新業(yè)務(wù)、新架構(gòu)、新技術(shù)下的新挑戰(zhàn) 5G安全會不會更糟，白皮書告訴你真相

逄丹

當(dāng)前，5G 國際標(biāo)準(zhǔn)化工作已全面展開，5G 安全也成為業(yè)界關(guān)注的焦點(diǎn)。日前，IMT-2020（5G）推進(jìn)組正式發(fā)布《5G網(wǎng)絡(luò)安全需求與架構(gòu)白皮書》（以下簡稱“白皮書”），基于5G需求與愿景研究進(jìn)展，分析5G網(wǎng)絡(luò)面臨的安全問題和發(fā)展趨勢，提出5G網(wǎng)絡(luò)安全需求和架構(gòu)。

白皮書指出，5G網(wǎng)絡(luò)新的發(fā)展趨勢，尤其是5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)，對安全和用戶隱私保護(hù)都提出了新的挑戰(zhàn)。5G安全機(jī)制除了要滿足基本通信安全要求之外，還需要為不同業(yè)務(wù)場景提供差異化安全服務(wù)，能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保護(hù)用戶隱私，并支持提供開放的安全能力。

三大場景下的安全挑戰(zhàn)

白皮書將5G網(wǎng)絡(luò)安全面臨的挑戰(zhàn)分為四個層面，分別是三大業(yè)務(wù)場景下的新挑戰(zhàn)、新技術(shù)下的挑戰(zhàn)、多種接入方式下的挑戰(zhàn)和新商業(yè)模式下的挑戰(zhàn)。

5G網(wǎng)絡(luò)，帶來千億連接，從人與人的聯(lián)接，轉(zhuǎn)向人與物、物與物的聯(lián)接。業(yè)界普遍認(rèn)為，5G 業(yè)務(wù)大致可以分為3種場景：eMBB（增強(qiáng)移動寬帶）、mMTC（海量機(jī)器類通信）和uRLLC（超可靠低時(shí)延通信），5G網(wǎng)絡(luò)需要針對這三種業(yè)務(wù)場景的不同安全需求提供差異化安全保護(hù)機(jī)制。

其中，eMBB廣泛的應(yīng)用場景將帶來不同的安全需求，同一個應(yīng)用場景中的不同業(yè)務(wù)其安全需求也有所不同，例如，VR/AR等個人業(yè)務(wù)可能只要求對關(guān)鍵信息的傳輸進(jìn)行加密，而對于行業(yè)應(yīng)用可能要求對所有環(huán)境信息的傳輸進(jìn)行加密。白皮書建議，5G網(wǎng)絡(luò)可以通過擴(kuò)展LTE安全機(jī)制來滿足eMBB場景所需的安全需求。

更大的挑戰(zhàn)來自于mMTC場景。面向物聯(lián)網(wǎng)成百上千億的設(shè)備，如果采用單用戶認(rèn)證方案則成本高昂，而且容易造成信令風(fēng)暴問題，因此在5G網(wǎng)絡(luò)中，需降低物聯(lián)網(wǎng)設(shè)備在認(rèn)證和身份管理方面的成本，支撐物聯(lián)網(wǎng)設(shè)備的低成本和高效率海量部署。特別是針對計(jì)算能力低且電池壽命需求高的物聯(lián)網(wǎng)設(shè)備，5G網(wǎng)絡(luò)應(yīng)該通過一些安全保護(hù)措施，如輕量級的安全算法、簡單高效的安全協(xié)議等來保證能源高效性。

低時(shí)延和高可靠性是uRLLC業(yè)務(wù)的基本要求，如車聯(lián)網(wǎng)業(yè)務(wù)在通信中如果受到安全威脅則可能會涉及到生命安全，因此要求高級別的安全保護(hù)措施且不能額外增加通信時(shí)延。從安全角度來看，降低時(shí)延需要優(yōu)化業(yè)務(wù)接入過程身份認(rèn)證的時(shí)延、數(shù)據(jù)傳 輸安全保護(hù)帶來的時(shí)延，終端移動過程由于安全上下文切換帶來的時(shí)延、以及數(shù)據(jù)在網(wǎng)絡(luò)節(jié)點(diǎn)中加解密處理帶來的時(shí)延。

因此，面對多種應(yīng)用場景和業(yè)務(wù)需求，5G 網(wǎng)絡(luò)需要一個統(tǒng)一的、靈活的、可伸縮的5G網(wǎng)絡(luò)安全架構(gòu)來滿足不同應(yīng)用的不同安全級別的安全需求，即5G網(wǎng)絡(luò)需要一個統(tǒng)一的認(rèn)證框架，用以支持多種應(yīng)用場景的網(wǎng)絡(luò)接入認(rèn)證；同時(shí)5G網(wǎng)絡(luò)應(yīng)支持伸縮性需求，如網(wǎng)絡(luò)橫向擴(kuò)展時(shí)需要及時(shí)啟動安全功能實(shí)例來滿足增加的安全需求、網(wǎng)絡(luò)收斂時(shí)需要及時(shí)終止部分安全功能實(shí)例來達(dá)到節(jié)能的目的。

新技術(shù)下的挑戰(zhàn)

從4G向5G的演進(jìn)，更是現(xiàn)有網(wǎng)絡(luò)架構(gòu)的重建。5G網(wǎng)絡(luò)將引入SDN、NFV等新一代IT技術(shù)，也為5G網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)。

白皮書指出，由于5G網(wǎng)絡(luò)引入NFV，改變了傳統(tǒng)網(wǎng)絡(luò)中功能網(wǎng)元的保護(hù)很大程度上依賴于對物理設(shè)備的安全隔離的現(xiàn)狀，原先認(rèn)為安全的物理環(huán)境已經(jīng)變得不安全，實(shí)現(xiàn)虛擬化平臺的可管可控的安全性要求成為5G安全的一個重要組成部分，例如安全認(rèn)證的功能也可能放到物理環(huán)境安全當(dāng)中，因此，5G安全需要考慮5G基礎(chǔ)設(shè)施的安全，從而保障5G業(yè)務(wù)在NFV環(huán)境下能夠安全運(yùn)行。

另外，5G網(wǎng)絡(luò)中通過引入SDN提高了 5G 網(wǎng)絡(luò)中的數(shù)據(jù)傳輸效率，實(shí)現(xiàn)了更好的資源配置，但同時(shí)也帶 來了新的安全需求，即需要考慮在 5G 環(huán)境下，虛擬 SDN 控制網(wǎng)元和轉(zhuǎn)發(fā)節(jié)點(diǎn)的安全隔 離和管理，以及SDN流表的安全部署和正確執(zhí)行。

而為了更好地支持5G的3大業(yè)務(wù)場景，5G網(wǎng)絡(luò)將建立網(wǎng)絡(luò)切片，為不同業(yè)務(wù)提供差異化的安全服務(wù)，根據(jù)業(yè)務(wù)需求針對切片定制其安全保護(hù)機(jī)制，實(shí)現(xiàn)客戶化的安全分級服務(wù)，同時(shí)網(wǎng)絡(luò)切片也對安全提出了新的挑戰(zhàn)，如切片之間的安全隔離，以及虛擬網(wǎng)絡(luò)的安全部署和安全管理。

同時(shí)，白皮書指出，5G 網(wǎng)絡(luò)中業(yè)務(wù)和場景的多樣性，以及網(wǎng)絡(luò)的開放性，使用戶隱私信息從封閉的平臺 轉(zhuǎn)移到開放的平臺上，接觸狀態(tài)從線下變成線上，泄露的風(fēng)險(xiǎn)也因此增加。例如在智能醫(yī)療系統(tǒng)中，病人病歷、處方和治療方案等隱私性信息在采集、存儲和傳輸過程中存在被泄漏、篡改的風(fēng)險(xiǎn)，而在智能交通中，車輛的位置和行駛軌跡等隱私信息也存在暴露和被非法跟蹤使用的風(fēng)險(xiǎn)，因此5G網(wǎng)絡(luò)有了更高的用戶隱私保護(hù)需求。

安全總體目標(biāo)出爐

基于這些需求，白皮書提出了5G網(wǎng)絡(luò)安全總體目標(biāo)。

針對5G 網(wǎng)絡(luò)的多種應(yīng)用場景中涉及不同類型的終端設(shè)備、多種接入方式和接入憑證、多種時(shí)延要求、隱私保護(hù)要求等，5G網(wǎng)絡(luò)安全應(yīng)保證如下：第一，提供統(tǒng)一的認(rèn)證框架，支持多種接入方式和接入憑證，從而保證所有終端設(shè)備安 全地接入網(wǎng)絡(luò)。第二，提供按需的安全保護(hù)，滿足多種應(yīng)用場景中的終端設(shè)備的生命周期要求、業(yè)務(wù)的 時(shí)延要求。第三，提供隱私保護(hù)，滿足用戶隱私保護(hù)以及相關(guān)法規(guī)的要求。

針對5G網(wǎng)絡(luò)架構(gòu)中的重要特征包括 NFV/SDN、切片以及能力開放，所以5G安全應(yīng)保證如下：第一，NFV/SDN引入移動網(wǎng)絡(luò)的安全，包括虛擬機(jī)相關(guān)的安全、軟件安全、數(shù)據(jù)安全、SDN控制器安全等。第二，切片的安全，包括切片安全隔離、切片的安全管理、UE接入切片的安全、切片之間通信的安全等。第三，能力開放的安全，既能保證開放的網(wǎng)絡(luò)能力安全地提供給第三方，也能夠保證網(wǎng)絡(luò)的安全能力能夠開放給第三方使用。

白皮書指出，IMT-2020（5G）推進(jìn)組全力支持在ITU和3GPP框架下研制全球統(tǒng)一的5G安全技術(shù)標(biāo)準(zhǔn)，積極采用創(chuàng)新技術(shù)滿足5G網(wǎng)絡(luò)安全需求，推動5G 安全統(tǒng)一認(rèn)證架構(gòu)、按需的安全保護(hù)、切片安全以及256比特密鑰長度密碼算法等技術(shù)的國際國內(nèi)相關(guān)標(biāo)準(zhǔn)化工作。

未來將分如下兩階段積極推動 3GPP 開展 5G 安全標(biāo)準(zhǔn)化工作：第一階段，在 2018 年 3 月之前，完成安全框架、接入安全、用戶數(shù)據(jù)的機(jī)密性和完整性保護(hù)、移動性和會話管理安全、用戶身份的隱私保護(hù)以及與EPS（演進(jìn)的分組系統(tǒng)）的互通等相關(guān)研究工作；第二階段，在 2019 年12月之前，重點(diǎn)推進(jìn)切片安全、能力開放安全、256 比特密鑰長度密碼算法等相關(guān)工作。