5G與物聯(lián)網(wǎng)的安全應(yīng)具體表現(xiàn)在四個(gè)方面
在日前舉行的C3安全峰會(huì)的5G與網(wǎng)絡(luò)安全論壇上,中國(guó)移動(dòng)研究院安全所主任研究員粟栗認(rèn)為,5G物聯(lián)網(wǎng)安全應(yīng)表現(xiàn)在四個(gè)方面,第一是更全面的數(shù)據(jù)安全保護(hù),包括用戶的機(jī)密性保護(hù),也包括數(shù)據(jù)的完整性保護(hù)。
在機(jī)密性保護(hù)上,5G仍然沿用4G的算法,但隨著量子通信的出現(xiàn),這些算法安全性正在降低,目前業(yè)界正在推動(dòng)128位算法向256位進(jìn)行演變。同時(shí),在認(rèn)證方面,將原來(lái)的EAP-AKA換成了5G-AKA。在5G-AKA上還兼容第三方垂直行業(yè)的認(rèn)證方式。
在用戶隱私保護(hù)上,用戶SUPI用公鑰密碼的方式進(jìn)行保護(hù)。其有兩個(gè)好處:一,口空進(jìn)行數(shù)據(jù)傳輸時(shí)用戶永遠(yuǎn)不以明文方式出現(xiàn)在空口上,即使有攻擊者截獲這個(gè)數(shù)據(jù)也解不開(kāi);二,在每次使用時(shí),用戶每次開(kāi)機(jī)需要把數(shù)據(jù)發(fā)上去進(jìn)行加密,每次加密不一樣,這樣可以不對(duì)用戶進(jìn)行緊密跟蹤。還有網(wǎng)間信息保護(hù),使用TLS在靈活的配置下,需要哪一個(gè)字段加密哪一個(gè)字段,這樣保證兼容性的同時(shí)提高安全性。
第二是終端安全。實(shí)際上,物聯(lián)網(wǎng)設(shè)備本身就是一個(gè)安全的體系,可以劃分為硬件層、固件層和應(yīng)用層,每層都存在安全問(wèn)題。目前,中國(guó)移動(dòng)已經(jīng)發(fā)布了物聯(lián)網(wǎng)終端安全指南,同時(shí)發(fā)布了安全測(cè)評(píng)白皮書(shū),希望推動(dòng)行業(yè)上下游重視物流終端安全,讓大家把測(cè)評(píng)的基線建立起來(lái)。
第三是運(yùn)營(yíng)安全,首先是終端的安全運(yùn)維。物聯(lián)網(wǎng)終端的特性是無(wú)人值守,容易被攻擊;控制之后形成的影響面也非常大。而運(yùn)營(yíng)商在終端安全上有天然優(yōu)勢(shì)。由于所有的物聯(lián)網(wǎng)設(shè)備都需要經(jīng)過(guò)核心網(wǎng),把檢測(cè)掃描設(shè)備部署在核心網(wǎng)就能夠檢測(cè)接入的物聯(lián)網(wǎng)設(shè)備,并且把掃描結(jié)果告知進(jìn)行相應(yīng)的安全修補(bǔ)或者彌補(bǔ)。
粟栗以僵尸網(wǎng)絡(luò)舉例,中國(guó)移動(dòng)基于AI分析它訪問(wèn)的域名是否具備DGA的特征,是否由隨機(jī)的字符組成,在大量的數(shù)據(jù)里進(jìn)行嘗試,并提取出有區(qū)分度的點(diǎn),比如說(shuō)域名熵,輔音,長(zhǎng)度特征等等。
最后,運(yùn)營(yíng)商需要將自己的安全能力進(jìn)行開(kāi)放。譬如,認(rèn)證機(jī)制的開(kāi)放,網(wǎng)絡(luò)自身安全管控方面的開(kāi)放等,這樣將有助于提升物聯(lián)網(wǎng)安全性。