通信世界网消息(CWW)随着物联网、云计算与5G技术的深度融合,“大带宽、高可靠、低时延、海量连接”的网络特性让“端云”协同架构全面落地,成为支撑数字经济的核心基础设施。这一架构承载着个人、政企乃至国家层面的关键数据传输与业务运行,但其存在着终端、云端、协同机制的安全漏洞,以及Web应用复杂环境下的业务风险、政企数据传输的安全隐患,直接威胁信息安全与数字经济可持续发展。对此,本文基于5G超级SIM的高效“端云”安全体系,从核心关键技术研发、Web应用安全检测强化、政企数据传输加密机制建立,以及算法与硬件层面的安全升级等维度,全面阐述高效、立体的安全防护方案,为5G场景下的“端云”协同安全提供全方位保障。
基于5G超级SIM“端云”安全体系的关键技术
5G网络推动IT与CT深度融合,“端云”协同成为行业的共同目标——其核心是屏蔽云、端分布式异构资源差异,实现数据自由流通与业务统一运行。而构建立体化安全保障能力,正是满足多样化业务“实时敏捷、安全可靠”需求的重要前提。
当前,“端云”体系存在三重核心安全隐患:终端应用缺乏有效的安全检测与防御能力,云端数据面临窃听、泄露风险,“端云”协同认证易遭遇终端劫持、身份冒用等接入攻击。因此,需要建立5G场景下的鉴权认证机制、高安全高可用密钥管理机制,以及终端应用的安全保障机制。
5G场景下的鉴权认证机制。“端云”协作鉴权认证机制以超级SIM的安全能力为访问主体(包括用户、设备、应用等)建立可信身份标识,结合“零信任”安全架构,并基于终端SIM卡标识、位置、网络地址等多维度因子,构建可信应用代理、可信应用编程代理、可信访问控制台、智能身份分析系统,从而实现基于会话连接粒度的动态访问控制。针对5G终端业务低时延、高并发、高可靠等不同场景,基于物联网轻量级认证要求、轻量级安全认证协议、轻量级网络认证机制,形成针对“终端—终端”“终端—边缘云”“终端—核心云”“终端—接入网”等的多段超级SIM认证方案。
高安全高可用密钥管理机制。针对5G网络环境中大规模终端、接入场景复杂所带来的密钥管理问题,应建立新的密钥管理方案,以满足云、端、卡协同体系中的密钥管理需求。
密钥全生命周期管理需要适配云、端、卡协同需求:密钥生成阶段按安全等级差异化产出密钥;密钥分发阶段通过严格认证确保密钥完整送达;密钥存储与保护阶段强化备份机制,规避意外丢失风险。
在终端应用的安全保障方面,基于当前应用市场的安全现状和需求,亟须加强终端应用安全管理和检测,检测对象包括Android应用、iOS应用、Web应用、开发包、函数库等。
加强Web应用的业务安全检测
在数字化时代,企业为实现跨场景协作、低成本运维与技术快速迭代,普遍采用Web应用搭建业务系统,而传统数据中心向云环境迁移后,Web应用环境复杂度激增,业务安全面临严峻挑战,因此需要加强Web应用的业务安全检测。检测手段包括基于中间件基线检测、基于应用URL API抓取识别异常调用行为检测两大方向。
一是中间件基线检测。中间件是连接不同应用和服务的桥梁,它负责处理数据交换、消息传递和资源管理等任务。因此,中间件的安全性是系统安全的关键一环,尤其是当涉及弱口令时,其带来的风险不容忽视。
中间件基线检测借助Java Agent,采用基于Agent/Server的架构,通过在服务器上部署Agent程序并与Server后台联动,实现对大规模服务器中间件、数据库的安全基线核查;Agent在采集数据的同时获取服务器系统及进程的性能数据,实时监控服务器状态,对出现异常的服务器通过告警的方式通知服务器系统管理员,使服务器时刻运行在一个可保障的安全状态。
检测内容分为五大类。一是账号与口令安全:检查弱口令、密码复杂度策略(如长度、字符类型)、密码生存周期等。二是权限管理:验证用户权限分配是否遵循最小权限原则,禁用匿名账户或默认账户(如Guest)。三是日志审计:确保系统日志开启且远程备份,支持攻击溯源。四是网络通信:关闭无用端口(如Telnet)、限制高危服务(如FTP)的访问范围。五是服务与进程:禁用非必要服务、检查系统补丁更新状态。
二是基于应用URL API抓取识别异常调用行为检测。该检测主要通过在用户使用业务系统过程中识别异常行为操作,业务系统在安装安全程序时,自动识别所有的Web API地址,将获取到的URL地址回传至安全程序统一管控中心,提供统一的URL管控,具体可通过白名单获取、时效性保证、异常调用行为判断、攻击者身份信息获取、URL黑白名单动态管理等手段进行检测。
建立政企项目数据传输加密机制
在数字化浪潮中,数据安全已经成为数字经济可持续发展的基石,更是个人权益、企业运营的重要保障。政企项目数据传输涉及政务、教育、医疗、交通等多个领域,而数据在生产、采集、存储、加工、分析、使用等各个环节均面临着严重威胁,需要采取全方位防护措施,以确保数据安全。
传统的安全监管手段包括建立健全安全组织、规范安全管理制度、加强内部审计监管、强化安全培训等,鉴于政企项目所传输数据的特殊性,还应建立一套数据传输加密机制。
政企项目数据传输涉及三级核心环节——源系统(31个省级业务系统)、传输系统(统一网关及网络传输媒介)、目的系统(一级接收系统),而确保数据完整、安全送达是全流程核心目标。
在源系统方面,31个省公司从其他业务系统、管理系统汇聚本省相关业务的原始数据,按照接口规范约定,汇聚成统一格式的传输文件,通过约定的加密算法对原始数据进行加密。一旦发现原始数据被篡改而引发数据安全问题,将通过校验报告文件回溯至源系统端,进行重新处理,从而保证目的系统收到的数据完整、准确、安全。
传输系统(政企统一网关)是公司内部搭建的省公司和总部之间传输数据的系统。该传输系统采用统一网关R模块SFTP协议进行数据传输,SFTP在客户端和服务器之间通过SSH协议(TCP端口22)传输数据。省公司上传未曾加密的原始文件(明文),传输过程中SFTP将明文进行加密、以二进制形式传递,一级系统通过正确密钥获取到文件,在网络传输过程中,即使被截取也看不到真实的明文数据。
在目的系统,采集网关传送过来的省公司数据,包括原始数据、校验文件、校验报告文件。一级系统对原始数据文件与比照校验文件进行校验,然后生成校验报告文件回执给31个省级公司文件数据,以便省公司及时发现问题,解决数据不一致和安全问题。
结语
面向5G大带宽实时传输需求与频发的网络攻击,除构建核心安全技术、强化Web应用检测、建立政企传输加密机制外,还应从算法与硬件层面筑牢安全底座:算法层面结合国产密码标准,研发适配5G的轻量级、低功耗、抗侧信道攻击的密码算法系列;硬件层面匹配算法逻辑,采用超级SIM适配的并行电路架构与流水线技术,在缩减电路规模的同时,提升算法运行频率与数据吞吐率。
*本篇刊载于《通信世界》2025年11月25日*
第22期 总980期
