《3GPP 5G网络自动化安全标准解读.docx》由会员分享,可在线阅读,更多相关《3GPP 5G网络自动化安全标准解读.docx(7页珍藏版)》请在第一文库网上搜索。
1、3GPP5G网络自动化安全标准解读目录1 .序言12 .关于3Gpp5G第16版标准22. 1.5GNR第16版标准有六个关键方面:23. 2.第16版标准中一些最令人激动的方面:34. NWDAF数据收集防护55. NWDAF安全检测56. NWDAF间数据传输保护6总结61.序言在R17的标准化阶段,NWDAF数据收集防护和NWDAF实例间数据传输保护的相关方案被写进了标准中。未来通信场景复杂、业务需求多样,5G网络需要智能化提供按需服务和更高的网络资源利用效率,3GPP在5G网络设计之初就考虑将人工智能与大数据分析技术引入,利用人工智能与大数据分析技术对移动网络通信数据进行分析、推理、研
2、判与处置,提高网络资源利用率与管理效率。因此,3Gpp在R15引入5G核心网AI单元(NWDAF),现阶段已形成数据采集、训练、推理、闭环控制,以及支持多样化解决方案的网络大数据分析体系架构3GPPSA3在R17同步开展针对于5G大数据分析网元NWDAF的安全性研究,此项目由中国移动牵头,诺基亚、爱立信、华为、联想、三星等多家单位共同参与研究。研究NWDAF所需面临的安全问题与要求,并提供相应的解决方案,主要包括三方面关键问题:- NWDAF从UE及网元收集数据时的安全保护,包括隐私保护,数据机密性保护,数据完整性保护,可访问性等。- NWDAF及其相关功能支持检测的网络攻击和网元异常事件,特
3、别是定义输入数据及输出结果。- NWDAF实例间的数据及模型传输时的安全保护。2. 关于3Gpp5G第16版标准如果您想要利用更快的速度、更低的延迟时间、增强的loT容量、可传输大量数据的更大带宽以及更广泛的覆盖范围等5G优势,那么无论您是工程师或技术人员、loT支持者,还是只是手机机主,您应该都会对第16版标准非常感兴趣。第16版标准为各种企业和行业组织赋予了更多新性能和新功能。服务、效率和自动化程度的提升将带动loT、V2X、医疗保健等行业向更高水平发展,实现性能大飞跃。2.1. 5GNR第16版标准有六个关键方面:1) 1.5GNR增强:MU-MIMO:将部署更多天线以从接收分集和MIM
4、O中获得较大的增益。多TRP:多传输接收点(即宏蜂窝小区、小蜂窝小区、微微蜂窝小区、毫微微蜂窝小区、射频拉远头、中继节点等)。更高的链接可靠性。2)接入回传一体化(IAB):新版本还涉及IAB的标准,即将“5G无线电的一部分用于回传”。有了IAB,并非每个小蜂窝小区都必须使用光纤;也可以使用无线电连接。3)非授权频谱中的5G:第16版标准首次在5G蜂窝服务中包含非授权频段。4)时间敏感网络(TSN)中的5G:移动用例的实现;不能使用有线技术,而必须使用满足工业环境高要求的无线连接代替。5) C-V2X与5GNR的侧链路:第16版标准中,NR蜂窝车联网(C-V2X)的设备间直接通信模式(或侧链路
5、)规范将支持一些高级用例,可以在不使用蜂窝网络的情况下增强自动驾驶能力。6) loT中的5G/5GNR中的NB-loT:第16版标准提供了在5G核心网络上部署和管理低功率移动物联网(loT)协议(例如窄频带-物联网(NB-loT)的能力。2.2. 第16版标准中一些最令人激动的方面:1) C-V2X第16版标准带来了侧链路,这是直接的设备到设备通信模式。不需要蜂窝网络来增强半自动甚至自动驾驶能力。侧链路非常重要,特别是在公共安全方面,因为某些V2X服务仅具有邻近利益,即使在网络覆盖较为稀疏的情况下也需要保持正常运行,参见下(图1)。5GV2XsidelinkSidelinkcxxnmunica
6、tionsRelease16 brings new benefits for automotive use cases门VNde ioOther convmxicatan modM irrfrMtnjctjre (V?l) eomng m HAxeFastertravel/energy efficiencyMore coortkneted dThrng W Mier iravMand tower tnergy uaegeAcceleratednetwork effectSensor shannQ and ntrMlnciure daptoyvnent brwiQbeneimi. dumg ea
7、ial deplcymoHi rokxm图15G NR第16版标准特别增强了公共安全(图源:Qualcomm)EnhancedautonomousdrivingRMMirrwMumsmhkkwm皿tMnngoinewMndsofMAtordmMoncmousdnvng使用侧链路的车辆将能够更轻松地进行排队,而重要的安全功能(例如防撞和协作换道)也将成为现实。C-V2X将首先实现有意义的汽车/电动车安全性,并最终促使道路上的自动驾驶汽车能够安全运行。2)多传输接收点(多TRP)在第16版标准中实现真正5G部署的另一个关键实现是多TRPo这些传输接收点是指宏蜂窝小区、小蜂窝小区、微微蜂窝小区、毫微
8、微蜂窝小区、远程无线电头端(RRH)、中继节点等等。所有这些传输/接收点将有助于实现更高的可靠性、更广的覆盖范围以及更高的容量性能。5G移动数据流量将大幅提升,尤其是对于由多TRP服务的网络小区边缘的无线设备而言。信号传输和接收将得到增强,这意味着吞吐量将提高。3)非授权频段中的5G当前的5G授权频段在全球范围内具有40多个LTE频段。非授权频段功能可以访问5GHz和6GHz频段(例如,美国5925-7125MHZ或欧洲5925-6425MHz),从而在全球范围内解锁更多频段。凭借1200MHz的非授权带宽,将通过工业物联网中的独立非授权新无线电(NR-U)引向新的垂直领域和市场,例如在集装箱
9、港口实现更智能的物流,通过连接的遥控采矿、更智能的仓储操作等等提高生产力。锚定NR-U将为密集的城市热点、购物中心和校园带来更高的速度,参见下(图2)。AnchoredNR-UStandaloneNR-U第7页共6页DualconnectivityLTE with EPC and NR-UScenarioBCarner aggregationNR with 5G-CN and NR-UScCStandaloneNR-Uwith5GCN图2NR-U部署场景。图中所示为锚定NR-U的控制平面(CP)路由;用户平面(UP)路由取决于网络设计;1.5G核心网络;2.演进分组核心(图源:Qualcomm
10、)NR-U应该与已经部署的IEEE802.il/Wi-Fi系统实现合理共存。6GHz频段的增加为Wi-Fi和5G带来了更多带宽。使用锚定NR-U将其他授权或共享频段组合为锚,支持授权辅助访问或诸如公民宽带无线业务(CBRS)频段的共享频段,并将促进部署,从而凭借更高的5G速度提供更好的用户体验。此外,独立的NR-U支持完全使用非授权频段来部署5G专用网络。4)时间敏感网络(TSN)中的5GTSN是由IEEE802.1工作组的时间敏感网络(TSN)任务组开发的一系列标准。TSN将充当信息技术网络(管理业务流程和分析)与操作技术网络(管理在生产车间运行的实际设备)之间的重要桥梁。TSN系列标准将为
11、时间关键型数据提供具有准确性保证的网络,非常适用于从传感器、计算机视觉应用等接收数据的控制系统。现在,工业4.0和工业物联网(HoT)已在汽车、石油和天然气、公用事业、食品和饮料、制药等工业垂直市场中进行部署。具有先进无线连接性能的5G正在彻底改变工业制造过程,而第16版标准将提高从计算机视觉和传感器接收数据的控制系统所需的时间关键型数据的准确性。5G高度依赖于各种工业控制系统、数据流量的低延迟时间以及极为可靠的确定性能力。TSN与5G融合技术(TSN-over-5G)将支持在5G网络之上融合TSN服务,以使诸如传感器和执行器之类的工业设备能够有效地与工业控制器进行无线和确定性通信。工业4.0
12、解决方案需要这项技术来帮助改善工厂系统。通过5G系统之上的TSN同步和TSN以太网操作、5G超可靠低延迟(URLLC)传输、5G端到端服务质量(QoS)管理以及智能调度算法,使TSN-over-5G成为可能。3. NWDAF数据收集防护作为5G网络自动化的核心网元,NWDAF在进行数据收集时需要安全防护,包括隐私保护,数据机密性保护,数据完整性保护,可访问性等要求。首先,NWDAF要收集UE数据,这就需要考虑到UE与NWDAF所处网络的相互认证,数据收集过程的机密性保护、完整性保护以及抗重放保护,同时还需要保证网络功能和分析功能接收、发送或传输UE相关数据的授权。其次,3GPP引入了一些其他的
13、逻辑功能来配合NWDAF的数据采集与分析。新的逻辑功能的引入,必定会引起数据输入及输出流程的改变,所以需要考虑新架构下数据输入输出的安全性,包括对数据获取方的授权以及服务化流程的改变等。最后,因为NWDAF网元涉及人工智能分析,应保护5G网络分析功能免于处理不清洁或篡改的数据,这也需要安全手段来确保样本的清洁,避免恶意样本的攻击。4. NWDAF安全检测移动网络中存在着类型丰富的信息,例如位置信息、流量信息、信令信息、签约信息等,同时:移动网络也聚集了全网的大量流量。移动网络数据数量大、类型多,是作为安全分析的宝贵数据源,可以在5G-Advanced网络中对数据资源进行利用,进行网络安全自动化
14、分析。(1)对外部网络攻击行为进行检测分析为了实现网络攻击检测,核心网中的网元可以与UE合作,以收集相关数据作为输入,并将异常事件警报作为输出提供给网管或其他网元,以便对网络攻击进行缓解。网络可以检测特定网络攻击包括但不限于:无线接口上的中间人攻击:中间人攻击或欺诈性中继节点可能会修改或更改UE和RAN之间的消息,导致NAS协议或首次认证失败。DoS攻击:5G对系统容量和数据速率的性能要求很高,容量的提高和数据速率的提高可能会导致网络实体的处理能力成本更高,这可能会使一些网络实体(例如RAN、核心网络实体)遭受DDoS攻击。(2)对网络内部异常网元行为进行检测分析5GC支持分布式网元部署,以便
15、网元从多个位置和多个执行实例提供服务。当这些网元分布在不同的云基础设施中时,网元可能会以未定义的方式运行。网元的未定义行为可能是由内部错误引起的,例如配置错误或内部数据损坏。根据网元的类型,这种不当行为可能会影响一个或多个UE的服务。在这种情况下,网络分析功能必须监控所有网元的行为并确保其行为符合定义,并在网元发生异常行为时报告异常。5. NWDAF间数据传输保护NWDAF支持分层的架构,这就使得不同的NWDAF实例间可以进行数据传输。由于机器学习模型使用专有算法进行训练,有时也使用敏感数据进行训练,因此对于训练模型的保护是至关重要的。对于多个NWDAF实例,在传输数据和输出分析结果期间,需要确保用户隐私以及训练模型的安全。在将隐私相关数据或训练模型共享之前,需要确保发送者NWDAF采取适当的安全保护措施,以保护任何可能泄露用户隐私的信息,例如定位信息、用户个人资料信息等,同时仅应允许授权的NWDAF实例使用来自其他NWDAF实例的机器学
免费区 
