搜索
搜索

關于

/
/
他山之石 | 美國發布5G安全技術研究新方向,又現零信任身影
全部分類

他山之石 | 美國發布5G安全技術研究新方向,又現零信任身影

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-02 11:37
  • 訪問量:

【概要描述】

他山之石 | 美國發布5G安全技術研究新方向,又現零信任身影

【概要描述】

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-02 11:37
  • 訪問量:
詳情
 
2020 年 1 月 30 日,美國國防高級研究計劃局(Defense AdvancedResearch Projects Agency, DARPA),發布了 5G 安全技術研究指南公告《開放可編程安全 5G》(Open Programmable Secure 5G,OPS5G),旨在引領 5G 標準的網絡協議棧安全開發,確保 5G 應用安全及其后續良性發展。該項目為期 4 年,分為三個階段實施,2024 年結束。
 
一、公告背景
 
當前智能手機、平板電腦、筆記本電腦等用戶設備應用越來越廣泛,需要更強大的網絡服務支撐,5G是移動網絡發展的最新進展。
 
5G提升了移動網絡性能,如網絡吞吐率、延遲、接入設備數和電池壽命等,使更多傳感器等用戶設備無障礙地接入互聯網。
 
另外5G還支持新的網絡應用,從網絡切片(運營商面向特定網絡應用需求,在共用基礎設施上分離出多個虛擬端到端專用網絡),到對可編程網絡(SDN與NFV相結合,按需定制網絡和安全功能)的支持,極大拓展了5G網絡應用范圍。
 
盡管5G許多組件和操作行為與4G等前代產品相比變化不大,但5G是未來標準,并且是網絡關鍵基礎設施,面臨各類安全風險,甚至是間諜和國家間網絡戰的新風險。
 
本項目研究目標是提高整體5G技術的安全性,重點是針對5G獨有的特性增加信任度,包括不受管理,無人值守,壽命長,甚至是可能被遺忘等。此外還解決網絡切片之間意外和不必要的交互,以及網絡規模巨大增長帶來的威脅等。
 
 
二、未來發展構想
 
OPS-5G研究為5G移動設備開發一個輕便的、符合標準的網絡棧,該網絡棧是免費的、開源的、設計安全的。整個項目的發展圖景如下圖所示。
 
 
OPS-5G項目重點解決的問題是:
 
(1)響應5G標準新版本變化,減少更新開源軟件所需時間;
 
(2)實現從IoT傳感器到服務器的可擴展“零信任”安全體系結構,該架構應該對大小、重量和功率以及價格的影響最??;
 
(3)降低虛擬化和切片帶來的新攻擊風險(如側信道攻擊);
 
(4)將可編程性從威脅導向轉變為大規模安全應用。
 
 
三、主要研究內容
 
OPS-5G的研究框架如下圖所示,包括4個技術領域。
 
 
4個技術領域解決的問題和對應研究工作如下表所示。
 
 
(一)技術領域1:符合標準的軟件
 
現有挑戰是硬件與軟件很難解耦合,而且用戶設備的可移植性要求、不斷演進的標準等都增加了開發的復雜性和時間,技術領域1的研究目標是減少開源代碼更新投放市場所需的時間。
 
解決這個問題首要是在底層硬件和上層軟件之間,插入硬件抽象層(HAL)并以軟件方式實現,在此基礎上研究通過5G標準文檔的機器翻譯加速開源軟件開發速度。5G標準作為一組電子文檔在線維護,并根據需要進行更新。
 
本技術領域研究包括:自動提取模塊和服務之間交互接口描述;提取交互協議描述;提取吞吐量、對象大小和延遲范圍等參數;提取其他功能,如選項和錯誤處理等。研究者可以提出以下解決方案:利用網絡數據平面處理;產生用特定領域語言編寫的代碼片段,這些語言可翻譯成可執行形式;直接翻譯成目標源語言(例如C/C++)片段。
 
(二)技術領域2:跨規模5G節點和網絡安全
 
5G將推動網絡設備數量大幅增長。這些設備的尺寸、重量和功率特性將發生巨大變化,范圍從微型電池供電的物聯網傳感器到大量的計算系統。技術領域2的目標是開發安全體系結構和相關技術,從而在具有完全不同計算能力和功率設備之間實現大規模安全性。
 
技術領域2的核心要求是提供具有成本效益的安全性,成本使用電池壽命度量,效益是獨立測試和評估團隊滲透測試給出的分數??缫幠>W絡安全方法從零信任開始,零信任架構基于最小特權原則。當在節點之間建立信任時,應支持群組節點信任關系建立;同時,物聯網設備可以買賣、借出和遷移,因此信任關系也要支持動態變化和短暫遷移。
 
本技術領域研究包括:描述并證明可在不同規模節點和網絡上運行的安全體系結構;最小化5G核心網絡服務使用以及最大程度地使用移動邊緣計算(MEC),避免中央服務的性能瓶頸;支持低成本,無人值守,壽命長,電池供電的傳感器安全以及加密運算。
 
(三)技術領域3:安全切片
 
網絡切片是覆蓋了多個物理節點的虛擬網絡,因此可能使用不可靠、供應不足甚至是敵手的基礎設施。網絡切片可以基于優先級、節點上軟硬件實時功能、資源分配(例如固定的內存頁面)等來進行決策。在提供切片時應最大程度減少共享或不受信任資源的使用。技術領域3的目標是減輕虛擬化和切片帶來的新攻擊風險。
 
切片虛擬化安全風險包括側信道攻擊,從共同駐留的切片中惡意提取信息。像隱蔽通道一樣,側信道無法完全消除。減少側信道攻擊的方法是將安全切片與可能被對手用于提取泄漏信息的同一位置切片相隔離。
 
本技術領域研究內容包括:提供清晰明確的威脅模型,建議解決方案應與威脅模型聯系在一起。另外應提供解決方案的技術假設,例如采用認證和加密時,要假設其基礎功能存在于所有節點,或者具備信任根;移動邊緣云選擇關鍵節點時,要假設了解節點硬件來源、網絡元素代碼庫等的信任情況。此外還可以使用“移動目標”(Moving Target Defense)防御方法,使網絡基礎結構定期改變,鈍化惡意攻擊或信息提取,但必須明確網絡路徑的冗余程度等。
 
(四)技術領域4:規范的可編程防御
 
網絡功能虛擬化(NFV)和軟件定義網絡(SDN)等技術,允許通過按需注入代碼定制網絡功能以滿足持續發展要求。NFV和SDN等引入軟件可編程特性和按需加載能力,但執行未知來源的程序會面臨多種安全威脅。本研究的目標是提供一種網絡安全體系結構,使得在網絡設施中注入和傳播惡意軟件非常困難,并保持攻擊狀態下的可用性。
 
本技術領域研究內容包括:利用可編程性的創新方法,確保網絡代碼是可信的,演示可編程網絡在網絡防御方面的優勢。包括為網絡設備生成并簽名可信賴代碼;為SDN交換機生成并簽名可信代碼;完整或部分驗證NFV中虛擬網絡功能(VNF)的代碼;在驗證和執行之間保持代碼的完整性。另外,還需要以分布式拒絕服務(DDoS)防御為例,開展對應的網絡設計和原型化等工作。
 
 
四、網御星云零信任研究
 
在四個技術領域中,符合標準的軟件、安全切片和規范的可編程防御三個方面均屬于前瞻性技術研究,而跨規模5G節點和網絡安全使用了零信任框架,用于構建適用于不同尺度、不同環境、不同能力下的統一安全模型,相對而言已經具備一定的現實可行性。
 
零信任方案推廣圖
 
網御星云零信任解決方案借鑒了Gartner CARTA、NIST CSF IPDRR、NIST Zero Trust Architecture等體系結構設計理念,結合自身十多年技術積累,形成了完整的、可實施的零信任安全防護方案,覆蓋云、網、邊、端等不同類型要素,相對比于傳統解決方案具有以下特點:
 
(1)以身份為核心,支持用戶、應用、終端、啞終端、設備等實體身份化,為實體建立數字身份標識以完成身份安全治理。
 
(2)動態信任評估,采用多因子認證,綜合評估量化主體訪問風險,持續對業務訪問環境、設備、應用進行動態信任評估。
 
(3)持續風險監測,通過安全大數據分析、安全管理中心統一管理等手段構建持續、動態的安全風險決策控制體系。
 
(4)注重業務/數據安全:支持在零信任架構下所有業務/數據訪問請求的安全保護,業務應用訪問均認證、授權和加密,數據交換業務的責任主體、應用、數據均被驗證和審計。
 
網御星云零信任安全解決方案覆蓋了政企行業用戶訪問控制和數據安全交換完整生命周期,適用于政府、部委、金融、能源、運營商、央企和其他大型企業等單位構建可信合規的零信任體系。
金屬質感分割線
 
 
 
THE END
 

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网