5G安全技術研究*

趙 文，羅 敏，田永春，康令州

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

“4G改變生活，5G改變社會”，5G技術作為實現萬物互聯的新一代移動通信技術，正將跨行業、跨領域的需求、創新不斷融合，為社會帶來新的變革。同時，5G網絡與業務的安全發展既關乎產業革命的大趨勢，也關乎未來人們生產生活的方方面面，已成為 5G 生態的重要組成部分[1]。

1 5G網絡特點及安全風險

5G網絡具有增強移動寬帶（Enhanced Mobile Broadband，eMBB）、高可靠低時延通信（Ultra-reliable and Low Latency Communications，uRLLC）以及海量機器類通信（Massive Machine Type Communication，mMTC）的特性，同時提供了靈活定制、彈性部署的智能網絡能力。與3G/4G移動通信網絡相比，5G網絡將出現更多更密集的小站部署，高可靠低延時的網絡保障，大規模的物聯網應用等，龐大的設備數量和復雜的接入網絡，使得 5G 網絡面臨更巨大的安全挑戰。

（1）終端安全風險

5G 中除了使用傳統的手機，uRLLC 和 mIoT（Massive Internet of Things） 場景將引入大量新型終端。智能終端的使用，不可避免地存在惡意程序、固件漏洞、竊聽、篡改用戶信息等威脅。從用戶的隱私角度來看，USIM（Universal Subscriber Identity Module，全球用戶識別卡）中的信息不僅標識了用戶而且提供了用戶更多的隱私信息，攻擊者可以通過這些信息自動地追蹤用戶，偽造、篡改用戶隱私信息，非法侵擾、知悉、收集隱私信息等。

（2）無線接入安全風險

與3/4G類似，5G接入也存在著偽基站的可能，對終端—5G網絡之間的信令、業務交互構成安全威脅，需要在5G接入網絡中引入安全機制予以規避。MEC（Mobile Edge Computing）邊緣節點也可能因為存在漏洞被攻擊者所控制，對5G邊緣計算過程中的信息安全造成威脅，從而形成竊聽，或者假冒終端或MEC節點向核心網發起DDoS攻擊。

（3）網絡安全風險

5G采用軟件定義網絡SDN（Software Defined Network）、網絡功能虛擬化NFV（Network Function Virtualization）技術對所有網元進行虛擬化，使網絡功能不再依賴于專用硬件，資源可靈活共享，向第三方開放部分管理運維功能。但是將虛擬網元邏輯組成網絡切片的方法可能存在漏洞，網絡能力開放過程或者5G運維系統可能存在漏洞；利用這些漏洞，可實施竊聽、干擾等攻擊，嚴重時可中斷、癱瘓5G核心網的正常運行，造成安全風險。

（4）移動應用安全風險

不同垂直行業的不同移動業務應用將運行在5G網絡之上，其中業務應用服務器可能存在漏洞，服務器提供的API接口可能存在漏洞，如這些應用層面的漏洞被攻擊者利用，可造成應用數據的非授權訪問及泄露，威脅垂直行業用戶的企業信息安全。

2 5G網絡安全技術分析

2.1 5G安全技術框架

5G安全總體架構的研究相對較少，3GPP R15發布了TS 33.501[2]標準中提出的5G安全架構，從網絡接入域安全、網絡域安全、用戶域安全、應用域安全、基于SBA的信令域安全、安全的可視性和可配置性六個方面描述了5G安全網絡面臨的安全問題及研究領域。

國內的IMT-2020發布的《5G網絡安全需求與架構白皮書》中[3]提出了5G安全架構，認為5G網絡架構中的重要特征包括NFV/SDN、切片以及能力開放，5G需要提供統一的認證框架，支持多種接入方式和接入憑證；提供按需的安全保護滿足多種應用場景中的終端設備的生命周期要求、業務的時延要求；提供隱私保護，滿足用戶隱私保護以及相關法規的要求等。

2.2 終端安全技術

（1）數據加密技術

對終端用戶的數據加密是解決終端安全性問題最有效的手段之一。5G移動通信里沿用了4G所采用的AES（Advanced Encryption Standard，高級加密標準）、3GPP流密碼算法、祖沖之算法，這些算法目前已被業界證明是安全的。但隨著越來越多的用戶群體加入，特別是一些特殊行業（如國防、政務、關鍵行業等）用戶群體的加入，既有的128bit密鑰將不能完全應對攻擊者的破譯威脅，一方面，需要考慮用戶數據及信令數據的加密保護，包括端到端的加密，數據的存儲加密等，另一方面考慮使用更長的密鑰或者對用戶的密碼算法更換，應獲得更好的安全效果。

（2）隱私保護技術

用戶隱私保護也是對終端安全應當考慮的重要問題。針對用戶首次向網絡認證時在空口上傳明文SUPI（SUbscription Permanent Identifier，用戶永久標識符）的問題，3GPP中是通過非對稱密碼保護SUPI，生成并在空口上使用SUCI（SUbscription Concealed Identifier,用戶隱藏標識符），以便于保護用戶的簽約身份標識。對于特殊行業用戶，除了在不改變原有接口及協議流程的基礎上，通過采用定制化的密碼增強方案提高特殊行業用戶的安全性，還可以通過對特殊行業用戶的SUPI進行跳變，避免攻擊者通過攻擊公網中拜訪網絡網元獲取用戶SUPI，并進一步獲取用戶相關隱私信息及對用戶進行持續性攻擊，提供特殊行業用戶隱私保護安全。

2.3 無線接入安全技術

無線接入安全主要由用戶設備（User Equipment,UE）、接入網（AccessNetwork,AN）和核心網（Core Network,CN）中的各功能實體配合完成的，實現UE安全接入5G網絡。

接入網主要包括多種接入技術的相關設備及功能，如eNB、gNB、AP/AC等，為UE提供無線信號接入，并為UE和接入網設備之間的控制面信令及用戶面數據提供完整性和機密性保護。

與5G無線接入安全相關的核心網網元主要包括控制面功能單元（Core Network-Control Plane CNCP）、認證服務器單元AUthentication Server,AUS）和核心網用戶網關（User Plane-Gateway,UP-GW）等，其中CN-CP終結來自UE的信令，并且在UE成功接入網絡后，通過推衍UE和CN-CP之間的信令的完整性、機密性保護密鑰，實現對UE和核心網之間信令的安全防護；UP-GW能夠終結來自UE的用戶面數據，通過推衍UE和UP-GW之間的用戶面數據的完整性、機密性保護密鑰，實現對UE和核心網之間用戶面數據的安全保護。

2.4 網絡安全技術

（1）基于切片安全隔離技術

網絡切片是5G特征，通過切片構成端到端的邏輯網絡，以安全資源虛擬化、軟件定義安全、安全能力開放共享、多元化信任以及多等級安全等功能為垂直行業與特殊行業等應用提供定制化、差異化的安全能力。

針對普通公眾用戶，將運營商提供的5G網絡基礎設施中的網絡功能與安全功能通過切片編排策略（Management ANd Orchestration,MANO），并生成網絡切片；而針對高安全高保密業務要求的特殊行業用戶，則需要將運營商的部分網絡功能與安全功能、特殊行業的部分增強網絡功能、定制化安全保密功能通過MANO編排到同一個網絡切片中。通過對不同的切片進行可信安全隔離，建立切片內的安全通道，確保數據傳輸的機密性、完整性以及防重放攻擊等。通過切片內與切片間的數據轉發與邊界控制機制，實現切片間數據的安全轉發，并實施基于安全策略的數據流控制，防止非法或未授權數據流的越界。

通過網絡切片的安全隔離，構建一個獨立的安全資源通道，以達到不同切片之間私有數據、網絡資源、安全資源的隔離，從而防止數據的流動，資源的侵占，以避免用戶信息的泄漏。

（2）多層次安全防護技術

5G網絡的安全保護應當是一個多層次的安全體系保護，對終端的用戶數據與信令數據定義了進行機密性、完整性的保護措施。

在5G網絡網元實體交互的安全通信中，實施對信令交互過程的完整性、身份認證等保護，以適合5G網絡功能虛擬化、按需服務等條件下的動態靈活、易管理的信令保護協議需求，以實現網元之間高效安全的交互。

對于定制化的網絡切片應用，如特殊行業應用，提供基于網絡層安全加密；還可以通過對業務層面進行應用層加密，以增強的行業應用的安全性。在不同層次的加密方案中，可以對加密算法進行針對性的替換，以獲得更好的安全效果。

2.5 安全管理

（1）統一認證管理

5G網絡中統一了不同終端的入網主認證體制，并給出了將可擴展認證協議(extensible authentication protocol,簡稱EAP)框架。EAP是一個可以靈活封裝各種認證協議的統一認證框架，支持AP－PSK，EAP－TLS，EAP－AKA等多種認證協議[4]。對于特殊行業用戶，可以采用AKA（Authentication and Key Agreement）認證機制，進行終端和網絡的雙向認證。在認證過程中，終端和服務網絡均隨機產生一個安全密鑰，用于派生出加密和完整性保護的密鑰，對用戶接入的安全性進行保護，并結合用戶SUPI跳變隱藏，為用戶提供高強度入網認證。

在3GPP 標準介紹了二次認證的流程，但對具體使用哪種認證方式并未做出明確的規定。因此，可以通過定制不同的安全策略，對一般用戶和特殊行業用戶進行不同安全等級的二次認證。二次認證模型如圖1所示。

圖1 二次認證模型

對于一般終端用戶，入網主認證通過后，還需要完成與AAA（(Authentication、Authorization、Accounting,認證授權計費）服務器之間的二次認證，然后才能接入用戶的數據網絡。

對于特殊行業用戶，可以利用5G的開放性特征，部署行業自定義的AAA，采用定制的二次認證算法和協議，實現行業自主可控的二次身份認證功能[5]。

（2）統一信任服務

統一信任服務主要基于多元信任管理與傳遞模型，通過統一身份信息管理設施、多元信任模式下的身份認證服務、設備交互授權管理、單點登錄和安全行為審計與管理、安全應用中間件等技術，根據不同業務不同行業的用戶需求，建立統一信任服務，實現5G網絡用戶對5G承載業務的“一次認證，全網通行”。

3 結語

5G作為新一代移動通信網絡基礎設施，在網絡架構、技術體制等方面與4G相比發生了巨大變化，雖然5G網絡在體系架構上有針對性進行了安全性設計，但對于不同的行業應用仍然需要差異化安全設計。本文通過對5G網絡主要安全技術的分析，提出了一些針對特殊行業用戶的安全性增強措施，有助于構建更加安全的5G行業應用。隨著5G的更廣泛應用，還需要進一步研究輕量級認證算法、網絡切片安全隔離、低時延多層級加密等關鍵技術，實現5G網絡在行業的真正安全使用。