5G網絡的終端安全

嚴苗苗 王磊 張衛剛

?

5G網絡的終端安全

嚴苗苗 王磊 張衛剛

天元瑞信通信技術股份有限公司，陜西 西安 710065

隨著通信的不斷發展，5G移動通信勢在必行，隨之而來的安全技術也為網絡帶來新的挑戰。從終端安全的角度對5G網絡安全進行了闡述。

5G網絡；移動終端；eMBB；mMTC；uRLLC；終端安全

引言

從3G網絡引入移動互聯網開始，移動終端日益成為黑客攻擊的主要目標。在3G/4G階段，3GPP一直注重加強對移動網絡的安全設計，終端安全則完全交由終端廠家自行開發。由于缺少統一標準的牽引，移動終端安全技術發展緩慢，產業化進展滯后，很快就成為用戶隱私泄露的重災區。近年來，雖然有芯片廠家或終端企業陸續推出了一些安全技術，但總體來說受已有架構的限制，解決不同角度的安全問題缺乏普適性設計[1]。

終端安全是5G安全體系中不可缺少的一環。安全架構在終端中引入終端安全面，在終端安全面中通過構建受信存儲、計算環境和標準化安全接口，分別從終端自身和外部兩方面為終端安全提供保障。終端自身安全保障可以通過構建可信存儲和計算環境，提升終端自身的安全防護能力；終端外部安全保障通過引入標準化的安全接口，支持第三方安全服務和安全模塊的引入，并支持基于云的安全增強機制，為終端提供安全監測、安全分析、安全管控等輔助安全。

5G網絡的安全體系由移動終端側和網絡側配合共同完成。無論是控制面還是用戶面都需要移動終端的安全配合。從信息流向來看，移動終端既是用戶信息和隱私數據的源頭也是其歸宿；從網絡切片來看，移動終端是網絡安全切片的實現起點也是實現終點；從垂直行業來看，5G網絡的一大特征就是對垂直行業的深度支持，垂直行業存在著多樣化的安全要求，其安全能力更是需要移動終端的支持。綜上所述，移動終端安全是5G網絡安全體系中不可缺少的一環。

移動終端安全涉及硬件層、操作系統層以及應用層等多個層面的問題，威脅因素主要來自外部網絡。解決終端安全問題，首先要從多個層面提升終端自身抵御攻擊的免疫能力，同時也要提高外部網絡如網絡接入、應用服務等的安全性，引入基于云的安全增強機制來為終端安全提供輔助支撐[2]。

1 5G移動終端共性安全需求

1.1 可信執行環境

隨著5G技術的發展，移動終端正在成為互聯網和物聯網業務的關鍵入口。網絡攻擊面的大幅擴大，敏感信息的指數增加，使得5G終端將面臨更艱難的安全環境。為5G終端建立可信任執行環境，是5G時代的必然要求。

移動終端的運行環境面臨來自硬件和軟件的威脅。移動終端硬件安全威脅主要來源于終端芯片設計安全漏洞或硬件體系安全防護不足，可導致平臺安全權限被獲取、存儲的隱私數據被竊取等安全風險，需要從硬件角度設計使終端核心器件具有抗物理攻擊的能力，為移動終端的安全起到基礎作用。移動終端軟件系統是移動終端的靈魂，對軟件系統的攻擊包括：利用操作系統漏洞等獲取終端控制權、修改安全策略；利用信息保護缺失、內存監管漏洞、應用程序漏洞等竊取用戶信息、篡改信息和信令、植入惡意代碼、擾亂系統的正常工作；利用Wi-Fi、藍牙等外設配置漏洞吸引終端接入，竊取敏感信息等。利用上述攻擊手段，可以輕易地收集用戶數據，控制和更改終端軟件，甚至在極端情況下，可以遙控癱瘓所有入網的終端，威脅國家網絡安全。因此需要對移動終端從硬件和軟件層面采取有效措施，建立可信執行環境，保證終端平臺的安全[3]。

1.2 安全體系完備性與可裁剪性

3G/4G時代，終端安全技術的主要驅動力是解決普通民眾移動支付等安全問題。終端廠家的安全方案基本是專用和封閉的。但是進入5G時代，行業用戶成為重要利益相關方。萬物互聯成為新生態的趨勢，將使行業安全和物聯網安全成為5G終端安全技術新的強大動力。

終端安全能力包括終端防護、用戶認證、入網認證、信息加密、安全存儲、應用管理等，涉及平臺安全、信息安全、使用安全、安全管理等多方面安全要求。不同行業對終端安全能力有著不同的需求。如果終端業界為不同行業分別設計安全架構，既不經濟又不現實。為了高效率地適應差異化安全需求，應建立統一的終端安全技術體系，該技術體系既能以組件化方式提供完備的安全能力，又能夠根據行業需求，方便地進行組件的組合和裁剪，提供高、中、低不同等級的安全能力，滿足差異化的安全要求。

從國家對信息領域的發展要求來看，在新興信息領域實施軍民戰略已上升到國家戰略層面。國防行業以及政府、公安等涉及國家安全和社會穩定的特殊行業，對移動通信的需求非常高，也對安全性有著更高的要求。終端安全體系應著眼安全能力要求更全面的特殊行業，提供完備的安全功能集。在面向普通垂直行業和普通公眾用戶時，安全架構能夠進行有針對性的功能裁剪，為普通行業和普通公眾用戶提供在成本范圍內的安全功能，以最小的代價實現通用終端與高安全行業終端安全防護體系的構建，滿足國家對信息領域安全建設的要求。

1.3 標準化的安全接口

在建立統一的安全體系同時，5G終端還應提供開放的安全服務環境，提供標準化的安全接口。通過標準接口，支持第三方安全服務和安全模塊的引入，便于行業客戶的二次開發，允許行業用戶通過標準接口快速地實現行業定制，支持不同行業終端的快速部署與專用化服務，提升終端產品的服務水平和競爭力。

2 eMBB終端安全需求

eMBB終端覆蓋了增強移動寬帶應用場景，是人與人、人與網、人與物間信息鏈接的主要載體，也是行業用戶開展移動辦公等處理行業敏感信息的主要工具。eMBB終端傳輸速率高、涉及普通用戶隱私/行業用戶敏感信息多、支持異構網絡連接，因此它的典型安全需求主要有三個方面：一具備與5G網絡速率相適配的高速率加密能力，同時還要具備較低的功耗要求；二是對普通用戶具備對個人信息或標識以及地址信息等等隱私信息的保護能力，對行業用戶具備高等級的認證、端到端加密、信息完整性保護等能力；三是具備異構接入的統一認證和安全上下文管理能力，提高異構接入安全上下文切換效率。

3 mMTC終端安全需求

mMTC覆蓋主要應用于連接密度要求較高的物聯網場景，例如智慧城市、智能電網、智慧家居等，滿足人們對數字化社會的需求。由于物聯網設備數量龐大，行業對物聯終端的成本比較敏感。但是由于物聯終端深入城市基礎設施及民眾生活等涉及國計民生的重要部位，其安全性建設也不容忽視。

mMTC終端的典型安全需求包括：一是輕量級的密碼算法和協議，滿足mMTC終端的低功耗、低帶寬要求；二是安全可靠的網絡接入模式，如5G網絡提供為物聯終端提供去中心化的身份管理和接入認證模式，包括縮短認證鏈條、快速安全接入、網絡與業務融合分層身份管理等，降低管理復雜度；三是低成本的設備認證和身份管理實現，滿足物聯終端低成本要求[4]。

4 uRLLC終端安全需求

uRLLC聚焦對時延極其敏感的行業，例如車聯網、智慧工業等，滿足人們對數字化工業的需求。因這些行業的信息涉及自動駕駛、路況識別、工業控制等高風險環節。如果被假冒或篡改，將引發很大的安全事件，因此uRLLC比普通物聯終端有著更高的安全性要求[5]。

uRLLC終端的典型安全需求包括：一是高安全等級的保護強度，具備高等級的認證、端到端加密、信息完整性保護等能力；二是超高可靠和超低時延的能力，在不降低安全保護強度的前提下，支持認證節點下移，簡化認證框架與協議，提高移動性安全上下文遷移和密鑰重建機制效率，采用高效密碼算法，減少加解密處理時間。

5 總結

5G網絡明確了三種典型應用場景，帶來eMBB、mMTC、uRLLC三種典型終端，并引入了行業用戶作為新的利益相關方，因此5G終端安全還需要考慮針對不同應用終端以及不同行業用戶群體的雙重安全需求[6]。未來5G通信網絡將面臨多樣化的業務場景，應用多種虛擬化安全技術和接入技術，在多方面具有新的安全需求。本文主要圍繞終端安全技術需求，結合行業用戶和三種典型終端需求進行闡述[7]。

[1]3GPP TR 33.899：“Study on the security aspects of the next generation system”.

[2]3GPP TR 23.799：“Study on Architecture for Next Generation System”.

[3]3GPP TS 23.501：“System Architecture for the 5G System”.

[4]IMT—2020（5G）推進組. 白皮書“5G網絡安全需求與架構”[S]. 2017.

[5]中國電子技術標準化研究院.對象標識符（OID）白皮書2015[S]. 2015

[6]李宏佳，王利明，徐震，等. 5G安全：通信與計算融合演進中的需求分析與架構設計[J]. 信息安全學報，2018（1）：1-14.

[7]信息安全技術鑒別與授權安全斷言標記語言：GBT 29242—2012[S].

Terminal Security for 5G Networks

Yan Miaomiao Wang Lei Zhang Weigang

Tianyuan Ruixin Communication Technology Co., Ltd., Shaanxi Xi’an 710065

With the continuous development of communication, 5G mobile communication is imperative, and the security technology that comes with it brings new challenges to the network. The 5G network security is described from the perspective of terminal security.

5G Network; mobile terminal; eMBB; mMTC; uRLLC; terminal security

TN929.53

A