當前，全球新一輪科技革命和產業變革正孕育興起，跨行業、跨領域的融合創新不斷深入，將產生大量新應用、新業態、新模式，對移動通信技術也提出了更高要求。第五代移動通信（5G）作為新一代移動通信技術發展的方向，將在提升移動互聯網用戶業務體驗的基礎上，進一步滿足未來物聯網應用的海量需求，與工業、醫療、交通等行業深度融合，實現真正的“萬物互聯”。

面對5G網絡的新發展趨勢，尤其是5G新業務、新架構、新技術，都會對安全和用戶隱私保護提出新的挑戰。5G安全機制除了要滿足基本通信安全外，還需要為不同業務場景提供差異化安全服務，能夠適應多種網絡接入方式及新型網絡架構，保護用戶隱私，并支持提供開放的安全能力。

5G新場景帶來新的安全威脅

5G的eMBB場景與傳統移動互聯網場景相比，主要的區別是為用戶提供更快的網絡速率和高密度的容量，因此將出現數量眾多的小站。小站的部署方式、部署條件以及功能都存在靈活多樣的特點。傳統4G安全機制未考慮此種密集組網場景下的安全威脅，因此，除了傳統移動互聯網所存在的安全威脅外，在這種密集組網場景下可能會存在小站接入的安全威脅。

針對大規模物聯網場景，預計到2020年，聯網設備將達500億臺。終端包括物聯網終端、RFID標簽、近距離無線通信終端、移動通信終端、攝像頭以及傳感器網絡網關等。由于大部分物聯網終端具有資源受限、拓撲動態變化、網絡環境復雜、以數據為中心以及與應用密切相關等特點，與傳統的無線網絡相比，更容易受到威脅和攻擊。在此海量設備情況下，為了確保信息的準確有效性，需要在機器通信中引入安全機制。而若每個設備的每條消息都需要單獨認證，則網絡側安全信令的驗證需要消耗大量資源。在傳統4G網絡認證機制中沒有考慮到這種海量認證信令的問題，一旦網絡收到終端信令請求超過了網絡各項信令資源的處理能力，則會觸發信令風暴，導致網絡服務出現問題。進一步的，整個移動通信系統可能會因此出現故障，進而崩潰。

而在低時延高可靠場景，尤其針對車聯網、遠程實時醫療等時延敏感應用，提出了低時延高安全性的需要。在這些場景中，為避免車輛碰撞、手術誤操作等事故，要求5G網絡能在保證高可靠性的同時提供低至1ms的時延QoS保障。而傳統的安全協議，如認證流程、加解密流程等，在設計時未考慮超高可靠低時延的通信場景。這樣可能會造成傳統的復雜的安全協議/算法造成的時延無法滿足超低時延的需求。同時，5G中超密集部署技術的應用使得單個接入節點覆蓋范圍很小，當車輛等終端快速移動時，網絡的移動性管理過程將會非常頻繁，為了低時延的目標，移動性管理相關的功能單元和流程需要進行優化。

5G新型網絡架構對安全提出了新的要求

5G新型網絡架構需要更靈活、更智能和更好的性能，可以自動適配海量業務的差異化服務要求，基于全網視圖來綜合調度網絡資源，包括接入能力、計算能力、存儲能力和網絡連接能力等，具體包括：5G網絡基于控制和轉發分離模式實現用戶面更加扁平的架構；依托新型架構的全局控制功能，可以實現多種接入技術的協同控制；借鑒IT虛擬化技術思想對網元形態和網絡連接方法進行重構，5G網絡的基礎設施引入NFV等虛擬化技術，實現網絡切片和網元按需部署，增加整體網絡的靈活性和伸縮性。

——NFV安全需求

5G網絡基礎設施平臺將更多地選擇基于通用硬件架構的數據中心構成支持5G網絡的高轉發性能和電信級管理要求。NFV技術實現底層物理資源到虛擬化資源的映射，構造虛擬機（VM），加載網絡邏輯功能（VNF）；虛擬化系統實現對虛擬化基礎設施平臺的統一管理和資源的動態重配置。NFV具有幫助強化網絡安全的潛力，安全策略可編排，并且可以發揮虛擬化的優勢，隔離業務負載從而強化安全。NFV在強化安全的同時也帶來了新的安全隱患。相比傳統電信設備，軟件硬件分離的特點以及虛擬化網絡的開放性給NFV帶來了新的潛在安全問題：

第一，引入新的高危區域——虛擬化管理層。虛擬化管理層是NFV的核心，一旦被攻破，在其上的所有虛擬機將直接面對攻擊，后果將不堪設想。

第二，彈性、虛擬網絡使安全邊界模糊，安全策略難于隨網絡調整而實時、動態遷移，虛擬機容易受到同一主機的其他虛擬機的攻擊；傳統基于物理安全邊界的防護機制在云計算的環境難以得到有效應用。

第三，用戶失去對資源的完全控制以及多租戶共享計算資源，帶來的數據泄漏與攻擊風險，給數據安全保護提出了更高的要求。并且用戶、應用和數據資源聚集，容易成為黑客攻擊的目標，而且一旦被攻擊，影響范圍廣、危害大。

5G安全針對NFV等虛擬化技術的引入，需要為網絡設備提供多元化的系統級防護，防止各類非法的攻擊和入侵。5G網絡環境將包含多廠家的軟硬件基礎設施，因此網絡身份必須得到有效管理，從而防止非法用戶對網絡資源的訪問。5G安全將提供傳輸保護，為數據傳輸提供如機密性和完整性等安全防護，應對傳輸中數據的惡意竊聽和轉發。

——網絡切片安全需求

網絡切片是5G網絡的關鍵特征。一個網絡切片將構成一個端到端的邏輯網絡，按切片需求方的需求靈活地提供一種或多種網絡服務。網絡切片重要的安全問題是網絡切片需要提供不同切片實例之間的隔離機制，防止本切片內的資源被其他類型網絡切片中網絡節點非法訪問。例如醫療切片網絡中的病人，只希望被接入到本切片網絡中的醫生訪問，而不希望被其他切片網絡中的人訪問。相同業務類型的網絡切片之間也存在隔離的需求，例如不同的企業的在使用相同業務類型的切片網絡時，并不希望本企業內的服務資源被其他企業的網絡切片節點訪問。

服務、資源和數據在網絡切片中被隔離保護的效果要達到接近于傳統私網一樣的用戶感受，這樣才能使用戶能放心地將原本存放在私有網絡中的應用數據存放到在云端，用戶在享有隨時隨地可訪問私有資源的同時不需要擔憂這些資源的安全問題，這樣才能促進各種垂直業務的健康快速發展。

——多RAT接入的安全需求

異構接入網絡將是下一代接入網絡的主要技術特征之一，5G網絡將是多種無線接入技術融合共存的網絡。異構不僅體現在接入技術的不同，如WiFi和蜂窩網絡方面，還體現在接入網絡因為屬于不同擁有者而造成的局部網絡架構方面的差異上，因此，5G網絡需要構建一個通用的認證機制，能夠在不同的接入技術、不安全的接入網之上建立一個安全的運營網絡。

另外，在異構網絡間的安全互操作方面，終端可能在異構網絡間進行切換，這時需要保證在異構網絡間切換的安全互操作，如安全上下文的傳遞、密鑰的更新、異構網絡間安全上下文的隔離等。

* * *

未來5G安全將在更加多樣化的場景、多種接入方式以及新型網絡架構的基礎上，提供全方位的安全保障。除滿足基本通信安全外，5G安全機制能夠為不同的業務場景提供差異化的安全服務，能夠適應多種網絡接入方式及新型網絡架構，保護用戶隱私，并支持提供開放的安全能力。當前，5G標準化工作已經全面啟動，3GPPSA2將在2016年年底完成5G網絡架構的研究工作，因此亟須盡早明確5G網絡的安全需求，并且在5G網絡的整體架構設計和后續標準化中綜合考慮5G安全要求，這樣才能最終實現構建更加安全可信的5G新型網絡的目標。