5G加速智慧邊緣進展,同時也推動雲端經濟發展腳步。然而,雖說5G為多種產業的數位轉型注入活水,卻也伴隨著眾多的攻擊風險,為此,一個靈活且強效的平台顯得更加重要,才能在大規摸的連結中確保安全和隱私。
隨著5G推動連結智慧邊緣進展並加速雲端經濟發展,連結智慧裝置的數量持續成長,也變得更加多元。雖然這種成長推動多種產業的數位轉型,卻同時增加了端到端系統的攻擊面(Attack Surface)。
這就是為什麼需要一個靈活而強大的平台,能夠在不同的使用案例和部署中大規模保障安全和隱私;而具有連結智慧邊緣的5G就是這樣的平台。5G已經滿足當今世代的嚴格要求,5G Advanced在安全和隱私功能的發展值得期待,可望在這十年剩餘的時間中,為越來越多的連接裝置和服務帶來新的資料保護等級(圖1)。
落實通訊韌性端到端系統安全方案不可少
隨著行動通訊技術將其功能和優勢拓展到各式垂直領域,從雲端、網路到裝置的端到端系統需要在安全、隱私、信任、身分和穩健性等方面具有更強的韌性。
最初的5G願景支援廣泛的裝置、服務和部署場景,也支援穩健安全的系統。5G建立在LTE經過實證的安全框架和部署經驗基礎之上,進一步引入多樣安全增強措施,主要功能包括身份隱私保護、經過增強且靈活的驗證機制、使用者平面完整保護(User-plane Integrity Protection)、特定網路切片的驗證和授權,以及基於服務的介面安全。上述功能旨在為系統設計提供端到端的安全保障方式。 此外,這些功能與為不同垂直產業開發的增強功能搭配設計,提供彈性的網路框架,能夠保護行動寬頻以外的各類部署,如側鏈(Sidelink)、車聯網(V2X)、多重存取邊緣運算(MEC)、行動廣播、企業專網、物聯網等。
零信任安全是韌性系統核心
5G系統設計與網路安全零信任原則兼容。零信任安全模型建立在任何使用者或網路功能皆無法信任的原則之上,無論在網路內部還是外部,每次存取系統資源都需要經過驗證(圖2)。
這一原則利用強大的驗證和精準的授權,將焦點從網路周邊安全轉移到限制內部和外部使用者及軟體元件的存取動作;零信任原則的重點是保護資源,如數據資料、運算資源、應用程式和服務,而非保護網路區段(Network Segment)。
5G在核心網路中引入基於服務的架構(SBA),透過完善的服務驗證和授權推動零信任安全。其他的端到端安全功能包括:
.雙向驗證及授權。
.指令和使用者平面的加密和完整性檢查。
.訂閱永久識別碼(Subscription Permanent Identifier, SUPI)加密。
.利用網際網路協定安全(IPSec)實現無線電與核心網路的安全通訊。
.使用安全邊緣保護代理(SEPP)的安全互連漫遊。
要有效地解決對資料和5G服務日益成長的需求,就必須在連接的智慧邊緣分解並分配雲端處理,更靠近使用者。同時,像Open RAN(O-RAN)這樣的倡議已經讓行動網路架構朝著以分解和虛擬化為特徵的新拓撲結構發展,以實現可擴展性、成本效益和效能。
從安全角度來看,O-RAN所定義的分解RAN架構帶來了許多好處,提高安全敏捷性、適應性和韌性。除此之外,O-RAN提供的透明度將加強蜂巢式系統各方面的安全,包括介面和軟體安全,以及零信任安全採用(圖3)。
5G Advanced功能防護更上層樓
3GPP Release 15規範(R15)建立了5G安全基礎,著重於經過增強的行動寬頻使用案例的端到端系統安全。R15引入安全功能,包括改善的使用者驗證和隱私、基於服務的安全架構和安全互連漫遊。
Release 16規範(R16)和Release 17規範(R17)皆為更多類型的裝置、使用案例和垂直產業提高5G系統的韌性。例如,R16推動V2X、非公共網路(NPN)、超可靠低延遲通訊(URLLC)、整合接取和回程(IAB)及蜂巢式和工業物聯網等應用的安全性增強,而R17進一步提高邊緣、側鏈、無人機通訊及群播和廣播系統的安全性。
Release 18規範(R18)正式邁入5G Advanced階段,將進一步擴展零信任原則,並且正在研究改進5G AI/ML安全等功能的端到端安全,以及身分隱私相關的額外增強。在繼續為新使用案例和部署提供增強功能的同時,R18也開始為新一代行動通訊平台建立安全基礎。 除了AI和ML,新一代行動通訊的關鍵安全技術推動者應包括原生安全機制、硬體嵌入信任錨、隱私保護技術、為後量子時代預做準備的選項等。對此,半導體業者高通(Qualcomm)的研究已推動量子運算時代的先進密碼學標準;例如推動的抗量子數位簽名演算法FALCON,可實現新一世代的資料安全(圖4)。
(本文作者皆任職於Qualcomm)