費(fèi)行為需要重點(diǎn)關(guān)注。

  1. MEC基礎(chǔ)設(shè)施的安全需求

MEC節(jié)點(diǎn)靠近網(wǎng)絡(luò)的邊緣,外部環(huán)境可信度降低,運(yùn)營商的管理控制能力減弱。攻擊者甚至可以通過物理攻擊的手段(如放火、砸毀機(jī)房等)使本地MEC節(jié)點(diǎn)失效。此外,MEC自身資源有限、安全能力不夠完善,可抵御的攻擊種類和抵御單個(gè)攻擊的強(qiáng)度不夠,容易被攻擊。

因此,MEC基礎(chǔ)設(shè)施也存在著安全防護(hù)需求。這些需求分為包括兩個(gè)部分:物理基礎(chǔ)設(shè)施防護(hù)需求和虛擬化基礎(chǔ)設(shè)施防護(hù)需求。

  • 物理基礎(chǔ)設(shè)施安全防護(hù)要確保物理環(huán)境的安全。由于位于網(wǎng)絡(luò)邊緣側(cè)且分布式部署,邊緣機(jī)房往往管理力度不夠,相對于云服務(wù)器,更容易遭受物理攻擊和物理端口被竊聽的風(fēng)險(xiǎn)?赏ㄟ^加鎖、人員管理等方式保障物理環(huán)境安全。其次,可信計(jì)算和可信IO接入的引入也可以保障物理服務(wù)器的可信。
  • 虛擬基礎(chǔ)設(shè)施需要應(yīng)對多維度的安全風(fēng)險(xiǎn),包括宿主機(jī)操作系統(tǒng)、容器和虛擬機(jī)。為加強(qiáng)宿主機(jī)操作系統(tǒng)安全性,可以對操作系統(tǒng)進(jìn)行基礎(chǔ)檢查、漏洞掃描、病毒和木馬防范、升級及補(bǔ)丁管理;為加強(qiáng)容器和虛擬機(jī)安全性,可設(shè)計(jì)有效的隔離機(jī)制,關(guān)閉無關(guān)端口、并對東西向流量進(jìn)行安全檢測。

SDN/NFV安全需求

5G新的網(wǎng)絡(luò)架構(gòu)引入了SDN、NFV技術(shù),提供更靈活、更高效、更低成本的網(wǎng)絡(luò)服務(wù)。SDN/NFV在與5G融合的過程中,也給5G移動通信網(wǎng)帶來了新的攻擊面。

  1. SDN風(fēng)險(xiǎn)和安全需求

SDN控制器是傳輸網(wǎng)和核心網(wǎng)網(wǎng)絡(luò)調(diào)度的中心,其本身存在不少安全脆弱點(diǎn)。作為網(wǎng)絡(luò)的“大腦”,當(dāng)攻擊者攻破控制器,就可以向所有的網(wǎng)絡(luò)設(shè)施發(fā)送指令,很容易使整個(gè)網(wǎng)絡(luò)癱瘓。因此,設(shè)計(jì)一個(gè)安全可靠的SDN控制器對于移動通信網(wǎng)來說是必不可少的。

安全可靠的SDN控制器首先需要加入審計(jì)機(jī)制,檢查訪問控制器的用戶是否合法。其次,控制器和底層交換設(shè)備之間必須存在一個(gè)加密通道,以防止中間人攻擊。最后,對于控制器上運(yùn)行的應(yīng)用軟件,需要進(jìn)行安全測試以防止應(yīng)用被植入惡意代碼,同時(shí)還應(yīng)做到應(yīng)用隔離和權(quán)限管理,以限制應(yīng)用對底層資源的訪問權(quán)限。

除了SDN控制器的安全需求外,負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)的底層交換設(shè)備也容易遭受各種攻擊,如攻擊者直接入侵交換機(jī)用虛假流信息填滿流表、修改交換機(jī)對數(shù)據(jù)包的操作。底層交換設(shè)備,除了進(jìn)行主動的攻擊檢測外進(jìn)行安全防護(hù)外,還可以通過流控、擁塞丟包和超時(shí)調(diào)整等方式抵御外部攻擊。

  1. NFV安全需求

NFV技術(shù)是核心網(wǎng)網(wǎng)元能夠動態(tài)靈活部署的關(guān)鍵。然而,NFV平臺存在平臺自身的脆弱性問題和不安全的接口,同時(shí)運(yùn)行于上的虛擬安全功能(如5G核心網(wǎng)網(wǎng)元)也面臨著遠(yuǎn)程調(diào)試、數(shù)據(jù)竊取與篡改等風(fēng)險(xiǎn)。因此,NFV的安全需求包括以下幾個(gè)方面:

  • VNF安全需求:核心網(wǎng)網(wǎng)元通過VNF軟件包實(shí)例化在虛擬化平臺之上,因此有必要對第三方提供的VNF軟件包進(jìn)行完整性校驗(yàn),同時(shí)需要對VNF進(jìn)行敏感數(shù)據(jù)保護(hù)和權(quán)限管理;
  • NFV網(wǎng)絡(luò)安全需求:VNF之間通信的流量可能只在同一宿主機(jī)內(nèi),傳統(tǒng)的物理安全設(shè)備很難檢測到這樣的流量,因此NFV組網(wǎng)需要考慮VNF之間通信的安全,如雙向認(rèn)證、數(shù)據(jù)加密和完整性保護(hù),同時(shí)可以部署虛擬機(jī)形態(tài)的安全功能對主機(jī)內(nèi)的流量進(jìn)行安全監(jiān)控;
  • MANO安全需求:MANO平臺除了有MANO各實(shí)體之間交互的安全需求(如雙向認(rèn)證),還包括每個(gè)MANO實(shí)體的安全需求,如VNFM可以運(yùn)行在虛擬機(jī)上,因此需要考慮虛擬機(jī)逃逸等安全威脅;

面向垂直行業(yè)驅(qū)動的切片安全需求

國際電信聯(lián)盟將5G業(yè)務(wù)劃分為三個(gè)類型:增強(qiáng)型移動寬帶(eMBB)、超高可靠性低時(shí)延業(yè)務(wù)(uRLLC)和海量機(jī)器類通信(mMTC)。每個(gè)類型有不同的服務(wù)質(zhì)量需求,如uRLLC業(yè)務(wù)需要滿足低時(shí)延、高帶寬,而海量機(jī)器類通信需要支持大連接,但對網(wǎng)絡(luò)時(shí)延并不敏感。

為了能夠根據(jù)不同業(yè)務(wù)構(gòu)建不同網(wǎng)絡(luò),5G引入了網(wǎng)絡(luò)切片的概念。網(wǎng)絡(luò)切片是指在運(yùn)營商的物理網(wǎng)絡(luò)之上構(gòu)建多個(gè)虛擬網(wǎng)絡(luò),每個(gè)虛擬網(wǎng)絡(luò)提供差異化的網(wǎng)絡(luò)服務(wù)。行業(yè)應(yīng)用需求的差異決定了網(wǎng)絡(luò)切片功能的差異化。并非所有切片都包含相同的網(wǎng)絡(luò)功能,有些網(wǎng)絡(luò)功能基于需求可以不用配置或進(jìn)行定制化的裁剪。

  1. 跨域的切片安全機(jī)制

跨域的切片安全機(jī)制是保障切片安全的基礎(chǔ)。根據(jù)上層MANO平臺下發(fā)的一致性安全策略,切片安全機(jī)制通過切片或子切片隔離、統(tǒng)一的切片認(rèn)證等方式實(shí)現(xiàn)對切片的跨域安全防護(hù)。

  • 有效的切片隔離機(jī)制

網(wǎng)絡(luò)切片運(yùn)行于公有的基礎(chǔ)設(shè)施之上。根據(jù)3GPP協(xié)議,不同的切片之間可以共享控制面的子切片,而對于數(shù)據(jù)面的子切片而言,切片之間無法共享。因此,網(wǎng)絡(luò)切片需要提供不同切片之間有效的隔離機(jī)制,防止本切片的隱私數(shù)據(jù)被其他切片有意或無意訪問,如車聯(lián)網(wǎng)切片中,車輛的位置信息、身份信息等敏感信息并不希望被其他切片所訪問。當(dāng)切片隔離機(jī)制不合理時(shí)可能會帶來安全隱患,如某個(gè)切片允許租戶在切片網(wǎng)絡(luò)中部署自身的第三方網(wǎng)絡(luò)功能,惡意的第三方網(wǎng)絡(luò)功能可能會對其他切片發(fā)起攻擊。此外,為了使租戶放心地使用網(wǎng)絡(luò)切片,切片中資源、服務(wù)的隔離效果應(yīng)該接近于現(xiàn)有的私有網(wǎng)絡(luò)。

  • 統(tǒng)一的切片認(rèn)證機(jī)制

5G網(wǎng)絡(luò)的接入方式多種多樣,包括3GPP接入和非3GPP接入。同時(shí),某些終端具備支持接入多種網(wǎng)絡(luò)切片、在不同網(wǎng)絡(luò)切片之間切換的能力,從而導(dǎo)致5G接入場景多種多樣。因此,5G應(yīng)該提供一種統(tǒng)一、高效的切片認(rèn)證方式,實(shí)現(xiàn)終端對不同切片的接入認(rèn)證和鑒權(quán)。

  1. 提供差異化的切片安全處理能力

切片網(wǎng)絡(luò)除了可以為垂直行業(yè)提供差異化的連接服務(wù)外,還需要根據(jù)各垂直行業(yè)安全需求的不同提供差異化的安全防護(hù)能力。

eMBB場景下,5G網(wǎng)絡(luò)峰值速率和用戶體驗(yàn)速率較4G增長10倍以上。超大流量增加了基于流量檢測、內(nèi)容識別、加解密等技術(shù)的安全防護(hù)難度;不良視頻內(nèi)容識別、海量數(shù)據(jù)的輿情分析等方面對安全監(jiān)測帶來挑戰(zhàn)。因此,eMBB切片對安全功能的計(jì)算與處理能力帶來了很大挑戰(zhàn)。

uRLLC場景具有高安全、高可靠、低時(shí)延的特點(diǎn)。在切片部署的過程中需要考慮安全功能引入的時(shí)延以及在高速率情況下留給安全功能的開銷。因此,uRLLC切片對安全響應(yīng)時(shí)效性要求較高。

mMTC場景具有大連接、弱終端的特點(diǎn)。因此,安全和加密算法必須滿足資源受限的約束,同時(shí)終端并不一定每一次通信都需要完成完整的安全流程。此外,mMTC切片還需要抵御超大連接易引發(fā)的全網(wǎng)或局部規(guī)模DDoS攻擊。

2020年5G將進(jìn)入規(guī)模部署商用,廣電在大融合背景下也將大力發(fā)展5G業(yè)務(wù),在這樣的背景下,5G安全愈發(fā)引人關(guān)注。5G由于其IT和CT融合的特性,其安全需求不僅包括傳統(tǒng)移動通信網(wǎng)的需求,還有新型的IT技術(shù)和多樣化垂直服務(wù)引入的需求。在發(fā)展5G的同時(shí),我們也要關(guān)注5G網(wǎng)絡(luò)的安全需求,最終能夠提供一張高質(zhì)量、高可靠、高安全的5G網(wǎng)絡(luò)。

 
 
 
合作伙伴
微軟中國 | 聯(lián)想集團(tuán) | IBM | 蘋果電腦 | 浪潮集團(tuán) | 惠普中國 | 深信服 | 愛數(shù)軟件 | 華為
六安市永辰科技有限公司 版權(quán)所有 © Copyright 2010-2021 All Rights 六安市淠望路103號 最佳瀏覽效果 IE8或以上瀏覽器
訪問量:2997175    皖I(lǐng)CP備11014188號-1