朱紅儒，莊小君，郭 姝，齊旻鵬

（中國(guó)移動(dòng)通信有限公司研究院 北京 100053）

1 引言

2 5G網(wǎng)絡(luò)架構(gòu)演進(jìn)

為了滿足千倍流量增長(zhǎng)、無(wú)感知時(shí)延和海量設(shè)備連接的網(wǎng)絡(luò)發(fā)展需求，5G需要有新的網(wǎng)絡(luò)架構(gòu)，從而支持網(wǎng)絡(luò)管理的自動(dòng)化、網(wǎng)絡(luò)資源的虛擬化和網(wǎng)絡(luò)控制的集中化。目前業(yè)界比較認(rèn)可的5G架構(gòu)演進(jìn)方向包括兩個(gè)方面：一是在網(wǎng)絡(luò)設(shè)備上，通過(guò)NFV（network function virtualization，網(wǎng)絡(luò)功能虛擬化）實(shí)現(xiàn)軟件和硬件解耦，提高網(wǎng)絡(luò)資源利用率；二是在網(wǎng)絡(luò)架構(gòu)上，通過(guò)SDN（software defined networking，軟件定義網(wǎng)絡(luò)）技術(shù)實(shí)現(xiàn)控制和轉(zhuǎn)發(fā)的進(jìn)一步分離。

NFV使得傳統(tǒng)的物理網(wǎng)絡(luò)設(shè)備以VNF（virtualized network function，虛擬網(wǎng)絡(luò)功能）的方式部署在通用硬件的虛擬機(jī)上，靈活實(shí)現(xiàn)網(wǎng)絡(luò)資源的彈性伸縮，加快網(wǎng)絡(luò)的部署，提升網(wǎng)絡(luò)的運(yùn)維管理效率。而采用SDN技術(shù)將會(huì)提升控制面集成度，增強(qiáng)轉(zhuǎn)發(fā)面效率。對(duì)于網(wǎng)絡(luò)設(shè)備的控制面，將采用集中控制、分布控制或者兩者結(jié)合的控制方式；對(duì)于網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)面，基站與路由交換等基礎(chǔ)設(shè)施將具備可編程的能力，使得網(wǎng)絡(luò)應(yīng)用層可以與各種應(yīng)用場(chǎng)景靈活適配，增強(qiáng)網(wǎng)絡(luò)的開(kāi)放性和兼容性。

5G接入網(wǎng)中可能需要更多的天線數(shù)、更高的調(diào)制階數(shù)、更強(qiáng)的干擾消除機(jī)制等，使得5G網(wǎng)絡(luò)能夠支持高密度小區(qū)、支持網(wǎng)絡(luò)容量呼吸和遷移、支持多網(wǎng)融合，進(jìn)而實(shí)現(xiàn)對(duì)高密度和新空口的高頻數(shù)據(jù)以及新型移動(dòng)互聯(lián)網(wǎng)應(yīng)用的適配。因此，大規(guī)模天線系統(tǒng)、高頻段新波形設(shè)計(jì)、非正交傳輸和接入技術(shù)、同時(shí)同頻全雙工技術(shù)、網(wǎng)絡(luò)架構(gòu)與信令優(yōu)化等都將作為5G網(wǎng)絡(luò)架構(gòu)演進(jìn)的重要技術(shù)。圖1描述了5G網(wǎng)絡(luò)架構(gòu)演進(jìn)的方向，重點(diǎn)突出了5G網(wǎng)絡(luò)中革新的部分，即通過(guò)基站池化、核心網(wǎng)云化、網(wǎng)絡(luò)設(shè)備控制面和管理面分離實(shí)現(xiàn)NFV和SDN技術(shù)在5G網(wǎng)絡(luò)中的落地，推動(dòng)5G網(wǎng)絡(luò)架構(gòu)的演進(jìn)。

3 5G安全技術(shù)發(fā)展方向

3.1 5G安全架構(gòu)

2G的安全架構(gòu)是單向認(rèn)證，即只有網(wǎng)絡(luò)對(duì)用戶的認(rèn)證，而沒(méi)有用戶對(duì)網(wǎng)絡(luò)的認(rèn)證，空口的信令和數(shù)據(jù)只具備加密保護(hù)能力；3G的安全架構(gòu)則是網(wǎng)絡(luò)和用戶的雙向認(rèn)證，相比于2G的空口加密能力，3G空口的信令還增加了完整性保護(hù)，同時(shí)核心網(wǎng)也有NDS/IP的網(wǎng)絡(luò)域安全保護(hù)[4]；4G安全架構(gòu)雖然仍采取雙向認(rèn)證，但是4G使用獨(dú)立的密鑰保護(hù)不同層面（接入層和非接入層）的多條數(shù)據(jù)流和信令流，核心網(wǎng)也使用網(wǎng)絡(luò)域安全進(jìn)行保護(hù)[5]。

由于對(duì)5G提出的高速率、低時(shí)延、處理海量終端等要求，5G安全架構(gòu)需要從優(yōu)化保護(hù)節(jié)點(diǎn)和密鑰架構(gòu)等方面進(jìn)行演進(jìn)。

3.1.1 保護(hù)節(jié)點(diǎn)的演進(jìn)

然而，對(duì)于李秀花的這種心理，楊力生卻并不清楚。在他看來(lái)，她暫時(shí)不應(yīng)聲不要緊，反正姑娘家早晚是得找婆家，任憑別人對(duì)她再好，想超過(guò)他的條件那肯定是不可能的。自己雖比她大十幾歲，但論人品自己不賴；論經(jīng)濟(jì)條件，在周圍也是尖子戶。有這兩個(gè)優(yōu)勢(shì)，早晚她都會(huì)屬于他。

在5G時(shí)代，用戶對(duì)數(shù)據(jù)傳輸?shù)囊蟾?，不僅對(duì)上下行數(shù)據(jù)傳輸速率提出挑戰(zhàn)，同時(shí)也對(duì)時(shí)延提出了“無(wú)感知”的苛刻要求[6]。而在傳統(tǒng)的2G、3G、4G網(wǎng)絡(luò)中，用戶設(shè)備（UE）與基站之間提供空口的安全保護(hù)機(jī)制，在移動(dòng)時(shí)會(huì)頻繁地更新密鑰。而頻繁地切換基站與更新密鑰將會(huì)帶來(lái)較大的時(shí)延，并導(dǎo)致用戶實(shí)際傳輸速率無(wú)法得到進(jìn)一步提高，因此在5G中必須對(duì)此加以改進(jìn)。5G網(wǎng)絡(luò)可考慮從數(shù)據(jù)保護(hù)節(jié)點(diǎn)處進(jìn)行改進(jìn)，即將加解密的網(wǎng)絡(luò)側(cè)節(jié)點(diǎn)由基站設(shè)備向核心網(wǎng)設(shè)備延伸，利用核心網(wǎng)設(shè)備在會(huì)話過(guò)程中較少變動(dòng)的特性，實(shí)現(xiàn)降低切換頻率的目的，進(jìn)而提升傳輸速率。在這種方式下，空口加密將轉(zhuǎn)變?yōu)閁E與核心網(wǎng)設(shè)備間的加密，原本用于空口加密的控制信令也將隨之演進(jìn)為UE與核心網(wǎng)設(shè)備間的控制信令。

此外，5G時(shí)代將會(huì)融合各種通信網(wǎng)絡(luò)，而目前2G、3G、4G以及WLAN[7]等網(wǎng)絡(luò)均擁有各自獨(dú)立的安全保護(hù)體系，提供加密保護(hù)的節(jié)點(diǎn)也有所不同，如2G、3G、4G采用UE與基站間的空口保護(hù)，而WLAN則多數(shù)采用終端到核心網(wǎng)的接入網(wǎng)元PDN網(wǎng)關(guān)或者邊界網(wǎng)元ePDG之間的安全保護(hù)。因此，終端必須不斷地根據(jù)網(wǎng)絡(luò)形態(tài)選擇對(duì)應(yīng)的保護(hù)節(jié)點(diǎn)，這為終端在各種網(wǎng)絡(luò)間的漫游帶來(lái)了極大的不便，因此可考慮在核心網(wǎng)中設(shè)立相應(yīng)的安全邊界節(jié)點(diǎn)，采用統(tǒng)一的認(rèn)證機(jī)制解決這一問(wèn)題。

3.1.2 密鑰架構(gòu)優(yōu)化

4G網(wǎng)絡(luò)架構(gòu)的扁平化導(dǎo)致密鑰架構(gòu)從原來(lái)使用單一密鑰提供保護(hù)，變成使用獨(dú)立密鑰對(duì)NAS（non-access stratum，非接入層）和 AS（access stratum，接入層）分別進(jìn)行保護(hù)，如圖2所示。所以保護(hù)信令面和數(shù)據(jù)面的密鑰個(gè)數(shù)也從原來(lái)的2個(gè)變成5個(gè)，密鑰推衍變得相對(duì)復(fù)雜[5]，多個(gè)密鑰的推衍計(jì)算會(huì)帶來(lái)一定的計(jì)算開(kāi)銷和時(shí)延。在5G場(chǎng)景下，需要對(duì)4G的密鑰架構(gòu)進(jìn)行優(yōu)化，使得5G的密鑰架構(gòu)具備輕量化的特點(diǎn)，滿足5G對(duì)低成本和低時(shí)延的要求。

圖1 5G網(wǎng)絡(luò)架構(gòu)演進(jìn)

圖2 4G網(wǎng)絡(luò)的密鑰架構(gòu)

另外，5G網(wǎng)絡(luò)中可能會(huì)存在兩類計(jì)算和處理能力差別很大的設(shè)備：一類是大量的物聯(lián)網(wǎng)設(shè)備，這些設(shè)備的成本低、計(jì)算能力和處理能力不強(qiáng)，無(wú)法支持現(xiàn)在通用的密碼算法和安全機(jī)制（如AES、TLS等），因此除了上述的密鑰架構(gòu)之外，5G還需要開(kāi)發(fā)輕量級(jí)的密鑰算法，使得5G場(chǎng)景下海量的低成本、低處理能力的物聯(lián)網(wǎng)設(shè)備能夠進(jìn)行安全的通信；另一類是高處理能力的設(shè)備（如智能手機(jī)），隨著芯片等技術(shù)的高速發(fā)展，設(shè)備的計(jì)算、存儲(chǔ)能力將大大提高，也會(huì)很容易支持快速公私鑰加解密，此時(shí)可以大范圍使用證書來(lái)更簡(jiǎn)單、更方便地產(chǎn)生不同的多樣化密鑰，從而對(duì)具有高處理能力的設(shè)備之間的通信進(jìn)行保護(hù)。

3.2 5G安全關(guān)鍵技術(shù)

3.2.1 5G中的大數(shù)據(jù)安全

5G的高速率、大帶寬特性促使移動(dòng)網(wǎng)絡(luò)的數(shù)據(jù)量劇增，也使得大數(shù)據(jù)技術(shù)在移動(dòng)網(wǎng)絡(luò)中變得更加重要。大數(shù)據(jù)技術(shù)可以實(shí)現(xiàn)對(duì)移動(dòng)網(wǎng)絡(luò)中海量數(shù)據(jù)的分析，進(jìn)而實(shí)現(xiàn)流量的精細(xì)化運(yùn)營(yíng)，準(zhǔn)確感知安全態(tài)勢(shì)等業(yè)務(wù)。如5G網(wǎng)絡(luò)中的網(wǎng)絡(luò)集中控制器具有全網(wǎng)的流量視圖，通過(guò)使用大數(shù)據(jù)技術(shù)分析網(wǎng)絡(luò)中流量最多的時(shí)間段和類型等，可以對(duì)網(wǎng)絡(luò)流量的精細(xì)化管理給出準(zhǔn)確的對(duì)策。另外，對(duì)于移動(dòng)網(wǎng)絡(luò)中的攻擊事件也可以利用大數(shù)據(jù)技術(shù)進(jìn)行分析，描繪攻擊視圖有助于提前感知未知的安全攻擊。

在大數(shù)據(jù)技術(shù)為移動(dòng)網(wǎng)絡(luò)帶來(lái)諸多好處和便利的同時(shí)，也需要關(guān)注和解決大數(shù)據(jù)的安全問(wèn)題。而隨著人們對(duì)個(gè)人隱私保護(hù)越來(lái)越重視，隱私保護(hù)成為了大數(shù)據(jù)首先要解決的重要問(wèn)題。大量事實(shí)已經(jīng)表明，大數(shù)據(jù)如不得到妥善處理，將會(huì)對(duì)用戶的隱私造成極大的侵害；另外，針對(duì)大數(shù)據(jù)的安全問(wèn)題，還需要進(jìn)一步研究數(shù)據(jù)挖掘中的匿名保護(hù)、數(shù)據(jù)溯源、數(shù)據(jù)安全傳輸、安全存儲(chǔ)、安全刪除等技術(shù)[8]。

3.2.2 5G中云化、虛擬化、軟件定義網(wǎng)絡(luò)帶來(lái)的安全問(wèn)題

對(duì)5G系統(tǒng)的低成本和高效率的要求，使得云化、虛擬化、軟件定義網(wǎng)絡(luò)等技術(shù)被引入5G網(wǎng)絡(luò)。隨著這些技術(shù)的引入，原來(lái)私有、封閉、高成本的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)形態(tài)變成標(biāo)準(zhǔn)、開(kāi)放、低成本的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)形態(tài)。同時(shí)，標(biāo)準(zhǔn)化和開(kāi)放化的網(wǎng)絡(luò)形態(tài)使得攻擊者更容易發(fā)起攻擊，并且云化、虛擬化、軟件定義網(wǎng)絡(luò)的集中化部署，將導(dǎo)致一旦網(wǎng)絡(luò)上發(fā)生安全威脅，其傳播速度會(huì)更快、波及范圍會(huì)更廣。所以，云化、虛擬化、軟件定義網(wǎng)絡(luò)的安全變得更加重要，其主要的安全問(wèn)題如下。

·云化、虛擬化網(wǎng)絡(luò)引入虛擬化技術(shù)，要重點(diǎn)考慮和解決虛擬化相關(guān)的問(wèn)題，如虛擬資源的隔離、虛擬網(wǎng)絡(luò)的安全域劃分及邊界防護(hù)等。

·云化、虛擬化網(wǎng)絡(luò)后，傳統(tǒng)物理設(shè)備之間的通信變成了虛擬機(jī)之間的通信，需要考慮能否使用虛擬機(jī)之間的安全通信來(lái)優(yōu)化傳統(tǒng)物理設(shè)備之間的安全通信。

·引入SDN架構(gòu)后，5G網(wǎng)絡(luò)中設(shè)備的控制面與轉(zhuǎn)發(fā)面分離，5G網(wǎng)絡(luò)架構(gòu)產(chǎn)生了應(yīng)用層、控制層以及轉(zhuǎn)發(fā)層。需要重點(diǎn)考慮各層的安全、各層之間連接所對(duì)應(yīng)的安全 （如南北協(xié)議安全和東西向的安全）以及控制器本身的安全等。

3.2.3 移動(dòng)智能終端的安全

5G時(shí)代用戶使用的業(yè)務(wù)會(huì)更加豐富多彩，對(duì)業(yè)務(wù)的欲望也會(huì)更加強(qiáng)烈，移動(dòng)智能終端的處理能力、計(jì)算能力會(huì)得到極大的提高，但同時(shí)黑客使用5G網(wǎng)絡(luò)的高速率、大數(shù)據(jù)、豐富的應(yīng)用等技術(shù)手段，能夠更加有效地發(fā)起對(duì)移動(dòng)智能終端的攻擊，因此移動(dòng)智能終端的安全在5G場(chǎng)景下會(huì)變得更加重要。

保證移動(dòng)智能終端的安全，除了采用常規(guī)的安裝病毒軟件進(jìn)行病毒查殺之外，還需要有硬件級(jí)別的安全環(huán)境，保護(hù)用戶的敏感信息（如加密關(guān)鍵數(shù)據(jù)的密鑰）、敏感操作（如輸入銀行密碼），并且能夠從可信根啟動(dòng)，建立可信根→boot loader→OS→關(guān)鍵應(yīng)用程序的可信鏈，保證智能終端的安全可信。

3.3 5G安全機(jī)制的未來(lái)研究方向

5G包含很多不同的技術(shù)，針對(duì)不同場(chǎng)景需要采用不同的安全機(jī)制。本文主要討論5G安全機(jī)制未來(lái)可能的研究方向。

3.3.1 5G新型認(rèn)證機(jī)制

在5G移動(dòng)互聯(lián)網(wǎng)中，物聯(lián)網(wǎng)將成為重要的應(yīng)用場(chǎng)景。物聯(lián)網(wǎng)主要面向物與物、人與物的通信。5G網(wǎng)絡(luò)通信不僅涉及普通個(gè)人用戶，也涵蓋了大量不同類型的行業(yè)用戶。為了滲透到更多的物聯(lián)網(wǎng)業(yè)務(wù)中，5G應(yīng)具備更強(qiáng)的靈活性和可擴(kuò)展性，以適應(yīng)海量的設(shè)備連接和多樣化的用戶需求[6]。為此，物聯(lián)網(wǎng)通信中需要對(duì)按照一定原則（如同屬一個(gè)應(yīng)用、在同一個(gè)區(qū)域、有相同的行為特征等）組織在一起的大量終端節(jié)點(diǎn)提供成組的認(rèn)證[9]，即通過(guò)一次認(rèn)證就可以完成對(duì)所有節(jié)點(diǎn)的認(rèn)證，從而避免傳統(tǒng)網(wǎng)絡(luò)的一對(duì)一認(rèn)證帶來(lái)的大量信令消耗和時(shí)延問(wèn)題。

3.3.2 算法協(xié)商

5G 系統(tǒng)中 2G、3G、4G、LTE、Wi-Fi等多種網(wǎng)絡(luò)共存，這必然產(chǎn)生網(wǎng)絡(luò)融合的問(wèn)題。終端設(shè)備在多種網(wǎng)絡(luò)之間漫游時(shí)，必然會(huì)引起密鑰切換、算法協(xié)商問(wèn)題。而且在5G網(wǎng)絡(luò)下，接入網(wǎng)將面臨更大的信令與數(shù)據(jù)壓力，所以需要采取更加輕量級(jí)的算法協(xié)商方案，以提升網(wǎng)絡(luò)的效率。

4 結(jié)束語(yǔ)

5G網(wǎng)絡(luò)是一個(gè)全融合的網(wǎng)絡(luò)，其安全問(wèn)題也是連接“移動(dòng)智能終端、寬帶和云”的端到端的安全問(wèn)題，更是涉及物理安全、傳輸安全以及信息安全的全方位安全問(wèn)題，從而產(chǎn)生了如大數(shù)據(jù)安全保護(hù)、虛擬化網(wǎng)絡(luò)安全、智能終端安全等關(guān)鍵安全問(wèn)題。此外，在傳統(tǒng)安全機(jī)制的基礎(chǔ)上，新的認(rèn)證機(jī)制和技術(shù)中的安全機(jī)制可以進(jìn)一步增強(qiáng)5G網(wǎng)絡(luò)的安全防護(hù)能力，使得5G網(wǎng)絡(luò)可以為人們的生產(chǎn)、生活帶來(lái)更多便利。

1 3GPP TS 23.002.Technical Specification Group Services and System Aspects;Network Architecture,2007

2 3GPP TS 23.401.GeneralPacketRadio Service (GPRS)Enhancements for Evolved Universal Terrestrial Radio Access Network(E-UTRAN)Access,2008

3 陳曉貝,羅振東.面向2020年及未來(lái),5G之花如何綻放.人民郵電報(bào),2014

4 3GPP TS 33.102 V12.1.0.Technical Specification Group Services and System Aspects;3G Security;Security Architecture,2011

5 3GPP TS 33.401.3GPP System Architecture Evolution(SAE);Security Architecture,2012

6 IMT-2020.5G愿景與需求白皮書,2014

7 3GPP TS 33.234 V12.1.0.TechnicalSpecification Group Services and System Aspects;3G Security;Wireless Local Area Network(WLAN)Interworking Security,2011

8 馮登國(guó),張敏,李昊.大數(shù)據(jù)安全與隱私保護(hù).計(jì)算機(jī)學(xué)報(bào),2014,37(1):246～258

9 3GPP TR 33.812 V9.2.0.Feasibility Study on the Security Aspects of Remote Provisioning and Change of Subscription for Machine to Machine(M2M)Equipment,2012