5G安全的愿景

朱紅儒，莊小君，郭 姝，齊旻鵬

（中國移動通信有限公司研究院 北京 100053）

1 引言

2 5G網絡架構演進

為了滿足千倍流量增長、無感知時延和海量設備連接的網絡發展需求，5G需要有新的網絡架構，從而支持網絡管理的自動化、網絡資源的虛擬化和網絡控制的集中化。目前業界比較認可的5G架構演進方向包括兩個方面：一是在網絡設備上，通過NFV（network function virtualization，網絡功能虛擬化）實現軟件和硬件解耦，提高網絡資源利用率；二是在網絡架構上，通過SDN（software defined networking，軟件定義網絡）技術實現控制和轉發的進一步分離。

NFV使得傳統的物理網絡設備以VNF（virtualized network function，虛擬網絡功能）的方式部署在通用硬件的虛擬機上，靈活實現網絡資源的彈性伸縮，加快網絡的部署，提升網絡的運維管理效率。而采用SDN技術將會提升控制面集成度，增強轉發面效率。對于網絡設備的控制面，將采用集中控制、分布控制或者兩者結合的控制方式；對于網絡設備的轉發面，基站與路由交換等基礎設施將具備可編程的能力，使得網絡應用層可以與各種應用場景靈活適配，增強網絡的開放性和兼容性。

5G接入網中可能需要更多的天線數、更高的調制階數、更強的干擾消除機制等，使得5G網絡能夠支持高密度小區、支持網絡容量呼吸和遷移、支持多網融合，進而實現對高密度和新空口的高頻數據以及新型移動互聯網應用的適配。因此，大規模天線系統、高頻段新波形設計、非正交傳輸和接入技術、同時同頻全雙工技術、網絡架構與信令優化等都將作為5G網絡架構演進的重要技術。圖1描述了5G網絡架構演進的方向，重點突出了5G網絡中革新的部分，即通過基站池化、核心網云化、網絡設備控制面和管理面分離實現NFV和SDN技術在5G網絡中的落地，推動5G網絡架構的演進。

3 5G安全技術發展方向

3.1 5G安全架構

2G的安全架構是單向認證，即只有網絡對用戶的認證，而沒有用戶對網絡的認證，空口的信令和數據只具備加密保護能力；3G的安全架構則是網絡和用戶的雙向認證，相比于2G的空口加密能力，3G空口的信令還增加了完整性保護，同時核心網也有NDS/IP的網絡域安全保護[4]；4G安全架構雖然仍采取雙向認證，但是4G使用獨立的密鑰保護不同層面（接入層和非接入層）的多條數據流和信令流，核心網也使用網絡域安全進行保護[5]。

由于對5G提出的高速率、低時延、處理海量終端等要求，5G安全架構需要從優化保護節點和密鑰架構等方面進行演進。

3.1.1 保護節點的演進

然而，對于李秀花的這種心理，楊力生卻并不清楚。在他看來，她暫時不應聲不要緊，反正姑娘家早晚是得找婆家，任憑別人對她再好，想超過他的條件那肯定是不可能的。自己雖比她大十幾歲，但論人品自己不賴；論經濟條件，在周圍也是尖子戶。有這兩個優勢，早晚她都會屬于他。

在5G時代，用戶對數據傳輸的要求更高，不僅對上下行數據傳輸速率提出挑戰，同時也對時延提出了“無感知”的苛刻要求[6]。而在傳統的2G、3G、4G網絡中，用戶設備（UE）與基站之間提供空口的安全保護機制，在移動時會頻繁地更新密鑰。而頻繁地切換基站與更新密鑰將會帶來較大的時延，并導致用戶實際傳輸速率無法得到進一步提高，因此在5G中必須對此加以改進。5G網絡可考慮從數據保護節點處進行改進，即將加解密的網絡側節點由基站設備向核心網設備延伸，利用核心網設備在會話過程中較少變動的特性，實現降低切換頻率的目的，進而提升傳輸速率。在這種方式下，空口加密將轉變為UE與核心網設備間的加密，原本用于空口加密的控制信令也將隨之演進為UE與核心網設備間的控制信令。

此外，5G時代將會融合各種通信網絡，而目前2G、3G、4G以及WLAN[7]等網絡均擁有各自獨立的安全保護體系，提供加密保護的節點也有所不同，如2G、3G、4G采用UE與基站間的空口保護，而WLAN則多數采用終端到核心網的接入網元PDN網關或者邊界網元ePDG之間的安全保護。因此，終端必須不斷地根據網絡形態選擇對應的保護節點，這為終端在各種網絡間的漫游帶來了極大的不便，因此可考慮在核心網中設立相應的安全邊界節點，采用統一的認證機制解決這一問題。

3.1.2 密鑰架構優化

4G網絡架構的扁平化導致密鑰架構從原來使用單一密鑰提供保護，變成使用獨立密鑰對NAS（non-access stratum，非接入層）和 AS（access stratum，接入層）分別進行保護，如圖2所示。所以保護信令面和數據面的密鑰個數也從原來的2個變成5個，密鑰推衍變得相對復雜[5]，多個密鑰的推衍計算會帶來一定的計算開銷和時延。在5G場景下，需要對4G的密鑰架構進行優化，使得5G的密鑰架構具備輕量化的特點，滿足5G對低成本和低時延的要求。

圖1 5G網絡架構演進

圖2 4G網絡的密鑰架構

另外，5G網絡中可能會存在兩類計算和處理能力差別很大的設備：一類是大量的物聯網設備，這些設備的成本低、計算能力和處理能力不強，無法支持現在通用的密碼算法和安全機制（如AES、TLS等），因此除了上述的密鑰架構之外，5G還需要開發輕量級的密鑰算法，使得5G場景下海量的低成本、低處理能力的物聯網設備能夠進行安全的通信；另一類是高處理能力的設備（如智能手機），隨著芯片等技術的高速發展，設備的計算、存儲能力將大大提高，也會很容易支持快速公私鑰加解密，此時可以大范圍使用證書來更簡單、更方便地產生不同的多樣化密鑰，從而對具有高處理能力的設備之間的通信進行保護。

3.2 5G安全關鍵技術

3.2.1 5G中的大數據安全

5G的高速率、大帶寬特性促使移動網絡的數據量劇增，也使得大數據技術在移動網絡中變得更加重要。大數據技術可以實現對移動網絡中海量數據的分析，進而實現流量的精細化運營，準確感知安全態勢等業務。如5G網絡中的網絡集中控制器具有全網的流量視圖，通過使用大數據技術分析網絡中流量最多的時間段和類型等，可以對網絡流量的精細化管理給出準確的對策。另外，對于移動網絡中的攻擊事件也可以利用大數據技術進行分析，描繪攻擊視圖有助于提前感知未知的安全攻擊。

在大數據技術為移動網絡帶來諸多好處和便利的同時，也需要關注和解決大數據的安全問題。而隨著人們對個人隱私保護越來越重視，隱私保護成為了大數據首先要解決的重要問題。大量事實已經表明，大數據如不得到妥善處理，將會對用戶的隱私造成極大的侵害；另外，針對大數據的安全問題，還需要進一步研究數據挖掘中的匿名保護、數據溯源、數據安全傳輸、安全存儲、安全刪除等技術[8]。

3.2.2 5G中云化、虛擬化、軟件定義網絡帶來的安全問題

對5G系統的低成本和高效率的要求，使得云化、虛擬化、軟件定義網絡等技術被引入5G網絡。隨著這些技術的引入，原來私有、封閉、高成本的網絡設備和網絡形態變成標準、開放、低成本的網絡設備和網絡形態。同時，標準化和開放化的網絡形態使得攻擊者更容易發起攻擊，并且云化、虛擬化、軟件定義網絡的集中化部署，將導致一旦網絡上發生安全威脅，其傳播速度會更快、波及范圍會更廣。所以，云化、虛擬化、軟件定義網絡的安全變得更加重要，其主要的安全問題如下。

·云化、虛擬化網絡引入虛擬化技術，要重點考慮和解決虛擬化相關的問題，如虛擬資源的隔離、虛擬網絡的安全域劃分及邊界防護等。

·云化、虛擬化網絡后，傳統物理設備之間的通信變成了虛擬機之間的通信，需要考慮能否使用虛擬機之間的安全通信來優化傳統物理設備之間的安全通信。

·引入SDN架構后，5G網絡中設備的控制面與轉發面分離，5G網絡架構產生了應用層、控制層以及轉發層。需要重點考慮各層的安全、各層之間連接所對應的安全 （如南北協議安全和東西向的安全）以及控制器本身的安全等。

3.2.3 移動智能終端的安全

5G時代用戶使用的業務會更加豐富多彩，對業務的欲望也會更加強烈，移動智能終端的處理能力、計算能力會得到極大的提高，但同時黑客使用5G網絡的高速率、大數據、豐富的應用等技術手段，能夠更加有效地發起對移動智能終端的攻擊，因此移動智能終端的安全在5G場景下會變得更加重要。

保證移動智能終端的安全，除了采用常規的安裝病毒軟件進行病毒查殺之外，還需要有硬件級別的安全環境，保護用戶的敏感信息（如加密關鍵數據的密鑰）、敏感操作（如輸入銀行密碼），并且能夠從可信根啟動，建立可信根→boot loader→OS→關鍵應用程序的可信鏈，保證智能終端的安全可信。

3.3 5G安全機制的未來研究方向

5G包含很多不同的技術，針對不同場景需要采用不同的安全機制。本文主要討論5G安全機制未來可能的研究方向。

3.3.1 5G新型認證機制

在5G移動互聯網中，物聯網將成為重要的應用場景。物聯網主要面向物與物、人與物的通信。5G網絡通信不僅涉及普通個人用戶，也涵蓋了大量不同類型的行業用戶。為了滲透到更多的物聯網業務中，5G應具備更強的靈活性和可擴展性，以適應海量的設備連接和多樣化的用戶需求[6]。為此，物聯網通信中需要對按照一定原則（如同屬一個應用、在同一個區域、有相同的行為特征等）組織在一起的大量終端節點提供成組的認證[9]，即通過一次認證就可以完成對所有節點的認證，從而避免傳統網絡的一對一認證帶來的大量信令消耗和時延問題。

3.3.2 算法協商

5G 系統中 2G、3G、4G、LTE、Wi-Fi等多種網絡共存，這必然產生網絡融合的問題。終端設備在多種網絡之間漫游時，必然會引起密鑰切換、算法協商問題。而且在5G網絡下，接入網將面臨更大的信令與數據壓力，所以需要采取更加輕量級的算法協商方案，以提升網絡的效率。

4 結束語

5G網絡是一個全融合的網絡，其安全問題也是連接“移動智能終端、寬帶和云”的端到端的安全問題，更是涉及物理安全、傳輸安全以及信息安全的全方位安全問題，從而產生了如大數據安全保護、虛擬化網絡安全、智能終端安全等關鍵安全問題。此外，在傳統安全機制的基礎上，新的認證機制和技術中的安全機制可以進一步增強5G網絡的安全防護能力，使得5G網絡可以為人們的生產、生活帶來更多便利。

1 3GPP TS 23.002.Technical Specification Group Services and System Aspects;Network Architecture,2007

2 3GPP TS 23.401.GeneralPacketRadio Service (GPRS)Enhancements for Evolved Universal Terrestrial Radio Access Network(E-UTRAN)Access,2008

3 陳曉貝,羅振東.面向2020年及未來,5G之花如何綻放.人民郵電報,2014

4 3GPP TS 33.102 V12.1.0.Technical Specification Group Services and System Aspects;3G Security;Security Architecture,2011

5 3GPP TS 33.401.3GPP System Architecture Evolution(SAE);Security Architecture,2012

6 IMT-2020.5G愿景與需求白皮書,2014

7 3GPP TS 33.234 V12.1.0.TechnicalSpecification Group Services and System Aspects;3G Security;Wireless Local Area Network(WLAN)Interworking Security,2011

8 馮登國,張敏,李昊.大數據安全與隱私保護.計算機學報,2014,37(1):246～258

9 3GPP TR 33.812 V9.2.0.Feasibility Study on the Security Aspects of Remote Provisioning and Change of Subscription for Machine to Machine(M2M)Equipment,2012