“现女友”请转告韩商言,这场大赛要这么打
划重点
网络虚拟化的“安全双刃剑”
网络更加灵活
VS
操作系统被重点攻击
与3G、4G不同,5G网络天然互联网化,虚拟化是5G很重要的技术特征之一。
邬贺铨表示,采用网络切片、软件定义网络(SDN)、网络功能虚拟化(NFV)等技术后,5G的峰值速率将提高30倍、用户体验数据率提升10倍、频谱效率提升3倍,移动性可以做到500公里/小时,无线接口延时减少90%,连接密度可以高达1平方公里100万个物联网模块联网,能量和密度都提高了100倍。也正因如此,增强移动宽带、高可靠、低时延、广覆盖、大连接……成为大家耳熟能详的5G特征。
但同时从安全层面来看,网络虚拟化也带来不少挑战。传统的路由器、交换机都是专用硬件和专用软件耦合,网络架构简单,优点是相对安全,但缺点是比较“傻”,而网络虚拟化(NFV)将软件和硬件解耦,用统一的硬件、不一样的软件来定义网络能力,网络更加灵活。但缺点是由于硬件“白盒化”,跟过去电信专用设备相比,更容易遭受攻击。
同时,由于网络功能选择依靠智能管理系统,操作系统遭遇攻击的风险系数加倍增加,由此造成的影响和后果也更危险。
此外,SDN在将转发层、控制层和应用层隔离之后,对数据传输路径实现了集中式控制,通过大数据、人工智能分析优化后,规划全局路由。也就是说,传统方式下,人们手机连网时,都是寻找最近的路由,但可能这个路由器是被控制的“潜在隐患”,但在5G网络中,当人们打开一个数据包的整个过程,早在一开始就已经被规划好了,这样传输过程便绕开了有安全风险的路由,这种专用信道机制本身就具有安全特性。
同样的问题是,SDN使网络操作系统仍然是被攻击的重点,而且通过整个大网来集中选择数据包的路径,对算法有较高要求,网络稳定性也因此比较容易受到影响。
网络切片则更是5G的独门武器,无论你在高铁上还是办公室,无论是高清视频下载还是物联网中几十KB的需求,5G都可以通过网络云平台切割成不同的虚拟通道。
邬贺铨认为,对安全而言,网络切片的好处在于可以隔离不同的网络业务,不会因局部故障影响整体,但另一方面,切片依赖于网络资源和业务类型以及流量,运营商要精准地把握,不然无法组织好跟业务对应的切片。
边缘计算的安全双刃剑
高清视频时延毫秒级
VS
分布式内容管理风险
5G的出现带火了边缘计算。很多设想中的5G应用,只有基于边缘计算才有实现的可能。
以VR/AR为例,如果每次动作请求都要走过漫长的距离到运营商的云端中心,很难实现端到端毫秒级的时延,因此必须把云计算的能力“寄存”到离用户数公里左右的边缘计算节点,从而使用户需求得到实时响应,经过测算,边缘云计算的成本只有原来单机云成本的39%。
边缘计算对于安全的双刃剑表现为:一方面,因为它不需要在地面网络上远距离的传输,所以一定意义上减少了网络不稳定对它的影响,同时减少了敏感数据泄露的风险;另一方面,因为不是集中式计算,边缘计算没有特别强的防护能力,本身就容易受到攻击;此外,从内容监管方面来看,原来是集中式管理内容监管,边缘计算则是分散式内容监管,企业需要对此重新适应并制定规则,不然会面临管理上的挑战。
开放式网络体系的“安全双刃剑”
应用开发更开放
VS
外部攻击可能性更高
什么是5G杀手应用?这个永恒的问题越来越像一个“伪命题”。回顾3G、4G时代,在这些移动通信时代的初始阶段,人们也根本不知道手机能做什么,“3G刚开始的时候,我们没有智能手机,没有微信,4G刚起来的时候还不知道微信能够实现移动支付和视频的传输,现在4G能力升级了,我们才知道有短视频。”邬贺铨认为。
移动通信的业务能力都是网络具备、能力具备以后才有的,因此未来5G最热的应用是什么,现在谁也说不上来。
对于开发者而言,如何应对这种不确定性?邬贺铨分析,5G未来业务的生成很可能是类似App,大家各自开发基本业务单元,然后通过组合形成一定功能的App,这个App既可以是运营商开发,也可以第三方的网络公司开发,甚至是网民开发。他认为,通过这种开放的业务能力,能使5G更能适应未来新业务的开发。
此外,5G之前的移动通信时代,各种通信协议是封闭的,但5G采用的是互联网协议,这样互联网已有的很多应用可以直接移植到5G上,这也是5G时代的“红利”之一。
然而,尽管开放性的业务生成、开放的5G互联网协议带来了业务发展灵活性,但依然付出了安全代价。过去,移动通信协议专用化,整个移动网络业务生成封闭式,人们很少听说运营商网络遭遇网络攻击,但全面互联网化后增加了5G被外部攻击的可能性,而业务能力开放的平台使第三方可以通过获得的网络操控能力对网络发起攻击,从而增加了安全监管责任主体的划分难度和业务数据泄漏的风险。
因此,邬贺铨建议,当5G系统要对外开放业务时,要对开放业务的门户进行验证,对于承载的第三方App,也要实施安全验证。
广连接的“安全双刃剑”
每片叶子都联网了
VS
触发信令风暴
广连接是5G的重要特征之一,从5G标准的要求来看,需要做到1平方公里100万个互联网设备联网,传播时延不超过10秒,丢包率不超过百分之一,最常用的形容是,每片叶子也可能被联网。
但广连接风险在于,物联网终端数量较多,且永远在线,容易被劫持,数据易被窃取,或被木马入侵后成为DDOS攻击的跳板。
更可怕的是“信令风暴”。所谓“信令风暴”是指当网络运营商收到大量小规模频繁的“心跳数据包”时,会因为终端信令请求超过网络各项信令资源的处理能力而造成网络瘫痪。此前微信刚出现时,便有电信运营商担心其会引发“信令风暴”,因为在日本,类似功能的一款免费语音通信App便曾将让NTT Docomo发生过长达四小时的网络故障。
5G时代,如果每个物联网模块上网都要单独验证的话,每平方公里100万个上网请求可能就会超过网络处理能力,会触发信令风暴,因此5G的物联网需要有群组验证机制。
车联网是5G时代最可能普及的应用之一,在设想中,通过传感器可以实现车到车、车到云、车等红绿灯、车到停车场等多方面通信连接,但车联网涉及更多安全挑战,尤其是时延性上,车到车(v2v)的通信需要快速相互验证,但如果加密安全措施太复杂,时延很难保证。
因此,邬贺铨建议,在整个加密协议上进行新的考虑,采用轻量化的安全机制和简单而不是高强度的加密协议,简化原有的安全上下文管理流程,支持边缘计算和隐私数据的保护。
工业应用中的“安全双刃剑”
为工业互联网而生
VS
被“黑”后果更严重
对于工业互联网而言,5G是根“救命稻草”。无论是工业4.0就还是产业数字化,最基本的要求是设备要数字化、数控车床要联网。光纤当然是最佳选择,但在一些老企业、老厂房,很难将光纤铺设进去,而现有的WiFi等无线技术因为扩展性、抗干扰能力差,在工业领域利用率仅6%,车间里的马达、电火花都可能对其产生干扰。
5G正是为工业互联网而设计的,如果工厂想自建一个5G专网,根据ETEI测算,大概需要76兆带宽,但需要向有关部门申请专用频率,更多企业可能会直接依靠运营商,采用运营商的5G网络,甚至把控制功能、网络能力、专网能力都交给运营商。
但这样做的风险是,与面向消费的应用相比,面向企业的应用一旦发生信息安全事件,影响更为严重,因此当企业用5G建网时要更多考虑安全。
SO...
如何在5G时代打好“安全牌”?
既然5G会给安全带来这么多风险,但为什么我们还要上5G?“因为安全的风险可以通过其他安全措施来解决。”邬贺铨提出,智能运维中心是5G中枢,是安全防御的重点,因此要在身份安全、通信安全、设备安全、计算安全、数据安全等方面做好安全防护,通过多重能力实现整个系统安全的任务。
当然,更重要的是将大数据、人工智能应用到网络安全上。比如说,人工智能可以对网络流量内外所包含的数据进行海量关联进行分析,从而发现异常流量,可以将企业的异常数据和外部的情报进行综合的分析,获得最准确的网络风险评估。
因此,邬贺铨建议,不仅企业本身要自身搞好安全,还要与企业上下游实现威胁情报互动,比如从集成商那里获得安全服务,从互联网安全企业得到安全支撑,从电信运营商得到网络整个流量异常的数据以及与政府共享社会安全数据。
通过这些措施,可以使威胁检测更加容易发现问题,使整个网络的运维更加智能,从而提高网络抵御威胁的能力,降低运维的成本。
最后,邬贺铨指出,5G的三大特性带来了业务的开放性、可靠性和敏捷性,同时也为5G向产业应用扩展奠定了基础,推动工业互联网发展,实现计算跟通信的融合,基于大数据、人工智能的网络运维减少了人为的差错,有利于提高网络的安全防御水平,但同时也要看到,产业互联网对网络安全的要求更高,网络虚拟化和软件定义的能力也引入了新的安全风险,因此,“我们需要正视5G带来的安全挑战,创新永远在路上!”
作者 / 郝俊慧
编辑/挨踢妹
图片/ 网络
来源/《IT时报》公众号vittimes