您当前访问的的浏览器版本过低,为了给您带来更好的体验,建议您升级至Edge浏览器或者推荐使用Google浏览器
取消

5G消息安全挑战及应对

发布时间:2021-08-17  作者:中兴通讯 张文召,周辰  阅读量:

随着网络技术的发展和用户对信息沟通要求的提高,传统的短信业务已无法满足用户信息沟通的需求。在此背景下,5G消息应运而生。5G消息是对传统短信业务的升级,不仅支持文本消息,还支持图片、音频、视频、文件、地理位置等媒体格式的消息内容,同时还支持面向行业应用的MaaP平台,为企业应用提供与个人用户之间的信息交互接口。

5G消息承载的信息量远远大于2G/3G/4G时代的短信承载的信息量,可以最大程度地满足用户信息沟通的需求。但5G消息给用户带来便捷的沟通方式、丰富的信息内容的同时,也面临着新的安全挑战。

 

5G消息面临的安全挑战

 

5G消息面临的安全问题主要包括多媒体内容的安全挑战、业务形式的安全挑战,以及接入网络的安全挑战。

 

多媒体内容的安全挑战

传统短信仅支持140字节文本格式的内容,而5G消息承载于IP网络,可以支持文本、图片、音频、视频、文件、地理位置、卡片消息等更丰富的媒体格式的内容。在传统短信时代,对于垃圾短信可以通过关键字或者关键字组合等方式识别过滤。而5G消息时代,对于不良消息内容则需要更加有效的手段来识别和拦截。

 

业务形式的安全挑战

5G消息不仅仅支持普通的点对点消息,还支持群发、群聊、行业应用和应用交互等业务类型,而且业务形式多种多样,包括视频共享、电子白板、会议、应用订购等。而群聊业务又会涉及群名称、个人昵称、群公告等内容,这些内容以及群业务的行为也可能存在安全问题。而且由于群业务内容带有一定的隐蔽性,不易识别,群消息散布范围广,所以造成的风险更大,安全管控难度也更大。因此,5G消息丰富的业务形式也带来了更为严峻的安全挑战。

 

接入安全的挑战

传统短信通过电信核心网的信令通道传输消息内容,信令通道是封闭的,公共网络无法访问,这样可以充分保证短信传输通道的安全。而5G消息从协议控制上来说增加了更多的安全性,但由于传输基于IP网络,IP网络组网复杂,部分网络会有公网接口或者暴露在公网之上,因此会给业务带来安全风险,需要加以规避。

 

打造5G消息的安全防线

 

面对以上安全问题,需要采用更有效更有针对性的安全方案,打造5G消息的安全防线。

 

消息内容的多级别控制

5G消息内容需要考虑对图片、音频、视频、地理位置、卡片消息以及超长文本内容的分析。对于超长文本内容,除了通用的关键字扫描识别,还需要增加上下文关联、超长文本分段并发扫描识别等优化扫描和匹配算法,识别更隐蔽的非法内容,加快命中速度。对于图片、音频、视频、卡片、地理位置以及其他类型的文件等媒体内容,一般采用样本库快速匹配与内容扫描相结合的方式。一方面对于已入样本库的文件可以快速识别,另一方面还要保证未入样本库的消息内容的扫描全覆盖,同时增加人工审核席位。当确认消息内容包含不良内容时,系统自动提取指纹导入样本库,后续消息中如果出现相同的媒体文件,系统可以直接命中拦截。除此之外,随着AI技术的发展,引入AI识别技术用于自动学习和内容识别成为一种更高效的技术手段。

由于5G消息承载的媒体类型多种多样,系统自动扫描无法覆盖所有类型的内容。对于样本没有命中、系统自动扫描又无法识别的文件,只能依靠人工审核。而人工审核无法保证内容过滤的时效性,因此,除了上述对消息内容实时分析和拦截的方式外,还需要考虑事后管控的处理措施,譬如对已发送的恶意内容进行追删、一键举报等,防止恶意内容的扩散。

此外,由于CSP(内容和业务提供商)的消息影响范围更广,所以对于CSP的消息内容需要采用更严格的审核机制,如消息内容须人工审核通过后再下发,避免因错漏造成大范围的恶劣影响。

 

建造多层次信用保证体系

除了对消息内容进行安全过滤外,还有必要建设多层次的信用体系和机制来保障系统的业务安全。信用体系建设包括两个方面:针对CSP的信用体系和针对终端用户的信用体系。

针对CSP的信用体系主要用于对CSP安全信用的管理。CSP信用可以分为不同等级,系统根据信用等级限定可以开放的业务范围。系统信用评分采用正向激励机制,以激励CSP自觉遵守安全规则,共同维护健康绿色的业务环境。

终端用户的信用体系,主要用于用户准入、消息收发、群聊业务权限的管理,系统为不同的信用等级用户提供不同级别的服务。譬如对于严重违规的用户,系统审核确认后加入黑名单,该用户以后不允许使用任何5G消息业务。对于群聊业务,用户的信用等级不同,可以使用的业务也不同,例如允许建群的数量,可以加入群的数量,是否可以成为群管理员,是否可以广播消息,是否有踢人、禁言权力等。另外,系统还可以结合群内成员的信用等级分布、群内出现不良消息内容的频率等,设置群组级别的信用等级。对于信用等级低的群组可以采用提前预警、限制权限、加重拦截权重、分时段关闭等方式来管理群组,保证业务的合规。

5G消息与网络安全组网架构和功能划分如图1所示。

     图1   5G消息平台与网络安全平台

 

打造安全的接入网络

5G消息终端可以通过PS域或者Wi-Fi网络接入到5G消息系统。

当终端通过Wi-Fi网络接入5G消息系统时,业界普遍采用链路加密的方式来保证数据传输的安全。

当终端通过PS域接入5G消息系统时,有两种方式保证接入网络的安全。方式一,采用终端到系统平台端到端链路加密方式。这种方式能充分保证数据传输的绝对安全,由于市场上尚有老终端不支持PS域消息链路加密,所以目前PS域还没有普遍采用这种方式。方式二,把数据分组网关与5G消息系统之间的连接规划到运营商私有网络内,与公共网络断开。这种方式操作简单,对终端侧无要求,但由于各运营商现网组网方式不一,如果因为组网不满足要求而需要调整网络,将是一个很大的工作量。因此,采用这种方式一定要与网络规划部门提前沟通协商,合理规划,尽可能充分地调配利用现网资源。

接入网络安全还要考虑5G时代不断变化的网络攻击。随着网络技术的快速发展,网络攻击者也在使用更新的手段进行网络攻击,譬如终端被黑客控制进行网络攻击、攻击者更智能化的攻击手段等。针对这些更新的网络攻击手段,平台侧需要考虑引入人工智能来赋能网络安全,在恶意代码分析、入侵检测、恶意流量、异常行为分析等方面充分发挥人工智能的优势,让人工智能自动识别和处理潜在的网络威胁,更有效地防护网络安全。

 

5G消息业务基于用户的手机号码,业务承载在电信网络上,与OTT即时消息业务相比,5G消息更安全、更可靠;与传统短信相比,采用技术手段规避和建立安全防线后,安全性可以进一步提升。但可以预见的是5G消息业务安全还会不断面临新的挑战,5G消息业务安全必然是一项持续进行的课题。同时,在5G消息系统的安全设计上也要与时俱进引入人工智能、大数据等新技术,让人工智能为网络安全赋能。

 

 

分享到: