5G内生安全体系及关键技术研究_李伟周.pdf

资源描述

1、5G 内生安全体系及关键技术研究李伟周杨红梅 /中国信息通信研究院【摘要】5G 网络作为新一代信息基础设施，其安全性至关重要，由于 5G 网络云化、虚拟化、智能化的特点，使得传统安全防护方式无法完全满足其安全防护需求，因此需要在传统安全防护体系的基础上，结合内生安全的思路来构建 5G 网络安全防护体系。本文介绍了内生安全概念，分析了 5G 内生安全体系及内生安全关键技术，并提出了 5G 内生安全相关工作建议。【关键词】5G 内生安全零信任软件定义边界安全接入服务边界【中图分类号】TN929.5；TP309 【文献标识码】A1 引言随着5G全球大规模商用，5G网络

2、安全的重要性超过以往任何一代网络。5G网络引入服务化架构、网络功能虚拟化、网络切片、边缘计算等新技术新特性，在物理、网络、服务等多方面打破实体限制，利用灵活、共享的技术优势提升资源利用率，同时，安全攻防局势快速变迁，网络攻击手段快速更新，攻击范围、深度、复杂度持续加剧，导致在传统物理边界堆叠安全设备的方式已不能有效识别内部及高级长期威胁（A P T

3、）等攻击。因此，需要加快网络安全模式的战略性、前瞻性及颠40|保密科学技术|2022 年 12 月网络防护覆性迭代创新，采用全新的安全思路来构建5G网络的安全防护体系。在这种情况下，业界专家提出在5G网络安全体系中引入内生安全的概念，即将安全基因根植到网络信息系统之中，建立起具有内生效应的免疫机制。基于内生安全体系，可以强化5G网络自身安全能力，解决网络内部安全问

4、题，提升网络纵深防护能力。2 内生安全概述对于内生安全的理解，业界的典型观点是：从网络安全攻防的角度来看，内生安全指的是不断从信息化系统内生长出的安全能力，能伴随业务的增长而持续提升，持续保证业务安全。内生安全主要具备3个特点：自适应、自主、自生长。其中，自适应内生安全如同免疫系统一样，面对一般性网络攻击能自我发现、自我修复、自我平衡；面对大型网络攻

5、击能自动预测、自动告警和应急响应；应对极端网络灾难时能保证关键业务不中断。自主内生安全指的是每个组织自主建设符合自身业务特性和安全需求的安全能力。自成长内生安全指的是以人为核心，让组织的人才、技术和管理机制在各种网络风暴演习、渗透测试、攻防对抗等实战化的场景中不断融合与提升，从而动态提升总体安全能力。从电信网络安全体系的角度

6、来看，内生安全体系指的是构建“防御、检测、响应、预测”的自适应、自主、自生长的主动免疫的电信网络安全体系。通过设备的可信组件、网元监控组件及基于端到端安全态势感知的威胁识别、策略闭环能力，实现网络自身的威胁检测、处置闭环。即依靠网络设备内部的安全检测能力，以及网络自身的分析和处置能力，实现检测、处置闭环。因此，通用的内生安全可以定义为：“网络的一

7、种综合能力，这个能力由一系列安全能力构成，这些安全能力共同协作，构成自感知、自适应、自生长的网络免疫体系。它必须在网络构建的时候同步构建，且能够在网络运行中不断自主成长，随网络的变化而变化，随系统业务的提升而提升，最终来持续保障网络及业务和数据的安全。”可以看出，内生安全具备2个最基本的特点：先天构建和后天成长，先天构建指从标准制定阶段，安全能力就要与网络功能系统深度一

8、体化；后天成长指安全能力在面对网络环境尤其攻击环境要时，够进行主动智能的感知、调整和适应等。3 5G 内生安全3.1 5G内生安全能力体系框架5G内生安全旨在为5G网络同步构建网络免疫体系和安全能力，使得5G网络具备内生安全能力，同时保障5G向下一代网络平滑演进的安全能力。内生安全应具备2个核心特征：一体化、免疫。一体化指的是标准制定、顶层设计、建设、运维等阶段各层面

9、需要将网络安全与功能全面融合；免疫指的是对恶意攻击、主动情报信息等的反馈和响应进行智能和完整地闭环处理，同时保障网络数据全生命周期的不可泄露、不可篡改和不可否认性。面向5G及未来空天海地一体化网络，基于通用性、广泛性、长期演进性，5G内生安全能力体系框架如图1所示。以统一的身份与信任体系为基础，由3道防线构成：边界安全、网元安全、全网安全。边

10、界安全指终端接入网络时的边界安全机制及能力；网元安全主要指构成网络侧系统的各软硬件及网络功能的自身安全机制及能力；全网安全指全网视角的安全机制及能力。2022 年 12 月|保密科学技术|41网络防护3道防线间通过智能协作，支撑自感知、自适应、自生长等功能，形成具备一体化和免疫两大核心能力的内生安全能力体系。图1中，边界内生安全能力聚焦在5G边界做严格的检测控制，尽可能降

11、低威胁进入网络的可能和不利影响；同时，支撑实现网络侧对终端的安全感知，以及网络与终端的安全一体化联动。主要包括，3G P P标准定义的边界相关安全能力要求，如空口完整性保护、加密等；5G终端与用户身份安全；用户权限安全；5G终端持续安全感知与评估；5G终端统一安全策略响应与执行；5G终端安全存证与溯源等。网元内生安全能力主要包括3G P P标准规定的安

12、全能力；5G网元内嵌基础安全原子能力（如内嵌虚拟化防火墙等），形成具有自防护功能的网元单元；5G网元应配置合规生命周期管理、网元软件完整性校验管理；5G网元安全感知检测与事件关联分析，5G网元定期或者按需检测自身安全状态，并具备一定的异常发现能力，且能进行关联事件分析与预警上报；5G网元安全状态上报，包括状态检测结果及预警上报；5G网元统一安全

13、策略响应，接收并执行5G全网下发的统一安全策略，同时支持应急响应协同处置；5G网元安全存证溯源等。全网内生安全能力是实现5G全网级体系化、智能化协同的核心。负责5G全网安全集中管控，聚合5G边界与各5G网元能力，从全局角度形成全网协同一致的智能安全管控，主要能力包括5G资产安全管理，涵盖采集、发现、评估、分级、可视化等；5G安全感知检测与事件关联分析；5G全网安全联动预警与应急响应；5G全网

14、统一安全策略编排及5G全网安全存证溯源等。3.2 5G内生安全关键技术5G内生安全关键技术主要包括零信任安全、软件定义边界（SDP）、安全接入服图1 5 G 内生安全能力体系架构接入网终端5G边界内生安全能力应用5G网元内生安全能力核心网控制管理功能物理基础设施虚拟基础设施信令与数据边缘功能网络功能切片1切片2切片3能力开放平台eMBB业务uRLLC业务mMTC业务5G全网内生安全能力42|保密科学技术|2022 年 12 月网络防护务边界（SASE）、人工智能（AI）、可信计算、拟态防御等。3.2.1 零信任安全传统边

15、界防护架构的特点是一次认证始终信任，即采用虚拟专用网络（V P N）、虚拟局域网（V L A N）等接入隔离技术在边界进行一次性安全认证，结合防火墙、入侵防御等基于静态规则的边界安全设备将入侵拒之门外，但是其基于已知攻击特征，外挂在边界的本质，难以应对未知攻击及边界内部威胁。考虑到5G网络边界泛在接入的场景特性，需要在5G接入边界构建严格的安全访问控制能力，零信

16、任技术可以满足该需求。零信任技术的特点是“从不信任，持续认证”，不再默认信任5G物理安全边界内部及外部的任何用户、设备或者系统、应用，采用全面身份化授权、动态评估认证和细粒度授权的方法，以5G身份认证和权限控制作为核心，将认证和授权作为5G访问控制的基础，进行持续的安全检测和风险评估，尽可能早地以最小的代价发现安全风险并进行相应处理。3.2.2 S

17、 DPS D P通过在授权前对用户和设备进行动态、按需、细粒度地访问控制验证，创建虚拟化安全边界，确保企业应用和服务对非授权访问“网络隐身”，实现安全防护与应用业务的深度融合。S D P技术核心优势包括提供细粒度动态访问控制和未授权时网络隐身，从边界内外两侧提供安全防护能力。其中，细粒度动态访问控制指的是基于用户、业务等实体级别的访问控制取代

18、传统基于I P地址的访问控制策略，同时依据最小授权原则，为通过认证的用户和业务授予应用层级别的访问权限，建立业务需求驱动的动态临时访问隧道，有效应对用户、设备、应用等网络资源及相应访问权限的快速变化，提高动态网络安全保护效率；未授权时网络隐身指的是在建立访问隧道前对访问用户和设备进行预验证，仅在通过验证并获得访问授权后，才在数据平面

19、建立与应用服务器之间的数据访问通道，以此实现被保护的网络资源对未授权用户的隐身屏蔽，从而抵御网络恶意扫描、资源消耗、暴力破解等外部攻击。3.2.3 S AS ES A S E通过云服务化交付聚合的网络接入和安全能力，可确保用户、设备、应用及云计算和边缘计算的安全接入，降低网络复杂度并提升网络和安全运营效率，满足云、网、边动态业务需求。基于软件定义广域

20、网（S D-WA N）搭建虚拟化架构，在S A S E云中对身份即服务（I D a a S）、防火墙即服务（F W a a S）、软件定义边界（S D P）、用户及实体行为分析、威胁检测等安全能力进行集中定义、编排、管理，并通过SASE边缘连接器在边缘提供数据处理和基于实体的安全能力。在5G行业应用场景中，可将S A S E与零信任结合，以应用层身份为中心，融合S D P、防火墙、数据泄露防护（D L P）

21、、用户和实体行为分析（U E B A）等，将5G安全接入的身份控制、权限控制与信任评估等安全接入机制云化且基于策略进行服务化，以允许更多样的用户、设备、行业应用等外部终端和服务安全接入5G。3.2.4 AI基于A I技术，可以构造系列5G安全能力关键知识库及算法，这是实现5G内生安全自感知、自适应、自生长能力的关键。可构造5G安全能力关键知识库清单，从5G设备、边界、网元

22、、全网管理的多种角度进行设计，如分类分级、行为、增强防御能力规则库、关联关系库、攻击对抗策略库、黑名单、白名单等。基于知识库清2022 年 12 月|保密科学技术|43网络防护单，设计和训练系列化A I算法，如基于状态及行为特征挖掘的漏洞检测算法、基于应用程序接口（A P I）关系图的聚类检测算法、基于行为特征的关联分析算法等，构建5G网元对安全的记忆能力和学习能力系统，实现

23、智能的5G安全感知与检测、事件关联等。3.2.5 可信计算可信计算技术的核心是通过硬件安全模块或可信执行环境（T E E），来提高系统安全性。可信执行环境指的是通过软硬件方法在中央处理器（C P U）中构建一个安全区域，保证其内部加载的程序和数据在机密性和完整性上得到保护。基于可信计算技术，能够保障5G硬件、软件和功能的启动及执行过程的安全可信。以启动

24、为例，通过对5G软硬件启动过程中的各环节进行逐级验证，来确保对启动过程的完整性校验，防止在启动过程中被植入恶意软件，最终实现启动过程的安全可信。可信启动的工作原理如下：利用设备硬件能力，如可信赖平台模块（T P M）芯片，配合初始启动代码，建立可信启动信任根；系统启动时，从信任根出发，按照基本输入输出系统（B I O S）、引导加载程序（b o o t l o a

25、 d e r）、操作系统（O S）、应用程序的启动顺序，每一级负责度量下一级部件，并将度量结果不可逆地保存到T P M芯片中，从而实现信任链的建立；同时，部署远程证明服务器，存储正确的状态值，和从设备获取的度量报告进行比对，校验系统文件是否被篡改。3.2.6 拟态防御拟态防御技术主要以异构冗余可靠性技术架构为基础，通过导入基于拟态伪装策略的多维动态重构机

26、制，建立动态异构冗余的内生安全系统，能够在不依赖攻击者先验知识和行为特征信息，以及附加式防御措施的前提下，有效抑制和管控传统安全和非传统安全威胁导致的系统内部广义不确定性扰动。在5G内生安全技术实现中，可考虑利用拟态技术，应对利用未知漏洞所带来的安全攻击和威胁问题。在应用层面，可构造拟态化边界、拟态化的5G切片、拟态网元等，构造设计5G拟态

27、部件，如多协议、多样化软件、多版本编译、异构冗余C P U等，实现迭代裁决的5G多维动态重构反馈机制，使得任何针对5G的独立试错或者攻击，都被5G异构容错机制屏蔽，进而获得测不准效应，形成拟态5G防护迷雾，实现未知威胁的防护。4 结语可以看出，5G内生安全体系是基于网络安全模式的战略性、前瞻性创新思路构建的5G网络安全防护体系，可以为5G网络同步构建网络免疫体系

28、和安全能力，保障5G安全向下一代网络平滑演进。建议产业链相关单位及标准化组织加大内生安全领域的研究和投入，持续增强5G网络的安全保障能力，以应对不断变化的网络攻击和安全风险，助力我国5G网络及应用的高质量健康发展。参考文献1 中国电信白皮书.云网融合2030技术白皮书R.2020.2 奇安信.内生安全新一代网络安全框架体系与实践M.北京:人民邮电出版社,2021.3 中兴通讯,中国信通院,中国移动,中国电信,中国联通,奇安信.2030+网络内生安全愿景白皮书R.2021.4 邬江兴.网络空间内生安全:拟态防御&广义鲁棒控制M.北京:中国科学出版社,2020.44|保密科学技术|2022 年 12 月网络防护

展开阅读全文