5G系統安全防護

【摘? 要】闡述了5G技術的發展現狀，5G系統面臨的安全隱患，介紹了網絡切片、空口等概念，面對5G系統安全威脅的解決方案。

【關鍵詞】5G;安全;解決方案

引言

近年來，隨著物聯網的應用，越來越多的設備連接到 5G 網絡，并要求提供大容量、大連接和高可靠低時延的通信服務。2018年，第3代合作伙伴（3GPP）正式發布5G新空口標準方案，完成了5G功能的標準化工作。3GPP定義了5G的3大應用場景：增強移動寬帶（eMBB）、高可靠低時延通信（uRLLC）以及海量物聯網通信（mMTC），支持如物聯網、觸覺互聯網等更高數據速率、更低時延和更大規模的設備連接，對安全提出挑戰。5G網絡將在提升移動互聯網用戶業務體驗的基礎上，進一步滿足了未來物聯網應用的海量需求，與工業、醫療、交通等行業深度融合。5G網絡新的發展趨勢，尤其是5G新業務、新架構、新技術，對安全和用戶隱私保護都提出了新的挑戰。當前，5G的國際標準化工作已經完成，其中5G網絡安全也是重要的組成部分。除滿足基本通信安全外，5G安全機制還需要能夠為不同業務場景提供差異化安全服務，能夠適應多種網絡接入方式及新型網絡架構，保障用戶隱私，并提供開放的安全能力。

1.5G通信技術面臨的安全威脅

1.1空口的安全威脅

空口指用戶終端和基站設備間的空中無線信號傳播。空口的安全威脅主要表現為：信息泄露：在基站發射信號的覆蓋區域，非法用戶也能接收，并通過偵聽、嗅探、暴力破解等手段獲取基站的轉發數據，造成信息泄露;數據欺騙，例如偽造虛假的基站發射無線信號，騙取合法用戶接入，然后盜取用戶數據或實施欺詐;攻擊設備發射強干擾信號，破壞正常用戶和基站的無線連接，從而造成正常基站的業務中斷。

1.2網絡切片技術威脅

網絡切片是 5G 通信技術接入的重要渠道，更是決定網絡通信特征的關鍵要素，它的作用是為網絡系統構成端點系統構建提供邏輯關系平臺，能夠根據不同網絡的要求構建更多元化的服務體系。是根據不同業務應用對用戶數、QoS、帶寬的要求，將物理網絡切成多張相互獨立的邏輯網絡，切出了多張虛擬網絡讓業務變得更加靈活多樣。每個網絡切片從無線接入網到承載網再到核心網在邏輯上隔離，適配各種類型的業務應用。網絡切片做到了：端到端的按需定制并能保證隔離性。想實現網絡切片，NFV（網絡功能虛擬化）是先決條件。而結合網絡切片功能與技術方面的特點可知，不同切片結構在通信方面均存在信道交叉等情況，若是未做好全面的隔離措施，則極有可能在數據傳輸過程中，出現非法訪問等情況，使原有傳輸的數據渠道受到篡改，影響用戶對數據的正常使用與管理。其次，相同結構與業務類型的網絡切片之間也極易相互影響，使切片中傳導的資料相互干擾，如此便無法保障 5G 通信技術內數據傳導的穩定性與安全性。

1.3 5G通信系統安全威脅

（1）用戶終端：隨著 5G 網絡應用范圍的擴大，用戶終端的數量和類型也在不斷拓展，因此用戶終端也極易受到移動惡意軟件的攻擊。該過程中，攻擊者向終端用戶發布惡意軟件，誘導其接入，獲取用戶的通信鏈路，進而得到用戶終端的用戶身份數據、活動情況以及個人隱私等敏感信息，給違法行為提供了便利。同時，5G 通信系統的傳輸帶寬更大，連接方式更豐富，通信速率更快，這也為外界病毒入侵提供了更加有利的接入條件，用戶終端更容易受到惡意行為的攻擊。

（2）網絡接入：網絡接入的過程中，也容易存在很多的安全問題。事實上，4G 時代向 5G 時代的過渡，技術之間的融合十分關鍵，需要制定更加科學、完善的接入方案。該過程中，來自 4G接入網的攻擊會對基站安全進行干擾，會給 5G 通信系統的穩定運行帶來一定的沖擊。除此之外，攻擊者還會在攻擊 LTE 網絡時，發送控制協議，對用戶網絡管理平臺系統結構進行篡改，使 5G 接入設備的正常運轉效率難以得到保障。

2.5G系統的安全解決方案

2.1空口的安全解決方案

需支持雙向認證。在2G時代，移動終端使用普通用戶身份識別卡（SIM），只支持可擴展身份認證協議單向鑒權，即網絡對 SIM 卡進行身份合法性認證，而沒有用戶終端對網絡的認證，這就造成“偽基站”。長期演進（LTE）使用了全新的雙向認證方式，使用配置用戶識別模塊（UIM）的USIM卡，只有都完成網絡對終端認證和終端對網絡認證后才接入網絡。5G 支持統一框架下的雙向認證。

（2）開發和利用適合5G網絡特性的安全協議來實現多域融合的密鑰管理、網絡和用戶身份認證、用戶隱私保護、網絡空口數據保護、完整性保護、端到端安全認證和數據保護、安全域融合等功能需求。

2.2網絡切片的安全解決方案

（1）網絡資源隔離，不同切片采用不同密鑰。

（2）切片ID驗證，避免未經授權的切片訪問。

（3）不同切片使用不同 Key 或者授權機制，防止 Key 泄露引發的切片攻擊。

（4）運維審計，操作可追溯。

（5）對合法用戶異常行為進行抑制，限制接入，強制下線。

2.3 5G傳輸安全解決方案

5G 設備的傳輸安全主要包括N2、N3口的傳輸安全，在不同的協議層都有各自的安全解決方案。物理層通過線纜屏蔽傳輸信號，防止外部監測和干擾，同時支持多物理鏈路和多設備商簽名證書來對基站進行身份驗證，驗證通過后給基站簽發運營商證書并返回證書響應，基站證書替換為運營商簽名證書，完成基站注冊。隨后基站就使用運營商簽名證書和核心網安全網關建立 IPSec連接。

2.4網管接口的安全方案

網管是對基站設備的管理系統完成基本的數據配置、監測控制、性能統計等功能。基站與網管系統通過 IP 網絡連接，有可能暴露在公網，因此面臨非法入侵、信息泄露、服務中斷、物理破壞等安全威脅。和網管接口相關的安全解決方案如下幾個方面。

（1）賬戶管理。賬戶管理支持常用的用戶名密碼方式認證，以及基于 PKI 的數字證書雙因素認證方式。為了避免用戶密碼被暴力破解，系統支持對登錄密碼嘗試次數做限定，超出嘗試次數，用戶會被鎖定，鎖定又支持按照用戶來源鎖定和按照用戶鎖定的鎖定策略。

（2）權限管理。對接入系統的用戶需要做身份認證，非授權用戶不能接入系統。用戶接入系統后，還需要進行權限控制，即用戶能夠讀取/修改/執行系統文件是否在授權范圍內。系統需要對用戶分組，不同等級的用戶分組有不同的權限。登錄用戶通過身份驗證后，可以對 5G 基站設備進行管理操作。基站需要根據用戶的分組對用戶操作進行授權控制，為用戶授予相應的操作權限。系統遵循最小特權和職責分離的原則，為不同職能的用戶創建出不同權限的角色。同樣，帳號信息類也有專門的權限控制，只有授予了帳號修改權限的安全管理員才能對帳號以及權限進行配置，避免帳號權限被惡意修改。

3.結束語

保障5G網絡與安全同步發展，所以在5G網絡的整體架構設計、業務流程、后續標準化工作中，一定要綜合考慮5G安全要求，形成全國統一的5G安全技術標準，加強5G與各行業的融合創新研究，構建靈活、高效、安全的5G網絡。應該同步開展安全技術創新與產品研發，以便我國商用部署的5G網絡能夠為不同業務場景提供差異化安全服務，適應多種網絡接入方式及新型網絡架構的需求，確保三大應用場景下的信息安全。

參考文獻

魏小兵，5G移動通信技術應用與發展前景[J].數字技術與應用，2018.

[3]? 李忠文，5G無線通信技術概念及其應用研究 [J]. 通訊世界，2018.

[4] 張兆信，趙永葆. 計算機網絡安全與應用[M]. 北京：機械工業出版社，2005.

[5] 余建斌. 黑客的攻擊手段及用戶對策[M]. 北京：人民郵電出版社，1998

作者簡介：王寧（1984.3-），男，學士，工程師;研究方向為計算機應用。