5G網絡賦能物聯網安全

林美玉/LIN Meiyu

（ 中國信息通信研究院安全研究所，中國 北京 100191 ）

目前，5G已經成為全球最矚目的熱門技術之一。相比于4G和之前的蜂窩移動網絡，5G融合了很多新技術，可提供極端差異化的性能以滿足多樣化場景的業務應用需求。5G網絡主要支持三大應用場景：增強移動寬帶（eMBB）、海量機器類通信（mMTC）和超可靠低時延通信（URLLC）。其中，mMTC面向的就是物聯網應用場景，例如海量終端高密度連接的智慧城市應用場景。實際上，自動駕駛、工業控制等對可靠性和時延高度敏感的URLLC場景，也是物與物之間的通信。因此，從5G網絡支持的應用場景來看，5G是為物聯而生的。

與此同時，業界對5G網絡安全的重視程度顯著提高。5G安全問題甚至已成為世界各國在5G網絡方面的主要博弈點。歐美國家紛紛出臺了相關法律、政策，并制定了相關技術指導文件，將5G安全上升到國家戰略層面。事實上，5G安全問題的重要性之所以能夠引發全球的共鳴，其根本原因是在5G與物聯網1應用深度融合后，人們對5G網絡所承載的物聯網應用安全有所擔憂。5G網絡本身的安全與4G之前網絡的安全并沒有本質區別，但是其承載的物聯網應用的安全卻關系著國計民生的各行各業，甚至關系著國家安全。因此5G安全問題的重中之重，就是如何解決5G網絡與物聯網應用融合的安全問題。

1 5G融合物聯網應用的安全風險

物聯網應用對5G網絡的安全疑慮主要體現在兩方面：一方面是能否消除5G網絡自身面臨的安全風險，以確保所承載的物聯網應用的安全；另一方面是能否解決5G網絡與物聯網應用融合所帶來的新風險問題。

5G網絡自身的安全風險主要來自5G網絡所引入的新技術[1]。網絡功能虛擬化（NFV）、多接入邊緣計算/移動邊緣計算（MEC）、網絡能力開放、網絡切片等多種新技術的引入，確實給5G網絡帶來了一些新的安全風險。但是隨著隔離等安全技術的逐漸成熟，以及5G網絡增強安全機制的產生[1]，5G網絡自身的安全風險基本可控。

5G網絡與物聯網應用之間的邊界融合泛化后，其安全風險也會互相影響。從物聯網應用的角度來看，5G網絡的引入打破了某些物聯網應用領域通過物理邊界保護的封閉性。這容易引發越權訪問，造成安全后果。例如，無線接口劫持可能會導致合法終端接入非法網絡，泄露敏感信息。如果5G網絡身份認證能力不足，非法物聯網終端可能接入業務系統，泄露或篡改業務數據，并導致物聯網業務失效。從5G網絡的角度來看，物聯網應用的安全風險，也可能會給5G網絡帶來災難性后果。例如，在mMTC應用場景中，大量功耗低、計算和存儲資源有限的終端難以部署復雜的安全策略，一旦被操控向網絡發起分布式拒絕服務（DDoS）攻擊，就可能帶來網絡中斷、系統癱瘓等安全風險。

2 物聯網應用對5G網絡的安全需求

目前5G網絡的安全問題被廣泛關注甚至被無限擴大。這與不同行業之間存在較大的認知差異密切相關。物聯網垂直行業在安全性方面對移動通信網不夠信任，對通信網絡的安全能力也不夠了解；而通信行業對物聯網領域的安全需求也尚未充分了解，無法發揮5G網絡的最大價值。本文首先從物聯網的業務特征出發，分析物聯網安全需求。這些需求主要包括：

（1）對敏感數據保護的需求。物聯網應用場景中包含重要的行業信息和個人隱私，因此數據泄露和篡改會帶來嚴重的后果。尤其是利用感知數據進行應用決策的物聯網應用場景，一旦感知數據被篡改，就可能導致決策錯誤。這不僅會關系到企業經營和生產安全，甚至關乎國家安全。

（2）差異化安全需求。物聯網應用涉及千行百業，其安全需求也各不相同。例如，工業互聯網主要關注數據不能出園區，智慧醫療更關注隱私數據加密。

（3）對海量終端的安全管理需求。眾所周知，物聯網終端安全能力普遍較低，物聯網應用服務商的安全技術水平良莠不齊。操控物聯網終端向網絡發起DDoS攻擊會導致物聯網應用平臺癱瘓。非法終端接入網絡和物聯網應用平臺會導致數據泄露或被篡改。這些案例比比皆是，帶來的后果也是非常嚴重的。

（4）對無線接口安全性的需求。物聯網應用與5G網絡融合后，開放的無線網絡可能會成為物聯網應用安全的薄弱點，例如網絡攻擊者可能會通過無線接口進行竊聽、數據篡改等。

結合5G網絡特點，上述安全需求映射到5G網絡中，具體可體現為以下技術需求[2]：

（1）安全隔離技術。針對不同安全等級的物聯網應用，5G網絡需要采用網絡安全分域方式或安全隔離技術手段來實現網絡資源、數據傳輸通道的隔離。

（2）終端身份安全和訪問授權技術。該技術可防范非法終端接入網絡和物聯網應用平臺。

（3）5G網絡無線接口通信安全技術。為滿足物聯網應用的安全需求，無線接口需要具備防竊聽、防篡改、防無線接口劫持等通信安全能力。對安全要求較高的場景，甚至還需要具備無線接口DDoS攻擊防御、無線接口抗干擾等能力。

（4）數據機密性和完整性保護技術。該技術主要是用于防范5G網絡所傳輸的數據被泄露或篡改。

3 5G賦能物聯網安全的解決方案

作為支撐未來萬物互聯的基礎設施，5G網絡對物聯網應用的安全保障能力是各個行業完成數字化轉型的關鍵。事實上，5G網絡在安全架構設計方面，已充分考慮了上層應用的安全需求。針對物聯網應用的安全需求，一方面5G網絡本身的安全能力須不斷增強，以打消物聯網應用對5G網絡安全性的疑慮；另一方面通過安全組網、能力開放等新技術，5G網絡可以整合自身及外在的各種安全能力，為物聯網應用提供差異化的安全服務，直接賦能物聯網應用安全。

3.1 可賦能的安全能力

5G網絡可用于物聯網安全賦能的安全能力主要體現在4個方面：5G網絡自身安全能力、網絡切片技術特有的安全能力、MEC的數據安全保護能力以及運營商網絡中部署的其他外在安全能力，具體如圖1所示。

▲圖1 5G賦能物聯網安全

3.1.1 5G網絡自身安全能力

（1）終端身份認證和訪問授權

用戶設備（UE）接入5G網絡需要進行主認證（Primary認證）。在認證機制方面，5G繼承了4G成熟的認證與密鑰協商（AKA）認證機制，并對AKA機制進行了增強，強化了歸屬網絡對認證的控制。此外，5G還引入了靈活的擴展認證協議（EAP）認證框架，以實現統一認證。這樣網絡一方面既可支持各物聯網應用場景中已使用的多種認證協議（例如擴展認證協議-傳輸層安全協議等），又可根據物聯網應用所需要的認證能力需求進行擴展適配；另一方面，還可以支持不同接入網絡方式的認證，例如無線局域網（WLAN）等非第3代合作伙伴計劃（3GPP）接入方式。

在主認證的基礎上，5G網絡還可支持針對應用的次認證，即用戶在通過5G網絡訪問外部數據網絡時，由承載數據網絡的第三方（例如物聯網服務商）對用戶進行身份認證。次認證的過程中需要使用終端中預存的認證憑證。認證過程會使用5G網絡的EAP認證框架。

（2）5G網絡無線接口通信安全

對于無線接口的通信安全，5G網絡進行了一系列的安全增強[3]。一是空口采用加密身份標識，提供增強的用戶隱私保護。為了解決4G網絡中由使用用戶國際移動用戶識別碼（IMSI）接入網絡而導致的用戶標識在空口的泄露問題，5G引入了用戶隱藏標識（SUCI）。通過一系列的算法和機制設計，在5G響應身份請求消息時，UE永遠不發送用戶的永久標識（SUPI）。由于每次產生的SUCI并不相同，因此攻擊者無法根據SUCI計算出SUPI。這能夠起到保護用戶隱私的作用。二是5G網絡無線接口支持接入層（AS）和非接入層（NAS）的機密性和完整性保護。在用戶面的完整性保護方面，之前的蜂窩移動網絡在應對業務時效性的要求時均未設計完整的保護機制。考慮到有些物聯網應用場景對控制數據傳遞的準確性要求比時效性要求更高，5G網絡引入了靈活的數據完整性保護機制。設置完整性保護策略可以使5G網絡靈活地決定是否開啟用戶面數據完整性保護，以更好地適應不同應用場景的差異化需求。

（3）數據機密性和完整性保護

在無線接口機密性和完整性保護算法方面，5G網絡支持高級加密標準（AES）、祖沖之算法（ZUC）或者Snow 3G 128 bit的密碼算法。考慮到未來量子計算對算法的破解，5G網絡將支持256 bit的密鑰。

除了無線接口外，5G網絡還在運營商網間增加了安全邊界保護代理（SEPP）設備，可支持在運營商之間建立傳輸層安全（TLS）的安全傳輸通道，或者基于共同認同的安全策略對傳輸的信息進行機密性和完整性保護，以防止重要敏感數據在傳輸過程中被篡改和竊聽。

（4）網絡功能（NF）之間的安全隔離

5G網絡的服務化架構使NF之間的相互訪問更加便利，但是也為攻擊者偽造成合法NF進行攻擊帶來了便利。針對服務化架構，5G網絡設計了一套授權認證機制，以確保只有授權的NF才能訪問特定服務，實現服務化架構下NF之間的安全隔離。這主要包括：（a）引入網絡倉儲功能（NRF）提供NF服務能力的注冊、發現、授權，來保障服務化安全；（b）NF與NRF、NF之間進行交互時都需要進行雙向認證，具體可采用傳輸層安全機制（例如TLS協議）的認證機制或者網絡域安全機制，例如網絡域安全/互聯網協議（NDS/IP）；（c）引入授權機制，即NRF采用互聯網工程任務組（IETF）定義的OAuth 2.0授權框架[4]對NF進行顯式授權，或者基于5G網絡的服務發現流程向NF進行隱式授權。

3.1.2 網絡切片技術的安全能力

除了5G網絡本身的安全能力之外，網絡切片還支持一系列特有的安全機制。

（1）網絡切片認證

UE接入切片時，其注冊過程除了可以通過5G網絡進行主認證之外，還可以使用網絡切片認證[3,5]，進一步防止未授權用戶訪問切片。網絡切片認證可以由切片使用者（例如物聯網應用的服務提供商）自行進行管理。這增強了切片使用者對用戶的控制能力和靈活度。

主認證、次認證和切片認證共同構成了5G網絡保障物聯網應用安全的三級認證體系。三者之間的關系如圖2所示[6]。

▲圖2 主認證、次認證和切片認證的關系

物聯網應用可根據自身的安全需求，在主認證基礎之上，疊加次認證和/或切片認證來增強安全能力。

（2）切片的安全隔離機制

切片技術安全性的核心是切片的隔離能力。5G網絡從無線接入網隔離、承載網隔離、核心網隔離、數據隔離4個方面引入隔離機制，構建了切片之間、切片網絡與用戶之間、切片內網元之間的三級隔離體系。無線接入網隔離機制包括：為不同的切片分配專用頻譜可實現無線頻譜資源的物理隔離，或者不同切片按需使用相同的頻譜以實現邏輯隔離[7]；為不同的切片分配不同的硬件、虛擬機或容器以及對應的虛擬局域網/虛擬可擴展局域網（VLAN/VxLAN）可實現網元隔離。承載網隔離機制包括VLAN邏輯隔離，以及以太網分片技術（如靈活以太網）實現時隙層面的物理隔離[8]。核心網的隔離機制包括獨立的物理資源隔離、基于虛擬機或容器的邏輯隔離、通過劃分不同的安全域并在安全域之間配置安全策略（例如認證、授權等）而實現的隔離、通過賬號權限控制實現不同切片管理維護之間的隔離等。數據隔離機制包括使用獨立的密鑰而實現的不同數據的隔離、通過身份認證和細粒度授權進行數據訪問控制、不同安全級別采用不同的加密機制等。

（3）切片的安全監控

切片管理系統可以實時掌握切片的運行情況（包括故障和受攻擊情況），并可通過聯動其他安全設備進行威脅處置、故障修復等。雙向認證、訪問授權以及管理接口的安全保護，可保障切片管理功能的安全。

3.1.3 MEC技術的安全能力

MEC技術可降低時延和網絡傳輸壓力，其自身并不具備安全能力。但是由于需要指定用戶面功能（UPF）處理數據、阻斷對外的N9接口、不開放面向公網的N6接口，事實上MEC技術可以達到敏感數據的流向可管可控、數據不出園區的效果，能夠滿足某些物聯網應用場景下更高的數據安全需求。

當然，如前所述，MEC技術會給5G網絡帶來一定的安全風險。因此，我們還需要對邊緣計算采取必要的安全防護方案，例如：對使用MEC的操作進行認證、授權和審計，對引入的第三方應用執行嚴格的評估管控流程，加強數據訪問控制，對MEC內部邊界進行安全隔離等。

3.1.4 運營商網絡部署的其他安全能力

除了5G網絡和切片的安全能力之外，為保障相關網絡和業務系統的安全，運營商網絡通常會部署很多其他的安全能力，包括認證、授權、審計、入侵檢測、漏洞掃描、入侵檢測、威脅情報共享、惡意流量清洗等。

3.2 賦能方式

5G網絡可以通過安全組網和安全能力開放兩種方式，為物聯網應用提供差異化的安全服務，直接賦能物聯網應用安全。

3.2.1 安全組網

5G網絡可通過“切片+邊緣計算”的方式進行組網，為不同物聯網應用提供不同安全等級的定制化虛擬專網。顯然，安全的虛擬專網可滿足不同物聯網應用之間的安全隔離要求。

除此之外，我們還可以根據各物聯網應用的安全需求，為虛擬專網設計定制化的安全機制，提供差異化的安全服務。5G網絡自身的安全能力、切片的安全能力，MEC技術，甚至包括運營商部署的入侵檢測、安全防護等能力，都可以作為虛擬專網的安全定制選項。例如，對安全等級和資源保障要求高的重點應用，可將切片部署于專用的物理資源實現物理隔離并部署MEC；對數據準確性要求高的應用，可開啟數據的完整性保護；對可用性要求高的應用，可以通過流調度的方式，讓應用的流量經過抗DDoS攻擊、異常流量監測等安全模塊進行防御。

3.2.2 安全能力開放

5G網絡支持的網絡能力開放技術為5G網絡賦能物聯網安全提供了一種新的方式。

為了更好地支持物聯網行業應用，5G標準中引入網絡開放功能（NEF），支持將5G網絡的基礎能力對外轉換為標準的應用編程接口（API），以便第三方應用服務提供商調用。目前3GPP已經完成服務質量（QoS）能力等業務能力開放的標準化工作。5G網絡的安全能力開放目前正處于研究當中。

安全能力開放的方式[9]包括：由5G網絡構建安全能力開放平臺，實現網絡即服務（NaaS），形成一系列安全服務能力，并通過API進行開放以賦能物聯網安全。物聯網行業應用可根據自身的安全需求，直接調用運營商網絡的安全服務能力和安全資源，可以節省更多的財力和精力，實現行業共贏。

前述5G網絡自身的安全能力、切片的安全能力，甚至運營商部署的入侵檢測、安全防護等能力都可以考慮以適當的服務方式進行開放。例如，3GPP R16就提出了一種面向應用的認證和密鑰協商（AKMA）[10-11]能力開放的解決方案，即利用5G網絡的認證憑證和安全機制，為第三方應用提供認證和應用層通信加密服務。該方案尤其適合物聯網應用的調用場景。在物聯網場景下，由于終端難以進行密鑰接收和配置，而AKMA無須在終端預置安全憑證，物聯網應用也無須建立自身密鑰管理體系進行密鑰分發，使用5G的AKMA能力就可以實現認證和密鑰管理能力。由于第三方應用可通過標準的能力開放接口接入并使用AKMA功能，因此該方案可適用于所有協議的物聯網設備。

4 結束語

目前，5G對物聯網安全賦能的各種實踐已嶄露頭角。5G網絡結合MEC和切片技術進行安全組網并提供定制化安全能力的方案，業界已有較多試驗應用場景，但還不夠成熟，尚未進行規模化復制。而5G網絡安全能力開放的方案，目前尚處于方案探索階段，實踐案例很少。這主要是由于通信行業與垂直應用行業彼此了解不夠，5G網絡難以結合行業需求并對自身豐富的相關安全能力進行充分地挖掘和開放。

5G網絡讓萬物互聯成為可能，促進了產業的跨界融合，但也引發了業界對安全問題的擔憂。如前所述，5G網絡蘊含的豐富的安全能力有待釋放，未來5G網絡與物聯網應用在安全方面的深度融合還有無限的可能，尤其是5G安全能力開放，將成為未來5G和物聯網融合發展的一個重要方向。后續運營商與物聯網應用服務商應加強溝通合作，形成跨行業共識，共同推動5G賦能物聯網安全，更好地發揮5G在推動社會數字化轉型過程中的作用。