流量卡新闻

5G网络安全架构系统范围的安全性

2020-10-28 08:53:49 dingzhiqi

3GPP标准化部分(4)着眼于3GPP范围内的安全机制,即功能元素和接口。本节涵盖与5G网络系统部署方案有关的其他安全注意事项,包括:

  • 系统范围的安全性(水平安全性)

    • 网络层

    • 切片

    • 应用层安全

    • 机密性和完整性保护

    • 互连(SBA)

  • 5G功能元素部署(垂直安全性)

    • NFV

    • 分布式云

系统范围的安全性

如前所述,消费者和企业将现有的(4/3 / 2G)蜂窝网络用于移动宽带(连接服务),消息传递服务(例如SMS)和电话服务。社会行为和商业服务正在发展,这提高了对蜂窝网络提供可靠和安全通信的期望。 

5G的目标是成为企业和组织建立和提供新的增值服务的可靠且值得信赖的创新平台,但它也被视为使关键的国家基础设施(例如能源,交通等)数字化和现代化的推动者。 5G系统的标杆,可提供更高的可用性并提高对安全通信服务的保证。水平的,全系统的安全性方法跨网络,从用户设备到操作员终止其服务的参考点。 

通过组合和协调电信网络中不同域的多种安全控制来实现水平安全性(参见图7),其中包括无线电访问(例如,无线电单元,基带单元,天线),传输网络(例如,光学设备,以太网桥) ,IP / MPLS路由器,SDn控制器),数据包核心(例如MME,S-GW,PGW,HSS),网络支持服务(例如DNS,DHCP),云基础架构以及各种管理系统(例如网络管理,客户体验管理,安全管理)。必须协调所有这些域的安全性,以提供有针对性的服务可用性以及5G系统内发送,存储和处理的数据的机密性和完整性。 

上一节描述了3GPP节点中可用的控件,但让我们现在探讨5G系统中传输和云域中的控件和设计注意事项。 

传输网络在5G系统中起着重要作用,因为它们在所有5G网络功能之间提供了高速,低延迟的连接服务。因此,传输网络的可用性与5G系统及其提供的服务的可用性直接相关。为了确保在节点故障,电缆或光纤中断或过载事件期间传输服务的可用性,传输网络可以采用各种技术解决方案以及网络设计过程中的注意事项,包括:

  • 地理冗余路径,可在路径发生故障时重新路由流量

  • 链路冗余解决方案,用于在端口或链路发生故障时进行快速故障转移

  • 由于路径故障或过载情况而重新路由流量的路径冗余机制

  • 关键网络节点的高可用性配置以处理节点故障

  • 使用流量分段机制(例如VLAN和MPLS)在逻辑上分离不同域之间的流量 

  • 使用流量排队机制,速率限制和用于资源和拥塞管理的流量监管的服务质量实施

  • DDoS检测和缓解解决方案

  • 基于端口的身份验证以验证授权的网络设备是否为

  • 连接到网络

  • IPsec或MACsec创建用于在站点和网络元素之间发送数据的经过身份验证和加密的安全隧道

流量卡

传统无线基带单元中的基于服务的体系结构(SBA)和功能的拆分对云环境中的部署开放。这种灵活性为实现新的增值服务提供了许多机会,但也暴露了新的风险和必须控制的攻击媒介,以维护运营商的目标安全态势。一些增加云中可信度的活动和控制措施包括但不限于:

  • 加强网络功能虚拟化环境,例如加强主机操作系统,安全管理程序或容器环境的配置

  • 租户分离,以使租户无法干扰,未经授权的数据访问或拦截来自其他租户的网络流量

  • 监视租户的合规性,以确保他们保持在已定义的安全策略之内 

  • 生成详细的审计跟踪以支持事件响应和恢复活动 

  • 工作负载生命周期管理,以确保虚拟网络功能的安全启动,在启动过程中验证软件的完整性以及操作中工作负载的完整性,以及安全地停用工作负载

用于描述具有不同性能和安全属性的网络服务隔离的逻辑结构是网络切片。上面提到的一些控件和设计指南将结合起来以实现不同的网络切片。例如,可以使用具有快速故障转移的地理路径冗余服务,使用IPsec以机密性和完整性进行身份验证的服务来实现需要高可用性,优先访问资源以及与其他服务隔离的任务关键型应用程序,并由专用5G核心网络进行处理部署在已提交服务器刀片上的功能和部署有针对特定应用程序要求的策略的网络安全功能。 

部署/垂直安全 

3GPP规定了网络功能及其相互作用方式,但没有规定如何在嵌入式系统或虚拟环境中实现网络功能。 

传统上,无线电基站设备和无线电核心节点是在供应商设计的硬件平台上开发的。这些平台经过精心设计,可以满足对可用性,平均故障间隔时间(MTBF),性能,可伸缩性,功耗和物理安全性的严格要求。 

例如,无线电基带单元包括防篡改硬件(用于安全存储敏感机密),支持安全启动过程(用于验证加载到硬件上的软件的完整性和来源)以及硬件加速器以提高加密性能。在基带单元的制造过程中,为硬件提供了供应商唯一的凭据,称为“供应商凭据”,用于对来源的设备供应商进行密码认证。该凭证用于确保基带单元的部署和集成到运营商网络中。这些凭据安全地存储在具有由可信计算组指定的已建立的可信执行环境(TEE)的硬件设备上,从而创建可以携带到植根于硬件中的部署的信任。 

在虚拟化部署中,情况有所不同,因为多个供应商可能会参与提供解决方案的不同部分,例如硬件基础架构,虚拟化平台和应用程序执行3GPP网络功能。标识符和凭据的安全配置和存储是不可或缺的,以在虚拟化部署中提供安全的部署。当前,该行业正在研究建立与嵌入式系统中类似的信任和安全性的方法。例如,硬件平台(数据中心服务器)需要包括硬件技术,例如可信平台模块(TPM),硬件安全模块(HSM)和CPU中的安全区域,这些功能需要由虚拟化平台利用并暴露给并由在这些平台上运行的应用程序证明。3GPP功能的虚拟化允许以基于硬件的解决方案无法实现的方式在整个网络中跨基础架构灵活分配功能。例如,可以部署一个网络切片,其中RAN和核心网络都在网络中更深入地朝着分布式云平台上的边缘运行,以服务于本地企业服务或区域IoT应用程序。这就要求可以部署应用程序的网络协调器,运行应用程序的分布式云平台以及应用程序本身,并提供足够的安全控制。这是满足运营商所需的安全态势所必需的,同时又要满足网络切片用例的安全性要求。这是通过在所有相关域之间协调服务部署和安全配置的解决方案来实现的。部署后,需要进行连续监视以验证在已部署服务的整个生命周期中都保持了所需的安全状态。


首页
产品
新闻
代理