2022年G信息安全白皮书 .pdf
《2022年G信息安全白皮书 .pdf》由会员分享,可在线阅读,更多相关《2022年G信息安全白皮书 .pdf(48页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 48 页 - - - - - - - - - 5G信息安全白皮书1 目录1引言 . 325G 安全需求 . 32.1 5G 安全总体架构 . 32.2 认证/鉴别与授权 . 42.3 接入安全 . 52.3.1满足多类型终端、多接入技术、多接入类型. 52.3.2满足典型应用场景 . 52.4 移动边缘计算( MEC)安全 . 62.4.1移动边缘计算 (MEC)内涵与特点 . 62.4.2MEC 安全需求 . 72.5 切
2、片安全 . 82.5.1NFV 安全需求 . 92.5.2SDN 安全需求 . 102.5.3网络切片的安全隔离需求 . 102.6 数据完整性和机密性 . 112.7 隐私保护 . 112.8 安全管理 . 122.8.15G安全管理的必要性 . 122.8.25G安全管理需求分析 . 132.9 密钥体系 . 142.10终端安全 . 152.10.1 5G移动终端共性安全需求. 162.10.2 eMBB 终端安全需求 . 172.10.3 mMTC 终端安全需求 . 172.10.4 uRLLC 终端安全需求 . 173主要解决思路 . 183.1 5G 安全总体架构 . 183.2
3、认证/鉴别与授权 . 213.2.1广泛网络实体的身份标识支持. 213.2.2多安全级别的网络实体身份凭证机制. 223.2.3统一的网络实体身份鉴别体系. 233.2.4多元实体间的安全资源授权管理. 243.3 接入安全 . 253.3.1支持多类型终端、多接入类型、多接入方式. 253.3.25G支持典型应用场景的接入安全. 263.4 移动边缘计算( MEC)安全 . 303.4.1MEC 边缘节点硬件设施保护 . 303.4.2MEC 系统隐私泄露防护 . 313.4.3MEC 三元认证与鉴权 . 333.5 切片安全 . 343.6 数据完整性和机密性 . 353.7 隐私保护
4、. 35名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 48 页 - - - - - - - - - 5G信息安全白皮书2 3.8 安全管理 . 373.9 密钥体系 . 393.10终端安全 . 4045G 安全标准化 . 445总结 . 44参考文献 . 45鸣谢 . 45名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 48 页 - - - -
5、- - - - - 5G信息安全白皮书3 1引言5G 移动通信系统需要支持增强移动宽带、高可靠低时延以及低功耗大连接等应用场景。除了移动互联网应用,5G 还需要为车联网、物联网(IoT)、虚拟现实、高速铁路等新兴行业的发展提供快速响应、无处不在的网络接入,为垂直行业的快速发展、创新提供信息基础平台。5G 新的应用场景、新的技术和新的服务方式给 5G 的安全带来许多新的安全需求与风险。5G 对不同场景提供的接入方式和网络服务方式存在较大差异,支持的业务交付方式也不同,安全需求的差异性非常明显。特别是物联网应用场景带来的大连接认证、高可用 性、低 时 延、低 能耗等安全需求, 以及5G 引 入的S
6、DN/NFV、虚拟化、移动边缘计算和异构无线网络融合等新技术带来的变化和安全风险,对5G 移动通信系统的接入认证/鉴权、切片安全、数据保护和用户隐私保护等方面提出全新的挑战。目前对5G 安全标准进行研究的主要集中在3GPP SA3、ETSI 和国内的CCSA TC5 WG5 和 TC8 WG2。3GPP SA3 目前正在研究的技术报告TR 33.899是 5G 安全标准化工作的基础,TR33.899(V1.2.0)给出了17 个安全领域共109 关键议题( Key Issue)数百个解决方案( Solution),基本上覆盖了5G 安全的所有安全需求。 ETSI 的网络功能虚拟化标准工作组(N
7、FV ISG)将在 5G网络的基础设施标准化中扮演重要角色,主要目标是研究基于NFV 的开放、互操作、商业生态链的技术规范。基于国际国内标准化工作进展和国内相关单位的最新研究成果,本白皮书针对 5G 安全总体架构、认证 /鉴别与授权、接入安全、切片安全、密钥体系和终端安全等 10 个 5G 安全领域的安全需求进行了梳理,并针对相应的需求对国内外的解决思路进行了描述,以期对5G安全的研究工作有所促进。25G 安全需求2.15G 安全总体架构“ 安全总体架构 ” 是对系统安全体系架构的结构化描述,对模型中功能模块与安全模块、安全模块间安全相互关系的定义。科学、合理的安全架构可以有效的指导整个系统具
8、体安全机制设计与技术研发。5G 安全应打破以往移动通信系统成型后“ 打补丁式 ” 的升级演进模式,与5G 移动通信技术同步演进,实现系统安全内生与安全威胁“ 标本兼治 ” 的目标。为了实现这一目标, 5G 安全总体架构(以下简称安全架构)的设计应具备良好的弹性与可扩展性,并能够满足5G 安全技术的演进发展需求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 48 页 - - - - - - - - - 5G信息安全白皮书4 具体而言,对应5G 应用、网络、无线接入、终端、
9、系统等演进带来的新安全需求,可以从以下五个方面概括5G安全总体架构的设计需求:1)5G 将渗透到交通、医疗、工业等多元化的垂直行业和领域,并支持人与人、人与物、物与物间多样化的信息交互。因此,安全架构应面向多样化、海量的应用与终端,支持统一的身份管理和认证功能,支持多元化的信任关系构建;面向多元化安全需求,支持差异化安全策略与模组的灵活适配。2)随着SDN、NFV、切片等技术的引入,5G 网络呈现出虚拟化、软件化、开放化等特点。面对这些特点,安全架构应支持高可靠的虚拟化安全技术(如 SDN 安全、切片安全、 VNF 安全等);支持开放接口调用合规性监管,确保服务与能力的安全开放。3)5G 无线
10、接入网具有多类型接入技术融合、超密集组网等特点,并引入了移动边缘计算( MEC)等新型服务技术。因此,安全架构应支持多类型接入技术融合统一接入安全管理,并具备MEC 内生服务安全能力。4)5G在丰富垂直行业与专用领域的应用,使得5G 终端类型呈现多元化。因此,安全架构应针对多元化终端的安全需求,支持差异化安全策略与模组的灵活适配,以及高可信终端安全运行环境构建。5)5G应用、网络、无线接入、终端等方面的特点,导致5G 网络的攻击面大幅增加,因此,为了应对潜在未知安全威胁,在安全架构中还需要引入能够对 5G 网络安全态势管理和监测预警的长效手段。2.2认证/鉴别与授权认证/鉴别与授权主要包括以下
11、方面的需求:(1)广泛网络实体的身份标识支持:在5G 网络服务背景和物联网应用需求下,用户、机构、网络设备和资源、网络服务等不同种类的网络实体将大量接入,需要5G 网络对不同类型的实体标识进行广泛的支持。如何定义网络实体的身份标识,以及制定相应的身份标识注册和查询机制,是5G 网络服务亟待解决的需求之一。(2)海量网络实体接入的凭证支持:身份凭证是指用于区分网络实体身份标识的可信依据。 5G 网络服务需要为物联网提供海量实体身份凭证的支持,如何高效地进行凭证的生成和验证,并针对网络实体不同的安全能力与安全需求等级提供可靠的多级别凭证服务,都将是5G 网络实体接入凭证的重要研究问题。(3)统一的
12、网络实体身份鉴别:身份鉴别即对网络实体凭证进行鉴别的过名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 48 页 - - - - - - - - - 5G信息安全白皮书5 程。5G 网络中需要接入网络用户、网络设备及网络服务等多类网络实体,网络应用需要对各类实体进行有效身份鉴别。由于网络实体身份凭证的提供方、网络身份凭证类型和鉴别机制都不尽相同,为确保网络应用对于网络实体身份的高效、正确鉴别, 5G 网络中需研究并提供统一的身份鉴别机制或服务,使得网络实体可以互通互认,同时
13、在鉴别过程中有效保护网络用户隐私信息。(4)多元实体间的安全资源授权管理: 5G 网络中,网络实体的广泛接入,将引发网络应用、网络资源的大规模扩张,各类网络应用互通协作也将越来越多,这将带来网络资源跨应用共享的迫切需求。如何通过有效的授权管理来保证网络应用可控、安全地访问特定网络用户网络资源,建立网络身份提供方和网络资源提供方等众多网络实体间的多元信任,是5G 网络环境下资源共享的重要问题之一。2.3接入安全2.3.1满足多类型终端、多接入技术、多接入类型5G 时代要实现万物互联,5G 网络不仅用于人与人的通信,还用于人与物、物与物的通信,为此,5G 网络需要支持多样化的接入终端,多种接入类型
14、和多种接入技术。从终端类型看,分为有卡终端和无卡终端。有卡终端以SIM/USIM 卡作为用户身份和密钥载体,具备一定的计算和存储能力;无卡终端没有内置专用载体存储身份密钥信息,通常以IP 地址或者 MAC 作为自己的身份,用数字证书提供安全保障;从接入类型看,5G 网络需要支持3GPP 接入,非 3GPP接入,可信接入和非信任接入;从接入技术看,5G 网络除了支持5G 新无线接入技术之外,还要兼容3G 接入、 LTE 接入、 WLAN 和固定接入等技术。因此5G 网络是融合了多种类型的终端、接入类型和接入技术的异构型网络,而不同的终端,不同的接入类型和接入技术存在不同的安全需求,使用不同的认证
15、协议和密钥协商机制,5G 网络需要研究构建统一的认证框架来融合不同的接入认证机制,满足具有不同安全能力的终端的安全接入需求。2.3.2满足典型应用场景未来 5G 网络需要支持三大类典型应用:增强移动宽带(eMBB)、海量机器类通信( mMTC)和超可靠低时延通信(uRLLC)。这三类应用场景根据各自的应用特性存在不同的接入安全需求。eMBB 重点是提供超高带宽,用于满足诸如虚拟现实(VR)、大视频等对带宽有极高要求的业务。3GPP制定 5G 第一阶段的标准就是为了满足eMBB 应用。eMBB 应用的接入安全通过继承和扩展LTE 的接入安全机制实现,主要针名师资料总结 - - -精品资料欢迎下载
16、 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 48 页 - - - - - - - - - 5G信息安全白皮书6 对 LTE 接入下用户首次接入时IMSI 采用明文传送存在的安全风险,采取了IMSI 加密传输的机制,另外结合5G 网络架构,进一步增强了密钥派生机制来满足各接入层次安全传输的需要。mMTC 应用的主要特点是接入网络的终端数量巨大,终端无卡,安全能力较弱,功耗小,资源受限,小数据传送等。按照传统的接入方式,每个终端和网络之间需要进行多次交互才能完成认证过程,实现网络接入。mMTC 应用下,如果终端
17、仍然延用传统接入方式,海量终端并发接入网络极有可能产生信令风暴,造成网络拥塞;另外,在接入失败情况下终端不断尝试重新接入网络发起认证,这对于低功耗无人值守的MTC 终端将加速其电池消耗。因此需要研究包括简化认证机制,优化认证协议在内的满足MTC 设备高效快速接入的轻量化安全接入方式。针对物联网传输的是小数据且是零星传送的数据特征,需要为小数据传送建立通道。如果小数据传送的无线网络缺少安全保护机制,攻击者就有可能通过访问小数据接口入侵网络,因此还需要研究针对小数据的空口传输安全保证机制。uRLLC 应用对通信可靠性,低时延有极高的要求,例如车联网、远程医疗等应用。网络安全通常与网络性能效率是互为
18、矛盾的,增强网络安全防护机制,必然以牺牲网络性能,降低网络效率为代价,uRLLC 应用也不例外,如果引入安全机制,就必然会影响业务时延。但是安全对于uRLLC 应用又是不可或缺的,如果车联网业务缺乏安全机制保护,就会存在交通信息被窃取或篡改进而影响到行车安全甚至威胁到生命安全。因此在保证可靠性和低时延等业务性能的同时,需要研究uRLLC 的接入安全,研究车联网通信时的身份认证、车辆身份信息的保护、数据传输安全等接入安全解决方案。2.4移动边缘计算( MEC)安全2.4.1移动边缘计算 (MEC)内涵与特点移动边缘计算( Mobile Edge Computing, MEC )作为 5G 网络新
19、型网络架构之一,通过将云计算能力和IT 服务环境下沉到移动通信网络边缘,就近向用户提供服务,从而构建一个具备高性能、低延迟与高带宽的电信级服务环境。MEC 的特点概括如下:共生融合: MEC 作为移动通信系统的共生系统,与5G 移动接入网络、回传网络、市省级核心网络融合部署。MEC 系统利用基于服务架构( Service-Based Architecture, SBA)获取 5G开放服务,并向5G 网络用户提供边缘服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 48
20、 页 - - - - - - - - - 5G信息安全白皮书7 按需临近部署: MEC 节点可根据应用服务需求按需、分布式部署于移动网络边缘的多个位置。这种灵活、临近的部署方式在为超低时延要求提供保障的同时也能够降低高带宽业务的数据流对核心网带来的压力。虚拟化构建:在通用硬件平台通过虚拟化技术构建计算环境,承载来自于第三方或运营商的MEC 应用。为了支持MEC 快速灵活的部署, MEC 节点可支持与 5G NFV 兼容的虚拟化方式,与5G NFV 同平台部署。高可协作性: MEC 各节点间的应用与服务具有较高的可协作性。不同的MEC 节点的应用间能够通过协作的方式向用户提供服务(如移动性导致的
21、服务迁移)。同时,对于具有高可靠性需求的关键应用,可通过在节点间进行服务热备和快恢复,提高系统的应急和容灾能力。此外,通过在多个MEC 计算节点间使用协作的方式执行安全策略(如分布式加密),在降低单个节点的计算量的同时,还能提升策略的安全性。基于用户信息感知的高质量、个性化服务:MEC 应用能通过与5G 网络间标准化的协议和接口,感知用户信息,并融合信息技术与通信技术提供更高的用户服务体验。另外,通过对用户信息的进一步挖掘,能够提升5G 边缘网络数据的商业价值。2.4.2MEC 安全需求图 1 MEC 安全需求及内涵MEC 的安全需求总结如图1 所示,接下来将对其中MEC 特有的安全需求进行详
22、细描述:(1)物理设施保护: MEC 按需临近部署的特点在为用户提供高质量服务的同时,也在客观上缩短了攻击者与MEC 物理设施之间的距离,使得攻击者名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 48 页 - - - - - - - - - 5G信息安全白皮书8 更有可能接触MEC 物理设施,造成MEC 物理设备毁坏、服务中断、用户隐私和数据泄露等严重后果。另一方面,广泛部署的MEC 边缘计算节点同样面临着各种自然灾害(如台风、冰雹)和工业灾难的威胁。以上因素都可能直接破
23、坏 MEC 硬件基础设施,造成服务的突然中断以及数据的意外丢失。因此需要在考虑性能和成本的基础上最大限度为MEC 节点配备相应的物理设施保护措施。(2)安全能力受限下的MEC 节点安全防护 : 由于性能、成本、部署灵活性要求等多种因素制约,单个MEC 节点的安全防护能力(如可抵御的攻击种类,抵御单个攻击的强度等)受到限制。因此需要:针对MEC 节点应用特征及终端特征( IoT 终端 /移动智能终端),有的放矢地部署相应的安全防护措施;充分利用MEC 节点的高可协作特性,通过例如基于智能协同的安全防护等技术,借助周边节点的空闲安全防护资源,提升单个节点能抵御的攻击强度上限。(3)扩展信任模型构建
24、:MEC 系统与移动通信系统共生融合的部署方式扩充了以往的 “ 用户分别跟网络和服务进行认证” 的二元信任关系构建模型。需要构建用户、 MEC 系统、 MEC 应用、移动通信网络两两之间,以及MEC 系统内部的信任关系。具体而言:需要构建MEC 系统与 5G 网络间的信任关系以合法使用 5G 开放网络服务(如本地分流)向用户提供服务;需要构建MEC 系统与 MEC 应用间的信任关系防止恶意应用接管用户服务;需要构建MEC 系统与用户间的信任关系以确认MEC 系统和用户的合法性。在MEC 系统内部,需要构建 MEC 节点与 MEC 控制器间的信任关系,防止“ 伪 MEC 节点” 恶意接入窃取用户
25、和服务信息;需要构建MEC 节点间的信任关系以支持节点间协作。(4)隐私及数据保护: MEC “ 基于用户信息感知的高质量、个性化服务” 的特点在提供便利的同时也让MEC 应用不可避免的接触到大量移动用户与设备的隐私和数据信息,如用户身份、位置、移动轨迹等。而对这些信息进一步挖掘后,还得到用户的作息规律、生活习惯、健康状况等诸多信息。因此,在MEC 隐私及数据保护中,需要配备相应的隐私泄漏防护措施,严控第三方MEC 应用的行为,防止其泄漏、滥用用户的隐私及数据信息;需要通过动态身份标识和匿名等技术削弱MEC 计算节点标识和地理位置的映射关系,防止第三方根据MEC 节点位置推断用户的地理位置;需
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年G信息安全白皮书 2022 信息 安全 白皮书
限制150内