5G数据安全防护技术研究

(整期优先)网络出版时间:2022-03-30
/ 2

5G数据安全防护技术研究

李世云 王迎辉

河南工学院 河南省新乡市 453000

摘要:5G作为底层通信技术,提供至少10倍于4G的峰值速率,能承载更多的数据,带来数据量级、维度和内容的爆发式增长。4G网络场景下的数据加密和数据防泄漏等安全防护措施能否有效满足5G网络场景下的数据安全需求,尚缺乏业务大规模商用的技术验证,5G网络下数据安全传输和存储等面临严峻挑战。本文立足国家及行业发展趋势,针对5G这一新兴技术领域数据安全进行研究,以期提出较为完善的5G数据安全防护方案。

关键词:5G;数据安全;防护技术

1 5G数据安全风险

1.1 5G数据全生命周期安全风险

5G数据采集方面,主要涉及5G终端、物联网终端和多接入边缘计算(MEC)设备。这些设备在采集阶段面临着数据被非法采集、篡改和泄露等风险。5G数据传输方面,需要关注5G网络MEC功能下沉导致核心网传输路径拉长以及SBA架构下网络功能间数据传输的安全风险。5G数据存储方面,主要涉及基站、访问和移动管理功能(AMF)等控制面网元的5G控制数据,若存储数据的设备/系统数据安全防护手段不到位(如敏感数据未加密存储等),将面临敏感数据泄露和丢失等安全风险。

1.2 NFV/SDN数据安全风险

NFV/SDN技术由于解耦了设备的控制面和数据面,为基于多厂家通用IT硬件平台建立新型的设备信任关系创造了有利条件。传统封闭管理模式下的安全边界和保障模式被打破,业务的开放性、用户的自定义和资源的可视化应用给云平台带来风险,包括数据跨域泄漏、密钥和网络配置等关键信息缺少足够的硬件防护措施等。

1.3 网络切片数据安全风险

网络切片潜在的安全风险点集中体现在切片中共享的通用网络接口、管理接口、切片之间的接口、切片的选择与管理中。一旦攻击者通过接口访问业务功能服务器,滥用网络设备,非法获取包括用户标识在内的隐私数据,将给用户数据机密性与完整性带来影响。

2 5G业务数据安全风险

5G技术的发展带来了丰富的应用场景,极大推动千行百业发展的同时也带来了新的数据安全风险。从应用场景角度看,总体上存在以下数据安全风险。

2.1 eMBB

e MBB场景方面,存在隐私数据管控风险,在增强现实/虚拟现实、高清视频直播、大视频等对带宽有极高要求的业务场景下衍生的海量数据往往涉及个人隐私,需要专门的规章及标准进行严格管控与指导。

2.2 URLLC

URLLC场景方面,低时延需求造成复杂安全机制部署受限的困境。安全机制的部署,如接入认证、数据传输安全保护、终端移动过程中切换基站、数据加解密等均会增加时延,过于复杂的安全机制不能满足低时延业务的要求。

2.3 mMTC

m MTC场景方面,在泛连接场景下的海量多样化终端易被攻击利用,对网络运行安全造成威胁。5G时代将有海量物联网终端接入,其中大量功耗低、计算和存储资源有限的终端难以部署复杂的安全策略,一旦被攻击易形成僵尸网络,成为攻击源,进而引发对用户应用和后台系统等的网络攻击,造成数据泄露。

3 5G数据安全防护方案

3.1 5G数据全生命周期安全防护

在数据采集阶段,需根据相关标准要求做好分类分级管理。针对敏感数据,根据相关规范进行数据内容加密,针对采集行为进行必要的详细日志记录以便进行监控、审计等。数据传输阶段,加强安全可靠性保障及分类分级管控,满足5G网络传输数据量大、传输路径协议丰富等新型场景下的安全问题。数据存储阶段,可根据数据涉敏级别,参考相应标准规范进行差异化安全存储,对存储数据的设备及基础设施做好访问控制、安全基线和风险评估。数据使用阶段,坚持最小分配原则,合规使用者仅访问必要数据,除非获得授权,否则无权访问数据。数据共享阶段,严格落实内部审批,通过保密协议等方式明确数据共享双方应承担的安全责任。数据销毁阶段,建立针对各种数据销毁场景下的数据销毁管理制度、办法和机制,涉及国家秘密的,需符合国家层面有关保密制度要求落实安全销毁措施。

3.2 5G核心网数据安全防护

3.2.1 NFV/SDN数据安全防护

NFV/SDN数据安全可通过系统安全加固、安全隔离、安全管控等技术手段进行保障,针对数据传输和内容安全,可通过数据加密存储、完整性校验、数据加密传输等技术手段进行保障。由于云计算平台的运维特性,需在迁移或弹性扩缩过程中采用分布式杂凑算法等网络数据分布式存储的销毁策略与机制,实现对数据的有效销毁,确保数据不可恢复,防止滥用误用并做好各种操作的详细日志记录,以支持安全审计。

3.2.2 网络切片数据安全防护

针对切片非法访问,应加强切片管理组件的身份认证、权限管控和数据访问控制等安全措施。此外,做好切片安全隔离。对于安全要求高的行业实施物理隔离,采用专用服务器和网络设备部署切片网元;对于普通场景要做好切片与多切片共享网元间的网络隔离。针对不同安全需求的业务和不同敏感级别的数据传输,网络切片选取各种切片隔离机制,包括RAN隔离、承载隔离和核心网隔离。其中RAN隔离重点针对无限频谱资源和基站处理资源;承载隔离则通过软隔离和硬隔离实现在时隙层面的物理隔离;核心网隔离实现网络切片间、功能间、用户间隔离。

3.2.3 MEC数据安全防护

根据不同敏感级别的数据,针对MEC部署差异化的安全策略,通过身份认证、安全隔离、第三方APP安全监管、细粒度授权、数据备份、数据加密和脱敏等技术手段实现数据安全防护及管控。在MEC运行时,需要针对APP上流转的数据进行分析,特别是使用者的ID和位置。特定业务包含的敏感数据可选用加密算法进行加密存储。对安全要求高的数据,建议采用TLS/IPSec等加密传输的方法,防止通信过程中数据泄漏。在数据使用过程中,应关注当地的数据安全要求,且建议针对具体的流转行为进行审计,特别是当数据属于隐私数据时,可采用脱敏方式对数据进行处理。

3.3 5G无线数据安全防护

5G终端无线接入过程中保证用户数据和信令数据的安全,可从信令完整性保护、信令机密性保护、密钥保护和抗重放保护等方面进行数据安全防护。基于密钥技术,在5G终端与5G基站之间以及5G基站与会话管理功能(SMF)之间进行数据传输加密保护,保障重要信息(用户数据、信令数据)的机密性和完整性,并可抗重放攻击。对于无线接入侧的个人敏感信息及重要数据可运用加密算法进行传输加密,避免敏感数据泄露风险。

3.4 5G终端设备数据安全防护

在终端接入环节,可通过认证和密钥协商机制完成设备的接入鉴权,提高终端接入过程的安全性。用户数据机密性、完整性保护能力及终端所能支持的最大数据速率依赖于终端能力。终端建立通信会话时,在能力范围内采用加密方式最大限度地保护数据的机密性和完整性。对于敏感数据,可运用祖冲之算法或AES算法等加密技术进行加密。针对终端数据存储,可通过数据加密和容器隔离等技术,运用加解密和完整性检测等手段进行数据安全防护,针对特定业务可设定加密存储区域,未经授权的任何实体不能从该区域的数据中还原出用户隐私数据的真实内容。此外,针对终端遗失及弃用等场景,建议提供可有效、彻底销毁数据的手段。

4 结束语

未来5G领域数据安全防护工作要进一步坚持安全与发展并重的治理思路,推动攻关5G的内生安全、零信任和动态隔离等技术;创新开展风险识别、态势感知和安全评测等应用安全服务;加快推进5G数据安全标准制定;加速5G数据安全生态共建和国际协同,发挥我国5G数据规模优势,加速形成数据安全产业生态,打造基于数据安全的应用安全创新示范中心,推动5G数据安全防护的标准化、模块化和系统化。

参考文献

[1] 冯登国,徐静,兰晓. 5G移动通信网络安全研究[J].软件学报, 2018(6).

[2] 张佳乐,赵彦超,陈兵,等.边缘计算数据安全与隐私保护研究综述[J].通信学报, 2018(3).

[3] 王磊.基于5G的移动网络大数据安全策略[J].通讯世界,2021(2).