压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：本文從新的應用場景和新的網絡架構兩方面分析5G面臨的安全挑戰及其安全需求，介紹目前5G安全研究主要進展，包括安全參考模型、基于SBA的安全架構以及接入認證、網絡安全、安全管理、隱私保護等主要安全防護機制，簡述5G安全相關標準化組織及標準推進情況，最后從終端安全、安全行業專網和安全服務等方面介紹5G應用中的安全考慮。

曾浩洋 ? ?中國電子科技集團公司首席科學家

一、5G面臨的安全需求與挑戰。???

1.5G有新的應用場景，要增加移動寬帶，低功耗大連接、低時延高可靠三大應用場景。

因此，5G不僅僅是速率變得更高，時延變得更低，它將滲透到萬物互聯的各個領域，與工業控制、智慧交通等緊密結合在一起。所以，安全就變得尤其重要。在這幾大應用場景中，對增強移動寬帶來說，它的安全挑戰需要更高的安全處理性能，這時候用戶體驗速率已經達到1G；二是它需要支持外部網絡二次認證，能更好地與業務結合在一塊兒；三是需要解決目前發現的已知漏洞的問題。對低功耗網絡來說，我們需要輕量化的安全機制，以適應功耗受限、時延受限的物聯網設備的需要；需要通過群組認證機制，解決海量物聯網設備認證時所帶來的信令風暴的問題，需要抗DDOS攻擊機制，應對由于設備安全能力不足被攻擊者利用，而對網絡基礎設施發起攻擊的危險。對于低時延高可靠來說，需要提供低時延的安全算法和協議，要簡化和優化原有安全上下文的交換、密鑰管理等流程，支持邊緣計算架構，支持隱私和關鍵數據的保護。

2.新網絡架構的挑戰。

為了更好地支持5G應用場景，現在5G提出了以IT為中心的網絡架構，會引入多無線接入，SDN、云計算、NFV等技術。比如無線Wi-Fi接入統一認證，在多接入環境下提供安全的運營網絡。SDN和NFV這樣的技術引入，可以構建這樣的邏輯隔離的安全切片，用來支持不同應用場景差異化的需求。但這些技術個引入也對安全造成帶來了巨大的挑戰，由于它使網絡邊界變得十分模糊，以前依賴物理邊界防護的安全機制難以得到應用。所以，安全機制要適應虛擬化、云化的需要。

但這個引入也對安全造成了巨大的挑戰，由于它使網絡邊界變得十分模糊，以前依賴物理邊界防護的安全機制難以得到應用。所以，安全機制要適應虛擬化、云化的需要。

這是5G新的網絡架構，這個圖是中國移動牽頭的5G架構的SDASBA標準，5G把原來4G的物理網元源進行了重新的分解和組合，通過服務和服務編排的方式來提高網絡化的功能，通過服務總線實現網源元之間的邏輯接口。服務總線的開放能力和可兼容性使得網絡具有很大的靈活性和可擴展性，可以支持不同的業務。

但這對我們的安全設計也會帶來新的挑戰，我們也要適應這樣的服務化、虛擬化、軟件定義的變化，也就是說我們要提供安全及即服務、，軟件網絡定義的安全等能力。

5G網絡將會變得更加開放，相比現有的相對封閉的移動通信系統來說，會面臨更多的網絡空間安全問題。比如 APT 攻擊、DDOS、Worm 惡意軟件攻擊等，而且攻擊會更加猛烈，規模更大，影響也會更大。

針對這些5G安全的挑戰，相關的 5G 研究組織，比如 3GPP，、歐盟的 I5GPPP 以及 NGMN 這些組織都進行了深入的需求分析。

3.總體安全需求。

總體的需求包括 5G 必須要提供比 4G 更高，至少和 4G 的安全和隱私保護水平相當的安全保障。具體的需求包括要對簽約、服務網絡、設備進行認證和鑒權。要對網絡切片要進行嚴格的隔離，甚至對敏感數據的隔離強度應該等同于物理上分隔的網絡。要防止降維攻擊，能夠利用機器學習或人工智能方法檢測高級網絡安全威脅。安全的能力要能服務化，要能符合和適應網絡架構的需要。

二、安全架構與相關安全機制

1、5G安全防護架構。

這是安全功能要素組成和他們之間的相互關系。5G安全防護架構延用了原來4G安全參考架構，相比之前增加了非3GPP接入、切片和虛擬網元的安全、網絡開放接口安全和安全管理等安全實體。

整個來看，它的安全涉及到接入的安全（用于解決用戶的安全接入）、無線空口安全、網絡域安全（用來保證網元之間信令和數據交換的安全）、用戶域安全，應用域安全、網絡開放接口安全、管理域安全幾個部分。

這是基于SBA架構下的功能部署考慮。

SBA有兩個網元是直接服務于網絡安全的，一是 AUSF認證服務器，二是SEPP安全邊緣保護代理，涉及運營商核心網絡之間的安全交互。在其它網元中應嵌入相應的安全功能。

2、主要的安全機制。

網絡接入方面，認證協議上使用了 EAP-AKA’ 以實現統一框架下的雙向認證，支持非3GPP的接入，使用5G-AKA增強歸屬網絡控制。

除了原有認證之外，可以借助第三方的二次認證提供認證服務。

認證擴展，要適應于IoT的群組認證，適應于車聯網的點對點快速認證。

隱私保護，在USIM卡增加運營商設定的公鑰，首次附著網絡使用公鑰加密IMSI，解決初始接入身份泄露問題。

信令保護，提供空口和NAS層信令的加密和完整性保護。

用戶面保護，按需提供空口和/或UE到核心網之間的用戶面加密和完整性保護。用戶面加密和完整性保護在以前的4G系統里是沒有的問題，現在根據物聯網需要可以按需選擇。

密鑰體系、算法需要支持主流的加密和完整性算法，但現在這些算法可能會在5G做進一步的改進，因為5G運營周期設計為20年，20年之中，比如量子計算成熟，受到攻擊的風險會增大。所以，在算法方面也可能會進行升級。

在密鑰體制方面，還是要支持層次化的密鑰派生機制，同時能夠提供由于認證機制變化、切片引入和用戶面完整性保護所需要的這些新的密鑰。

網絡安全方面，主要安全機制分布在這些領域?；A設施安全里需要有資源的安全隔離、系統防護控制、安全加固，從而使得基礎設施能夠安全可信地運行。

在網絡域方面，需要考慮對VNF虛擬化網絡安全進行可信評估、網元之間的安全通信和移動邊緣計算安全、SDN安全。

網絡安全切片方面，需要提供網絡切片的安全隔離、差異化的安全服務、終端訪問切片安全、切片的安全管理以及內部的安全通信等等。

在網絡對外服務接口方面，也需要認證授權、對沖突策略進行檢測、相關權限控制和安全審計。

安全態勢管理與監測預警方面，我們要借助于位于各種網元以及安全設備內的安全探針，采用標準化的安全設備統一管控接口對安全事件進行上報，下發統一的安全策略，可以利用深度學習、機器學習手段來對嗅探和攻擊進行檢測，應對未知的安全威脅。同時，根據安全威脅能夠智能化生成相關的安全策略調整，并將這些策略調整下發到各個安全設備中，從而構建起一個動態的防護體系。

隱私保護方面，現在對個人信息保護非常關注，5G里上面承載著很多用戶的隱私和敏感信息，包括用戶的號碼、用戶位置信息等等，我們可能需要從技術和管理兩個途徑進行保護，在技術層面，加密傳輸和加密存儲、訪問控制、對關鍵隱私數據在網絡傳輸中進行匿名。管理層面，一是數據最小化，只能獲取自己必要的信息；二是除了最小化數據之外的信息需要征得用戶的許可才能進行使用。

三、5G標準化工作進展

1.5G系統標準化的規劃。

按照3GPP標準的總體規劃，去年年底已經完成非獨立組網5G標準，主要支持增強移動寬帶場景，同時完成5G系統架構標準。按照計劃是在本月，完成獨立組網的5G標準，支持增強移動寬帶和低時延高可靠場景。計劃明年年底完成滿足ITU全部要求的完整5G標準。

對于安全標準的進展，目前開展5G安全研究的組織主要有幾個：

1、3GPP，重點研究領域包括安全架構、RAN安全、認證機制、用戶隱私、網絡切片。目前主要的成果是TR 33.899報告以及標準規范TS 33.501。

2、5GPPP，這是一個歐盟的研究組織，他們重點研究領域包括安全架構、用戶隱私、認證機制。目前主要研究成果是5G安全形勢白皮書。

3、NGMN，重點研究領域涉及用戶隱私、網絡切片、MEC安全，他們也形成了相關的建議書，包括接入網改進/抗DDOS攻擊、網絡切片、MEC低時延/用戶體驗等等。

4、ETSI重點關注安全體系結構、NFV安全性、MEC安全和隱私，形成報告主要集中在NFV和MEC方面。

2.5G安全標準化的推進情況。

2016年2月，啟動相關安全研究工作，2017年8月份完成了第一階段安全標準的研究，形成了TR33.899的報告。去年2月份啟動了第一階段安全標準的研究。今年3月份，這個標準已經基本凍結，形成了TS33.501的規范。第二階段的標準計劃是在2019年12月完成。這是和大系統同步的。

這兩個階段研究的重點側重不太一樣，第一階段主要關心的是架構、認證、安全憑證、上下文管理、密鑰安全、無線接入安全、用戶隱私、網絡域的安全等等，主要是4G安全的增強。第二階段（從今年下半年到明年），主要研究內容，主要針對新的場景，就是大規模物聯網、低時延高可靠兩個場景下的安全機制，以及對現有安全功能進一步完善，包括SBA安全、網絡切片安全和邊緣計算安全等等。

3.國內標準進展情況

5G安全國內標準推進由中國通信標準化協會組織開展，目前規劃了相應的標準體系，在2016年10月份啟動了安全研究，計劃今年年終完成安全報告。標準制訂方面，今年4月啟動了5G網絡安全技術要求的立項，計劃明年年底完成。

前面三個部分，我們重點主要是介紹了5G系統自身的安全考慮。

四、面向5G應用的安全可能涉及的領域。

1.5G環境下的終端安全。

3GPP里，對終端安全提出了通用要求，包括用戶與信令數據的機密性保護，簽約憑證的安全存儲與處理，用戶隱私保護等等。此外，5G的不同應用場景，也對終端安全提出了一些特殊的要求，比如eMBB終端需提供可信執行環境、操作系統的安全增強和高速加解密處理能力；對于mMTC終端，需要支持輕量級的安全算法和協議，能夠抗物理攻擊以及低功耗、低成本的實現；對于uRLLC的終端需要支持高安全、高可靠的安全機制，能夠支持超低延遲的安全硬件，無網絡時的相互認證等等。對于一些特殊行業，需要用到高安全終端，需要專用的安全芯片，定制操作系統和特定的應用商店。

5G環境下，終端安全應該是云端協同防御的體系，在終端方面需要從硬件層、系統層、應用層幾個層次考慮相應的安全防護措施，同時我們可以借用云端，借用網絡能力提供更多的網絡安全支持，包括端到端加密；數據安全存儲，因為網絡帶寬足夠，一些敏感區域不一定要存在終端上，可以存在云端；云端協同的安全監測預警以及現在用的比較多的基于云端的遠程管控、應用安全和系統安全的支撐等等。

2.面向垂直行業的安全服務。

對各種垂直行業來說，業務應用、安全威脅和安全需求存在很大的差異。我們可以依托5G網絡基礎設施，基于前面服務化的思想，在統一架構下為垂直行業提供定制性和差異化的安全能力。具體來說，我們可以利用網絡中的各種安全資源，例如密碼算法、5G認證協議和安全知識庫等，對安全資源進行抽象和封裝，對外提供安全服務，例如加密傳輸服務、認證服務、信用服務、入侵檢測服務等等，這些服務可通過5G的網絡能力開放引擎，開放給各種應用，這樣就可以使應用在使用網絡傳輸通道的同時也可以獲得網絡提供的安全服務，能夠更高效、更安全地實現信息服務。

3.安全行業專網建設。

對于國防、政務、公共安全和關鍵行業，對安全有著特別的要求，包括高安全業務可靠保護、敏感信息安全存儲與受控訪問、特殊用戶隱私保護、特殊行業運營管理等。特殊行業在4G以前是基于運營商的公共基礎網絡，在上面構造專網的思路來實現，這種方式投資成本是比較高的，建設周期比較長，同時可擴展性、靈活性也存在不足，并且技術體制難以跟上發展。通信系統本身發展是很快的，我們往往可以看到系統已經進入到4G，但很多專網還停留在2G、3G上。5G現在開放性架構和靈活性的應用，為構建行業特定專網提供了新的解決思路。

具體來看有兩種途徑：

一是根據安全的需求進行定制，5G網絡可以提供差異化的安全服務，可以利用網絡開放能力通過定制和優化獲得想要的安全能力。2、對安全要求更高的行業來說，可以將滿足自己安全需求的能力、功能進行實例化，通過服務接口編排到網絡切片當中，形成自己的行業高安全切片。

在這些方面可以對認證、空口加密、用戶平面加密算法進行替換，對存儲在UDM的隱私數據、敏感數據進行保護。

基于前面的措施，可以構建行業專用的切片，這個切片和其他的切片資源是隔離的，同時網絡安全策略是可以定制的，采取強的安全定制，以防范非法接入以及跨切片的攻擊等。此外，還可以通過在業務層面進行終端加密，進一步增強行業應用的安全性，這就是行業專網的一種解決思路。

以上就是我們分享的對5G安全方面的認識。總的來看，由于5G的網絡結構、技術體制和應用場景發生了很大的變化，所以，5G安全相對4G之前的網絡安全也有很大的變化。目前5G安全研究主要針對在eMBB場景，重點在對4G的安全完善，對于新的應用場景，比如物聯網和車聯網環境，研究還相對比較滯后，如何保證各種場景下5G系統自身的安全運行以及安全高效地運用5G系統，還需要我們廣大同仁們開展深入的探索。