信息來源：51CTO

從2G到4G，移動(dòng)網(wǎng)絡(luò)已成為日常生活不可或缺的符號(hào)，而5G的到來更將滲透到未來社會(huì)的各個(gè)領(lǐng)域，它提供了更快的速度，更可靠的連接，成功推動(dòng)了萬物互聯(lián)的時(shí)代。與此同時(shí)，5G移動(dòng)通信技術(shù)也將面臨新業(yè)務(wù)、新架構(gòu)、新技術(shù)帶來的安全挑戰(zhàn)和機(jī)遇，以及更高的用戶隱私保護(hù)需求。

僅就質(zhì)量而言，5G領(lǐng)先于4G，風(fēng)險(xiǎn)也遠(yuǎn)大于4G

從用戶的角度來看，5G本質(zhì)上不同于任何先前的移動(dòng)代。從長遠(yuǎn)來看，由5G支持的機(jī)器類型通信將成為5G的戰(zhàn)略差異和獨(dú)特賣點(diǎn)。5G網(wǎng)絡(luò)將成為促進(jìn)數(shù)字化、自動(dòng)化以及M2M和運(yùn)輸解決方案等連接的關(guān)鍵基礎(chǔ)設(shè)施。因此，5G網(wǎng)絡(luò)安全也面臨重大風(fēng)險(xiǎn)。

為什么5G網(wǎng)絡(luò)會(huì)帶來更大的安全隱患

根據(jù)2019年布魯金斯大學(xué)的報(bào)告，5G網(wǎng)絡(luò)比4G更容易受到攻擊：

• 5G網(wǎng)絡(luò)從傳統(tǒng)基于硬件的集中式交換轉(zhuǎn)變?yōu)榉植际健④浖x的數(shù)字化路由，從而更易受到攻擊。
• 以前由物理設(shè)備執(zhí)行的高級(jí)網(wǎng)絡(luò)功能現(xiàn)在已通過軟件進(jìn)行虛擬化，從而增加了網(wǎng)絡(luò)漏洞。
• 即使網(wǎng)絡(luò)中的軟件漏洞已被鎖定，但5G網(wǎng)絡(luò)仍由軟件管理，這意味著獲得網(wǎng)絡(luò)管理軟件控制權(quán)的攻擊者也可以控制網(wǎng)絡(luò)。
• 5G帶寬的急劇擴(kuò)張創(chuàng)造了更多的攻擊途徑。
• 未來大量智能設(shè)備與物聯(lián)網(wǎng)的連接也將導(dǎo)致網(wǎng)絡(luò)漏洞激增。

5G三大場景的安全性劃分

首先我們知道5G有三大典型業(yè)務(wù)場景，分別是增強(qiáng)型移動(dòng)寬帶(eMBB)、高可靠低時(shí)延連接(uRLLC)、海量物聯(lián)網(wǎng)(mMTC)。他們對(duì)于安全性都有各自不同的需求：

• eMBB的主要特點(diǎn)是提供更高的體驗(yàn)速率和更大帶寬的接入能力，用于滿足諸如虛擬現(xiàn)實(shí)(VR)、大視頻等對(duì)帶寬有極高要求的業(yè)務(wù)，但這也需要更高的安全處理性能，支持外部網(wǎng)絡(luò)二次認(rèn)證以及已知漏洞的修補(bǔ)能力;
• uRLLC能夠提供低時(shí)延和高可靠的信息交互能力，端到端的時(shí)延在毫秒級(jí)別，主要用于車聯(lián)網(wǎng)、遠(yuǎn)程醫(yī)療等應(yīng)用。網(wǎng)絡(luò)安全通常與網(wǎng)絡(luò)性能效率是互為矛盾的，增強(qiáng)網(wǎng)絡(luò)安全防護(hù)機(jī)制，必然以犧牲網(wǎng)絡(luò)性能、降低網(wǎng)絡(luò)效率為代價(jià)，因此uRLLC需要低時(shí)延的安全算法/協(xié)議、邊緣計(jì)算的安全架構(gòu)和隱私、關(guān)鍵數(shù)據(jù)的保護(hù);
• mMTC能夠提供更高連接密度時(shí)優(yōu)化的信令控制能力，支持大規(guī)模、低成本、低能耗IoT設(shè)備的高效接入和管理，但它需要輕量化的安全，需要群組認(rèn)證以及能夠抵抗DDos攻擊。

5G的不同安全挑戰(zhàn)

5G對(duì)不同場景提供的接入方式和網(wǎng)絡(luò)服務(wù)方式存在較大差異，支持的業(yè)務(wù)交付方式也不同，安全需求的差異性非常明顯。特別是物聯(lián)網(wǎng)應(yīng)用場景帶來的大連接認(rèn)證、高可用性、低時(shí)延、低能耗等安全需求，以及5G引入的 SDN/NFV、虛擬化、移動(dòng)邊緣計(jì)算和異構(gòu)無線網(wǎng)絡(luò)融合等新技術(shù)帶來的變化和安全風(fēng)險(xiǎn)，對(duì)5G移動(dòng)通信系統(tǒng)的接入、切片安全、數(shù)據(jù)保護(hù)和用戶隱私保護(hù)等方面提出了全新的挑戰(zhàn)。

接入安全

5G 時(shí)代網(wǎng)絡(luò)不僅用于人與人的通信，還用于人與物、物與物的通信，為此，5G 網(wǎng)絡(luò)需要支持多樣化的接入終端，多種接入類型和多種接入技術(shù)。

• 從終端類型看，分為有卡終端和無卡終端。有卡終端以 SIM/USIM 卡作為用戶身份和密鑰載體，具備一定的計(jì)算和存儲(chǔ)能力;無卡終端沒有內(nèi)置專用載體存儲(chǔ)身份密鑰信息，通常以 IP 地址或者 MAC 作為自己的身份，用數(shù)字證書提供安全保障;
• 從接入類型看，5G 網(wǎng)絡(luò)需要支持 3GPP 接入、非 3GPP 接入、可信接入和非信任接入;
• 從接入技術(shù)看，5G 網(wǎng)絡(luò)除了支持 5G 新無線接入技術(shù)之外，還要兼容 3G 接入、LTE 接入、WLAN和固定接入等技術(shù)。

5G 網(wǎng)絡(luò)是融合了多種類型的終端、接入類型和接入技術(shù)的異構(gòu)型網(wǎng)絡(luò)，而不同的終端，不同的接入類型和接入技術(shù)存在不同的安全需求，使用不同的認(rèn)證協(xié)議和密鑰協(xié)商機(jī)制，5G 網(wǎng)絡(luò)需要研究構(gòu)建統(tǒng)一的認(rèn)證框架來融合不同的接入認(rèn)證機(jī)制，滿足具有不同安全能力的終端的安全接入需求。

切片安全

5G 網(wǎng)絡(luò)切片是基于無線接入網(wǎng)、承載網(wǎng)與核心網(wǎng)基礎(chǔ)設(shè)施，以及網(wǎng)絡(luò)虛擬化技術(shù)構(gòu)建的一個(gè)面向不同業(yè)務(wù)特征的邏輯網(wǎng)絡(luò)。運(yùn)營商可以為不同行業(yè)應(yīng)用在共享的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上通過能力開放、智能調(diào)度、安全隔離等技術(shù)分別構(gòu)建彼此隔離的 5G 網(wǎng)絡(luò)切片，提供差異化的網(wǎng)絡(luò)服務(wù)。

同樣，網(wǎng)絡(luò)切片技術(shù)也對(duì)安全提出了更高的要求。例如，切片授權(quán)與接入控制;切片間的資源沖突;切片間的安全隔離;切片用戶的隱私保護(hù)等。切片技術(shù)的好處是可以隔離故障網(wǎng)元，做到網(wǎng)絡(luò)業(yè)務(wù)的隔離。但從另外一個(gè)角度來看，切片依賴于網(wǎng)絡(luò)資源和業(yè)務(wù)類型以及流量，要精準(zhǔn)地把握，否則將無法組織好跟業(yè)務(wù)對(duì)應(yīng)的切片。網(wǎng)絡(luò)切片需要提供不同切片實(shí)例之間的隔離機(jī)制，防止本切片內(nèi)的資源被其他類型網(wǎng)絡(luò)切片中網(wǎng)絡(luò)節(jié)點(diǎn)非法訪問。

邊緣計(jì)算安全

多接入邊緣計(jì)算(MEC)作為5G網(wǎng)絡(luò)新型網(wǎng)絡(luò)架構(gòu)之一，采用分布式網(wǎng)絡(luò)架構(gòu)，把服務(wù)能力和應(yīng)用推進(jìn)到網(wǎng)絡(luò)邊緣，從而構(gòu)建一個(gè)具備高性能、低延遲與高帶寬的電信級(jí)服務(wù)環(huán)境。邊緣計(jì)算優(yōu)勢(shì)是就近處理，減少了對(duì)敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)，不足的之處是，由于邊緣計(jì)算不是集中的云計(jì)算，防護(hù)能力弱，本身易受攻擊，并且在管理方面由原來集中管理內(nèi)容監(jiān)管變成分散到各邊緣節(jié)點(diǎn)，這又給管理上增加了額外的難度。

典型的MEC承載了部分核心網(wǎng)功能、運(yùn)營商增值業(yè)務(wù)以及垂直行業(yè)業(yè)務(wù)等，并與無線接入網(wǎng)絡(luò)、核心網(wǎng)、企業(yè)網(wǎng)絡(luò)、互聯(lián)網(wǎng)等多個(gè)外部網(wǎng)絡(luò)互聯(lián)。從總體上看，MEC 是中心計(jì)算的延伸，既繼承了中心計(jì)算的優(yōu)勢(shì)，也面臨和中心計(jì)算相似的威脅;具體來看，由于在物理位置、網(wǎng)絡(luò)邊界、客戶主體、業(yè)務(wù)類型等多方面發(fā)生了變化，導(dǎo)致 MEC 在組網(wǎng)架構(gòu)與運(yùn)營模式上與傳統(tǒng)電信網(wǎng)存在較大差異，因此在安全性方面也面臨新的挑戰(zhàn)。

隱私保護(hù)

5G 網(wǎng)絡(luò)需要為不同業(yè)務(wù)場景提供差異化安全服務(wù)，能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)。這些新場景、新架構(gòu)和新技術(shù)都讓 5G 網(wǎng)絡(luò)有了更高的隱私保護(hù)需求。另外，5G 網(wǎng)絡(luò)針對(duì)垂直行業(yè)用戶會(huì)產(chǎn)生大量的敏感信息，迫切需要在5G開放網(wǎng)絡(luò)環(huán)境之上，采取措施保證行業(yè)用戶的隱私安全。5G網(wǎng)絡(luò)將啟用各種新型應(yīng)用程序，大量敏感數(shù)據(jù)將通過5G網(wǎng)絡(luò)傳輸，在不同使用情況下的隱私保護(hù)可能會(huì)根據(jù)安全要求(例如位置隱私，身份隱私)而有所不同。例如，車聯(lián)網(wǎng)可以監(jiān)控我們的活動(dòng)路線，智慧城市應(yīng)用可以收集我們的生活方式信息。在5G場景下，如何實(shí)現(xiàn)對(duì)隱私數(shù)據(jù)的分級(jí)，提高抵抗大數(shù)據(jù)攻擊的隱私保護(hù)的能力將會(huì)成為一個(gè)亟待解決的問題。

5G安全標(biāo)準(zhǔn)化組織

目前對(duì)5G安全標(biāo)準(zhǔn)進(jìn)行研究的主要有3GPP SA3、ETSI NFV 和 ITU-T SG17、NGMN 等多個(gè)國際標(biāo)準(zhǔn)化組織。

3GPP

2017年12月，3GPP批準(zhǔn)了5G NR非獨(dú)立(NSA)規(guī)范，隨后于2018年6月通過了獨(dú)立(SA)規(guī)范，完成了5G第一階段(3GPP版本15)的無線電部分。其中，3GPP安全工作組(SA3)負(fù)責(zé)5G網(wǎng)絡(luò)安全構(gòu)架設(shè)計(jì)。在 2016 年 2 月召開的第 82 次會(huì)議上，3GPP SA3 開始了 5G 安全立項(xiàng)(下一代系統(tǒng)安全)方面的研究工作，該研究項(xiàng)目承接 SA2 的 5G 研究，收集、分析和研究下一代網(wǎng)絡(luò)中潛在的安全威脅和需求，同時(shí)與 SA2、RAN2 和 RAN3 合作開展下一代網(wǎng)絡(luò)的安全架構(gòu)和接入網(wǎng)安全研究。在 2017 年3月召開的第 86 次會(huì)議上，3GPP SA3開始了5G安全標(biāo)準(zhǔn)立項(xiàng) 5G System and Security Architecture-Phase 1 的標(biāo)準(zhǔn)工作，主要側(cè)重安全框架、接入安全、用戶數(shù)據(jù)的機(jī)密性和完整性保護(hù)、移動(dòng)性和會(huì)話管理安全、用戶身份的隱私保護(hù)以及與 EPS(演進(jìn)的分組系統(tǒng))的互通等相關(guān)的工作，后續(xù)3GPP在第二階段開展了切片安全、能力開放安全、256 比特密碼算法等相關(guān)標(biāo)準(zhǔn)工作。2018年9月，在3GPP SA3安全研究組第92次會(huì)議上，由中國移動(dòng)主導(dǎo)的5G虛擬化網(wǎng)元安全保障研究項(xiàng)目成功立項(xiàng)。該項(xiàng)目填補(bǔ)了業(yè)界在虛擬化網(wǎng)元安全保障及評(píng)估標(biāo)準(zhǔn)領(lǐng)域的空白，獲得了包括運(yùn)營商、設(shè)備廠商、研究機(jī)構(gòu)等在內(nèi)的10家公司共簽支持。

ETSI

ETSI 主要針對(duì) NFV 的安全進(jìn)行了研究，在 NFV 下專門成立了安全子組對(duì) NFV 安全進(jìn)行深入研究，主要聚焦 NFV 安全架構(gòu)、隱私保護(hù)、合法監(jiān)聽、MANO 安全、證書管理、安全管理、安全部署等方面的研究和標(biāo)準(zhǔn)化制定。ONF 和 ITU-T 在 SDN 安全方面也進(jìn)行了相關(guān)的標(biāo)準(zhǔn)化工作。

NGMN

2014年，由20多個(gè)國際領(lǐng)先運(yùn)營商CTO組成的NGMN理事會(huì)決定將NGMN的活動(dòng)重點(diǎn)放在定義5G的端到端要求上。2015年3月，NGMN 發(fā)布了5G白皮書，表達(dá)了其在 5G 愿景、需求、技術(shù)與架構(gòu)、頻譜、IPR 生態(tài)、以及路線圖等方面的觀點(diǎn)，旨在指導(dǎo)未來技術(shù)平臺(tái)和相關(guān)標(biāo)準(zhǔn)的開發(fā)，滿足未來的最終用戶需求。2017年，NGMN 成立了正式的 SCT 安全工作組，全面開展 5G 端到端架構(gòu)、5G 能力開放，以及車聯(lián)網(wǎng)等方面的安全技術(shù)工作。在《5G 端到端架構(gòu)框架》白皮書中，NGMN 分別從網(wǎng)絡(luò)層、業(yè)務(wù)使能層、業(yè)務(wù)應(yīng)用層、管理與編排、終端設(shè)備幾個(gè)方面闡述了 5G 安全的技術(shù)需求。NGMN還分析了5G采用網(wǎng)絡(luò)切片技術(shù)后可能面臨的安全威脅和安全缺陷。

總結(jié)

4G時(shí)代，我們已經(jīng)見證了不少網(wǎng)絡(luò)安全事故，在即將到來的5G時(shí)代，新型業(yè)務(wù)場景不斷涌現(xiàn)，新技術(shù)發(fā)展帶來的安全挑戰(zhàn)同樣不容忽視。目前5G 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作正在全面展開，未來5G的發(fā)展也將隨著實(shí)際應(yīng)用的落地而不斷完善。