5G网络共建共享安全
 |
5G网络共建共享安全中国电信股份有限公司研究院是中国电信集团公司为适应集团发展和需要而组建的重要科研机构,主要研究电信技术发展趋势与战略、技术发展政策、网络、技术与业务发展规划、技术体制和标准,负责新技术和新设备入网测试评估,进行决策软科学研究和发展研究,网络管理和业务管理等支撑系统的开发,应用软件研究与系统集成,开发电信新业务和增值业务等,为集团公司和各省子公司提供决策支撑、技术支撑、信息支撑。
中国电信股份有限公司研究院以机制创新、技术创新和管理创新为手段,坚持人才至上、以人为本原则,实施人性化管理,力争短期内在电信运营领域成为国际上比较知名、国内有重要影响力的研发机构。
目录
案例概述
为响应网络强国战略的实施和推进电信基础设施共建共享指导意见的要求,中国电信和中国联通开展了全球最大规模的5G网络共建共享的探索和实践,支撑了5G网络建设的快速发展,促进行业降本增效。另一方面,共建共享使得网络体系由单一管理转向开放共享,组网方式、业务路由、运营模式都发生了巨大变化,安全问题是开展共建共享的亟需解决的首要问题。为此,中国电信、中国联通联合华为公司从共建共享网络安全架构、安全运营体系、云化核心网动态安全防护等方面开展了技术攻关,研发了系列创新成果,并应用于双方共建共享网络安全建设,有力支撑了全球最大规模的5G共建共享网络的建设、为双方5G业务快速发展奠定了坚实基础。
案例突破性
1、业界率先提出适用于MOCN网络共享模式,面向国内运营商组网特点及运营需求的5G共建共享网络安全架构,构建了安全可控、精准防护的5G关键基础设施保障体系。
2、业界首次提出面向共建共享网管系统开放能力的安全防护方案,面向5G网络构建全面的安全运营体系,为5G共建共享网络业务正常稳定运行保驾护航。
3、率先采用基于虚拟资源的安全资源和策略动态调配技术,为云化核心网提供动态安全防护,增强对共建共享接入及云化网络动态性、不可控性的防护。
技术要点
1、业界率先提出适用于MOCN网络共享模式,面向国内运营商组网特点及运营需求的5G共建共享网络安全[1]架构,构建了安全可控、精准防护的5G关键基础设施保障体系。
首次基于5G MOCN网络共享架构打造安全防御能力,实现多运营商共享组网下回传网络的精细化安全防护
构建非服务化接口安全防护机制,实现N2、N3、Xn/X2等关键回传接口的机密性、完整性和抗重放保护;构建运营商间的安全策略协同机制,实现多运营商用户空口信令数据的按需安全防护;构建策略验证机制,实现基于签约业务需求的用户面分级保护,针对高安全需求业务按需开启接入透明保护模式,保障终端到核心网的安全直达。
创新提出网元能力全量共享下5G基站的安全增强方案,实现多运营商用户的安全接入
国内首次提出基站多运营商PKI认证方案,实现共享基站与多运营商网元间的双向认证,增强了回传网络的可信度;创新提出基站软硬件资源动态共享下的安全隔离方案,实现多运营商敏感数据的安全存储与防窃取;构建“分层递进”的无线网安全基线,确保5G基站具备灵活、开放的场景适配安全能力。
构建运营商间承载网多层级互联互通的安全管控能力,实现多运营商端到端业务的灵活放通与动态管控
基于5G端到端业务特征和运营商角色区分,构建承载网接入与互通关键节点的多层管控机制,强化路由访问安全;引入“FlexE+VPN+QoS”等软硬切片叠加的承载网对接方案,实现动态承载安全需求差异化的多运营商5G业务。
2、业界首次提出面向共建共享网管系统开放能力的安全防护方案,面向5G网络[2]构建全面的安全运营体系,为5G共建共享网络业务正常稳定运行保驾护航。
创新重构共享环境下安全域隔离、访问控制、反拉终端安全策略,解决共享设备带来新增安全风险的顾虑和痛点
针对5G网络共建共享网络管理系统能力开放的场景,首次应用双防火墙对接、共享基站割接至独立的新网管平台等措施,同时通过严格的访问控制、传输和数据安全策略,以及首次提出的共享反拉终端安全加固、认证、非法外联监控和安全日志共享等一系列安全防护手段,为共建共享无线网管和基站构建独立的安全域,在安全可控状态下实现正常共享网络业务,有效降低了共享网络的安全风险。
基础信息全面采集,通过数据关联分析,从全局视角整体洞悉安全风险
通过全面采集5G核心网网元、网管系统、云基础设施和网络设备的资产、配置、账号、端口和进程等基础信息,实现对不同安全风险的专项分析和关联分析,形成全面的安全运营风险感知能力。
首次提出基于情境的安全策略动态适配技术及自动决策编排机制,实现安全检测、分析和响应的快速协同,有效提升安全防护精度和效率
面向安全能力调度场景,创新提出基于欧式向量空间模型的安全策略自动决策算法,根据威胁情报以及防护资产属性的关联测度,快速、准确地将针对性的安全策略自动下发应用于相关安全资源,实现随需而变的敏捷安全处置能力;提出“全局决策、分布式执行,安全策略自动统分优化计算”的安全策略协同控制方法,实现分布式安全组件防护策略的统一、协同联动。
创新实践共建共享双方安全运营管理流程对接,首次实现跨运营商安全运营管理机制,为5G共建共享网络安全运营的自动化和智慧化提供基础
3、率先采用基于虚拟资源的安全资源和策略动态调配技术,为云化核心网提供动态安全防护,增强对共建共享接入及云化网络动态性、不可控性的防护。
创新采用虚拟网关增强对共享基站接入的安全管控,实现对虚拟化网元的动态安全防护
针对虚拟网元AMF动态部署的特性,采用虚拟网关进行防护,通过安全策略配置系统将虚拟化网元的安全策略拆分到虚拟网卡,实现虚拟化网元对Hypervisor模式VSG安全策略的配置,增强对共享基站接入的安全管控。
创新提出动态切片调度技术,实现对拒绝服务攻击的缓解
基于多源DDoS攻击检测分析,结合受攻击资源/服务鉴别,采用差异化流量迁移策略,实时按需创建模拟受攻击资源特征的伪切片和满足当前业务需求的替代切片,分别将恶意流量迁移至伪切片、正常业务流量迁移至替代切片,大大减轻DDoS攻击带来的危害。
4、5G共建共享安全创新成果支撑了全球最大规模的5G共建共享网络的建设、为双方5G业务快速发展奠定了坚实基础
中国电信和中国联通以共建共享的方式建设5G网络,破解了包括共建共享安全技术在内的多项技术难题,实现了建设规模突破,截至2020年底,中国电信和中国联通共建共享5G基站超33万,初步打造了一张高品质的5G精品网,为支撑我国网络强国战略的推进、以及行业降本增效,推动绿色经济新发展做了出重要贡献。
参考文献
- ↑ 什么是网络安全,常用的安全措施有那些 ,搜狐,2022-08-26
- ↑ 全面解读5G网络 2分钟给大家科普5G知识!,搜狐,2020-01-15