5G系統(tǒng)安全防護(hù)

【摘? 要】闡述了5G技術(shù)的發(fā)展現(xiàn)狀，5G系統(tǒng)面臨的安全隱患，介紹了網(wǎng)絡(luò)切片、空口等概念，面對(duì)5G系統(tǒng)安全威脅的解決方案。

【關(guān)鍵詞】5G;安全;解決方案

引言

近年來，隨著物聯(lián)網(wǎng)的應(yīng)用，越來越多的設(shè)備連接到 5G 網(wǎng)絡(luò)，并要求提供大容量、大連接和高可靠低時(shí)延的通信服務(wù)。2018年，第3代合作伙伴（3GPP）正式發(fā)布5G新空口標(biāo)準(zhǔn)方案，完成了5G功能的標(biāo)準(zhǔn)化工作。3GPP定義了5G的3大應(yīng)用場(chǎng)景：增強(qiáng)移動(dòng)寬帶（eMBB）、高可靠低時(shí)延通信（uRLLC）以及海量物聯(lián)網(wǎng)通信（mMTC），支持如物聯(lián)網(wǎng)、觸覺互聯(lián)網(wǎng)等更高數(shù)據(jù)速率、更低時(shí)延和更大規(guī)模的設(shè)備連接，對(duì)安全提出挑戰(zhàn)。5G網(wǎng)絡(luò)將在提升移動(dòng)互聯(lián)網(wǎng)用戶業(yè)務(wù)體驗(yàn)的基礎(chǔ)上，進(jìn)一步滿足了未來物聯(lián)網(wǎng)應(yīng)用的海量需求，與工業(yè)、醫(yī)療、交通等行業(yè)深度融合。5G網(wǎng)絡(luò)新的發(fā)展趨勢(shì)，尤其是5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)，對(duì)安全和用戶隱私保護(hù)都提出了新的挑戰(zhàn)。當(dāng)前，5G的國(guó)際標(biāo)準(zhǔn)化工作已經(jīng)完成，其中5G網(wǎng)絡(luò)安全也是重要的組成部分。除滿足基本通信安全外，5G安全機(jī)制還需要能夠?yàn)椴煌瑯I(yè)務(wù)場(chǎng)景提供差異化安全服務(wù)，能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保障用戶隱私，并提供開放的安全能力。

1.5G通信技術(shù)面臨的安全威脅

1.1空口的安全威脅

空口指用戶終端和基站設(shè)備間的空中無線信號(hào)傳播?？湛诘陌踩{主要表現(xiàn)為：信息泄露：在基站發(fā)射信號(hào)的覆蓋區(qū)域，非法用戶也能接收，并通過偵聽、嗅探、暴力破解等手段獲取基站的轉(zhuǎn)發(fā)數(shù)據(jù)，造成信息泄露;數(shù)據(jù)欺騙，例如偽造虛假的基站發(fā)射無線信號(hào)，騙取合法用戶接入，然后盜取用戶數(shù)據(jù)或?qū)嵤┢墼p;攻擊設(shè)備發(fā)射強(qiáng)干擾信號(hào)，破壞正常用戶和基站的無線連接，從而造成正?；镜臉I(yè)務(wù)中斷。

1.2網(wǎng)絡(luò)切片技術(shù)威脅

網(wǎng)絡(luò)切片是 5G 通信技術(shù)接入的重要渠道，更是決定網(wǎng)絡(luò)通信特征的關(guān)鍵要素，它的作用是為網(wǎng)絡(luò)系統(tǒng)構(gòu)成端點(diǎn)系統(tǒng)構(gòu)建提供邏輯關(guān)系平臺(tái)，能夠根據(jù)不同網(wǎng)絡(luò)的要求構(gòu)建更多元化的服務(wù)體系。是根據(jù)不同業(yè)務(wù)應(yīng)用對(duì)用戶數(shù)、QoS、帶寬的要求，將物理網(wǎng)絡(luò)切成多張相互獨(dú)立的邏輯網(wǎng)絡(luò)，切出了多張?zhí)摂M網(wǎng)絡(luò)讓業(yè)務(wù)變得更加靈活多樣。每個(gè)網(wǎng)絡(luò)切片從無線接入網(wǎng)到承載網(wǎng)再到核心網(wǎng)在邏輯上隔離，適配各種類型的業(yè)務(wù)應(yīng)用。網(wǎng)絡(luò)切片做到了：端到端的按需定制并能保證隔離性。想實(shí)現(xiàn)網(wǎng)絡(luò)切片，NFV（網(wǎng)絡(luò)功能虛擬化）是先決條件。而結(jié)合網(wǎng)絡(luò)切片功能與技術(shù)方面的特點(diǎn)可知，不同切片結(jié)構(gòu)在通信方面均存在信道交叉等情況，若是未做好全面的隔離措施，則極有可能在數(shù)據(jù)傳輸過程中，出現(xiàn)非法訪問等情況，使原有傳輸?shù)臄?shù)據(jù)渠道受到篡改，影響用戶對(duì)數(shù)據(jù)的正常使用與管理。其次，相同結(jié)構(gòu)與業(yè)務(wù)類型的網(wǎng)絡(luò)切片之間也極易相互影響，使切片中傳導(dǎo)的資料相互干擾，如此便無法保障 5G 通信技術(shù)內(nèi)數(shù)據(jù)傳導(dǎo)的穩(wěn)定性與安全性。

1.3 5G通信系統(tǒng)安全威脅

（1）用戶終端：隨著 5G 網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)大，用戶終端的數(shù)量和類型也在不斷拓展，因此用戶終端也極易受到移動(dòng)惡意軟件的攻擊。該過程中，攻擊者向終端用戶發(fā)布惡意軟件，誘導(dǎo)其接入，獲取用戶的通信鏈路，進(jìn)而得到用戶終端的用戶身份數(shù)據(jù)、活動(dòng)情況以及個(gè)人隱私等敏感信息，給違法行為提供了便利。同時(shí)，5G 通信系統(tǒng)的傳輸帶寬更大，連接方式更豐富，通信速率更快，這也為外界病毒入侵提供了更加有利的接入條件，用戶終端更容易受到惡意行為的攻擊。

（2）網(wǎng)絡(luò)接入：網(wǎng)絡(luò)接入的過程中，也容易存在很多的安全問題。事實(shí)上，4G 時(shí)代向 5G 時(shí)代的過渡，技術(shù)之間的融合十分關(guān)鍵，需要制定更加科學(xué)、完善的接入方案。該過程中，來自 4G接入網(wǎng)的攻擊會(huì)對(duì)基站安全進(jìn)行干擾，會(huì)給 5G 通信系統(tǒng)的穩(wěn)定運(yùn)行帶來一定的沖擊。除此之外，攻擊者還會(huì)在攻擊 LTE 網(wǎng)絡(luò)時(shí)，發(fā)送控制協(xié)議，對(duì)用戶網(wǎng)絡(luò)管理平臺(tái)系統(tǒng)結(jié)構(gòu)進(jìn)行篡改，使 5G 接入設(shè)備的正常運(yùn)轉(zhuǎn)效率難以得到保障。

2.5G系統(tǒng)的安全解決方案

2.1空口的安全解決方案

需支持雙向認(rèn)證。在2G時(shí)代，移動(dòng)終端使用普通用戶身份識(shí)別卡（SIM），只支持可擴(kuò)展身份認(rèn)證協(xié)議單向鑒權(quán)，即網(wǎng)絡(luò)對(duì) SIM 卡進(jìn)行身份合法性認(rèn)證，而沒有用戶終端對(duì)網(wǎng)絡(luò)的認(rèn)證，這就造成“偽基站”。長(zhǎng)期演進(jìn)（LTE）使用了全新的雙向認(rèn)證方式，使用配置用戶識(shí)別模塊（UIM）的USIM卡，只有都完成網(wǎng)絡(luò)對(duì)終端認(rèn)證和終端對(duì)網(wǎng)絡(luò)認(rèn)證后才接入網(wǎng)絡(luò)。5G 支持統(tǒng)一框架下的雙向認(rèn)證。

（2）開發(fā)和利用適合5G網(wǎng)絡(luò)特性的安全協(xié)議來實(shí)現(xiàn)多域融合的密鑰管理、網(wǎng)絡(luò)和用戶身份認(rèn)證、用戶隱私保護(hù)、網(wǎng)絡(luò)空口數(shù)據(jù)保護(hù)、完整性保護(hù)、端到端安全認(rèn)證和數(shù)據(jù)保護(hù)、安全域融合等功能需求。

2.2網(wǎng)絡(luò)切片的安全解決方案

（1）網(wǎng)絡(luò)資源隔離，不同切片采用不同密鑰。

（2）切片ID驗(yàn)證，避免未經(jīng)授權(quán)的切片訪問。

（3）不同切片使用不同 Key 或者授權(quán)機(jī)制，防止 Key 泄露引發(fā)的切片攻擊。

（4）運(yùn)維審計(jì)，操作可追溯。

（5）對(duì)合法用戶異常行為進(jìn)行抑制，限制接入，強(qiáng)制下線。

2.3 5G傳輸安全解決方案

5G 設(shè)備的傳輸安全主要包括N2、N3口的傳輸安全，在不同的協(xié)議層都有各自的安全解決方案。物理層通過線纜屏蔽傳輸信號(hào)，防止外部監(jiān)測(cè)和干擾，同時(shí)支持多物理鏈路和多設(shè)備商簽名證書來對(duì)基站進(jìn)行身份驗(yàn)證，驗(yàn)證通過后給基站簽發(fā)運(yùn)營(yíng)商證書并返回證書響應(yīng)，基站證書替換為運(yùn)營(yíng)商簽名證書，完成基站注冊(cè)。隨后基站就使用運(yùn)營(yíng)商簽名證書和核心網(wǎng)安全網(wǎng)關(guān)建立 IPSec連接。

2.4網(wǎng)管接口的安全方案

網(wǎng)管是對(duì)基站設(shè)備的管理系統(tǒng)完成基本的數(shù)據(jù)配置、監(jiān)測(cè)控制、性能統(tǒng)計(jì)等功能?；九c網(wǎng)管系統(tǒng)通過 IP 網(wǎng)絡(luò)連接，有可能暴露在公網(wǎng)，因此面臨非法入侵、信息泄露、服務(wù)中斷、物理破壞等安全威脅。和網(wǎng)管接口相關(guān)的安全解決方案如下幾個(gè)方面。

（1）賬戶管理。賬戶管理支持常用的用戶名密碼方式認(rèn)證，以及基于 PKI 的數(shù)字證書雙因素認(rèn)證方式。為了避免用戶密碼被暴力破解，系統(tǒng)支持對(duì)登錄密碼嘗試次數(shù)做限定，超出嘗試次數(shù)，用戶會(huì)被鎖定，鎖定又支持按照用戶來源鎖定和按照用戶鎖定的鎖定策略。

（2）權(quán)限管理。對(duì)接入系統(tǒng)的用戶需要做身份認(rèn)證，非授權(quán)用戶不能接入系統(tǒng)。用戶接入系統(tǒng)后，還需要進(jìn)行權(quán)限控制，即用戶能夠讀取/修改/執(zhí)行系統(tǒng)文件是否在授權(quán)范圍內(nèi)。系統(tǒng)需要對(duì)用戶分組，不同等級(jí)的用戶分組有不同的權(quán)限。登錄用戶通過身份驗(yàn)證后，可以對(duì) 5G 基站設(shè)備進(jìn)行管理操作。基站需要根據(jù)用戶的分組對(duì)用戶操作進(jìn)行授權(quán)控制，為用戶授予相應(yīng)的操作權(quán)限。系統(tǒng)遵循最小特權(quán)和職責(zé)分離的原則，為不同職能的用戶創(chuàng)建出不同權(quán)限的角色。同樣，帳號(hào)信息類也有專門的權(quán)限控制，只有授予了帳號(hào)修改權(quán)限的安全管理員才能對(duì)帳號(hào)以及權(quán)限進(jìn)行配置，避免帳號(hào)權(quán)限被惡意修改。

3.結(jié)束語

保障5G網(wǎng)絡(luò)與安全同步發(fā)展，所以在5G網(wǎng)絡(luò)的整體架構(gòu)設(shè)計(jì)、業(yè)務(wù)流程、后續(xù)標(biāo)準(zhǔn)化工作中，一定要綜合考慮5G安全要求，形成全國(guó)統(tǒng)一的5G安全技術(shù)標(biāo)準(zhǔn)，加強(qiáng)5G與各行業(yè)的融合創(chuàng)新研究，構(gòu)建靈活、高效、安全的5G網(wǎng)絡(luò)。應(yīng)該同步開展安全技術(shù)創(chuàng)新與產(chǎn)品研發(fā)，以便我國(guó)商用部署的5G網(wǎng)絡(luò)能夠?yàn)椴煌瑯I(yè)務(wù)場(chǎng)景提供差異化安全服務(wù)，適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)的需求，確保三大應(yīng)用場(chǎng)景下的信息安全。

參考文獻(xiàn)

魏小兵，5G移動(dòng)通信技術(shù)應(yīng)用與發(fā)展前景[J].數(shù)字技術(shù)與應(yīng)用，2018.

[3]? 李忠文，5G無線通信技術(shù)概念及其應(yīng)用研究 [J]. 通訊世界，2018.

[4] 張兆信，趙永葆. 計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用[M]. 北京：機(jī)械工業(yè)出版社，2005.

[5] 余建斌. 黑客的攻擊手段及用戶對(duì)策[M]. 北京：人民郵電出版社，1998

作者簡(jiǎn)介：王寧（1984.3-），男，學(xué)士，工程師;研究方向?yàn)橛?jì)算機(jī)應(yīng)用。