李俠宇 中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所主任工程師

沈鴻 中國(guó)電信股份有限公司北京分公司高級(jí)工程師

5G網(wǎng)絡(luò)安全發(fā)展趨勢(shì)研究*

李俠宇 中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所主任工程師

沈鴻 中國(guó)電信股份有限公司北京分公司高級(jí)工程師

5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)，都會(huì)對(duì)網(wǎng)絡(luò)安全和用戶隱私保護(hù)提出新的挑戰(zhàn)。本文基于5G需求與愿景研究進(jìn)展，分析5G網(wǎng)絡(luò)面臨的安全問(wèn)題和發(fā)展趨勢(shì)，為后續(xù)5G安全網(wǎng)絡(luò)架構(gòu)的研究和標(biāo)準(zhǔn)化工作提出了建議。

5G；移動(dòng)互聯(lián)網(wǎng)；物聯(lián)網(wǎng)；網(wǎng)絡(luò)安全

1 引言

經(jīng)過(guò)三十多年的飛速發(fā)展，移動(dòng)通信已成為應(yīng)用最為普及的信息通信技術(shù)。移動(dòng)通信融入至社會(huì)生活的每個(gè)角落，深刻地改變了人們的溝通、交流乃至整個(gè)生活方式。當(dāng)前，全球新一輪科技革命和產(chǎn)業(yè)變革正孕育興起,跨行業(yè)、跨領(lǐng)域的融合創(chuàng)新不斷深入，將產(chǎn)生大量新應(yīng)用、新業(yè)態(tài)、新模式，對(duì)移動(dòng)通信技術(shù)也提出了更高要求。隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的進(jìn)一步發(fā)展，以及智慧城市、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等物聯(lián)網(wǎng)及行業(yè)應(yīng)用的爆發(fā)式增長(zhǎng)，2020及未來(lái)移動(dòng)通信將面臨千倍數(shù)據(jù)流量增長(zhǎng)和千億設(shè)備聯(lián)網(wǎng)需求。現(xiàn)有移動(dòng)通信系統(tǒng)面臨巨大挑戰(zhàn)，迫切需要研發(fā)第五代移動(dòng)通信（5G）以滿足各種移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)場(chǎng)景的多樣化極致業(yè)務(wù)需求。5G作為新一代移動(dòng)通信技術(shù)發(fā)展的方向，將在提升移動(dòng)互聯(lián)網(wǎng)用戶業(yè)務(wù)體驗(yàn)的基礎(chǔ)上，進(jìn)一步滿足未來(lái)物聯(lián)網(wǎng)應(yīng)用的海量需求，與工業(yè)、醫(yī)療、交通等行業(yè)深度融合，實(shí)現(xiàn)真正的“萬(wàn)物互聯(lián)”。

面對(duì)5G網(wǎng)絡(luò)的新發(fā)展趨勢(shì)，尤其是5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)，都會(huì)對(duì)安全和用戶隱私保護(hù)提出新的挑戰(zhàn)。5G安全機(jī)制除了要滿足基本通信安全，還需要為不同業(yè)務(wù)場(chǎng)景提供差異化安全服務(wù)，能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保護(hù)用戶隱私，并支持提供開(kāi)放的安全能力。本文基于5G需求與愿景研究進(jìn)展，分析5G網(wǎng)絡(luò)面臨的安全問(wèn)題和發(fā)展趨勢(shì)，為后續(xù)5G安全網(wǎng)絡(luò)架構(gòu)的研究和標(biāo)準(zhǔn)化工作提出了建議。

25 G新場(chǎng)景帶來(lái)的安全挑戰(zhàn)

與以往移動(dòng)通信系統(tǒng)相比，5G需要滿足更加多樣化的場(chǎng)景和極致的性能挑戰(zhàn)。歸納為移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)兩大類業(yè)務(wù)，主要包括移動(dòng)寬帶增強(qiáng)（eMBB）、大規(guī)模物聯(lián)網(wǎng)（mMTC）和低時(shí)延高可靠（URLLC）3個(gè)5G主要技術(shù)場(chǎng)景。

5G的eMBB場(chǎng)景與傳統(tǒng)移動(dòng)互聯(lián)網(wǎng)場(chǎng)景相比，主要的區(qū)別是為用戶提供高速的網(wǎng)絡(luò)速率和高密度的容量，因此將出現(xiàn)數(shù)量眾多的小站（Small Cell、Femtocell）。小站的部署方式、部署條件以及功能都存在靈活多樣的特點(diǎn)。傳統(tǒng)4G安全機(jī)制未考慮此種密集組網(wǎng)場(chǎng)景下的安全威脅，因此，除了傳統(tǒng)移動(dòng)互聯(lián)網(wǎng)所存在的安全威脅外，在這種密集組網(wǎng)場(chǎng)景下可能會(huì)存在小站接入的安全威脅。

針對(duì)大規(guī)模物聯(lián)網(wǎng)場(chǎng)景，預(yù)計(jì)到2020年，聯(lián)網(wǎng)設(shè)備達(dá)500億臺(tái)。終端包括物聯(lián)網(wǎng)終端、RFID標(biāo)簽、近距離無(wú)線通信終端、移動(dòng)通信終端、攝像頭以及傳感器網(wǎng)絡(luò)網(wǎng)關(guān)等。由于大部分物聯(lián)網(wǎng)終端具有資源受限、拓?fù)鋭?dòng)態(tài)變化、網(wǎng)絡(luò)環(huán)境復(fù)雜、以數(shù)據(jù)為中心以及與應(yīng)用密切相關(guān)等特點(diǎn)，與傳統(tǒng)的無(wú)線網(wǎng)絡(luò)相比，更容易受到威脅和攻擊。在此海量設(shè)備情況下，為了確保信息的準(zhǔn)確有效性，需要在機(jī)器通信中引入安全機(jī)制。而若每個(gè)設(shè)備的每條消息都需要單獨(dú)認(rèn)證，則網(wǎng)絡(luò)側(cè)安全信令的驗(yàn)證需要消耗大量資源。在傳統(tǒng)4G網(wǎng)絡(luò)認(rèn)證機(jī)制中沒(méi)有考慮到這種海量認(rèn)證信令的問(wèn)題，一旦網(wǎng)絡(luò)收到終端信令請(qǐng)求超過(guò)了網(wǎng)絡(luò)各項(xiàng)信令資源的處理能力，則會(huì)觸發(fā)信令風(fēng)暴，導(dǎo)致網(wǎng)絡(luò)服務(wù)出現(xiàn)問(wèn)題。進(jìn)一步的，整個(gè)移動(dòng)通信系統(tǒng)可能會(huì)因此出現(xiàn)故障，進(jìn)而崩潰。

而在低時(shí)延高可靠場(chǎng)景，尤其針對(duì)車聯(lián)網(wǎng)、遠(yuǎn)程實(shí)時(shí)醫(yī)療等時(shí)延敏感應(yīng)用，提出了低時(shí)延高安全性的需要。在這些場(chǎng)景中，為避免車輛碰撞、手術(shù)誤操作等事故，要求5G網(wǎng)絡(luò)能在保證高可靠性的同時(shí)提供低至1ms的時(shí)延QoS保障。而傳統(tǒng)的安全協(xié)議，如認(rèn)證流程、加解密流程等，在設(shè)計(jì)時(shí)未考慮超高可靠低時(shí)延的通信場(chǎng)景。這樣可能會(huì)帶來(lái)傳統(tǒng)的復(fù)雜的安全協(xié)議/算法造成的時(shí)延無(wú)法滿足超低時(shí)延的需求。同時(shí)，5G中超密集部署技術(shù)的應(yīng)用使得單個(gè)接入節(jié)點(diǎn)覆蓋范圍很小，當(dāng)車輛等終端快速移動(dòng)時(shí)，網(wǎng)絡(luò)的移動(dòng)性管理過(guò)程將會(huì)非常頻繁，為了低時(shí)延的目標(biāo)，安全上下文的移動(dòng)性管理相關(guān)的功能單元和流程需要進(jìn)行優(yōu)化。

35 G新型網(wǎng)絡(luò)架構(gòu)對(duì)安全提出了新的要求

5G新型網(wǎng)絡(luò)架構(gòu)需要具備更加靈活、更高智能和更好性能的能力，可以自動(dòng)適配海量業(yè)務(wù)的差異化服務(wù)要求，基于全網(wǎng)視圖來(lái)綜合調(diào)度網(wǎng)絡(luò)資源，包括接入能力、計(jì)算能力、存儲(chǔ)能力和網(wǎng)絡(luò)連接能力等，具體包括：5G網(wǎng)絡(luò)基于控制和轉(zhuǎn)發(fā)分離模式實(shí)現(xiàn)用戶面更加扁平的架構(gòu)；依托新型架構(gòu)的全局控制功能，可以實(shí)現(xiàn)多種接入技術(shù)的協(xié)同控制；借鑒IT虛擬化技術(shù)思想對(duì)網(wǎng)元形態(tài)和網(wǎng)絡(luò)連接方法進(jìn)行重構(gòu)，5G網(wǎng)絡(luò)的基礎(chǔ)設(shè)施引入NFV等虛擬化技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)切片和網(wǎng)元按需部署，增加整體網(wǎng)絡(luò)的靈活性和伸縮性。

3.1 NFV安全需求

5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施平臺(tái)將更多的選擇基于通用硬件架構(gòu)的數(shù)據(jù)中心構(gòu)成支持5G網(wǎng)絡(luò)的高轉(zhuǎn)發(fā)性能和電信級(jí)管理要求。NFV技術(shù)實(shí)現(xiàn)底層物理資源到虛擬化資源的映射，構(gòu)造虛擬機(jī)（VM），加載網(wǎng)絡(luò)邏輯功能（VNF）；虛擬化系統(tǒng)實(shí)現(xiàn)對(duì)虛擬化基礎(chǔ)設(shè)施平臺(tái)的統(tǒng)一管理和資源的動(dòng)態(tài)重配置。NFV具有幫助強(qiáng)化網(wǎng)絡(luò)安全的潛力，安全策略可編排，并且可以發(fā)揮虛擬化的優(yōu)勢(shì)，隔離業(yè)務(wù)負(fù)載從而強(qiáng)化安全。NFV在強(qiáng)化安全的同時(shí)也帶來(lái)了新的安全隱患。相比傳統(tǒng)電信設(shè)備，軟件硬件分離的特點(diǎn)以及虛擬化網(wǎng)絡(luò)的開(kāi)放性給NFV帶來(lái)了新的潛在安全問(wèn)題：

引入新的高危區(qū)域——虛擬化管理層。虛擬化管理層是NFV的核心，一旦被攻破，在其上的所有虛擬機(jī)將直接處于攻擊之下，后果將不堪設(shè)想。

彈性、虛擬網(wǎng)絡(luò)使安全邊界模糊，安全策略難于隨網(wǎng)絡(luò)調(diào)整而實(shí)時(shí)、動(dòng)態(tài)遷移，虛擬機(jī)容易受到同一主機(jī)的其他虛擬機(jī)的攻擊；傳統(tǒng)基于物理安全邊界的防護(hù)機(jī)制在云計(jì)算的環(huán)境難以得到有效的應(yīng)用。

用戶失去對(duì)資源的完全控制以及多租戶共享計(jì)算資源，帶來(lái)的數(shù)據(jù)泄漏與攻擊風(fēng)險(xiǎn)，給數(shù)據(jù)安全的保護(hù)提出了更高的要求。并且用戶、應(yīng)用和數(shù)據(jù)資源聚集，容易成為黑客攻擊的目標(biāo)，而且一旦被攻擊，影響范圍廣、危害大。

因此，5G安全針對(duì)NFV等虛擬化技術(shù)的引入，需要為網(wǎng)絡(luò)設(shè)備提供多元化的系統(tǒng)級(jí)防護(hù)，防止各類非法的攻擊和入侵。5G網(wǎng)絡(luò)環(huán)境將包含多廠家的軟硬件基礎(chǔ)設(shè)施，因此網(wǎng)絡(luò)身份必須得到有效管理，從而防止非法用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。5G安全將提供傳輸保護(hù)，為數(shù)據(jù)傳輸提供如機(jī)密性和完整性等安全防護(hù)，應(yīng)對(duì)傳輸中數(shù)據(jù)的惡意竊聽(tīng)和轉(zhuǎn)發(fā)。

3.2 網(wǎng)絡(luò)切片安全需求

網(wǎng)絡(luò)切片是5G網(wǎng)絡(luò)的關(guān)鍵特征。一個(gè)網(wǎng)絡(luò)切片將構(gòu)成一個(gè)端到端的邏輯網(wǎng)絡(luò)，按切片需求方的需求靈活地提供一種或多種網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)切片重要的安全問(wèn)題是網(wǎng)絡(luò)切片需要提供不同切片實(shí)例之間的隔離機(jī)制，防止本切片內(nèi)的資源被其他類型網(wǎng)絡(luò)切片中網(wǎng)絡(luò)節(jié)點(diǎn)非法訪問(wèn)。例如，醫(yī)療切片網(wǎng)絡(luò)中的病人，只希望被接入到本切片網(wǎng)絡(luò)中的醫(yī)生訪問(wèn)，而不希望被其他切片網(wǎng)絡(luò)中的人訪問(wèn)。相同業(yè)務(wù)類型的網(wǎng)絡(luò)切片之間也存在隔離的需求，例如不同的企業(yè)的在使用相同業(yè)務(wù)類型的切片網(wǎng)絡(luò)時(shí)，并不希望本企業(yè)內(nèi)的服務(wù)資源被其他企業(yè)的網(wǎng)絡(luò)切片節(jié)點(diǎn)訪問(wèn)。

服務(wù)、資源和數(shù)據(jù)在網(wǎng)絡(luò)切片中被隔離保護(hù)的效果要達(dá)到接近于傳統(tǒng)私網(wǎng)一樣用戶感受，這樣才能使得用戶能放心的將原本存放在私有網(wǎng)絡(luò)中的應(yīng)用數(shù)據(jù)存放到在云端，用戶在享有隨時(shí)隨地可訪問(wèn)私有資源的同時(shí)不需要擔(dān)憂這些資源的安全問(wèn)題，這樣才能促進(jìn)各種垂直業(yè)務(wù)的健康快速發(fā)展。

3.3 多RAT接入的安全需求

異構(gòu)接入網(wǎng)絡(luò)將是下一代接入網(wǎng)絡(luò)的主要技術(shù)特征之一，5G網(wǎng)絡(luò)將是多種無(wú)線接入技術(shù)融合共存的網(wǎng)絡(luò)。異構(gòu)不僅體現(xiàn)在接入技術(shù)的不同，如Wi-Fi和蜂窩網(wǎng)絡(luò)，還體現(xiàn)在接入網(wǎng)絡(luò)因?yàn)閷儆诓煌瑩碛姓叨斐傻木植烤W(wǎng)絡(luò)架構(gòu)方面的差異，因此，5G網(wǎng)絡(luò)需要構(gòu)建一個(gè)通用的認(rèn)證機(jī)制，能夠在不同的接入技術(shù)，不安全的接入網(wǎng)之上建立一個(gè)安全的運(yùn)營(yíng)網(wǎng)絡(luò)。

另外，在異構(gòu)網(wǎng)絡(luò)間的安全互操作方面，終端可能在異構(gòu)網(wǎng)絡(luò)間進(jìn)行切換，這時(shí)需要保證在異構(gòu)網(wǎng)絡(luò)間切換的安全互操作，如安全上下文的傳遞、密鑰的更新、異構(gòu)網(wǎng)絡(luò)間安全上下文的隔離等。

4 5G安全算法的新要求

安全算法用于在5G中用于保護(hù)終端和網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸?shù)臋C(jī)密性和認(rèn)證性。數(shù)據(jù)傳輸?shù)陌踩枨髲臒o(wú)線網(wǎng)絡(luò)的誕生就一直存在，例如4G目前就在使用AES、ZUC、Snow3G安全算法。進(jìn)入5G時(shí)代，需要在5G安全技術(shù)中通過(guò)安全性和計(jì)算復(fù)雜性來(lái)研究現(xiàn)有的安全算法是否能滿足5G多樣化的場(chǎng)景。

安全算法的安全性主要體現(xiàn)在算法的體制、結(jié)構(gòu)、密鑰的隨機(jī)性和長(zhǎng)度。由于軟硬件計(jì)算能力以及算法分析技術(shù)的不斷發(fā)展，原來(lái)被認(rèn)為足夠安全的算法也逐漸被攻破而被放棄使用。因此，需要謹(jǐn)慎考慮5G中將要采用的安全算法的安全性。安全算法的計(jì)算復(fù)雜度主要體現(xiàn)在各種軟硬件計(jì)算平臺(tái)上的加密、解密速度、硬件實(shí)現(xiàn)需要的邏輯門數(shù)量。5G提出了更高的數(shù)據(jù)傳輸速率，4G正在使用的那些算法是否能滿足高速率的要求？5G引入的多樣化場(chǎng)景包括計(jì)算資源有限的設(shè)備，4G現(xiàn)有算法是否能滿足這些場(chǎng)景？這些問(wèn)題都需要針對(duì)5G安全技術(shù)開(kāi)展不斷深入的研究。

5 結(jié)束語(yǔ)

未來(lái)5G安全將在更加多樣化的場(chǎng)景、多種接入方式以及新型網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上，提供全方位的安全保障。除滿足基本通信安全外，5G安全機(jī)制能夠?yàn)椴煌瑯I(yè)務(wù)場(chǎng)景提供差異化安全服務(wù)，能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保護(hù)用戶隱私，并支持提供開(kāi)放的安全能力。當(dāng)前，5G標(biāo)準(zhǔn)化工作已經(jīng)全面啟動(dòng)，3GPPSA2在2016年底完成5G網(wǎng)絡(luò)架構(gòu)的研究工作，因此亟需盡早明確5G網(wǎng)絡(luò)安全需求，并且在5G網(wǎng)絡(luò)的整體架構(gòu)設(shè)計(jì)、業(yè)務(wù)流程、算法和后續(xù)標(biāo)準(zhǔn)化中綜合考慮5G安全要求，這樣才能最終實(shí)現(xiàn)構(gòu)建更加安全可信的5G新型網(wǎng)絡(luò)的目標(biāo)。

Telefónica與中興通訊共同完成Pre5G MassiveMIMO測(cè)試

近日，Telefónica和中興通訊宣布在西班牙馬德里成功完成了Pre5GMassiveMIMO的業(yè)務(wù)測(cè)試，這是Telefónica集團(tuán)首個(gè)Pre5GMassiveMIMO測(cè)試。

2016年10 月，中興通訊和Telefónica開(kāi)始在Telefónica公司總部進(jìn)行Pre5GMassiveMIMO測(cè)試，評(píng)估熱點(diǎn)和室內(nèi)覆蓋方案的性能。測(cè)試結(jié)果顯示，Pre5GMassiveMIMO基站性能已超過(guò)預(yù)期，相比傳統(tǒng)的LTE宏基站，網(wǎng)絡(luò)容量和小區(qū)邊緣的數(shù)據(jù)速率提高6倍，通過(guò)三維波束賦形技術(shù)降低了終端用戶的干擾。測(cè)試中，同時(shí)演示了虛擬現(xiàn)實(shí)和2K視頻等新應(yīng)用。所有的測(cè)試都是基于現(xiàn)有的4G終端，包括中興通訊和其他品牌的智能手機(jī)。

Researchonthe development trend of 5Gnetwork security

LI Xiayu,SHENHong

New business, new architecture, and new technology of 5G will bring more challenges to network security. Basedon the research progress of 5G requirement and vision, This paper analyzes the problems and the development trend of 5Gnetwork security, and puts forward some suggestions on the research and standardization work of 5G security networkarchitecture..

5G；mobile internet；IoT；network security

2016-11-20）

國(guó)家863項(xiàng)目（2015AA01A708）資助