《未来移动通信论坛:5G信息安全白皮书(46页).pdf》由会员分享,可在线阅读,更多相关《未来移动通信论坛:5G信息安全白皮书(46页).pdf(46页珍藏版)》请在三个皮匠报告上搜索。
1、区别于以往移动通信系统信任关系构建所依赖的用户与网络、用户与业务的二元信任模型,该安全架构通过统一认证的网络功能,支持网络与业务间新的信任关系构建,赋予用户与业务间信任关系新的内涵。a) 支持网络与业务间新的信任关系构建首先,在现有二元信任模型基础上,引入网络与业务间的信任构建机制可以提高业务提供商的可信性,降低恶意软件、钓鱼网站等对用户的威胁;其次,对于某些物联网行业应用(如,烟感监控报警),通过事先建立网络与业务间的信任关系,终端在完成入网认证后不再需要进行业务接入认证,从而简化了用户的业务认证流程。因此,安全架构通过安全认证安全技术集,在统一认证网络功能和应用服务间实现新信任关系的构建。
2、b) 支持用户与业务间信任关系的新内涵在业务与网络分别对用户认证机制的基础上,针对多样化应用的安全需求,支持网络统一认证与业务(第三方)统一认证两种机制。网络统一认证:业务提供方将业务认证委托给电信运营商,通过运营商一次认证达到网络认证和业务认证的双重目的,例如,边缘计算服务等应用场景。业务(第三方)统一认证:运营商信任业务对用户的认证结果,经一次业务认证,即可为用户提供网络服务,例如,高安全专用领域、工业物联网等应用场景。(2)异构接入安全该安全架构支持 3GPP 接入安全,包括:接入层(AS)控制面安全、非接入层(NAS)控制面安全与用户面安全,并支持受信与非受信的非 3GPP 接入安全。
3、对于 3GPP 接入和受信的非 3GPP 接入方式,在接入网实现控制面保护和用户面保护;而对于非受信非 3GPP 接入方式,由于接入方式非受信,将用户面保护功能置于 5G 核心网,采用从用户到核心网端到端的保护方式,防止用户面数据在非受信的非 3GPP 接入网被窃听或篡改。(3)网络开放能力安全5G 网络架构将支持部分服务与安全能力通过 API 接口开放给第三方(如业务提供商、垂直行业等)。在安全架构中通过在开放服务网络功能与业务应用间引入开放接口安全技术集,为开放服务被合法、合理的调用提供了保障。(4)切片与虚拟网络功能(VNF)安全针对 5G 网络虚拟化的特点,在安全架构中引入了切片与 V
4、NF 安全技术集,实现切片间安全隔离、切片内部不同的 VNF 之间的安全隔离、VNF 访问控制、MANO 安全加固、SDN 控制器安全加固等安全功能。(5)基于大数据的安全监管由于 NFV、SDN、网络切片等 IT 技术的引入,以及与诸多垂直行业的深度融合,5G 网络相对于 4G LTE 网络受攻击面大幅增加。因此,要保证 5G 安全的完备设计是一项巨大的难题。针对这一难题,在安全架构中引入基于大数据技术的“安全监管云”,对 5G网络进行安全态势管理、监测预警与安全防护。具体而言,在接入网、核心网的网元与各网络功能中部署监测点,各监测点实时采集相应的配置信息与网络运行状态等信息(如信令信息、流
5、量信息、内容信息),所采集的信息将统一汇聚到安全监管云;安全监管云通过智能学习与大数据技术等手段对网络中存在的潜在威胁进行识别和预警;进一步,安全监管云可支持动态安全防护策略的生成、更新和下发;各监测点根据下发的安全防护策略对所在网元和网络功能重配置以实现系统的主动防御。(6)终端安全终端安全是 5G 安全体系中不可缺少的一环。安全架构在终端中引入终端安全面,在终端安全面中通过构建受信存储、计算环境和标准化安全接口,分别从终端自身和外部两方面为终端安全提供保障。终端自身安全保障可以通过构建可信存储和计算环境,提升终端自身的安全防护能力;终端外部安全保障通过引入标准化的安全接口,支持第三方安全服务和安全模块的引入,并支持基于云的安全增强机制,为终端提供安全监测、安全分析、安全管控等辅助安全功能。