新業務、新架構、新技術下的新挑戰5G網絡更安全還是更糟？

逄丹

當前，5G國際標準化工作已全面展開，5G 安全也成為業界關注的焦點。日前，IMT-2020（5G）推進組正式發布《5G網絡安全需求與架構白皮書》（以下簡稱《白皮書》）。

《白皮書》指出，5G網絡新的發展趨勢，尤其是5G新業務、新架構、新技術，對安全和用戶隱私保護都提出了新的挑戰。5G安全機制除了要滿足基本通信安全要求之外，還需要為不同業務場景提供差異化安全服務，能夠適應多種網絡接入方式及新型網絡架構，保護用戶隱私，并支持提供開放的安全能力。

三大場景下的安全挑戰

《白皮書》將5G網絡安全面臨的挑戰分為四個層面，分別是三大業務場景下的挑戰以及引入新技術、多種接入方式和新商業模式帶來的挑戰。

5G網絡，帶來千億連接，從人與人的聯接，轉向人與物、物與物的聯接。業界普遍認為，5G業務大致可以分為3種場景：eMBB（增強移動寬帶）、mMTC（海量機器類通信）和uRLLC（超可靠低時延通信），5G網絡需要針對這三種業務場景的不同安全需求提供差異化安全保護機制。

其中，eMBB廣泛的應用場景將帶來不同的安全需求，同一個應用場景中的不同業務其安全需求也有所不同，例如，VR/AR等個人業務可能只要求對關鍵信息的傳輸進行加密，而對于行業應用可能要求對所有環境信息的傳輸進行加密。《白皮書》建議，5G網絡可以通過擴展LTE安全機制來滿足eMBB場景所需的安全需求。

更大的挑戰來自于mMTC場景。面向物聯網成百上千億的設備，如果采用單用戶認證方案則成本高昂，而且容易造成信令風暴問題，因此在5G網絡中，需降低物聯網設備在認證和身份管理方面的成本，支撐物聯網設備的低成本和高效率海量部署。特別是針對計算能力低且電池壽命需求高的物聯網設備，5G網絡應該通過一些安全保護措施，如輕量級的安全算法、簡單高效的安全協議等來保證能源高效性。

低時延和高可靠性是uRLLC業務的基本要求，如車聯網業務在通信中如果受到安全威脅則可能會涉及到生命安全，因此要求高級別的安全保護措施且不能額外增加通信時延。從安全角度來看，降低時延需要優化業務接入過程身份認證的時延、數據傳輸安全保護帶來的時延，終端移動過程由于安全上下文切換帶來的時延、以及數據在網絡節點中加解密處理帶來的時延。

面對多種應用場景和業務需求，5G網絡需要一個統一的、靈活的、可伸縮的5G網絡安全架構來滿足不同應用的不同安全級別的安全需求，即5G網絡需要一個統一的認證框架，用以支持多種應用場景的網絡接入認證；同時5G網絡應支持伸縮性需求，如網絡橫向擴展時需要及時啟動安全功能實例來滿足增加的安全需求。

新技術下的挑戰

從4G向5G的演進，更是現有網絡架構的重建。5G網絡將引入SDN、NFV等新一代IT技術，也為5G網絡安全帶來了新的挑戰。

《白皮書》指出，由于5G網絡引入NFV，改變了傳統網絡中功能網元的保護很大程度上依賴于對物理設備的安全隔離的現狀，原先認為安全的物理環境已經變得不安全，實現虛擬化平臺的可管可控的安全性要求成為5G安全的一個重要組成部分，例如安全認證的功能也可能放到物理環境安全當中，因此，5G安全需要考慮5G基礎設施的安全，從而保障5G業務在NFV環境下能夠安全運行。

另外，5G網絡引入SDN提高了數據傳輸效率，實現了更好的資源配置，但同時也帶來了新的安全需求，即需要考慮在5G環境下，虛擬SDN控制網元和轉發節點的安全隔離和管理，以及SDN流表的安全部署和正確執行。

而為了更好地支持5G的3大業務場景，5G網絡將建立網絡切片，為不同業務提供差異化的安全服務，根據業務需求針對切片定制其安全保護機制，實現客戶化的安全分級服務，同時網絡切片也對安全提出了新的挑戰，如切片之間的安全隔離，以及虛擬網絡的安全部署和安全管理。

同時，《白皮書》指出，5G網絡中業務和場景的多樣性，以及網絡的開放性，使用戶隱私信息從封閉的平臺 轉移到開放的平臺上，接觸狀態從線下變成線上，泄露的風險也因此增加。例如在智能醫療系統中，病人病歷、處方和治療方案等隱私性信息在采集、存儲和傳輸過程中存在被泄露、篡改的風險，而在智能交通中，車輛的位置和行駛軌跡等隱私信息也存在暴露和被非法跟蹤使用的風險，因此5G網絡有了更高的用戶隱私保護需求。

安全總體目標出爐

基于這些需求，《白皮書》提出了5G網絡安全總體目標。

針對5G網絡的多種應用場景中涉及不同類型的終端設備、多種接入方式和接入憑證、多種時延要求、隱私保護要求等，5G網絡安全應保證如下：第一，提供統一的認證框架，支持多種接入方式和接入憑證，從而保證所有終端設備安全地接入網絡。第二，提供按需的安全保護，滿足多種應用場景中的終端設備的生命周期要求、業務的時延要求。第三，提供隱私保護，滿足用戶隱私保護以及相關法規的要求。

針對5G網絡架構中的重要特征包括NFV/SDN、切片以及能力開放，所以5G安全應保證如下：第一，NFV/SDN引入移動網絡的安全，包括虛擬機相關的安全、軟件安全、數據安全、SDN控制器安全等。第二，切片的安全，包括切片安全隔離、切片的安全管理、UE接入切片的安全、切片之間通信的安全等。第三，能力開放的安全，既能保證開放的網絡能力安全地提供給第三方，也能夠保證網絡的安全能力能夠開放給第三方使用。

《白皮書》指出，IMT-2020（5G）推進組全力支持在ITU和3GPP框架下研制全球統一的5G安全技術標準，積極采用創新技術滿足5G網絡安全需求，推動5G安全統一認證架構、按需安全保護、切片安全以及256比特密鑰長度密碼算法等技術的國際國內相關標準化工作。

未來將分如下兩階段積極推動 3GPP開展5G安全標準化工作：第一階段，在2018年3月之前，完成安全框架、接入安全、用戶數據的機密性和完整性保護、移動性和會話管理安全、用戶身份的隱私保護以及與EPS（演進的分組系統）的互通等相關研究工作；第二階段，在2019年12月之前，重點推進切片安全、能力開放安全、256比特密鑰長度密碼算法等相關工作。