李楊

摘 ?要：5G在給社會、人民的生活帶來便利的同時也存在安全隱患，文章首先介紹5G網(wǎng)絡(luò)面臨的安全威脅，之后從5G網(wǎng)絡(luò)架構(gòu)層面研究了其安全性的需求。

關(guān)鍵詞：5G網(wǎng)絡(luò);業(yè)務(wù)場景;網(wǎng)絡(luò)化架構(gòu);SDN;NFV;網(wǎng)絡(luò)切片

中圖分類號：TN929.5 ? ? 文獻標志碼：A ? ? ? ? 文章編號：2095-2945（2019）35-0055-02

Abstract： 5G not only brings convenience to society and people's life， but also has security risks. This paper first introduces the security threats faced by 5G network， and then studies its security requirements from the level of 5G network architecture.

Keywords： 5G network; business scenario; network architecture; SDN; NFV; network slice

引言

3G網(wǎng)絡(luò)致力于“人與人”之間的連接;4G網(wǎng)絡(luò)致力于“人與信息”之間的連接;而5G是萬物互聯(lián)的時代。即將到來的5G涵蓋了社會生活的方方面面：無人駕駛、智能交通、遠程醫(yī)療、智能家居、智能制造、智慧農(nóng)業(yè)、以及由5G網(wǎng)絡(luò)互聯(lián)的智慧城市等等。毫不夸張的說“4G改變了人類的生活，而5G改變了我們的社會”。5G時代帶來的是速率、連接數(shù)的百倍十倍的提升，但是響應(yīng)用時卻大大縮減，僅為原來的20%。那么在這個新的時代網(wǎng)絡(luò)安全是否也應(yīng)該跟上節(jié)奏的變化呢？答案是肯定的：5G產(chǎn)業(yè)需要5G安全保駕護航。

1 5G網(wǎng)絡(luò)面臨的安全威脅

5G的移動網(wǎng)絡(luò)業(yè)務(wù)主要包括uRLLC（低時延高可靠）、eMBB（增強移動寬帶）、mMTC（海量物聯(lián)網(wǎng)）三大典型場景。同時由于VR（虛擬現(xiàn)實）、大數(shù)據(jù)以及萬物互聯(lián)的消費者體驗產(chǎn)品種類越來越豐富，導(dǎo)致移動用戶和數(shù)據(jù)流量快速增長。多樣化的場景需求對網(wǎng)絡(luò)設(shè)備容量和性能提出了更高的要求。因此，未來的5G在速率更高、時延更低的基礎(chǔ)上將滲透到萬物互聯(lián)的方方面面，與工業(yè)、交通、醫(yī)療、教育、農(nóng)業(yè)、城市管理緊密聯(lián)系在一起。5G移動網(wǎng)絡(luò)相較于現(xiàn)有的4G移動網(wǎng)絡(luò)，具有更多的應(yīng)用場景以及多樣化的應(yīng)用條件和極致的性能挑戰(zhàn)。所以，網(wǎng)絡(luò)安全顯得尤其重要。

1.1 uRLLC業(yè)務(wù)場景

uRLLC（低時延高可靠）主要用于物聯(lián)網(wǎng)及其垂直的行業(yè)如AR（增強現(xiàn)實）、VR（虛擬現(xiàn)實）、觸覺互聯(lián)網(wǎng)、智能交通、遠程工業(yè)制造、遠程教育、遠程手術(shù)等的特殊應(yīng)用上，為用戶提供了端到端的毫秒級的時延和接近100%的高可靠性業(yè)務(wù)保證。5G網(wǎng)絡(luò)要求時延必須極低：在工業(yè)自動化控制方面時延大約需要10ms;而在無人駕駛方面，則要求更嚴格，必須具備低至1ms的傳輸時延。為了實現(xiàn)即時互聯(lián)互通在一些重要的領(lǐng)域如遠程實時醫(yī)療、車聯(lián)網(wǎng)等應(yīng)用場景就需要5G網(wǎng)絡(luò)提供更加可靠的網(wǎng)絡(luò)架構(gòu)。為了避免在遠程醫(yī)療上出現(xiàn)手術(shù)操作錯誤及無人駕駛時出現(xiàn)車輛碰撞等問題，需要5G網(wǎng)絡(luò)能夠在保證可靠性的前提下提供低至1ms的低時延QoS保障。這就需要5G網(wǎng)絡(luò)提供低時延的安全算法和協(xié)議;5G網(wǎng)絡(luò)中采用了超密集部署技術(shù)，它的應(yīng)用使得單個接入節(jié)點的覆蓋范圍非常小，若車輛等其他的一些終端在快速移動狀態(tài)下，則網(wǎng)絡(luò)的移動性管理過程會非常之頻繁，故安全上移動性管理相關(guān)的功能單元和流程需要作出簡化和優(yōu)化，這樣才能保證達到低時延的目標。同時還要支持邊緣計算架構(gòu)、支持隱私和關(guān)鍵數(shù)據(jù)的保護。

1.2 eMBB業(yè)務(wù)場景

eMBB（增強移動寬帶）該業(yè)務(wù)場景主要滿足諸如超高清視頻、沉浸式游戲、全息視頻等移動互聯(lián)網(wǎng)的業(yè)務(wù)需求。它為用戶提供了無論該用戶是在靜止還是高速移動狀態(tài)，無論是身處熱點覆蓋中心還是覆蓋的邊緣，均能夠隨時隨處獲得100Mbps以上的無縫、高速、極致的通信體驗，且用戶的移動性和業(yè)務(wù)服務(wù)仍具有連續(xù)性。由于應(yīng)用了eMBB，5G移動網(wǎng)絡(luò)囊括了移動互聯(lián)網(wǎng)與物聯(lián)網(wǎng)兩大應(yīng)用模式，使得5G網(wǎng)絡(luò)具有支持更廣維度應(yīng)用體系的特點;且5G網(wǎng)絡(luò)相較傳統(tǒng)移動網(wǎng)絡(luò)在信息容量密度及網(wǎng)絡(luò)速率上均有了大幅的提升。正是由于這部分的差異，5G網(wǎng)絡(luò)會相應(yīng)的產(chǎn)生許多小站（Small Cell Femtocell）。這些小站將會在部署方式、部署條件以及功能等方面具有更加靈活多變的特點。隨著站點的密集程度不斷增加導(dǎo)致了其組網(wǎng)能力和組網(wǎng)節(jié)點安全隱患。

1.3 mMTC業(yè)務(wù)場景

mMTC（海量物聯(lián)網(wǎng)）是以智慧城市、智慧農(nóng)業(yè)、環(huán)境監(jiān)測、森林防火等需要傳感和數(shù)據(jù)采集為目標的應(yīng)用場景。它能夠支撐百萬級低功耗物聯(lián)網(wǎng)設(shè)備終端的連接服務(wù)。有數(shù)據(jù)顯示未來到2020年，大規(guī)模的物聯(lián)網(wǎng)終端設(shè)備將達到500億臺之多。顯然資源受限、拓撲動態(tài)變化、網(wǎng)絡(luò)環(huán)境復(fù)雜等特性的存在使得在5G網(wǎng)絡(luò)中，大量終端設(shè)備的安全可靠運行具有較大的威脅。未來大規(guī)模終端設(shè)備的數(shù)量及需要信息認證的安全問題的量都是前所未有，為了確保信息的精確性，就必須加強機器之間進行通信的安全機制建設(shè)。傳統(tǒng)的4G網(wǎng)絡(luò)沒有考慮到龐大的認證信令問題，對于5G網(wǎng)絡(luò)來說針對每條消息進行單獨的安全認證，則需要耗費大量的資源、精力和時間。所以未來的5G低功耗網(wǎng)絡(luò)，需要對安全機制進行輕量化處理從而適應(yīng)時延受限及功耗受限的物聯(lián)網(wǎng)設(shè)備的需求;同時為了解決海量物聯(lián)網(wǎng)設(shè)備認證時所帶來的信令風(fēng)暴問題需要通過群組認證機制來解決;最后為了解決設(shè)備安全能力不足被攻擊者利用，導(dǎo)致對網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)起攻擊的危險，需要加入抗DDOS攻擊機制。

2 5G網(wǎng)絡(luò)架構(gòu)安全性研究

5G移動通信網(wǎng)絡(luò)是一個全連接且全移動的端到端的生態(tài)通信系統(tǒng)，它實現(xiàn)了整個社會的互連互通。傳統(tǒng)4G網(wǎng)絡(luò)的承載網(wǎng)不能承載一些互聯(lián)網(wǎng)的業(yè)務(wù)和應(yīng)用，究其原因是因為4G網(wǎng)絡(luò)架構(gòu)把注意力放在了網(wǎng)絡(luò)的底層傳送能力上，忽略了網(wǎng)絡(luò)向上層應(yīng)用和業(yè)務(wù)開放的能力。最終導(dǎo)致網(wǎng)絡(luò)缺少流程化的能力開放接口、業(yè)務(wù)很難靈活調(diào)用網(wǎng)絡(luò)的能力，故需要采用一系列的優(yōu)化設(shè)計如使用應(yīng)用層專用協(xié)議進行糾錯、流量均衡、應(yīng)用加速等來彌補網(wǎng)絡(luò)架構(gòu)的不足。5G是一個全新設(shè)計的網(wǎng)絡(luò)，是從硬件到軟化、集中化智能和分布化處理、全IP化、IT化的徹底軟化的網(wǎng)絡(luò)。為垂直行業(yè)提供敏捷靈活的組網(wǎng)模式，但是這種全新的網(wǎng)絡(luò)構(gòu)架在安全性上也迎來了新的挑戰(zhàn)。

2.1 基于SDN/NFV的5G網(wǎng)絡(luò)化架構(gòu)及其安全性研究

5G網(wǎng)絡(luò)結(jié)構(gòu)以SDN（Soft Defined Network，軟件定義網(wǎng)絡(luò)）和NFV（Network Function Virtualization，網(wǎng)絡(luò)功能虛擬化）為關(guān)鍵技術(shù)。基于SDN、NFV技術(shù)的新型5G網(wǎng)絡(luò)架構(gòu)具有網(wǎng)絡(luò)控制與轉(zhuǎn)發(fā)及網(wǎng)絡(luò)軟硬件雙解耦的特征，能夠很好地實現(xiàn)數(shù)據(jù)與控制的分離以及安全資源虛擬化。正是運用了SDN、NFV技術(shù)使得5G網(wǎng)絡(luò)在組網(wǎng)的靈活性、效率及成本上具有得天獨厚的優(yōu)勢，是一次革命性、全局性的架構(gòu)重構(gòu)，故SDN及NFV成為當下最熱門的5G核心技術(shù)之一。

2.1.1 SDN網(wǎng)絡(luò)部署及其安全性需求

SDN把網(wǎng)絡(luò)設(shè)備分離為單獨的控制設(shè)備和轉(zhuǎn)發(fā)設(shè)備。它通過沒有中心的控制點和補丁式為網(wǎng)絡(luò)中的新業(yè)務(wù)進行新老技術(shù)協(xié)議兼容拓展。這是與以往傳統(tǒng)網(wǎng)絡(luò)相比最大的不同。控制與轉(zhuǎn)發(fā)間遵循標準的Openflow 協(xié)議，從而實現(xiàn)了控制層與轉(zhuǎn)發(fā)層分離。網(wǎng)絡(luò)管理者通過在接口上開發(fā)應(yīng)用軟件，實現(xiàn)編程靈活化;數(shù)據(jù)平面的網(wǎng)元也可通過流量監(jiān)控進行動態(tài)調(diào)整。以上兩項技術(shù)的使用使移動網(wǎng)絡(luò)具有更加靈活的組成，從而提高了到消費者手機終端的下行傳輸速率。SDN技術(shù)的使用固然在更好的利用資源配置的基礎(chǔ)上提高了網(wǎng)絡(luò)的數(shù)據(jù)傳輸效率，但同時一些安全方面的需求也是必須要考慮的：如何將控制網(wǎng)元和轉(zhuǎn)發(fā)節(jié)點進行安全隔離以及它們的管理問題;SDN技術(shù)流表的正確執(zhí)行及安全部署。具體需求如下：第一，計算機應(yīng)用程序需要認證控制器身份和通信機制來保證通信私密性，同時計算機程序要加強安全系數(shù)，提升應(yīng)對惡意攻擊能力;第二，控制設(shè)備需具備限制速度、防護及檢測沖突能力;第三，位于南北向的接口設(shè)備需要雙向驗證保證通信內(nèi)容完整，減少重復(fù)。

2.1.2 NFV網(wǎng)絡(luò)部署及其安全性需求

NFV就是所謂的網(wǎng)絡(luò)功能虛擬化，利用軟硬件功能抽象及解耦，以虛擬化技術(shù)達到降低設(shè)備成本的目的;運營商可通過NFV技術(shù)根據(jù)業(yè)務(wù)需求進行彈性伸縮、自動部署、故障隔離等處理，將云計算虛擬化技術(shù)與承載各種網(wǎng)絡(luò)功能的通用硬件相結(jié)合;實現(xiàn)網(wǎng)元虛擬化和虛擬網(wǎng)絡(luò)可編程的目標，最終達到簡化網(wǎng)絡(luò)升級程序及降低新專用網(wǎng)絡(luò)硬件成本的目的。NFV的出現(xiàn)創(chuàng)建了一種全新的網(wǎng)絡(luò)服務(wù)即更快方式設(shè)計、分發(fā)和運行。但是NFV的虛擬化特點也為5G網(wǎng)絡(luò)的安全性帶來了極大的挑戰(zhàn)：一旦虛擬化，若管理層被非法入侵、攻克、控制，虛擬機會面臨失控的境地;網(wǎng)絡(luò)安全防線需全面評估，那是由于面對虛擬化的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)安全機制的適用性將大大降低;多方信息的流通，降低了用戶對資源的控制，黑客特別容易對其進行攻擊。它的安全性需求在于：提升NFV軟件的安全管理能力，把控軟件的訪問權(quán)限、保護私密數(shù)據(jù);同時還必須進行通信雙方認證和安全區(qū)域識別等安全通信及組網(wǎng)安全性的需求。

2.2 基于網(wǎng)絡(luò)切片技術(shù)的網(wǎng)絡(luò)化架構(gòu)及其安全性研究

將某個物理網(wǎng)絡(luò)分割成無數(shù)個虛擬終端的過程叫做網(wǎng)絡(luò)切片技術(shù)。運營商打造的這些個端到端的虛擬子網(wǎng)絡(luò)是為了滿足不同的商業(yè)應(yīng)用場景需求。這些虛擬終端內(nèi)的接入設(shè)備、傳輸設(shè)備和中心網(wǎng)絡(luò)在邏輯上相互獨立，若某一個虛擬終端發(fā)生問題，其他虛擬終端仍然可以正常工作。5G網(wǎng)絡(luò)是面向萬物互聯(lián)的網(wǎng)絡(luò)，它需要應(yīng)對不同的應(yīng)用場景。故水平化的5G網(wǎng)絡(luò)架構(gòu)必須具備能為不同場景切出相應(yīng)的虛擬子網(wǎng)絡(luò)的功能。而這些眾多的虛擬子網(wǎng)絡(luò)的網(wǎng)絡(luò)切片安全性也是需要我們重點考慮的。為了有效防止本切片內(nèi)的資源被其他網(wǎng)絡(luò)節(jié)點非法入侵必須提升網(wǎng)絡(luò)切片的安全性;為了讓用戶放心的將私有網(wǎng)絡(luò)中的數(shù)據(jù)放到云端之中，且不必對自己文件的安全問題而過分擔(dān)憂也必然要求對于網(wǎng)絡(luò)服務(wù)、資源以及數(shù)據(jù)的隔離進行更高級別的保護。要讓用戶感受到像傳統(tǒng)私網(wǎng)一樣的安全。

隨著科學(xué)技術(shù)的快速發(fā)展，5G網(wǎng)絡(luò)通信技術(shù)將成為未來幾年內(nèi)十分關(guān)鍵的技術(shù)，它不僅與我們的生活息息相關(guān)也與經(jīng)濟增長有密切聯(lián)系。故在進行5G 網(wǎng)絡(luò)結(jié)構(gòu)建設(shè)時，需要對5G 網(wǎng)絡(luò)的安全性進行充分考慮，這樣才能夠促進5G 網(wǎng)絡(luò)安全的快速提升，使5G 網(wǎng)絡(luò)能夠為中國民生與經(jīng)濟的發(fā)展做出更大貢獻。

參考文獻：

[1]鄭永飛，陳伊翔，戴立群，等.發(fā)展板塊構(gòu)造理論：從洋殼俯沖帶到碰撞造山帶[J].中國科學(xué)，2015，45（6）：711-735.