5G移动通信网络安全问题研究

时间:2022-08-05 03:11:27

5G移动通信网络安全问题研究

摘要:随着移动通信和智能设备的迅速发展,第五代移动通信系统(5G)的商用落地,为用户提供更好体验、更为快捷流畅、稳定的通信服务.针对5G移动通信网络的安全,分别从新业务、新网络体系结构、新型空中接口技术和用户隐私的更高要求这4个方面来介绍5G移动通信网络的安全要求,并提出5GUE接入和切换方法、物联网的轻量级安全机制、网络切片安全隔离策略、用户隐私保护和区块链技术这5方面的保护应对策略.

关键词:5G移动通信网络;安全要求;网络切片;区块链;保护应对策略

当今社会对高速互联网连接、高数据速率的无线通信有着很高的需求,是智能经济发展、社会和世界数字化的重要因素.5G网络可以实现2G,3G,4G,WiFi等接入技术的无缝融合,提供超过10Gbps的速度、低延迟、高可靠性、超高密度用户容量、高移动性的支持端口等.5G的移动网络业务主要包括eMBB(增强移动宽带)、uRLLC(低时延高可靠)、mMTC(海量物联网)三大典型场景[1].而5G需要根据这3种应用场景的不同安全要求使用保护机制,其中eMBB主要针对带宽和用户体验有着高要求的业务,比如高清视频和VR等;mMTC主要侧重于高密度的应用场景,终端具有能耗限制特性,拓扑动态变化,注重数据分析,比如智能电表;uRLLC则是提供较低的时延和较高的安全性的通信应用服务,例如实时医疗应用服务、车辆联网等.除了mMTC和uRLLC外,网络还需要支持100万?km2的连接密度,端到端延迟小于1ms,这意味着大量节点将同时加入和退出网络.通信节点具有分布密集、并发通信量高、通信时延低、动态迁移等特点.网络将面临海量通信节点之间密钥分配的实时生成和管理等诸多问题.为传统无线通信的安全性带来新挑战.相应地,需要为5G开发的关键技术是:大规模多输入多输出(MIMO)、全双工、超密集网络(UDN)、软件定义网络(SDN)和网络功能虚拟化(NFV)等[2].

15G移动通信网络安全要求分析

由于新的业务应用、新网络架构、新应用技术和新应用场景,5G移动通信网络需要使用许多新的安全类型,目前,以物联网为代表的新的业务应用对安全和开放共享的网络架构提出了新的挑战.由于安全手段有限,空中接口技术的应用和发展不仅对无线安全提出了更高的传输要求,同时也为解决信息问题创造更好的条件.1.15G新业务的安全要求.5G通信网络在eMBB,uRLLC和mMTC等三大典型应用场景时,由于虚拟现实(VR)、大数据及互联网的消费者体验的产品种类越来越丰富,导致多样化的场景需求对网络设备容量和性能提出更高的要求[3].同时,5G的高速率和低延迟将逐渐和工业、交通、医疗、教育和城市等方面紧密联系在一起.uRLLC能给用户提供端到端的毫秒级的时延和接近100%的高可靠性的业务保证,因此,为实现即时互联互通的远程实时医疗、车联网等,就需要5G网络提供更加可靠的网络架构;eMBB能给用户提供随时随处获得100Mbps以上的无缝、极致和高速的通信体验,则要求5G网络需要建设更多的小基站,而随着这些小基站的密集度增加,其组网能力和组网能力的安全隐患也随着增加;mMTC则能支撑百万级别低能耗物联网设备终端的连接服务,而拓扑动态变化和网络环境复杂等情况,终端设备的安全可靠运营也受到威胁.所以,5G移动通信网络的使用将涉及到大量的接入节点、低延迟和高可靠性.而目前,所存在的计算资源、规模和功耗都有局限性,对5G移动通信网络安全性提出了前所未有挑战,但对5G内生安全机制的研究正朝着一个有前景的方向发展.1.2新网络体系结构的安全要求.随着移动互联网的蓬勃发展,越来越多的用户设备和对带宽的巨大需求,将来的蜂窝网络相关的基础设施需在HetNets网络下才能正常工作.只有当5G移动通信网络体系架构足够强大,才能满足多用户同时请求可扩展的服务要求.将SDN?NFV技术运用到新5G移动通信网络架构中,分离设备的控制平面和数据平面,这为基于通用IT硬件平台的多个制造商生产的新设备兼容性提供了条件[4].此外,业务的开放性能和用户的可定制性等都会给企业带来极大的挑战,需为云平台提供安全性和可信性.此外,有关数据的计算、存储和网络资源的共享等带来了一系列的问题,例如虚拟机的安全性和数据的安全性.1.3新型空中接口技术的安全要求.基于上层协议,目前实现了2G和3G的加密技术和4G空中无线广播信号的安全性,却忽略了接口的重要性,接口对无线通信安全造成威胁.目前,5G通信网络将拥有更宽的带宽、更密集的用户数、更低的延迟和更可靠的传输.因此,为保证5G通信网络的关键性能指标(KPI),需设计安全有效的机制,以适用于不同的应用场景.在传统的认证和数据完整性保护机制(如AKA,EPS-AKA)中,用于防止基于信号的无线攻击(如消息篡改、模拟、中间主攻击和重放攻击)的主要方法是用由身份确定的用户身份信息来标记信令和数据[5].但是,当身份密钥泄露或暴露时,身份验证数据就会失效,而攻击者不但能够窃取身份验证过程,还能获取后续的会话密钥,网络安全得不到保证.目前,由于数据速率和计算复杂度存在矛盾,当前的移动网络缺乏合适的解决方案,难以解决移动通信速率的快速和持续增加带来的问题,不能确保业务数据的完整性.因此,急需开发能在5G移动通信网络的应用场景中,能快速确认从未知位置发起的主动攻击者并能进行防御的有效方法.1.4对用户隐私的更高安全要求.5G网络承诺为终端用户提供智能服务,这将从用户的角度提出许多隐私问题.5G网络提供的服务将包含有关其用户的主要信息(如身份、位置以及私人数据).这些信息将如何存储,以及在何种条件下,许多利益相关者可以获得个人数据,因此,5G网络引发了私人数据泄露的重大问题[6]:第一,数据隐私.5G网络允许用户通过异构智能设备使用智能和数据密集型的按需服务,例如,高分辨率流媒体、医疗保健等.为了提供这些服务,服务提供者可以未经许可存储和使用个人的私人数据.存储的数据可以与其他用户共享,以便他们可以使用机器学习技术分析数据,并为自己的产品找到新的业务趋势,这可能更适合该用户.为了缓解此类数据隐私问题,服务提供商必须向用户说明个人数据的存储方式和存储位置.第二,位置隐私.在5G网络中,大多数设备将依赖无处不在的基于位置的服务(LBS).LBS使用与智能手机和?或移动设备相关的位置数据向用户提供服务.近年来,在政府、娱乐、交通、医疗、食品等多个垂直行业,LBS的推广力度明显加大.事实上,这样的LBS让用户的生活更轻松、更愉快,但也带来了大量的隐私问题,而这些问题都是不断被跟踪的.在某些情况下,个人可能不知道这些技术所带来的潜在风险,不知道如何确定其位置,以及允许谁访问这些信息.第三,身份隐私.指保护设备、系统和用户的身份相关信息免受主动攻击.随着越来越多的设备连接到互联网上,这就引发了身份盗窃的报警情况.例如,在最近的研究中,主动攻击者可以通过捕捉用户的国际移动用户身份(IMSI)来暴露用户的身份.此外,通过身份盗窃可以找到更多关于用户的细节[7].在5G和物联网中,身份盗窃可以算作最大的风险之一.因此,5G通信网络需要提高对用户隐私的保护,设计安全机制来防止用户在存储、传输和访问过程中的敏感信息的泄露.

25G移动通信网络安全应对策略

2.15GUE接入和切换方法.5GUE接入方法中,5GUE与网络之间的相互认证以及用于提供密钥材料以保护后续安全程序的密钥协议是5G网络中2个最重要的安全功能.在5G系统中,3GPP委员会支持一种名为5GAKA的新AKA协议,该协议通过为家庭网络提供成功认证的证明来增强4GAKA协议,即EPSAKA[8].除5GAKA协议外,还支持EAP-AKA协议,以在5G网络中执行相互认证和密钥协议.5GUE切换方法中,3GPP委员会规定了5G系统的不同移动性场景,包括移动性内部新无线电(NR)、移动性内部3GPP接入和3GPP与不可信非3GPP接入之间移动性[9].目前,针对5G接入过程的安全性的解决方案:USIM兼容的5G-AKA协议已被提出[10].在该方案中,由于Diffie-Hellman(DH)密钥交换协议嵌入到5G-AKA协议中,会话密钥的生成不仅依赖于长期密钥,还依赖于短暂的DH参数.即使长期密钥被泄露,对手也不可能获得共享密钥.因此,该方案可以同时实现完美的前向保密(PFS)和抵抗被动攻击.然而,由于使用了Diffie-Hellman(DH)算法,在资源有限的情况下,移动设备的计算和通信开销会有所增加.Yang等人[11]提出了一种基于区块链的5G网络匿名接入方案.通过在访问过程中引入基于区块链的分发信任体系结构,可以节省大量的信令和连接成本.Miao等人[12]提出了一种基于信道信息和EAP-AKA协议的超密集5GHetNet跨层认证方案.在该方案中,当UE想要接入网络时,首先采用EAP-AKA认证协议进行初始认证.而为了实现5G网络安全高效的切换认证,大量的切换认证方案被提出.Duan等人[13]提出UE借助安装在SDN控制器中的认证切换模块(AHM)从源小区切换到目标小区,并且能够监视和预测用户的位置.由于AHM可以在UE到达之前准备好相关小区,并且相关小区也可以提前为UE准备资源,因此该切换方案可以大大降低切换延迟.此外,由于UE和小区始终处于AHM的监控之下,该方案可以避免模拟攻击和MitM攻击.2.2物联网的轻量级安全机制物联网.(loT)是5G通信网络中的关键应用场景.在高速传输数据过程中,必须保证敏感数据的机密性和完整性.超高速、超大容量、超低延迟是未来5G网络的显著特点.5G网络的传输速率是4G网络的10~100倍.如何在如此快速的传输过程中设计重量最轻的安全保护机制,同时保证海量物联网设备敏感数据的机密性和完整性,是未来5G网络面临的重大挑战.为了解决这一问题,相关研究者提出了一系列的解决方案.Tahir等人[14]提出了一种新的用于客户机服务器架构的可搜索加密方案,该方案利用模块化的逆属性方便在具有云上加密数据搜索功能的安全逆索引表上进行搜索.目前,学者为5G移动通信网络的应用场景实现高级别和轻量级的安全性提供了一个有希望的解决方案,例如使用mMTC和uRLLC.Wang等人[15]提出了一种将随机信号与无线信道相结合的密钥生成方法,解决了无线信道随机性有限和移动受限时密钥生成率低的问题情景.Lou等人[16]研究出一种把随机信号和密钥相结合的方法.在BS中,密钥主要是通过信道和信号随机地提取出来的,而信号源的安全则是通过一种安全的传输方案来保证的,同时,节点侧根据接收到的信号直接生成密钥.综上所述,无线信道安全机制能够做到快速密钥更新,减少不必要的网络信令开销和降低延迟,为大量运营设备的密钥分配和管理提供了一个很好的解决方案,也满足了轻量级实现的安全要求5G物联网场景中的终端,提供高效的小数据安全传输和隐私保护.2.3网络切片安全隔离策略.在5G时代,数千亿个设备将连接到网络.不同类型的设备和不同的应用场景具有不同的网络要求.如何在同一网络物理设施上满足5G网络不同服务的QoS要求是关键[17].将NFV和SDN技术引入5G网络,并采用网络切片方法,可以有效满足不同业务的QoS要求.网络切片将现有物理网络拆分为多个分别独立的逻辑网络,以为网络的差异化服务提供一系列的定制服务.根据5G移动通信网络不同业务的QoS服务要求,分别给网络切片分配相应的网络功能和网络资源,来实现5G移动通信网络架构的实例化.通常,网络切片由大量网络功能和1组特定的RAT组成.网络功能和RAT集的组合方式取决于特定的使用场景或业务模型.例如,在某些物联网情况下,移动性不会很高,因此不需要移动性处理功能.可以有不同的提供网络切片的方法,例如,我们可以为每个服务提供1个切片,也可以为每个垂直市场提供1个切片.若想实现隔离,每个网络切片的配置都有各自相匹配的专属切片ID,同时,还需与5G通信的网络规定切片安全需求保持一致,然后放到切片安全服务器内,当用户设备使用5G网络时,则需提供相关网络切片ID.当归属服务器接收到网络切片的请求时,会以HSS按照SSS相对应切片的安全配置使用和该切片ID相应的安全设置,同时,选择合适的安全算法来建立UE相关认证矢量,此外,该认证矢量计算需和网络切片ID相绑定,从而实现网络切片安全隔离.而对于同样业务种类的网络切片而言,也体现出隔离方面的需要.不管是资源、服务还是数据,处于网络切片内受到隔离保护.因此,为用户提供统一、灵活和安全的可分离身份认证框架,安全存储用户相关重要信息,以供用户实时访问相关资源.2.4用户隐私保护.5G移动通信网络安全机制的研究和标准化过程中,用户隐私保护是广泛的关注点.对5G网络隐私保护有关内容主要有3个方面:第一,移动通信网络上传统的用户隐私数据保护,例如用户位置、行踪、通信内容等;第二,不同行业的用户隐私数据保护,例如,用户个人医疗和健康信息等;第三,敏感行业中的基本数据保护,例如机器设备中生产控制等指令数据.国家数字交换系统工程技术研究中心(NDSC)针对移动通信网络中用户隐私数据泄露的相关问题,提出了相应的解决方案,其主要核心思想是利用动态隐藏映射的主动防御机制来有效地隐藏并动态改变用户数据的关联关系,进而在不可控制的通信过程或通信设备中构造动态的、不确定的“用户数据关联关系谱”,使用户数据体现出不完全、不确定、不相关、不真实的特点.5G网络对不同的用户和不同服务场景有不同的隐私保护要求.因此,需采用不同的技术手段来防止用户隐私泄露.首先要明确用户个人隐私信息的内容和涉及范围,明确处理并存储用户的隐私信息的网络操作等.然后,就空中交通、网络、信令交互和应用层、隐私信息的请求等其他操作使用包括数据最小化、加密保护和用户权限等在内技术和管理措施加以保护.2.5区块链技术.5G网络空间中存在大量的设备,其类型复杂,网络环境复杂,虚拟状态和物理状态同时存在.因此,有必要确定如何实现相互的完整性保护.在复杂的网络运营环境中,各网络元素之间的信息交互行为的不可否认性是5G移动通信网络面临的主要挑战.而区块链被定义成一种分布式数据库,用于记录从起源区块到当前区块的所有事务,具有如下特点:分散性、不可变性、匿名性和可审计等,也能为上述挑战提供解决方案.通过基于区块链的安全通信基础设施,可以实现面向隐私的加密音频和视频通信、欺诈管理、身份服务和电信行业数据管理的新解决方案,同时为5G构建物联网安全网络.Zyskind等人[18]提出了一种分散的个人数据管理系统,保证了用户对数据的拥有和控制,信令(存储、查询和共享数据)被用作不受信任的第三方类信息,来对数据进行安全访问控制管理.Kravitz等人[19]提出了大量嵌入式设备存在隐私和安全挑战,通过私有链来保护并管理这些系统,使用区块链技术提供分布式管理和灵活管理用户及设备的身份来满足基本需求.Cruickshank等人[20]提出了一种新的密钥管理方案,用于在异构VCS(车辆通信系统)中的安全管理器之间进行密钥转移,并通过密钥进行安全传输.

作者:林嘉涛 李玉 陈海萍 单位:中国电信股份有限公司厦门分公司