姓名：張夏雨? ? 學(xué)號(hào)：22011110207? ? 通信工程學(xué)院

6G 網(wǎng)絡(luò)內(nèi)生安全架構(gòu)—— “粟栗,莊小君,杜海濤,冉鵬,黃曉婷,楊朋霖.6G網(wǎng)絡(luò)內(nèi)生安全架構(gòu)研究[J].中國(guó)科學(xué):信息科學(xué),2022,52(02):205-216.”

? ? ? ? 定義 6G 網(wǎng)絡(luò)內(nèi)生安全體系為: 以網(wǎng)絡(luò)內(nèi)部建設(shè)的安全能力為基礎(chǔ), 以信任共識(shí)為紐帶, 以智能分析、靈活編排為手段, 形成的主動(dòng)免疫、信任共識(shí)、協(xié)同彈性的安全體系.為實(shí)現(xiàn)上述目標(biāo), 本文設(shè)計(jì) 6G 網(wǎng)絡(luò)內(nèi)生安全架構(gòu), 包括: 安全管理中心、安全智能中心、安全策略控制單元、安全能力層 (網(wǎng)元設(shè)備自身安全能力、專(zhuān)用安全能力資源池) 4 層, 并協(xié)同信任共識(shí)設(shè)施、資源編排與調(diào)度能力、人工智能分析能力, 形成體系化安全架構(gòu). 其架構(gòu)如圖 2 所示.對(duì)圖 2 所示的 6G 網(wǎng)絡(luò)內(nèi)生安全架構(gòu)各部分能力說(shuō)明如下. 內(nèi)生安全能力層是網(wǎng)絡(luò)中安全原子能力的提供方, 包括各類(lèi)設(shè)備自身的安全能力、內(nèi)建的專(zhuān)用安全能力資源池; 為滿足彈性服務(wù)的需求, 還包括安全能力的備用資源池. 安全策略控制單元是連接內(nèi)生安全能力層與安全智能中心的單元, 負(fù)責(zé)將運(yùn)行所需的安全策略下發(fā)到網(wǎng)元設(shè)備、安全設(shè)備中, 屏蔽異廠家、多類(lèi)型的設(shè)備接口對(duì)接要求. 安全智能中心是整個(gè)內(nèi)生安全架構(gòu)的大腦, 一方面負(fù)責(zé)分析數(shù)據(jù), 形成安全態(tài)勢(shì)與安全策略建議; 另一方面可以作為安全能力整合的接口, 接收業(yè)務(wù)中的安全需求, 生成安全解決方案與調(diào)度策略, 為應(yīng)用層提供安全服務(wù). 安全管理中心與管理員交互, 負(fù)責(zé)系統(tǒng)安全管理. 信任共識(shí)設(shè)施為系統(tǒng)運(yùn)行涉及的安全能力、安全策略的聲明及執(zhí)行過(guò)程提供不可篡改的記錄, 實(shí)現(xiàn)信任共識(shí)保障. 資源編排與調(diào)度能力中心負(fù)責(zé)全網(wǎng)資源調(diào)度和設(shè)備編排, 對(duì)虛擬化設(shè)備的全生命周期進(jìn)行管理. 人工智能分析能力基于 6G智慧內(nèi)生能力, 為安全智能中心提供智能分析與智能決策手段。

6G 網(wǎng)絡(luò)內(nèi)生安全能力部署與規(guī)劃

安全能力部署原則分析

? ? ? 安全能力的提供方可能是網(wǎng)元設(shè)備自身、專(zhuān)用安全設(shè)備、安全服務(wù), 并通過(guò)編排的方式形成一個(gè)整體. 為了達(dá)到高效、協(xié)同的效果, 需要分析安全能力的承載方式與運(yùn)行原則.

(1) 設(shè)備自身必須具備基礎(chǔ)安全能力. 基于零信任理念, 要求每個(gè)獨(dú)立的實(shí)體 (網(wǎng)元設(shè)備) 具備獨(dú)立的安全能力, 并確保主體真實(shí)和請(qǐng)求有效. 因此, 不僅需要實(shí)體具備自身安全防護(hù)能力, 還需要其在信任共識(shí)設(shè)施 (如公共查詢庫(kù)、區(qū)塊鏈等) 上登記, 以向第三方證明該能力的配置及啟用狀態(tài).

(2) 網(wǎng)絡(luò)/子網(wǎng)邊界應(yīng)采用安全專(zhuān)用設(shè)備. 在內(nèi)部可信度較高的前提下, 按區(qū)域進(jìn)行安全防護(hù)一方面可以利用安全專(zhuān)用設(shè)備在功能、性能方面的優(yōu)勢(shì); 另一方面區(qū)域邊界集中防護(hù)的安全成本更低, 也便于集中運(yùn)維管理, 減少運(yùn)維管理的成本.

(3) 網(wǎng)內(nèi)安全服務(wù)應(yīng)采用專(zhuān)用設(shè)備. 內(nèi)網(wǎng)安全所需的掃描、監(jiān)控、基線核查等能力應(yīng)使用專(zhuān)用設(shè)備, 一般使用集中化更利于保持一致性, 利于運(yùn)維管理.

(4) 安全分析能力應(yīng)集中化與智能化. 數(shù)據(jù)驅(qū)動(dòng)型的安全能力, 包括態(tài)勢(shì)感知、安全策略分析與優(yōu)化、安全編排分析等. 這部分安全能力往往需要大量的關(guān)聯(lián)數(shù)據(jù)分析, 適合集中化、智能化方式進(jìn)行.

綜上, 歸納 6G 網(wǎng)絡(luò)內(nèi)生安全架構(gòu)中安全能力的建設(shè)原則如下:

原則 1: 抵抗內(nèi)部攻擊的必要安全機(jī)制 (如認(rèn)證、安全配置、告警、日志等) 由設(shè)備自身實(shí)現(xiàn).

原則 2: 端到端的安全能力應(yīng)由設(shè)備自身實(shí)現(xiàn) (如安全協(xié)議).

原則 3: 網(wǎng)絡(luò)/子網(wǎng)所需的共性安全能力優(yōu)先由專(zhuān)用設(shè)備實(shí)現(xiàn).

原則 4: 安全配置、安全策略應(yīng)由安全智能中心生成, 并由安全管理中心統(tǒng)一管理.

原則 5: 當(dāng)一種安全能力可由多類(lèi)方式執(zhí)行時(shí), 優(yōu)先選擇成本最低的實(shí)現(xiàn)方式.

6G 網(wǎng)絡(luò)內(nèi)生安全能力規(guī)劃

內(nèi)生安全的架構(gòu), 自下而上對(duì)各部分的能力規(guī)劃如下.

(1) 設(shè)備安全能力. 保障設(shè)備自身基礎(chǔ)安全的功能應(yīng)由設(shè)備自身建設(shè), 可有效保障其他安全機(jī)制失效時(shí)也能維持基本的安全能力. 主要包括如下內(nèi)容: 自身安全防護(hù)能力, 如訪問(wèn)控制、身份認(rèn)證、安全基線配置、設(shè)備入侵檢測(cè)、軟件完整性校驗(yàn)、日志等; 信任可證能力, 如基于可信計(jì)算、區(qū)塊鏈等方式的可證明安全啟動(dòng)、運(yùn)行等; 端到端安全保障能力, 如基于數(shù)字證書(shū)的 TLS, IPSEC 等安全能力; 設(shè)備個(gè)性化的安全能力, 如黑白名單、服務(wù)許可列表等.

(2) 專(zhuān)用安全能力資源池. 該部分通過(guò)安全專(zhuān)用設(shè)備提供實(shí)現(xiàn)共性安全能力, 其目標(biāo)是保障安全能力高效執(zhí)行、避免系統(tǒng)中安全能力的重復(fù)建設(shè)與部署. 主要由 3 類(lèi)內(nèi)容組成: 生產(chǎn)網(wǎng)絡(luò)及邊界應(yīng)部署的專(zhuān)用設(shè)備, 主要包括防火墻、IDS、IPS、WAF 等; 內(nèi)網(wǎng)安全能力資源池, 提供軟件服務(wù)化 (softwareas a service, SaaS) 模式的安全服務(wù), 主要包括安全漏洞掃描、安全配置核查、安全狀態(tài)監(jiān)測(cè)等; 內(nèi)網(wǎng)安全能力備用資源池, 由核心網(wǎng)為安全資源池預(yù)留硬件、軟件, 依據(jù)安全需求配置并提供安全能力, 接受安全策略控制單元的策略管理、資源編排與調(diào)度能力的編排.

(3) 安全策略控制單元. 該設(shè)備執(zhí)行安全智能中心的安全策略下發(fā), 包括網(wǎng)元設(shè)備的安全策略、安全專(zhuān)用設(shè)備的安全策略. 該單元應(yīng)是一個(gè)部署在生產(chǎn)域邊界的設(shè)備, 實(shí)現(xiàn)管理域與生產(chǎn)域的互通.

(4) 安全智能中心. 安全智能中心是安全協(xié)同的大腦, 基于 AI 能力, 與管理中心、資源編排與調(diào)度能力聯(lián)動(dòng). 主要實(shí)現(xiàn)以下多方面功能: 集中化安全數(shù)據(jù)的分析, 輸出安全態(tài)勢(shì)、威脅情報(bào)、安全策略等; 安全配置策略的分析與生成, 并通過(guò)安全策略控制單元下發(fā); 安全編排方案的分析與生成, 并與資源編排與調(diào)度能力中心聯(lián)動(dòng), 實(shí)現(xiàn)安全能力的編排; 與數(shù)字孿生網(wǎng)絡(luò)聯(lián)動(dòng), 實(shí)現(xiàn)安全運(yùn)維的分析與調(diào)優(yōu); 安全智能中心還作為安全能力與服務(wù)對(duì)外的輸出接口, 實(shí)現(xiàn)安全服務(wù)能力的整合與輸出.

(5) 安全管理中心. 安全管理中心的必要功能包括: 系統(tǒng)管理、審計(jì)管理、安全管理、集中管控等能力, 并能呈現(xiàn)安全態(tài)勢(shì)等供安全管理員分析與決策.

通過(guò)上述 6G 網(wǎng)絡(luò)內(nèi)生安全架構(gòu)和安全能力部署, 可實(shí)現(xiàn)如下目標(biāo): 在安全管理中心的指導(dǎo)下,以 6G 網(wǎng)絡(luò)中已具備的安全能力為基礎(chǔ)、配合柔性安全能力資源池、協(xié)同智能分析與編排機(jī)制, 構(gòu)建可靠、靈活、彈性、至簡(jiǎn)的安全防護(hù)體系, 并具備對(duì)外安全服務(wù)能力, 達(dá)到主動(dòng)免疫、信任共識(shí)、協(xié)同彈性的目標(biāo).