29 华为谢尔德实验室主任鲍丰：5G安全——挑战与解决方案

华为谢尔德实验室主任鲍丰：5G安全——挑战与解决方案

　　大家好，我今天跟大家分享一下我们5G的安全研究，我叫鲍丰，我是华为安全实验室的主任。

　　一般来说我们做安全的人都知道，你如果需要有一个好的安全解决方案，第一条要知道威胁在哪，谁可能攻击你，攻击可能用什么手段。你要知道攻击威胁，首先要知道应用模型，他的数据模型什么样，要有一个大的理念。我就先从5G这个大的理念上讲起。

　　现在大家公认的一条，5G是需要服务于垂直行业的，是万物互联的使能者。万物互联谁跟谁都连起来了，为什么要连它，你把所有东西连起来需要干什么？我们认为，万物互联要在数字世界里去把现实世界中做一个镜像，很多东西挪到数字世界里很容易做，可以做各种各样的操作，把事情变得很简单、高效而且便宜。然后你再返回到物理世界来，就得到一个镜像增值。现在我们看看都有什么有镜像增值，百度镜像增值就是知识、图书馆、各种信息，把我们的大脑一下扩大好多。腾讯镜像的是你所有的社会关系，要联你现在要联系一个人、谈话多么容易，他等于在服务器端帮你做了很多事情，这些事情使得你非常方便地能做一些事情。微软的Office，现在每个人演讲都有PPT、WORD，这就是它的增值。滴滴，他镜像的就是交通。还有手机里用的各种APP，都是一种镜像，他在数字世界里镜像你现实世界的东西，然后他给你增值。阿里是零售业，我们说20年前杭州一个有志青年预见到这种增值，他提出来传统的商店根本不是我服务器的对手。我们如果看未来，制造业，现在提出了工业4.0、工业互联网、中国制造2025，说的都是一件事，就是怎么把制造业给镜像到数字世界以后再返回来。万物互联其实主要增值就在于这种镜像增值。还有智慧城市，各种智慧的系统，你镜像的都是社会的方方面面，因此我们说机会还很多。我们希望的是5G能够成为为这些社会各个方面今后的镜像，提供灵活和定制化的服务。这就是我们对5G的期望。

　　现在回到安全上，既然有了镜像模型，可以看到将现在以及未来所有的智慧城市、智慧电网、智慧医疗，它都是follow这么一个图像的。你首先做的是数据收集，然后传输服务器上做一些操作，最后再返回到现实世界。我们的安全就要围绕这个展开，所有的智慧东西都是这样，智慧电网，收集用户数据传到电网，最后改变了发电、配电。智慧医疗也是收集病人的数据，最后做出相应的动作。我们安全就要围绕这个展开，既然我们5G是服务于垂直行业，当然就是要按照垂直行业的数据流来走。

　　每个环节都有安全问题，在物联网里面，很多的端很小，计算资源很有限，但是认证的时候全靠那个T。T怎么保护？现在要找便宜的方法有，我们可以用白盒，但是他也可以把你所有的程序抠走，也可能是硬件。我让你抠不走，现在也有侧信道攻击，加密解密的时候获取你的计算时间和能量，还是把你的密钥算出来。现在不破坏你SIM卡的情况下，用侧信道供给，把你的SIM卡的T拿出来只要10秒钟。在智能电表里，如果把你的密钥抠出来以后，可以任意伪造电量，这个事就大了。传输阶段，现在大家都说车联网，学术界有一种连接，前面有个车相撞了，这个信号瞬间传到后面。这个传的时候也要有认证，现在用一个签名，但是光一个签名传过来行不行，我收到了你的签名之后瞬间传到100公里以外再放，那后面的车都停了。签名得加时间，时间窗多大，时间窗太小你旁边的车可能都不接收，时间窗太大，100公里外的都可以接收。这些东西都是需要考虑的。还有刚才大家都谈到的隐私，你到了中间数据那一段，有各种各样的安全，云的很多安全都在里头。隐私安全，你可能有很多垂直行业，有医疗的、交通的、财经的，你如果分开泄露一些还行，但如果对于所有数据，中间服务器这一定要隔离，要有非常严格的隔离。否则我如果拿到你的财务数据、健康数据、交互数据，把你所有生活习惯拿到以后，我在数字空间里把你造出来，比你自己还了解你自己。这些安全都要考虑到。那边传输和这边基本是对应的，只不过要求更强，需要双向，比如要对发电机产生控制的时候，要非常强的双向认证。

　　我现在想说的是，我们现在大家都强调，我们不能亡羊补牢了，我们需要在事先把安全都做好。但是我告诉你，这是不可能的。因为当应用各方面没明确的时候，攻击还不存在，怎么可能把应用都做好。但是你要试想到这些可能的应用、可能的攻击、可能的威胁，把那个槽留在那。你要考虑到这些东西，就是因为你要预测到这些攻击有可能存在。大家现在都谈漏洞，我们做了很多年的安全都知道漏洞，可是问你一句话，怎么衡量漏洞？一个漏洞让你分等级哪个重哪个不重，其实每一个漏洞都对应一个或多个攻击，当你对这个漏洞评价的时候，你其实是在评价这个攻击。攻击和漏洞是鸡和蛋的关系，很难说谁先有，但是我们知道攻击这件事是人造出来的，它不可能某一天停止在那，会一直不断发展下去。因此我想说的是，你不太可能把所有东西搭好不动，总是要不断增加的。我们可能在最开始做安全漏洞，还要捡重要的做。什么是重要的，在5G里，首先你要说什么重要，你先知道都有什么。我们先看一下，左边这块是3GPP SA3，他定义了17个5G安全的领域。去年12月份美国那个FCC发布了一个征询意见，5G安全到底怎么搞，他在8个领域里提出了100多个问题，这些领域都是5G相关的，当然也些是比较传统的。比如前面有演讲人提到切片，切片为什么重要，切片是个新东西，切片本质上是虚拟化，硬件相同的，在上面跑的软件不一样。未来5G，WI-FI、SIM卡都是不同的认证渠道，要统一，统一到哪，这是很重要的问题。安全这件事，大家做安全的知道，非常杂，非常泛，很宽。5G里首先要考虑最重要的，要把基础搭起来。认证是最核心的问题，它对应的是身份，这个身份不一定说你的社会身份，也可能机器的身份。你每个认证跟身份是相连接的，你谈到身份的时候，如果没有认证，就好像说你现在住酒店、买机票，出示你的身份证，那个身份证有防伪的作用在里面，就是认证，你把身份证的信息抄下来可能买机票不行。认证和身份识别是一对，又是对应的，这两个绑在一起。但是我们有一点，我们做出来的东西要能够灵活应用各种系统。你可能还是要从技术也对应现实的安全的需求。

　　下面介绍一下我们的一些研究，刚才杨女士也提了一下，我再仔细补充一下。它是一种封闭式的一对一的，SIM卡这个东西其实就是运营商管道化的基因所在，他这种方式没法开放，没法给别人用。我们现在提出来一种分布式的，当然有很多，我们现在比较看中的是基于身份的。基于身份这个也不是人的身份，在公钥里，你先选一个公钥，这个是单向的，回不来，这个跟谁都没关，所以才要PKI，要证书，很麻烦。现在基于新的IBE、IBC，就是说你可以先造一个公钥，这个公钥就是你的名字、你的email、你这个设备的序列号。然后你让运营商有一个密钥产生中心，他通过你这个ID算出你对应的公钥。认证你的时候只需要你的ID就行了，因此在这种新的模式下，当你做认证的时候，不需要跑到核心网里拿密钥。我们认为这是一个能够使得运营商更好地把他的一些安全能力开放给垂直用户甚至参与到垂直用户的起到很好的很紧密的协助作用。我下面通过这个图来说一下区别在哪。以前没有办法，就是一个SIM卡，如果属于不同的垂直行业，在运营商这边我没有什么太大区别，反正我都跟你单线联系，中间插不进去的。但到新的里头不一样了，在新的里头，垂直行业每一个行业你可以先造出来你自己的ID，比如我在微信里，我每个人有微信号，我把这个微信号交给中国移动，中国移动就产生你的公钥，然后你用这个公钥做认证，腾讯就不需要再做认证了，也就是说你把两步认证合一了。小的企业垂直行业刚起来的时候，也许懒得管理这些事，就交给你运营商做。如果当初我们不用SIM卡，就用这种方式，可能现在至少20%、50%垂直行业都是用运营商的认证，现在绝对不会俩管道。为什么运营商采取SIM卡，运算能力低，需要的运算量非常小，现在运算大一些，能力增长很快，现在很轻松。这边是在应用场景的比较，你以前都要跑到HSS，现在你只要是在KGC，就是运营商掌握的密钥中心，他就给你产生，你做这种认证就行了。

　　大概介绍一下我们现在实验室在做的研究方向。我们有三位研究人员也参加这个会，大家如果有兴趣下来可以多交流。这个讲是我们现在正在做的一些应用，比如包括切片安全，端到端我们现在电信网里不是端到端了，信号进到基站里解密，然后再传，包装，再拆包。这个东西在以前的3G、4G是可以的，因为那个时候的电信网都是封闭式网络，完全由运营商掌握。大家都在谈5G是开放式的，运营者、里头的硬件软件都来自不同的方面，这个时候如果里头一拆包，可能什么秘密都泄露了。你要定制化，安全不能是一视同仁的，可能需要根据不同的情况来看。这些都是我们目前在做的，安全架构刚才杨女士也提到了，这个是我们跟他们一起做的，两个星期前3GPP的SA3通过e-mail审批了我们的安全架构。我们现在迈出了第一步，很有可能5G安全是由我们中国人主导。现在已经进入Tr，但是要进Ts，这个大家也知道，在国际上竞争，我希望如果国内的一些单位，如果参与3GPP SA3的时候，给我们一些支持，让我们的安全架构能够最终成为5G的安全架构，这样5G的安全就是由我们中国人来主导了。