账号:
密码:
智动化 / 文章 /

5G资讯安全发展现况观察与分析
[作者 鍾曉君]   2018年01月10日 星期三 浏览人次: [30765]


5G将为未来社会带来新兴通讯技术、新型态行动网路架构、涉及各式各样垂直产业的应用服务,却也为网路资讯安全与用户隐私保护带来了新的挑战。因此,为了要满足基本的通讯安全要求,并且可适应5G世代多元网路接取模式与新式网路架构,同时针对不同应用服务情境打造差异化的安全服务,5G安全技术架构与执行机制的设计将不可或缺。而现阶段无论是国际标准组织或5G推动机构及设备大厂等,都积极地针对5G资讯安全进行研究,期在未来5G软硬体发展上建构更完备的安全机制。


5G应用场景vs.资安问题

根据TIA向营运商调查对於各5G应用场景面临资安问题的影响程度,可以发现大部分业者都认为资安问题对5G各应用场景都有很大的影响与挑战。尤其在V2x领域,无论是无人车或是智慧交通相关应用,涉及最即时性安全考量、最直接地与民众生命安全相关连,因此当遇上资讯安全上的疑虑,将有可能引起极大的危害。


在uRLLC相关应用亦然,例如智慧医疗中执行远距手术等需要高度精细、低延迟的活动,若因遭受资安攻击,导致网路讯号的中断,将有可能引发不可逆转的疏失。


再者,除了关注资安导致的网路断线、攻击相关问题,用户隐私保护在现阶段网际网路世界更不容忽视。尤其5G世代的应用多元,各类新服务、新架构、新技术更对安全和用户隐私保护也都带来新的挑战。



图1 : 不同的应用场景所要对应的5G网路应该注意的资安面向也不尽相同。( source:The New Economy)
图1 : 不同的应用场景所要对应的5G网路应该注意的资安面向也不尽相同。( source:The New Economy)

如何设计更完备的5G安全机制,在维护基本通讯安全要求的同时,还能够因应不同应用场景以适应多种网路接取方式与新型网路架构,进而提供差异化安全服务、保护用户隐私,将是标准制定者、技术设备与应用开发者的第一要务。而不同的应用场景所要对应的5G网路应该注意的资安面向也不尽相同。


NGMN P1 5G Architecture group为主责5G安全研究,该组织逾2016年5月出发表的5G资安白皮书中提出,5G资安发展的主要目标是找出5G网路中的新资安威胁,旨在提醒5G用户可能遭遇的资安危机。NGMN认为未来的5G安全应该打造更强而有力的用户认证方法,必须提供能保护各种讯息的安全机制,承载如高层(high layer)独立的安全性(端对端安全)、安全的网路设计、弹性与高可用性(能提供99.999%的网路可用性),以及可靠性。


5G网路设计的发展面向

因此,在5G网路设计上必须确保两面向的发展:


改善接取网路安全

包含时刻掌握Flash网路流量、确保不同营运商之间的无线网路密钥安全,确保用户平面完整性(User plane integrity),确保网路中的各种安全措施需求能满足;以及解决在营运商网路内部与跨营运商网路中,部署一致且有效的用户/设备及安全策略所面临的挑战。


针对上述各项议题,NGMN也提出相关建议,包含需保护不同营运商之间的信令通道,设计5G密钥管理机制;透过网路切片、SDN、NFV等实现有效且具一致性的网路资安策略部署等。


防止网路基础设施遭受DOS攻击


图2 : 5G NORMA计画主要是打造5G世代新型无线多业务自适应网路架构。( source: TechDaring)
图2 : 5G NORMA计画主要是打造5G世代新型无线多业务自适应网路架构。( source: TechDaring)

DOS攻击旨在耗尽网路的物理层与逻辑层资源为目标。因此攻击模式大致有两种,一为网络基础设施DOS攻击,在这种情况下,攻击的原始目标是营运商网路基础设施,会间接影响被攻击的网络基础设施服务相关设备和用户;另一则为设备/用户DOS攻击,在此情况下,攻击的目标是设备和/或用户,对大量用户或设备的攻击可以间接影响大部分营运商的基础设施。换句话说,针对网络基础设施的DOS攻击会将目标放在资源与网路连接稳定性、频宽等服务。


NGMN认为为防止网路基础设施遭受DOS攻击,应从解决四大关键议题着手进行研究:


1.大量受感染的物联网设备透过试图接入网路使得信令平面过载。


2.大量受感染的物联网设备间歇性与同时的传输使得信令平面过载。


3.故意触发网路过载机制。


4.典型的连结终端之5G场景中受到新型态DOS针对5G服务开通与配置系统进行攻击。


5G-PPP安全工作组(Security Work Group)实际上在许多专案计画中都有涉及针对5G资讯安全保护的研究,包含5G-ENSURE(initiator)、5G NORMA、5G-SPEED、5GEX、CHARISMA、COGNET、SELFNET、SESAME、VIRTUWIND等。


其中,5G NORMA计画主要是打造5G世代新型无线多业务自适应网路架构(A Novel Radio Multiservice adaptive network Architecture for the 5G era),而其中一项任务就是要结合5G网路架构与安全工作。


从5G NORMA针对无线介面终端功能架构中,可发现用户终端与接取设备连结之间已有安全无线介面做一层防护,在无线网路设备野营造了针对无线介面的安全终端功能环境,形成第二层防护;进一步与云端、核网串连的情境下,各无线接取设备间彼此也有具备安全防护的回传与通讯机制,确保网路通讯传输之间的安全保障完整。


5G安全八大范畴

2017年6月12日5G-PPP发表〈5G第一阶段安全白皮书(5G PPP Phase1 Security Landscape)〉,内容概述5G安全将面临的风险与挑战,并具有两个主要发展目标,分别是:提供5G安全性的见解,并提出将要解决的问题与解决的原因;为第二阶段的5G安全发展计画做好准备,并使用第一阶段的成果达成目标。


因此,在白皮书中,5G-PPP针对5G安全八大范畴进行讨论:


1.新兴5G关键安全风险与需求


针对5G安全风险,主要针对诸如未经授权接取访问或资产使用、弱切片(Weak slices)隔离与连接、难以管理垂直SLA与遵从规范、切片与中立性、信任管理复杂性等面向进行研究;而在安全需求上,则讨论安全层级、安全自动化、安全管理与监控、启用End to End加密增值服务、5G租户/切片隔离(Inter-tenant/Slice Isolation)等相关研究项目。


2.与3GPP标准匹配的5G安全架构


面对5G世代新型态的服务、网路架构与价值链,在营运商、服务商、垂直产业间的网路更需要有新的信任模型。,加上任务关键性的服务对於资讯安全威胁之考量。5G-PPP对於5G安全架构提出了几点设计原则,包含应打造一逻辑凌驾於实体的安全架构,设计一分布式、分级与递??(recursive)的方法,藉由工业网路级的SDN与NFV支持内部与外部领域垂直产业服务商与营运商之间的协调,打造「安全即服务(Security-as-a-Service)」概念之网路架构。同时,该网路架构必须能灵活且具扩展性、支持大规模与任务关键性物联网服务。


3.5G接取控制


认证、授权与会计(Authentication, Authorization and Accounting,AAA)服务在5G安全相关技术发展中至关重要,至少必须做到在接取过程中,保护频率与无线通讯资源之功能,并且能按需提供5G网路服务,遵守不同的约束规则。


在5G未来在物联网应用接取安全的需求上,轻量认证与密钥协议群组(Lightweight authentication and key agreement protocol family)相关技术的发展,将协助验证未来在5G网路上持续增加的物联网设备安全的重要解决方案之一;而基於团体的认证与密钥协议群组(Group-based Authentication and Key Agreement protocol family)则允许服务网路对一组设备进行认证,并降低家庭网路信令与通讯的延迟。


4.5G隐私议题


针对利益相关者,如用户、服务供应商、执法机关所需网路架构进行设计;此外,针对潜在的推动力和未来的发展方向之需求也提供客制化设定。


5.5G信任模型


5G现阶段发展的两个级别的信任模型并嵌入到5G架构中,其一为针对利益关系者的信任模型,主要需评估利益关系者在网路的可信度,必须衡量利益关系者的网路与服务的安全能力,且量化网路中利益关系者的行为,并自动地透过利益关系者之间的互动降低风险或移除可能的弱点。


其二,则是与网路实体有关,包含SDN控制器、协调器、实体与虚拟网路功能等。针对网路实体特徵的信任模型主要是,评估网路实体可信度,透过网路实体的使用机制衡量其安全能力等级,量化网路实体在网路中的行为,以及自主移除网路实体间运作互动产生的风险与漏洞。


6.安全监控管理


针对5G进行的各种安全性威胁需要持续被监测。尤其在未来虚拟化网路架构下,针对SDN’NFV等通讯关键基础建设的新型态安全风险更要被关注。尤其在SDN/NFV环境中会使用越来越多的软体,这将带来额外的安全风险,如数据伪造、API的滥用等。因此,控制器与管理开发需要有更适当的机制,诸如强化正任、访问控制、应用程式隔离与沙盒,串流完整性与冲突解决方案,以及加密介面等。


7.网路切片/虚拟化和强制隔离


5G网路包含许多异质网路设备与多元化的服务,这无疑地对行动网路带来极大的安全性挑战。而网路切片所面临的安全问题在於,当提供不同切片应用当下,应有一隔离机制,以防止各切片内的资源被其他类型的网路切片的网路节点非法浏览、接取。而即便是同一应用领域的网路切片之间也有隔离的需求。因此,5G-PPP从各切片层级,含无线接取网路的切片(RAN network slicing)、核心网路的切片(Core Slicing)、应用级的切片(Application-level Slicing)的安全性需求进行研究。


8.5G安全的标准化


现阶段除了5G-PPP正持续进行5G安全相关的研究外,还有诸多国际组织同时进行研究,主要针对安全架构、AAA、隐私保护、网路切片安全等面向着手,最後期??能统一形成标准。确保5G世代的网路不受网路攻击威胁或在隐私保障上有所缺失。


而5G-PPP安全工作组在5G安全标准化上的贡献,主要有四个面向:(1)期影响5G包含无线接取、核心网、应用服务等各方面的安全要求发展;(2)透过识别5G所需要的安全功能与机制,设定基於一致性技术和程序的最小安全基准;(3)提供基於安全基准的安全架构设计;(4)增加可根据特定服务或应用稽核的安全功能。



图3 : 资安防护措施的升级与革新必须要加速进行,以因应未来5G世代到来时更多样性资安威胁的挑战。(source: Akuaroworld)
图3 : 资安防护措施的升级与革新必须要加速进行,以因应未来5G世代到来时更多样性资安威胁的挑战。(source: Akuaroworld)

中国IMT-2020(5G)推进组於2017年6月发表了〈5G网路安全需求与架构〉白皮书,内容主要针对5G发展需求与愿景研究进展,剖析了未来5G将面临的安全问题与发展趋势,同时在报告中也提出了5G网路安全需求和架构。中国IMT-2020(5G)推进组发表此一白皮书主要目的是为了後续5G网路安全相关技术的研究和研发设计奠定基础;并藉此敦促产业各界加速形成5G网路安全框架,达成共识,进而曾为5G安全国际标准的叁考依据,同时促进相关产业的发展。


随着5G技术逐步成形,在既有行动通讯环境中的资讯安全威胁也同步进化,因此,资安防护措施的升级与革新更要加速进行,以因应未来5G世代到来时更多样性资安威胁的挑战。在5G网路安全设计上,由於SDN与NFV是未来5G网路建构的关键要素,营运商或服务供应商将利用此两项技术结合网路切片,以降低网路布建与服务提供的成本,且在不影响用户端服务品质的情况下,提供快速、弹性且客制化的服务。


此时各类虚拟化的元件、开放原始码软体需求大增,相关资安问题也随之而来,例如被骇客已具漏洞的介面进行入侵攻击,导致网路被监控;或未来各式各样API介面难免存在着资安漏洞与缺囗,也造成了资安与隐私保护的隐??;再者,恶意程式的入侵且在网路上感染传播,都促使资安风险持续提高。


有监於此,标准化机构与5G推动组织,如3GPP、NGMN、中国IMT-2020推进组及5G-PPP等机构已经开始研究5G资安相关问题,同时包含主要的设备供应大厂也着手进行5G安全架构与相关技术的研发。例如,强化设备终端与云端连接的信任关系,藉由对所有的传输资料数据进行加密处理,并根据正在传输的资料价值,智慧化地选择各节点间的安全架构;或是针对物联网的信令安全要求,透过多种协定组合方案作简化管理,并藉由即时数据分析进行检测与保护等方式。未来,大厂们也思考着将机器学习纳入网路安全架构设计的一环,藉由更先进的讯号监控机制,主动过滤且更为强大的分析功能,确保5G网路安全不受侵犯,同时保护用户隐私与资讯安全。


面对物联网、工业4.0与更多的应用服务产生,都是5G发展的主要驱动力,而在以任务关键性与大规模物联网为主轴的应用领域上,除低延迟需求外,高度可靠性更是重要一环,所谓的可靠不仅仅在低延迟即时性的面向,也意指安全连线、资讯安全落实,因此更需要尽快探讨安全框架的制定与所有涉及安全组态与管理、安全监控和分析、通讯接取保护,以及终端与云端保护相关的议题。


当然,除了标准组织与设备大厂外,电信营运商、学研机构,甚至通讯监理单位也应共同叁与,以确保未来5G网路都能在软硬体上拥有坚固的安全机制、提供用户不容侵犯的隐私保护。


而5G网路安全不单单只是解决资安危机的议题,亦可将之视为未来可发展的商机之一。当掌握了终端用户(无论大众或垂直产业)对网路安全与隐私保护的需求与期待,能够提供5G安全解决方案的软硬体业者,藉由协助开发网路安全防护措施,或将谋得新的合作夥伴并拓展新的商机来源。


(本文作者为资策会MIC资深产业分析师)


*刊头图片(source:nterprise IoT Insights)


相关文章
车联网进化的驱动力
提高产业韧性 智慧制造扮演关键角色
医疗领域正迈入XR+5G时代
让物联网设备更安全
5G专网方兴未艾 智慧工厂先蒙其利
comments powered by Disqus
  相关新闻
» 工研院MWC 2024展会直击 5G-A无线通讯、全能助理成下一波AI风潮
» Ansys模拟分析解决方案 获现代汽车认证为首选供应商
» SOLIDWORKS公开演示未来AI 率先导入工业设计软体应用
» BMW与达梭系统合作 打造3DEXPERIENCE未来工程平台
» 西门子加入半导体教育联盟 应对产业技能和人才短缺问题
  相关产品
» 德承嵌入式电脑DS-1400 加惠AOI自动光学检查
» 宜鼎首款PCIe 4.0规格nanoSSD赋能5G、车载与航太应用
» 德承全新16:9阳光下可视模组展现高亮度、FHD、广视角新视野
» 凌华首款嵌入式MXM图形模组加速边缘运算和AI应用
» u-blox全新PointPerfect GNSS定位校正服务 达cm级准度


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 / E-Mail: webmaster@hope.com.tw