1 引言
作為新一代移動通信技術(shù)�,5G系統(tǒng)在提升移動互聯(lián)網(wǎng)用戶業(yè)務(wù)體驗(yàn)的基礎(chǔ)之上����,進(jìn)一步滿足未來物聯(lián)網(wǎng)應(yīng)用的海量需求,與各行業(yè)深度融合�����,實(shí)現(xiàn)真正的“萬物互聯(lián)”�����。
5G網(wǎng)絡(luò)支持更高帶寬�����、更低時(shí)延、更大連接密度��,可以滿足3類應(yīng)用場景:增強(qiáng)移動寬帶(Enhanced Mobile Broadband����,eMBB),超可靠低時(shí)延通信(Ultra-reliable and Low-latency Communications�����,uRLLC)以及海量機(jī)器類通信(Massive Machine Type Communications����,mMTC)����。
為滿足3種不同業(yè)務(wù)類型的通信需要,要求運(yùn)營商能夠針對新系統(tǒng)�����、新環(huán)境下的差異性�,研究5G業(yè)務(wù)系統(tǒng)安全方面的典型特征,做好5G網(wǎng)絡(luò)業(yè)務(wù)的安全管控�����,保障5G網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)運(yùn)營安全。
2 5G網(wǎng)絡(luò)架構(gòu)與數(shù)據(jù)流分析
本文以目前5G網(wǎng)絡(luò)規(guī)劃使用的NSA Option3x����、SA Option2兩種架構(gòu)為例,對5G數(shù)據(jù)流走向及存在的信息安全問題進(jìn)行分析�����。
2.1 NSA Option3x網(wǎng)絡(luò)架構(gòu)介紹與數(shù)據(jù)流分析
基于NSA Option3x方案的5G網(wǎng)絡(luò)總體架構(gòu)和4G LTE網(wǎng)絡(luò)總體架構(gòu)基本相同�,是由分組域核心網(wǎng)、電路域核心網(wǎng)����、IMS核心網(wǎng)及相關(guān)業(yè)務(wù)平臺、無線接入網(wǎng)和NSA終端組成���,其中分組域核心網(wǎng)通過功能增強(qiáng)支持NSA核心網(wǎng)����,簡稱EPC+�。在NSA Option3x的網(wǎng)絡(luò)系統(tǒng)中,信令面均通過eNB和EPC+的S1-C接口連接交互。
對于NSA Option3x方案����,數(shù)據(jù)可按承載粒度由4GeNB基站或5GgNB基站通過S1-U隧道和EPC+交互,X2接口除了承載信令外��,還支持?jǐn)?shù)據(jù)面報(bào)文的交互���,即gNB支持將一個(gè)承載內(nèi)的下行數(shù)據(jù)按照一定規(guī)則通過X2接口分流至eNB�,上行數(shù)據(jù)可從eNB通過X2接口發(fā)送至gNB���,也可直接通過NR空口發(fā)送至gNB�����。所有信令數(shù)據(jù)通過eNB到核心網(wǎng)����,Volte數(shù)據(jù)通過eNB到核心網(wǎng)��。
2.2 SA Option 2網(wǎng)絡(luò)架構(gòu)介紹與數(shù)據(jù)流分析
在SA Option 2組網(wǎng)方式中�����,接入層及非接入層信令和數(shù)據(jù)均通過5G協(xié)議進(jìn)行傳輸����。
在核心網(wǎng)層面,核心網(wǎng)組網(wǎng)架構(gòu)��、設(shè)備為5G新核心網(wǎng)架構(gòu)�、設(shè)備;所有核心網(wǎng)信令�����、流程按照5G核心網(wǎng)協(xié)議進(jìn)行傳輸�����; 5G控制面采用基于服務(wù)的架構(gòu)(SBA)�,控制面網(wǎng)元包含AUSF、AMF���、SMF����、NSSF�、NEF��、NRF���、PCF、UDM等�;5G用戶面功能設(shè)備為UPF;可以對垂直行業(yè)用戶提供業(yè)務(wù)優(yōu)化能力�,如網(wǎng)絡(luò)切片、邊緣計(jì)算(MEC)信息開放等�。
在接入網(wǎng)層面,5G SA用戶通過NR空口接入5G核心網(wǎng)���;5G接入采用gNB基站�����;支持與4G切換�、重選互操作����;所有控制面數(shù)據(jù)與用戶面數(shù)據(jù)均通過gNB傳輸?shù)?G核心網(wǎng)。
3 5G信息安全管控
5G網(wǎng)絡(luò)架構(gòu)以及應(yīng)用的變化�����,使得5G的信息安全管控也隨之發(fā)生改變���。下面我們從5G信息安全管控體系以及5G應(yīng)用于人工智能(AI)����、物聯(lián)網(wǎng)(IoT)����、云計(jì)算(Cloud Computing)、大數(shù)據(jù)(Big Data)���、邊緣計(jì)算(Edge Computing)這幾個(gè)方面可能帶來的變化為切入點(diǎn)�����,介紹5G網(wǎng)絡(luò)的信息安全管控問題�。
3.1 5G信息安全管控體系問題總述
(1)NSA架構(gòu)下的信息安全管控變化��。NSA架構(gòu)下�����,架構(gòu)與應(yīng)用的變化為:接入網(wǎng)基站發(fā)生變化��,引入5G的gNB基站;會出現(xiàn)5G應(yīng)用于人工智能���、物聯(lián)網(wǎng)����、云計(jì)算����、大數(shù)據(jù)、邊緣計(jì)算等場景下的新業(yè)務(wù)����;5G傳輸速率會相比于4G明顯提高。
基于以上變化��,我們需要確認(rèn)安全管控的需求點(diǎn)為:信息安全管控系統(tǒng)的覆蓋能力能否對5G新業(yè)務(wù)進(jìn)行覆蓋��;現(xiàn)有系統(tǒng)的解析���、計(jì)算能力需對5G場景下的高速率業(yè)務(wù)進(jìn)行匹配���。
(2)SA架構(gòu)下的信息安全管控變化。SA架構(gòu)下���,架構(gòu)與應(yīng)用的變化為:接入網(wǎng)�����、核心網(wǎng)的設(shè)備����、流程�����、信令均發(fā)生變化��,接入網(wǎng)與核心網(wǎng)均引入新的5G設(shè)備�;會出現(xiàn)更多5G應(yīng)用于不同場景的新業(yè)務(wù);會產(chǎn)生大量垂直行業(yè)下的新應(yīng)用�����;會引入邊緣計(jì)算����、切片。
基于以上變化���,我們需要確認(rèn)安全管控的需求點(diǎn)為:信息安全管控系統(tǒng)的覆蓋能力���;部分信息安全管控系統(tǒng)需要改造��,匹配系統(tǒng)架構(gòu)���;為新的應(yīng)用場景、業(yè)務(wù)���、協(xié)議提供安全管控能力����;為垂直行業(yè)提供安全管控�����。
3.2 5G在人工智能場景下的信息安全管控
3.2.1 5G與人工智能融合下的信息安全風(fēng)險(xiǎn)
5G網(wǎng)絡(luò)下����,人工智能提供的應(yīng)用數(shù)量日益增長,同時(shí)這些應(yīng)用也會帶來安全風(fēng)險(xiǎn)��,如:
(1)深度偽造技術(shù)。深度偽造(Deepfake)是一種利用人工智能和機(jī)器學(xué)習(xí)將人的臉疊加到另外一個(gè)人的身體上的技術(shù)��。目前�����,華盛頓大學(xué)研究人員已經(jīng)可以利用音視頻人工智能技術(shù)����,虛擬出政治人物演講��,達(dá)到以假亂真的效果�����。未來���,不法分子可能會利用人工智能技術(shù)�,針對公眾人物制作虛假視頻���,進(jìn)行詐騙���、政治宣傳等。
(2)人工智能惡意軟件。據(jù)報(bào)道����,IBM研究院安全研究人員開發(fā)了一種由人工智能驅(qū)動的“高度針對性和回避性”攻擊工具DeepLocker,將現(xiàn)有的幾種人工智能模型與當(dāng)前的惡意軟件技術(shù)相結(jié)合����,創(chuàng)建一種特別具有挑戰(zhàn)性的新型惡意軟件。該惡意軟件可以隱藏其意圖��,直到它觸達(dá)特定受害者���,才會釋放惡意行為��。
(3)語音機(jī)器人騷擾電話�����。2019年“3·15”晚會上曝光不少企業(yè)通過模仿人類聲音的智能機(jī)器人撥打大量騷擾電話��。在對某人工智能公司的暗訪中��,記者發(fā)現(xiàn)��,一年內(nèi)該公司利用智能機(jī)器人撥打了40多億次騷擾電話�,涉及30多個(gè)行業(yè)。
(4)人工智能釣魚郵件���。黑客可以使用人工智能技術(shù)���,對用戶大量生成有針對性的釣魚郵件。此外��,還可利用對抗生成網(wǎng)絡(luò)技術(shù)�,巧妙繞過目前已有的反釣魚郵件系統(tǒng),達(dá)到攻擊用戶的目的���。
3.2.2 針對5G與人工智能融合下新增風(fēng)險(xiǎn)的管控措施
人工智能信息安全風(fēng)險(xiǎn),并非在5G網(wǎng)絡(luò)下所特有的風(fēng)險(xiǎn)�,而是人工智能自身所具有的風(fēng)險(xiǎn)。5G網(wǎng)絡(luò)使得人工智能技術(shù)的使用迅速增加��,因此人工智能的安全風(fēng)險(xiǎn)也增大��,我們針對人工智能風(fēng)險(xiǎn)提出了以下管控措施:
(1)對抗訓(xùn)練�����。主動生成大量對抗樣本供模型進(jìn)行學(xué)習(xí)�,提升模型應(yīng)對對抗樣本的能力;手機(jī)惡意軟件管控系統(tǒng)及時(shí)更新惡意軟件數(shù)據(jù)庫;騷擾電話�、虛假主叫監(jiān)控系統(tǒng)對自動語音撥打建立有針對性的監(jiān)控流程、算法模型���;不良信息集中管控系統(tǒng)及時(shí)更新釣魚網(wǎng)站識別算法��。
(2)源頭預(yù)防與聯(lián)合治理相結(jié)合����。對于人工智能生成的虛假音視頻�����,目前的安全管控系統(tǒng)很難直接監(jiān)測���,因此只能聯(lián)合多方進(jìn)行管控���。建議視頻發(fā)布源頭加強(qiáng)審核,工信部�、公安部、網(wǎng)信辦等有關(guān)部門加大違規(guī)人員�����、網(wǎng)站處罰力度。
3.3 5G在物聯(lián)網(wǎng)場景下的信息安全管控
萬物互聯(lián)是人工智能時(shí)代背景下物聯(lián)網(wǎng)的最終極目標(biāo)之一�。物聯(lián)網(wǎng)設(shè)備的海量增長,以及5G網(wǎng)絡(luò)商用化的逐步展開�,將使物聯(lián)網(wǎng)卡引發(fā)的信息安全風(fēng)險(xiǎn)與4G時(shí)代相比也會成倍增長,因此更需要重點(diǎn)關(guān)注����。
3.3.1 5G與物聯(lián)網(wǎng)融合下的信息安全風(fēng)險(xiǎn)
物聯(lián)網(wǎng)卡的發(fā)放管理不嚴(yán)格,可能出現(xiàn)違規(guī)轉(zhuǎn)售轉(zhuǎn)租等管理風(fēng)險(xiǎn)��;物聯(lián)網(wǎng)終端易被侵入遭受惡意控制���,進(jìn)而可能形成僵尸網(wǎng)絡(luò)并攻擊其他網(wǎng)絡(luò)用戶���,出現(xiàn)非法散播違規(guī)內(nèi)容的風(fēng)險(xiǎn)(例如傳播垃圾短信�����、撥打騷擾電話等)���。
3.3.2 針對5G與物聯(lián)網(wǎng)融合下新增風(fēng)險(xiǎn)的管控措施
對于疑似違規(guī)的物聯(lián)網(wǎng)卡���,可以基于物聯(lián)網(wǎng)卡開卡(注冊)信息����、位置信息��、上網(wǎng)流量����、通話記錄、短信記錄等數(shù)據(jù)進(jìn)行專項(xiàng)分析���,并對安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控����,可采取的物聯(lián)網(wǎng)卡安全監(jiān)測方法如下�����。
(1)業(yè)務(wù)濫用分析���。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)移動業(yè)務(wù)情況(例如單獨(dú)開通通話�����、上網(wǎng)等功能)����、消費(fèi)地點(diǎn)、消費(fèi)賬單等數(shù)據(jù)進(jìn)行分析���。
(2)機(jī)卡分離監(jiān)測���。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)的行業(yè)業(yè)務(wù)情況,例如控制系統(tǒng)(如電表��、充電樁)�����、車聯(lián)網(wǎng)�、智能安防系統(tǒng)、智能終端���、IMEI號碼,以及相關(guān)業(yè)務(wù)可能的位置情況等內(nèi)容����,來判定行業(yè)卡/物聯(lián)網(wǎng)卡是否存在機(jī)卡分離的現(xiàn)象。
(3)位置異常變動分析�����。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)的行業(yè)業(yè)務(wù)情況,以及LAC�、CI數(shù)據(jù)等,判斷是否存在位置異常變動情況���。
(4)惡意攻擊檢測��。根據(jù)上網(wǎng)日志�、DNS日志等數(shù)據(jù)���,發(fā)現(xiàn)物聯(lián)網(wǎng)卡設(shè)備被人植入后門��,并惡意利用進(jìn)行DDoS攻擊���、僵尸網(wǎng)絡(luò)挖礦等行為。
(5)騷擾電話��、垃圾短信分析���。根據(jù)物聯(lián)網(wǎng)卡號段信息��,通話信令數(shù)據(jù)���、疑似垃圾短信上報(bào)數(shù)據(jù)�����,發(fā)現(xiàn)物聯(lián)網(wǎng)卡撥打騷擾電話���、發(fā)送垃圾短信、傳播惡意鏈接的情況����。
(6)區(qū)域分析、行業(yè)分析����、整體態(tài)勢分析。分析并展示違規(guī)��、物聯(lián)網(wǎng)卡的區(qū)域情況(例如地市)���、行業(yè)情況��、整體態(tài)勢(例如時(shí)間展示、違規(guī)比例展示�����、總量展示、最新違規(guī)情況展示等)�。
3.4 5G在云計(jì)算場景下的信息安全管控
5G環(huán)境下,更多的云計(jì)算資源將會接入網(wǎng)絡(luò)�����,也會加速高清視頻��、虛擬現(xiàn)實(shí)/增強(qiáng)現(xiàn)實(shí)(VR/AR)�、云視頻等業(yè)務(wù)的發(fā)展。資源的擴(kuò)張��,業(yè)務(wù)的發(fā)展����,也會給信息安全管控帶來新的挑戰(zhàn)。
3.4.1 5G與云計(jì)算融合下的信息安全風(fēng)險(xiǎn)
在5G網(wǎng)絡(luò)環(huán)境下����,云計(jì)算可能帶來的信息安全風(fēng)險(xiǎn)參見表1。
3.4.2 針對5G與云計(jì)算融合下新增風(fēng)險(xiǎn)的管控措施
如表1所介紹�����,對于5G環(huán)境下帶寬增大的問題,需要對現(xiàn)在不良信息集中管控系統(tǒng)前端采集點(diǎn)進(jìn)行適當(dāng)擴(kuò)容�,來滿足新增需求;對于新出現(xiàn)的業(yè)務(wù)���、協(xié)議(例如HTTPS等)�����,需要針對其進(jìn)行專項(xiàng)研究��,并對特定的內(nèi)容進(jìn)行還原����、解析����、判定。
3.5 5G在邊緣計(jì)算中的信息安全管控
3.5.1 5G與邊緣計(jì)算融合下的信息安全風(fēng)險(xiǎn)
移動邊緣計(jì)算(MEC)是一個(gè)“硬件+軟件”的系統(tǒng)�,通過在移動網(wǎng)絡(luò)邊緣提供IT服務(wù)環(huán)境和云計(jì)算能力,以減少網(wǎng)絡(luò)操作和服務(wù)交付的時(shí)延��,是5G的重要支撐力量����。在5G獨(dú)立組網(wǎng)商用以后�,預(yù)計(jì)車聯(lián)網(wǎng)�����、虛擬現(xiàn)實(shí)�、增強(qiáng)現(xiàn)實(shí)���、高清視頻����、工業(yè)互聯(lián)網(wǎng)����、遠(yuǎn)程醫(yī)療等眾多垂直行業(yè)應(yīng)用會涉及邊緣計(jì)算。邊緣計(jì)算有如下特點(diǎn):
(1)傳統(tǒng)的CDN/WebCache中��,邊緣節(jié)點(diǎn)不直接產(chǎn)生數(shù)據(jù)����,也不對數(shù)據(jù)進(jìn)行處理,而是由內(nèi)容中心對數(shù)據(jù)進(jìn)行分發(fā)��,或直接對用戶上網(wǎng)數(shù)據(jù)進(jìn)行緩存。
(2)在邊緣計(jì)算中����,用戶設(shè)備(例如汽車、工程設(shè)備��、醫(yī)療平臺���、家庭電腦���、智能手機(jī)等)產(chǎn)生用戶側(cè)數(shù)據(jù),上傳到邊緣云/邊緣服務(wù)器��,邊緣服務(wù)器在不跟中心服務(wù)器發(fā)生交互的前提下�,直接對數(shù)據(jù)進(jìn)行儲存、計(jì)算���,并將處理結(jié)果返回給用戶設(shè)備�。
(3)用戶側(cè)上傳的尤其是媒體類型的數(shù)據(jù),可能存在信息安全風(fēng)險(xiǎn)隱患。
3.5.2 針對5G與邊緣計(jì)算融合下新增風(fēng)險(xiǎn)的管控措施
邊緣計(jì)算由5G用戶名功能模塊和邊緣計(jì)算平臺構(gòu)成�;5G網(wǎng)絡(luò)中控制面和用戶面徹底分離����,控制面網(wǎng)元可以集中在大區(qū)/省中心���,用戶面網(wǎng)元可根據(jù)業(yè)務(wù)需求(如時(shí)延要求)分層部署在不同的網(wǎng)絡(luò)位置,包括大區(qū)/省中心�����、地市�����、區(qū)縣等����;深度報(bào)文檢測(Deep Packet Inspection��,DPI)設(shè)備可對UE到用戶面的N3接口數(shù)據(jù)進(jìn)行采集����,進(jìn)而進(jìn)行監(jiān)控。
4 5G對現(xiàn)有安全管控系統(tǒng)影響分析
4.1 5G NSA架構(gòu)對安全管控系統(tǒng)的影響
4.1.1 對DPI采集設(shè)備的影響
在5G NSA網(wǎng)絡(luò)架構(gòu)下���,DPI采集設(shè)備的架構(gòu)圖參見圖1����,采集點(diǎn)包括S1-U接口、省網(wǎng)網(wǎng)間出口�、省網(wǎng)出口、IDC出口�、骨干網(wǎng)出口以及國際出口。
對于DPI設(shè)備的具體影響��,表2進(jìn)行了總結(jié)�����。
4.1.2 對安全管控系統(tǒng)覆蓋面的影響
在NSA架構(gòu)下����,安全管控系統(tǒng)只有接入網(wǎng)的架構(gòu)、信令��、用戶面數(shù)據(jù)流發(fā)生變化����,核心網(wǎng)架構(gòu)、信令����、數(shù)據(jù)流未發(fā)生變化;5G業(yè)務(wù)所有的信令數(shù)據(jù)�����、業(yè)務(wù)數(shù)據(jù)可被現(xiàn)有系統(tǒng)采集,可以實(shí)現(xiàn)管控����。
4.2 5G SA架構(gòu)對安全管控系統(tǒng)的影響
4.2.1 對DPI采集設(shè)備的影響
在5G SA網(wǎng)絡(luò)架構(gòu)下,DPI采集設(shè)備的架構(gòu)參見圖2�。在該架構(gòu)圖中,DPI采集點(diǎn)會發(fā)生變化�����。
對于DPI設(shè)備的具體影響��,表3進(jìn)行了總結(jié)����。
4.2.2 對電話管控系統(tǒng)的影響
對SA架構(gòu)下電話管控系統(tǒng)(包括虛假主叫管控系統(tǒng)�����、騷擾電話監(jiān)控系統(tǒng)���、國際詐騙電話監(jiān)控系統(tǒng))進(jìn)行分析���,可得出如下結(jié)論:
(1)電話管控的信令采集仍在IMS域進(jìn)行�,其中虛假主叫管控系統(tǒng)采集Mx接口����,騷擾電話監(jiān)控系統(tǒng)采集ISC接口,國際詐騙電話監(jiān)控系統(tǒng)采集MGCF出口信令���。
(2)電話管控系統(tǒng)信令采集部分字段會發(fā)生變化���。
(3)SA架構(gòu)下5G業(yè)務(wù)所有的信令數(shù)據(jù)可以被現(xiàn)有系統(tǒng)采集,可以實(shí)現(xiàn)語音管控���。
4.2.3 對垃圾短信管控系統(tǒng)的影響
5G SA架構(gòu)下�,短消息發(fā)送流程分為SMSoNAS以及SMSoIP兩種模式�����,兩種模式下的短信發(fā)送都會經(jīng)過SMSC(短信中心)��,可被現(xiàn)有垃短系統(tǒng)監(jiān)控�����。
4.2.4 對不良信息管控系統(tǒng)的影響
5G SA架構(gòu)可以實(shí)現(xiàn)對不良信息的監(jiān)控,但涉及邊緣節(jié)點(diǎn)的數(shù)據(jù)���,需要增加DPI設(shè)備對于N3接口的數(shù)據(jù)采集����。但此時(shí)預(yù)計(jì)采集數(shù)據(jù)量會增大�����,可能需要對相關(guān)設(shè)備進(jìn)行擴(kuò)容�。在5G下,會出現(xiàn)大量VR/AR視頻等業(yè)務(wù)�,使用VR/AR類協(xié)議,而目前現(xiàn)有算法無法對VR/AR類視頻進(jìn)行分析��,導(dǎo)致無法對VR/AR類不良視頻進(jìn)行監(jiān)控�����。
5 結(jié)語
本文對5G新網(wǎng)絡(luò)環(huán)境下可能面臨的信息安全風(fēng)險(xiǎn)進(jìn)行了簡要分析���,并針對5G下兩種不同的網(wǎng)絡(luò)架構(gòu),提出了信息安全風(fēng)險(xiǎn)的影響面以及可能的管控措施�、手段��。通過以上措施�����,我們可以對5G下可能出現(xiàn)的信息安全風(fēng)險(xiǎn)提前做好準(zhǔn)備��,為5G網(wǎng)絡(luò)更好地運(yùn)行打下良好基礎(chǔ)��。
