5G通信網絡安全分析及應對

■福建 林嘉濤 李玉 陳海萍

為了實現真正的“萬物互聯”，第五代（5G）移動通信系統將被用于人與人之間，人與機器之間以及機器與機器之間的新一代移動通信技術。5G的移動網絡業務主要包括eMBB（增強移動寬帶）、uRLLC（低時延高可靠）、mMTC（海量物聯網）三大典型場景。目前，5G安全標準化尚未完全完成，5G網絡需要一個統一、靈活、可伸縮的安全架構，滿足不同應用的不同級別的需求物聯網安全防護與互聯網安全相比更加復雜，解決方案涉及多個層面的問題。

5 G安全要求分析

1.新業務的安全要求

5G需要根據eMBB、mMTC和uRLLC三種應用場景的不同安全要求使用保護機制，其中eMBB專注于對帶寬和用戶體驗要求較高的業務，如高清視頻、虛擬現實和增強現實，而每一個業務都有不同的安全防護強度要求。

mMTC側重于高密度的場景，如智能交通、水文監測、智能電表等，都具有能耗極限特性，拓撲動態變化以數據為中心，需要輕量級的安全算法和有效的安全協議。

而uRLLC專注于低延遲和高安全性的通信服務，例如實時醫療服務、車輛聯網和自動工業控制，它們需要確保高級別的安全措施而又不增加額外的通信延遲、身份驗證、數據加密和解密或安全上下文傳輸的概念。

總之，5G的使用涉及到大量的接入節點、低延遲、高可靠性。此外，計算資源、規模和功耗都是有限的，對5G安全性提出了嚴峻挑戰，但對5G內生安全機制的研究正朝著一個有前景的方向發展。

2.新網絡體系結構的安全要求

傳統的移動網絡安全主要依賴于通信設備和通信網絡之間建立的信任關系。傳統關于通信網絡的信任關系是建立在封閉的運行網絡環境的基礎上的，隨著移動互聯網的蓬勃發展，網絡的整合和開放是必然趨勢。傳統的信任關系很難維持，現在已發現了許多嚴重且影響廣泛的漏洞。

5G的特點，包括通用硬件平臺、開源軟件平臺、軟件平臺、網絡功能虛擬化、資源的統一編排和管理等，都會造成越來越多以前看不見的安全威脅，傳統的基于先驗知識的保護模式已不適用。

因此，有必要充分利用5G網絡體系結構的軟硬件解耦、虛擬化、動態化等優勢，挖掘其內在的安全屬性，開發其內在的安全關鍵技術，構建一個基于不可信的網絡組件的高可靠、安全的5G網絡。

3.新型空中接口技術的安全要求

2G和3G的加密技術和4G空中無線廣播信號的安全，都是在上層實現的，而忽略了接口，接口對無線通信安全造成嚴重威脅。

而5G網絡將擁有更寬的帶寬、更密集的用戶數、更低的延遲和更可靠的傳輸。為了確保關鍵性能指標（KPI）要求以正確的數量級增長，有必要設計一種安全機制，不影響網絡性能，不依賴于計算復雜度，且對負載調節靈活，適用于不同的應用場合。

因此，迫切需要開發能夠快速確定和抵抗攻擊者在典型5G場景中從未知位置發起的主動攻擊的防御方法。

4.對用戶隱私的安全要求

除了與傳統網絡（用戶信息）位置、軌跡、通信內容、通信行為、通信關系和帳號相關的所有用戶隱私數據外，5G還承載更多隱私數據。例如與不同行業（健康）相關的個人數據信息、服務類型和服務內容）和行業用戶的隱私數據（如機械和生產控制）。這些數據往往具有更高的敏感度，這對保護用戶隱私提出了新的挑戰。

作為一個復雜的生態系統，5G網絡將被包括基礎設施提供商、移動通信網絡運營商和虛擬運營商在內的許多類型的參與者使用。多接入技術、多層網絡、多個設備和參與者之間的交互可能導致用戶隱私數據分散在網絡的每個角落。

對于隱私數據的傳播，數據挖掘技術將使第三方能夠分析更多的用戶隱私信息。并且，盡管5G網絡中的虛擬化技術帶來了靈活性，但它將使網絡安全邊界變得模糊，用戶隱私數據將更容易受到攻擊，特別是對于多租戶共享計算資源。與傳統網絡相比，5G中的隱私泄露影響更大。

因此，5G網絡需要加強對用戶隱私的保護，以保護用戶在存儲、傳輸和訪問過程中的敏感信息不被泄露。

5 G通信網絡安全應對策略

1.認證框架統一化

假使要有效處理好設備接入網和異構網接入之間存在的問題，3GPP在R15文檔已擬定可擴展的認證協議框架，并將其用于5G網絡通用認證結構備選方案的詳細描述，該結構適合使用在任何通過任意3GPP界定范圍內的接入技術以及非3GPP 界定的接入技術展開接入網認證。

EAP認證框架以RFC3748界定，是支持各種認證方式的三方認證框架，該認證是只要求消息的封裝格式和詳細的安全目標為依托采用的認證方式。

而現如今，可擴展認證協議框架支持EAP-OTP、EAPTLS等認證方式，同時涵蓋部分廠商提供方式和相關意見。在5G網絡之中，詳細的可擴展認證協議主要運行在UE、AUSF與SEAF三者之間。

2.物聯網的輕量級安全機制

物聯網（loT）是5G網絡中的關鍵應用場景，安全性將是關鍵挑戰。物聯網節點通常具有硬件和信號處理能力有限、存儲空間有限和嚴格的功耗限制等特點。因此，物聯網節點首選輕量級安全通信機制，而輕量級的安全機制需基于這些特點設計。

從傳統密碼學的角度來看，可以從存儲硬件資源、計算復雜度等方面優化現有加密算法的結構，或者設計一種新的基于分組、序列和散列的輕量級密碼算法。因此，可以在不降低安全性能的情況下降低資源和電源成本。

此外，還可以利用無線信道的內生安全特性來引入無法測量、重構或復制的新安全元素。通過安全與通信的一體化設計，可以在不降低通信效率情況下實現輕量級安全，特別是在大訪問、小數據傳輸和低延遲的情況下。

3.網絡切片安全隔離策略

網絡切片是一種滿足不同垂直市場異構需求的解決方案。在不同的應用程序環境中處理不同的縱向業務，從寬帶服務到關鍵應用程序（如工業網絡），需要為每個要交付的場景/流量定制設計解決方案。網絡片是依賴于單個物理網絡的邏輯網絡，每個網絡片由各種網絡功能組成，以提供特定的功能并滿足特定的使用類型。

網絡切片有助于引入靈活性，由于只有一個核心網絡具有一組處理網絡所提供的所有服務的功能，5G網絡將是靈活的，因為每個服務都有一個不同的專用核心網絡切片，從而保證了QoS的實現。

因此，網絡切片可為用戶提供更加安全、周到的服務，安全存儲用戶的重要信息到云端，方便廣大用戶實時進行相關資源的訪問，避免出現嚴重的資源泄露的安全問題，有利于單位相關業務的有序開展，達到既定的管理目標。

4.用戶隱私

5G隱私保護機制和關鍵技術的研究主要集中在兩個方面：一是隱私數據在提供、交互和使用過程中的防泄漏問題；二是防篡改、防破壞和防盜問題與存儲、傳輸和使用過程中的隱私數據防護問題。

5G網絡對不同的用戶、網絡元素、應用和服務場景都有不同的隱私保護要求。因此，這要求5G網絡提供不同的隱私保護能力，并利用不同的技術措施防止用戶數據泄露。

結語

未來的5G安全性要求更高，并且將基于更多樣化的應用場景，提供高性能、高可靠性和高可用性的多種接入方法，以及分層的網絡服務和新的網絡架構。

現階段，5G處在發展時期，系統結構與關鍵技術沒有完全明確，5G網絡安全問題還有著各種不確定性。因此，5G網絡需要一個統一、靈活、可伸縮的安全架構來滿足不同應用的不同安全級別的需求。在5G網絡架構設計與業務程序等方面，把5G網絡安全作為探索的核心目標，有利于掌握5G網絡系統安全要求，以防止后續對系統與方案的調節，建立安全可靠的5G網絡。