5G通信網(wǎng)絡(luò)安全分析及應(yīng)對(duì)

■福建 林嘉濤 李玉 陳海萍

為了實(shí)現(xiàn)真正的“萬(wàn)物互聯(lián)”，第五代（5G）移動(dòng)通信系統(tǒng)將被用于人與人之間，人與機(jī)器之間以及機(jī)器與機(jī)器之間的新一代移動(dòng)通信技術(shù)。5G的移動(dòng)網(wǎng)絡(luò)業(yè)務(wù)主要包括eMBB（增強(qiáng)移動(dòng)寬帶）、uRLLC（低時(shí)延高可靠）、mMTC（海量物聯(lián)網(wǎng)）三大典型場(chǎng)景。目前，5G安全標(biāo)準(zhǔn)化尚未完全完成，5G網(wǎng)絡(luò)需要一個(gè)統(tǒng)一、靈活、可伸縮的安全架構(gòu)，滿(mǎn)足不同應(yīng)用的不同級(jí)別的需求物聯(lián)網(wǎng)安全防護(hù)與互聯(lián)網(wǎng)安全相比更加復(fù)雜，解決方案涉及多個(gè)層面的問(wèn)題。

5 G安全要求分析

1.新業(yè)務(wù)的安全要求

5G需要根據(jù)eMBB、mMTC和uRLLC三種應(yīng)用場(chǎng)景的不同安全要求使用保護(hù)機(jī)制，其中eMBB專(zhuān)注于對(duì)帶寬和用戶(hù)體驗(yàn)要求較高的業(yè)務(wù)，如高清視頻、虛擬現(xiàn)實(shí)和增強(qiáng)現(xiàn)實(shí)，而每一個(gè)業(yè)務(wù)都有不同的安全防護(hù)強(qiáng)度要求。

mMTC側(cè)重于高密度的場(chǎng)景，如智能交通、水文監(jiān)測(cè)、智能電表等，都具有能耗極限特性，拓?fù)鋭?dòng)態(tài)變化以數(shù)據(jù)為中心，需要輕量級(jí)的安全算法和有效的安全協(xié)議。

而uRLLC專(zhuān)注于低延遲和高安全性的通信服務(wù)，例如實(shí)時(shí)醫(yī)療服務(wù)、車(chē)輛聯(lián)網(wǎng)和自動(dòng)工業(yè)控制，它們需要確保高級(jí)別的安全措施而又不增加額外的通信延遲、身份驗(yàn)證、數(shù)據(jù)加密和解密或安全上下文傳輸?shù)母拍睢?/p>

總之，5G的使用涉及到大量的接入節(jié)點(diǎn)、低延遲、高可靠性。此外，計(jì)算資源、規(guī)模和功耗都是有限的，對(duì)5G安全性提出了嚴(yán)峻挑戰(zhàn)，但對(duì)5G內(nèi)生安全機(jī)制的研究正朝著一個(gè)有前景的方向發(fā)展。

2.新網(wǎng)絡(luò)體系結(jié)構(gòu)的安全要求

傳統(tǒng)的移動(dòng)網(wǎng)絡(luò)安全主要依賴(lài)于通信設(shè)備和通信網(wǎng)絡(luò)之間建立的信任關(guān)系。傳統(tǒng)關(guān)于通信網(wǎng)絡(luò)的信任關(guān)系是建立在封閉的運(yùn)行網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上的，隨著移動(dòng)互聯(lián)網(wǎng)的蓬勃發(fā)展，網(wǎng)絡(luò)的整合和開(kāi)放是必然趨勢(shì)。傳統(tǒng)的信任關(guān)系很難維持，現(xiàn)在已發(fā)現(xiàn)了許多嚴(yán)重且影響廣泛的漏洞。

5G的特點(diǎn)，包括通用硬件平臺(tái)、開(kāi)源軟件平臺(tái)、軟件平臺(tái)、網(wǎng)絡(luò)功能虛擬化、資源的統(tǒng)一編排和管理等，都會(huì)造成越來(lái)越多以前看不見(jiàn)的安全威脅，傳統(tǒng)的基于先驗(yàn)知識(shí)的保護(hù)模式已不適用。

因此，有必要充分利用5G網(wǎng)絡(luò)體系結(jié)構(gòu)的軟硬件解耦、虛擬化、動(dòng)態(tài)化等優(yōu)勢(shì)，挖掘其內(nèi)在的安全屬性，開(kāi)發(fā)其內(nèi)在的安全關(guān)鍵技術(shù)，構(gòu)建一個(gè)基于不可信的網(wǎng)絡(luò)組件的高可靠、安全的5G網(wǎng)絡(luò)。

3.新型空中接口技術(shù)的安全要求

2G和3G的加密技術(shù)和4G空中無(wú)線(xiàn)廣播信號(hào)的安全，都是在上層實(shí)現(xiàn)的，而忽略了接口，接口對(duì)無(wú)線(xiàn)通信安全造成嚴(yán)重威脅。

而5G網(wǎng)絡(luò)將擁有更寬的帶寬、更密集的用戶(hù)數(shù)、更低的延遲和更可靠的傳輸。為了確保關(guān)鍵性能指標(biāo)（KPI）要求以正確的數(shù)量級(jí)增長(zhǎng)，有必要設(shè)計(jì)一種安全機(jī)制，不影響網(wǎng)絡(luò)性能，不依賴(lài)于計(jì)算復(fù)雜度，且對(duì)負(fù)載調(diào)節(jié)靈活，適用于不同的應(yīng)用場(chǎng)合。

因此，迫切需要開(kāi)發(fā)能夠快速確定和抵抗攻擊者在典型5G場(chǎng)景中從未知位置發(fā)起的主動(dòng)攻擊的防御方法。

4.對(duì)用戶(hù)隱私的安全要求

除了與傳統(tǒng)網(wǎng)絡(luò)（用戶(hù)信息）位置、軌跡、通信內(nèi)容、通信行為、通信關(guān)系和帳號(hào)相關(guān)的所有用戶(hù)隱私數(shù)據(jù)外，5G還承載更多隱私數(shù)據(jù)。例如與不同行業(yè)（健康）相關(guān)的個(gè)人數(shù)據(jù)信息、服務(wù)類(lèi)型和服務(wù)內(nèi)容）和行業(yè)用戶(hù)的隱私數(shù)據(jù)（如機(jī)械和生產(chǎn)控制）。這些數(shù)據(jù)往往具有更高的敏感度，這對(duì)保護(hù)用戶(hù)隱私提出了新的挑戰(zhàn)。

作為一個(gè)復(fù)雜的生態(tài)系統(tǒng)，5G網(wǎng)絡(luò)將被包括基礎(chǔ)設(shè)施提供商、移動(dòng)通信網(wǎng)絡(luò)運(yùn)營(yíng)商和虛擬運(yùn)營(yíng)商在內(nèi)的許多類(lèi)型的參與者使用。多接入技術(shù)、多層網(wǎng)絡(luò)、多個(gè)設(shè)備和參與者之間的交互可能導(dǎo)致用戶(hù)隱私數(shù)據(jù)分散在網(wǎng)絡(luò)的每個(gè)角落。

對(duì)于隱私數(shù)據(jù)的傳播，數(shù)據(jù)挖掘技術(shù)將使第三方能夠分析更多的用戶(hù)隱私信息。并且，盡管5G網(wǎng)絡(luò)中的虛擬化技術(shù)帶來(lái)了靈活性，但它將使網(wǎng)絡(luò)安全邊界變得模糊，用戶(hù)隱私數(shù)據(jù)將更容易受到攻擊，特別是對(duì)于多租戶(hù)共享計(jì)算資源。與傳統(tǒng)網(wǎng)絡(luò)相比，5G中的隱私泄露影響更大。

因此，5G網(wǎng)絡(luò)需要加強(qiáng)對(duì)用戶(hù)隱私的保護(hù)，以保護(hù)用戶(hù)在存儲(chǔ)、傳輸和訪(fǎng)問(wèn)過(guò)程中的敏感信息不被泄露。

5 G通信網(wǎng)絡(luò)安全應(yīng)對(duì)策略

1.認(rèn)證框架統(tǒng)一化

假使要有效處理好設(shè)備接入網(wǎng)和異構(gòu)網(wǎng)接入之間存在的問(wèn)題，3GPP在R15文檔已擬定可擴(kuò)展的認(rèn)證協(xié)議框架，并將其用于5G網(wǎng)絡(luò)通用認(rèn)證結(jié)構(gòu)備選方案的詳細(xì)描述，該結(jié)構(gòu)適合使用在任何通過(guò)任意3GPP界定范圍內(nèi)的接入技術(shù)以及非3GPP 界定的接入技術(shù)展開(kāi)接入網(wǎng)認(rèn)證。

EAP認(rèn)證框架以RFC3748界定，是支持各種認(rèn)證方式的三方認(rèn)證框架，該認(rèn)證是只要求消息的封裝格式和詳細(xì)的安全目標(biāo)為依托采用的認(rèn)證方式。

而現(xiàn)如今，可擴(kuò)展認(rèn)證協(xié)議框架支持EAP-OTP、EAPTLS等認(rèn)證方式，同時(shí)涵蓋部分廠(chǎng)商提供方式和相關(guān)意見(jiàn)。在5G網(wǎng)絡(luò)之中，詳細(xì)的可擴(kuò)展認(rèn)證協(xié)議主要運(yùn)行在UE、AUSF與SEAF三者之間。

2.物聯(lián)網(wǎng)的輕量級(jí)安全機(jī)制

物聯(lián)網(wǎng)（loT）是5G網(wǎng)絡(luò)中的關(guān)鍵應(yīng)用場(chǎng)景，安全性將是關(guān)鍵挑戰(zhàn)。物聯(lián)網(wǎng)節(jié)點(diǎn)通常具有硬件和信號(hào)處理能力有限、存儲(chǔ)空間有限和嚴(yán)格的功耗限制等特點(diǎn)。因此，物聯(lián)網(wǎng)節(jié)點(diǎn)首選輕量級(jí)安全通信機(jī)制，而輕量級(jí)的安全機(jī)制需基于這些特點(diǎn)設(shè)計(jì)。

從傳統(tǒng)密碼學(xué)的角度來(lái)看，可以從存儲(chǔ)硬件資源、計(jì)算復(fù)雜度等方面優(yōu)化現(xiàn)有加密算法的結(jié)構(gòu)，或者設(shè)計(jì)一種新的基于分組、序列和散列的輕量級(jí)密碼算法。因此，可以在不降低安全性能的情況下降低資源和電源成本。

此外，還可以利用無(wú)線(xiàn)信道的內(nèi)生安全特性來(lái)引入無(wú)法測(cè)量、重構(gòu)或復(fù)制的新安全元素。通過(guò)安全與通信的一體化設(shè)計(jì)，可以在不降低通信效率情況下實(shí)現(xiàn)輕量級(jí)安全，特別是在大訪(fǎng)問(wèn)、小數(shù)據(jù)傳輸和低延遲的情況下。

3.網(wǎng)絡(luò)切片安全隔離策略

網(wǎng)絡(luò)切片是一種滿(mǎn)足不同垂直市場(chǎng)異構(gòu)需求的解決方案。在不同的應(yīng)用程序環(huán)境中處理不同的縱向業(yè)務(wù)，從寬帶服務(wù)到關(guān)鍵應(yīng)用程序（如工業(yè)網(wǎng)絡(luò)），需要為每個(gè)要交付的場(chǎng)景/流量定制設(shè)計(jì)解決方案。網(wǎng)絡(luò)片是依賴(lài)于單個(gè)物理網(wǎng)絡(luò)的邏輯網(wǎng)絡(luò)，每個(gè)網(wǎng)絡(luò)片由各種網(wǎng)絡(luò)功能組成，以提供特定的功能并滿(mǎn)足特定的使用類(lèi)型。

網(wǎng)絡(luò)切片有助于引入靈活性，由于只有一個(gè)核心網(wǎng)絡(luò)具有一組處理網(wǎng)絡(luò)所提供的所有服務(wù)的功能，5G網(wǎng)絡(luò)將是靈活的，因?yàn)槊總€(gè)服務(wù)都有一個(gè)不同的專(zhuān)用核心網(wǎng)絡(luò)切片，從而保證了QoS的實(shí)現(xiàn)。

因此，網(wǎng)絡(luò)切片可為用戶(hù)提供更加安全、周到的服務(wù)，安全存儲(chǔ)用戶(hù)的重要信息到云端，方便廣大用戶(hù)實(shí)時(shí)進(jìn)行相關(guān)資源的訪(fǎng)問(wèn)，避免出現(xiàn)嚴(yán)重的資源泄露的安全問(wèn)題，有利于單位相關(guān)業(yè)務(wù)的有序開(kāi)展，達(dá)到既定的管理目標(biāo)。

4.用戶(hù)隱私

5G隱私保護(hù)機(jī)制和關(guān)鍵技術(shù)的研究主要集中在兩個(gè)方面：一是隱私數(shù)據(jù)在提供、交互和使用過(guò)程中的防泄漏問(wèn)題；二是防篡改、防破壞和防盜問(wèn)題與存儲(chǔ)、傳輸和使用過(guò)程中的隱私數(shù)據(jù)防護(hù)問(wèn)題。

5G網(wǎng)絡(luò)對(duì)不同的用戶(hù)、網(wǎng)絡(luò)元素、應(yīng)用和服務(wù)場(chǎng)景都有不同的隱私保護(hù)要求。因此，這要求5G網(wǎng)絡(luò)提供不同的隱私保護(hù)能力，并利用不同的技術(shù)措施防止用戶(hù)數(shù)據(jù)泄露。

結(jié)語(yǔ)

未來(lái)的5G安全性要求更高，并且將基于更多樣化的應(yīng)用場(chǎng)景，提供高性能、高可靠性和高可用性的多種接入方法，以及分層的網(wǎng)絡(luò)服務(wù)和新的網(wǎng)絡(luò)架構(gòu)。

現(xiàn)階段，5G處在發(fā)展時(shí)期，系統(tǒng)結(jié)構(gòu)與關(guān)鍵技術(shù)沒(méi)有完全明確，5G網(wǎng)絡(luò)安全問(wèn)題還有著各種不確定性。因此，5G網(wǎng)絡(luò)需要一個(gè)統(tǒng)一、靈活、可伸縮的安全架構(gòu)來(lái)滿(mǎn)足不同應(yīng)用的不同安全級(jí)別的需求。在5G網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與業(yè)務(wù)程序等方面，把5G網(wǎng)絡(luò)安全作為探索的核心目標(biāo)，有利于掌握5G網(wǎng)絡(luò)系統(tǒng)安全要求，以防止后續(xù)對(duì)系統(tǒng)與方案的調(diào)節(jié)，建立安全可靠的5G網(wǎng)絡(luò)。