中國(guó)移動(dòng)研究院粟栗詳述5G-A安全演進(jìn)思路與可信內(nèi)生安全框架

6月23日消息（顏翊）2021年4月，3GPP確定以5G-Advanced作為5G網(wǎng)絡(luò)演進(jìn)的理念，R18將作為5G-A的第一個(gè)版本，預(yù)計(jì)于2024年完成第一版標(biāo)準(zhǔn)制定。5G-Advanced預(yù)計(jì)將具備智慧、融合和更豐富使能的特征。

在6月22日舉行的中國(guó)移動(dòng)科技周暨移動(dòng)信息產(chǎn)業(yè)鏈創(chuàng)新大會(huì)安全分論壇上，中國(guó)移動(dòng)通信有限公司研究院、安全技術(shù)研究所副所長(zhǎng)粟栗發(fā)表了《5G-A安全需求與關(guān)鍵技術(shù)》的主題演講。介紹了5G-A安全演進(jìn)思路和5G-A安全關(guān)鍵技術(shù)與架構(gòu)。

5G-A的安全需求和安全驅(qū)動(dòng)

粟栗表示，網(wǎng)絡(luò)的開放性向、云化和虛擬化以及垂直行業(yè)的定制化安全需求，帶來(lái)了新的安全挑戰(zhàn)。首先網(wǎng)元自身安全性需要加強(qiáng)，網(wǎng)元間需要更細(xì)粒度的訪問(wèn)控制。其次內(nèi)部網(wǎng)絡(luò)設(shè)備的自動(dòng)化安全監(jiān)測(cè)和響應(yīng)需要具備內(nèi)網(wǎng)安全監(jiān)控與感知機(jī)制。第三是切片/專網(wǎng)存在安全定制需求，網(wǎng)絡(luò)自身的安全能力期望服務(wù)化。

在5G-A時(shí)代，安全發(fā)展也迎來(lái)新的驅(qū)動(dòng)力：

第一是網(wǎng)絡(luò)演進(jìn)驅(qū)動(dòng)。云原生、網(wǎng)絡(luò)即服務(wù)、網(wǎng)絡(luò)自動(dòng)化這三大技術(shù)促進(jìn)了網(wǎng)絡(luò)安全進(jìn)一步向服務(wù)化轉(zhuǎn)型，同時(shí)針對(duì)網(wǎng)絡(luò)自動(dòng)化實(shí)施的攻擊可能導(dǎo)致更大的安全威脅，因此實(shí)現(xiàn)網(wǎng)絡(luò)自動(dòng)化應(yīng)同步提高安全能力。

第二是業(yè)務(wù)需求驅(qū)動(dòng)。新業(yè)務(wù)場(chǎng)景提出新的安全要求?？仗斓匾惑w化場(chǎng)景中針對(duì)衛(wèi)星接入移動(dòng)網(wǎng)絡(luò)，需要研究接入認(rèn)證技術(shù)的適配和融合。擴(kuò)展現(xiàn)實(shí)、觸覺(jué)互聯(lián)網(wǎng)等新業(yè)務(wù)場(chǎng)景對(duì)輕量級(jí)安全機(jī)制、用戶隱私保護(hù)提出的更高要求。

第三是安全新技術(shù)驅(qū)動(dòng)。5G-A時(shí)代將引入可信計(jì)算、零信任、區(qū)塊鏈等新技術(shù)來(lái)進(jìn)一步保障網(wǎng)絡(luò)安全發(fā)展。

5G-A網(wǎng)絡(luò)安全設(shè)計(jì)理念演進(jìn)

面對(duì)上述安全需求和驅(qū)動(dòng)，粟栗表示，網(wǎng)絡(luò)安全設(shè)計(jì)理念會(huì)有三個(gè)方面的轉(zhuǎn)變：

第一是實(shí)現(xiàn)機(jī)制的變化。5G-A時(shí)代，網(wǎng)元自身需要更安全，同時(shí)內(nèi)部檢測(cè)、處置機(jī)制需更加完善。

第二是部署方式的變化。在5G時(shí)代，設(shè)備、系統(tǒng)安全和網(wǎng)絡(luò)安全割裂、效率降低。5G-A時(shí)代，通過(guò)管理+編排能力，將網(wǎng)絡(luò)安全體系進(jìn)行重新梳理，確保安全能力合理分配、高效協(xié)同。

第三是安全運(yùn)營(yíng)方式的變化。5G垂直行業(yè)中建設(shè)的安全能力未充分發(fā)揮價(jià)值。5G-A時(shí)代，將通過(guò)構(gòu)建能力開放與知識(shí)運(yùn)營(yíng)，實(shí)現(xiàn)安全能力的服務(wù)化。

針對(duì)5G安全不足，在網(wǎng)絡(luò)、業(yè)務(wù)、安全新技術(shù)的驅(qū)動(dòng)下，5G-A安全將“從被動(dòng)變主動(dòng)，從靜態(tài)變動(dòng)態(tài)”持續(xù)演進(jìn)。

第一是建立靈活的內(nèi)建安全，包括網(wǎng)元間細(xì)粒度的訪問(wèn)控制進(jìn)一步加強(qiáng)和內(nèi)部網(wǎng)絡(luò)設(shè)備的自動(dòng)化安全監(jiān)測(cè)和響應(yīng)進(jìn)一步提升。

第二是建立可信的動(dòng)態(tài)安全，包括可信啟動(dòng)及遠(yuǎn)程度量，用戶行為、網(wǎng)絡(luò)設(shè)備的信任度持續(xù)動(dòng)態(tài)評(píng)估和動(dòng)態(tài)授權(quán)。
第三是建立協(xié)同的安全服務(wù)，增強(qiáng)網(wǎng)絡(luò)攻擊感知服務(wù)和專網(wǎng)安全。

5G-Advanced內(nèi)生安全框架關(guān)鍵技術(shù)

基于以上設(shè)計(jì)理念和技術(shù)的整合，中國(guó)移動(dòng)構(gòu)建了5G-Advanced內(nèi)生安全框架，粟栗也在演講中介紹了這一架構(gòu)的重點(diǎn)技術(shù)和初步設(shè)想。

關(guān)鍵技術(shù)1：細(xì)粒度的網(wǎng)元間訪問(wèn)控制。隨著信任模型的變化，SBA域引入細(xì)粒度訪問(wèn)控制及動(dòng)態(tài)身份認(rèn)證。5G時(shí)代是基于服務(wù)操作進(jìn)行網(wǎng)元間訪問(wèn)控制，而在5G-A時(shí)代，有了細(xì)粒度的訪問(wèn)控制，可以針對(duì)不同數(shù)據(jù)類型、數(shù)據(jù)所屬切片或者用戶/用戶組進(jìn)行訪問(wèn)控制。

關(guān)鍵技術(shù)2：自動(dòng)化安全監(jiān)測(cè)與響應(yīng)能力。在5G-A時(shí)代，我們可以加強(qiáng)網(wǎng)絡(luò)內(nèi)部對(duì)外部異常攻擊、內(nèi)部異常行為的感知，為NWDAF(網(wǎng)絡(luò)數(shù)據(jù)分析功能)賦予安全屬性。

關(guān)鍵技術(shù)3：網(wǎng)元可信與設(shè)備安全保障。在3GPP R18研究網(wǎng)元引入可信啟動(dòng)和遠(yuǎn)程證明的可行性，基于硬件可信根和虛擬可信根進(jìn)行逐級(jí)驗(yàn)證，保證整體網(wǎng)元部署的可信。針對(duì)虛擬化網(wǎng)絡(luò)設(shè)備的不同形態(tài)，需要制定相應(yīng)的安全保障標(biāo)準(zhǔn)。

關(guān)鍵技術(shù)4：基于動(dòng)態(tài)信任評(píng)估的訪問(wèn)控制系統(tǒng)。借鑒零信任理念，實(shí)現(xiàn)對(duì)用戶訪問(wèn)行為的持續(xù)信任評(píng)估，對(duì)訪問(wèn)權(quán)限進(jìn)行動(dòng)態(tài)調(diào)整，滿足新威脅帶來(lái)的新需求。

關(guān)鍵技術(shù)5：協(xié)同聯(lián)動(dòng)的安全服務(wù)。將NWDAF的攻擊感能力進(jìn)一步開放，以安全服務(wù)托管的方式提供給垂直行業(yè)。

基于這五項(xiàng)關(guān)鍵技術(shù)和5G-A安全演進(jìn)的考慮，中國(guó)移動(dòng)建立了5G-A可信內(nèi)生安全框架，通過(guò)內(nèi)建網(wǎng)元安全能力、協(xié)同安全資源池、AI+安全中心，實(shí)現(xiàn)智能檢測(cè)，處置閉環(huán)的聯(lián)動(dòng)防護(hù)，提升主動(dòng)安全防御能力以及安全運(yùn)維效率?；谠苹A(chǔ)設(shè)施、安全能力中心、安全管理中心這三層架構(gòu)，將為5G-A 網(wǎng)絡(luò)提供一個(gè)智能閉環(huán)處置的安全架構(gòu)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。