1 引言
作為新一代移動通信技術,5G系統在提升移動互聯網用戶業務體驗的基礎之上,進一步滿足未來物聯網應用的海量需求,與各行業深度融合,實現真正的“萬物互聯”。
5G網絡支持更高帶寬、更低時延、更大連接密度,可以滿足3類應用場景:增強移動寬帶(Enhanced Mobile Broadband,eMBB),超可靠低時延通信(Ultra-reliable and Low-latency Communications,uRLLC)以及海量機器類通信(Massive Machine Type Communications,mMTC)。
為滿足3種不同業務類型的通信需要,要求運營商能夠針對新系統、新環境下的差異性,研究5G業務系統安全方面的典型特征,做好5G網絡業務的安全管控,保障5G網絡系統業務運營安全。
2 5G網絡架構與數據流分析
本文以目前5G網絡規劃使用的NSA Option3x、SA Option2兩種架構為例,對5G數據流走向及存在的信息安全問題進行分析。
2.1 NSA Option3x網絡架構介紹與數據流分析
基于NSA Option3x方案的5G網絡總體架構和4G LTE網絡總體架構基本相同,是由分組域核心網、電路域核心網、IMS核心網及相關業務平臺、無線接入網和NSA終端組成,其中分組域核心網通過功能增強支持NSA核心網,簡稱EPC+。在NSA Option3x的網絡系統中,信令面均通過eNB和EPC+的S1-C接口連接交互。
對于NSA Option3x方案,數據可按承載粒度由4GeNB基站或5GgNB基站通過S1-U隧道和EPC+交互,X2接口除了承載信令外,還支持數據面報文的交互,即gNB支持將一個承載內的下行數據按照一定規則通過X2接口分流至eNB,上行數據可從eNB通過X2接口發送至gNB,也可直接通過NR空口發送至gNB。所有信令數據通過eNB到核心網,Volte數據通過eNB到核心網。
2.2 SA Option 2網絡架構介紹與數據流分析
在SA Option 2組網方式中,接入層及非接入層信令和數據均通過5G協議進行傳輸。
在核心網層面,核心網組網架構、設備為5G新核心網架構、設備;所有核心網信令、流程按照5G核心網協議進行傳輸; 5G控制面采用基于服務的架構(SBA),控制面網元包含AUSF、AMF、SMF、NSSF、NEF、NRF、PCF、UDM等;5G用戶面功能設備為UPF;可以對垂直行業用戶提供業務優化能力,如網絡切片、邊緣計算(MEC)信息開放等。
在接入網層面,5G SA用戶通過NR空口接入5G核心網;5G接入采用gNB基站;支持與4G切換、重選互操作;所有控制面數據與用戶面數據均通過gNB傳輸到5G核心網。
3 5G信息安全管控
5G網絡架構以及應用的變化,使得5G的信息安全管控也隨之發生改變。下面我們從5G信息安全管控體系以及5G應用于人工智能(AI)、物聯網(IoT)、云計算(Cloud Computing)、大數據(Big Data)、邊緣計算(Edge Computing)這幾個方面可能帶來的變化為切入點,介紹5G網絡的信息安全管控問題。
3.1 5G信息安全管控體系問題總述
(1)NSA架構下的信息安全管控變化。NSA架構下,架構與應用的變化為:接入網基站發生變化,引入5G的gNB基站;會出現5G應用于人工智能、物聯網、云計算、大數據、邊緣計算等場景下的新業務;5G傳輸速率會相比于4G明顯提高。
基于以上變化,我們需要確認安全管控的需求點為:信息安全管控系統的覆蓋能力能否對5G新業務進行覆蓋;現有系統的解析、計算能力需對5G場景下的高速率業務進行匹配。
(2)SA架構下的信息安全管控變化。SA架構下,架構與應用的變化為:接入網、核心網的設備、流程、信令均發生變化,接入網與核心網均引入新的5G設備;會出現更多5G應用于不同場景的新業務;會產生大量垂直行業下的新應用;會引入邊緣計算、切片。
基于以上變化,我們需要確認安全管控的需求點為:信息安全管控系統的覆蓋能力;部分信息安全管控系統需要改造,匹配系統架構;為新的應用場景、業務、協議提供安全管控能力;為垂直行業提供安全管控。
3.2 5G在人工智能場景下的信息安全管控
3.2.1 5G與人工智能融合下的信息安全風險
5G網絡下,人工智能提供的應用數量日益增長,同時這些應用也會帶來安全風險,如:
(1)深度偽造技術。深度偽造(Deepfake)是一種利用人工智能和機器學習將人的臉疊加到另外一個人的身體上的技術。目前,華盛頓大學研究人員已經可以利用音視頻人工智能技術,虛擬出政治人物演講,達到以假亂真的效果。未來,不法分子可能會利用人工智能技術,針對公眾人物制作虛假視頻,進行詐騙、政治宣傳等。
(2)人工智能惡意軟件。據報道,IBM研究院安全研究人員開發了一種由人工智能驅動的“高度針對性和回避性”攻擊工具DeepLocker,將現有的幾種人工智能模型與當前的惡意軟件技術相結合,創建一種特別具有挑戰性的新型惡意軟件。該惡意軟件可以隱藏其意圖,直到它觸達特定受害者,才會釋放惡意行為。
(3)語音機器人騷擾電話。2019年“3·15”晚會上曝光不少企業通過模仿人類聲音的智能機器人撥打大量騷擾電話。在對某人工智能公司的暗訪中,記者發現,一年內該公司利用智能機器人撥打了40多億次騷擾電話,涉及30多個行業。
(4)人工智能釣魚郵件。黑客可以使用人工智能技術,對用戶大量生成有針對性的釣魚郵件。此外,還可利用對抗生成網絡技術,巧妙繞過目前已有的反釣魚郵件系統,達到攻擊用戶的目的。
3.2.2 針對5G與人工智能融合下新增風險的管控措施
人工智能信息安全風險,并非在5G網絡下所特有的風險,而是人工智能自身所具有的風險。5G網絡使得人工智能技術的使用迅速增加,因此人工智能的安全風險也增大,我們針對人工智能風險提出了以下管控措施:
(1)對抗訓練。主動生成大量對抗樣本供模型進行學習,提升模型應對對抗樣本的能力;手機惡意軟件管控系統及時更新惡意軟件數據庫;騷擾電話、虛假主叫監控系統對自動語音撥打建立有針對性的監控流程、算法模型;不良信息集中管控系統及時更新釣魚網站識別算法。
(2)源頭預防與聯合治理相結合。對于人工智能生成的虛假音視頻,目前的安全管控系統很難直接監測,因此只能聯合多方進行管控。建議視頻發布源頭加強審核,工信部、公安部、網信辦等有關部門加大違規人員、網站處罰力度。
3.3 5G在物聯網場景下的信息安全管控
萬物互聯是人工智能時代背景下物聯網的最終極目標之一。物聯網設備的海量增長,以及5G網絡商用化的逐步展開,將使物聯網卡引發的信息安全風險與4G時代相比也會成倍增長,因此更需要重點關注。
3.3.1 5G與物聯網融合下的信息安全風險
物聯網卡的發放管理不嚴格,可能出現違規轉售轉租等管理風險;物聯網終端易被侵入遭受惡意控制,進而可能形成僵尸網絡并攻擊其他網絡用戶,出現非法散播違規內容的風險(例如傳播垃圾短信、撥打騷擾電話等)。
3.3.2 針對5G與物聯網融合下新增風險的管控措施
對于疑似違規的物聯網卡,可以基于物聯網卡開卡(注冊)信息、位置信息、上網流量、通話記錄、短信記錄等數據進行專項分析,并對安全風險進行監控,可采取的物聯網卡安全監測方法如下。
(1)業務濫用分析。根據物聯網卡被授權移動業務情況(例如單獨開通通話、上網等功能)、消費地點、消費賬單等數據進行分析。
(2)機卡分離監測。根據物聯網卡被授權的行業業務情況,例如控制系統(如電表、充電樁)、車聯網、智能安防系統、智能終端、IMEI號碼,以及相關業務可能的位置情況等內容,來判定行業卡/物聯網卡是否存在機卡分離的現象。
(3)位置異常變動分析。根據物聯網卡被授權的行業業務情況,以及LAC、CI數據等,判斷是否存在位置異常變動情況。
(4)惡意攻擊檢測。根據上網日志、DNS日志等數據,發現物聯網卡設備被人植入后門,并惡意利用進行DDoS攻擊、僵尸網絡挖礦等行為。
(5)騷擾電話、垃圾短信分析。根據物聯網卡號段信息,通話信令數據、疑似垃圾短信上報數據,發現物聯網卡撥打騷擾電話、發送垃圾短信、傳播惡意鏈接的情況。
(6)區域分析、行業分析、整體態勢分析。分析并展示違規、物聯網卡的區域情況(例如地市)、行業情況、整體態勢(例如時間展示、違規比例展示、總量展示、最新違規情況展示等)。
3.4 5G在云計算場景下的信息安全管控
5G環境下,更多的云計算資源將會接入網絡,也會加速高清視頻、虛擬現實/增強現實(VR/AR)、云視頻等業務的發展。資源的擴張,業務的發展,也會給信息安全管控帶來新的挑戰。
3.4.1 5G與云計算融合下的信息安全風險
在5G網絡環境下,云計算可能帶來的信息安全風險參見表1。
3.4.2 針對5G與云計算融合下新增風險的管控措施
如表1所介紹,對于5G環境下帶寬增大的問題,需要對現在不良信息集中管控系統前端采集點進行適當擴容,來滿足新增需求;對于新出現的業務、協議(例如HTTPS等),需要針對其進行專項研究,并對特定的內容進行還原、解析、判定。
3.5 5G在邊緣計算中的信息安全管控
3.5.1 5G與邊緣計算融合下的信息安全風險
移動邊緣計算(MEC)是一個“硬件+軟件”的系統,通過在移動網絡邊緣提供IT服務環境和云計算能力,以減少網絡操作和服務交付的時延,是5G的重要支撐力量。在5G獨立組網商用以后,預計車聯網、虛擬現實、增強現實、高清視頻、工業互聯網、遠程醫療等眾多垂直行業應用會涉及邊緣計算。邊緣計算有如下特點:
(1)傳統的CDN/WebCache中,邊緣節點不直接產生數據,也不對數據進行處理,而是由內容中心對數據進行分發,或直接對用戶上網數據進行緩存。
(2)在邊緣計算中,用戶設備(例如汽車、工程設備、醫療平臺、家庭電腦、智能手機等)產生用戶側數據,上傳到邊緣云/邊緣服務器,邊緣服務器在不跟中心服務器發生交互的前提下,直接對數據進行儲存、計算,并將處理結果返回給用戶設備。
(3)用戶側上傳的尤其是媒體類型的數據,可能存在信息安全風險隱患。
3.5.2 針對5G與邊緣計算融合下新增風險的管控措施
邊緣計算由5G用戶名功能模塊和邊緣計算平臺構成;5G網絡中控制面和用戶面徹底分離,控制面網元可以集中在大區/省中心,用戶面網元可根據業務需求(如時延要求)分層部署在不同的網絡位置,包括大區/省中心、地市、區縣等;深度報文檢測(Deep Packet Inspection,DPI)設備可對UE到用戶面的N3接口數據進行采集,進而進行監控。
4 5G對現有安全管控系統影響分析
4.1 5G NSA架構對安全管控系統的影響
4.1.1 對DPI采集設備的影響
在5G NSA網絡架構下,DPI采集設備的架構圖參見圖1,采集點包括S1-U接口、省網網間出口、省網出口、IDC出口、骨干網出口以及國際出口。
對于DPI設備的具體影響,表2進行了總結。
4.1.2 對安全管控系統覆蓋面的影響
在NSA架構下,安全管控系統只有接入網的架構、信令、用戶面數據流發生變化,核心網架構、信令、數據流未發生變化;5G業務所有的信令數據、業務數據可被現有系統采集,可以實現管控。
4.2 5G SA架構對安全管控系統的影響
4.2.1 對DPI采集設備的影響
在5G SA網絡架構下,DPI采集設備的架構參見圖2。在該架構圖中,DPI采集點會發生變化。
對于DPI設備的具體影響,表3進行了總結。
4.2.2 對電話管控系統的影響
對SA架構下電話管控系統(包括虛假主叫管控系統、騷擾電話監控系統、國際詐騙電話監控系統)進行分析,可得出如下結論:
(1)電話管控的信令采集仍在IMS域進行,其中虛假主叫管控系統采集Mx接口,騷擾電話監控系統采集ISC接口,國際詐騙電話監控系統采集MGCF出口信令。
(2)電話管控系統信令采集部分字段會發生變化。
(3)SA架構下5G業務所有的信令數據可以被現有系統采集,可以實現語音管控。
4.2.3 對垃圾短信管控系統的影響
5G SA架構下,短消息發送流程分為SMSoNAS以及SMSoIP兩種模式,兩種模式下的短信發送都會經過SMSC(短信中心),可被現有垃短系統監控。
4.2.4 對不良信息管控系統的影響
5G SA架構可以實現對不良信息的監控,但涉及邊緣節點的數據,需要增加DPI設備對于N3接口的數據采集。但此時預計采集數據量會增大,可能需要對相關設備進行擴容。在5G下,會出現大量VR/AR視頻等業務,使用VR/AR類協議,而目前現有算法無法對VR/AR類視頻進行分析,導致無法對VR/AR類不良視頻進行監控。
5 結語
本文對5G新網絡環境下可能面臨的信息安全風險進行了簡要分析,并針對5G下兩種不同的網絡架構,提出了信息安全風險的影響面以及可能的管控措施、手段。通過以上措施,我們可以對5G下可能出現的信息安全風險提前做好準備,為5G網絡更好地運行打下良好基礎。
(原載于《保密科學技術》2020年9月刊)