5G信息安全風(fēng)險(xiǎn)研究
打印
1 引言
作為新一代移動(dòng)通信技術(shù),5G系統(tǒng)在提升移動(dòng)互聯(lián)網(wǎng)用戶業(yè)務(wù)體驗(yàn)的基礎(chǔ)之上,進(jìn)一步滿足未來物聯(lián)網(wǎng)應(yīng)用的海量需求,與各行業(yè)深度融合,實(shí)現(xiàn)真正的“萬物互聯(lián)”。
5G網(wǎng)絡(luò)支持更高帶寬、更低時(shí)延、更大連接密度,可以滿足3類應(yīng)用場景:增強(qiáng)移動(dòng)寬帶(Enhanced Mobile Broadband,eMBB),超可靠低時(shí)延通信(Ultra-reliable and Low-latency Communications,uRLLC)以及海量機(jī)器類通信(Massive Machine Type Communications,mMTC)。
為滿足3種不同業(yè)務(wù)類型的通信需要,要求運(yùn)營商能夠針對(duì)新系統(tǒng)、新環(huán)境下的差異性,研究5G業(yè)務(wù)系統(tǒng)安全方面的典型特征,做好5G網(wǎng)絡(luò)業(yè)務(wù)的安全管控,保障5G網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)運(yùn)營安全。
2 5G網(wǎng)絡(luò)架構(gòu)與數(shù)據(jù)流分析
本文以目前5G網(wǎng)絡(luò)規(guī)劃使用的NSA Option3x、SA Option2兩種架構(gòu)為例,對(duì)5G數(shù)據(jù)流走向及存在的信息安全問題進(jìn)行分析。
2.1 NSA Option3x網(wǎng)絡(luò)架構(gòu)介紹與數(shù)據(jù)流分析
基于NSA Option3x方案的5G網(wǎng)絡(luò)總體架構(gòu)和4G LTE網(wǎng)絡(luò)總體架構(gòu)基本相同,是由分組域核心網(wǎng)、電路域核心網(wǎng)、IMS核心網(wǎng)及相關(guān)業(yè)務(wù)平臺(tái)、無線接入網(wǎng)和NSA終端組成,其中分組域核心網(wǎng)通過功能增強(qiáng)支持NSA核心網(wǎng),簡稱EPC+。在NSA Option3x的網(wǎng)絡(luò)系統(tǒng)中,信令面均通過eNB和EPC+的S1-C接口連接交互。
對(duì)于NSA Option3x方案,數(shù)據(jù)可按承載粒度由4GeNB基站或5GgNB基站通過S1-U隧道和EPC+交互,X2接口除了承載信令外,還支持?jǐn)?shù)據(jù)面報(bào)文的交互,即gNB支持將一個(gè)承載內(nèi)的下行數(shù)據(jù)按照一定規(guī)則通過X2接口分流至eNB,上行數(shù)據(jù)可從eNB通過X2接口發(fā)送至gNB,也可直接通過NR空口發(fā)送至gNB。所有信令數(shù)據(jù)通過eNB到核心網(wǎng),Volte數(shù)據(jù)通過eNB到核心網(wǎng)。
2.2 SA Option 2網(wǎng)絡(luò)架構(gòu)介紹與數(shù)據(jù)流分析
在SA Option 2組網(wǎng)方式中,接入層及非接入層信令和數(shù)據(jù)均通過5G協(xié)議進(jìn)行傳輸。
在核心網(wǎng)層面,核心網(wǎng)組網(wǎng)架構(gòu)、設(shè)備為5G新核心網(wǎng)架構(gòu)、設(shè)備;所有核心網(wǎng)信令、流程按照5G核心網(wǎng)協(xié)議進(jìn)行傳輸; 5G控制面采用基于服務(wù)的架構(gòu)(SBA),控制面網(wǎng)元包含AUSF、AMF、SMF、NSSF、NEF、NRF、PCF、UDM等;5G用戶面功能設(shè)備為UPF;可以對(duì)垂直行業(yè)用戶提供業(yè)務(wù)優(yōu)化能力,如網(wǎng)絡(luò)切片、邊緣計(jì)算(MEC)信息開放等。
在接入網(wǎng)層面,5G SA用戶通過NR空口接入5G核心網(wǎng);5G接入采用gNB基站;支持與4G切換、重選互操作;所有控制面數(shù)據(jù)與用戶面數(shù)據(jù)均通過gNB傳輸?shù)?G核心網(wǎng)。
3 5G信息安全管控
5G網(wǎng)絡(luò)架構(gòu)以及應(yīng)用的變化,使得5G的信息安全管控也隨之發(fā)生改變。下面我們從5G信息安全管控體系以及5G應(yīng)用于人工智能(AI)、物聯(lián)網(wǎng)(IoT)、云計(jì)算(Cloud Computing)、大數(shù)據(jù)(Big Data)、邊緣計(jì)算(Edge Computing)這幾個(gè)方面可能帶來的變化為切入點(diǎn),介紹5G網(wǎng)絡(luò)的信息安全管控問題。
3.1 5G信息安全管控體系問題總述
(1)NSA架構(gòu)下的信息安全管控變化。NSA架構(gòu)下,架構(gòu)與應(yīng)用的變化為:接入網(wǎng)基站發(fā)生變化,引入5G的gNB基站;會(huì)出現(xiàn)5G應(yīng)用于人工智能、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、邊緣計(jì)算等場景下的新業(yè)務(wù);5G傳輸速率會(huì)相比于4G明顯提高。
基于以上變化,我們需要確認(rèn)安全管控的需求點(diǎn)為:信息安全管控系統(tǒng)的覆蓋能力能否對(duì)5G新業(yè)務(wù)進(jìn)行覆蓋;現(xiàn)有系統(tǒng)的解析、計(jì)算能力需對(duì)5G場景下的高速率業(yè)務(wù)進(jìn)行匹配。
(2)SA架構(gòu)下的信息安全管控變化。SA架構(gòu)下,架構(gòu)與應(yīng)用的變化為:接入網(wǎng)、核心網(wǎng)的設(shè)備、流程、信令均發(fā)生變化,接入網(wǎng)與核心網(wǎng)均引入新的5G設(shè)備;會(huì)出現(xiàn)更多5G應(yīng)用于不同場景的新業(yè)務(wù);會(huì)產(chǎn)生大量垂直行業(yè)下的新應(yīng)用;會(huì)引入邊緣計(jì)算、切片。
基于以上變化,我們需要確認(rèn)安全管控的需求點(diǎn)為:信息安全管控系統(tǒng)的覆蓋能力;部分信息安全管控系統(tǒng)需要改造,匹配系統(tǒng)架構(gòu);為新的應(yīng)用場景、業(yè)務(wù)、協(xié)議提供安全管控能力;為垂直行業(yè)提供安全管控。
3.2 5G在人工智能場景下的信息安全管控
3.2.1 5G與人工智能融合下的信息安全風(fēng)險(xiǎn)
5G網(wǎng)絡(luò)下,人工智能提供的應(yīng)用數(shù)量日益增長,同時(shí)這些應(yīng)用也會(huì)帶來安全風(fēng)險(xiǎn),如:
(1)深度偽造技術(shù)。深度偽造(Deepfake)是一種利用人工智能和機(jī)器學(xué)習(xí)將人的臉疊加到另外一個(gè)人的身體上的技術(shù)。目前,華盛頓大學(xué)研究人員已經(jīng)可以利用音視頻人工智能技術(shù),虛擬出政治人物演講,達(dá)到以假亂真的效果。未來,不法分子可能會(huì)利用人工智能技術(shù),針對(duì)公眾人物制作虛假視頻,進(jìn)行詐騙、政治宣傳等。
(2)人工智能惡意軟件。據(jù)報(bào)道,IBM研究院安全研究人員開發(fā)了一種由人工智能驅(qū)動(dòng)的“高度針對(duì)性和回避性”攻擊工具DeepLocker,將現(xiàn)有的幾種人工智能模型與當(dāng)前的惡意軟件技術(shù)相結(jié)合,創(chuàng)建一種特別具有挑戰(zhàn)性的新型惡意軟件。該惡意軟件可以隱藏其意圖,直到它觸達(dá)特定受害者,才會(huì)釋放惡意行為。
(3)語音機(jī)器人騷擾電話。2019年“3·15”晚會(huì)上曝光不少企業(yè)通過模仿人類聲音的智能機(jī)器人撥打大量騷擾電話。在對(duì)某人工智能公司的暗訪中,記者發(fā)現(xiàn),一年內(nèi)該公司利用智能機(jī)器人撥打了40多億次騷擾電話,涉及30多個(gè)行業(yè)。
(4)人工智能釣魚郵件。黑客可以使用人工智能技術(shù),對(duì)用戶大量生成有針對(duì)性的釣魚郵件。此外,還可利用對(duì)抗生成網(wǎng)絡(luò)技術(shù),巧妙繞過目前已有的反釣魚郵件系統(tǒng),達(dá)到攻擊用戶的目的。
3.2.2 針對(duì)5G與人工智能融合下新增風(fēng)險(xiǎn)的管控措施
人工智能信息安全風(fēng)險(xiǎn),并非在5G網(wǎng)絡(luò)下所特有的風(fēng)險(xiǎn),而是人工智能自身所具有的風(fēng)險(xiǎn)。5G網(wǎng)絡(luò)使得人工智能技術(shù)的使用迅速增加,因此人工智能的安全風(fēng)險(xiǎn)也增大,我們針對(duì)人工智能風(fēng)險(xiǎn)提出了以下管控措施:
(1)對(duì)抗訓(xùn)練。主動(dòng)生成大量對(duì)抗樣本供模型進(jìn)行學(xué)習(xí),提升模型應(yīng)對(duì)對(duì)抗樣本的能力;手機(jī)惡意軟件管控系統(tǒng)及時(shí)更新惡意軟件數(shù)據(jù)庫;騷擾電話、虛假主叫監(jiān)控系統(tǒng)對(duì)自動(dòng)語音撥打建立有針對(duì)性的監(jiān)控流程、算法模型;不良信息集中管控系統(tǒng)及時(shí)更新釣魚網(wǎng)站識(shí)別算法。
(2)源頭預(yù)防與聯(lián)合治理相結(jié)合。對(duì)于人工智能生成的虛假音視頻,目前的安全管控系統(tǒng)很難直接監(jiān)測,因此只能聯(lián)合多方進(jìn)行管控。建議視頻發(fā)布源頭加強(qiáng)審核,工信部、公安部、網(wǎng)信辦等有關(guān)部門加大違規(guī)人員、網(wǎng)站處罰力度。
3.3 5G在物聯(lián)網(wǎng)場景下的信息安全管控
萬物互聯(lián)是人工智能時(shí)代背景下物聯(lián)網(wǎng)的最終極目標(biāo)之一。物聯(lián)網(wǎng)設(shè)備的海量增長,以及5G網(wǎng)絡(luò)商用化的逐步展開,將使物聯(lián)網(wǎng)卡引發(fā)的信息安全風(fēng)險(xiǎn)與4G時(shí)代相比也會(huì)成倍增長,因此更需要重點(diǎn)關(guān)注。
3.3.1 5G與物聯(lián)網(wǎng)融合下的信息安全風(fēng)險(xiǎn)
物聯(lián)網(wǎng)卡的發(fā)放管理不嚴(yán)格,可能出現(xiàn)違規(guī)轉(zhuǎn)售轉(zhuǎn)租等管理風(fēng)險(xiǎn);物聯(lián)網(wǎng)終端易被侵入遭受惡意控制,進(jìn)而可能形成僵尸網(wǎng)絡(luò)并攻擊其他網(wǎng)絡(luò)用戶,出現(xiàn)非法散播違規(guī)內(nèi)容的風(fēng)險(xiǎn)(例如傳播垃圾短信、撥打騷擾電話等)。
3.3.2 針對(duì)5G與物聯(lián)網(wǎng)融合下新增風(fēng)險(xiǎn)的管控措施
對(duì)于疑似違規(guī)的物聯(lián)網(wǎng)卡,可以基于物聯(lián)網(wǎng)卡開卡(注冊)信息、位置信息、上網(wǎng)流量、通話記錄、短信記錄等數(shù)據(jù)進(jìn)行專項(xiàng)分析,并對(duì)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控,可采取的物聯(lián)網(wǎng)卡安全監(jiān)測方法如下。
(1)業(yè)務(wù)濫用分析。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)移動(dòng)業(yè)務(wù)情況(例如單獨(dú)開通通話、上網(wǎng)等功能)、消費(fèi)地點(diǎn)、消費(fèi)賬單等數(shù)據(jù)進(jìn)行分析。
(2)機(jī)卡分離監(jiān)測。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)的行業(yè)業(yè)務(wù)情況,例如控制系統(tǒng)(如電表、充電樁)、車聯(lián)網(wǎng)、智能安防系統(tǒng)、智能終端、IMEI號(hào)碼,以及相關(guān)業(yè)務(wù)可能的位置情況等內(nèi)容,來判定行業(yè)卡/物聯(lián)網(wǎng)卡是否存在機(jī)卡分離的現(xiàn)象。
(3)位置異常變動(dòng)分析。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)的行業(yè)業(yè)務(wù)情況,以及LAC、CI數(shù)據(jù)等,判斷是否存在位置異常變動(dòng)情況。
(4)惡意攻擊檢測。根據(jù)上網(wǎng)日志、DNS日志等數(shù)據(jù),發(fā)現(xiàn)物聯(lián)網(wǎng)卡設(shè)備被人植入后門,并惡意利用進(jìn)行DDoS攻擊、僵尸網(wǎng)絡(luò)挖礦等行為。
(5)騷擾電話、垃圾短信分析。根據(jù)物聯(lián)網(wǎng)卡號(hào)段信息,通話信令數(shù)據(jù)、疑似垃圾短信上報(bào)數(shù)據(jù),發(fā)現(xiàn)物聯(lián)網(wǎng)卡撥打騷擾電話、發(fā)送垃圾短信、傳播惡意鏈接的情況。
(6)區(qū)域分析、行業(yè)分析、整體態(tài)勢分析。分析并展示違規(guī)、物聯(lián)網(wǎng)卡的區(qū)域情況(例如地市)、行業(yè)情況、整體態(tài)勢(例如時(shí)間展示、違規(guī)比例展示、總量展示、最新違規(guī)情況展示等)。
3.4 5G在云計(jì)算場景下的信息安全管控
5G環(huán)境下,更多的云計(jì)算資源將會(huì)接入網(wǎng)絡(luò),也會(huì)加速高清視頻、虛擬現(xiàn)實(shí)/增強(qiáng)現(xiàn)實(shí)(VR/AR)、云視頻等業(yè)務(wù)的發(fā)展。資源的擴(kuò)張,業(yè)務(wù)的發(fā)展,也會(huì)給信息安全管控帶來新的挑戰(zhàn)。
3.4.1 5G與云計(jì)算融合下的信息安全風(fēng)險(xiǎn)
在5G網(wǎng)絡(luò)環(huán)境下,云計(jì)算可能帶來的信息安全風(fēng)險(xiǎn)參見表1。
3.4.2 針對(duì)5G與云計(jì)算融合下新增風(fēng)險(xiǎn)的管控措施
如表1所介紹,對(duì)于5G環(huán)境下帶寬增大的問題,需要對(duì)現(xiàn)在不良信息集中管控系統(tǒng)前端采集點(diǎn)進(jìn)行適當(dāng)擴(kuò)容,來滿足新增需求;對(duì)于新出現(xiàn)的業(yè)務(wù)、協(xié)議(例如HTTPS等),需要針對(duì)其進(jìn)行專項(xiàng)研究,并對(duì)特定的內(nèi)容進(jìn)行還原、解析、判定。
3.5 5G在邊緣計(jì)算中的信息安全管控
3.5.1 5G與邊緣計(jì)算融合下的信息安全風(fēng)險(xiǎn)
移動(dòng)邊緣計(jì)算(MEC)是一個(gè)“硬件+軟件”的系統(tǒng),通過在移動(dòng)網(wǎng)絡(luò)邊緣提供IT服務(wù)環(huán)境和云計(jì)算能力,以減少網(wǎng)絡(luò)操作和服務(wù)交付的時(shí)延,是5G的重要支撐力量。在5G獨(dú)立組網(wǎng)商用以后,預(yù)計(jì)車聯(lián)網(wǎng)、虛擬現(xiàn)實(shí)、增強(qiáng)現(xiàn)實(shí)、高清視頻、工業(yè)互聯(lián)網(wǎng)、遠(yuǎn)程醫(yī)療等眾多垂直行業(yè)應(yīng)用會(huì)涉及邊緣計(jì)算。邊緣計(jì)算有如下特點(diǎn):
(1)傳統(tǒng)的CDN/WebCache中,邊緣節(jié)點(diǎn)不直接產(chǎn)生數(shù)據(jù),也不對(duì)數(shù)據(jù)進(jìn)行處理,而是由內(nèi)容中心對(duì)數(shù)據(jù)進(jìn)行分發(fā),或直接對(duì)用戶上網(wǎng)數(shù)據(jù)進(jìn)行緩存。
(2)在邊緣計(jì)算中,用戶設(shè)備(例如汽車、工程設(shè)備、醫(yī)療平臺(tái)、家庭電腦、智能手機(jī)等)產(chǎn)生用戶側(cè)數(shù)據(jù),上傳到邊緣云/邊緣服務(wù)器,邊緣服務(wù)器在不跟中心服務(wù)器發(fā)生交互的前提下,直接對(duì)數(shù)據(jù)進(jìn)行儲(chǔ)存、計(jì)算,并將處理結(jié)果返回給用戶設(shè)備。
(3)用戶側(cè)上傳的尤其是媒體類型的數(shù)據(jù),可能存在信息安全風(fēng)險(xiǎn)隱患。
3.5.2 針對(duì)5G與邊緣計(jì)算融合下新增風(fēng)險(xiǎn)的管控措施
邊緣計(jì)算由5G用戶名功能模塊和邊緣計(jì)算平臺(tái)構(gòu)成;5G網(wǎng)絡(luò)中控制面和用戶面徹底分離,控制面網(wǎng)元可以集中在大區(qū)/省中心,用戶面網(wǎng)元可根據(jù)業(yè)務(wù)需求(如時(shí)延要求)分層部署在不同的網(wǎng)絡(luò)位置,包括大區(qū)/省中心、地市、區(qū)縣等;深度報(bào)文檢測(Deep Packet Inspection,DPI)設(shè)備可對(duì)UE到用戶面的N3接口數(shù)據(jù)進(jìn)行采集,進(jìn)而進(jìn)行監(jiān)控。
4 5G對(duì)現(xiàn)有安全管控系統(tǒng)影響分析
4.1 5G NSA架構(gòu)對(duì)安全管控系統(tǒng)的影響
4.1.1 對(duì)DPI采集設(shè)備的影響
在5G NSA網(wǎng)絡(luò)架構(gòu)下,DPI采集設(shè)備的架構(gòu)圖參見圖1,采集點(diǎn)包括S1-U接口、省網(wǎng)網(wǎng)間出口、省網(wǎng)出口、IDC出口、骨干網(wǎng)出口以及國際出口。
對(duì)于DPI設(shè)備的具體影響,表2進(jìn)行了總結(jié)。
4.1.2 對(duì)安全管控系統(tǒng)覆蓋面的影響
在NSA架構(gòu)下,安全管控系統(tǒng)只有接入網(wǎng)的架構(gòu)、信令、用戶面數(shù)據(jù)流發(fā)生變化,核心網(wǎng)架構(gòu)、信令、數(shù)據(jù)流未發(fā)生變化;5G業(yè)務(wù)所有的信令數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)可被現(xiàn)有系統(tǒng)采集,可以實(shí)現(xiàn)管控。
4.2 5G SA架構(gòu)對(duì)安全管控系統(tǒng)的影響
4.2.1 對(duì)DPI采集設(shè)備的影響
在5G SA網(wǎng)絡(luò)架構(gòu)下,DPI采集設(shè)備的架構(gòu)參見圖2。在該架構(gòu)圖中,DPI采集點(diǎn)會(huì)發(fā)生變化。
對(duì)于DPI設(shè)備的具體影響,表3進(jìn)行了總結(jié)。
4.2.2 對(duì)電話管控系統(tǒng)的影響
對(duì)SA架構(gòu)下電話管控系統(tǒng)(包括虛假主叫管控系統(tǒng)、騷擾電話監(jiān)控系統(tǒng)、國際詐騙電話監(jiān)控系統(tǒng))進(jìn)行分析,可得出如下結(jié)論:
(1)電話管控的信令采集仍在IMS域進(jìn)行,其中虛假主叫管控系統(tǒng)采集Mx接口,騷擾電話監(jiān)控系統(tǒng)采集ISC接口,國際詐騙電話監(jiān)控系統(tǒng)采集MGCF出口信令。
(2)電話管控系統(tǒng)信令采集部分字段會(huì)發(fā)生變化。
(3)SA架構(gòu)下5G業(yè)務(wù)所有的信令數(shù)據(jù)可以被現(xiàn)有系統(tǒng)采集,可以實(shí)現(xiàn)語音管控。
4.2.3 對(duì)垃圾短信管控系統(tǒng)的影響
5G SA架構(gòu)下,短消息發(fā)送流程分為SMSoNAS以及SMSoIP兩種模式,兩種模式下的短信發(fā)送都會(huì)經(jīng)過SMSC(短信中心),可被現(xiàn)有垃短系統(tǒng)監(jiān)控。
4.2.4 對(duì)不良信息管控系統(tǒng)的影響
5G SA架構(gòu)可以實(shí)現(xiàn)對(duì)不良信息的監(jiān)控,但涉及邊緣節(jié)點(diǎn)的數(shù)據(jù),需要增加DPI設(shè)備對(duì)于N3接口的數(shù)據(jù)采集。但此時(shí)預(yù)計(jì)采集數(shù)據(jù)量會(huì)增大,可能需要對(duì)相關(guān)設(shè)備進(jìn)行擴(kuò)容。在5G下,會(huì)出現(xiàn)大量VR/AR視頻等業(yè)務(wù),使用VR/AR類協(xié)議,而目前現(xiàn)有算法無法對(duì)VR/AR類視頻進(jìn)行分析,導(dǎo)致無法對(duì)VR/AR類不良視頻進(jìn)行監(jiān)控。
5 結(jié)語
本文對(duì)5G新網(wǎng)絡(luò)環(huán)境下可能面臨的信息安全風(fēng)險(xiǎn)進(jìn)行了簡要分析,并針對(duì)5G下兩種不同的網(wǎng)絡(luò)架構(gòu),提出了信息安全風(fēng)險(xiǎn)的影響面以及可能的管控措施、手段。通過以上措施,我們可以對(duì)5G下可能出現(xiàn)的信息安全風(fēng)險(xiǎn)提前做好準(zhǔn)備,為5G網(wǎng)絡(luò)更好地運(yùn)行打下良好基礎(chǔ)。
(原載于《保密科學(xué)技術(shù)》2020年9月刊)
