5G隨行專網(wǎng)的安全技術(shù)研究與應(yīng)用

郝立謙5G隨行專網(wǎng)的安全技術(shù)研究與應(yīng)用本期專題MonthlyTopic5G隨行專網(wǎng)的安全技術(shù)研究與應(yīng)用AccompanyingPrivateNetwork郝立謙(中國聯(lián)通廣東分公司，廣東廣州510627)HaoLiqian(ChinaUnicomGuangdongBranch，Guangzhou510627，China)摘要：G依托5G技術(shù)優(yōu)勢，滿足同時訪問內(nèi)網(wǎng)和互聯(lián)網(wǎng)的需求，實現(xiàn)了用戶隨時隨地訪問互聯(lián)網(wǎng)和內(nèi)網(wǎng)、無感的高效分流，完美替代了傳統(tǒng)VPN的接入方式。融合零信任理念與密碼技術(shù)，打造動接入方式。關(guān)鍵詞：文章編號：1007-3043(2023)04-0001-04開放科學(資源服務(wù))標識碼(OSID)：semKeywords：引用格式：郝立謙.5G隨行專網(wǎng)的安全技術(shù)研究與應(yīng)用[J].郵電設(shè)計技術(shù)，2023(4)：1-4.1概述隨著數(shù)字化轉(zhuǎn)型的不斷深入，政務(wù)、教育和企業(yè)等領(lǐng)域的移動辦公需求日益增長。移動辦公可以為用戶帶來更靈活、高效的工作方式，并降低組織的運營成本。然而，移動辦公也面臨著諸多挑戰(zhàn)，其中最為關(guān)鍵的是網(wǎng)絡(luò)安全問題。例如在移動辦公中，用戶需要訪問組織內(nèi)部的網(wǎng)絡(luò)資源，同時也需要使用互聯(lián)網(wǎng)上的公共資源，因此需要一種安全可信的網(wǎng)絡(luò)來保證數(shù)據(jù)傳輸和交換的安全性和可靠性。收稿日期：2023-02-17政務(wù)方面，政務(wù)機構(gòu)需要在移動辦公中安全地傳輸和處理敏感信息，例如政府文件、公共數(shù)據(jù)、重要信息等；教育方面，學生希望便利地獲取學習資源，在校內(nèi)外同時訪問互聯(lián)網(wǎng)和校園網(wǎng)；企業(yè)方面，移動辦公成為提高工作效率和降低成本的有效手段。國家及各地政府對網(wǎng)絡(luò)安全越來越重視，相繼出臺了相關(guān)政策指導和要求。習近平總書記多次就加業(yè)生態(tài)”。同時，移動辦公對5G專網(wǎng)的安全也提出了郵電設(shè)計技術(shù)/2023/0401本期專題MonthlyTopic郝立謙5G隨行專網(wǎng)的安全技術(shù)研究與應(yīng)用入服務(wù)建設(shè)規(guī)范》中要求：5G無線網(wǎng)絡(luò)應(yīng)提供網(wǎng)絡(luò)側(cè)的二次認證能力，并應(yīng)對接政務(wù)外網(wǎng)認證服務(wù)器，當5G無線網(wǎng)絡(luò)核心網(wǎng)收到移動終端的業(yè)務(wù)請求時，觸發(fā)用戶二次鑒權(quán)。因此，建立安全可信的5G隨行專網(wǎng)不僅是滿足政務(wù)、教育和企業(yè)等多領(lǐng)域的需求，也是進一步推廣數(shù)字化轉(zhuǎn)型的必要手段。2總體方案本方案旨在打造安全可信的5G隨行專網(wǎng)?？傮w方案架構(gòu)如圖1所示。設(shè)備和計算安全方面，手機終端安裝超級SIM卡，原生集成硬件國密芯片，為終端設(shè)備提供安全可信的密碼運算能力和環(huán)境；同時在客戶內(nèi)網(wǎng)部署密碼服務(wù)平臺，提供密碼管理、密碼運算、數(shù)據(jù)加/解密和簽名/驗簽等能力。網(wǎng)絡(luò)和通信安全方面，依托5G組網(wǎng)、切片和邊緣計算等技術(shù)，為客戶提供專屬覆蓋、網(wǎng)絡(luò)定制、數(shù)據(jù)隔離、質(zhì)量保證的基礎(chǔ)連接網(wǎng)絡(luò)，實現(xiàn)大帶寬、低時延、安全可靠的數(shù)據(jù)傳輸，滿足客戶在生產(chǎn)、辦公、管理等應(yīng)用的通信服務(wù)需求。同時依托5G網(wǎng)絡(luò)的安全能力提供安全可信的網(wǎng)絡(luò)環(huán)境。方面，基于“零信任”的理念，融合國密安全技術(shù)，終端提供全方位的安全接入防護；云平臺提供體系化的安全管控系統(tǒng)。集成國密超級SIM卡、商用密碼技術(shù)、服務(wù)隱藏技術(shù)、安全沙箱空間隔離等創(chuàng)新應(yīng)用融合，打造集“隱身、強鑒別、加密通信”于一身的金融級安全體系。3關(guān)鍵技術(shù)3.1設(shè)備和計算安全方面3.1.15G超級SIM卡SIM卡是用戶身份的載體，也是終端入網(wǎng)的憑證，具有很高的安全等級和密碼運算能力。新一代的5G超級SIM卡在傳統(tǒng)SIM卡的基礎(chǔ)上，遵照3GPP規(guī)范在5G接入控制、5G移動性管理、用戶身份隱私保護、網(wǎng)絡(luò)安全認證密鑰存儲等方面做了安全升級。5G超級SIM卡芯片具備密碼運算協(xié)處理器和生成真隨機數(shù)協(xié)處理器，支持RSA、AES、3DES、ECC、HASH等通用密碼算法，同時也支持國密算法(SM2、SM3、SM4、SM9等)。在安全能力方面，5G超級SIM卡芯片具備抗物理攻擊的能力，芯片通過EAL4+級及以上安全認證、商密二級及以上認證，為密碼運算和數(shù)據(jù)存儲提供安全保障。5G超級SIM卡的國密運算能力通過API接口為上層應(yīng)用提供密碼服務(wù)。本方案中，在卡片COS中加載國密applet應(yīng)用，向上層零信任APP提供密鑰存儲及密碼運算的能力，主要包括基于卡片根密鑰的身份認證、SM2公私鑰生成、SM3-HMAC運算、SM9私鑰存儲、生成真隨機數(shù)、簽名/驗簽等。最終實現(xiàn)用戶在線申請SM9密鑰以及網(wǎng)絡(luò)接入的強身份認證。為實現(xiàn)安全能力的自主可控，針對特殊的應(yīng)用場景需求，采用終端定制化的方式滿足客戶對數(shù)據(jù)安全的高級別要求。終端硬件方面，關(guān)鍵零部件選用國產(chǎn)化及自主可控的硬件。并采用去除、屏蔽或硬件隔離等手段指定禁用部分功能，從硬件層面確保終端環(huán)境的安全可控；終端軟件方面，采用深度定制的基于Linux內(nèi)核的操作系統(tǒng)。系統(tǒng)固件采用服務(wù)最小化原則，裁剪不必要的服務(wù)組件，并采用關(guān)閉有風險的功能及接口、強管控的鑒權(quán)機制、細粒度的權(quán)限管控機制、全系統(tǒng)文件的hash及簽名校驗等手段確保定制終端的運行環(huán)境安全。3.2網(wǎng)絡(luò)和通信安全方面統(tǒng)一身份認證中心密碼服務(wù)平臺互聯(lián)網(wǎng)統(tǒng)一身份認證中心密碼服務(wù)平臺互聯(lián)網(wǎng)專網(wǎng)UPF5GC公眾UPF手機應(yīng)用可信空間國密SDK超級SIM卡密碼芯片基站客戶應(yīng)用系統(tǒng)零信任平零信任平臺控制中心代理網(wǎng)關(guān)圖1總體方案架構(gòu)022023/04/DTPT基站基站郝立謙5G隨行專網(wǎng)的安全技術(shù)研究與應(yīng)用本期專題MonthlyTopic5G隨行專網(wǎng)是基于專用DNN+ULCL技術(shù)的5G行業(yè)專網(wǎng)，可滿足用戶不換卡、不換號，全國漫游、隨時隨地訪問內(nèi)網(wǎng)和互聯(lián)網(wǎng)的需求。本方案采用獨享型和共享型2種組網(wǎng)方式。獨享型5G隨行專網(wǎng)是在用戶園區(qū)下沉部署1套UPF作為輔錨點，將大網(wǎng)UPF作為主錨點，共享大網(wǎng)5GC控制面能力。主要用于對隔離性、可靠性、QoS等方面有較高要求，且預算充足的大型行業(yè)用戶的獨立園區(qū)場景。獨享型5G隨行專網(wǎng)組網(wǎng)架構(gòu)如圖2所示。內(nèi)內(nèi)網(wǎng)數(shù)據(jù)流互聯(lián)網(wǎng)數(shù)據(jù)流互聯(lián)網(wǎng)公眾用戶公眾UPF基站N9專網(wǎng)用戶獨享節(jié)點專網(wǎng)獨享UPF5GCPCFUDMAMFSMFULCL分流客戶內(nèi)網(wǎng)專用DNN控制信令圖2獨享型5G隨行專網(wǎng)組網(wǎng)架構(gòu)共享型5G隨行專網(wǎng)將由運營商統(tǒng)一規(guī)劃和建設(shè)的布局類共享型UPF作為輔錨點，將大網(wǎng)UPF作為主錨點，共享大網(wǎng)5GC控制面能力。多個行業(yè)用戶通過專線方式把企業(yè)內(nèi)網(wǎng)接入該布局類共享型UPF。該方案主要面向追求性價比、要求敏捷交付和免維護的企事業(yè)單位。共享型5G隨行專網(wǎng)組網(wǎng)架構(gòu)如圖3所示。在5G時代，3GPP移動網(wǎng)絡(luò)的接入安全性有了新的升級，以應(yīng)對新的威脅。在隱私保護方面，對用戶的永久簽約標識(SUPI)進行了全面保護，不會以明文方式在空口中傳送，而是發(fā)送臨時ID(GUTI)或通過歸屬網(wǎng)絡(luò)公鑰加密的簽約隱藏標識(SUCI)。在UE入網(wǎng)鑒權(quán)與密鑰派生方面，UE和網(wǎng)絡(luò)之間采用雙向鑒權(quán)機制，雙方相互證明自己是自己所聲稱的身份。雙向鑒權(quán)完成后，通過密鑰協(xié)商過程可派生出多個密鑰用于后續(xù)安全過程中在UE與服務(wù)網(wǎng)絡(luò)之間的通信加密。雙向鑒權(quán)的方法可選擇5GAKA或EAP-AKA，2種方5GCPCFUDM5GCPCFUDMAMFSMF控制信令互聯(lián)網(wǎng)ULCL分流公分流公眾UPFN9基站專N9基站專用DNN節(jié)點專網(wǎng)UPF專網(wǎng)用專網(wǎng)UPF專網(wǎng)用戶圖3共享型5G隨行專網(wǎng)組網(wǎng)架構(gòu)法的鑒權(quán)過程都是基于存儲在USIM和網(wǎng)絡(luò)中的都可以訪問的相同的永久密鑰K。在注冊過程中完成雙向鑒權(quán)和密鑰派生后，會導出用于保護NAS消息的密鑰，將它用于建立NAS安全性之后進行信元的加密和完整性保護。3.3應(yīng)用和數(shù)據(jù)安全方面為確保應(yīng)用和數(shù)據(jù)的安全，本方案采用“零信任”理念建立安全接入防護體系(零信任平臺)，通過在網(wǎng)絡(luò)中消除未經(jīng)驗證的隱含信任，構(gòu)建可信的網(wǎng)絡(luò)訪問環(huán)境。其基本原則包括：a)任何訪問主體(人/設(shè)備/應(yīng)用等)，在訪問被允許之前，都必須要經(jīng)過身份認證和授權(quán)，避免過度的信任。b)訪問主體對資源的訪問權(quán)限是動態(tài)的(非靜止不變的)。c)分配訪問權(quán)限時應(yīng)遵循最小權(quán)限原則。d)盡可能減少資源非必要的網(wǎng)絡(luò)暴露，以減少攻擊面。e)盡可能確保所有的訪問主體、資源、通信鏈路處于最安全狀態(tài)。f)盡可能多地和及時地獲取可能影響授權(quán)的所有信息，并根據(jù)這些信息進行持續(xù)的信任評估和安全響應(yīng)。終端環(huán)境的安全是終端數(shù)據(jù)安全的基礎(chǔ)保障，本方案主要通過沙箱技術(shù)提供終端安全環(huán)境，確保執(zhí)行環(huán)境的數(shù)據(jù)安全。在移動終端上通過沙箱技術(shù)實現(xiàn)數(shù)據(jù)的安全保護，提供文件加密和隔離，在移動設(shè)備郵電設(shè)計技術(shù)/2023/0403本期專題MonthlyTopic郝立謙5G隨行專網(wǎng)的安全技術(shù)研究與應(yīng)用文件系統(tǒng)中構(gòu)建了一個專屬于安全域的安全文件系統(tǒng)，對文件沙箱內(nèi)文件路徑(文件隔離)和文件內(nèi)容 (文件加密)都進行高強度加密，并且還支持安全域應(yīng)用既能訪問安全域文件又能訪問個人域的文件(文件流轉(zhuǎn))，極大地提升用戶體驗。此外，移動沙箱技術(shù)還提供應(yīng)用分享隔離、剪切板隔離、屏幕水印、防截屏等數(shù)據(jù)安全能力。應(yīng)用訪問的傳統(tǒng)身份認證方式中，通常采用用戶名和密碼作為認證要素，無法避免撞庫攻擊、字典攻擊等問題，存在身份認證的安全漏洞，比如僵尸病毒就是基于弱口令的漏洞進行攻擊的，故引入基于密碼技術(shù)的認證方式，增強認證的安全性。本方案用于身份認證增強的密碼技術(shù)方案主要基于國密SM9算法，輔助使用SM3-HMAC算法。4行業(yè)推廣5G隨行專網(wǎng)能解決政務(wù)、教育、企業(yè)等多行業(yè)客戶的多場景需求。下面以數(shù)字政府、校園、企事業(yè)單位等行業(yè)分析推廣方式。4.1數(shù)字政府電子政務(wù)移動辦公是一種靈活、低碳的辦公模，也是構(gòu)建高效服務(wù)型政府的必然趨勢。利用5G隨行專網(wǎng)開展移動辦公，政府辦公人員可以擺脫時間和空間的束縛，在任何時間、任何地點可通過任何授權(quán)的移動終端進行相關(guān)業(yè)務(wù)的處理。5G隨行專網(wǎng)可作為政務(wù)外網(wǎng)備份鏈路，如有線網(wǎng)絡(luò)無法覆蓋的辦公點、臨時應(yīng)急辦公點等；5G隨行專網(wǎng)可支撐移動政務(wù)終端及物聯(lián)感知設(shè)備應(yīng)用場景，如移動OA辦公、網(wǎng)格員社區(qū)管理、道路卡口檢查、感知設(shè)備接入等，有助于提升“數(shù)字政府”運行效率和服務(wù)質(zhì)量。4.2校園遠程學習和在線教育已是學生學習的重要方式，使用高速的5G隨行專網(wǎng)，可實現(xiàn)觀看視頻不卡頓，學生遠程獲取教學資源并與教師進行互動交流，從而提高教學效率和教育質(zhì)量。虛擬仿真實驗室在教育領(lǐng)域的應(yīng)用價值凸顯，它除了可以輔助高校的科研工作，在實驗教學方面也具用率高、易維護等優(yōu)點。學生可以借助5G隨行專網(wǎng)連接虛擬實驗室，進行實驗操作，模擬各種科學現(xiàn)象，提高實驗教學的趣味性和交互性。大量的學術(shù)科研資源都在校園網(wǎng)中存放，師生可以利用5G隨行專網(wǎng)隨時隨地高速訪問校園內(nèi)網(wǎng)資源，獲取電子資料。4.3企事業(yè)單位部分企事業(yè)單位的一線安全巡檢人員需在園區(qū)定時人工巡檢，受限于Wi-Fi信號不穩(wěn)定、巡檢人員拍攝后需回到辦公地點集中上傳，無法滿足實時上傳的全需求，難以及時處置突發(fā)狀況。使用5G隨行專網(wǎng)可實時上傳，滿足企業(yè)安全管理信息化需求。企事業(yè)單位工作人員常規(guī)采用VPN接入方式進行移動辦公，而基于互聯(lián)網(wǎng)建立的VPN具有網(wǎng)速慢、可滿足企事業(yè)單位在保證數(shù)據(jù)安全的前提下靈活辦公的需求。5未來展望5G隨行專網(wǎng)打破了互聯(lián)網(wǎng)、移動通信網(wǎng)和企業(yè)內(nèi)網(wǎng)的界限，并作為紐帶把三者進行了完美融合。借助5G網(wǎng)絡(luò)更快的速度和更低的時延優(yōu)勢，企業(yè)可以開展更多基于內(nèi)網(wǎng)的移動場景應(yīng)用，例如企業(yè)內(nèi)部視頻通知、企業(yè)內(nèi)部活動視頻直播、設(shè)備視頻巡檢、遠程手術(shù)、遠程專家會診等。5G對海量終