此篇報導為與工商時報合作,並刊載於<科學家新視野專欄-5G通訊帶來新的資安挑戰>

國立中山大學資訊工程學系助理教授 徐瑞壕

從2G、3G到4G與LTE(Long-term Evolution)的行動網路通訊技術,一直圍繞在如何提升速率、達到低延遲以及高品質通訊服務,然而5G不再只是提供通訊的服務。例如原先只有提供通訊功能的基地台,因為5G而可同時提供運算及網路功能。相較於雲端計算中心,基地台傳輸資料到使用者端的距離更近。基地台即可做為比雲端更接近使用者的運算平台,讓開發行動APP、google、microsoft、amazon等軟體與雲端服務的廠商,能夠更及時的提供服務給使用者。同時,基地台之間彼此涵蓋的網路服務範圍較接近,兩個距離較近的地區可以做資料交換。

然而上述因5G技術而帶來的新型態的應用,也造成了更多面向的資安威脅,傳統的資安防護手段也將不足以因應攻擊者的多樣性攻擊與破壞。再者,軟體化定義無線傳輸(Software Defined Radio)技術[1] 以及開放原始碼(Open Source)[2] 的進展,產生了以往沒有的研究工具:行動通訊網路仿真平台[3] 。相較於真正的行動通訊網路,仿真平台的規模較小,功能性與真實的行動網路無異,研發人員可以更容易透過仿真平台來實作與真實行動網路功能無異的手機、行動通訊基地台,甚至是行動核心網路(如OpenAirInterface或是SRSLTE等公開原始碼搭建的仿真平台)。但這也給攻擊者更多的機會,可以便宜跟快速的搭建攻擊平台。因為仿真平台可以直接實現以往不容易直接獲得到的行動通訊基礎設施,以及核心網路的相關設備,所以透過仿真平台即可能直接攻擊無線傳輸網路( Radio Access Networks)中的設備。因此,未來保護5G無線傳輸網路,需要部署可以偵測無線訊號傳輸異常行為的人工智慧分析方法,並且提出相對應的警告訊息給行動網路的營運商,來反制攻擊。

另一方面,5G邊緣運算的資安防護,則需考慮使用者的個資,以及資訊服務業者部署在邊緣運算裝置上的程式邏輯被洩漏的風險。以往雲端服務,程式邏輯是運行在每個雲端服務商所控制的可信任平台上,所以不會有商業邏輯洩漏的問題。然而提供邊緣運算裝置的是行動網路營運者,邊緣裝置因此被視為不可完全信任。因此,必須要考量如何安全地執行各個應用服務商的應用程式,而不洩漏任何的機密商業邏輯。對於如何進行程式邏輯的保護而不影響程式的運作,可引進安全計算(Secure Computation)[4] 或是不可區分的混淆(Indistinguishability Obfuscation)[5] 等密碼技術來保護邊緣裝置程式。

除此之外,由於5G的標準將物聯網納入,分屬不同應用場域的物聯網服務者會透過5G行動網路的服務單元,例如基地台,來匯集資料,並且由各個不同的資料消費者存取。這樣的方式可節省部署物聯網服務的成本與時間,也可預先處理與分析物聯網內採集到的資料。但是相對的,也可能將屬於物聯網擁有者的資料暴露給行動網路業者。因此,對於保護資料的存取與控制,除了傳統的金鑰管理,使物聯網資料產生端與消費者端的金鑰分享可用來加密資料之外,需考慮到如何讓行動網路可以驗證被加密的資料是來自於正確的物聯網裝置。再者,如何動態控制資料的存取,使得被保護的資料可以動態的分享給需要的資料消費者(例如從車聯網的車輛當中取得的資料可各別分享給政府監理單位、汽車維修廠、自駕車控制系統或是智慧道路號誌等),也是5G結合物聯網應用當中,迫切需要解決的資安需求。

綜觀上述的5G資安需求,與傳統的資安防護[6] 目的,進行網路攻擊的偵測與防護、資料的保密、傳輸的保密與網路身份的驗證等,有不小的差異。在5G當中,更強調如何在無法完全信任的環境下,保護資料甚至是程式邏輯。也強調如何使用人工智慧/機器學習的方法,來動態的偵測與真實行為相似的異常攻擊行為。再者,5G的通訊網路環境所牽涉的裝置是現有的數百倍。因此資安的防護,如何做到滴水不漏,將是格外的重要與嚴峻的挑戰,也有待資安廠商、通訊業者、研究人員以及政府單位來通力的合作,建構出可被信賴的5G資安防護體系。

註釋:

[1] 軟體化定義無線傳輸(Software Defined Radio):是以軟體架構為基礎的技術,好處是能允許不同的通訊頻道與訊號調變方式,來互相切換與互通。直接利用軟體調變的方式而不需變更硬體架構,可以省去硬體設備調整的負擔。
參考資料:國立屏東科技大學資訊管理系。童曉儒、林美佐、林美賢。軟體定義無線電。2019/11/19檢索。

[2] 開放原始碼(Open Source):一般傳統的軟體,其原始碼更改權力屬於原開發廠商,消費者購買軟體僅得到授權,不包含原始碼。若將原始碼開放,程式工程師可以互相分享交流程式語言撰寫的成果,允許互相學習、修改,有助於提高這款軟體的質量及促進創新。

[3] 仿真平台:是一個工具,目的在於利用在網絡的任何一部分與閉源(closed-source)的設備相互操作,使學術研究更接近主要由工業應用中複雜的真實世界系統。
參考資料:國立中山大學資訊工程學系(2016)。教育部補助「行動寬頻尖端技術跨校教學聯盟計畫-行動寬頻網路與應用-小細胞基站聯盟中心計畫」,Small Cell創新應用與服務專題,課程單元:LTE開源軟體OpenAirInterface之簡介與安裝流程。2019/11/22檢索。

[4] 安全計算,意即安全多方計算(Secure Muti-party Computation,MPC):指的是一種在不洩漏原始資料的情況下,對資料進行的計算。因此MPC技術可以允許多個數據擁有者協同計算,同時保證只獲得計算後結果,而不泄露原始數據內容。
參考資料:ITREAD01(2018)。安全多方計算從入門到精通:MPC簡介&JUGO平臺。 2019/11/22檢索。

[5] 不可區分的混淆(Indistinguishability Obfuscation):密碼學中的一種概念,如果密文和金鑰之間複雜度越高,混淆能力越強,越不容易被破解。此概念有研究指出能夠達到程式和軟體的共同保護。

[6] 傳統的資安防護,例如:架設企業防火牆、入侵偵測與預防系統、使用虛擬私人網路、資料加密保護、傳輸層安全性協定與身份辨識與認證等技術,如下解釋。

  1. 防火牆(Firewall):防火牆是指負責網路流量的檢查、用來限制存取網路的軟體或硬體。它必須包含明確的安全政策,規定哪些數據可被允許、哪些需要被限制。
  2. 入侵偵測與預防系統(Intrusion Detection/Prevention System,IDS/IPS):IDS會研判及比對網路系統中異常的侵入行為,偵測這些可能含有惡意的軟硬體並記錄。IPS是IDS的延伸,不是被動的監測,而是主動尋找問題和可疑的行徑,用丟棄惡意封包和中斷連線等方式來防禦。
  3. 虛擬私人網路(Virtual Private Network,VPN):是指在公有的網路上架構專門給私人使用的網路。如此可以利用現有的公有網路,價格較便宜,卻可以同時享有專屬網路的安全。
  4. 資料加密保護(Data Encryption):原理來自秘密金鑰演算法的架構,會將原本的資料輸入後編碼,配合金鑰來做加密處理,以利保護資料。
  5. 傳輸層安全性協定(Secure Socket Layer,SSL):是指安全通訊端層,此技術是防止兩個系統(例如使用者和伺服器之間)傳輸任何資料的中途,被駭客讀取或竄改資料,以保持網路連線的安全。
  6. 身份辨識與認證(Identity Identification/Authentication):確認資料的傳輸者、資料本身、傳輸的過程、接受者等正確性的網路程序,可確保資料沒有被竄改且存取的用戶身分皆正確。

參考資料:

粘添壽。資訊與網路安全概論。2-7傳統密碼系統的摘要、2-12密碼系統的安全性。 2019/11/22檢索。

鄒昊霖(2018)。運用 IO 技術來落實 SVM 演算法於公有雲平台。政治大學資訊科學系學位論文,1-42。

版權聲明

本文歡迎媒體轉載使用,惟需附上資料來源,請註明新興科技媒體中心。
若有採訪需求或其他合作事宜,請聯絡媒體公關:

曾雨涵

haharain331@rsprc.ntu.edu.tw
02-3366-3366#55925