國家保密局網(wǎng)站>>保密科技

5G信息安全風(fēng)險研究

2021年03月15日    來源:國家保密科技測評中心【字體: 打印

1 引言

作為新一代移動通信技術(shù),5G系統(tǒng)在提升移動互聯(lián)網(wǎng)用戶業(yè)務(wù)體驗的基礎(chǔ)之上,進(jìn)一步滿足未來物聯(lián)網(wǎng)應(yīng)用的海量需求,與各行業(yè)深度融合,實現(xiàn)真正的“萬物互聯(lián)”。

5G網(wǎng)絡(luò)支持更高帶寬、更低時延、更大連接密度,可以滿足3類應(yīng)用場景:增強(qiáng)移動寬帶(Enhanced Mobile Broadband,eMBB),超可靠低時延通信(Ultra-reliable and Low-latency Communications,uRLLC)以及海量機(jī)器類通信(Massive Machine Type Communications,mMTC)。

為滿足3種不同業(yè)務(wù)類型的通信需要,要求運營商能夠針對新系統(tǒng)、新環(huán)境下的差異性,研究5G業(yè)務(wù)系統(tǒng)安全方面的典型特征,做好5G網(wǎng)絡(luò)業(yè)務(wù)的安全管控,保障5G網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)運營安全。

2 5G網(wǎng)絡(luò)架構(gòu)與數(shù)據(jù)流分析

本文以目前5G網(wǎng)絡(luò)規(guī)劃使用的NSA Option3x、SA Option2兩種架構(gòu)為例,對5G數(shù)據(jù)流走向及存在的信息安全問題進(jìn)行分析。

2.1 NSA Option3x網(wǎng)絡(luò)架構(gòu)介紹與數(shù)據(jù)流分析

基于NSA Option3x方案的5G網(wǎng)絡(luò)總體架構(gòu)和4G LTE網(wǎng)絡(luò)總體架構(gòu)基本相同,是由分組域核心網(wǎng)、電路域核心網(wǎng)、IMS核心網(wǎng)及相關(guān)業(yè)務(wù)平臺、無線接入網(wǎng)和NSA終端組成,其中分組域核心網(wǎng)通過功能增強(qiáng)支持NSA核心網(wǎng),簡稱EPC+。在NSA Option3x的網(wǎng)絡(luò)系統(tǒng)中,信令面均通過eNB和EPC+的S1-C接口連接交互。

對于NSA Option3x方案,數(shù)據(jù)可按承載粒度由4GeNB基站或5GgNB基站通過S1-U隧道和EPC+交互,X2接口除了承載信令外,還支持?jǐn)?shù)據(jù)面報文的交互,即gNB支持將一個承載內(nèi)的下行數(shù)據(jù)按照一定規(guī)則通過X2接口分流至eNB,上行數(shù)據(jù)可從eNB通過X2接口發(fā)送至gNB,也可直接通過NR空口發(fā)送至gNB。所有信令數(shù)據(jù)通過eNB到核心網(wǎng),Volte數(shù)據(jù)通過eNB到核心網(wǎng)。

2.2 SA Option 2網(wǎng)絡(luò)架構(gòu)介紹與數(shù)據(jù)流分析

在SA Option 2組網(wǎng)方式中,接入層及非接入層信令和數(shù)據(jù)均通過5G協(xié)議進(jìn)行傳輸。

在核心網(wǎng)層面,核心網(wǎng)組網(wǎng)架構(gòu)、設(shè)備為5G新核心網(wǎng)架構(gòu)、設(shè)備;所有核心網(wǎng)信令、流程按照5G核心網(wǎng)協(xié)議進(jìn)行傳輸; 5G控制面采用基于服務(wù)的架構(gòu)(SBA),控制面網(wǎng)元包含AUSF、AMF、SMF、NSSF、NEF、NRF、PCF、UDM等;5G用戶面功能設(shè)備為UPF;可以對垂直行業(yè)用戶提供業(yè)務(wù)優(yōu)化能力,如網(wǎng)絡(luò)切片、邊緣計算(MEC)信息開放等。

在接入網(wǎng)層面,5G SA用戶通過NR空口接入5G核心網(wǎng);5G接入采用gNB基站;支持與4G切換、重選互操作;所有控制面數(shù)據(jù)與用戶面數(shù)據(jù)均通過gNB傳輸?shù)?G核心網(wǎng)。

3 5G信息安全管控

5G網(wǎng)絡(luò)架構(gòu)以及應(yīng)用的變化,使得5G的信息安全管控也隨之發(fā)生改變。下面我們從5G信息安全管控體系以及5G應(yīng)用于人工智能(AI)、物聯(lián)網(wǎng)(IoT)、云計算(Cloud Computing)、大數(shù)據(jù)(Big Data)、邊緣計算(Edge Computing)這幾個方面可能帶來的變化為切入點,介紹5G網(wǎng)絡(luò)的信息安全管控問題。

3.1 5G信息安全管控體系問題總述

(1)NSA架構(gòu)下的信息安全管控變化。NSA架構(gòu)下,架構(gòu)與應(yīng)用的變化為:接入網(wǎng)基站發(fā)生變化,引入5G的gNB基站;會出現(xiàn)5G應(yīng)用于人工智能、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、邊緣計算等場景下的新業(yè)務(wù);5G傳輸速率會相比于4G明顯提高。

基于以上變化,我們需要確認(rèn)安全管控的需求點為:信息安全管控系統(tǒng)的覆蓋能力能否對5G新業(yè)務(wù)進(jìn)行覆蓋;現(xiàn)有系統(tǒng)的解析、計算能力需對5G場景下的高速率業(yè)務(wù)進(jìn)行匹配。

(2)SA架構(gòu)下的信息安全管控變化。SA架構(gòu)下,架構(gòu)與應(yīng)用的變化為:接入網(wǎng)、核心網(wǎng)的設(shè)備、流程、信令均發(fā)生變化,接入網(wǎng)與核心網(wǎng)均引入新的5G設(shè)備;會出現(xiàn)更多5G應(yīng)用于不同場景的新業(yè)務(wù);會產(chǎn)生大量垂直行業(yè)下的新應(yīng)用;會引入邊緣計算、切片。

基于以上變化,我們需要確認(rèn)安全管控的需求點為:信息安全管控系統(tǒng)的覆蓋能力;部分信息安全管控系統(tǒng)需要改造,匹配系統(tǒng)架構(gòu);為新的應(yīng)用場景、業(yè)務(wù)、協(xié)議提供安全管控能力;為垂直行業(yè)提供安全管控。

3.2 5G在人工智能場景下的信息安全管控

3.2.1 5G與人工智能融合下的信息安全風(fēng)險

5G網(wǎng)絡(luò)下,人工智能提供的應(yīng)用數(shù)量日益增長,同時這些應(yīng)用也會帶來安全風(fēng)險,如:

(1)深度偽造技術(shù)。深度偽造(Deepfake)是一種利用人工智能和機(jī)器學(xué)習(xí)將人的臉疊加到另外一個人的身體上的技術(shù)。目前,華盛頓大學(xué)研究人員已經(jīng)可以利用音視頻人工智能技術(shù),虛擬出政治人物演講,達(dá)到以假亂真的效果。未來,不法分子可能會利用人工智能技術(shù),針對公眾人物制作虛假視頻,進(jìn)行詐騙、政治宣傳等。

(2)人工智能惡意軟件。據(jù)報道,IBM研究院安全研究人員開發(fā)了一種由人工智能驅(qū)動的“高度針對性和回避性”攻擊工具DeepLocker,將現(xiàn)有的幾種人工智能模型與當(dāng)前的惡意軟件技術(shù)相結(jié)合,創(chuàng)建一種特別具有挑戰(zhàn)性的新型惡意軟件。該惡意軟件可以隱藏其意圖,直到它觸達(dá)特定受害者,才會釋放惡意行為。

(3)語音機(jī)器人騷擾電話。2019年“3·15”晚會上曝光不少企業(yè)通過模仿人類聲音的智能機(jī)器人撥打大量騷擾電話。在對某人工智能公司的暗訪中,記者發(fā)現(xiàn),一年內(nèi)該公司利用智能機(jī)器人撥打了40多億次騷擾電話,涉及30多個行業(yè)。

(4)人工智能釣魚郵件。黑客可以使用人工智能技術(shù),對用戶大量生成有針對性的釣魚郵件。此外,還可利用對抗生成網(wǎng)絡(luò)技術(shù),巧妙繞過目前已有的反釣魚郵件系統(tǒng),達(dá)到攻擊用戶的目的。

3.2.2 針對5G與人工智能融合下新增風(fēng)險的管控措施

人工智能信息安全風(fēng)險,并非在5G網(wǎng)絡(luò)下所特有的風(fēng)險,而是人工智能自身所具有的風(fēng)險。5G網(wǎng)絡(luò)使得人工智能技術(shù)的使用迅速增加,因此人工智能的安全風(fēng)險也增大,我們針對人工智能風(fēng)險提出了以下管控措施:

(1)對抗訓(xùn)練。主動生成大量對抗樣本供模型進(jìn)行學(xué)習(xí),提升模型應(yīng)對對抗樣本的能力;手機(jī)惡意軟件管控系統(tǒng)及時更新惡意軟件數(shù)據(jù)庫;騷擾電話、虛假主叫監(jiān)控系統(tǒng)對自動語音撥打建立有針對性的監(jiān)控流程、算法模型;不良信息集中管控系統(tǒng)及時更新釣魚網(wǎng)站識別算法。

(2)源頭預(yù)防與聯(lián)合治理相結(jié)合。對于人工智能生成的虛假音視頻,目前的安全管控系統(tǒng)很難直接監(jiān)測,因此只能聯(lián)合多方進(jìn)行管控。建議視頻發(fā)布源頭加強(qiáng)審核,工信部、公安部、網(wǎng)信辦等有關(guān)部門加大違規(guī)人員、網(wǎng)站處罰力度。

3.3 5G在物聯(lián)網(wǎng)場景下的信息安全管控

萬物互聯(lián)是人工智能時代背景下物聯(lián)網(wǎng)的最終極目標(biāo)之一。物聯(lián)網(wǎng)設(shè)備的海量增長,以及5G網(wǎng)絡(luò)商用化的逐步展開,將使物聯(lián)網(wǎng)卡引發(fā)的信息安全風(fēng)險與4G時代相比也會成倍增長,因此更需要重點關(guān)注。

3.3.1 5G與物聯(lián)網(wǎng)融合下的信息安全風(fēng)險

物聯(lián)網(wǎng)卡的發(fā)放管理不嚴(yán)格,可能出現(xiàn)違規(guī)轉(zhuǎn)售轉(zhuǎn)租等管理風(fēng)險;物聯(lián)網(wǎng)終端易被侵入遭受惡意控制,進(jìn)而可能形成僵尸網(wǎng)絡(luò)并攻擊其他網(wǎng)絡(luò)用戶,出現(xiàn)非法散播違規(guī)內(nèi)容的風(fēng)險(例如傳播垃圾短信、撥打騷擾電話等)。

3.3.2 針對5G與物聯(lián)網(wǎng)融合下新增風(fēng)險的管控措施

對于疑似違規(guī)的物聯(lián)網(wǎng)卡,可以基于物聯(lián)網(wǎng)卡開卡(注冊)信息、位置信息、上網(wǎng)流量、通話記錄、短信記錄等數(shù)據(jù)進(jìn)行專項分析,并對安全風(fēng)險進(jìn)行監(jiān)控,可采取的物聯(lián)網(wǎng)卡安全監(jiān)測方法如下。

(1)業(yè)務(wù)濫用分析。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)移動業(yè)務(wù)情況(例如單獨開通通話、上網(wǎng)等功能)、消費地點、消費賬單等數(shù)據(jù)進(jìn)行分析。

(2)機(jī)卡分離監(jiān)測。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)的行業(yè)業(yè)務(wù)情況,例如控制系統(tǒng)(如電表、充電樁)、車聯(lián)網(wǎng)、智能安防系統(tǒng)、智能終端、IMEI號碼,以及相關(guān)業(yè)務(wù)可能的位置情況等內(nèi)容,來判定行業(yè)卡/物聯(lián)網(wǎng)卡是否存在機(jī)卡分離的現(xiàn)象。

(3)位置異常變動分析。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)的行業(yè)業(yè)務(wù)情況,以及LAC、CI數(shù)據(jù)等,判斷是否存在位置異常變動情況。

(4)惡意攻擊檢測。根據(jù)上網(wǎng)日志、DNS日志等數(shù)據(jù),發(fā)現(xiàn)物聯(lián)網(wǎng)卡設(shè)備被人植入后門,并惡意利用進(jìn)行DDoS攻擊、僵尸網(wǎng)絡(luò)挖礦等行為。

(5)騷擾電話、垃圾短信分析。根據(jù)物聯(lián)網(wǎng)卡號段信息,通話信令數(shù)據(jù)、疑似垃圾短信上報數(shù)據(jù),發(fā)現(xiàn)物聯(lián)網(wǎng)卡撥打騷擾電話、發(fā)送垃圾短信、傳播惡意鏈接的情況。

(6)區(qū)域分析、行業(yè)分析、整體態(tài)勢分析。分析并展示違規(guī)、物聯(lián)網(wǎng)卡的區(qū)域情況(例如地市)、行業(yè)情況、整體態(tài)勢(例如時間展示、違規(guī)比例展示、總量展示、最新違規(guī)情況展示等)。

3.4 5G在云計算場景下的信息安全管控

5G環(huán)境下,更多的云計算資源將會接入網(wǎng)絡(luò),也會加速高清視頻、虛擬現(xiàn)實/增強(qiáng)現(xiàn)實(VR/AR)、云視頻等業(yè)務(wù)的發(fā)展。資源的擴(kuò)張,業(yè)務(wù)的發(fā)展,也會給信息安全管控帶來新的挑戰(zhàn)。

3.4.1 5G與云計算融合下的信息安全風(fēng)險

在5G網(wǎng)絡(luò)環(huán)境下,云計算可能帶來的信息安全風(fēng)險參見表1。

3.4.2 針對5G與云計算融合下新增風(fēng)險的管控措施

如表1所介紹,對于5G環(huán)境下帶寬增大的問題,需要對現(xiàn)在不良信息集中管控系統(tǒng)前端采集點進(jìn)行適當(dāng)擴(kuò)容,來滿足新增需求;對于新出現(xiàn)的業(yè)務(wù)、協(xié)議(例如HTTPS等),需要針對其進(jìn)行專項研究,并對特定的內(nèi)容進(jìn)行還原、解析、判定。

3.5 5G在邊緣計算中的信息安全管控

3.5.1 5G與邊緣計算融合下的信息安全風(fēng)險

移動邊緣計算(MEC)是一個“硬件+軟件”的系統(tǒng),通過在移動網(wǎng)絡(luò)邊緣提供IT服務(wù)環(huán)境和云計算能力,以減少網(wǎng)絡(luò)操作和服務(wù)交付的時延,是5G的重要支撐力量。在5G獨立組網(wǎng)商用以后,預(yù)計車聯(lián)網(wǎng)、虛擬現(xiàn)實、增強(qiáng)現(xiàn)實、高清視頻、工業(yè)互聯(lián)網(wǎng)、遠(yuǎn)程醫(yī)療等眾多垂直行業(yè)應(yīng)用會涉及邊緣計算。邊緣計算有如下特點:

(1)傳統(tǒng)的CDN/WebCache中,邊緣節(jié)點不直接產(chǎn)生數(shù)據(jù),也不對數(shù)據(jù)進(jìn)行處理,而是由內(nèi)容中心對數(shù)據(jù)進(jìn)行分發(fā),或直接對用戶上網(wǎng)數(shù)據(jù)進(jìn)行緩存。

(2)在邊緣計算中,用戶設(shè)備(例如汽車、工程設(shè)備、醫(yī)療平臺、家庭電腦、智能手機(jī)等)產(chǎn)生用戶側(cè)數(shù)據(jù),上傳到邊緣云/邊緣服務(wù)器,邊緣服務(wù)器在不跟中心服務(wù)器發(fā)生交互的前提下,直接對數(shù)據(jù)進(jìn)行儲存、計算,并將處理結(jié)果返回給用戶設(shè)備。

(3)用戶側(cè)上傳的尤其是媒體類型的數(shù)據(jù),可能存在信息安全風(fēng)險隱患。

3.5.2 針對5G與邊緣計算融合下新增風(fēng)險的管控措施

邊緣計算由5G用戶名功能模塊和邊緣計算平臺構(gòu)成;5G網(wǎng)絡(luò)中控制面和用戶面徹底分離,控制面網(wǎng)元可以集中在大區(qū)/省中心,用戶面網(wǎng)元可根據(jù)業(yè)務(wù)需求(如時延要求)分層部署在不同的網(wǎng)絡(luò)位置,包括大區(qū)/省中心、地市、區(qū)縣等;深度報文檢測(Deep Packet Inspection,DPI)設(shè)備可對UE到用戶面的N3接口數(shù)據(jù)進(jìn)行采集,進(jìn)而進(jìn)行監(jiān)控。

4 5G對現(xiàn)有安全管控系統(tǒng)影響分析

4.1 5G NSA架構(gòu)對安全管控系統(tǒng)的影響

4.1.1 對DPI采集設(shè)備的影響

在5G NSA網(wǎng)絡(luò)架構(gòu)下,DPI采集設(shè)備的架構(gòu)圖參見圖1,采集點包括S1-U接口、省網(wǎng)網(wǎng)間出口、省網(wǎng)出口、IDC出口、骨干網(wǎng)出口以及國際出口。

對于DPI設(shè)備的具體影響,表2進(jìn)行了總結(jié)。

4.1.2 對安全管控系統(tǒng)覆蓋面的影響

在NSA架構(gòu)下,安全管控系統(tǒng)只有接入網(wǎng)的架構(gòu)、信令、用戶面數(shù)據(jù)流發(fā)生變化,核心網(wǎng)架構(gòu)、信令、數(shù)據(jù)流未發(fā)生變化;5G業(yè)務(wù)所有的信令數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)可被現(xiàn)有系統(tǒng)采集,可以實現(xiàn)管控。

4.2 5G SA架構(gòu)對安全管控系統(tǒng)的影響

4.2.1 對DPI采集設(shè)備的影響

在5G SA網(wǎng)絡(luò)架構(gòu)下,DPI采集設(shè)備的架構(gòu)參見圖2。在該架構(gòu)圖中,DPI采集點會發(fā)生變化。

對于DPI設(shè)備的具體影響,表3進(jìn)行了總結(jié)。

4.2.2 對電話管控系統(tǒng)的影響

對SA架構(gòu)下電話管控系統(tǒng)(包括虛假主叫管控系統(tǒng)、騷擾電話監(jiān)控系統(tǒng)、國際詐騙電話監(jiān)控系統(tǒng))進(jìn)行分析,可得出如下結(jié)論:

(1)電話管控的信令采集仍在IMS域進(jìn)行,其中虛假主叫管控系統(tǒng)采集Mx接口,騷擾電話監(jiān)控系統(tǒng)采集ISC接口,國際詐騙電話監(jiān)控系統(tǒng)采集MGCF出口信令。

(2)電話管控系統(tǒng)信令采集部分字段會發(fā)生變化。

(3)SA架構(gòu)下5G業(yè)務(wù)所有的信令數(shù)據(jù)可以被現(xiàn)有系統(tǒng)采集,可以實現(xiàn)語音管控。

4.2.3 對垃圾短信管控系統(tǒng)的影響

5G SA架構(gòu)下,短消息發(fā)送流程分為SMSoNAS以及SMSoIP兩種模式,兩種模式下的短信發(fā)送都會經(jīng)過SMSC(短信中心),可被現(xiàn)有垃短系統(tǒng)監(jiān)控。

4.2.4 對不良信息管控系統(tǒng)的影響

5G SA架構(gòu)可以實現(xiàn)對不良信息的監(jiān)控,但涉及邊緣節(jié)點的數(shù)據(jù),需要增加DPI設(shè)備對于N3接口的數(shù)據(jù)采集。但此時預(yù)計采集數(shù)據(jù)量會增大,可能需要對相關(guān)設(shè)備進(jìn)行擴(kuò)容。在5G下,會出現(xiàn)大量VR/AR視頻等業(yè)務(wù),使用VR/AR類協(xié)議,而目前現(xiàn)有算法無法對VR/AR類視頻進(jìn)行分析,導(dǎo)致無法對VR/AR類不良視頻進(jìn)行監(jiān)控。

5 結(jié)語

本文對5G新網(wǎng)絡(luò)環(huán)境下可能面臨的信息安全風(fēng)險進(jìn)行了簡要分析,并針對5G下兩種不同的網(wǎng)絡(luò)架構(gòu),提出了信息安全風(fēng)險的影響面以及可能的管控措施、手段。通過以上措施,我們可以對5G下可能出現(xiàn)的信息安全風(fēng)險提前做好準(zhǔn)備,為5G網(wǎng)絡(luò)更好地運行打下良好基礎(chǔ)。

 

(原載于《保密科學(xué)技術(shù)》2020年9月刊)