移动通信安全技术演进与5G安全.pptx

移动通信安全技术演进与5G安全技术创新，变革未来020103移动通信网迈向5G5G安全需求5G安全特性何为5GITU用三类应用场景和一组性能指标定义了IMT-2020大规模物联网智慧城市智能家居健康管理低时延高可靠机器人自动驾驶工业控制远程医疗增强移动宽带视频通话虚拟现实影音娱乐体验速率更快 4G x 100连接数密度更高 4G x 10空口时延更低 4G x 1/5Source: Recommendation ITU-R M.2083-0 (2015.9 )业务需求视角下的5G安全1 万物互联的应用场景--安全风险可能影响国家和社会多个领域智能家居 车联网 智慧城市工业物联网2 多样化的终端形态与接入技术--终端形态与多接入提出新的安全要求无人值守的物联网终端3 新技术的驱动--IT技术引入移动网络，产生新问题移动边缘计算技术网络切片技术车载终端 云端机器人多种接入技术并存组网结构视角下的5G安全Internet外部 DN切片 租户DDoS攻击 设备漏洞 数据窃取MECMEC用户/设备无线漏洞 信令风暴 恶意流量信令攻击 数据篡改HTTPHTTP5G核心网运营商B互操作风险虚拟化漏洞内部风险远程访问 恶意篡改 隐私泄露 DDoS攻击目标系统网管、4A…通用化硬件平台攻击路径攻防能力视角下的5G安全攻击手段计算能力信任关系网络日益复杂带来新的漏洞对已有算法破解能力在提升开放互联降低了整体信任程度更好的机密性抗量子，更长的密钥？更适合各种业务场景的算法？AES SNOW 3G ZUC…更安全的算法AES SNOW 3G ZUC2013年我国启动研究，2018年3GPP发布第一版，2020年我国商用对称算法密钥长度延长至256比特的必 要性（在研）轻量级密码算法（二阶段）2008年发布标准第一版，2009年首次部署，2013年我国颁发牌照2001年，AES发布，次年成为标准密钥长度128比特2011年，ZUC成为标准算法2011年，专用领域的商用量子计算机出现1998年启动研究，2001年首次部 署，2009年我国颁发牌照1995年发明，密钥长度128比特2005年，算法理论破解2010年，破解效率进一步提升后期引入SNOW 3G算法KASUMI更安全的算法更长的密钥1989年启动研究，1991年首次部 署，1992年我国建设组网1987年发明，密钥长度64比特1999年，算法泄露2016年，3块GPU，9秒破解A5算法A5更好的完整性信令面数据面算法消息长度无(伪基站攻击)无无无KASUMI, SNOW 3G强制要求无32bitsSNOW 3G, AES, ZUC强制要求部分要求32bitsSNOW 3G, AES, ZUCSNOW 3G, AES, AUC, TBD强制要求建议要求32bitsPhase 164/128bits TBDPhase 2强制要求建议要求更好的隐私保护2/3/4G网络2/3/4G网络 面临空口用户 隐私被伪基站窃 取的威胁IMSI拜访网络归属网络认证向量等伪基站5G网络5G网络通过用户身份SUPI加密，提升 隐私保护SUCI拜访网络归属网络认证向量等归属网络公钥伪基站更好的伪基站防护Prevention（事前）：防止空闲态终端接入到伪基站基站对广播消息签名 ? 终端验证签名，判断基站真伪Detection（事后）：判断空闲态终端是否接入到伪基站终端恢复到连接态 ? 上传空闲态下接入的基站信息 ?核心网判断空闲态下接入基站的真伪虚假广播消息空闲状态的终端更好的网间安全封闭环境/专有协议封闭环境/专有协议无安全保护运营商B运营商A100860010086自发的安全保护信令防火墙异常行为分析协议IP化协议IP化保 护 措 施国际关口局运营商B运营商A标准的安全保护标准安全网关SEPP标准安全通道TLS/(HTTP+JOSE)需建立全球性的安全基础设施网络IT化、切片化网络IT化、切片化运营商B运营商A更多的认证类型首次认证切片认证网络切片Internet二次认证5G网络首次认证用于UE接入运营商网络使用3GPP认证凭证UE-AMF-AUSF-UDM认证机制5G AKAEAP-AKA’切片认证二次认证用于UE接入切片使用其他的认证凭证UE-Slice(still in progress)认证机制仍在研究中用于UE接入其他数据网络使用3GPP认证凭证UE-SMF-DN-AAA认证机制EAP认证更细粒度的信任模型UDMAUSFSEAFCUAMFDUUSIMMEARPF认证服务用户签约数据库无线网络移动性管理安全硬件（卡） 终端非漫游场景漫游场景UDMSEPPSEAFDUAMFSEPPCUAUSFUSIMMEARPF网络边界保护更复杂的终端安全态势eMBB5G终端的演进视频 娱乐 穿戴 导航