概述
新技术总是带来许多对其负面潜力的担忧,5G也不例外。什么是 5G,它面临哪些安全风险,以及专家如何努力确保 5G 安全?
什么是5G?
G代表第五代蜂窝移动网络。在架构和协议方面,5G 无线接入网 (RAN) 和 5G 核心与 4G LTE 有很大不同。例如,5G RAN 使用新的射频 (RF) 协议,提供更宽更高的频段频谱,并具有开放的分布式架构。
5G网络技术架构:
传统ICT系统中,资产包括∶
硬件、软件和通信组件;软硬件和通信组件之间的通信链路;控制系统功能的数据、系统生产的数据、以及数据流;5G系统部署中的物理和企业基础设施;与系统进行交互、或影响其操作的人类代理。5G中的资产种类包括∶
(1)策略(policy)。策略控制功能行与消费者功能相关的会话管理等。这些功能可以用作充电控制、策略控制和应用检测控制等。
(2)管理过程(Management processes)。该资产是5G基础设施组件集的开发、部署和操作的重要过程。包括配置、网络管理、软件开发过程、持续性、密钥和访问权限管理等,这些过程在确保5G运行的安全和可信方面起着非常重要的作用。
(3)商业应用(business application)。该资产表示在5G网络中实现商业相关问题所需的调试和客户关系管理。
(4)商业服务(business services)。在5G环境中,该资产表示交付服务商商业化所需的特定服务所需的组件。
(5)协议(protocol)。该资产指5G网络基础设施使用的主要通信协议,包括网络通信、无线通信和安全中的协议。
(6)数据网络(data network)。该资产表示与5G网络之外的外部数据、内容、服务和其他资源的连接。数据网络用于连接不同类型的5G网络、运营商和服务提供商。(7)切片(slicing)。该资产表示所有负责切片创建和管理的5G功能。
(8)数据(data)。该资产包括所有的5G操作相关的数据,也就算是5G数据机密性和安全性相关的数据。
(9)人类资产(human assets)。这是最重要的资产种类,表示5G网络运行和使用中所有的参与者。
(10)时间(time)。时间也是5G网络中的重要资产,在许多与时间相关的功能中起着非常重要的角色,比如QOS、网络管理、虚拟化管理。
(11)法律相关(legal)。这类产品是与不同的合同协议和知识产权(IPR)相关的资产。(12)遗留资产(lagacy)。此类资产包括连接到5G网络或在从2G到5G演进过程中使用的遗留系统,具体包括物理网络功能、服务网关、管理实体、包网关、遗产协议、遗产加密基础设施等。
(13)数据仓库(data storage)。此类资产包括实现保存的5G数据的访问和持久性。(14)物理基础设施(physical infrastructure)。此类资产包括所有的5G物理资产,主要是IT组件、线缆和数据中心、以及用户设备。具体来说有网络硬件、云和运营数据中心、各类用户设备和无线访问硬件。
(15)管理和编排(Management and orchestration,MANO)。此类资产表示与管理和编排相关的所有资产。MANO负责管理整个5G网络功能、虚拟化和全生命周期相关的功能,因此被认为是5G基础设施最重要的部分。
(16)无线接入网(Radio Access Network,RAN)。RAN表示负责RAN的所有功能的逻辑组件,主要包括无线接入的分布单元和控制单元。
(17)网络功能虚拟化(NFV)。这类资产含有所有总专用硬件中虚拟出来的的网络功能。NFV资产包括所有的安全功能,即负责处理所有必要的认证、监控和订阅。
(18)软件定义网络(SDN)。是指与SDN网络控制器、虚拟网络交换机、数据层、应用层和控制层相关的资产。
(19)合法侦听(Lawful Interception,LI)。LI资产是指执行合法监听、提供对5G私有通信的合法访问的所有相关的5G功能。
(20)传输(Transport)。Transport资产表示用于网络传输的所有通信信道。包括卫星、微波通信、以太网和NFC等。这类资产对于通信的可用性来说是非常重要的。
(21)虚拟化(Virtualisation)。随着5G网络的虚拟化,虚拟化功能在5G中所处的角色非常重要。这类资产中包括与虚拟机技术和Hypervisor(虚拟机监视器)相关的所有技术。
(22)云。云计算技术也5G架构中也有广泛的应用,包括通过SaaS和laaS提供的服务。这类资产包括逻辑云服务,与云相关的硬件部分划分在物理基础设施资产部分。
(23)移动多接入边缘计算(Multi-access Edge Computing,MEC)。这类资产是位于用户或边缘设备的与云功能相关的分布式资产。
(24)应用程序接口(Application Proaramming Interfaces,APIs)。API在5G生态中也起着非常重要的作用。允许应用和服务来进行网络功能编程,与不同的网络和运营者进行交互。5G网络也在电信通信系统中引入了REST API。
(25)安全控制。该类资产包含与通用通信网络和5G网络相关的一些安全控制。包括但不限于应急响应、DOS保护、入侵检测、防火墙、网络流量分析和安全边缘保护代理。
识别出5G中的资产种类:
资产与CIA关系:
5G核心差异包括:
- 具有控制和用户平面分离 (CUPS) 的 SDN
- 分解提供更多离散的控制和编排功能
- 虚拟化和微服务(即容器)
- HTTP/2(不是 GTP-C)控制平面
- TLS 1.3 加密控制平面
- 多访问边缘计算 (MEC)。
这些都代表着重大变化——虽然在某些情况下他们希望帮助提高安全性,但在其他情况下,它们可能会导致更多漏洞甚至缺乏可见性。此外,需要新的 5G 核心来帮助实现 5G 承诺的期望;仅高频段频谱不足以实现这一点。
5G 预计将比当前的 4G 网络快大约 100 倍,部分原因是这些网络是建立在高频段而不是中频段之上的。这种速度提升将为从云机器人到医疗保健的所有领域带来升级。
然而,这种低延迟网络的一个主要缺点是范围和渗透率。较低功率和较高频率的信号不会传播得那么远,并且很难穿过墙壁,这就是为什么 5G 可能需要更长的时间才能成为大多数移动设备服务的标准功能。
不过,这种高频段采用滞后有一个主要优势:专家有更多时间来寻找 5G 安全问题的解决方案
许多使 5G 如此吸引人的因素,例如减少延迟和增加带宽,也是对安全性的威胁。
以下是一些最突出的安全威胁:
新技术——技术的新进步往往意味着新的问题。鉴于 5G 不仅是新的,而且与 4G 有很大不同,这意味着虽然专家可以预测一些安全漏洞,但其他漏洞可能要等到漏洞已经发生时才会显现出来。
更多的接入点——5G 允许更多的接入点。每一个额外的硬件接触点都会为攻击者访问网络创造另一个潜在的机会。这意味着所有接入点都需要在物理和数字层面进行监控。
物联网 (IoT) –——5G 的速度非常适合与物联网设备一起使用。也就是说,联网机器的增加也可能意味着 5G 安全风险的增加。恒温器等较小的物联网设备通常具有较弱的安全性,其中一个设备的漏洞可能意味着整个系统受到损害。
速度——5G 速度足够快,可以考虑用于远程手术和自动驾驶汽车,但这也意味着它可能更难跟踪和预防攻击。同时,这种关键和敏感的数据传输将需要更高级别的安全性,以避免通信中断、恶意行为或窥探/窃取信息。
分解架构——5G 的分解架构意味着网络功能可以从底层系统硬件自由运行,从而改善控制和可视化。然而,这些组件中的每一个都需要有自己的安全措施,而不是依赖于单一的总体安全方法。
当然,这些只是 5G 安全面临的部分风险。保持服务和连接设备的安全很少(如果有的话)是 100% 的保证。
5G网络安全风险
ENISA发布了题为《Threat Landscape of 5G Networks》的报告,分析了5G网络所存在的安全威胁。报告中描述了5G网络安全威胁图谱和5G网络在安全方面的挑战。
报告根据国家级的风险评估,列出了10个高级风险场景。同时还描述了5G网络安全威胁图谱和5G网络在安全方面的挑战。具体包括∶创建综合5G架构、识别重要资产(资产图表)、对影响5G的威胁进行评估(威胁图表)、识别资产暴露的程度(威胁-资产映射)、以及威胁源动机的初步评估。
进行威胁和风险识别所用的方法是基于ISO/IEC 27005∶2008 信息安全技术风险管理国际标准的。
本报告中描述了资产(assets)、威胁(threats)和威胁源(threat agents)之间的关系。威胁在风险评估中处于关键位置,尤其是考虑了风险的不同部分。
ISO 27005中的描述为∶"威胁滥用资产的漏洞来产生对组织的破坏"。
根据该方法,研究人员识别和分析了资产和网络威胁。
1、核心网威胁
· 滥用远程访问。
· 认证流量剧增。
· 滥用用户认证、授权数据。
· 滥用位于第三方服务的网络功能。
· 滥用合法监听功能。
· API利用。
· 网络、服务和安全架构和规划不合理。
· 错误配置或配置不充分的系统和网络引发的威胁。
· 与漫游互连相关的欺诈场景。
· 横向运动。
· 内存碎片。
· 网络流量操纵、网络监听和信息收集。
· 网络配置数据的操纵。
· 核心网组件的恶意洪泛攻击。
· 流量的恶意转移。
· 网络资源编排的恶意操纵。
· 审计工具误用。
· 共享资源的欺诈性使用。
· 恶意网络功能的注册。
· 流量嗅探。
· 侧信道攻击。
2、接入网威胁
· 滥用频谱资源。
· ARP污染(投毒)。
· 伪造的接入网节点。
· 洪泛攻击。
· IMSI攻击。
· 感染无线电频率。
· MAC欺骗。
· 接入网配置数据操纵。
· 无线电干扰。
· 无线流量操纵。
· Session(会话)劫持。
· 信号欺骗。
· 信号风暴。
3、边缘计算威胁
· 错误或伪造的MEC网关。
· 边缘节点过载。
· 滥用边界开放API接口。
4、虚拟化威胁
· 滥用数据中心互联协议。
· 滥用云计算资源。
· 网络虚拟化绕过。
· 虚拟化主机滥用。
5、物理基础设施威胁
· 硬件设备操纵。
· 影响网络基础设施的自然灾害。
· 网络基础设施的物理破坏。
· 来自访问MMO设备的第三方人员的威胁。
· UICC格式利用。
· 用户设备被黑的威胁。
6、通用威胁
· DOS(拒绝服务攻击)。
· 数据泄露、窃取破坏和信息操纵。
· 窃听。
· 利用软件和硬件的漏洞。
· 恶意代码或恶意软件。
· 供应链、厂商和服务提供商被黑的威胁。
· 有针对性目标的威胁。
· 利用安全、管理和运营过程的漏洞。
· 滥用认证。
· 身份窃取或欺骗。
5G威胁图谱:
5G安全解决方案
尽管 5G 网络带来了新的独特威胁,但已经有一些方法可以帮助确保更好的 5G 安全:
- 加强对个人移动和物联网设备的防御
- 零信任与软件安全基础相结合
- 端到端可见性
- 威胁分析。
为了获得最佳的 5G 安全性,网络应被视为零信任环境,不能想当然地认为连接的设备将具有足够的安全性或漏洞保护。因此,第一步应该是通过适当的安全监控、威胁检测和缓解流程来确保整个网络的足够可见性,甚至在设备连接到 5G 网络之前。
保持 5G 网络安全将是一项集体努力,涉及网络提供商、网络安全专家和客户本身。作为与零信任相结合的第二道防线,移动和物联网设备的软件安全基础需要与网络提供商和网络安全公司一起开发。
即使是像智能冰箱这样无害的物联网设备也应该配备高级别的安全性。更重要的是,应采取预防措施以确保较小的物联网机器的漏洞不会导致未经授权的敏感信息访问。
其次,端到端可见性对于监控任何系统都至关重要。这在 5G 安全中尤其必要,因为有太多的接入点可供恶意攻击者攻击。
这种监控应该扩展到网络的所有层,包括物理网络单元和数据平面。有效的监控还将为了解新攻击提供重要信息。结合缓解程序,这将更有效地防御潜在的入侵。
威胁分析是跟踪甚至预测攻击的一种有价值的方法。理想情况下,这些分析系统将能够制定预防措施来阻止违规行为的发生。这些程序在 5G 网络上保护设备的持续过程中提供了重要信息。
最后
以上就是无语金针菇为你收集整理的5G安全概述的全部内容,希望文章能够帮你解决5G安全概述所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复