5G安全的全球統一認證體系和標準演進

周艷，何承東

（華為技術有限公司，廣東 深圳 518000）

0 引言

5G 關鍵基礎設施[1]的安全必須遵從全球統一標準，機制透明，可管理，嚴格遵從隱私保護、所部署國家的本地法律。為此，2019 年3GPP 發布了5G 安全評估規范（SCAS,Security Assurance Specification），GSMA發布了網絡設備安全評估規范（NESAS,Network Equipment Security Assurance Scheme），全球典型運營商（如沃達豐VDF）、中國CCSA 行標、中國三大運營商率先要求遵從。

同時，5G 系統引入靈活的軟件機制（包括虛擬化云化）以及業界安全攻擊和威脅遞進，需要5G 安全網絡級、設備級（各層從硬件到軟件）、安全攻防、代碼級的專業機制，以滿足電信業的關鍵基礎設施要求。

本文論述5G 網絡安全的全球統一框架，以及論述5G 安全相對于公有云、Wi-Fi 的不同和專業性要求，希望得到廣泛認知和重視。

1 5G安全全球可認證性：統一的技術評估標準和認證體系

由于5G 架構和業務的變化，5G 引入了不少新威脅，不同的國家的運營商/政府對于5G 安全提出了不同的擔憂，因此需要基于一套5G 安全認證標準去評估5G 設備的安全性。但傳統的公共準則（CC,Common Criteria）安全認證標準是為IT 制定的，不適合通信領域。因此，GSMA和3GPP 聯合為5G 制定了一套全球統一、公開透明的5G安全認證標準：網絡設備安全評估方法（NESAS,Network Equipment Security Assurance Scheme）和5G 安全評估規范（SCAS,Security Assurance Specification），希望以技術手段評估5G 設備的安全性，以化解業界對于5G 安全的擔憂，并統一全球對于5G 安全的共識。

1.1 GSMA NESAS（全球統一的認證體系）

GSMA NESAS 用于評估產品開發與生命周期管理的安全性，主要包括3 個安全認證過程管理標準：

（1）產品開發與生命周期管理認證標準[2]：包含對設備商產品開發與生命周期管理進行認證的20個需求的標準。

（2）安全測試實驗室資質認證標準[3]：包含對安全測試實驗室的資質進行認證的需求的標準

（3）沖突解決流程標準[2-3]：包含當設備商和安全測試實驗室因對某個用例的測試結果理解不一致而產生沖突時，如何進行沖突解決流程的標準。

1.2 3GPP SCAS（全球統一的安全認證技術標準）

3GPP SCAS 用于評估5G 網元的安全性。3GPP 于2019年9 月發布了11 個5G 設備安全認證技術標準，其中包括：

（1）8 個5G 核心網網元，即接入和移動性管理功能（AMF,Access and Mobility Management Function）、用戶面功能（UPF,User Plane Function）、用戶數據管理（UDM,Unified Data Management）、會話管理功能（SMF,Session Management Function）、認證功能（AUSF,Authentication Server Function）、安全邊界保護代理（SEPP,Security Edge Protection Proxy）、網絡倉庫功能（NRF,Network Repository Function）、網絡開 放功能（NEF,Network Exposure Function）的安全評估標準[4-11]：每個安全評估標準中包括網元的安全需求，以及如何測試5G 產品是否滿足這些安全需求的測試用例。

（2）1 個5G 基站安全評估標準[12]。

（3）1 個通用安全評估標準[13]：包括5G 基站和核心網元的通用測試用例的安全評估標準。

（4）1 個通用5G 安全威脅與關鍵資產標準[14]：包括各個網元和基站的關鍵資產和威脅

隨著5G 的演進，這些安全認證標準還將不斷豐富和完善，還會覆蓋更多新增的網絡功能的安全測試用例。

2 5G安全通過5G標準迭代增強：網絡安全威脅和全球標準中的技術防護

2.1 5G基礎網絡安全威脅和技術防護

5G 安全威脅[15]如圖1 所示。

其中主要安全威脅包括：

（1）空口用戶面數據可能被篡改：空口用戶面沒有完整性保護，用戶數據可能被攻擊者篡改。

（2）用戶身份隱私可能泄露：初始注冊時用戶標識在空口明文傳輸，攻擊者可以截獲用戶標識，造成用戶身份隱私泄露。

（3）不合法的UE 訪問網絡：不合法的UE 可能通過不同的接入方式（例如3GPP 接入和非3GPP 接入）訪問網絡，導致網絡資源被惡意使用。

（4）不合法的UE 可能創建會話：不合法的UE 可以創建協議數據單元（PDU,Protocol Data Unit）會話，導致外部數據網絡（DN,Data Network）資源被惡意使用。

（5）服務化接口威脅：未經認證的網元可能訪問網絡內其他網元，網元之間交互的信息可能被攻擊者截獲或者篡改，未經允許的網元可能訪問其他網元的服務。

（6）不合法的UE 可能訪問網絡切片內的任意服務或資源：不合法的UE 可能訪問網絡切片，且不合法的UE 可能訪問任意切片的任意服務或資源，造成切片資源被濫用，甚至造成拒絕服務攻擊。

（7）漫游控制面信令可能被篡改：漫游接口上的信令消息明文傳輸，沒有加密和完整性保護，導致攻擊者可以截獲或者篡改漫游信令消息中的信令參數。

圖1 5G基礎網絡安全威脅

（8）漫游用戶面數據可能被篡改：漫游接口上的用戶面數據明文傳輸，沒有加密和完整性保護，導致攻擊者可以截獲或者篡改漫游用戶面消息中的用戶數據。

針對以上識別出的5G 基礎網絡安全威脅，建議采用如下對應的安全防護技術進行降低：

（1）空口用戶面完整性保護：啟用空口用戶面完整性保護，確保空口數據不被篡改。

（2）隱藏用戶標識：引入簽約隱藏標識（SUCI,Subscription Concealed Identifier）機制，在初始注冊時對用戶標識進行隱藏保護，SUCI 在統一數據管理（UDM,Unified Data Management）中解密獲得簽約永久標識（SUPI,Subscription Permanent Identifier），以保證SUPI 明文在空口上不會被竊取。

（3）統一認證框架：對于多種接入方式（3GPP 接入，非3GPP 接入），采用統一的認證框架，UE 和網絡之間完成相互認證，且認證加入歸屬域控制，認證結果由歸屬網絡確定。

（4）二次認證：建立PDU 會話時，先執行基于擴展的認證協議（EAP,Extensible Authentication Protocol）的二次認證，認證成功后才建立PDU 會話。

（5）服務化架構：不同核心網網元之間雙向認證、不同網元之間的交互進行加密和完整性保護、不同網元之間的服務調用采用基于令牌（token）的授權機制。

（6）網絡切片認證和授權：基于網絡切片認證與授權功能（NSAAF,Network Slice Specific Authentication and Authorization Function）對UE 接入特定切片進行認證和授權，防止非法UE 接入切片訪問服務或資源。

（7）漫游控制面安全保護：通過安全邊界保護代理（SEPP,Security Edge Protection Proxy）對漫游接口上的控制面信令提供安全保護，增強漫游信令安全。

（8）漫游用戶面保護：通過網絡間用戶面安全（IPUPS,Inter-PLMN User Plane Security）對漫游接口上的用戶面數據提供安全保護，增強漫游數據安全。

2.2 5GC云化安全威脅和技術防護

如圖2 所示，5GC 云化（基礎設施）相比傳統電信業務，也引入了一些新的安全挑戰，包括物理安全邊界缺失、分層解耦以及跨層管理帶來的信任鏈條變長、動態的業務及運行環境帶來的管理復雜度、虛擬資源共享帶來的安全問題擴散等[16]。其中主要威脅有如下：

（1）虛擬機逃逸威脅：攻擊者通過控制虛擬機利用hypervisor 漏洞向主機發起攻擊，從而獲取主機信息，造成信息泄露或主機異常。

（2）虛擬機攻擊其他虛擬機：攻擊者通過控制虛擬機非法訪問沒有通信關系的虛擬機或虛擬機中的APP，造成其他虛擬機信息泄漏或運行異常。

（3）惡意軟件攻擊：虛擬機內惡意軟件通過hypervisor 向guest os 發起攻擊，導致虛擬機或應用異常。

（4）虛擬機資源搶占：攻擊者通過控制虛擬機惡意占用主機資源，造成同一主機上其他虛擬機性能下降，或造成主機負載過高導致DOS 攻擊。

（5）外部接口攻擊：攻擊者通過外部接口，如管理面接口、跨數據中心接口等執行惡意命令或竊取敏感信息。

圖2 5GC云化安全威脅

針對以上識別出的云化環境下的主要威脅和攻擊方式，建議采用如下對應的安全防護措施進行消減：

（1）虛擬機防逃逸：對虛擬機調用Hypervisor 的驅動接口進行參數最小化處理，防止通過構造特殊的參數導致溢出和越權，進而制造虛擬機逃逸。

（2）虛擬機訪問控制：采用白名單過濾方式，只對有明確業務通信需求的網絡節點間才建立路徑可達關系。

（3）惡意軟件防護[17]：虛擬機支持安全啟動功能，防止啟動過程中被加載惡意軟件。同時建議部署進程白名單，定期對系統中運行的進程進行白名單校驗，防止在運行期間啟動了非法軟件。

（4）資源安全管理：對安全等級要求不同的虛擬機或應用進行資源隔離，禁止從虛擬機訪問主機資源管理接口。

（5）外部訪問控制：對外接口進行身份認證以及訪問控制，同時部署防火墻進行安全邊界防護。

2.3 MEC安全威脅和技術防護

針對多接入邊緣計算（MEC,Multi-access Edge Computing）部署場景，3GPP 定義了控制面/用戶面（CP/UP,Control Plane/User Plane）分離的網絡架構，用戶面功能（UPF,User Plane Function）邊緣計算的數據錨點；ETSI 定義了MEC 框架，包含軟件架構、應用場景和應用編程接口（API,Application Programming Interface）[18]。其融合架構如圖3 所示：

圖3 MEC安全威脅

其中主要安全威脅包含7 類：

（1）控制面攻擊：攻擊者非法訪問控制面與邊緣UPF 的N4 接口，造成信令偽造、敏感信息泄露等威脅。

（2）管理面攻擊：攻擊者非法訪問或仿冒管理網元身份，篡改管理信息導致資源濫用，業務異常終止等威脅。

（3）用戶面攻擊：攻擊者通過攻擊用戶面接口，導致數據攔截、惡意數據偽造、畸形報文攻擊等威脅。

（4）多接入邊緣平臺（MEP,Multi-access Edge Platform）非法訪問：攻擊者通過惡意APP，非法調用開放API 服務，導致拒絕服務和命令注入等威脅。

（5）UPF 非法訪問：攻擊者通過非法入侵MEP，進而非法訪問UPF，竊取用戶通信數據。

（6）邊緣應用攻擊：攻擊者或者惡意操作人員利用運維通道、應用通信協議、軟件實現漏洞等實現緩沖區溢出漏洞攻擊、對軟件包或配置進行篡改。

（7）虛擬化接口攻擊：APP 所在虛擬機 容器利用系統漏洞逃逸到APP 所在HostOS，然后通過該Host OS橫向攻擊其他Host，造成其他主機業務異常。

針對以上識別出的MEC 場景下的7 類主要安全威脅，建議采用如下防護措施進行消減，以保障邊緣計算服務的安全性：

（1）控制面保護：控制面接口遵循3GPP 標準使用IPSec 隧道保護完整性和機密性[19]。

（2）管理面保護：中心側管理面與邊緣MEC 使用安全加密傳輸TLS（Transport Layer Security，傳輸層安全），SNMPv3（Simple Network Management Protocol version 3，簡單網絡管理協議第3 版）等。

（3）用戶面保護：用戶面接口遵循3GPP 標準使用IPSec 隧道保護完整性和機密性，部分APP N6 出口也建議支持IPsec 加密，保護N6 口到APP 的流量。

（4）MEP 訪問控制：MEP 對APP 實現服務注冊、發現以及授權管理防止未授權訪問，同時使用白名單等安全加固方式防止惡意攻擊。

（5）UPF 訪問控制：UPF 與APP 之間實現I 層資源隔離，同時根據需求部署虛擬防火墻防止非法訪問并進行攻擊檢測。

（6）邊緣應用防護：APP 對外運維管理接口實現雙向認證和最小授權，同時按需實施漏洞掃描修復等安全加固方式，保障軟件包和配置防篡改。

（7）虛擬化防護：實施主機/ 容器入侵檢測，支持虛擬機/容器逃逸檢測等虛擬化安全加固措施。

2.4 典型垂直業務安全威脅和技術防護

（1）時間敏感通信的安全威脅和防護技術

5G 系統（5GS,5G System）提供時間敏感傳輸（TSC,Time Sensitive Communication）服務，架構如圖4 所示。5GS 作為一個時間敏感網絡橋（TSN Bridge,Time Sensitive Network Bridge），集成到TSN 網絡中[1]。5G TSN Bridge 包括了設備側TSN 翻譯器（DS-TT,Deviceside TSN Translator）和網絡側TSN 翻譯器（NW-TT,Network-side TSN Translator）功能，用于5GS 和TSN系統在用戶面交互。

圖4 5G時間敏感通信威脅

5G TSC 服務的安全威脅包括：

1）時間同步消息（gPTP,Generalized Precision Time Procotol）[20]的安全威脅

在傳輸gPTP 消息之前，5G 網絡為UE 建立用于專門用于TSC 的PDU 會 話。5G TSN Bridge 的入口TT（即NW-TT 或DS-TT）UPF 接收到來自外部TSN 節點的gPTP 消息，對消息進行修改后，通過TSC PDU 會話發送給出口TT（即DS-TT 或NW-TT）。在gPTP 消息傳輸過程中，攻擊者可在空口篡改該消息（或消息中的網絡時延信息），造成時鐘同步失敗、影響業務進行傳輸路徑選擇等后果；攻擊者也可能重放歷史消息，也可導致時鐘同步失敗、影響業務。

2）TSC 能力開放的威脅

5GS 支持TSC 能力開放，即5GS 通過網絡能力開放功能（NEF,Network Exposure Function）向外部業務功能（AF,Application Function）提供TSC 服務。比如，外部AF 可通過NEF 向5GS 請求TSC 服務，AF 向5GS發送服務的傳輸時延需求和jitter 需求等；5GS 根據外部AF 的需求，確定服務質量（QoS,Quality of Service）參數。外部AF 也可以通過NEF 向5GS 提供通信流量的特征（比如周期性、burst 大小等），5GS 根據流量特征進行更有效率的傳輸。攻擊者可獲取AF 和NEF 之間的通信內容（如服務的通信需求或通信流量特性），并利用這些信息更有針對性的開展攻擊。攻擊者也可能篡改通信內容，比如外部AF 發送的傳輸時延需求，導致5GS 沒有滿足AF 通信需求。攻擊者還可能重放歷史消息、假冒其他合法AF，進行非法TSC 服務請求，造成資源浪費，甚至DoS。

對于上述兩個威脅，可采用如下技術防護：

1）為保護gPTP 在空口傳輸的安全，可利用5G 系統提供的PDU 會話安全機制[15]。網絡在為UE 在創建用于TSC 的PDU 會話時，可通知5G 基站激活空口上的保密性和/或完整性保護。

2）外部AF 和NEF 之間實現雙向認證，利用TLS 提供的完整性保護、加密、以及防止重放來保護AF 和NEF之間的通信內容。NEF 在認證AF 之后，還需要檢查外部AF 的授權。NEF 授權AF 可基于OAuth 授權機制[15]。

（2）NPN 安全威脅和技術防護

非公共網絡（NPN,Non-Public Networks）[21]是一種為非公共網絡，可以用于企業和行業內部通信。NPN網絡包括兩種組網方式，SNPN 和PNI-NPN。SNPN 是指獨立與運營商之外的的組網方式，可以屬于一個獨立的完整的5G 網絡，便于企業或者行業執行內部的通信，及其控制等。而PNI-NPN 則屬于基于運營商網絡架構構建的一種組網方式，NPN 網絡架構如圖5 所示：

下面從安全的角度，分為安全威脅和技術防護的方式進行闡述。最主要的安全威脅為：

未經授權UE 接入NPN（SNPN 或PNI-NPN）網絡：如果攻擊者未具有合法的身份，接入NPN 網絡，將會對NPN 網絡執行內部攻擊，包括竊聽NPN 網絡內傳遞的信息，錯誤地傳遞控制命令等。

針對SNPN 和PNI-NPN 兩種網絡方式，上述安全威脅對應的技術防護如下：

1）SNPN 接入認證[22]：SNPN 場景下，UE 為專有設備，因此認證方式可以做進一步的定制和擴展，除了5G 網絡支持的EAP-AKA 和5G AKA[zb1]認證之外，SNPN 還可以基于EAP 認證架構，支持其他更多種類的EAP 認證方式，例如EAP-TLS、EAP-IKEv2 等。基于EAP 認證的雙向認證可將未經授權UE 排除在SNPN 網絡之外，從而保障SNPN 網絡的安全。

2）PNI-NPN 接入認 證[22]：PNI-NPN 網絡內UE 屬于運營商UE，因此可以復用已有5G 網絡的首次認證機制。而為了防止非授權UE 訪問PNI-NPN 的業務，也可以強制執行切片認證，或者二次認證的方式。兩種認證方式的選擇，可以根據PNI-NPN 部署方式來決定。例如，若PNI-NPN 為一個獨立的切片網絡，則可以選擇切片認證的方式；而若PNI-NPN 為一個獨立的會話，則也可以選擇基于會話的二次認證方式。

當前，除了SNPN 和PNI-NPN 的組網方式，NPN 網絡功能又做了進一步的演進研究，即增強的NPN（eNPN,Enhanced NPN）[23]。

eNPN 提出了兩個重要概念：基于第三方密鑰的SNPN 網絡接入（如圖6 所示），和設備上線（onboarding）（如圖7 所示）。

圖5 NPN網絡架構

圖6 基于第三方密鑰的SNPN網絡接入

圖7 設備上線

基于第三方密鑰的SNPN 網絡接入是指，使用非SNPN 網絡的密鑰也可以安全地接入SNPN 網絡。此業務可以通過安全的方式拓展SNPN 網絡的用戶。設備上線是指，SNPN UE 剛出廠時可能沒有SNPN 密鑰，因此不能自動接入SNPN 網絡，但可以通過5G 網絡完成密鑰的自動配置，從而使得SNPN UE 可以自動上線，最大限度地減少了密鑰配置的復雜度。當前3GPP SA3 組織正在對上述兩個概念做安全的研究，主要安全威脅在于：

1）未經授權UE 接入SNPN 網絡：基于第三方密鑰的SNPN 網絡接入場景下，如果攻擊者未具有合法的第三方密鑰，但接入了SNPN 網絡，將會對SNPN 網絡執行內部攻擊，包括竊聽NPN 網絡內傳遞的信息。

2）未經授權UE 獲取SNPN 的配置密鑰：設備上線場景下，若SNPN 密鑰被非法UE 獲取到或者竊聽，將使得攻擊者可以接入SNPN 的網絡內容，執行內部攻擊。

上述安全威脅和對應的技術防護正在安全研究和標準化階段。對于上述兩個威脅，可采用如下技術防護：

1）基于第三方密鑰的SNPN 網絡接入場景下，強制約束執行雙向認證安全機制。

2）設備上線場景下可以開啟首次認證（Primary Authentication）機制，同時開啟配置密鑰下發時的機密性和完整性安全保護。

（3）5G 局域網（LAN,Local Area Network）安全威脅和技術防護。

5G 提供5G LAN 服務，用于解決工業自動化、企業移動辦公等的局域網通信需求。在一些工業自動化場景中，大量的設備需要在一個小區域內部進行通信，且通信要保證低時延、確定性、可靠性。

5G LAN 服務（如圖8 所示）允許第三方AF 通過NEF 動態更新一個5G LAN 組的配置信息（存儲在UDM中），比如，AF 可添加或刪除一個5G LAN 中的組成員UE。一個組成員UE 在訪問5G LAN 服務之前，請求核心網創建立一個PDU 會話，用于訪問5G LAN 服務。

圖8 5G LAN服務的安全威脅

其安全威脅如下：

1）未經認證和授權的UE 訪問5G LAN 服務：5G LAN 服務只允許屬于該5G LAN 組的成員UE 訪問該服務。非法的、未訂閱5G LAN 服務的UE 可能請求5G網絡建立PDU 會話，用于訪問5G LAN 服務，導致5G LAN 服務被盜用。攻擊者也可使用大量非法UE 訪問同一個5G LAN 服務，造成DDoS。

2）PDU 會話安全策略不一致導致信息泄露：如果用于訪問同一個5G LAN 服務的不同UE 的PDU 會話的安全策略不一致，比如UE 1 的PDU 會話采用了加密，UE 2 的PDU 會話無加密保護，則攻擊者仍然可以通過監聽UE 2 的PDU 會話獲取服務數據。

3）AF 和NEF 通信的安全威脅：惡意AF 可能仿冒合法AF 請求5G 系統提供5G LAN 服務，造成服務盜用。攻擊者還可發起大量服務請求，造成拒絕服務（DoS,Deny Of Service）。攻擊者也可能篡改AF 和NEF 之間的通信，比如篡改AF 發送的5G LAN 組成員管理的消息，任意添加或刪除組成員。攻擊者還可能進行重放、消息竊聽等攻擊。

上述安全威脅對應的技術防護如下：

1）網絡側可對UE 進行認證和授權。具體地，當UE請求SMF 建立一個用于訪問該5G LAN 服務的PDU 會話時，SMF 可發起二次認證流程[22]，對UE 進行認證和授權。

2）對5G LAN 服務的每個成員應采用同一個安全策略。

3）NEF 和AF 之間通信安全則可采用TLS，實現雙向認證、傳輸的保密性、完整性和防止重放。

（4）5G 組播和廣播服務安全威脅和技術防護

5G 提供廣播和主播服務（MBS,Broadcast and Multicast Service），架構如圖9 所示。5G 系統（5GS,5G System）通過NEF 向外部AF 開放廣播和組播能力。AF 通過NEF 請求5GS 為組播或廣播用戶服務創建資源。希望訪問一個組播服務的UE，需要請求SMF 創建用于訪問組播服務的PDU 會話，來加入組播服務。

圖9 5G MBS架構

5G 組播和廣播服務安全威脅如下：

1）AF 和NEF 之間的威脅：外部AF 通過NEF 向5GS 請求資源，用于傳輸廣播或組播用戶服務的數據。惡意AF 都可仿冒合法AF 請求資源分配，導致5G MBS被盜用。另，攻擊者還可生成大量服務請求，消耗5GS資源，造成DoS。AF 跟NEF 之間傳輸的數據如果沒有加密、完整性保護或防重放機制，則可被攻擊者濫用，比如攻擊可篡改AF 向NEF 發送的QoS 需求。

2）UE 未經認證和授權訪問組播服務：通常有組播訂閱的用戶才能接收組播內容。內容提供商可根據訂閱向用戶進行收費，沒有訂閱的惡意用戶可能觸發UE 向5G網絡請求建立用于接收組播的PDU 會話，造成服務盜用。

3）MBS 數據傳輸安全威脅：MBS 數據在傳輸過程中，存在攻擊者篡改MBS 數據、無授權獲取MBS 數據以及MBS 數據重放的威脅。

上述安全威脅對應的技術防護如下：

1）NEF 和AF 之間的通信可基于TLS 進行保護，實現NEF 和AF 之間的認證，提供通信的完整性保護、加密、以及防止重放。

2）為防止未經認證和授權的UE 盜用組播服務，核心網在位UE 建立用于接收組播數據的PDU 會話時，可發起二次認證流程，對UE 進行認證和授權。

3）為保護MBS 數據傳輸，5GS 可生成密鑰材料并分發給UE。5GS 和UE 基于密鑰材料保護MBS 數據。同時5GS 還應支持密鑰管理，包括密鑰更新和撤銷等。

3 5G作為關鍵基礎設施，相對公有云，有電信/行業專業安全要求

相比公有云、Wi-Fi，5G 網絡安全需要更加專業的安全機制，來保障代碼級、攻防、設備級、網絡級的安全：

（1）相對于公有云主要關注安全結果認證，5G 網絡安全同時關注研發過程和運行結果的雙重安全保障。例如，5G 電信云不僅全面關注研發流程中設計、開發、測試、發布、直至上線部署等全流程的安全風險與系統防護，也關注在網運行過程中的各類風險，從軟件完整性保護、漏洞管理與修復、攻擊檢測與防護、訪問控制與授權、過載控制、失效保護等多個維度對系統進行全面加固。

（2）相對于Wi-Fi 等自用網絡，5G 網絡需要結合攻防提升，滿足國內的安全等級保護2.0。

（3）由于5G 無所不在的普遍服務，需要設備級的安全設計（例如安全加固等）來保證設備自身的正常運行，同時還需要網絡級的安全設計（例如縱深防御、態勢感知、自適應訪問控制等）來保證通信業務的正常。

4 5G安全作為未來網絡演進的重要因素，幾點主要發展趨勢

5G 還在繼續演進中，未來可能面臨新的安全挑戰，因此需要提前研究對應的消減措施。另外，5G 網絡中相關的利益方（運營商、行業客戶）應該分別承擔對應的安全責任，共同促進網絡安全。下面給出一些未來可能的5G 安全研究方向和安全責任共建模型。

4.1 5G內生安全

未來5G 網絡和設備必須具備內生的安全能力，比如設備級的安全加固，網絡級的縱深防御、態勢感知、自適應訪問控制等能力，以確保網元可信、網絡可靠、服務可用，并定期升級。

相應地，美國國防部2020 年10 月啟動了開放可編程安全（OPS,Open Programmable Secure）5G 項目[24]，希望通過軟硬件解耦、去信任、安全切片、可編程防御等技術確保5G 安全，其核心思想是5G 引入外置的安全設備或方案。5G 引入外置的安全設備或方案會帶來很多問題，比如運營商/ 設備商成本高、頻繁外部接口調用導致低性能、安全責任歸屬定位難。

因此，5G 內生安全是更重要、必備的一種選擇。

4.2 零信任的聲音，兼聽則明

美國國家標準和技術研究院（NIST,National Institute of Standards and Technology）、云安全聯盟（CSA,Cloud Security Alliance）以及Gartner 等都定義了零信任框架，其基本理念是基于下面的假設：所有的用戶、設備和應用，不管它在防火墻以內還是以外都已經被攻破從而不再安全。

5G 可以借鑒多種思想來構筑自身體系，仍然要有安全域邊界防護，多一層考慮邊界被攻破之后的深入防御：

（1）縱深防御：建立從網元級-＞網絡級-＞系統級的縱深防御機制。

（2）考慮云化/虛擬化威脅，建立防護機制。

（3）持續性可信評估：建立對終端和5G 設備的安全狀態進行持續性監測的態勢感知平臺。

（4）自適應訪問控制：根據持續性可信評估的結果，自動生成新的安全策略，然后根據該策略進一步修正和完善縱深防御機制。

5G 零信任可以通過5G 內生安全實現，提升效率。

4.3 后量子安全

（1）常規的基于公鑰的算法（例如RSA 算法）的安全性依賴于分解大整數的困難性。利用量子計算機，Shor 量子算法能夠在多項式時間解決整數分解問題，因此，量子計算機將導致基于公鑰的算法不再安全。5G 安全使用了基于公鑰的算法（例如證書認證），因此未來需要考慮向后量子算法遷移。

（2）Grover 搜索算法對非結構化的搜索問題提供二次方的加速，如將其應用于對稱密碼算法，可通過O(2N/2)次量子運算恢復N位密鑰。業內密碼學家分析指出，隨著量子計算機的發展，128 位AES 算法的安全性會有所降低，但將密鑰長度延長一倍（即256 bit），就足夠應對量子計算對對稱密碼算法的威脅。5G 安全使用了對稱算法（如AES），因此未來需要考慮升級到256 bit 的對稱算法和密鑰。

4.4 MEC安全機制

MEC 安全對于垂直行業應用至關重要，MEC 場景將引入大量的第3 方APP。如果APP 被黑客控制，可能對5G 網絡造成如下威脅：1）惡意的APP 可能利用能力開放接口對5G 網絡發起攻擊；2）惡意的APP 可能導致共享虛擬資源耗盡，從而影響其他的APP 或業務正常運行，導致DDOS 攻擊。

未來針對MEC 場景，運營商和行業應聯合制定MEC APP 認證管控規范。APP 應通過認證后才能接入MEC。中國在信通院的統一牽頭下，三大運營商和主要設備商持續在推進MEC 第三方APP 認證，未來將逐步形成有效機制。

4.5 隱私保護

黑客和白客之間的攻與防的技術較量一直在持續進行和升級。未來不排除傳統的信任域存在被攻破的可能，例如：

（1）為防止薄弱網元被攻破，不需要所有網元知道用戶身份和秘鑰，探討有些場景進行假名化處理。

（2）很多重要的配置數據（如用戶身份以及簽約數據等）是在管理面完成的。如果惡意的操作人員（內鬼）和外部黑客勾結，同樣存在泄漏用戶數據隱私的風險。因此未來應設計一種操作人員對于用戶的網絡身份不可見的機制。

因此，未來5G 標準演進應考慮減少用戶隱私（比如用戶身份）的暴露面，降低被攻擊后的泄露。

4.6 安全責任共建模型

公有云場景下，云提供商和租戶之間有一個安全責任共建模型的機制。例如，云提供商負責保護云基礎設施，例如物理服務器和存儲設備，而租戶則負責客戶操作系統和應用的安全。

未來5G 也應建立類似的安全責任共建模型的機制：運營商負責保護網絡基礎設施，例如5G 基站和核心網設備。行業客戶負責保護網絡上的終端設備安全，例如設備硬件、軟件、操作系統、以及終端上應用的認證。

5 結束語

本文闡述了5G 網絡安全的全球統一安全認證機制以及安全標準演進，首先介紹了全球統一公開透明的5G 安全認證標準GSMA NESAS/3GPP SCAS，5G 安全應遵從這些標準，然后分別對5G 基礎網絡、云化技術、MEC 場景、垂直業務對應的安全威脅以及對應的防護技術進行了介紹，比如基礎設施安全是5G 核心網的根基，因此非常關鍵。MEC 安全對于未來5G 普及垂直行業應用至關重要，應加快推進MEC APP 認證規范。最后對于5G 安全的未來發展趨勢給出了研究展望，比如未來5G 標準演進應考慮減少用戶隱私（比如用戶身份）的暴露面，降低被攻擊后的泄露；5G 零信任未來可以通過5G 內生安全實現，提升效率等。