信息來源：51CTO

從2G到4G，移動網(wǎng)絡已成為日常生活不可或缺的符號，而5G的到來更將滲透到未來社會的各個領域，它提供了更快的速度，更可靠的連接，成功推動了萬物互聯(lián)的時代。與此同時，5G移動通信技術(shù)也將面臨新業(yè)務、新架構(gòu)、新技術(shù)帶來的安全挑戰(zhàn)和機遇，以及更高的用戶隱私保護需求。

僅就質(zhì)量而言，5G領先于4G，風險也遠大于4G

從用戶的角度來看，5G本質(zhì)上不同于任何先前的移動代。從長遠來看，由5G支持的機器類型通信將成為5G的戰(zhàn)略差異和獨特賣點。5G網(wǎng)絡將成為促進數(shù)字化、自動化以及M2M和運輸解決方案等連接的關(guān)鍵基礎設施。因此，5G網(wǎng)絡安全也面臨重大風險。

為什么5G網(wǎng)絡會帶來更大的安全隱患

根據(jù)2019年布魯金斯大學的報告，5G網(wǎng)絡比4G更容易受到攻擊：

• 5G網(wǎng)絡從傳統(tǒng)基于硬件的集中式交換轉(zhuǎn)變?yōu)榉植际?、軟件定義的數(shù)字化路由，從而更易受到攻擊。
• 以前由物理設備執(zhí)行的高級網(wǎng)絡功能現(xiàn)在已通過軟件進行虛擬化，從而增加了網(wǎng)絡漏洞。
• 即使網(wǎng)絡中的軟件漏洞已被鎖定，但5G網(wǎng)絡仍由軟件管理，這意味著獲得網(wǎng)絡管理軟件控制權(quán)的攻擊者也可以控制網(wǎng)絡。
• 5G帶寬的急劇擴張創(chuàng)造了更多的攻擊途徑。
• 未來大量智能設備與物聯(lián)網(wǎng)的連接也將導致網(wǎng)絡漏洞激增。

5G三大場景的安全性劃分

首先我們知道5G有三大典型業(yè)務場景，分別是增強型移動寬帶(eMBB)、高可靠低時延連接(uRLLC)、海量物聯(lián)網(wǎng)(mMTC)。他們對于安全性都有各自不同的需求：

• eMBB的主要特點是提供更高的體驗速率和更大帶寬的接入能力，用于滿足諸如虛擬現(xiàn)實(VR)、大視頻等對帶寬有極高要求的業(yè)務，但這也需要更高的安全處理性能，支持外部網(wǎng)絡二次認證以及已知漏洞的修補能力;
• uRLLC能夠提供低時延和高可靠的信息交互能力，端到端的時延在毫秒級別，主要用于車聯(lián)網(wǎng)、遠程醫(yī)療等應用。網(wǎng)絡安全通常與網(wǎng)絡性能效率是互為矛盾的，增強網(wǎng)絡安全防護機制，必然以犧牲網(wǎng)絡性能、降低網(wǎng)絡效率為代價，因此uRLLC需要低時延的安全算法/協(xié)議、邊緣計算的安全架構(gòu)和隱私、關(guān)鍵數(shù)據(jù)的保護;
• mMTC能夠提供更高連接密度時優(yōu)化的信令控制能力，支持大規(guī)模、低成本、低能耗IoT設備的高效接入和管理，但它需要輕量化的安全，需要群組認證以及能夠抵抗DDos攻擊。

5G的不同安全挑戰(zhàn)

5G對不同場景提供的接入方式和網(wǎng)絡服務方式存在較大差異，支持的業(yè)務交付方式也不同，安全需求的差異性非常明顯。特別是物聯(lián)網(wǎng)應用場景帶來的大連接認證、高可用性、低時延、低能耗等安全需求，以及5G引入的 SDN/NFV、虛擬化、移動邊緣計算和異構(gòu)無線網(wǎng)絡融合等新技術(shù)帶來的變化和安全風險，對5G移動通信系統(tǒng)的接入、切片安全、數(shù)據(jù)保護和用戶隱私保護等方面提出了全新的挑戰(zhàn)。

接入安全

5G 時代網(wǎng)絡不僅用于人與人的通信，還用于人與物、物與物的通信，為此，5G 網(wǎng)絡需要支持多樣化的接入終端，多種接入類型和多種接入技術(shù)。

• 從終端類型看，分為有卡終端和無卡終端。有卡終端以 SIM/USIM 卡作為用戶身份和密鑰載體，具備一定的計算和存儲能力;無卡終端沒有內(nèi)置專用載體存儲身份密鑰信息，通常以 IP 地址或者 MAC 作為自己的身份，用數(shù)字證書提供安全保障;
• 從接入類型看，5G 網(wǎng)絡需要支持 3GPP 接入、非 3GPP 接入、可信接入和非信任接入;
• 從接入技術(shù)看，5G 網(wǎng)絡除了支持 5G 新無線接入技術(shù)之外，還要兼容 3G 接入、LTE 接入、WLAN和固定接入等技術(shù)。

5G 網(wǎng)絡是融合了多種類型的終端、接入類型和接入技術(shù)的異構(gòu)型網(wǎng)絡，而不同的終端，不同的接入類型和接入技術(shù)存在不同的安全需求，使用不同的認證協(xié)議和密鑰協(xié)商機制，5G 網(wǎng)絡需要研究構(gòu)建統(tǒng)一的認證框架來融合不同的接入認證機制，滿足具有不同安全能力的終端的安全接入需求。

切片安全

5G 網(wǎng)絡切片是基于無線接入網(wǎng)、承載網(wǎng)與核心網(wǎng)基礎設施，以及網(wǎng)絡虛擬化技術(shù)構(gòu)建的一個面向不同業(yè)務特征的邏輯網(wǎng)絡。運營商可以為不同行業(yè)應用在共享的網(wǎng)絡基礎設施上通過能力開放、智能調(diào)度、安全隔離等技術(shù)分別構(gòu)建彼此隔離的 5G 網(wǎng)絡切片，提供差異化的網(wǎng)絡服務。

同樣，網(wǎng)絡切片技術(shù)也對安全提出了更高的要求。例如，切片授權(quán)與接入控制;切片間的資源沖突;切片間的安全隔離;切片用戶的隱私保護等。切片技術(shù)的好處是可以隔離故障網(wǎng)元，做到網(wǎng)絡業(yè)務的隔離。但從另外一個角度來看，切片依賴于網(wǎng)絡資源和業(yè)務類型以及流量，要精準地把握，否則將無法組織好跟業(yè)務對應的切片。網(wǎng)絡切片需要提供不同切片實例之間的隔離機制，防止本切片內(nèi)的資源被其他類型網(wǎng)絡切片中網(wǎng)絡節(jié)點非法訪問。

邊緣計算安全

多接入邊緣計算(MEC)作為5G網(wǎng)絡新型網(wǎng)絡架構(gòu)之一，采用分布式網(wǎng)絡架構(gòu)，把服務能力和應用推進到網(wǎng)絡邊緣，從而構(gòu)建一個具備高性能、低延遲與高帶寬的電信級服務環(huán)境。邊緣計算優(yōu)勢是就近處理，減少了對敏感數(shù)據(jù)泄露的風險，不足的之處是，由于邊緣計算不是集中的云計算，防護能力弱，本身易受攻擊，并且在管理方面由原來集中管理內(nèi)容監(jiān)管變成分散到各邊緣節(jié)點，這又給管理上增加了額外的難度。

典型的MEC承載了部分核心網(wǎng)功能、運營商增值業(yè)務以及垂直行業(yè)業(yè)務等，并與無線接入網(wǎng)絡、核心網(wǎng)、企業(yè)網(wǎng)絡、互聯(lián)網(wǎng)等多個外部網(wǎng)絡互聯(lián)。從總體上看，MEC 是中心計算的延伸，既繼承了中心計算的優(yōu)勢，也面臨和中心計算相似的威脅;具體來看，由于在物理位置、網(wǎng)絡邊界、客戶主體、業(yè)務類型等多方面發(fā)生了變化，導致 MEC 在組網(wǎng)架構(gòu)與運營模式上與傳統(tǒng)電信網(wǎng)存在較大差異，因此在安全性方面也面臨新的挑戰(zhàn)。

隱私保護

5G 網(wǎng)絡需要為不同業(yè)務場景提供差異化安全服務，能夠適應多種網(wǎng)絡接入方式及新型網(wǎng)絡架構(gòu)。這些新場景、新架構(gòu)和新技術(shù)都讓 5G 網(wǎng)絡有了更高的隱私保護需求。另外，5G 網(wǎng)絡針對垂直行業(yè)用戶會產(chǎn)生大量的敏感信息，迫切需要在5G開放網(wǎng)絡環(huán)境之上，采取措施保證行業(yè)用戶的隱私安全。5G網(wǎng)絡將啟用各種新型應用程序，大量敏感數(shù)據(jù)將通過5G網(wǎng)絡傳輸，在不同使用情況下的隱私保護可能會根據(jù)安全要求(例如位置隱私，身份隱私)而有所不同。例如，車聯(lián)網(wǎng)可以監(jiān)控我們的活動路線，智慧城市應用可以收集我們的生活方式信息。在5G場景下，如何實現(xiàn)對隱私數(shù)據(jù)的分級，提高抵抗大數(shù)據(jù)攻擊的隱私保護的能力將會成為一個亟待解決的問題。

5G安全標準化組織

目前對5G安全標準進行研究的主要有3GPP SA3、ETSI NFV 和 ITU-T SG17、NGMN 等多個國際標準化組織。

3GPP

2017年12月，3GPP批準了5G NR非獨立(NSA)規(guī)范，隨后于2018年6月通過了獨立(SA)規(guī)范，完成了5G第一階段(3GPP版本15)的無線電部分。其中，3GPP安全工作組(SA3)負責5G網(wǎng)絡安全構(gòu)架設計。在 2016 年 2 月召開的第 82 次會議上，3GPP SA3 開始了 5G 安全立項(下一代系統(tǒng)安全)方面的研究工作，該研究項目承接 SA2 的 5G 研究，收集、分析和研究下一代網(wǎng)絡中潛在的安全威脅和需求，同時與 SA2、RAN2 和 RAN3 合作開展下一代網(wǎng)絡的安全架構(gòu)和接入網(wǎng)安全研究。在 2017 年3月召開的第 86 次會議上，3GPP SA3開始了5G安全標準立項 5G System and Security Architecture-Phase 1 的標準工作，主要側(cè)重安全框架、接入安全、用戶數(shù)據(jù)的機密性和完整性保護、移動性和會話管理安全、用戶身份的隱私保護以及與 EPS(演進的分組系統(tǒng))的互通等相關(guān)的工作，后續(xù)3GPP在第二階段開展了切片安全、能力開放安全、256 比特密碼算法等相關(guān)標準工作。2018年9月，在3GPP SA3安全研究組第92次會議上，由中國移動主導的5G虛擬化網(wǎng)元安全保障研究項目成功立項。該項目填補了業(yè)界在虛擬化網(wǎng)元安全保障及評估標準領域的空白，獲得了包括運營商、設備廠商、研究機構(gòu)等在內(nèi)的10家公司共簽支持。

ETSI

ETSI 主要針對 NFV 的安全進行了研究，在 NFV 下專門成立了安全子組對 NFV 安全進行深入研究，主要聚焦 NFV 安全架構(gòu)、隱私保護、合法監(jiān)聽、MANO 安全、證書管理、安全管理、安全部署等方面的研究和標準化制定。ONF 和 ITU-T 在 SDN 安全方面也進行了相關(guān)的標準化工作。

NGMN

2014年，由20多個國際領先運營商CTO組成的NGMN理事會決定將NGMN的活動重點放在定義5G的端到端要求上。2015年3月，NGMN 發(fā)布了5G白皮書，表達了其在 5G 愿景、需求、技術(shù)與架構(gòu)、頻譜、IPR 生態(tài)、以及路線圖等方面的觀點，旨在指導未來技術(shù)平臺和相關(guān)標準的開發(fā)，滿足未來的最終用戶需求。2017年，NGMN 成立了正式的 SCT 安全工作組，全面開展 5G 端到端架構(gòu)、5G 能力開放，以及車聯(lián)網(wǎng)等方面的安全技術(shù)工作。在《5G 端到端架構(gòu)框架》白皮書中，NGMN 分別從網(wǎng)絡層、業(yè)務使能層、業(yè)務應用層、管理與編排、終端設備幾個方面闡述了 5G 安全的技術(shù)需求。NGMN還分析了5G采用網(wǎng)絡切片技術(shù)后可能面臨的安全威脅和安全缺陷。

總結(jié)

4G時代，我們已經(jīng)見證了不少網(wǎng)絡安全事故，在即將到來的5G時代，新型業(yè)務場景不斷涌現(xiàn)，新技術(shù)發(fā)展帶來的安全挑戰(zhàn)同樣不容忽視。目前5G 網(wǎng)絡安全標準化工作正在全面展開，未來5G的發(fā)展也將隨著實際應用的落地而不斷完善。