摘 要
5G 专网作为 5G 网络的一种重要部署方式,成为行业用户生产工作中重要的网络基础环境,5G 专网的广泛推广亟须解决数据安全的问题。以 5G 数据安全架构为基础,提出 5G 专网数据安全架构,并对数据在采集、传输、存储、处理、交换等过程中的几项关键技术进行了分析,为 5G 专网数据安全防护方案提供参考。
内容目录:
1 数据安全
1.1 定义
1.2 数据安全威胁及措施
1.3 数据安全保护
2 5G 数据安全
2.1 5G 数据安全需求及标准
2.2 5G 数据安全架构
3 5G 专网数据安全技术
3.1 面向行业用户的 3 种 5G 专网模式
3.2 5G 专网数据安全防护架构
3.3 5G 专网数据安全防护新技术
3.4 5G 专网安全防护技术
4 结 语
《数据安全法》的出台标志着数据安全建设及监管工作进入有法可循、有法可依的新时代。目前,《网络安全法》《数据安全法》《个人信息保护法》这“三驾马车”构成了我国数据安全领域完整的基础性法律体系,为国家、地方、行业、个人的数据安全保护提供了最重要的法律参考依据。
5G 作为新一代信息通信技术演进升级的重要方向,是未来物联网、智慧城市、智慧家庭、车联网等万物互联的基础。5G 时代为人们的生活提供了更丰富的服务类型 ,促进了一系列新兴产业的发展,为移动通信的发展提供了无限生机。5G 网络实现了万物互联,因此 5G 带来数据从数量、维度、内容等方面的爆发式增长。5G 专网是面向垂直行业的一种重要网络形态,数据量大且敏感,因此如何保证 5G 系统的数据安全是我们亟须解决的问题。
1、数据安全
1.1 定义
《数据安全法》对数据安全给出了明确的定义。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。数据的生命周期包括采集、传输、存储、处理、交换、销毁这 6个主要阶段。数据安全不仅要确保贯穿数据全生命周期内的安全,以及数据防护过程的安全,而且对安全合规监管也有更高的要求,包括确保数据的机密性、完整性、可用性不受破坏等。
1.2 数据安全威胁及措施
1.2.1 数据采集阶段
在数据采集阶段,存在注入恶意数据、篡改采集数据等风险。在数据采集阶段,需根据业务需求和相关标准要求做好数据的分类分级管理。首先保证数据采集平台的安全可信,同时对敏感数据进行信息加密保护,对采集行为进行日志记录和审计。
1.2.2 数据传输阶段
在数据传输阶段,主要存在数据泄露和数据篡改威胁。对于重要敏感数据,可以通过传输加密、数据完整性保护等措施保证数据传输阶段的安全。
1.2.3 数据存储阶段
随着数据规模的扩大,很多企业和用户将数据存储在第三方的云服务器上,即便自行存储也同样存在数据被非法窃取、篡改、损坏等安全问题。因此,需采用数据访问的身份认证和访问控制、数据备份和恢复、敏感数据加密存储等多种手段进行保护,并对存储数据的设备及基础设施做好访问控制、安全基线和风险评估。
1.2.4 数据处理阶段
目前数据处理通常在云计算平台中进行,由于云平台中各租户网络、存储、计算等资源是共享使用的,导致私有数据安全边界模糊,存在数据泄露、篡改等安全风险。因此需采用安全隔离、访问控制等多种技术手段实现云租户的边界安全,在数据访问和处理中坚持最小分配原则,合规使用者仅访问必要数据,除非获得授权,否则无权访问数据。
1.2.5 数据交换阶段
数据进行有序的共享和交换是发挥数据价值的关键一环,但是数据交换阶段存在非法截获数据、数据污染篡改等安全问题。在数据交换阶段,可以采用数据匿名化、多方安全计算、同态加密和个人隐私计算等保证数据交换过程中的安全。
1.2.6 数据销毁阶段
在数据销毁阶段,由于待销毁数据量大,可能存在数据销毁不彻底,数据被非法还原造成信息泄露等风险,特别是对于个人隐私等数据需要采用多次擦除等技术手段保证数据的销毁。
1.3 数据安全保护
数据安全保护应以制度为标,技术为本,在数据保护的基础上安全地利用数据,促进数据价值发挥。做好数据安全保护,信息系统的管理方和数据运营方可以从以下 6 个方面入手开展工作。
(1)识别重要核心数据资产,对数据进行分类分级的保护。
(2)分析重要核心数据面临的安全威胁,分析安全风险,确定数据安全保护策略。
(3)对数据所承载的信息系统,按照信息系统的保护需求,按照等级保护、分级保护等相关标准规范,为信息系统、关键基础设施等数据的承载支撑平台建立安全防护体系。
(4)构建数据安全技术体系,保证数据全生命周期的安全。
(5)建立完善的数据安全机构组织、制度流程和培训考核机制,建立健全管理手段。
(6)加强数据安全运营和实战演练。
2、5G 数据安全
5G 将大幅度推动物联网的发展,最终实现万物互联的目标。作为当前大数据线下数据主要来源的物理设备,在 5G 的推动下,能够采集的数据量更大,同时,随着车联网、可穿戴设备、智慧城市等项目的推进,采集的面会越来越广,数据量呈现爆发式增长的态势。同时,5G 网络是我国的关键基础设施,对于国家安全的重要性不言而喻,因此 5G 的数据安全问题亟须解决。
2.1 5G 数据安全需求及标准
我们可以从多个维度来分析 5G 的数据安全需求。从数据生命周期的角度,5G 数据安全是需要保障数据采集、传输、存储、处理、交换、销毁等全生命周期的安全。从业务的角度,需要保障增强移动宽带(Enhanced Mobile Broadband,eMBB)、海量机器类通信(Massive Machine Type Communication,mMTC)和高可靠低时延(Ultra Reliable Low-Latency Communications,uRLLC)3 大类 5G 业务的数据安全。从系统架构的角度,需要保障5G终端设备、5G接入网络、5G核心网、5G 边缘、应用系统的数据安全。面对复杂的 5G系统、丰富的 5G 应用,5G 数据安全的标准制定、安全体系设计尤为重要。
我国正积极制定 5G 数据安全专用标准体系,工信部发布的《电信和互联网行业数据安全标准体系建设指南》明确提出建设 5G 数据安全标准体系。中国通信标准化协会已发布和在研的与数据安全相关的标准包括 YD/T 3813—2020《基础电信企业数据分类分级方法》《5G 数据安全总体技术要求》《工业互联网数据安全分类分级指南》《物联网业务数据分类分级方法》《5G 数据安全评估规范》等。已发布的个人信息保护、全生命周期各环节等数据安全相关标准有 GB/T 35273—2020《信息安全技术 个人信息安全规范》、GB/T 39335—2020《信息安全技术 个人信息安全影响评估指南》、YD/T 3628—2019《5G 移动通信网安全技术要求》等。
2.2 5G 数据安全架构
中国通信协会在发布的《5G 数据安全防护白皮书》中提出了 5G 数据安全的防护体系。
该防护体系主要包括 5G 通用数据安全、5G基础设施安全、5G设备数据安全、无线数据安全、核心网数据安全、5G 业务数据安全 6 个方面。
(1)5G 通用数据安全主要实现数据采集、传输、存储、处理、共享和销毁的安全。
(2)5G 基础设施安全主要实现物理安全、云平台安全和网络安全,为 5G 网络提供安全的基础设施。
(3)5G 设备数据安全主要实现接入安全、通信安全、数据存储安全和其他数据安全。
(4)无线数据安全实现 5G 信令完整性保护、信令机密性保护和密钥保护。
(5)核心网数据安全包括边缘计算数据安全、网络功能虚拟化(Network Function Virtualization,NFV)/ 软 件 定 义 网 络(Software Define Network,SDN)数据安全和网络切片数据安全。
(6)5G 业务数据安全实现车联网、工业互联网等 5G 垂直行业数据安全。
3、5G 专网数据安全技术
3.1 面向行业用户的 3 种 5G 专网模式
面向行业用户的 5G 专网包括 3 种模式:虚拟专网(公网切片)、混合专网(专网切片)和独立物理专网。
3.1.1 虚拟专网
虚拟专网是基于 5G 公网,将公网资源进行按需分配,实现网络能力的灵活组合,采用切片等技术,在 5G 公网上虚拟出多个具备不同特性的逻辑子网络,为用户提供端到端的虚拟化网络资源,为行业应用提供定制化的无线专网能力。5G 虚拟专网部署如图 1 所示。
图 1 5G 虚拟专网部署
虚拟专网是一种低成本专网模式。对于电力、政务等业务分散、需实现广域覆盖的用户,虚拟专网是非常好的专网模式,可以利用公网覆盖实现全域覆盖和业务系统的部署,同时 5G虚拟专网能够对业务提供服务质量协议(Service Level Agreement,SLA)保障(速率、可靠性、时延、连接数等)。
3.1.2 混合专网
混合专网即专网切片,专网在局部区域共享公网的无线资源,将边缘计算(Mobile Edge Computing,MEC)/ 用 户 面 功 能(User Plane Function,UPF)下沉到行业用户的本地,采用独立的核心网或共享公网核心网,用户应用部署在用户本地边缘平台上,实现数据的本地卸载。5G 混合专网部署如图 2 所示。
图 2 5G 混合专网部署
混合专网适用于工厂、园区、医院、港口等垂直行业用户,需求为:能够提供局域连接、对数据的安全性要求较高、业务数据总流量大、对网络时延抖动控制要求高。5G 混合专网能够将网络能力、计算能力、存储能力、应用等在靠近客户的位置(即边缘计算节点)就近整合,提供高可靠性及低时延的网络服务能力,实现“用户数据不出场”。
3.1.3 独立物理专网
独立物理专网采用专有频段和专有基站、独立或共享核心网、所有网元均在用户本地部署,可在本地配置边缘云等服务。5G 独立物理专网部署如图 3 所示。
图 3 5G 独立物理专网部署
独立物理专网适用于应急部门、政府部门或大型企业等,这些用户对安全要求高,需建立专网基站实现局部区域覆盖。
3.2 5G 专网数据安全防护架构
从上述 3 种专网的部署结构可以看出,5G专网的数据安全防护架构可以参照 5G 数据安全防护架构建立。对于 5G 专网的行业用户,5G专网的数据安全需要考虑终端、5G 网络和行业应用的数据安全。
终端的数据安全需要解决专网终端平台的安全、数据采集和数据存储的安全。
5G 网络可以分为两种情况:第一种是采用运营商的核心网,通过 MEC/UPF 实现边缘节点的专网架构;第二种是自建专网核心网的 5G 专网。对于第一种情况,由于运营商的 5G 网络已经根据第三代合作伙伴计划(3rd GenerationPartnership Project,3GPP) 的 安 全 要 求, 实 现了终端的接入安全和通信信息保护,解决了 5G接入网和核心网的通信安全、传输安全,因此5G 核心网的网元、MEC/UPF 通常部署在云平台上,并采用较完善的云平台安全防护措施实现了核心网和 MEC/UPF 中用户数据的采集、存储、交换的安全。对于自建 5G 核心网的情况,应按照 3GPP 的安全要求,采用基础安全云平台,实现自建 5G 核心网的数据存储安全、数据传输处理安全。
行业应用的云端是行业用户数据存储、处理、交换的重要区域,首先需要解决行业应用基础平台的安全,可以综合采用数据加密存储、数据隔离防护、数据安全交换等多种安全防护手段,重点解决行业应用平台的数据交换安全、数据处理安全、数据存储安全。综上所述,5G专网数据安全防护架构如图 4 所示。
图 4 5G 专网数据安全防护架构
3.3 5G 专网数据安全防护新技术
数据安全需要新技术进行基础支撑,以下多项新技术将会对数据安全带来巨大影响。这些新技术覆盖数据安全生命周期各个阶段,具体如表 1 所示。
表 1 数据安全新技术
3.4 5G 专网安全防护技术
对于 5G 专网数据安全的防护,需要采用成熟技术和新技术相结合,实现终端、网络、边缘、应用的整体防护,本文将对以下几项安全防护技术进行探讨。
3.4.1 专网终端的可信安全技术5G
专网终端采用可信安全技术构建专网终端的可信安全架构,如图 5 所示,保证终端基础环境安全,从而确保数据采集、存储安全。终端可信安全架构以密码技术为基础,以可信密码模块为核心,实现终端的可信基本输入输出系统(Basic Input Output System,BIOS)、可信操作系统、可信运行环境和可信应用软件,由可信安全策略对终端进行策略控制及策略执行反馈、审计。
图 5 专网终端可信安全架构
3.4.2 数据匿名技术
在 5G 专网的数据采集和交换环节,通常需要对个人敏感信息进行采集,可以对个人敏感信息采用泛化、屏蔽、随机化等处理措施,实现非授权人员无法识别出与敏感信息对应的个人主体,以达到“匿名”效果,保护个人隐私。数据匿名技术主要包括 K- 匿名、L- 多样性、T- 近似性以及差分隐私 4 种。
(1)K- 匿名:除敏感数据外,对可以确定个人主体身份的数据项(如身份证号、手机号、地址等)采用屏蔽、泛化等处理措施,保证数据表中至少有K(K≥ 2)条记录具有相同的取值。
(2)L- 多样性:不仅保证处理后的数据表中至少包含 K 个相同记录,而且通过修改敏感属性或添加伪记录来保证处理后所得的任意等价组的敏感属性至少包含 L 个不同的值。
(3)T- 近似性:不仅保证形成的等价组至少包含 K 个记录,而且通过修改敏感属性或添加伪造记录,保证任意的等价组的敏感属性的分布与全局的敏感属性分布之间的距离度量值小于 T。
(4)差分隐私:在采集和交换数据时,在个人用户侧利用随机化算法等对采集到的个人敏感数据进行相应的处理,使得服务器无法获得个人用户的真实敏感信息,但服务器采集到足够多的加入噪声的数据后也能起到了解总体数据分布的业务需求。在交换数据前,利用随机化算法,进行集中批量处理。
可以看出,在隐私保护效果方面,差分隐私 >T- 近似性 >L- 多样性 >K- 匿名,而从性能和数据可用性来考虑则完全相反,因此实际使用过程中要结合具体场景进行灵活选择。
3.4.3 5G 专网中的同态加密技术
由于 5G 终端的处理能力有限,因此专网中的数据处理、数据存储通常是由云计算平台完成的,如果终端直接将数据交给云,则无法保证安全性,所以使用同态加密技术,让云来对加密后的数据进行处理,然后将处理结果返回终端。同态加密可以对加密后的数据进行处理,拥有密钥的用户对处理过的数据进行解密后,得到处理后的结果与对明文数据处理的结果一致。
同态加密是实现多方安全计算的一种方式,也是比较适用于 5G 专网数据传输、存储、处理的方法,包括加法同态、乘法同态和全同态加密。第一个加法同态加密方案由 Pailer 提出,加法同态的加密函数满足 Enc(A)+Enc(B)=Enc(A+B),可执行密文数据的加减运算。第一个乘法同态加密方案由 Elgamal提出,乘法同态的加密函数满足 Enc(A)×Enc(B)=Enc(A×B),可执行密文数据的乘除运算。全同态加密的加密函数同时满足加法同态和乘法同态,全同态加密可以完成各种运算,包括加减乘除、多项式、指数、对数、三角函数等。第一个完全同态加密方案由 Gentry 于 2009 年提出,该方案允许任意复杂的操作并且在量子时代也是安全的。
4、结 语
随着 5G 网络的广域覆盖,行业用户 5G 专网的应用日益丰富和成熟,行业用户 5G 专网用于医疗、卫生、应急保障、生产等多个行业,增强宽带、物联网、超可靠低时延等业务都可基于 5G 专网进行承载。5G 专网的成功应用实现了数据的汇集和应用,5G专网的数据安全非常重要。本文针对 5G 专网的数据安全问题,对采用可信计算技术增强终端安全进行了分析,对采用数据匿名技术进行隐私保护进行了探讨,对采用同态加密技术实现 5G 专网的数据传输、存储、处理安全进行了分析,为 5G 专网数据安全设计提供参考。然而,5G 专网数据安全问题重要且具有挑战,还需开展体系化设计,建立5G 专网的数据安全防御体系
引用格式:陈福莉 , 彭丰伟 , 蔡罗成 .5G 专网数据安全技术研究 [J]. 信息安全与通信保密 ,2023(2):26-33.
作者简介 >>>陈福莉,女,硕士,高级工程师,主要研究方向为移动通信安全;彭丰伟,男,硕士,主要研究方向为信号处理及信息安全;蔡罗成,男,硕士,高级工程师,主要研究方向为移动通信安全。
选自《信息安全与通信保密》2023年第2期(为便于排版,已省去原文参考文献)
来源: 信息安全与通信保密杂志社
