和現(xiàn)有的移動通信網(wǎng)相比，5G網(wǎng)絡擁有更高的速度，更多的設備接入，更低的網(wǎng)絡延遲。但與此同時，它也面臨著更加復雜的安全問題，在6月13日舉辦的2018中國網(wǎng)絡安全大會中，來自中國電子科技集團公司的首席科學家曾浩洋，就帶來了“第五代移動通信系統(tǒng)(5G)安全概覽”的演講。

以下是現(xiàn)場演講內(nèi)容，雷鋒網(wǎng)在不改變原意的基礎上進行了編輯整理。

5G是當前非常熱門的話題，最近運營商也在頻繁地發(fā)布建設現(xiàn)網(wǎng)的消息，感覺5G離我們越來越近。安全一直是移動通信系統(tǒng)關注的問題，在5G時代，安全會面臨什么樣的挑戰(zhàn)?它和4G以前的安全有什么不同?需要我們在哪些方面開展研究?現(xiàn)在究竟準備好沒有?今天上午我就這個問題與大家一起探討一下。我的介紹分為四部分。

一、5G面臨的安全需求與挑戰(zhàn)

第一，5G有新的應用場景，有增強移動寬帶，低功耗大連接、低時延高可靠三大應用場景。

因此，5G不僅僅是速率變得更高，時延變得更低，它將滲透到萬物互聯(lián)的各個領域，與工業(yè)控制、智慧交通緊密結(jié)合在一起。所以，安全就變得尤其重要。在這幾大應用場景中，對增強移動寬帶來說，它的安全挑戰(zhàn)需要更高的安全處理性能，這時候用戶體驗速率已經(jīng)達到1G;二是它需要支持外部網(wǎng)絡二次認證，能更好地與業(yè)務結(jié)合在一起;三是需要解決目前發(fā)現(xiàn)的已知漏洞的問題。對低功耗網(wǎng)絡來說，需要輕量化的安全機制，以適應功耗受限、時延受限的物聯(lián)網(wǎng)設備的需要;需要通過群組認證機制，解決海量物聯(lián)網(wǎng)設備認證時所帶來的信令風暴的問題;需要抗DDOS攻擊機制，應對由于設備安全能力不足被攻擊者利用，而對網(wǎng)絡基礎設施發(fā)起攻擊的危險。對于低時延高可靠來說，需要提供低時延的安全算法和協(xié)議，要簡化和優(yōu)化原有安全上下文的交換、密鑰管理等流程，支持邊緣計算架構(gòu)，支持隱私和關鍵數(shù)據(jù)的保護。第二，新網(wǎng)絡架構(gòu)的挑戰(zhàn)。為了更好地支持5G應用場景，現(xiàn)在5G提出了以 IT 為中心的網(wǎng)絡架構(gòu)，會引入多無線接入、SDN、云計算、NFV 等技術。

對多無線接入來說需要統(tǒng)一的認證框架來解決 3GPP 體制和非 3GPP 體制接入的問題。比如無線 Wi-Fi 接入需要統(tǒng)一認證，在多接入環(huán)境下提供安全的運營網(wǎng)絡。SDN和NFV這樣的技術引入，可以構(gòu)建邏輯隔離的安全切片，用來支持不同應用場景差異化的需求。但這些技術個引入也對安全造成帶來了巨大的挑戰(zhàn)，由于它使網(wǎng)絡邊界變得十分模糊，以前依賴物理邊界防護的安全機制難以得到應用。所以，安全機制要適應虛擬化、云化的需要。

這是5G新的網(wǎng)絡架構(gòu)，這個圖是中國移動牽頭的5G架構(gòu)的SBA標準，5G把原來4G的物理網(wǎng)元進行了重新的分解和組合，通過服務和服務編排的方式來提高網(wǎng)絡的功能，通過服務總線實現(xiàn)網(wǎng)元之間的邏輯接口。服務總線的開放能力和可兼容性使得網(wǎng)絡具有很大的靈活性和可擴展性，可以支持不同的業(yè)務。但這對我們的安全設計也會帶來新的挑戰(zhàn)，我們也要適應這樣的服務化、虛擬化、軟件定義的變化，也就是說我們要提供安全即服務、軟件定義的安全等能力。5G網(wǎng)絡會變得更加開放，相比現(xiàn)有的相對封閉的移動通信系統(tǒng)來說，會面臨更多的網(wǎng)絡空間安全問題。比如 APT 攻擊、DDOS、Worm 惡意軟件攻擊等，而且攻擊會更加猛烈，規(guī)模更大，影響也會更大。針對這些5G安全的挑戰(zhàn)，相關的 5G 研究組織，比如 3GPP、歐盟的 5GPPP 以及 NGMN 這些組織都進行了深入的需求分析。第三，總體安全需求。總體的需求包括 5G 必須要提供比 4G 更高，至少和 4G 的安全和隱私保護水平相當?shù)陌踩Ｕ稀＞唧w的需求包括要對簽約、服務網(wǎng)絡、設備進行認證和鑒權。要對網(wǎng)絡切片要進行嚴格的隔離，甚至對敏感數(shù)據(jù)的隔離強度應該等同于物理上分隔的網(wǎng)絡。要防止降維攻擊，能夠利用機器學習或人工智能方法檢測高級網(wǎng)絡安全威脅。安全的能力要能服務化，要能符合和適應網(wǎng)絡架構(gòu)的需要。二、安全架構(gòu)與相關安全機制

1、5G安全防護架構(gòu)。

這是安全功能要素組成和他們之間的相互關系。5G安全防護架構(gòu)延用了原來4G安全參考架構(gòu)，相比之前增加了非3GPP接入、切片和虛擬網(wǎng)元的安全、網(wǎng)絡開放接口安全和安全管理等安全實體。整個來看，它的安全涉及到接入的安全(用于解決用戶的安全接入)、無線空口安全、網(wǎng)絡域安全(用來保證網(wǎng)元之間信令和數(shù)據(jù)交換的安全)、用戶域安全，應用域安全、網(wǎng)絡開放接口安全、管理域安全幾個部分。

這是基于SBA架構(gòu)下的功能部署考慮。SBA有兩個網(wǎng)元是直接服務于網(wǎng)絡安全的，一是 AUSF認證服務器，二是SEPP安全邊緣保護代理，涉及運營商核心網(wǎng)絡之間的安全交互。在其它網(wǎng)元中應嵌入相應的安全功能。2、主要的安全機制。

網(wǎng)絡接入方面，認證協(xié)議上使用了 EAP-AKA 以實現(xiàn)統(tǒng)一框架下的雙向認證，支持非3GPP的接入，使用5G-AKA增強歸屬網(wǎng)絡控制。除了原有認證之外，可以借助第二方第三方的二次認證提供認證服務。認證擴展，要適應于IoTD群組認證，適應于車聯(lián)網(wǎng)的點對點快速認證。隱私保護，在USIM卡增加運營商設定的公鑰，首次附著網(wǎng)絡使用公鑰加密IMSI，解決初始接入身份泄露問題。信令保護，提供空口和NAS層信令的加密和完整性保護。用戶面報，按需提供空口和/或UE到核心網(wǎng)之間的用戶面加密和完整性保護。用戶面加密和完整性保護在以前的4G系統(tǒng)里是沒有的問題，現(xiàn)在根據(jù)物聯(lián)網(wǎng)需要可以按需選擇。密鑰體系，算法需要支持主流的加密和完整性算法，但現(xiàn)在這些算法可能會在5G做進一步的改進，因為5G運營周期在20年，20年之中，比如量子計算比較成熟，受到攻擊的風險會增大。所以，在算法方面也可能會進行升級。在密鑰體制方面，還是要支持程度化的密鑰派生機制，同時能夠提供由于認證機制變化，切片引入和用戶面的完整性保護所需要的這些新的密鑰。網(wǎng)絡安全方面，主要機制分布在這些領域。基礎設施安全里需要有資源的安全隔離，系統(tǒng)防護控制、安全加固，從而使得基礎設施能夠安全可信地運行。在網(wǎng)絡域方面，需要對VNF虛擬化網(wǎng)絡安全進行可信評估。網(wǎng)源之間的安全通信和移動邊緣計算安全、SDN安全。網(wǎng)絡安全切片方面，需要提供網(wǎng)絡切片的安全隔離，差異化的安全服務，終端能夠安全地訪問切片，切片的安全管理以及內(nèi)部的安全通信等等。在網(wǎng)絡對外服務接口方面，也需要認證授權，對沖突策略進行檢測，相關權限控制和安全審計。安全態(tài)勢管理與監(jiān)測預警方面，我們要借助于，位于各種網(wǎng)絡功能以及安全設備類的安全探針，采用標準化的安全設備統(tǒng)一管控接口對安全事件進行上報，下發(fā)統(tǒng)一的安全策略，可以進行深度學習、機器學習手段來嗅探和攻擊的檢測，應對未知的安全威脅。同時，根據(jù)安全威脅能智能化生成相關的安全策略調(diào)整，并將這些策略調(diào)整下發(fā)到各個安全設備中，從而構(gòu)建起一個安全的防護體系。隱私保護方面，現(xiàn)在對個人信息保護非常關注的，5G里上面承載著很多用戶的隱私和敏感信息，包括用戶的號碼，用戶位置信息等等，我們可能需要從技術和管理兩個途徑進行保護，在技術方面，加密傳輸和加密存儲，訪問控制，對關鍵隱私數(shù)據(jù)在網(wǎng)絡傳輸中進行匿名。管理方面，一是數(shù)據(jù)最小化，只能獲取自己必要的信息;二是除了最小化數(shù)據(jù)之外的信息需要征得用戶的許可才能進行使用。

三、5G標準化工作進展

第一，5G系統(tǒng)標準化的規(guī)劃。這是以3GPP標準規(guī)劃來描述的，去年年底已經(jīng)完成非獨立組網(wǎng)5G標準，這是支持增強移動寬帶產(chǎn)品，同時完成5G系統(tǒng)架構(gòu)標準。按照計劃是在本月，對按照獨立組網(wǎng)的5G標準，支持增強移動寬帶和低時延高可靠場景。計劃明年年底完成滿足ITU全部要求的完整5G標準。對于安全標準的進展，目前開展5G安全研究的組織主要有幾個：

1、3GPP，重點研究領域包括安全架構(gòu)、RAN安全、認證機制、用戶隱私、網(wǎng)絡切片。目前主要的成果是TR 33.899報告以及標準規(guī)范TS 33.501。2、5GPPP，這是一個歐盟的研究組織，他們重點研究領域包括安全架構(gòu)、用戶隱私、認證機制。目前主要研究成果是5G安全態(tài)勢白皮書。3、NGMN，重點研究領域相關方面是用戶隱私、網(wǎng)絡切片、MEC安全，他們也形成了相關的建議書，包括接入網(wǎng)改進/抗DDOS攻擊、網(wǎng)絡切片，MEC低時延/用戶體驗等等。4、ETSI重點關注安全體系結(jié)構(gòu)、NFV安全性、MEC安全、隱私，主要形成安全報告主要集中在NFV和MEC方面。第二，5G安全標準化的推進情況。

2016年2月，啟動相關安全研究工作，2017年8月份完成了第一階段安全標準的研究，形成了33.899的報告。去年2月份啟動了第一階段安全標準的研究。今年3月份，這個標準已經(jīng)基本凍結(jié)，形成了今年3月份形成了33.501的規(guī)范。第二階段的標準是在2019年12月完成。這是和大系統(tǒng)同步的。

這兩個階段研究的重點側(cè)重不太一樣，第一階段主要關心的是架構(gòu)、認證、安全憑證、上下文管理、密鑰安全、無線接入安全、用戶隱私、網(wǎng)絡域的安全等等，主要是4G安全的增強。第二階段，主要研究內(nèi)容，從今年下半年到明年主要針對新的場景，就是大規(guī)模物聯(lián)網(wǎng)、低時延高可靠兩個場景下的安全機制，以及對現(xiàn)有安全功能進一步完善，包括SBA安全、網(wǎng)絡切片安全和邊緣計算安全等等。

第三，國內(nèi)標準進展情況

在國內(nèi)標準情況之下，這是中國通信標準化協(xié)會組織開展的，目前也是深度規(guī)劃相應的標準體系，在2016年10月份啟動了安全研究，計劃今年年終完成安全報告。標準制訂，今年4月啟動5G網(wǎng)絡安全技術要求的立項，計劃明年年底完成。

前面三個部分，我們重點主要是介紹了5G系統(tǒng)自身的安全考慮。

四、面向5G應用的安全可能涉及的領域。

第一，5G環(huán)境下的終端安全。

3GPP里，對終端安全提出了通用要求，包括用戶與信令數(shù)據(jù)的機密性保護，簽約憑證的安全存儲與處理，用戶隱私保護等等。針對應用場景，也對終端安全提出了一些特殊的要求，比如uRLLC終端可持續(xù)的環(huán)境，操作系統(tǒng)的增強高速加解密處理能力，對于mMTC終端，需要支持輕量級的安全算法和協(xié)議，能夠抗物理攻擊、低功耗、低成本的實現(xiàn)，對于uRLLC的終端需要支持高安全、高可靠的安全機制，能夠支持超級實驗室的安全硬件，入網(wǎng)時的相互認證等等。對于一些特殊行業(yè)，他需要用到安全終端來說需要轉(zhuǎn)用的安全芯片，定制操作系統(tǒng)和特定的應用商店。

5G環(huán)境下，終端安全應該是云端協(xié)同防御的體系，在終端方面需要從硬件層、系統(tǒng)層、應用層幾個層次考慮相應的安全防護措施，同時我們可以借用云端，借用網(wǎng)絡能力提供更多的網(wǎng)絡安全支持，包括端到端加密，數(shù)據(jù)安全存儲，因為網(wǎng)絡帶寬足夠，一些敏感區(qū)域不一定要存在終端上，可以存在云端。云端形成的安全監(jiān)測預警。的現(xiàn)在用的比較多的基于云端的遠程管控，應用安全和系統(tǒng)安全的支撐等等。

第二，面向垂直行業(yè)的安全服務。

對各種垂直行業(yè)來說，業(yè)務應用、安全威脅和安全需求存在很大的差異。我們可以依托5G網(wǎng)絡基礎設施，基于前面服務化的思想，在統(tǒng)一架構(gòu)下為垂直行業(yè)提供定制性和差異化的安全能力。具體來說，我們可以對網(wǎng)絡里的安全資源，密碼算法、5G認證協(xié)議和安全知識庫，對安全資源進行抽象和封裝，對外提供安全服務，對加密傳輸服務提供認證服務、信用服務、入侵檢測服務等等，這些服務會通過網(wǎng)絡能力開放引擎，開放給各種應用，這樣就可以使應用在使用網(wǎng)絡通道的同時也可以獲得網(wǎng)絡提供的安全服務，能夠更高效、更安全地實現(xiàn)信息服務。

第三，安全行業(yè)專網(wǎng)建設。

對國防、政務、公共安全和關鍵行業(yè)，對安全有著特別的要求，包括高安全業(yè)務可靠保護、敏感信息安全存儲與受控訪問、特殊用戶隱私保護、特殊行業(yè)運營管理。特殊行業(yè)在4G以前是基于運營商的公共基礎網(wǎng)絡，在上面構(gòu)造了專網(wǎng)的技術來實現(xiàn)，這種方式投資成本是比較高的，建設周期比較短，同時可擴展性、靈活性也存在不足，它的技術體制難以跟上發(fā)展，通信系統(tǒng)本身進展是很快的，我們往往可以看到系統(tǒng)已經(jīng)進入到4G，但很多專網(wǎng)還停留在2G、3G上。5G現(xiàn)在開放性架構(gòu)和靈活性的應用，為構(gòu)建行業(yè)特定專網(wǎng)提供了新的解決思路。

具體來看是兩種途徑：

1、對安全的需求進行定義，5G網(wǎng)絡可以提供差異化的安全服務，可以定制和優(yōu)化獲得想要的安全能力。

2、對安全要求更高的行業(yè)來說，可以將滿足自己安全需求的能力、功能進行事例化，通過服務接口編排到網(wǎng)絡切片當中，形成自己的專業(yè)高安全切片。

在這些方面可以對認證，空口加密，用戶平面加密算法進行替換，對存儲在UDM的隱私數(shù)據(jù)、敏感數(shù)據(jù)進行保護。

基于前面的措施，可以構(gòu)建行業(yè)專業(yè)的切片，這個切片和其他的切片資源是隔離的，同時網(wǎng)絡安全策略是可以定制的，采取強的安全定制，以防范非法接入以及跨切片的攻擊等。

還可以通過在業(yè)務層面進行終端加密，增強行業(yè)應用的安全性，我們是行業(yè)應用專網(wǎng)的解決思路。

以上就是我們分享的對5G安全方面的認識。總的來看，由于5G它的網(wǎng)絡結(jié)構(gòu)、技術體制發(fā)生了很大的變化，所以，5G安全相對之前的通信安全也有很大的變化，目前5G安全基于對之前的安全增強上，對于新的應用場景，比如物聯(lián)網(wǎng)和車聯(lián)網(wǎng)環(huán)境，還用得相對比較滯后，如何保證各種場景下5G五系統(tǒng)支持的安全以及安全高效地運用5G系統(tǒng)，還需要我們廣大同仁們開展深入的探索。