■福建 林嘉濤 李玉 陳海萍

為了實(shí)現(xiàn)真正的“萬物互聯(lián)”，第五代（5G）移動(dòng)通信系統(tǒng)將被用于人與人之間，人與機(jī)器之間以及機(jī)器與機(jī)器之間的新一代移動(dòng)通信技術(shù)。5G的移動(dòng)網(wǎng)絡(luò)業(yè)務(wù)主要包括eMBB（增強(qiáng)移動(dòng)寬帶）、uRLLC（低時(shí)延高可靠）、mMTC（海量物聯(lián)網(wǎng)）三大典型場景。目前，5G安全標(biāo)準(zhǔn)化尚未完全完成，5G網(wǎng)絡(luò)需要一個(gè)統(tǒng)一、靈活、可伸縮的安全架構(gòu)，滿足不同應(yīng)用的不同級別的需求物聯(lián)網(wǎng)安全防護(hù)與互聯(lián)網(wǎng)安全相比更加復(fù)雜，解決方案涉及多個(gè)層面的問題。

5 G安全要求分析

1.新業(yè)務(wù)的安全要求

5G需要根據(jù)eMBB、mMTC和uRLLC三種應(yīng)用場景的不同安全要求使用保護(hù)機(jī)制，其中eMBB專注于對帶寬和用戶體驗(yàn)要求較高的業(yè)務(wù)，如高清視頻、虛擬現(xiàn)實(shí)和增強(qiáng)現(xiàn)實(shí)，而每一個(gè)業(yè)務(wù)都有不同的安全防護(hù)強(qiáng)度要求。

mMTC側(cè)重于高密度的場景，如智能交通、水文監(jiān)測、智能電表等，都具有能耗極限特性，拓?fù)鋭?dòng)態(tài)變化以數(shù)據(jù)為中心，需要輕量級的安全算法和有效的安全協(xié)議。

而uRLLC專注于低延遲和高安全性的通信服務(wù)，例如實(shí)時(shí)醫(yī)療服務(wù)、車輛聯(lián)網(wǎng)和自動(dòng)工業(yè)控制，它們需要確保高級別的安全措施而又不增加額外的通信延遲、身份驗(yàn)證、數(shù)據(jù)加密和解密或安全上下文傳輸?shù)母拍睢?/p>

總之，5G的使用涉及到大量的接入節(jié)點(diǎn)、低延遲、高可靠性。此外，計(jì)算資源、規(guī)模和功耗都是有限的，對5G安全性提出了嚴(yán)峻挑戰(zhàn)，但對5G內(nèi)生安全機(jī)制的研究正朝著一個(gè)有前景的方向發(fā)展。

2.新網(wǎng)絡(luò)體系結(jié)構(gòu)的安全要求

傳統(tǒng)的移動(dòng)網(wǎng)絡(luò)安全主要依賴于通信設(shè)備和通信網(wǎng)絡(luò)之間建立的信任關(guān)系。傳統(tǒng)關(guān)于通信網(wǎng)絡(luò)的信任關(guān)系是建立在封閉的運(yùn)行網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上的，隨著移動(dòng)互聯(lián)網(wǎng)的蓬勃發(fā)展，網(wǎng)絡(luò)的整合和開放是必然趨勢。傳統(tǒng)的信任關(guān)系很難維持，現(xiàn)在已發(fā)現(xiàn)了許多嚴(yán)重且影響廣泛的漏洞。

5G的特點(diǎn)，包括通用硬件平臺、開源軟件平臺、軟件平臺、網(wǎng)絡(luò)功能虛擬化、資源的統(tǒng)一編排和管理等，都會(huì)造成越來越多以前看不見的安全威脅，傳統(tǒng)的基于先驗(yàn)知識的保護(hù)模式已不適用。

因此，有必要充分利用5G網(wǎng)絡(luò)體系結(jié)構(gòu)的軟硬件解耦、虛擬化、動(dòng)態(tài)化等優(yōu)勢，挖掘其內(nèi)在的安全屬性，開發(fā)其內(nèi)在的安全關(guān)鍵技術(shù)，構(gòu)建一個(gè)基于不可信的網(wǎng)絡(luò)組件的高可靠、安全的5G網(wǎng)絡(luò)。

3.新型空中接口技術(shù)的安全要求

2G和3G的加密技術(shù)和4G空中無線廣播信號的安全，都是在上層實(shí)現(xiàn)的，而忽略了接口，接口對無線通信安全造成嚴(yán)重威脅。

而5G網(wǎng)絡(luò)將擁有更寬的帶寬、更密集的用戶數(shù)、更低的延遲和更可靠的傳輸。為了確保關(guān)鍵性能指標(biāo)（KPI）要求以正確的數(shù)量級增長，有必要設(shè)計(jì)一種安全機(jī)制，不影響網(wǎng)絡(luò)性能，不依賴于計(jì)算復(fù)雜度，且對負(fù)載調(diào)節(jié)靈活，適用于不同的應(yīng)用場合。

因此，迫切需要開發(fā)能夠快速確定和抵抗攻擊者在典型5G場景中從未知位置發(fā)起的主動(dòng)攻擊的防御方法。

4.對用戶隱私的安全要求

除了與傳統(tǒng)網(wǎng)絡(luò)（用戶信息）位置、軌跡、通信內(nèi)容、通信行為、通信關(guān)系和帳號相關(guān)的所有用戶隱私數(shù)據(jù)外，5G還承載更多隱私數(shù)據(jù)。例如與不同行業(yè)（健康）相關(guān)的個(gè)人數(shù)據(jù)信息、服務(wù)類型和服務(wù)內(nèi)容）和行業(yè)用戶的隱私數(shù)據(jù)（如機(jī)械和生產(chǎn)控制）。這些數(shù)據(jù)往往具有更高的敏感度，這對保護(hù)用戶隱私提出了新的挑戰(zhàn)。

作為一個(gè)復(fù)雜的生態(tài)系統(tǒng)，5G網(wǎng)絡(luò)將被包括基礎(chǔ)設(shè)施提供商、移動(dòng)通信網(wǎng)絡(luò)運(yùn)營商和虛擬運(yùn)營商在內(nèi)的許多類型的參與者使用。多接入技術(shù)、多層網(wǎng)絡(luò)、多個(gè)設(shè)備和參與者之間的交互可能導(dǎo)致用戶隱私數(shù)據(jù)分散在網(wǎng)絡(luò)的每個(gè)角落。

對于隱私數(shù)據(jù)的傳播，數(shù)據(jù)挖掘技術(shù)將使第三方能夠分析更多的用戶隱私信息。并且，盡管5G網(wǎng)絡(luò)中的虛擬化技術(shù)帶來了靈活性，但它將使網(wǎng)絡(luò)安全邊界變得模糊，用戶隱私數(shù)據(jù)將更容易受到攻擊，特別是對于多租戶共享計(jì)算資源。與傳統(tǒng)網(wǎng)絡(luò)相比，5G中的隱私泄露影響更大。

因此，5G網(wǎng)絡(luò)需要加強(qiáng)對用戶隱私的保護(hù)，以保護(hù)用戶在存儲、傳輸和訪問過程中的敏感信息不被泄露。

5 G通信網(wǎng)絡(luò)安全應(yīng)對策略

1.認(rèn)證框架統(tǒng)一化

假使要有效處理好設(shè)備接入網(wǎng)和異構(gòu)網(wǎng)接入之間存在的問題，3GPP在R15文檔已擬定可擴(kuò)展的認(rèn)證協(xié)議框架，并將其用于5G網(wǎng)絡(luò)通用認(rèn)證結(jié)構(gòu)備選方案的詳細(xì)描述，該結(jié)構(gòu)適合使用在任何通過任意3GPP界定范圍內(nèi)的接入技術(shù)以及非3GPP 界定的接入技術(shù)展開接入網(wǎng)認(rèn)證。

EAP認(rèn)證框架以RFC3748界定，是支持各種認(rèn)證方式的三方認(rèn)證框架，該認(rèn)證是只要求消息的封裝格式和詳細(xì)的安全目標(biāo)為依托采用的認(rèn)證方式。

而現(xiàn)如今，可擴(kuò)展認(rèn)證協(xié)議框架支持EAP-OTP、EAPTLS等認(rèn)證方式，同時(shí)涵蓋部分廠商提供方式和相關(guān)意見。在5G網(wǎng)絡(luò)之中，詳細(xì)的可擴(kuò)展認(rèn)證協(xié)議主要運(yùn)行在UE、AUSF與SEAF三者之間。

2.物聯(lián)網(wǎng)的輕量級安全機(jī)制

物聯(lián)網(wǎng)（loT）是5G網(wǎng)絡(luò)中的關(guān)鍵應(yīng)用場景，安全性將是關(guān)鍵挑戰(zhàn)。物聯(lián)網(wǎng)節(jié)點(diǎn)通常具有硬件和信號處理能力有限、存儲空間有限和嚴(yán)格的功耗限制等特點(diǎn)。因此，物聯(lián)網(wǎng)節(jié)點(diǎn)首選輕量級安全通信機(jī)制，而輕量級的安全機(jī)制需基于這些特點(diǎn)設(shè)計(jì)。

從傳統(tǒng)密碼學(xué)的角度來看，可以從存儲硬件資源、計(jì)算復(fù)雜度等方面優(yōu)化現(xiàn)有加密算法的結(jié)構(gòu)，或者設(shè)計(jì)一種新的基于分組、序列和散列的輕量級密碼算法。因此，可以在不降低安全性能的情況下降低資源和電源成本。

此外，還可以利用無線信道的內(nèi)生安全特性來引入無法測量、重構(gòu)或復(fù)制的新安全元素。通過安全與通信的一體化設(shè)計(jì)，可以在不降低通信效率情況下實(shí)現(xiàn)輕量級安全，特別是在大訪問、小數(shù)據(jù)傳輸和低延遲的情況下。

3.網(wǎng)絡(luò)切片安全隔離策略

網(wǎng)絡(luò)切片是一種滿足不同垂直市場異構(gòu)需求的解決方案。在不同的應(yīng)用程序環(huán)境中處理不同的縱向業(yè)務(wù)，從寬帶服務(wù)到關(guān)鍵應(yīng)用程序（如工業(yè)網(wǎng)絡(luò)），需要為每個(gè)要交付的場景/流量定制設(shè)計(jì)解決方案。網(wǎng)絡(luò)片是依賴于單個(gè)物理網(wǎng)絡(luò)的邏輯網(wǎng)絡(luò)，每個(gè)網(wǎng)絡(luò)片由各種網(wǎng)絡(luò)功能組成，以提供特定的功能并滿足特定的使用類型。

網(wǎng)絡(luò)切片有助于引入靈活性，由于只有一個(gè)核心網(wǎng)絡(luò)具有一組處理網(wǎng)絡(luò)所提供的所有服務(wù)的功能，5G網(wǎng)絡(luò)將是靈活的，因?yàn)槊總€(gè)服務(wù)都有一個(gè)不同的專用核心網(wǎng)絡(luò)切片，從而保證了QoS的實(shí)現(xiàn)。

因此，網(wǎng)絡(luò)切片可為用戶提供更加安全、周到的服務(wù)，安全存儲用戶的重要信息到云端，方便廣大用戶實(shí)時(shí)進(jìn)行相關(guān)資源的訪問，避免出現(xiàn)嚴(yán)重的資源泄露的安全問題，有利于單位相關(guān)業(yè)務(wù)的有序開展，達(dá)到既定的管理目標(biāo)。

4.用戶隱私

5G隱私保護(hù)機(jī)制和關(guān)鍵技術(shù)的研究主要集中在兩個(gè)方面：一是隱私數(shù)據(jù)在提供、交互和使用過程中的防泄漏問題；二是防篡改、防破壞和防盜問題與存儲、傳輸和使用過程中的隱私數(shù)據(jù)防護(hù)問題。

5G網(wǎng)絡(luò)對不同的用戶、網(wǎng)絡(luò)元素、應(yīng)用和服務(wù)場景都有不同的隱私保護(hù)要求。因此，這要求5G網(wǎng)絡(luò)提供不同的隱私保護(hù)能力，并利用不同的技術(shù)措施防止用戶數(shù)據(jù)泄露。

結(jié)語

未來的5G安全性要求更高，并且將基于更多樣化的應(yīng)用場景，提供高性能、高可靠性和高可用性的多種接入方法，以及分層的網(wǎng)絡(luò)服務(wù)和新的網(wǎng)絡(luò)架構(gòu)。

現(xiàn)階段，5G處在發(fā)展時(shí)期，系統(tǒng)結(jié)構(gòu)與關(guān)鍵技術(shù)沒有完全明確，5G網(wǎng)絡(luò)安全問題還有著各種不確定性。因此，5G網(wǎng)絡(luò)需要一個(gè)統(tǒng)一、靈活、可伸縮的安全架構(gòu)來滿足不同應(yīng)用的不同安全級別的需求。在5G網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與業(yè)務(wù)程序等方面，把5G網(wǎng)絡(luò)安全作為探索的核心目標(biāo)，有利于掌握5G網(wǎng)絡(luò)系統(tǒng)安全要求，以防止后續(xù)對系統(tǒng)與方案的調(diào)節(jié)，建立安全可靠的5G網(wǎng)絡(luò)。