蘇焯根

（中國移動通信集團廣東有限公司潮州分公司，廣東 潮州 521000）

0 引 言

第五代移動通信技術(shù)（5th Generation Mobile Communication Technology，5G）因其速度快、延遲低、連接密度大等特點，催生出大量新型應用場景，如智能城市、自動駕駛、工業(yè)物聯(lián)網(wǎng)等。這些應用涉及傳輸大量敏感數(shù)據(jù)，增加了被黑客攻擊的風險。攻擊者可能會利用新手段竊取、篡改及破壞數(shù)據(jù)，對個人隱私、商業(yè)機密以及國家安全造成威脅。另外，5G 網(wǎng)絡將連接大量物聯(lián)網(wǎng)設備，但這些設備的安全性能較低，容易成為網(wǎng)絡攻擊的對象。攻擊者可通過入侵這些設備滲透到整個網(wǎng)絡，向關(guān)鍵基礎(chǔ)設施和服務發(fā)起攻擊。因此，如何通過技術(shù)手段保障5G 網(wǎng)絡安全成為信息通信行業(yè)從業(yè)者需要解決的難題。

1 5G 在網(wǎng)絡安全中的作用

1.1 加密和認證技術(shù)的改善

使用5G 有利于引入更高級別的加密算法，以保障數(shù)據(jù)傳輸過程中的保密性，降低數(shù)據(jù)被非法獲取的風險[1]。此外，5G 網(wǎng)絡支持更安全的身份認證機制，通過運用新型認證協(xié)議與技術(shù)，降低身份偽裝和欺騙攻擊發(fā)生的概率。

1.2 網(wǎng)絡切片的應用

在5G網(wǎng)絡中，網(wǎng)絡切片可以針對不同的垂直行業(yè)、不同的應用場景提供定制化的網(wǎng)絡服務，以提升網(wǎng)絡安全。網(wǎng)絡切片指將網(wǎng)絡劃分為多個獨立的虛擬網(wǎng)絡，實現(xiàn)不同服務、不同應用之間的隔離。每個網(wǎng)絡切片具有獨立的安全策略、服務質(zhì)量保障以及資源分配標準，可以針對不同應用場景和不同應用需求進行靈活配置。例如，針對智能工廠、智能交通、遠程醫(yī)療等垂直行業(yè)，可以通過創(chuàng)建專門的網(wǎng)絡切片，滿足它們特定的通信需求與安全要求。該技術(shù)有效解決了傳統(tǒng)網(wǎng)絡架構(gòu)中不同服務、不同應用之間相互干擾、安全防護難以統(tǒng)一的問題。另外，5G 網(wǎng)絡的高速、低時延特性為網(wǎng)絡切片提供了更廣闊的應用場景。例如，面對如虛擬現(xiàn)實等對延遲較為敏感的應用場景，5G網(wǎng)絡能夠提高相關(guān)數(shù)據(jù)的傳輸效率與傳輸穩(wěn)定性。

1.3 邊緣計算的應用

5G 通過將計算下沉到靠近用戶和數(shù)據(jù)源的網(wǎng)絡邊緣，降低對中央數(shù)據(jù)中心的依賴，減少敏感數(shù)據(jù)在網(wǎng)絡傳輸過程中暴露的風險，從而縮小攻擊面。5G將計算任務遷移至網(wǎng)絡邊緣有助于降低延遲，實現(xiàn)更迅速的檢測，以便有效應對潛在威脅。

1.4 物聯(lián)網(wǎng)設備的安全性提升

利用5G 網(wǎng)絡有利于提升物聯(lián)網(wǎng)設備的安全性。通過執(zhí)行更嚴格的認證程序，5G 網(wǎng)絡可確保物聯(lián)網(wǎng)設備在網(wǎng)絡環(huán)境中不成為潛在攻擊對象。此外，5G支持安全更新設備固件，能夠及時修復已知漏洞，從而更好地應對不斷演變的安全挑戰(zhàn)。

2 5G 網(wǎng)絡面臨的安全威脅

2.1 5G 網(wǎng)絡與物聯(lián)網(wǎng)集成的安全問題

5G 網(wǎng)絡與物聯(lián)網(wǎng)在集成時面臨的安全威脅包括設備認證、數(shù)據(jù)隱私、網(wǎng)絡攻擊、固件漏洞以及物理安全等。在設備認證方面，5G 網(wǎng)絡與物聯(lián)網(wǎng)集成中的常見問題包括使用弱密碼、默認憑證以及偽裝設備身份等，容易導致未經(jīng)授權(quán)的設備入侵，危及整個網(wǎng)絡的安全[2]。在數(shù)據(jù)隱私方面，5G 網(wǎng)絡與物聯(lián)網(wǎng)集成時存在數(shù)據(jù)加密不足和數(shù)據(jù)泄露的風險，容易導致敏感信息因未經(jīng)適當加密而被竊取或篡改。在網(wǎng)絡攻擊方面，黑客可通過攻擊物聯(lián)網(wǎng)設備，構(gòu)建分布式拒絕服務攻擊（Distributed Denial of Service，DDoS）或?qū)嵤┲虚g人攻擊，使5G 網(wǎng)絡服務不可用或數(shù)據(jù)傳輸時受損。在固件漏洞方面，5G 網(wǎng)絡與物聯(lián)網(wǎng)集成時的問題主要體現(xiàn)在漏洞未及時修補和固件更新管理不足兩個方面，容易為攻擊者提供入侵窗口。

2.2 用戶隱私與數(shù)據(jù)保護的挑戰(zhàn)

在實際應用5G 網(wǎng)絡的過程中，如何保護用戶隱私與數(shù)據(jù)安全成為相關(guān)從業(yè)人員面臨的巨大挑戰(zhàn)。一方面，5G 網(wǎng)絡的高帶寬和低延遲特性使大規(guī)模采集與傳輸數(shù)據(jù)變得更加便捷，但也增加了用戶隱私被侵犯的風險。另一方面，5G 網(wǎng)絡如數(shù)據(jù)加密、訪問控制等保護措施尚未完善，容易導致用戶隱私泄露。

2.3 網(wǎng)絡切片技術(shù)中的安全隱患

由于所有網(wǎng)絡切片在同一物理網(wǎng)絡基礎(chǔ)設施上運行，隔離效果完全依賴虛擬化技術(shù)和配置，導致任意虛擬化漏洞或配置問題都可能導致隔離失敗。盡管網(wǎng)絡切片的目的在于隔離不同服務和不同資源，但是如果隔離措施不充分，切片面臨的惡意流量或攻擊可能會影響其他網(wǎng)絡切片所占有的服務和資源。此外，不同行業(yè)、不同應用對各自使用的網(wǎng)絡切片有不同的安全需求，無法設計一套通用的安全策略來滿足所有的切片。網(wǎng)絡切片的多樣性要求安全策略能夠根據(jù)每個切片的具體需求進行定制，增加了安全策略設計和實施的復雜度。

3 5G 網(wǎng)絡安全技術(shù)與措施

3.1 核心網(wǎng)安全加固

建設5G 網(wǎng)絡時，核心網(wǎng)作為關(guān)鍵組件，承擔著關(guān)鍵數(shù)據(jù)傳輸、用戶身份驗證及網(wǎng)絡管理的任務。但是，隨著5G 網(wǎng)絡的廣泛應用和數(shù)據(jù)量的持續(xù)增長，核心網(wǎng)面臨的安全風險日益嚴峻，急需實施針對核心網(wǎng)安全的強化措施[3]。

3.1.1 身份認證與訪問控制

在強化5G 網(wǎng)絡核心網(wǎng)安全的過程中，研究人員采用安全套接層（Secure Socket Layer，SSL）模塊，建立基于數(shù)字證書的傳輸層安全協(xié)議（Transport Layer Security，TLS）?；赑ython 編程平臺，研究人員導入套接字和SSL 模塊，并定義服務器端的端口號和證書文件路徑。將創(chuàng)建的一個傳輸控制協(xié)議（Transmission Control Protocol，TCP）套接字對象綁定到指定的本地主機和端口，可以監(jiān)聽來自客戶端的連接請求，以便系統(tǒng)及時響應并建立與客戶端之間的通信。在此過程中，研究人員會創(chuàng)建一個SSL 上下文對象、加載服務器的證書和私鑰以及使用SSL 上下文對象包裝客戶端套接字，以確保通信安全。在與客戶端建立安全的連接后，系統(tǒng)會向客戶端發(fā)送歡迎消息，并等待接收客戶端發(fā)送的數(shù)據(jù)。研究人員通過此類嚴格的訪問控制策略，基于用戶身份和權(quán)限進行驗證，可防止未經(jīng)授權(quán)的設備或用戶進入核心網(wǎng)絡，從而提升5G 網(wǎng)絡的安全性。

3.1.2 安全協(xié)議與通信保護

在核心網(wǎng)安全加固的過程中，運用先進的安全協(xié)議與通信機制加密和保護核心網(wǎng)通信，如互聯(lián)網(wǎng)安全協(xié)議（Internet Protocol Security，IPSec）。IPSec 支持加密和驗證2 種安全機制。一方面，IPSec 采用對稱加密算法對數(shù)據(jù)進行加密和解密，如數(shù)據(jù)加密標準（Data Encryption Standard，DES）、高級加密標準（Advanced Encryption Standard，AES）等。另一方面，IPSec 使用完整性校驗算法驗證數(shù)據(jù)，以檢測數(shù)據(jù)是否在傳輸過程中被篡改或損壞。IPSec 具體的構(gòu)建流程可分為6 步。第一，隧道建立。通過密鑰交換與協(xié)商，確定用于加密和認證的密鑰材料，以確保通信雙方建立安全隧道。第二，封裝與加密。建立安全隧道后，通信雙方將要傳輸?shù)臄?shù)據(jù)進行封裝和加密。在發(fā)送端，數(shù)據(jù)被封裝為IPSec 封裝包，并使用協(xié)商好的密鑰進行加密。第三，傳輸。加密后的數(shù)據(jù)通過網(wǎng)絡傳輸?shù)侥康牡亍５谒?，解密與解封裝。接收端收到數(shù)據(jù)后，使用相同的密鑰進行解密和解封裝，將數(shù)據(jù)還原為原始數(shù)據(jù)包。第五，驗證數(shù)據(jù)完整性。接收端對解密后的數(shù)據(jù)進行完整性驗證，以確保數(shù)據(jù)在傳輸過程中未被篡改。第六，數(shù)據(jù)傳遞。將解密后的數(shù)據(jù)交付給目標應用程序或做進一步處理。先進的安全協(xié)議通過執(zhí)行端點鑒別、數(shù)據(jù)完整性驗證以及通信加密等安全策略，能夠確保核心網(wǎng)與外部網(wǎng)絡之間的通信安全可靠，有效抵御潛在的攻擊風險。

3.2 加密技術(shù)

在5G 的實際應用中，為防范非法訪問、竊聽以及篡改等風險，研究人員采取一系列措施對數(shù)據(jù)進行加密。例如，在用戶設備與基站的通信過程中引入一種端到端的加密模式——AES，以確保通信數(shù)據(jù)在傳輸過程中的安全性。AES 算法使用固定大小的分組（128 位）和靈活的密鑰長度（128 位、192 位或256 位），通過多輪替代-置換操作加密數(shù)據(jù)。這種加密方式使數(shù)據(jù)在傳輸過程中難以被竊取或篡改，為5G 網(wǎng)絡提供了強大的安全保障。在運行AES 算法時，研究人員會將初始密鑰擴展為各輪次所需的輪密鑰，以確保每輪次的加密操作都使用不同的密鑰，從而改善加密效果。與其他加密算法相比，AES 算法具有高度的擴散性和混淆性。經(jīng)過多輪次的替代-置換操作，研究人員能成功地掩蓋原始數(shù)據(jù)信息，從而實現(xiàn)高效加密。

3.3 邊緣計算安全管理

邊緣計算作為一種新型的計算模式，將計算和存儲資源推向網(wǎng)絡邊緣，為用戶提供更快速、更低延遲的服務。然而，在實際使用的過程中，邊緣計算也帶來了一系列安全挑戰(zhàn)。針對這些挑戰(zhàn)，研究人員采取相關(guān)的安全措施對邊緣設備進行安全管理，以修補已知的安全漏洞，從而保護數(shù)據(jù)和系統(tǒng)的安全[4]。此外，研究人員設計了有效的安全防護策略，如防火墻、入侵檢測系統(tǒng)（Intrusion Detection System，IDS）、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）、安全配置管理以及漏洞管理流程，以保護邊緣設備免受各類網(wǎng)絡攻擊。邊緣計算安全措施如表1 所示。

表1 邊緣計算安全措施

3.4 隱私保護

在信息交互日益頻繁的背景下，如何保護用戶的個人隱私已經(jīng)成為社會關(guān)注的熱點問題。為應對這一挑戰(zhàn)，5G 網(wǎng)絡采用了一系列技術(shù)措施。第一，匿名識別技術(shù)。為深入保障用戶隱私，5G 網(wǎng)絡引入匿名標識符等手段以掩蓋用戶的真實身份信息。使用匿名身份有益于在用戶與服務提供商之間構(gòu)筑一道安全的通信紐帶，抵御潛在的用戶身份泄露隱患[5]。第二，位置隱私保護技術(shù)。為降低用戶位置信息泄露的風險，5G 網(wǎng)絡運用了位置模糊技術(shù)，如地理位置擾動技巧。通過向用戶位置數(shù)據(jù)混入噪聲，5G 網(wǎng)絡可以實現(xiàn)用戶具體位置模糊化，從而提升位置隱私的安全級別。第三，強化安全認證機制。5G 網(wǎng)絡引入了多因素認證（Multi-factor Authentication，MFA）等強化后的安全認證方式，確保僅授權(quán)用戶能訪問敏感資源，降低了普通用戶遭受非法訪問的風險，同時加強了系統(tǒng)訪問的控制能力。

4 結(jié) 論

5G 的迅猛發(fā)展給人類社會帶來了前所未有的便利，但伴隨而來的是日益復雜和嚴峻的網(wǎng)絡安全挑戰(zhàn)。在面對這些挑戰(zhàn)時，相關(guān)研究人員深入分析5G 網(wǎng)絡面臨的安全風險，采取針對性措施，以確保網(wǎng)絡穩(wěn)定、可靠、安全運行。增強核心網(wǎng)安全、運用加密技術(shù)、執(zhí)行邊緣計算安全管理以及加強隱私保護等方式，能夠有效提升5G 網(wǎng)絡的安全性，保護用戶隱私，維護通信數(shù)據(jù)的機密性與完整性。