5G安全風(fēng)險(xiǎn)及應(yīng)對(duì)淺析

陳冬梅

摘要：隨著2019年5G商用牌照的發(fā)放，我國(guó)正式進(jìn)入5G時(shí)代，5G網(wǎng)絡(luò)建設(shè)和商用的步伐也日益加快。5G一方面可以造福社會(huì)、造福人民，另一方面也引發(fā)了新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)。沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，如何應(yīng)對(duì)5G安全風(fēng)險(xiǎn)和挑戰(zhàn)，必將成為業(yè)界面臨的要解決問(wèn)題。基于此，本文從5G安全風(fēng)險(xiǎn)分析入手，針對(duì)5G采用的關(guān)鍵技術(shù)及其典型應(yīng)用場(chǎng)景安全風(fēng)險(xiǎn)提出相應(yīng)的應(yīng)對(duì)措施。

關(guān)鍵詞：5G安全;安全風(fēng)險(xiǎn);應(yīng)對(duì)

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）16-0057-02

5G作為新一代信息通信技術(shù)演進(jìn)升級(jí)的重要方向，相比于4G等傳統(tǒng)移動(dòng)通信技術(shù)，具有更高的帶寬、更低的時(shí)延、更廣的連接和更可靠的性能，有專家表示未來(lái)20%左右的5G設(shè)施是用于人和人之間的通訊，80%用于物和物、物和人之間的通訊，也就是說(shuō)5G是實(shí)現(xiàn)萬(wàn)物互聯(lián)的關(guān)鍵信息基礎(chǔ)設(shè)施。當(dāng)前世界主要國(guó)家都把5G作為經(jīng)濟(jì)發(fā)展、技術(shù)創(chuàng)新的重點(diǎn)，將5G作為謀求競(jìng)爭(zhēng)新優(yōu)勢(shì)的戰(zhàn)略方向，相應(yīng)地5G安全問(wèn)題也成為各方關(guān)注的焦點(diǎn)，尤其是5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)帶來(lái)的風(fēng)險(xiǎn)和挑戰(zhàn)。

1 5G安全概述

1.1 5G網(wǎng)絡(luò)特點(diǎn)

在網(wǎng)絡(luò)架構(gòu)上，5G網(wǎng)絡(luò)延續(xù)了4G接入網(wǎng)、核心網(wǎng)和上層應(yīng)用的特點(diǎn)，但為了滿足 5G 移動(dòng)互聯(lián)和移動(dòng)物聯(lián)的多樣化業(yè)務(wù)需求，5G 網(wǎng)絡(luò)在接入網(wǎng)和核心網(wǎng)上采用了新技術(shù)實(shí)現(xiàn)了網(wǎng)絡(luò)變革。在接入網(wǎng)方面，5G采用大規(guī)模天線技術(shù)和新型信道編碼方案等技術(shù)以支持更優(yōu)覆蓋和高速傳輸，采用靈活的系統(tǒng)設(shè)計(jì)來(lái)支持多場(chǎng)景、多業(yè)務(wù)。在核心網(wǎng)方面，5G通過(guò)軟件定義網(wǎng)絡(luò)（SDN）、網(wǎng)絡(luò)功能虛擬化（NFV）、邊緣計(jì)算（EC）和網(wǎng)絡(luò)能力開(kāi)放等關(guān)鍵技術(shù)，為不同行業(yè)和用戶提供基于切片定制的按需網(wǎng)絡(luò)服務(wù)。

1.2 5G安全與4G安全的區(qū)別

從 3GPP 的 5G 安全標(biāo)準(zhǔn)規(guī)定看，5G與4G在安全分層方面完全一樣，都分為傳送層、服務(wù)層（歸屬層）和應(yīng)用層，各層之間相互隔離。在安全分域方面，5G包括接入域安全、網(wǎng)絡(luò)域安全、用戶域安全、應(yīng)用域安全、服務(wù)域安全、安全可視化和配置安全六個(gè)域，相比4G增加了服務(wù)域安全。服務(wù)域安全指的是通過(guò)完善的服務(wù)注冊(cè)、發(fā)現(xiàn)、授權(quán)安全機(jī)制及安全協(xié)議來(lái)保障該域安全，以應(yīng)對(duì)5G全新服務(wù)化架構(gòu)帶來(lái)的安全風(fēng)險(xiǎn)。

5G在沿用4G安全架構(gòu)的基礎(chǔ)上，為了彌補(bǔ)傳統(tǒng)通信網(wǎng)絡(luò)安全的不足，除了增加服務(wù)域安全外，還采用了以下措施提供了比4G更強(qiáng)的安全性能。主要措施如下：一是5G采用統(tǒng)一認(rèn)證方式，彌補(bǔ)了4G網(wǎng)絡(luò)不同接入技術(shù)采用不同的認(rèn)證方式和流程，難以保障異構(gòu)網(wǎng)絡(luò)切換時(shí)認(rèn)證流程的連續(xù)性的缺陷。二是更強(qiáng)的隱私保護(hù)，為了防范在4G網(wǎng)絡(luò)中攻擊者利用空口明文傳送用戶身份標(biāo)識(shí)來(lái)非法監(jiān)聽(tīng)用戶的位置和信息，5G采用了加密方式來(lái)傳送用戶身份標(biāo)識(shí)信息。三是更全的數(shù)據(jù)防護(hù)，4G空口用戶面數(shù)據(jù)有加密保護(hù)功能，但沒(méi)有數(shù)據(jù)完整性保護(hù)，數(shù)據(jù)容易被篡改，為此5G增加了用戶數(shù)據(jù)面完整性保護(hù)功能。四是更好的網(wǎng)間漫游安全，為了防止運(yùn)營(yíng)商間的數(shù)據(jù)被以中間人攻擊方式竊取，5G對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)商網(wǎng)間的信令采取了端到端保護(hù)方式。

2 5G安全風(fēng)險(xiǎn)分析

5G安全既包括由終端和網(wǎng)絡(luò)組成的5G網(wǎng)絡(luò)本身通信安全，也包括5G網(wǎng)絡(luò)承載的上層應(yīng)用安全。在由4G向5G過(guò)渡的發(fā)展過(guò)程中，5G安全仍然面臨著傳統(tǒng)安全風(fēng)險(xiǎn)，同時(shí)5G新技術(shù)和新應(yīng)用帶來(lái)的風(fēng)險(xiǎn)和挑戰(zhàn)也日漸突出。

2.1 新技術(shù)引發(fā)的風(fēng)險(xiǎn)

（1）虛擬化技術(shù)安全風(fēng)險(xiǎn)。5G網(wǎng)絡(luò)功能虛擬化通過(guò)虛擬化技術(shù)對(duì)傳統(tǒng)網(wǎng)絡(luò)中的專用網(wǎng)絡(luò)設(shè)備進(jìn)行軟、硬件解耦，并引入通用硬件，將網(wǎng)絡(luò)功能運(yùn)行在虛擬環(huán)境中以實(shí)現(xiàn)資源的動(dòng)態(tài)配置和集中控制。5G網(wǎng)絡(luò)切片也是采用虛擬化技術(shù)在一個(gè)物理網(wǎng)絡(luò)上構(gòu)建出多個(gè)面向不同業(yè)務(wù)特征的邏輯網(wǎng)絡(luò)，可以同時(shí)支持多種不同類型的業(yè)務(wù)場(chǎng)景。虛擬化技術(shù)引發(fā)的安全風(fēng)險(xiǎn)主要表現(xiàn)在：一是在共享下層資源的基礎(chǔ)上實(shí)現(xiàn)虛擬網(wǎng)絡(luò)功能或網(wǎng)絡(luò)切片，當(dāng)某個(gè)虛擬網(wǎng)絡(luò)功能或網(wǎng)絡(luò)切片被攻擊時(shí)，攻擊者可以此為跳板攻擊其他功能或切片。二是集中控制功能的點(diǎn)一旦被非法控制或功能失效，將影響整個(gè)系統(tǒng)的安全穩(wěn)定運(yùn)行。三是虛擬化技術(shù)使用的第三方軟件引入安全漏洞的可能性加大。

（2）邊緣計(jì)算安全風(fēng)險(xiǎn)。因?yàn)檫吘売?jì)算結(jié)點(diǎn)靠近網(wǎng)絡(luò)邊緣，外部環(huán)境可信度降低，管理控制能力減弱，使得邊緣計(jì)算平臺(tái)和應(yīng)用處于相對(duì)不安全的物理環(huán)境中，更容易遭受非授權(quán)訪問(wèn)、敏感數(shù)據(jù)泄露、設(shè)備物理攻擊等威脅。另外，多個(gè)應(yīng)用被部署在邊緣計(jì)算平臺(tái)上共享相關(guān)資源，導(dǎo)致網(wǎng)絡(luò)邊界模糊，若某個(gè)防護(hù)較弱的應(yīng)用被攻破，將會(huì)影響邊緣計(jì)算平臺(tái)上其他應(yīng)用系統(tǒng)的安全運(yùn)行，使得內(nèi)部威脅滋生蔓延的風(fēng)險(xiǎn)加大。

（3）網(wǎng)絡(luò)能力開(kāi)放安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)能力開(kāi)放使網(wǎng)絡(luò)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和用戶個(gè)人信息等從運(yùn)營(yíng)商內(nèi)部的封閉平臺(tái)中開(kāi)放出來(lái)，運(yùn)營(yíng)商對(duì)數(shù)據(jù)的管理控制能力減弱，會(huì)帶來(lái)數(shù)據(jù)泄露的風(fēng)險(xiǎn)。此外網(wǎng)絡(luò)能力開(kāi)放接口使用互聯(lián)網(wǎng)通用協(xié)議，會(huì)進(jìn)一步將互聯(lián)網(wǎng)已有的安全風(fēng)險(xiǎn)引入到 5G 網(wǎng)絡(luò)中。

2.2 新應(yīng)用面臨的風(fēng)險(xiǎn)

國(guó)際電信聯(lián)盟（ITU）2015年定義了5G的三大應(yīng)用場(chǎng)景：增強(qiáng)移動(dòng)寬帶（eMBB）、海量機(jī)器類通信（mMTC）和超可靠、低時(shí)延通信（uRLLC），隨著5G應(yīng)用場(chǎng)景陸續(xù)地展開(kāi)，這些應(yīng)用場(chǎng)景因技術(shù)本身以及應(yīng)用場(chǎng)景自身特點(diǎn)面臨著各種新的風(fēng)險(xiǎn)，引起業(yè)界廣泛關(guān)注。

增強(qiáng)移動(dòng)帶寬（eMBB）應(yīng)用場(chǎng)景主要包括虛擬現(xiàn)實(shí)、增強(qiáng)現(xiàn)實(shí)以及超高清視頻等業(yè)務(wù)，它能為用戶提供更高的網(wǎng)絡(luò)速率，體驗(yàn)速率可以達(dá)到1G，此時(shí)面臨的安全挑戰(zhàn)主要是現(xiàn)有安全保護(hù)設(shè)備面對(duì)超大流量需要更高的安全處理性能。

海量機(jī)器類通信（mMTC）場(chǎng)景主要面向以傳感器和數(shù)據(jù)采集為目標(biāo)的物聯(lián)網(wǎng)等應(yīng)用，具有接入設(shè)備多、應(yīng)用覆蓋領(lǐng)域廣、設(shè)備供應(yīng)商標(biāo)準(zhǔn)和應(yīng)用地域分散等特點(diǎn)。此時(shí)由于泛在海量的接入終端設(shè)備類型復(fù)雜多樣，安全能力參差不齊，存在著易被攻擊利用的安全風(fēng)險(xiǎn)。另外在海量多樣化的終端設(shè)備中，存在著大量存儲(chǔ)和計(jì)算資源有限的終端，在這些終端設(shè)備上部署復(fù)雜的安全策略比較困難，容易被攻擊形成僵尸網(wǎng)絡(luò)，進(jìn)而成為新的攻擊源引發(fā)對(duì)用戶應(yīng)用和后臺(tái)系統(tǒng)等的網(wǎng)絡(luò)攻擊，帶來(lái)系統(tǒng)癱瘓、網(wǎng)絡(luò)中斷等安全風(fēng)險(xiǎn)。

超高可靠低時(shí)延（uRLLC）應(yīng)用場(chǎng)景主要面向車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等垂直行業(yè)的應(yīng)用，它能夠提供高可靠、低時(shí)延的服務(wù)質(zhì)量保障，其面臨的安全風(fēng)險(xiǎn)主要是在低時(shí)延業(yè)務(wù)的要求下過(guò)于復(fù)雜的安全機(jī)制不易實(shí)現(xiàn)。如接入認(rèn)證、終端移動(dòng)過(guò)程中切換、數(shù)據(jù)傳輸安全保護(hù)和數(shù)據(jù)加解密等均會(huì)增加時(shí)延。

3 5G安全應(yīng)對(duì)思路及措施

任何網(wǎng)絡(luò)技術(shù)都存在漏洞和安全風(fēng)險(xiǎn)，5G也不例外。針對(duì)5G面臨的安全風(fēng)險(xiǎn)和挑戰(zhàn)，需要從多個(gè)角度對(duì)5G安全風(fēng)險(xiǎn)進(jìn)行全面評(píng)估，在已有的技術(shù)應(yīng)對(duì)措施和成熟機(jī)制基礎(chǔ)上，通過(guò)技術(shù)研發(fā)和產(chǎn)業(yè)創(chuàng)新逐步解決，還需要構(gòu)建一體化的5G安全防護(hù)架構(gòu)和相應(yīng)的安全機(jī)制。

3.1 采取針對(duì)性措施不斷加強(qiáng)5G安全技術(shù)研究

針對(duì)5G關(guān)鍵技術(shù)引發(fā)的安全風(fēng)險(xiǎn)，從技術(shù)角度可以進(jìn)行如下應(yīng)對(duì)：首先要提供端到端、多層次資源的安全隔離措施，包括虛擬化、云化等隔離措施，對(duì)重要數(shù)據(jù)要進(jìn)行加密和備份。同時(shí)對(duì)基礎(chǔ)設(shè)施加強(qiáng)物理保護(hù)和網(wǎng)絡(luò)防護(hù)，利用現(xiàn)有的安全技術(shù)對(duì)平臺(tái)和邊緣設(shè)備進(jìn)行系統(tǒng)安全加固。其次要加強(qiáng)應(yīng)用的安全防護(hù)，完善相應(yīng)的安全認(rèn)證與授權(quán)機(jī)制。另外對(duì)第三方軟件和應(yīng)用要加強(qiáng)安全管理，對(duì)管理控制操作進(jìn)行安全跟蹤和審計(jì)，并根據(jù)部署模式明確各方安全責(zé)任。最后要強(qiáng)化安全威脅監(jiān)測(cè)，增強(qiáng)5G數(shù)據(jù)保護(hù)能力。為防止攻擊者從開(kāi)放接口滲透進(jìn)入運(yùn)營(yíng)商網(wǎng)絡(luò)，要加強(qiáng)網(wǎng)絡(luò)開(kāi)放接口安全防護(hù)能力。

針對(duì) 5G 三大應(yīng)用場(chǎng)景面臨的安全風(fēng)險(xiǎn)，可采取如下措施：一是為適應(yīng)和滿足5G超大流量對(duì)現(xiàn)有防護(hù)設(shè)備和手段的要求，要加快安全防護(hù)設(shè)備和技術(shù)的創(chuàng)新發(fā)展升級(jí)。二是為防止海量機(jī)器類通訊易被網(wǎng)絡(luò)攻擊以及網(wǎng)絡(luò)安全威脅易從內(nèi)橫向擴(kuò)散風(fēng)險(xiǎn)，要構(gòu)建相應(yīng)的安全模型，深化人工智能創(chuàng)新應(yīng)用，建立智能動(dòng)態(tài)防御系統(tǒng)。三是使用低時(shí)延要求的輕量化安全機(jī)制，優(yōu)化數(shù)據(jù)加密、解密以及接入認(rèn)證等環(huán)節(jié)，以適應(yīng)功耗受限、時(shí)延受限的物聯(lián)網(wǎng)設(shè)備需求。

為了加強(qiáng)5G安全研究，要加大人才培養(yǎng)和培訓(xùn)力度，健全產(chǎn)教融合、校企合作的人才培養(yǎng)體系。從基礎(chǔ)研究出發(fā)加大投入，提高芯片、基礎(chǔ)軟件等關(guān)鍵核心技術(shù)的自主研發(fā)能力，在基礎(chǔ)性、通用性和前瞻性安全技術(shù)方面加強(qiáng)創(chuàng)新，增強(qiáng)產(chǎn)業(yè)鏈各環(huán)節(jié)產(chǎn)品和方案的持續(xù)支撐能力，不斷提供更為安全可靠的5G技術(shù)產(chǎn)品和解決方案。

3.2 構(gòu)建一體化的5G 安全防護(hù)體系

當(dāng)前網(wǎng)絡(luò)空間面臨的網(wǎng)絡(luò)威脅復(fù)雜多樣，存在著從業(yè)余黑客到高度組織化、高水平實(shí)體的多層次網(wǎng)絡(luò)威脅行為實(shí)體。如ATP攻擊常常就是以大國(guó)博弈和地緣安全競(jìng)爭(zhēng)為背景，在高成本支撐下的有組織體系化攻擊，攻擊對(duì)象主要是關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)，此類攻擊相比于傳統(tǒng)的單點(diǎn)攻擊更難防御，其危害也更大，特別是在5G開(kāi)啟萬(wàn)物互聯(lián)的情況下。為了做好5G安全防護(hù)工作，不僅需要通過(guò)完善并強(qiáng)化已有的靜態(tài)防護(hù)機(jī)制，還必須加快建設(shè)動(dòng)態(tài)防護(hù)能力體系，建立健全 5G 網(wǎng)絡(luò)威脅信息共享聯(lián)動(dòng)機(jī)制，實(shí)現(xiàn)兼顧結(jié)合面與覆蓋面的一體化防護(hù)能力體系。其中“結(jié)合面”和“覆蓋面”是確保實(shí)現(xiàn)5G網(wǎng)絡(luò)安全防護(hù)能力的兩個(gè)要點(diǎn)，“結(jié)合面”是指網(wǎng)絡(luò)安全防護(hù)能力與物理設(shè)備、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用數(shù)據(jù)和用戶等各個(gè)層級(jí)的深度結(jié)合，“覆蓋面”是指將網(wǎng)絡(luò)安全防護(hù)能力部署到從網(wǎng)絡(luò)基礎(chǔ)設(shè)施到應(yīng)用系統(tǒng)的每一個(gè)部分。從而實(shí)現(xiàn)網(wǎng)絡(luò)威脅監(jiān)測(cè)、全局態(tài)勢(shì)感知、預(yù)警防護(hù)、聯(lián)動(dòng)應(yīng)急處置一體化的動(dòng)態(tài)綜合防御能力。

3.3 打造多方參與協(xié)同的安全治理格局

5G技術(shù)在各領(lǐng)域應(yīng)用的深入，將逐漸打破經(jīng)濟(jì)社會(huì)各領(lǐng)域的邊界，網(wǎng)絡(luò)安全與工業(yè)、農(nóng)業(yè)、交通、能源和醫(yī)療等垂直領(lǐng)域?qū)嶓w安全問(wèn)題融合交織，安全風(fēng)險(xiǎn)不斷變化，這就需要持續(xù)開(kāi)展安全風(fēng)險(xiǎn)跨領(lǐng)域、跨行業(yè)評(píng)估，強(qiáng)化評(píng)估結(jié)果轉(zhuǎn)化和運(yùn)用，并結(jié)合5G各垂直領(lǐng)域特點(diǎn)開(kāi)展行業(yè)應(yīng)用相關(guān)安全標(biāo)準(zhǔn)研究。同時(shí)要充分發(fā)揮政府部門(mén)、企業(yè)、標(biāo)準(zhǔn)化組織、研究機(jī)構(gòu)和用戶等各方的能動(dòng)性，明晰各方安全責(zé)任，打造多方參與協(xié)同的5G安全治理格局。另外要明確5G產(chǎn)業(yè)鏈中設(shè)備供應(yīng)商、網(wǎng)絡(luò)運(yùn)營(yíng)商、應(yīng)用服務(wù)提供商等各個(gè)不同主體的安全責(zé)任和義務(wù)，加強(qiáng)各個(gè)主體之間的協(xié)同合作，不斷完善關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)信息治理和個(gè)人信息保護(hù)等相關(guān)法律法規(guī)和制度，確保設(shè)備供應(yīng)商、網(wǎng)絡(luò)運(yùn)營(yíng)商和服務(wù)提供商等各主體把所擔(dān)負(fù)的職責(zé)落到實(shí)處。

4 結(jié)語(yǔ)

當(dāng)前，物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等信息技術(shù)的應(yīng)用推動(dòng)著社會(huì)進(jìn)步發(fā)展，數(shù)字經(jīng)濟(jì)正在經(jīng)歷由“移動(dòng)互聯(lián)”到“萬(wàn)物互聯(lián)”的變革。隨著5G在各行業(yè)應(yīng)用的落地以及客戶運(yùn)營(yíng)向網(wǎng)絡(luò)邊緣遷移，必將帶來(lái)更加復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。排除5G網(wǎng)絡(luò)下的安全風(fēng)險(xiǎn)擔(dān)憂，對(duì)于萬(wàn)物互聯(lián)時(shí)代的快速發(fā)展具有尤為重要的意義。面對(duì)5G網(wǎng)絡(luò)的發(fā)展趨勢(shì)，5G安全除了要滿足基本通信安全外，還需要為不同行業(yè)的應(yīng)用場(chǎng)景提供差異化安全服務(wù)，能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保護(hù)用戶數(shù)據(jù)和隱私，并支持提供開(kāi)放的安全保障能力。

參考文獻(xiàn)：

[1] 張濱.5G安全技術(shù)與發(fā)展研究[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2019，32（12）：1-6.

[2] 楊紅梅，趙勇.5G安全風(fēng)險(xiǎn)分析及標(biāo)準(zhǔn)進(jìn)展[J].中興通訊技術(shù)，2019，25（4）：2-5，18.

[3] 劉洪善.5G安全：進(jìn)展、挑戰(zhàn)和應(yīng)對(duì)[J].中國(guó)信息安全，2019（7）：80-82.

[4] 劉國(guó)榮，沈軍，蔣春元.5G安全風(fēng)險(xiǎn)與影響及對(duì)策探討[J].中國(guó)信息安全，2019（7）：77-79.

[5] 馮登國(guó)，徐靜，蘭曉.5G移動(dòng)通信網(wǎng)絡(luò)安全研究[J].軟件學(xué)報(bào)，2018，29（6）：1813-1825.

[6] 中國(guó)信息通信研究院IMT-2020（5G）推進(jìn)組.5G安全報(bào)告[R].北京：中國(guó)信息通信研究院，2020.

【通聯(lián)編輯：代影】