当我们在说 5G 网络安全的时候,究竟在说什么?
本文准备用几分钟的时间和大家讨论一下5G在无线网路中的应用的安全。所以说是探讨不仅仅是因为和大家交流的关系,主要是因为5G仍然处于推广应用的阶段,很多公司的态度仍然处于规划、设计阶段,一些技术路线和应用模式还没有定论,还在发展的过程中。
如何讨论呢,因为我之前也没有做过网络建设,所以在面对5G网络这样一个全新的对象时,从我的一贯研究方法而言,我是把他拆成两部分,把看着熟悉的能够理解的东西,拉到已经有的经验和认知里,分析他;对于5G网络特有的我不知道的、跟别的网络安全不一样的东西,从零开始认识它,再做研究。
我们已知的东西包括边界防护、入侵检测等等,这些只要是从事信息安全工作的朋友肯定都知道。对于未知的部分,需要从5G的基本概念、特点、技术、建设模式进行讨论并发现问题。
接下来从5G的概念及特点,5G应用场景及应用模式,安全风险分析及应对这样三个部分,逐级递进的进行叙述,先认识这是什么,怎么用,最后再谈它的安全,所谓安全是为业务服务的,就是这个意思,绝对不能抛弃业务场景谈安全,5G尤其是这样。
一、5G的概念及特点:
5G(第五代移动通信)是4G之后演进出的最新一代蜂窝移动通信技术。根据国际电信联盟(ITU)的定义,5G的法定名称是“IMT-2020”。
根据国际通信组织(3GPP)的定义,5G具备高性能、大连接和低时延三大特性。事实上,这也是所有无线通信技术所追求的特点。不能一提这三个特点就自动归纳为5G。wifi6也有这些特点啊。这不是区分5G和其他无线通信技术的关键。
实际部署时,考虑到较高的频率,所以5G基站会变得很小,需要每隔200到300米安装一个5G基站,还因此出现了天线阵列形式的基站。此外,同一基站下的两个5G用户相互通信,通信数据包将不再通过基站转发,实现D2D(device to device)。值得关注的一个点,功耗增加到了2.5倍-3.5倍,运营商与企业成本增加了很多,有人打趣说5G全面推广最受益的对象是电网,不是没有道理的。
5G网络区别于之前网络的技术特点,最主要的就是这张图中说到的边缘云、网络切片、控制与转发分离这三个。搞清楚这三个概念,将成为安全设计与控制的关键。边缘云出现的主要是为了满足低时延、高性能这个要求,把一些高清资源放到近端的地方,有点像CDN,但是又比CDN多,因为边缘云这里还可以放控制、管理的功能;切片的出现主要是为了提高网络利用率,实现一张网同时支持三大场景的业务,主要通过隔离技术实现,有物理隔离、逻辑隔离、硬隔离、软隔离之分;控制与转发分离主要是为了把控制权单独拿出来,可以交给行业、企业自己去管,那边缘云上面放什么资源、切片怎么切,就有可能从运营商手里交给企业自己去搞,运营商提供开放能力,开放不同的权限给企业,企业自己根据业务的需要自己去选,非常自由。
这三大技术特点对于后面安全模式的设计非常重要,一旦你选了什么样子的技术路线,就要对路线所对应的安全模式进行考虑。比如你选了自建边缘云,那所有边缘云的安全都要自己考虑,你要是租用运营商的,就不用考虑那么多,从运营商提供的服务中自己去选。
基于5G网络总体架构中控制功能、转发功能分离的设计,5G网络能力开放平台实现了对集中部署的控制面功能的统一调用,可供第三方直接使用、配置。开放能力主要包括(1)计费、拥塞控制等基础网络功能;(2)网络规划、网络部署、更新及扩缩容等网络编排能力;(3)依托MEC实现的业务拆分、负载、路由、动态控制的能力;(4)数据统计、分析的能力;(5)供行业调用的组织/设备/用户身份认证、通道加密、事件分析溯源等安全能力。
二、5G应用场景及应用模式
5G更适合在室外环境、位置变动频繁的场景中使用,如外业、车辆跟踪、移动高清视频等,与主打“主内”的wifi6相比,5G总体上呈现出 “主外”的特点,但也有例外,如TSN 5G(工控4.0中的概念,时间敏感型5G )。所以最终还是要分析具体业务场景。
建设模式的选择,一方面是为了满足业务需求,另一方面,也是安全设计与分析的基础。从运营商视角,主要有流量模式、切片模式、平台/服务模式。从企业建设的视角,主要有租赁模式、混合模式、自建模式。这些都是一些通信研究院或者分析师做的一些分析,并不代表未来确定会采用的具体名称,也方便我们分类讨论,方便我们理解。
5G运用带来的挑战:
(1)商业模式挑战:除了基于流量的模式,其他均属于全新的商业模式创新,仍在探索阶段,这是对运营商的挑战,目前有流量套餐,后面有切片套餐、平台服务套餐也说不定。
(2)技术路线挑战:切片(隔离技术)的选择、边缘云的管理方式、开放能力的组合选择,这是对运营商和企业的双重挑战;
(3)业务分析的挑战,需要对企业业务进行全方位、深入的了解,比如什么放到边缘云、怎么管理切片、采用哪种建设模式,这是对企业的挑战。
高清监控场景跟适合租赁一张切片,内容敏感的话企业可以采用独立切片、管理员权限来运营这个切片所以还是要根据具体场景需求来看,平衡业务需求和建设成本。
下面这张图是业务分析的一张简图,只要是从业务类型、场景、各要素的需求开展的分析。不同类型、不同安全等级的业务应依据规则选择建设模式。
我们再回到建设模式那张图,企业业务需求与建设成本、管控能力之间基本上保持这样一种关系,即从上至下运营商的管控能力渐弱,能力越来越开放,下面这些就可以可以收取服务费了,对于企业而言,自上而下建设成本递增,企业的控制能力也由弱变强。
三、5G安全风险分析及应对
通过对5G的概念、特点、应用场景的分析,我们把未知变成了已知,这个时候再做一些安全分析的工作,看一些安全设计的知识,就不再会感觉纸上谈兵了。参考《中国移动5G安全基准评估规范》,5G安全涉及这么多领域,这个时候我们就可以区分,作为企业,再根据企业业务场景选择了建设模式之后,哪些安全需要有企业自己做,哪些安全由运营商提供就可以了。
大家注意下图里面的组网安全、网络切片安全、边缘计算安全,这些都是5G环境下特有的安全问题,就是前面提到的网络切片、边缘计算这些新技术带来的新问题。
对于企业而言,(1)采用5G自建模式:不与外网通信的情况下可能会少一些风险,但企业需要考虑所有方面的问题。(2)采用混合建设模式:企业要考虑所有方面的问题,但可以通过购买服务的方式转移自行建设的成本,企业自行选择,由运营商实现,需要企业对业务、边缘计算的各个模式、组网的各种选择、网络防御与访问控制的各种技术、数据安全的管理流程、安全运维的内容、不同类型设备网络接入认证的类型等都有较深入的理解,有一些工作如网元设备的安全基线,如果网元设备由运营商负责,那这一块的内容就不用管了。(3)采用租赁模式:高清监控场景、互联网服务场景,租赁一张切片完全可以,场景中存在敏感内容的,也可以进一步使用独立切片、拥有这个切片的管理员权限进行管理。
版权声明: 本文为 InfoQ 作者【石君】的原创文章。
原文链接:【http://xie.infoq.cn/article/4ae1d28b388d292d1b24cbb0e】。文章转载请联系作者。
评论 (4 条评论)