謝振華（中興通訊股份有限公司，江蘇南京210012）

0 引言

5G移動網(wǎng)絡(luò)并非是簡單的4G移動網(wǎng)絡(luò)的技術(shù)升級，其更重要的進步是更加開放的通信支撐能力，為更廣泛的行業(yè)應(yīng)用提供互聯(lián)互通的網(wǎng)絡(luò)環(huán)境，并最終實現(xiàn)相對統(tǒng)一的多應(yīng)用互聯(lián)互通技術(shù)平臺，打通信息孤島，實現(xiàn)萬物互聯(lián)?；谶@樣的目標，勢必要求5G網(wǎng)絡(luò)支持更多樣的接入手段，更開放的網(wǎng)絡(luò)環(huán)境，更豐富的應(yīng)用支撐。

從相對封閉走向相對開放的過程勢必會對移動網(wǎng)絡(luò)的安全帶來更多新的挑戰(zhàn)。本文分別論述了針對核心網(wǎng)、接入網(wǎng)和網(wǎng)間互聯(lián)的安全威脅所做的安全提升方面的設(shè)計。

1 5G核心網(wǎng)的相關(guān)安全技術(shù)

5G移動網(wǎng)絡(luò)的開放性，首先體現(xiàn)在接入的多樣性上。前幾代的移動網(wǎng)絡(luò)僅支持宏蜂窩基站以及家庭基站方式的接入，這些接入方式都是基于3GPP無線制式的。前幾代移動網(wǎng)絡(luò)對于其他接入方式（如Wi-Fi、Cable、有線等）的支持都是十分有限的，基本上采用獨立的與接入相關(guān)的非3GPP網(wǎng)絡(luò)來服務(wù)使用相應(yīng)接入方式的用戶，再通過網(wǎng)絡(luò)間的有限交互實現(xiàn)低層次的互通。

5G移動網(wǎng)絡(luò)針對多制式的接入方式，采用了統(tǒng)一的認證框架（見圖1），無論終端用戶采用何種制式，5G移動網(wǎng)絡(luò)都可以使用這個統(tǒng)一的認證框架與終端用戶實現(xiàn)相互認證，真正做到了認證的接入無關(guān)。

圖1 5G統(tǒng)一認證框架示意

5G移動網(wǎng)絡(luò)的統(tǒng)一認證框架中，SEAF為安全錨點，與4G移動網(wǎng)絡(luò)中的MME的認證功能相似，而新增的AUSF主要用于支持基于可擴展認證協(xié)議（EAP）框架的認證。EAP認證框架是目前所知最能滿足5G統(tǒng)一認證需求的方案，它是一個能封裝各種認證協(xié)議的統(tǒng)一框架，框架本身并不提供安全功能，認證期望取得的安全目標，由所封裝的認證協(xié)議來實現(xiàn)，它支持多種認證協(xié)議，如預共享密鑰（EAP-PSK），傳輸層安全（EAP-TLS），鑒權(quán)和密鑰協(xié)商（EAP-AKA’）等。5G移動網(wǎng)絡(luò)支持不同制式的接入方式，而不同的接入網(wǎng)使用不同的協(xié)議，這意味著5G移動網(wǎng)絡(luò)需要一個能適配各種認證協(xié)議的統(tǒng)一框架，EAP正好能滿足這樣的應(yīng)用場景和技術(shù)實現(xiàn)的要求。統(tǒng)一認證框架擴展了5G移動網(wǎng)絡(luò)的認證能力，考慮到5G還將允許垂直行業(yè)的設(shè)備和網(wǎng)絡(luò)使用其特有的技術(shù)接入，統(tǒng)一認證框架將為滿足這一需求提供極大的便利。統(tǒng)一認證框架還能使5G移動網(wǎng)絡(luò)實現(xiàn)統(tǒng)一的密鑰層次體系，進而可實現(xiàn)用戶在不同接入網(wǎng)間的無縫切換。

由于支持多接入不僅僅是網(wǎng)絡(luò)的需求，也是終端的需求，這勢必會導致終端與5G核心網(wǎng)間的信令存在多個連接的情況。為了應(yīng)對這一新增場景，5G核心網(wǎng)需要隔離同一個用戶的不同信令連接，以防止其中一個連接上的信息泄露威脅到其他連接上的數(shù)據(jù)。5G核心網(wǎng)目前采用了簡單的多連接共享核心網(wǎng)密鑰及算法的方案，為了實現(xiàn)不同連接的安全隔離，不同連接采用不同的密鑰流生成參數(shù)以及消息校驗碼生成參數(shù)，這樣做簡化了同步技術(shù)，有利于實現(xiàn)移動場景下的無縫多路傳輸。

5G移動網(wǎng)絡(luò)的開放性也體現(xiàn)在向第三方開放的網(wǎng)絡(luò)能力上。5G核心網(wǎng)的各網(wǎng)絡(luò)功能采用基于業(yè)務(wù)的架構(gòu)（SBA——Service Based Architecture），可實現(xiàn)類似于受控的full mesh方式的交互，這區(qū)別于前幾代的點到點靜態(tài)網(wǎng)狀互聯(lián)方式，使網(wǎng)絡(luò)的一些功能可以通過RESTful接口開放給第三方業(yè)務(wù)或垂直行業(yè)。這其中也包括了5G移動網(wǎng)絡(luò)的安全功能，主要體現(xiàn)在以下幾方面：基于網(wǎng)絡(luò)接入認證向第三方提供業(yè)務(wù)層的訪問認證，即如果業(yè)務(wù)層與網(wǎng)絡(luò)層互信，用戶在通過網(wǎng)絡(luò)接入認證后可以直接訪問第三方業(yè)務(wù)，這簡化了用戶訪問業(yè)務(wù)的認證流程并提高了業(yè)務(wù)訪問效率；基于終端智能卡（如UICC、嵌入式UICC）的安全能力，拓展業(yè)務(wù)層的認證維度，增強業(yè)務(wù)認證的安全性。通過網(wǎng)絡(luò)安全能力開放，可以讓第三方應(yīng)用便捷地使用移動網(wǎng)絡(luò)的安全能力，從而讓第三方業(yè)務(wù)提供商能有更多的時間和精力專注于具體應(yīng)用業(yè)務(wù)邏輯的開發(fā)，進而快速、靈活地部署各種新業(yè)務(wù)，以滿足用戶不斷變化的需求；同時，運營商也通過提供更開放的5G網(wǎng)絡(luò)能力，拓展全新的業(yè)務(wù)渠道。網(wǎng)絡(luò)能力的開放對調(diào)用者認證和訪問授權(quán)提出了更高的要求，因此專門設(shè)計了5G移動網(wǎng)絡(luò)通用API框架（CAPIF——Common API Framework）來保障能力開放的安全，具體如圖2所示。

圖2 通用API框架功能安全模型示意

5G移動網(wǎng)絡(luò)能力開放的一種終極手段就是網(wǎng)絡(luò)切片，即通過虛擬化一個完整的5G移動核心網(wǎng)來定制化地滿足特定業(yè)務(wù)或特定業(yè)務(wù)提供方的移動通信需求。5G移動網(wǎng)絡(luò)通過引入網(wǎng)絡(luò)功能虛擬化（NFV）技術(shù)和軟件定義網(wǎng)絡(luò)（SDN）架構(gòu)，實現(xiàn)了切片化。目前5G移動網(wǎng)絡(luò)的切片架構(gòu)分為公共域和切片相關(guān)域，如圖3所示，切片相關(guān)域中主要包括會話管理功能（即SMF）和用戶面功能（即UPF）。切片安全機制主要包含3個方面：UE和切片間安全、切片內(nèi)網(wǎng)絡(luò)功能與切片外網(wǎng)絡(luò)功能間的安全、切片內(nèi)網(wǎng)絡(luò)功能間的安全。平臺技術(shù)（即NFV和SDN）本身提供了一定的安全保障，比如SDN控制器防護、虛擬機安全隔離等，此外，5G移動網(wǎng)絡(luò)主要通過Network Repository功能提供的訪問授權(quán)機制來確保以上3方面的安全。

圖3 切片安全機制

2 5G接入網(wǎng)的相關(guān)安全技術(shù)

5G接入網(wǎng)可以是無線接入網(wǎng)也可以是有線接入網(wǎng)，但主要是無線接入網(wǎng)。無線環(huán)境是一個開放暴露的環(huán)境，因此5G接入網(wǎng)的安全會影響整個5G移動網(wǎng)絡(luò)。在前幾代的移動網(wǎng)絡(luò)迭代演進過程中，無線接入的安全性已經(jīng)得到了非常顯著的提升，5G移動網(wǎng)絡(luò)時代則更注重隱私保護、信令安全和用戶面數(shù)據(jù)的安全，因此針對性地設(shè)計了增強的隱私保護、增強的信令保護以及增強的用戶面數(shù)據(jù)保護方案。

在隱私安全方面，眾所周知，前幾代移動網(wǎng)絡(luò)在初始接入時需要用戶在開放的無線環(huán)境中以明文方式傳遞永久用戶標識，這一缺陷在早期還并未有明顯問題，但隨著技術(shù)的發(fā)展，攻擊者的能力也增強了，這一缺陷所帶來的風險也變得越來越高。為解決這一問題，5G移動網(wǎng)絡(luò)采用了非對稱加密技術(shù)來保護永久用戶標識的傳遞。運營商通過在USIM卡中預先設(shè)置歸屬網(wǎng)的公鑰及其他相關(guān)信息，使用戶終端可以使用歸屬網(wǎng)的公鑰對永久用戶標識進行加密保護。用于傳輸?shù)谋槐Ｗo的永久用戶標識（SUCI——Subscription Concealed Identifier）的結(jié)構(gòu)如圖4所示，其中Routing indicator用于一個運營商有多個解密功能的情況下標識其使用哪個解密功能來解密SUCI，Protection Scheme Id用于標識加密的機制，其中標準化了2個ECC的加密機制，歸屬網(wǎng)運營商也可以自定義非標準化的加密機制。

圖4 被保護的永久用戶標識（SUCI）結(jié)構(gòu)

前幾代的移動網(wǎng)絡(luò)還使用了臨時用戶標識來保護隱私，但由于標準定義不明確，導致在實際使用中存在不更新臨時用戶標識的情況，相當于把臨時用戶標識當成半永久用戶標識在使用，導致在開放的無線環(huán)境中可以方便地跟蹤用戶。3GPP標準組織針對這種情況明確了5G移動網(wǎng)絡(luò)在注冊、業(yè)務(wù)發(fā)起過程中必須刷新臨時用戶標識。

在信令保護方面，前幾代的移動網(wǎng)絡(luò)在終端從空閑態(tài)向網(wǎng)絡(luò)發(fā)起業(yè)務(wù)時，發(fā)送的初始信令都是用的明文。隨著數(shù)據(jù)分析技術(shù)的進步，這些在開放無線環(huán)境中傳輸?shù)男畔⒋嬖谛孤队脩綦[私、用戶習慣、用戶業(yè)務(wù)類型等安全風險。在5G移動網(wǎng)絡(luò)時代，為了增強安全性，減少信息在開放的無線環(huán)境中暴露的風險，設(shè)計了加密傳輸初始信令的機制，除了與建立安全連接有關(guān)的信息可以明文傳遞外，其他信息一律加密傳輸，加密使用的密鑰等信息基于本次或之前的安全建立過程協(xié)商而來。

5G時代既有移動互聯(lián)網(wǎng)終端（主要為5G手機），也有海量的物聯(lián)網(wǎng)終端，在用戶數(shù)據(jù)保護方面，其安全需求不再是一致和單一的，而是按需而定的。5G移動網(wǎng)絡(luò)可以按需決定是否在用戶面使用加密和完保的安全措施，從而使無線安全的適用性更強。

3 5G移動網(wǎng)絡(luò)網(wǎng)間的相關(guān)安全技術(shù)

前幾代的移動網(wǎng)絡(luò)設(shè)計雖然也考慮了網(wǎng)間安全，網(wǎng)間信令協(xié)議從完全沒有安全策略的7號信令到Diameter協(xié)議，網(wǎng)間安全在理論層面有了顯著的提升，但實際部署上，傳輸網(wǎng)絡(luò)運營商大多沒有啟用安全保護，畢竟傳輸網(wǎng)絡(luò)運營商不在3GPP的約束范圍內(nèi)。

在沿用以往已經(jīng)成熟的網(wǎng)間信令傳輸運營模式的基礎(chǔ)上，5G移動網(wǎng)絡(luò)為了加強信令的安全性，專門設(shè)計了安全邊界保護網(wǎng)關(guān)（SEPP——Security Edge Protection Proxy）來保障應(yīng)用層的安全，這樣即使傳輸層沒有啟用安全機制，信令中的敏感信息仍舊是安全的。圖5為網(wǎng)間信令保護的示意圖，其中cSEPP為消費者SEPP，即信令發(fā)送方的SEPP，pSEPP為提供者SEPP，即信令接收方的SEPP，c/pIPX為傳輸層的傳輸運營商信令轉(zhuǎn)發(fā)設(shè)備。

圖5 5G移動網(wǎng)絡(luò)網(wǎng)間信令保護示意圖

4 結(jié)束語

5G移動網(wǎng)絡(luò)標準的設(shè)計工作雖然目前尚處于初始階段，但從中已經(jīng)可以看出5G網(wǎng)絡(luò)的明顯的開放特性。2019年將啟動5G移動網(wǎng)絡(luò)的新版本標準設(shè)計，新版本標準將更突出物聯(lián)網(wǎng)業(yè)務(wù)支持、高可靠低時延業(yè)務(wù)支持、垂直業(yè)務(wù)支持等，更好地支持類似物聯(lián)、車聯(lián)、在線游戲、企業(yè)網(wǎng)等應(yīng)用。相信隨著標準的不斷演進，5G移動網(wǎng)絡(luò)的開放性將更加突出、網(wǎng)絡(luò)的安全性也將更加牢固。