楊紅梅

摘要：5G網(wǎng)絡新技術(shù)、新特征帶來了新的安全風險與挑戰(zhàn)，主要體現(xiàn)在虛擬化設備安全邊界模糊，數(shù)據(jù)泄露風險有所增加，海量多樣化終端容易成為新的攻擊目標以及新業(yè)務場景下安全責任主體劃分難度加大等方面。5G安全相關(guān)標準重點研究5G安全關(guān)鍵技術(shù)、5G系統(tǒng)安全架構(gòu)和流程相關(guān)要求、設備安全保障等，目前已完成第1版本（R15）的標準制定工作，預計2019年底完成第2階段（R16）5G安全的標準制定工作。

關(guān)鍵詞：5G;基礎(chǔ)設施;關(guān)鍵技術(shù);安全風險;供應鏈風險;標準

Abstract： New technologies and features of 5G network bring new security risks and challenges. It is mainly reflected in the blurred security boundary of virtualization equipment， the increased risk of data leakage， massive diversified terminals which are vulnerable to attack， and the increased difficulty in the division of security responsibility subjects in new business scenarios. The 5G security specifications focus on the key technologies of 5G security， the security architecture and process， security assurance， etc. At present， the first phase （R15） of 5G security specifications has been published， and the second phase （R16） is expected to be completed by the end of 2019.

Key words： 5G; infrastructure; key technology; security risk; supply chain security risk; specification

5G時代，移動通信將大幅提升移動互聯(lián)網(wǎng)業(yè)務的使用體驗，進一步滿足海量物聯(lián)網(wǎng)應用的多樣化需求，與工業(yè)、醫(yī)療、交通、金融等行業(yè)深度融合，實現(xiàn)“無處不在，萬物互聯(lián)”。5G網(wǎng)絡與垂直行業(yè)深度融合的特點導致5G安全問題不僅影響人和人之間的通信，還將會影響到各行各業(yè)，有些場景甚至可能威脅到人們的生命財產(chǎn)安全乃至國家安全;因此，世界主要國家均將5G作為優(yōu)先發(fā)展的戰(zhàn)略性領(lǐng)域，5G安全問題成為世界各國關(guān)注的焦點。

近期，部分組織或國家（如歐盟、美國、捷克等）在5G安全領(lǐng)域發(fā)布了多個5G安全相關(guān)報告，這些報告所表達的觀點主要涵蓋2個方面：一是5G安全意義重大，5G網(wǎng)絡的安全性對于國家安全、經(jīng)濟安全和其他國家利益以及全球穩(wěn)定性至關(guān)重要;二是5G將面臨新的安全風險，有必要開展5G安全風險評估，并倡導將供應鏈安全及非技術(shù)因素納入5G安全評估范疇。中國在2016年12月發(fā)布《國家網(wǎng)絡空間安全戰(zhàn)略》，提出要統(tǒng)籌網(wǎng)絡發(fā)展和安全2件大事，認為安全是發(fā)展的保障，發(fā)展是安全的目的。

1 5G網(wǎng)絡的主要特點

5G是新一代信息通信技術(shù)的主要發(fā)展方向，業(yè)務應用從移動互聯(lián)網(wǎng)擴展到移動物聯(lián)網(wǎng)領(lǐng)域，服務對象從人與人通信拓展到人與物、物與物通信，并將與經(jīng)濟社會各領(lǐng)域深度融合，引發(fā)人們生產(chǎn)、生活方式的深刻變革。國際電信聯(lián)盟無線電通信組（ITU-R）定義了5G的3類典型業(yè)務場景：增強移動寬帶（eMBB）、海量機器類通信（mMTC）、高可靠低時延通信（uRLLC），它們的應用需求以及對網(wǎng)絡的性能要求各不相同。

與4G相比，5G網(wǎng)絡整體架構(gòu)延續(xù)4G特點，仍采用接入層、核心網(wǎng)層和應用層3層架構(gòu)。不過，為了應對5G需求和場景對網(wǎng)絡提出的挑戰(zhàn)，并滿足更加靈活、更加智能的發(fā)展趨勢，5G網(wǎng)絡進行了創(chuàng)新和變革。5G網(wǎng)絡有以下幾個主要特征：采用新型基礎(chǔ)設施平臺和新型核心網(wǎng)架構(gòu);比4G支持更多樣化的業(yè)務場景;支持更高的性能指標并提供更強、更靈活的通信安全能力。下面我們從網(wǎng)絡和安全2方面分別闡述。

（1）5G網(wǎng)絡方面。基于網(wǎng)絡功能虛擬化（NFV）和軟件定義網(wǎng)絡（SDN）技術(shù)實現(xiàn)基于通用硬件的新型基礎(chǔ)設施平臺。新型核心網(wǎng)基于統(tǒng)一基礎(chǔ)設施平臺進行云化部署，具有硬件平臺通用化、軟件功能模塊化的特點：能夠重構(gòu)網(wǎng)絡控制和轉(zhuǎn)發(fā)機制，進一步實現(xiàn)控制和轉(zhuǎn)發(fā)分離，改變單一管道和固化的服務模式;利用友好開放的基礎(chǔ)設施環(huán)境，可為不同用戶和垂直行業(yè)提供定制化的網(wǎng)絡服務，構(gòu)建資源全共享、功能易編排、業(yè)務緊耦合的綜合信息化服務使能平臺;利用服務化架構(gòu)、網(wǎng)絡切片、邊緣計算、5G網(wǎng)絡能力開放等技術(shù)滿足各行業(yè)需求。

（2）5G安全方面。5G網(wǎng)絡采用統(tǒng)一的認證框架來融合不同的接入認證方式，并優(yōu)化現(xiàn)有的安全認證協(xié)議（如安全上下文的傳輸、密鑰更新管理等）;采用差異化身份管理機制以及匿名化技術(shù)來保護用戶隱私;為不同應用場景提供按需的安全保護，可滿足業(yè)務多樣化的時延要求、終端設備的生命周期要求;采用更加靈活的安全機制保障網(wǎng)絡安全。總體來說， 5G 可提供更健壯的業(yè)務安全性、更嚴密的數(shù)據(jù)保護以及更強的用戶隱私性，可提供比4G系統(tǒng)更強大的通信安全能力。

2 5G安全風險分析

相比于傳統(tǒng)3G/4G網(wǎng)絡，5G核心網(wǎng)基于NFV等新技術(shù)，在架構(gòu)和功能上提供更泛在的接入支持、更靈活的控制和轉(zhuǎn)發(fā)機制，以及更友好的能力開放方式，打破了傳統(tǒng)電信網(wǎng)絡的封閉性，同時能與云化基礎(chǔ)設施結(jié)合，為普通消費者、應用提供商和垂直行業(yè)提供網(wǎng)絡切片、邊緣計算等新型業(yè)務能力。5G網(wǎng)絡新技術(shù)新業(yè)務帶來便利性的同時，也帶來了安全風險和挑戰(zhàn)。

2.1 5G新技術(shù)新特性帶來的

安全風險與挑戰(zhàn)

5G面臨的新安全風險和挑戰(zhàn)主要包括：實體網(wǎng)元變?yōu)樘摂M化軟件，物理資源共享，設備安全邊界模糊，開放端口成為數(shù)據(jù)泄露的脆弱點，多樣化終端的安全能力差異大，容易成為新的攻擊目標以及新業(yè)務場景下安全責任歸屬問題等。

（1）基礎(chǔ)設施虛擬化云化。

基礎(chǔ)設施虛擬化云化給網(wǎng)絡安全帶來了突出挑戰(zhàn)，具體表現(xiàn)在以下幾個方面：虛擬化服務化架構(gòu)模糊了傳統(tǒng)網(wǎng)絡邊界，給虛擬化軟件及虛擬機間的通信安全帶來風險;集中的控制點容易成為網(wǎng)絡攻擊的“重災區(qū)”;分層解耦、多廠商集成導致安全問題快速定位和溯源困難;開源軟件的脆弱性及安全漏洞，給自動化安全評估和修復帶來挑戰(zhàn)，同時新型網(wǎng)絡架構(gòu)對安全運維人員的經(jīng)驗、技能提出了新的挑戰(zhàn)。

（2）邊緣計算。

邊緣計算是指在網(wǎng)絡邊緣、靠近用戶的位置上提供信息技術(shù)（IT）的服務、環(huán)境和云計算的能力，邊緣計算節(jié)點可根據(jù)應用服務的需求部署于移動網(wǎng)絡的邊緣，提供超低時延的同時也能夠降低高帶寬業(yè)務的數(shù)據(jù)流對核心網(wǎng)的壓力。但是，邊緣計算帶來便利的同時也帶來了安全風險和挑戰(zhàn)：一方面，移動邊緣計算（MEC）基礎(chǔ)設施通常部署在網(wǎng)絡邊緣，客觀縮短了攻擊者與MEC物理設施之間的距離，使得攻擊者更容易接觸到MEC網(wǎng)絡基礎(chǔ)設施，被攻擊后可能會造成物理設備毀壞、服務中斷、用戶隱私和數(shù)據(jù)泄露等嚴重后果;另一方面，由于性能、成本、部署靈活性要求等多種因素制約，MEC節(jié)點的安全能力不夠完善，可抵御的攻擊種類和抵御單個攻擊的強度不夠，容易被攻擊，使5G網(wǎng)絡面臨風險;另外，MEC服務不僅可由網(wǎng)絡運營商提供，也可由第三方服務商提供，當MEC服務由第三方提供時，在接入網(wǎng)絡的時候如果沒有調(diào)用認證與鑒權(quán)接口，則面臨惡意第三方接入網(wǎng)絡提供非法服務的風險等。

（3）網(wǎng)絡切片。

5G網(wǎng)絡切片是在統(tǒng)一基礎(chǔ)設施上，為用戶提供專用服務。網(wǎng)絡切片為不同業(yè)務提供差異化安全服務的同時，也面臨一定的安全風險：不同的網(wǎng)絡切片承載不同的5G業(yè)務，但網(wǎng)絡切片共享網(wǎng)絡基礎(chǔ)設施，這就對切片的安全隔離能力帶來挑戰(zhàn)。若網(wǎng)絡切片的認證和授權(quán)能力不足，則可能造成敏感信息和/或隱私信息泄漏，并且被攻擊者所利用。另外，在5G新業(yè)務場景下，運營商可能會以網(wǎng)絡切片的模式向第三方企業(yè)、用戶提供網(wǎng)絡服務，對于此種服務中涉及的運營商、虛擬運營商、用戶等不同層和不同域的安全責任主體劃分問題面臨挑戰(zhàn)。

（4）網(wǎng)絡能力開放。

5G網(wǎng)絡基于網(wǎng)絡能力開放技術(shù)，與垂直行業(yè)深度融合，使得垂直行業(yè)可以充分利用網(wǎng)絡能力的同時靈活開發(fā)新業(yè)務，但也帶來新的風險和挑戰(zhàn)：5G網(wǎng)絡能力開放架構(gòu)可能會面臨網(wǎng)絡能力的非授權(quán)訪問和使用、數(shù)據(jù)泄露、用戶和網(wǎng)絡敏感信息泄露等安全風險，同時攻擊者還可以利用5G網(wǎng)絡能力開放架構(gòu)提供的應用程序編程接口（API）對網(wǎng)絡進行拒絕服務攻擊;隨著跨行業(yè)應用的開展，需要開放共享相應的用戶個人信息、網(wǎng)絡數(shù)據(jù)和業(yè)務數(shù)據(jù)，這些信息和數(shù)據(jù)從運營商內(nèi)部的封閉平臺開放共享到垂直行業(yè)企業(yè)的開放平臺上，運營商對數(shù)據(jù)的控制力減弱，數(shù)據(jù)泄露的風險增大。另外，跨行業(yè)數(shù)據(jù)共享過程中一旦發(fā)生用戶數(shù)據(jù)泄露等安全事件，將面臨主體間的責任劃分不清的風險。

（5）海量多樣化終端。

5G支持多種接入技術(shù)，終端類型復雜多樣，終端的安全能力差異巨大，終端設備分散不便統(tǒng)一管理，應用需求復雜難以部署強有力安全防護。因此，5G時代海量多樣化終端會給5G網(wǎng)絡帶來安全風險。

巨量化、泛在化的智能終端易被利用成為新攻擊源。一方面在mMTC場景下，未來將有數(shù)以百億計的終端接入物聯(lián)網(wǎng)，一旦這些終端被入侵利用，形成規(guī)?；脑O備僵尸網(wǎng)絡，將成為新型高容量分布式拒絕服務（DDoS）攻擊源，進而對用戶應用、后臺系統(tǒng)等發(fā)起攻擊;另一方面，物聯(lián)網(wǎng)終端提供的數(shù)據(jù)信息量巨大，分類眾多，應用場景多元化，但缺乏統(tǒng)一的安全標識和認證管理機制，這也增加了網(wǎng)絡管理的難度。

另外，終端上日趨開放的用戶應用生態(tài)環(huán)境將加大安全管理挑戰(zhàn)。在5G的泛在連接場景下，生產(chǎn)類、生活類應用可能同時安裝在一臺用戶終端上，開放的應用生態(tài)環(huán)境在帶來生產(chǎn)和生活便利的同時，也加劇了惡意應用威脅其他應用安全、終端安全以及后臺生產(chǎn)系統(tǒng)安全的風險。

2.2 5G融合應用面臨的安全

風險與挑戰(zhàn)

5G融合應用基于5G網(wǎng)絡開展業(yè)務，因此也面臨5G新技術(shù)、新特性帶來的安全風險與挑戰(zhàn)，并具有各自業(yè)務本身的特點。同時，5G新應用迭代速度快，5G規(guī)模商用對經(jīng)濟社會帶來的影響有待持續(xù)評估，安全風險呈現(xiàn)動態(tài)演進、持續(xù)變化的特點。具體表現(xiàn)為：（1）eMBB場景下個人信息泄漏風險加大;（2）uRLLC場景下數(shù)據(jù)保護風險加大;（3）mMTC場景下多種終端形態(tài)導致海量終端被攻擊的風險增大。

另外，5G融合應用業(yè)務發(fā)展模式尚不明朗，其面臨的風險可能在相當長一段時間之后才會逐步顯現(xiàn)，有待持續(xù)跟蹤研究。

2.3 應對舉措

針對5G網(wǎng)絡和業(yè)務面臨的安全風險，可以從以下幾個方面來應對：完善5G安全相關(guān)政策和管理制度，確保5G安全能力建設和業(yè)務發(fā)展同步推進;加大5G安全研發(fā)投入，在5G網(wǎng)絡建設過程中，將安全需求納入到業(yè)務設計、網(wǎng)絡和網(wǎng)元動態(tài)部署的各個環(huán)節(jié)中，形成針對5G網(wǎng)絡特點的主動防御體系;構(gòu)建5G安全標準體系，加強5G網(wǎng)絡安全新技術(shù)研究，制定完善5G安全技術(shù)標準，提升國際標準話語權(quán)。

3 5G安全標準進展

3.1 國際標準

5G相關(guān)國際標準主要由第3代合作伙伴計劃（3GPP）研究制定，分為 R15和R16 2個版本來滿足ITU IMT-2020的全部需求：R15為5G基礎(chǔ)版本，重點支持eMBB業(yè)務和基礎(chǔ)的uRLLC業(yè)務;R16為5G增強版本，將支持更多類型的業(yè)務。目前，3GPP已完成了R15獨立組網(wǎng)5G標準，并將于2019年底發(fā)布R16標準。R16標準在R15的基礎(chǔ)上，進一步增強網(wǎng)絡支持eMBB的能力和效率，重點提升對垂直行業(yè)應用的支持，特別是對uRLLC類業(yè)務以及mMTC類業(yè)務的支持。

5G安全研究及標準制定與5G總體架構(gòu)相關(guān)工作保持同步。3GPP于2018年6月完成了第1階段（R15）5G安全標準，重點研究5G系統(tǒng)安全架構(gòu)和流程相關(guān)要求，包括安全框架、接入安全、用戶數(shù)據(jù)的機密性和完整性保護、移動性和會話管理安全、用戶身份的隱私保護以及與演進的分組系統(tǒng)（EPS）的互通等相關(guān)內(nèi)容。預計2019年底將可以完成第2階段（R16）5G安全標準的工作，將重點推進uRLLC安全、切片安全、5G蜂窩物聯(lián)網(wǎng)（CIoT）安全、增強的服務化架構(gòu)（eSBA）安全、位置業(yè)務安全增強等工作。

5G安全相關(guān)的主要國際標準如下：

·5G系統(tǒng)安全架構(gòu)和流程（3GPP TS 33.501）[1] ;

·3GPP系統(tǒng)架構(gòu)演進（SAE）安全架構(gòu)（3GPP TS 33.401）[2];

·安全保障通用要求（3GPP TS 33.117）[3];

·5G安全保障規(guī)范 NR Node B（gNB）（3GPP TS 33.511）[4];

·5G安全保障規(guī)范接入與移動管理功能（AMF）、用戶平面功能（UPF）、統(tǒng)一數(shù)據(jù)管理（UDM）、會話管理功能（SMF）、認證服務器功能（AUSF）、安全邊界保護代理（SEPP）、網(wǎng)絡存儲功能（NRF）、網(wǎng)絡開放功能（NEF）（3GPP TS 33.512～519）[5]-[12]。

其中，《5G系統(tǒng)安全架構(gòu)和流程》和《3GPP系統(tǒng)架構(gòu)演進（SAE）安全架構(gòu)》主要規(guī)定獨立組網(wǎng)（SA）架構(gòu)和非獨立組網(wǎng)（NSA）架構(gòu)下的5G網(wǎng)絡架構(gòu)及安全機制相關(guān)內(nèi)容;安全保障系列規(guī)范主要規(guī)定5G網(wǎng)元的基線要求（數(shù)據(jù)和信息保護、可用性和完整性保護、認證和授權(quán)、會話保護、日志等）、抗攻擊能力、端口掃描、漏洞掃描等的技術(shù)要求和測試方法等。

3.2 中國標準

中國5G安全標準分為行業(yè)標準和國家標準2大類，主要研究5G安全關(guān)鍵技術(shù)、架構(gòu)和流程、虛擬化安全技術(shù)、設備安全保障等。行業(yè)標準在中國通信標準化協(xié)會（CCSA）研究制定，預計在2020年完成大部分標準;國家標準在國家標準化管理委員會制定，正在陸續(xù)立項。

目前正在研究制定的中國標準如下：

·5G移動通信網(wǎng)安全技術(shù)要求（2018-2367T-YD）;

·NFV安全技術(shù)要求（H-2019009066）;

·移動通信網(wǎng)絡設備安全保障要求 5G基站（gNB）（H-2019008972）;

·5G移動通信網(wǎng)絡設備安全保障要求核心網(wǎng)網(wǎng)絡功能（H-2018008666）;

·NFV環(huán)境下移動通信核心網(wǎng)安全需求研究（B-2018008682）;

·5G網(wǎng)絡切片安全技術(shù)要求（B-2017006541）;

·5G邊緣計算安全技術(shù)研究（B-2019008981）。

目前正立項的國家標準如下：

·5G移動通信網(wǎng)通信安全技術(shù)要求（G-2019009101）;

·5G移動通信網(wǎng)絡設備安全保障要求 核心網(wǎng)網(wǎng)絡功能（G-2019009031）;

·5G移動通信網(wǎng)絡設備安全保障要求5G基站（G-2019009031）。

以上行業(yè)和國家標準的主要內(nèi)容基本與對應的國際標準一致，旨在指導5G移動通信網(wǎng)絡設備的研發(fā)，并為運營商和監(jiān)管機構(gòu)在5G安全方面開展工作提供技術(shù)參考。

4 結(jié)束語

在當前5G發(fā)展的關(guān)鍵時期，中國應進一步加快5G技術(shù)創(chuàng)新，提升產(chǎn)業(yè)競爭優(yōu)勢，打造5G精品網(wǎng)絡，構(gòu)建新型基礎(chǔ)設施，堅持5G產(chǎn)品全球化路線，繼續(xù)推動5G產(chǎn)業(yè)快速發(fā)展。同時，為了應對5G面臨的安全風險和挑戰(zhàn)，應進一步加強國際交流合作，提升中國在5G安全領(lǐng)域的話語權(quán);加大5G安全研發(fā)投入，突破5G安全關(guān)鍵技術(shù)研究，提升中國5G網(wǎng)絡和設備的安全性可靠性;加強5G與垂直行業(yè)的融合創(chuàng)新研究，構(gòu)建支撐行業(yè)發(fā)展的具有靈活高效安全屬性的5G網(wǎng)絡，并積極推動5G安全的全球標準以及后續(xù)產(chǎn)業(yè)發(fā)展，實現(xiàn)5G技術(shù)發(fā)展與技術(shù)安全相統(tǒng)一。

參考文獻

[1] 3GPP. Security architecture and Procedures for 5G System （Release 15）： 3GPP TS 33.501[S]. 2019

[2] 3GPP. 3GPP System Architecture Evolution （SAE）; Security Architecture： 3GPP TS 33.401[S]. 2012

[3] 3GPP. Catalogue of General Security Assurance Requirements： 3GPP TS 33.117[S]. 2017

[4] 3GPP. 5G Security Assurance Specification （SCAS）; NR Node B （gNB）： 3GPP TS 33.511[S]. 2019

[5] 3GPP. 5G Security Assurance Specification （SCAS）; Access and Mobility Management Function （AMF）： 3GPP TS 33.512[S]. 2018

[6] 3GPP. 5G Security Assurance Specification （SCAS）; User Plane Function （UPF）： 3GPP TS 33.513[S]. 2018

[7] 3GPP. 5G Security Assurance Specification （SCAS） for the Unified Data Management （UDM） Network Product Class： 3GPP TS 33.514[S]. 2018

[8] 3GPP. 5G Security Assurance Specification （SCAS）; Session Management Function （SMF）： 3GPP TS 33.515[S]. 2018

[9] 3GPP. 5G Security Assurance Specification （SCAS）; Authentication Server Function （AUSF）： 3GPP TS 33.516[S]. 2017

[10] 3GPP. 5G Security Assurance Specification （SCAS） for the Security Edge Protection Proxy （SEPP） Network Product Class： 3GPP TS 33.517[S]. 2018

[11] 3GPP. 5G Security Assurance Specification （SCAS） for the Network Repository Function （NRF） network product class： 3GPP TS 33.518[S]. 2018

[12] 3GPP. 5G Security Assurance Specification （SCAS） for the Network Exposure Function （NEF） Network Product Class： 3GPP TS 33.519[S]. 2018