网络传输的安全与传输的信息内容有密切的关系。信息内容的安全即信息安全,包括信息的保密性、真实性和完整性。
要使网络能正常地实现资源共享功能,首先要保证网络的硬件、软件能正常运行,然后要保证数据信息交换的安全。从前面两节可以看到,由于资源共享的滥用,导致了网络的安全问题。因此网络安全的技术途径就是要实行有限制的共享。
其中的信息安全需求,是指通信网络给人们提供信息查询、网络服务时,保证服务对象的信息不受监听、窃取和篡改等威胁,以满足人们最基本的安全需要(如隐秘性、可用性等)。网络安全侧重于网络传输的安全,信息安全侧重于信息自身的安全,可见,这与其所保护的对象有关。
①应能唯一地标识用户。
②冒充合法用户是困难的。
③信令、传输数据和身份等信息应是保密的。
④双向认证。
⑤机密性。
⑥用户身份的匿名性。
⑦不可否认性。
⑧完整性。
⑨新鲜性。
⑩公平性。
端到端保密。
合法的监视。
在专业通信系统中,一般需要通信系统含有调度功能,一般要求调度台具有认证、通信机密性、通信完整性功能。
随着新技术的发展,移动通信系统将面临更多的安全风险,其安全要求也更加苛刻。
1.新技术驱动的安全需求
增强移动宽带。由于传播速率的提升,需要计算机有更高的安全处处理性能;需要对外部网络进行二次认证;还要解决当前所发现的漏洞问题。才能保障5G安全。
2.垂直行业服务驱动的安全需求
1.4G系统实现时的安全风险
4G系统在设计时就充分考虑到了移动通信网络的安全需求,采用的认证和密钥协商(AuthenticationandKey
2.5G系统实现时的安全风险
5G标准安全方面,在空口安全和传输安全上继承了4G的安全机制,并做了增强,其安全性相较于4G有所提升。另外,相较于4G系统,5G系统在网络架构上有很大的变化,引入了网络功能虚拟化、网络切片等功能,针对不同的服务提供不同的网络资源。因此也对配套的安全功能的实现提出了挑战。下述功能在实现时如果出现缺陷,则可能带来安全风险。
针对前文所述的安全风险,业界给出了一些移动通信网络安全的检测和防护方案。值得注意的是,这里并没有一个全能的安全检测方案,也并不是每一类问题都可以完美地防护。比如一些4G协议中的缺陷(例如LTE用户面数据缺乏完整性保护)只能在5G系统设计时亡羊补牢,进而避免未来5G系统出现同样的缺陷。协议设计时出现的问题只有大部分设备采用新的协议时才能从根本上解决。不过尽管如此,在终端对协议进行实现的时候仍有可能通过一些技巧规避可能发生的安全风险。
1.移动通信网络隐私泄露防护方案
另外,在用户设备实现协议时,也可以避免在未加密的信道上传输IMSI等身份信息。然而,需要注意的是,这并不是用户设备单方面就能够实现的。因为通过空口AKA协议建立加密信道时就需要用户将自己的身份信息发送给基站,而如果已经有了一个安全信道,就不需要再进行AKA了。也就是说,此种方式的实现已经与标准中规定的实现方式不同了,类似于终端和运营商之间采用了另一种不同于标准的私有协议。
2.LTE伪基站防护方案
3.物理安全防护方案
4.终端设备安全防护方案
终端安全是影响信息系统安全的根源。从攻击者的角度来看,无论发起多么复杂的攻击,在网络中经历多少环节,采用多少高级技术,这些攻击动作必须通过某一个或多个终端才能完成。终端正是大多数安全事件发生过程的跳板、目标或者发生地。
由于LTE标准早已制定完成,对于其中一些协议层面可能存在的缺陷目前无法修改,但底层的协议缺陷仍有可能通过上层的安全机制进行弥补。
在LTE链路层中,对用户面数据不进行完整性保护,并且由于其采用流密码进行加密,导致对于一些已知结构的数据包,攻击者可以重新构造其密文内容,修改数据包中特定位置的内容(如头部的IP地址、TTL、分段标识等)完成重定向攻击。
6.5G数据机密性和完整性防护方案
同样,5G数据的完整性也利用这一机制,通过发送方协商使用某一算法,确保5G数据的完整性,密钥依旧由AKA协商导出。
由于以太网具备高带宽、高性价比以及使用普遍性等优势,并且目前也提供针对车用的各种专用版本,因而以太网正被日益广泛地部署到车载网络中。虽然以太网在IT中的主要使用案例是即插即用的动态网络,但车载网络一般是静态的,因此可实现精心的网络设计和配置,从而进一步保障网络安全。
开放联盟一直与IEEE密切合作,以推动进一步的创新与标准发展。兼容BroadR-Reach规范的IEEE标准将被最终定为IEEE100BASE-T1,新一代IEEE1000BASE-T1技术预计将在2016年年初发布。
据分析机构StrategyAnalytics的数据显示:像单对线车载以太网等基于标准的解决方案不仅可加速上市进程,而且还能确保可用性、生命周期、可升级性以及可互操作性。该公司预计,到2020年,汽车中将部署多达5亿个以太网端口。
诸多世界领先的汽车制造商已将车载以太网技术作为其众多车型连接解决方案的首选,这其中包括宝马、捷豹和大众等。行业的标准化有望将该技术进一步推广应用于更广泛的汽车领域,如中端车型和经济车型等。
百度安全与信长城联合申报的基于国密算法的车联网/C-V2X通信安全基础设施应用(又称“V2XPKI系统建设方案”),其核心虽依托于公钥密码的理论与技术,但在数字证书的实现上有别于传统的X509证书,采用的是匹配V2X特征后优化的证书,在运维管理、业务运营等功能上需要多个运营主体的协同,所以它不仅仅是一个简单的PKI(PublicKeyInfrastructure,公钥基础设施)系统建设,而是基于V2X环境融合了安全策略、运维管理、业务运营、标准规范、法律法规等一整套完善的基础设施应用。其中,结合了信长城所具有的高速密码运算服务优势,得以实现全网维度下的V2XPKI安全认证业务共同运营,并在带宽资源有限的情况下,可靠性不受影响。
联系人:朱云尧(zhuyunyao@caeri.com.cn)
通用技术中国汽研政研中心,围绕汽车电动化、智能化、网联化和新服务,组织开展汽车政策法规、前沿技术、产业地图、企业战略、商业模式等跟踪、解读和研究工作。