第一情报 ---信息产业

面向5G eMBB的安全设计

一、早期5G业务(AR/VR及高清视频)正驱动5G网络的快速发展

 

随着移动宽带互联网的快速普及以及各类移动智能终端设备的广泛使用,移动通信基础网络运营商的盈利中,大约有高达50%的部分来自于移动视频业务,而且预计相关数值还将会有较大增长空间。沉浸式的、按需点播的AR(增强现实)/VR(虚拟现实)业务正在成为eMBB(增强型移动宽带)的主要应用场景。可预计的是,从4K/8K超高清移动视频向移动AR/VR视频的演进(均将是早期的5G业务),将会刺激人们更为强劲的高速/超高速5G无线移动宽带通信网络连接需求。

 

业界应探讨5G eMBB应用场景的关键安全特性。如下文所述。

 

二、面向eMBB场景的5G安全应能支持各类差异化的业务、异构多层的无线接入、开放式的应用环境

 

1、须对移动AR/VR及高清视频进行差异化的数据保护

 

面向5G eMBB的各个网络切片,应采取差异化措施来满足各类业务的安全需求。具有潜在巨大市场的5G eMBB将有着各种不同的安全需求。例如,用户随时随地均可按需接入使用的交互式、沉浸式移动AR/VR将成为面向大众用户的下一代社交平台应用,并将与垂直行业应用以及企业应用一道形成一个生态系统,而其中的垂直行业移动AR/VR应用需要实现对于各种敏感信息的加密传输、企业移动AR/VR应用则需要实现对于所有本地信息的加密传输。此外,个人类应用与公共服务类应用(如安全监控)的安全保护等级也将不同。

 

25G eMBB场景中,不同网络接入系统、不同接入技术、不同基站类型的并行高速数据接入,带来了诸多新的安全需求

 

5G eMBB要实现可靠且快速的移动数据传输,关键在于是否能实现对于异构多层无线接入的统一认证及安全管理。将来的5G网络是融合型的,可支持5GWi-Fi网络的并行接入。这样一来,如果不同类型的接入网络采取不同的认证机制,则5G eMBB的整个安全管理就将会变得非常复杂,而且,对于用户终端在不同类型接入网络间移动时的安全上下文的处理也将会变得缓慢且低效。要解决上述安全挑战,就须面向5G eMBB建立统一的认证及安全上下文管理机制。

 

3、移动通信基础网络运营商向其垂直行业客户开放5G eMBB安全能力

 

擅长于进行安全管理的移动通信基础网络运营商,可通过与其行业客户共享5G eMBB安全能力推进5G eMBB业务市场发展。垂直行业客户通常被要求提供用户安全管理以及业务内容保护。移动通信基础网络运营商已经具备坚实的安全保障基础(包括认证及数字身份管理能力),由此,在长期的移动通信业务运营中赢得了用户及客户的信任。在此基础上,若能向垂直行业客户开放5G eMBB安全能力,则将可实现双赢。

 

4、须对5G eMBB采取更强力度的用户隐私信息保护

 

可以预见,很多的5G eMBB业务(比如移动AR/VR)将会涉及到诸如用户业务信息、个人身份、设备标识符、地址信息等用户隐私信息。此外,5G异构多层接入网络的开放性也将会带来各种全新的用户隐私信息安全问题。第三,随着数据挖掘技术的快速进步,用户隐私信息很容易被收集与分析处理(通过挖掘设备标识符与用户之间的关系,或跟踪用户的在线行为)。综上,须部署综合的5G eMBB业务用户隐私信息保护系统。

 

二、5G eMBB关键安全特性的设计

 

为了满足各类5G eMBB业务差异化的安全需求并同时支撑高速数据传输以及行业客户的快速增长,5G eMBB关键安全特性应包括:端到端的安全保护、统一认证、安全能力对外开放。

 

对5G eMBB异构多层无线接入网络的统一认证机制

5G eMBB异构多层无线接入网络的统一认证机制[1]

 

1、以业务为导向的对于用户平面的端到端安全保护

 

建议移动通信基础网络运营商实现从用户终端到各业务锚点的安全及高效端到端5G eMBB数据保护。

 

1)用户平面端到端保护的终结点

 

端到端的用户数据保护始于UE(用户终端)并终结于运营商网络中的出口网关(egress gateways)。出口网关一般被部署于核心网络。在延迟/时延敏感型业务场景、业务服务器部署于离用户较近的场景,出口网关也被部署于网络边缘。如果运行实际业务的服务器被部署于运营商网络,则用户平面的端到端保护也可终结于这些服务器。最后,无论用户数据的端到端保护是终结于核心网络还是终结于本地边缘网络,均必须在高度可信的区域实施,以确保业务数据能得到安全的处理及存储。

 

2)基于会话的用户数据端到端保护

 

“基于会话的端到端数据保护”可提高5G eMBB安全保护的灵活性。相同的用户数据终端在运行/使用不同类型的业务时,会发送不同种类的会话数据。因此,5G eMBB的安全设计应容许对不同会话数据传输进行差异化的保护。

 

3)灵活的安全策略协商

 

端到端的5G eMBB数据保护机制使得可对各种安全策略进行灵活且高效的协商。首先,5G网络从5G eMBB服务器获取相关的安全请求。然后,把安全需求匹配至业务、网络及终端设备的安全能力,并决策采取哪些差异化的安全保护策略(比如:安全算法、密钥长度、端到端用户数据保护的终结点)。

 

45G eMBB用户平面端到端保护协议的设计

 

如图2所示,不同类型5G eMBB业务的数据以不同会话(作为协议数据单元PDUs)来传送。根据PDU传输协议,端到端用户平面保护会对PDU负载作加密处理(但并非是从头部到尾部)。这就确保了网络节点能准确地理解路由信息。

 

端到端用户数据保护协议的工作流程

端到端用户数据保护协议的工作流程[1]

 

2、跨越不同类型接入网络及不同认证协议的统一、开放的认证框架

 

5G的异构多层接入网络将包括5G NR(新兴无线接入技术)、LTE及其后续演进、Wi-Fi、固定网络接入等,其中的一些接入环境是可信的,而有些则是不可信的。目前,不同类型的接入技术均各自采取不同的认证框架及安全上下文管理机制,这样,如果用户终端从这个接入网络切换到那个接入网络,就必须要重新进行网络接入认证。这种多个认证机制共存使用的情况增大了安全管理的复杂度,还增大了业务延迟/时延(主要是在移动性管理/网络切换方面)。

 

1)统一的认证框架及安全管理

 

面向5G eMBB应用场景,须建立可支撑多种类型接入网络及各主要认证协议的框架,来对认证及安全管理作统一处理。采取这种方式可以降低安全管理的复杂度,可使得各用户终端设备在不同类型接入网络间移动切换时对所创建的安全上下文进行共享(如图3所示)。进一步地,还可降低把安全上下文适配至不同类型接入网络的延迟/时延。此外,5G移动通信网络运营商还应面向不同的5G eMBB业务认证模式选择不同的认证协议,并更容易地将其范围延伸至广大第三方服务。基于EAP(可扩展型接入协议)的认证框架就是一个好的选择对象,其目前已经演进至支持对于多种认证协议的选择,比如EAP-AKAEAP认证及密钥协议)、EAP-TLSEAP传输层安全)等。推荐采取基于EAP5G eMBB的统一认证框架。

 

各用户终端对安全上下文的共享

各用户终端对安全上下文的共享[1]

 

2)在不同类型接入网络中移动切换时,对安全上下文的共享

 

如果采取统一的EAP认证机制,不同类型的接入网络之间可以共享使用安全上下文来用于5G eMBB认证。例如,如果某部处于移动状态的用户终端需要进行网络切换,其就可直接使用现有的安全上下文来实现快速的网络接入认证,而不再需要像现在的机制那样首先要对用户业务订购数据库发起新的认证数据请求。如此一来,网络接入延迟/时延将可得到降低。

 

3、开放身份管理可促进5G业务生态系统的发展

 

移动通信基础网络运营商们已经基于USIMsUMTS用户识别模块)及/SIMs建立了全球数字身份系统。该系统在覆盖广度及用户方面胜过了其他身份管理系统。运营商所采取的认证机制具有较大的可信性,被用户/客户广泛使用。为了提高用户认证的可靠性,大多数具有高安需求的移动通信业务都要采取SMS(短信)验证码进行多因素/维度认证。

 

随着各类业务逐渐趋于融合,5G移动通信网络运营商应基于SIM/USIM来开放各种安全能力,并通过引入更多认证维度的方式来增强业务认证安全。 

 

如图4所示,通过APIs(应用平台接口)面向多类5G eMBB业务开放数字身份管理及认证能力,可以获得双赢的效果。一方面,5G网络运营商可以把广大第三方的业务引入到自有平台,并进一步建立起有利于实现自身长期可持续发展的开放式生态系统,进而可提高用户/客户的忠诚度,并具备不断探索新兴盈利模式的后劲。另一方面,广大第三方业务/服务提供商可利用5G网络运营商所开放的数字身份管理能力来扩大自己业务的覆盖范围。

 

图4

4[1]

 

一旦第三方服务提供商与5G网络运营商建立起了双边互信,运营商就可把数字身份与业务信息关联起来,这样,用户终端设备及业务服务器就可通过业已开放的APIs来使用5G运营商的数字身份管理以及网络认证能力。

 

4、增强型的用户隐私信息保护

 

5G移动通信网络将会扩展至各个垂直行业,越来越多的个人用户及行业客户均将使用5G网络。由此,用户/客户隐私信息保护就变得越来越重要。其中,用户/客户IDs(身份识别符)是一大重要的隐私信息,必须要得到很好的保护(尤其是在开放式的环境之中)。

 

保护用户/客户IDs的一种方式是把永久性IDs替换成随机IDs,从而,就将可不再出现通过空口传输永久性IDs的情况。由于4G LTE基站也将处于5G接入网络之中,则IMSIs(国际移动用户标识符)就需要与LTE认证信令相兼容。否则,黑客就可能会利用LTE信令发起降级攻击。解决方案是,通过采取非对称加密技术来加密用户/客户IDs,防止黑客通过空口跟踪或拦截用户/客户IDs

 

上文所阐述的5G eMBB安全特性设计其实不局限于应用于eMBB类型的5G业务,也同样适用于mMTC(大规模机器类通信)、uRRLC(超高可靠及低延迟/时延)类的5G业务。

 

参考文献:

 

[1] Huawei Technologies, 5G Scenarios and Security Design[EB/OL].

http://www-file.huawei.com/~/media/CORPORATE/PDF/white%20paper/5g-scenarios-and-security-design.pdf, 2016-12-15.

 


万方数字化期刊中相关文章
团聚对中温固体氧化物燃料电池电解质Sm0.15Gd0.05Ce0.8O1.9致密化的影响
作者:罗丹|骆仲泱|余春江|
刊名:无机材料学报
年:2007
卷:22
期:6
摘要:采用乙二胺四乙酸(EDTA)-硝酸盐、溶胶-凝胶低温自蔓延燃烧法合成了Sm0.15Gd0.05Ce0.8O1.9(SGDC)纳米粉体,研究了以不同分散方式和分散时间制备的SGDC在各种烧结温度下的致密化行为.为更好地考察团聚对SGDC致密化的影响,本实验引入团聚体系数(Coagulation factor)来具体表征和量化纳米SGDC的团聚程度.结果表明:团聚在烧结过程中,严重阻碍和抑制了SGDC的致密化;在同一烧结温度下,团聚体系数较低的固溶体具有更高的烧结致密度.通过高剪切乳化分散后,SGDC的团聚体系数为1.04时,烧结致密化温度可降低至1300℃.这个温度比以前文献中所报道的1400~1600 ℃的烧结温度要低得多.通过对团聚的控制,显著改善了SGDC电解质的烧结性能.

注册成为正式用户,登陆后,获得更多阅读功能与服务!
转载本文需经本平台书面授权,并注明出处:上海情报服务平台www.istis.sh.cn
了解更多信息,请联系我们

§ 请为这篇文章打分(5分为最好)