5G網絡共建共享安全
5G網絡共建共享安全中國電信股份有限公司研究院是中國電信集團公司為適應集團發展和需要而組建的重要科研機構,主要研究電信技術發展趨勢與戰略、技術發展政策、網絡、技術與業務發展規劃、技術體制和標準,負責新技術和新設備入網測試評估,進行決策軟科學研究和發展研究,網絡管理和業務管理等支撐系統的開發,應用軟件研究與系統集成,開發電信新業務和增值業務等,為集團公司和各省子公司提供決策支撐、技術支撐、信息支撐。
中國電信股份有限公司研究院以機制創新、技術創新和管理創新為手段,堅持人才至上、以人為本原則,實施人性化管理,力爭短期內在電信運營領域成為國際上比較知名、國內有重要影響力的研發機構。
目錄
案例概述
為響應網絡強國戰略的實施和推進電信基礎設施共建共享指導意見的要求,中國電信和中國聯通開展了全球最大規模的5G網絡共建共享的探索和實踐,支撐了5G網絡建設的快速發展,促進行業降本增效。另一方面,共建共享使得網絡體系由單一管理轉向開放共享,組網方式、業務路由、運營模式都發生了巨大變化,安全問題是開展共建共享的亟需解決的首要問題。為此,中國電信、中國聯通聯合華為公司從共建共享網絡安全架構、安全運營體系、雲化核心網動態安全防護等方面開展了技術攻關,研發了系列創新成果,並應用於雙方共建共享網絡安全建設,有力支撐了全球最大規模的5G共建共享網絡的建設、為雙方5G業務快速發展奠定了堅實基礎。
案例突破性
1、業界率先提出適用於MOCN網絡共享模式,面向國內運營商組網特點及運營需求的5G共建共享網絡安全架構,構建了安全可控、精準防護的5G關鍵基礎設施保障體系。
2、業界首次提出面向共建共享網管系統開放能力的安全防護方案,面向5G網絡構建全面的安全運營體系,為5G共建共享網絡業務正常穩定運行保駕護航。
3、率先採用基於虛擬資源的安全資源和策略動態調配技術,為雲化核心網提供動態安全防護,增強對共建共享接入及雲化網絡動態性、不可控性的防護。
技術要點
1、業界率先提出適用於MOCN網絡共享模式,面向國內運營商組網特點及運營需求的5G共建共享網絡安全[1]架構,構建了安全可控、精準防護的5G關鍵基礎設施保障體系。
首次基於5G MOCN網絡共享架構打造安全防禦能力,實現多運營商共享組網下回傳網絡的精細化安全防護
構建非服務化接口安全防護機制,實現N2、N3、Xn/X2等關鍵回傳接口的機密性、完整性和抗重放保護;構建運營商間的安全策略協同機制,實現多運營商用戶空口信令數據的按需安全防護;構建策略驗證機制,實現基於簽約業務需求的用戶面分級保護,針對高安全需求業務按需開啟接入透明保護模式,保障終端到核心網的安全直達。
創新提出網元能力全量共享下5G基站的安全增強方案,實現多運營商用戶的安全接入
國內首次提出基站多運營商PKI認證方案,實現共享基站與多運營商網元間的雙向認證,增強了回傳網絡的可信度;創新提出基站軟硬件資源動態共享下的安全隔離方案,實現多運營商敏感數據的安全存儲與防竊取;構建「分層遞進」的無線網安全基線,確保5G基站具備靈活、開放的場景適配安全能力。
構建運營商間承載網多層級互聯互通的安全管控能力,實現多運營商端到端業務的靈活放通與動態管控
基於5G端到端業務特徵和運營商角色區分,構建承載網接入與互通關鍵節點的多層管控機制,強化路由訪問安全;引入「FlexE+VPN+QoS」等軟硬切片疊加的承載網對接方案,實現動態承載安全需求差異化的多運營商5G業務。
2、業界首次提出面向共建共享網管系統開放能力的安全防護方案,面向5G網絡[2]構建全面的安全運營體系,為5G共建共享網絡業務正常穩定運行保駕護航。
創新重構共享環境下安全域隔離、訪問控制、反拉終端安全策略,解決共享設備帶來新增安全風險的顧慮和痛點
針對5G網絡共建共享網絡管理系統能力開放的場景,首次應用雙防火牆對接、共享基站割接至獨立的新網管平台等措施,同時通過嚴格的訪問控制、傳輸和數據安全策略,以及首次提出的共享反拉終端安全加固、認證、非法外聯監控和安全日誌共享等一系列安全防護手段,為共建共享無線網管和基站構建獨立的安全域,在安全可控狀態下實現正常共享網絡業務,有效降低了共享網絡的安全風險。
基礎信息全面採集,通過數據關聯分析,從全局視角整體洞悉安全風險
通過全面採集5G核心網網元、網管系統、雲基礎設施和網絡設備的資產、配置、賬號、端口和進程等基礎信息,實現對不同安全風險的專項分析和關聯分析,形成全面的安全運營風險感知能力。
首次提出基於情境的安全策略動態適配技術及自動決策編排機制,實現安全檢測、分析和響應的快速協同,有效提升安全防護精度和效率
面向安全能力調度場景,創新提出基於歐式向量空間模型的安全策略自動決策算法,根據威脅情報以及防護資產屬性的關聯測度,快速、準確地將針對性的安全策略自動下發應用於相關安全資源,實現隨需而變的敏捷安全處置能力;提出「全局決策、分布式執行,安全策略自動統分優化計算」的安全策略協同控制方法,實現分布式安全組件防護策略的統一、協同聯動。
創新實踐共建共享雙方安全運營管理流程對接,首次實現跨運營商安全運營管理機制,為5G共建共享網絡安全運營的自動化和智慧化提供基礎
3、率先採用基於虛擬資源的安全資源和策略動態調配技術,為雲化核心網提供動態安全防護,增強對共建共享接入及雲化網絡動態性、不可控性的防護。
創新採用虛擬網關增強對共享基站接入的安全管控,實現對虛擬化網元的動態安全防護
針對虛擬網元AMF動態部署的特性,採用虛擬網關進行防護,通過安全策略配置系統將虛擬化網元的安全策略拆分到虛擬網卡,實現虛擬化網元對Hypervisor模式VSG安全策略的配置,增強對共享基站接入的安全管控。
創新提出動態切片調度技術,實現對拒絕服務攻擊的緩解
基於多源DDoS攻擊檢測分析,結合受攻擊資源/服務鑑別,採用差異化流量遷移策略,實時按需創建模擬受攻擊資源特徵的偽切片和滿足當前業務需求的替代切片,分別將惡意流量遷移至偽切片、正常業務流量遷移至替代切片,大大減輕DDoS攻擊帶來的危害。
4、5G共建共享安全創新成果支撐了全球最大規模的5G共建共享網絡的建設、為雙方5G業務快速發展奠定了堅實基礎
中國電信和中國聯通以共建共享的方式建設5G網絡,破解了包括共建共享安全技術在內的多項技術難題,實現了建設規模突破,截至2020年底,中國電信和中國聯通共建共享5G基站超33萬,初步打造了一張高品質的5G精品網,為支撐我國網絡強國戰略的推進、以及行業降本增效,推動綠色經濟新發展做了出重要貢獻。
參考文獻
- ↑ 什麼是網絡安全,常用的安全措施有那些 ,搜狐,2022-08-26
- ↑ 全面解讀5G網絡 2分鐘給大家科普5G知識!,搜狐,2020-01-15