5G 應用安全解決方案淺析

高翔

（中通服中睿科技有限公司，廣東 廣州 510630）

0 引言

5G 是最新最先進的通信技術，充當行業(yè)基石的作用，為各個行業(yè)提供高速、可靠信息交互。基于5G 技術eMBB、uRLLC、mMTC 的三大應用場景，5G 技術被融入各行各業(yè)的基礎領域和關鍵領域，同一個行業(yè)的不同部門之間、不同行業(yè)之間的信息傳輸與關聯(lián)，速度與效率達到了一個前所未有的高度，5G 網絡通信技術實現(xiàn)了人與物，物與物的互聯(lián)，在一定意義上將各個獨立的工作個體關聯(lián)成為一個高效的信息交互整體，推動行業(yè)經濟和技術的進步。5G 技術雖然有著各項不可比擬的優(yōu)勢，但也會面臨著新的網絡技術風險，如何進一步完善5G 通信安全保護機制是亟待解決的問題。應分析各應用場景的具體安全需求，并提出相應的安全措施，在給出5G 安全參考架構的基礎上提出5G 應用的安全解決方案。

1 5G 技術特點

5G 引用軟件定義網絡、網絡功能虛擬化、多接入邊緣計算技術，極大提高了通信系統(tǒng)的高效性和靈活性，具有高速率、低延時、大寬帶、低功耗等獨特優(yōu)勢。

1.1 高速率

5G 通信較上一代4G 通信的數(shù)據傳輸效率提升了近十倍，5G 的傳輸速率最高可達10Gbps，使得用戶在觀看或傳輸高清視頻、使用虛擬現(xiàn)實產品時可不受流量限制；高速率的數(shù)據傳輸，使得用戶更青睞采用數(shù)據云端存儲的生活和工作方式，逐漸減少對移動硬盤的依賴，進一步提升信息存儲和提取的效率和安全性。

1.2 低功耗

5G 技術支持眾多的終端設備低功耗連接，使得終端設備的使用時長得到極大的提升，方便了需長時間使用的終端應用設備的部署，如智能家居、智慧港口、智慧城市的部署應用。同時5G還具備成熟的低功耗廣域網技術，可以滿足傳輸距離遠、傳輸數(shù)據量小，且需長時間待機維持正常工作的終端應用，如智能天氣觀測、智能電表讀取、智能空氣凈化器等。

1.3 低時延

5G 通信較上一代4G 通信的數(shù)據傳輸延時縮短了近10 倍，4G 的數(shù)據傳輸延時為10ms 左右，而5G 的數(shù)據傳輸延時可達1ms。5G 的低時延特性為對網絡時效性要求極高的應用提供了技術支持，如自動駕駛、工業(yè)自動化、遠程醫(yī)療等，使得這些應用在日常的工作中或面臨突發(fā)狀況時能高效快速精準地處理好問題。

1.4 5G 泛在網

5G 的高速率、低時延、大帶寬使得5G 能夠建成全面覆蓋的泛在網，主要從兩個角度出發(fā)：橫向覆蓋和縱深覆蓋。橫向覆蓋指將全中國各個省、市、自治區(qū)、直轄市、特別行政區(qū)劃都囊括到5G 網絡系統(tǒng)中來；縱深覆蓋指將所有的通信死角納入5G 互聯(lián)網絡，如地下車庫、衛(wèi)生間等場所。泛在網的構建，使得社會每個角落的信息都能夠被采集和傳輸，極大地提升了社會的活力和生產效率。

2 5G 不同應用場景的安全需求

不同的5G 應用場景對安全的需求是不同的，5G 通信應對eMBB、mMTC、uRLLC 等應用場景提供不同的安全需求保護機制，制定差異化的安全措施。5G 應用安全需求及應對措施如表1所示。

表1 5G 應用安全需求及應對措施

2.1 eMBB 的安全需求及措施

隨著eMBB 增強型移動寬帶業(yè)務的應用，網絡數(shù)據傳輸速率和用戶體驗都提升了10 倍以上，使得工作和生活上的信息上傳量巨大，超大的流量數(shù)據使得網絡安全機制對內容識別、流量檢測、信息加密解密技術的力度提出了更高的要求，也對安全機制計算數(shù)據和處理數(shù)據的能力提出了更高的要求，同時對在海量信息數(shù)據中對用戶的隱私進行更有效的保護提出了更高的要求。

為了更有效地對網絡信息進行有效監(jiān)測，須在網絡入口部署安全基礎設施，對上傳的信息內容進行嚴格的識別和檢測；在邊緣計算節(jié)點實施流量監(jiān)控，對流量的時間、流向進行監(jiān)督，一旦發(fā)現(xiàn)風險立即終止服務；構建云化基礎設施，提升5G 通信網絡對流量數(shù)據的計算能力和處理能力；在對用戶數(shù)據隱私的保護上，建立二次身份認證機制，用戶使用的終端應用與服務平臺之間需要進行二次認證，確保信息申請訪問的真實性和合法性；實現(xiàn)密鑰管理機制，對信息安全要求高的信息進行加密傳輸，確保用戶的隱私安全；為有特殊需求的用戶提供特定網絡切片，構建專屬的信息傳輸通道，增強信息傳輸?shù)陌踩裕Ｗo用戶的隱私安全。

2.2 uRLLC 的安全需求及措施

5G 通信較上一代4G 通信的數(shù)據傳輸延時縮短了近10 倍，4G 的數(shù)據傳輸延時為10ms 左右，而5G 的數(shù)據傳輸延時可達1ms。5G 的低時延特性為對網絡時效性要求極高的應用提供了技術支持，如自動駕駛、工業(yè)自動化、遠程醫(yī)療等，使得這些應用在日常的工作中或面臨突發(fā)狀況時能高效快速精準地處理好問題。同時也需確保低時延傳輸?shù)陌踩裕乐雇獠繍阂獬绦蛉肭只虿倏兀坏﹤鬏斚到y(tǒng)被不法分子操控，這對高度依賴低延時處理和解決問題的應用將構成嚴重威脅，不僅會造成經濟損失，而且會造成人員生命安全。因此，對低延時應用場景的安全防護尤為重要，這對構建高效的uRLLC 安全防護機制提出了更高的要求。

在用戶終端和應用服務器之間建立雙向身份認證機制，防止虛假用戶建立連接.部署防DDoS 功能，以防止網絡擁塞、無線干擾和通信鏈路中斷。通過部署在邊緣計算的安全能力，以及數(shù)據完整性保護、時間戳、序列號等機制，防止應用程序數(shù)據被篡改或重放等，從而確保數(shù)據傳輸?shù)目煽啃訹1]。

同加強對MEC 邊緣計算的安全防護：MEC 邊緣計算安全防護措施主要包括對流量分析的攻擊溯源、全流量分析、全流量回溯等程序方案。

基于流量分析的攻擊溯源：5G 運營商應健全流量朔源分析系統(tǒng)和威脅檢測系統(tǒng)，對攻擊行為進行流量檢測分析，通過流量溯源還原攻擊行為的攻擊過程，有針對性的進行問題修復。流量分析攻擊溯源系統(tǒng)的功能主要有以下4 點：全流量分析；全流量回溯；威脅檢測；未知威脅分析。全流量分析：5G 運營商通過人工大致分析和系統(tǒng)自動化追蹤具體分析結合，通過協(xié)議或引用層層下鉆，找到數(shù)據的原始PCAP 詳細信息，對這些數(shù)據進行自動化分析，經過篩選找到想要的信息。全流量回溯：5G 運營商的流量回溯系統(tǒng)通過對應用使用流量的監(jiān)控、信息保存、時間段和趨勢分析，結合流量數(shù)據查詢系統(tǒng)進行流量的回溯以及對PCAP 原始數(shù)據的分析。

2.3 mMTC 的安全需求及措施

mMTC 廣連接低功耗業(yè)務可在1km2的范圍內支持同時連接十萬臺終端設備的使用，是以往4G 通信網絡的10 倍。雖然支持海量的終端設備聯(lián)網，但是在業(yè)務極高的峰值時，如果終端設備請求信令超過了平臺的信令處理能力，就會產生信令風暴，造成平臺故障的產生。由于連接的終端設備數(shù)量太多，難以保證終端設備的使用安全，如果不對終端設備進行管控，那么不法分子就會利用漏洞劫持正在使用的終端設備，對通信網絡的基礎設施甚至關鍵設施進行全部或局部的DDOS 攻擊，造成網絡擁擠甚至網絡服務癱瘓。因此，對于mMTC 的安全需求而言，確保終端設備使用的安全性，增強抵抗DDOS 攻擊的防御性是非常重要的。

確保終端設備的安全性主要有三大措施：采用輕量級安全算法和簡單高效的協(xié)議，實現(xiàn)海量終端設備與服務平臺之間的雙向認證；構建終端設備數(shù)據傳輸加密機制，對用戶從終端設備上傳的敏感數(shù)據進行安全加密，防止非法分子從傳輸路徑上進行攔截、解密、改造數(shù)據；在終端設備的接入端部署安全監(jiān)控機制，對終端設備的運行狀態(tài)進行監(jiān)測分析，一旦發(fā)現(xiàn)終端設備有異常的行為，馬上切斷終端設備與服務平臺之間的連接，可防止終端設備被惡意操控，從而保障整個網絡的安全性。

3 5G 應用安全解決方案

終端層、網絡層、服務層、平臺層構建成了5G 應用的參考架構。5G 應用參考架構如圖1 所示。

圖1 5G 應用參考架構

3.1 終端層解決方案

終端層是5G 應用參考架構消息的接受層和傳輸層，主要通過各種智能終端設備來對信息進行采集和呈現(xiàn)。但是由于海量終端設備的存儲能力和數(shù)據處理能力有限，在終端層構建信息安全保護機制的難度較大。

3.1.1 防御DDOS 攻擊

需對終端設備進行嚴格的監(jiān)測，預防來自終端設備的DDOS攻擊，這類攻擊可能是黑客入侵終端設備發(fā)起的，也可能是由于服務器癱瘓引起的海量終端設備同時發(fā)出信令注冊導致的。因此，需要在終端設備構建完善的安全檢測機制，采用輕量級安全算法和簡單高效的協(xié)議，實現(xiàn)海量終端設備與服務平臺之間的雙向認證；構建終端設備數(shù)據傳輸加密機制，對用戶從終端設備上傳的敏感數(shù)據進行安全加密，防止非法分子從傳輸路徑上進行攔截、解密、改造數(shù)據；在終端設備的接入端部署安全監(jiān)控機制，對終端設備的運行狀態(tài)進行監(jiān)測分析，一旦發(fā)現(xiàn)終端設備有異常的行為，馬上切斷終端設備與服務平臺之間的連接，可防止終端設備被惡意操控，從而保障整個網絡的安全性。

3.1.2 終端入侵防護

為了防止終端設備被黑客入侵而造成損失，可在終端設備中內置安全功能，如SSH 安全登錄、TLS 傳輸加密、內置安全芯片及信令加密保護機制[2]。

3.2 網絡層安全解決方案

網絡層在5G 應用參考架構中起著信息傳輸橋梁的作用，網絡層能夠快速、可靠地實現(xiàn)兩個終端設備之間的信息傳輸。確保網絡層的安全主要從網絡組件著手，加強空口、5G 切片、MEC、承載網絡的安全建設。

3.2.1 基站空口安全

采用SUCI 加密、空口PDCP 數(shù)據包加密技術，防止不法分子通過空口劫取用戶上傳的敏感信息，進行竊聽、篡改數(shù)據，造成用戶損失；構建DDOS 監(jiān)測防御機制，當基站遭受DDOS 攻擊時能進入自動防御狀態(tài)，減少損失；構建偽基站偵察系統(tǒng)，當有偽基站對基站進行惡意干擾和攻擊時，偵察系統(tǒng)第一時間進行監(jiān)測，找到偽基站的位置，從而采取針對性措施降低損失。

3.2.2 5G 切片安全

5G 網絡切片可以根據不同的邏輯需求分離出多個不同的虛擬通道，以適配不同類型的應用，其安全防護應從以下幾方面進行：切片安全定制，根據不同場景安全需求不同，設置不同的切片安全等級，提供多種類型的網絡切片來滿足客戶不同的應用場景需求，從而實現(xiàn)不同業(yè)務的有效隔離；做好切片之間的隔離，使各切片工作互不影響，做到完全意義上的獨立，一個切片的損壞不會影響到另外一個切片的正常使用；確保用戶對切片的正常訪問，同時為確保用戶對網絡切片的合法訪問，需要用戶和網絡運營商的雙重身份驗證授權；切片安全管理，5G 運營商運用虛擬技術，組建切片網絡安全資源池，為海量終端設備用戶提供網絡安全服務，運用NFV 技術，5G 運營商在收到終端設備用戶的相關安全需求時，進行安全策略配置，為終端設備用戶提供準確而高效的安全服務；切片防護定制，對不同的切片應啟用不同的定制安全防護，5G 運營商安全資源池應當提供但不限于認證、入侵防護、入侵檢測、抗DDOS 攻擊[4]、反病毒程序保護、反惡意軟件檢測、安全事件管理系統(tǒng)等安全防護機制服務。

3.3 5G 平臺層安全解決方案

各類大數(shù)據平臺、AI 智能平臺組成了5G 參考構架中的平臺層。平臺層具有承上啟下的過度作用，具有把接受到的數(shù)據進行存儲、計算、分析并把處理好的信息傳遞給服務層的功能。

3.3.1 5G 通信接口安全

對通信接口進行加密，對終端設備用戶的賬戶和密碼進行維護管理并加密。

3.3.2 5G 平臺數(shù)據安全

5G 平臺層的數(shù)據安全體現(xiàn)在數(shù)據的完整性、可用性、隱私性，而大數(shù)據平臺所采集數(shù)據信息的安全性直接影響到平臺層數(shù)據信息的安全性，可采用冗余技術保證數(shù)據的可以性，采用數(shù)據驗證技術確保數(shù)據完整性，采取訪問控制確保數(shù)據的隱私性。

3.4 5G 服務層安全解決方案

服務層是通過各種系統(tǒng)應用軟件將處理好的數(shù)據信息呈現(xiàn)在終端設備上，它的安全性主要體現(xiàn)在軟件使用安全和系統(tǒng)操作及維護運行方面。

3.4.1 應用系統(tǒng)軟件安全

通過軟件自身或者通過其他軟件或操作系統(tǒng)來掃描軟件自身存在的漏洞并加以修復，進而提升軟件安全性能。切勿安裝未知來源軟件，該軟件可能存在捆綁病毒而使5G 應用軟件遭到侵害。

3.4.2 應用系統(tǒng)安全運維

應用系統(tǒng)運維的安全性主要體現(xiàn)在對應用系統(tǒng)的操作和使用方面。應用系統(tǒng)操作用戶應具有很高的信息安全控制能力和自我安全約束能力，不下載未知來源的軟件對系統(tǒng)造成破壞，不泄露終端設備的賬號和密碼。定期給系統(tǒng)體檢、修復、升級。5G 應用安全解決方案如圖2 所示。

圖2 5G 應用安全解決方案

4 結語

5G 是最新最先進的通信技術，充當行業(yè)基石的作用，為各個行業(yè)提供高速、可靠信息交互。基于5G 技術eMBB、uRLLC、mMTC 的三大應用場景，5G 技術被融入各行各業(yè)的基礎領域和關鍵領域。5G 技術雖然有著各項不可比擬的優(yōu)勢，但也會面臨著新的網絡技術風險，如何進一步完善5G 通信安全保護機制是亟待解決的問題。本文分析了各應用場景的具體安全需求，并提出了相應的安全措施，在給出5G 安全參考架構的基礎上提出5G應用的安全解決方案。