5G 應(yīng)用安全解決方案淺析

高翔

（中通服中?？萍加邢薰荆瑥V東 廣州 510630）

0 引言

5G 是最新最先進(jìn)的通信技術(shù)，充當(dāng)行業(yè)基石的作用，為各個(gè)行業(yè)提供高速、可靠信息交互。基于5G 技術(shù)eMBB、uRLLC、mMTC 的三大應(yīng)用場(chǎng)景，5G 技術(shù)被融入各行各業(yè)的基礎(chǔ)領(lǐng)域和關(guān)鍵領(lǐng)域，同一個(gè)行業(yè)的不同部門之間、不同行業(yè)之間的信息傳輸與關(guān)聯(lián)，速度與效率達(dá)到了一個(gè)前所未有的高度，5G 網(wǎng)絡(luò)通信技術(shù)實(shí)現(xiàn)了人與物，物與物的互聯(lián)，在一定意義上將各個(gè)獨(dú)立的工作個(gè)體關(guān)聯(lián)成為一個(gè)高效的信息交互整體，推動(dòng)行業(yè)經(jīng)濟(jì)和技術(shù)的進(jìn)步。5G 技術(shù)雖然有著各項(xiàng)不可比擬的優(yōu)勢(shì)，但也會(huì)面臨著新的網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)，如何進(jìn)一步完善5G 通信安全保護(hù)機(jī)制是亟待解決的問題。應(yīng)分析各應(yīng)用場(chǎng)景的具體安全需求，并提出相應(yīng)的安全措施，在給出5G 安全參考架構(gòu)的基礎(chǔ)上提出5G 應(yīng)用的安全解決方案。

1 5G 技術(shù)特點(diǎn)

5G 引用軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)功能虛擬化、多接入邊緣計(jì)算技術(shù)，極大提高了通信系統(tǒng)的高效性和靈活性，具有高速率、低延時(shí)、大寬帶、低功耗等獨(dú)特優(yōu)勢(shì)。

1.1 高速率

5G 通信較上一代4G 通信的數(shù)據(jù)傳輸效率提升了近十倍，5G 的傳輸速率最高可達(dá)10Gbps，使得用戶在觀看或傳輸高清視頻、使用虛擬現(xiàn)實(shí)產(chǎn)品時(shí)可不受流量限制；高速率的數(shù)據(jù)傳輸，使得用戶更青睞采用數(shù)據(jù)云端存儲(chǔ)的生活和工作方式，逐漸減少對(duì)移動(dòng)硬盤的依賴，進(jìn)一步提升信息存儲(chǔ)和提取的效率和安全性。

1.2 低功耗

5G 技術(shù)支持眾多的終端設(shè)備低功耗連接，使得終端設(shè)備的使用時(shí)長(zhǎng)得到極大的提升，方便了需長(zhǎng)時(shí)間使用的終端應(yīng)用設(shè)備的部署，如智能家居、智慧港口、智慧城市的部署應(yīng)用。同時(shí)5G還具備成熟的低功耗廣域網(wǎng)技術(shù)，可以滿足傳輸距離遠(yuǎn)、傳輸數(shù)據(jù)量小，且需長(zhǎng)時(shí)間待機(jī)維持正常工作的終端應(yīng)用，如智能天氣觀測(cè)、智能電表讀取、智能空氣凈化器等。

1.3 低時(shí)延

5G 通信較上一代4G 通信的數(shù)據(jù)傳輸延時(shí)縮短了近10 倍，4G 的數(shù)據(jù)傳輸延時(shí)為10ms 左右，而5G 的數(shù)據(jù)傳輸延時(shí)可達(dá)1ms。5G 的低時(shí)延特性為對(duì)網(wǎng)絡(luò)時(shí)效性要求極高的應(yīng)用提供了技術(shù)支持，如自動(dòng)駕駛、工業(yè)自動(dòng)化、遠(yuǎn)程醫(yī)療等，使得這些應(yīng)用在日常的工作中或面臨突發(fā)狀況時(shí)能高效快速精準(zhǔn)地處理好問題。

1.4 5G 泛在網(wǎng)

5G 的高速率、低時(shí)延、大帶寬使得5G 能夠建成全面覆蓋的泛在網(wǎng)，主要從兩個(gè)角度出發(fā)：橫向覆蓋和縱深覆蓋。橫向覆蓋指將全中國(guó)各個(gè)省、市、自治區(qū)、直轄市、特別行政區(qū)劃都囊括到5G 網(wǎng)絡(luò)系統(tǒng)中來；縱深覆蓋指將所有的通信死角納入5G 互聯(lián)網(wǎng)絡(luò)，如地下車庫、衛(wèi)生間等場(chǎng)所。泛在網(wǎng)的構(gòu)建，使得社會(huì)每個(gè)角落的信息都能夠被采集和傳輸，極大地提升了社會(huì)的活力和生產(chǎn)效率。

2 5G 不同應(yīng)用場(chǎng)景的安全需求

不同的5G 應(yīng)用場(chǎng)景對(duì)安全的需求是不同的，5G 通信應(yīng)對(duì)eMBB、mMTC、uRLLC 等應(yīng)用場(chǎng)景提供不同的安全需求保護(hù)機(jī)制，制定差異化的安全措施。5G 應(yīng)用安全需求及應(yīng)對(duì)措施如表1所示。

表1 5G 應(yīng)用安全需求及應(yīng)對(duì)措施

2.1 eMBB 的安全需求及措施

隨著eMBB 增強(qiáng)型移動(dòng)寬帶業(yè)務(wù)的應(yīng)用，網(wǎng)絡(luò)數(shù)據(jù)傳輸速率和用戶體驗(yàn)都提升了10 倍以上，使得工作和生活上的信息上傳量巨大，超大的流量數(shù)據(jù)使得網(wǎng)絡(luò)安全機(jī)制對(duì)內(nèi)容識(shí)別、流量檢測(cè)、信息加密解密技術(shù)的力度提出了更高的要求，也對(duì)安全機(jī)制計(jì)算數(shù)據(jù)和處理數(shù)據(jù)的能力提出了更高的要求，同時(shí)對(duì)在海量信息數(shù)據(jù)中對(duì)用戶的隱私進(jìn)行更有效的保護(hù)提出了更高的要求。

為了更有效地對(duì)網(wǎng)絡(luò)信息進(jìn)行有效監(jiān)測(cè)，須在網(wǎng)絡(luò)入口部署安全基礎(chǔ)設(shè)施，對(duì)上傳的信息內(nèi)容進(jìn)行嚴(yán)格的識(shí)別和檢測(cè)；在邊緣計(jì)算節(jié)點(diǎn)實(shí)施流量監(jiān)控，對(duì)流量的時(shí)間、流向進(jìn)行監(jiān)督，一旦發(fā)現(xiàn)風(fēng)險(xiǎn)立即終止服務(wù)；構(gòu)建云化基礎(chǔ)設(shè)施，提升5G 通信網(wǎng)絡(luò)對(duì)流量數(shù)據(jù)的計(jì)算能力和處理能力；在對(duì)用戶數(shù)據(jù)隱私的保護(hù)上，建立二次身份認(rèn)證機(jī)制，用戶使用的終端應(yīng)用與服務(wù)平臺(tái)之間需要進(jìn)行二次認(rèn)證，確保信息申請(qǐng)?jiān)L問的真實(shí)性和合法性；實(shí)現(xiàn)密鑰管理機(jī)制，對(duì)信息安全要求高的信息進(jìn)行加密傳輸，確保用戶的隱私安全；為有特殊需求的用戶提供特定網(wǎng)絡(luò)切片，構(gòu)建專屬的信息傳輸通道，增強(qiáng)信息傳輸?shù)陌踩?，保護(hù)用戶的隱私安全。

2.2 uRLLC 的安全需求及措施

5G 通信較上一代4G 通信的數(shù)據(jù)傳輸延時(shí)縮短了近10 倍，4G 的數(shù)據(jù)傳輸延時(shí)為10ms 左右，而5G 的數(shù)據(jù)傳輸延時(shí)可達(dá)1ms。5G 的低時(shí)延特性為對(duì)網(wǎng)絡(luò)時(shí)效性要求極高的應(yīng)用提供了技術(shù)支持，如自動(dòng)駕駛、工業(yè)自動(dòng)化、遠(yuǎn)程醫(yī)療等，使得這些應(yīng)用在日常的工作中或面臨突發(fā)狀況時(shí)能高效快速精準(zhǔn)地處理好問題。同時(shí)也需確保低時(shí)延傳輸?shù)陌踩?，防止外部惡意程序入侵或操控，一旦傳輸系統(tǒng)被不法分子操控，這對(duì)高度依賴低延時(shí)處理和解決問題的應(yīng)用將構(gòu)成嚴(yán)重威脅，不僅會(huì)造成經(jīng)濟(jì)損失，而且會(huì)造成人員生命安全。因此，對(duì)低延時(shí)應(yīng)用場(chǎng)景的安全防護(hù)尤為重要，這對(duì)構(gòu)建高效的uRLLC 安全防護(hù)機(jī)制提出了更高的要求。

在用戶終端和應(yīng)用服務(wù)器之間建立雙向身份認(rèn)證機(jī)制，防止虛假用戶建立連接.部署防DDoS 功能，以防止網(wǎng)絡(luò)擁塞、無線干擾和通信鏈路中斷。通過部署在邊緣計(jì)算的安全能力，以及數(shù)據(jù)完整性保護(hù)、時(shí)間戳、序列號(hào)等機(jī)制，防止應(yīng)用程序數(shù)據(jù)被篡改或重放等，從而確保數(shù)據(jù)傳輸?shù)目煽啃訹1]。

同加強(qiáng)對(duì)MEC 邊緣計(jì)算的安全防護(hù)：MEC 邊緣計(jì)算安全防護(hù)措施主要包括對(duì)流量分析的攻擊溯源、全流量分析、全流量回溯等程序方案。

基于流量分析的攻擊溯源：5G 運(yùn)營(yíng)商應(yīng)健全流量朔源分析系統(tǒng)和威脅檢測(cè)系統(tǒng)，對(duì)攻擊行為進(jìn)行流量檢測(cè)分析，通過流量溯源還原攻擊行為的攻擊過程，有針對(duì)性的進(jìn)行問題修復(fù)。流量分析攻擊溯源系統(tǒng)的功能主要有以下4 點(diǎn)：全流量分析；全流量回溯；威脅檢測(cè)；未知威脅分析。全流量分析：5G 運(yùn)營(yíng)商通過人工大致分析和系統(tǒng)自動(dòng)化追蹤具體分析結(jié)合，通過協(xié)議或引用層層下鉆，找到數(shù)據(jù)的原始PCAP 詳細(xì)信息，對(duì)這些數(shù)據(jù)進(jìn)行自動(dòng)化分析，經(jīng)過篩選找到想要的信息。全流量回溯：5G 運(yùn)營(yíng)商的流量回溯系統(tǒng)通過對(duì)應(yīng)用使用流量的監(jiān)控、信息保存、時(shí)間段和趨勢(shì)分析，結(jié)合流量數(shù)據(jù)查詢系統(tǒng)進(jìn)行流量的回溯以及對(duì)PCAP 原始數(shù)據(jù)的分析。

2.3 mMTC 的安全需求及措施

mMTC 廣連接低功耗業(yè)務(wù)可在1km2的范圍內(nèi)支持同時(shí)連接十萬臺(tái)終端設(shè)備的使用，是以往4G 通信網(wǎng)絡(luò)的10 倍。雖然支持海量的終端設(shè)備聯(lián)網(wǎng)，但是在業(yè)務(wù)極高的峰值時(shí)，如果終端設(shè)備請(qǐng)求信令超過了平臺(tái)的信令處理能力，就會(huì)產(chǎn)生信令風(fēng)暴，造成平臺(tái)故障的產(chǎn)生。由于連接的終端設(shè)備數(shù)量太多，難以保證終端設(shè)備的使用安全，如果不對(duì)終端設(shè)備進(jìn)行管控，那么不法分子就會(huì)利用漏洞劫持正在使用的終端設(shè)備，對(duì)通信網(wǎng)絡(luò)的基礎(chǔ)設(shè)施甚至關(guān)鍵設(shè)施進(jìn)行全部或局部的DDOS 攻擊，造成網(wǎng)絡(luò)擁擠甚至網(wǎng)絡(luò)服務(wù)癱瘓。因此，對(duì)于mMTC 的安全需求而言，確保終端設(shè)備使用的安全性，增強(qiáng)抵抗DDOS 攻擊的防御性是非常重要的。

確保終端設(shè)備的安全性主要有三大措施：采用輕量級(jí)安全算法和簡(jiǎn)單高效的協(xié)議，實(shí)現(xiàn)海量終端設(shè)備與服務(wù)平臺(tái)之間的雙向認(rèn)證；構(gòu)建終端設(shè)備數(shù)據(jù)傳輸加密機(jī)制，對(duì)用戶從終端設(shè)備上傳的敏感數(shù)據(jù)進(jìn)行安全加密，防止非法分子從傳輸路徑上進(jìn)行攔截、解密、改造數(shù)據(jù)；在終端設(shè)備的接入端部署安全監(jiān)控機(jī)制，對(duì)終端設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)分析，一旦發(fā)現(xiàn)終端設(shè)備有異常的行為，馬上切斷終端設(shè)備與服務(wù)平臺(tái)之間的連接，可防止終端設(shè)備被惡意操控，從而保障整個(gè)網(wǎng)絡(luò)的安全性。

3 5G 應(yīng)用安全解決方案

終端層、網(wǎng)絡(luò)層、服務(wù)層、平臺(tái)層構(gòu)建成了5G 應(yīng)用的參考架構(gòu)。5G 應(yīng)用參考架構(gòu)如圖1 所示。

圖1 5G 應(yīng)用參考架構(gòu)

3.1 終端層解決方案

終端層是5G 應(yīng)用參考架構(gòu)消息的接受層和傳輸層，主要通過各種智能終端設(shè)備來對(duì)信息進(jìn)行采集和呈現(xiàn)。但是由于海量終端設(shè)備的存儲(chǔ)能力和數(shù)據(jù)處理能力有限，在終端層構(gòu)建信息安全保護(hù)機(jī)制的難度較大。

3.1.1 防御DDOS 攻擊

需對(duì)終端設(shè)備進(jìn)行嚴(yán)格的監(jiān)測(cè)，預(yù)防來自終端設(shè)備的DDOS攻擊，這類攻擊可能是黑客入侵終端設(shè)備發(fā)起的，也可能是由于服務(wù)器癱瘓引起的海量終端設(shè)備同時(shí)發(fā)出信令注冊(cè)導(dǎo)致的。因此，需要在終端設(shè)備構(gòu)建完善的安全檢測(cè)機(jī)制，采用輕量級(jí)安全算法和簡(jiǎn)單高效的協(xié)議，實(shí)現(xiàn)海量終端設(shè)備與服務(wù)平臺(tái)之間的雙向認(rèn)證；構(gòu)建終端設(shè)備數(shù)據(jù)傳輸加密機(jī)制，對(duì)用戶從終端設(shè)備上傳的敏感數(shù)據(jù)進(jìn)行安全加密，防止非法分子從傳輸路徑上進(jìn)行攔截、解密、改造數(shù)據(jù)；在終端設(shè)備的接入端部署安全監(jiān)控機(jī)制，對(duì)終端設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)分析，一旦發(fā)現(xiàn)終端設(shè)備有異常的行為，馬上切斷終端設(shè)備與服務(wù)平臺(tái)之間的連接，可防止終端設(shè)備被惡意操控，從而保障整個(gè)網(wǎng)絡(luò)的安全性。

3.1.2 終端入侵防護(hù)

為了防止終端設(shè)備被黑客入侵而造成損失，可在終端設(shè)備中內(nèi)置安全功能，如SSH 安全登錄、TLS 傳輸加密、內(nèi)置安全芯片及信令加密保護(hù)機(jī)制[2]。

3.2 網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層在5G 應(yīng)用參考架構(gòu)中起著信息傳輸橋梁的作用，網(wǎng)絡(luò)層能夠快速、可靠地實(shí)現(xiàn)兩個(gè)終端設(shè)備之間的信息傳輸。確保網(wǎng)絡(luò)層的安全主要從網(wǎng)絡(luò)組件著手，加強(qiáng)空口、5G 切片、MEC、承載網(wǎng)絡(luò)的安全建設(shè)。

3.2.1 基站空口安全

采用SUCI 加密、空口PDCP 數(shù)據(jù)包加密技術(shù)，防止不法分子通過空口劫取用戶上傳的敏感信息，進(jìn)行竊聽、篡改數(shù)據(jù)，造成用戶損失；構(gòu)建DDOS 監(jiān)測(cè)防御機(jī)制，當(dāng)基站遭受DDOS 攻擊時(shí)能進(jìn)入自動(dòng)防御狀態(tài)，減少損失；構(gòu)建偽基站偵察系統(tǒng)，當(dāng)有偽基站對(duì)基站進(jìn)行惡意干擾和攻擊時(shí)，偵察系統(tǒng)第一時(shí)間進(jìn)行監(jiān)測(cè)，找到偽基站的位置，從而采取針對(duì)性措施降低損失。

3.2.2 5G 切片安全

5G 網(wǎng)絡(luò)切片可以根據(jù)不同的邏輯需求分離出多個(gè)不同的虛擬通道，以適配不同類型的應(yīng)用，其安全防護(hù)應(yīng)從以下幾方面進(jìn)行：切片安全定制，根據(jù)不同場(chǎng)景安全需求不同，設(shè)置不同的切片安全等級(jí)，提供多種類型的網(wǎng)絡(luò)切片來滿足客戶不同的應(yīng)用場(chǎng)景需求，從而實(shí)現(xiàn)不同業(yè)務(wù)的有效隔離；做好切片之間的隔離，使各切片工作互不影響，做到完全意義上的獨(dú)立，一個(gè)切片的損壞不會(huì)影響到另外一個(gè)切片的正常使用；確保用戶對(duì)切片的正常訪問，同時(shí)為確保用戶對(duì)網(wǎng)絡(luò)切片的合法訪問，需要用戶和網(wǎng)絡(luò)運(yùn)營(yíng)商的雙重身份驗(yàn)證授權(quán)；切片安全管理，5G 運(yùn)營(yíng)商運(yùn)用虛擬技術(shù)，組建切片網(wǎng)絡(luò)安全資源池，為海量終端設(shè)備用戶提供網(wǎng)絡(luò)安全服務(wù)，運(yùn)用NFV 技術(shù)，5G 運(yùn)營(yíng)商在收到終端設(shè)備用戶的相關(guān)安全需求時(shí)，進(jìn)行安全策略配置，為終端設(shè)備用戶提供準(zhǔn)確而高效的安全服務(wù)；切片防護(hù)定制，對(duì)不同的切片應(yīng)啟用不同的定制安全防護(hù)，5G 運(yùn)營(yíng)商安全資源池應(yīng)當(dāng)提供但不限于認(rèn)證、入侵防護(hù)、入侵檢測(cè)、抗DDOS 攻擊[4]、反病毒程序保護(hù)、反惡意軟件檢測(cè)、安全事件管理系統(tǒng)等安全防護(hù)機(jī)制服務(wù)。

3.3 5G 平臺(tái)層安全解決方案

各類大數(shù)據(jù)平臺(tái)、AI 智能平臺(tái)組成了5G 參考構(gòu)架中的平臺(tái)層。平臺(tái)層具有承上啟下的過度作用，具有把接受到的數(shù)據(jù)進(jìn)行存儲(chǔ)、計(jì)算、分析并把處理好的信息傳遞給服務(wù)層的功能。

3.3.1 5G 通信接口安全

對(duì)通信接口進(jìn)行加密，對(duì)終端設(shè)備用戶的賬戶和密碼進(jìn)行維護(hù)管理并加密。

3.3.2 5G 平臺(tái)數(shù)據(jù)安全

5G 平臺(tái)層的數(shù)據(jù)安全體現(xiàn)在數(shù)據(jù)的完整性、可用性、隱私性，而大數(shù)據(jù)平臺(tái)所采集數(shù)據(jù)信息的安全性直接影響到平臺(tái)層數(shù)據(jù)信息的安全性，可采用冗余技術(shù)保證數(shù)據(jù)的可以性，采用數(shù)據(jù)驗(yàn)證技術(shù)確保數(shù)據(jù)完整性，采取訪問控制確保數(shù)據(jù)的隱私性。

3.4 5G 服務(wù)層安全解決方案

服務(wù)層是通過各種系統(tǒng)應(yīng)用軟件將處理好的數(shù)據(jù)信息呈現(xiàn)在終端設(shè)備上，它的安全性主要體現(xiàn)在軟件使用安全和系統(tǒng)操作及維護(hù)運(yùn)行方面。

3.4.1 應(yīng)用系統(tǒng)軟件安全

通過軟件自身或者通過其他軟件或操作系統(tǒng)來掃描軟件自身存在的漏洞并加以修復(fù)，進(jìn)而提升軟件安全性能。切勿安裝未知來源軟件，該軟件可能存在捆綁病毒而使5G 應(yīng)用軟件遭到侵害。

3.4.2 應(yīng)用系統(tǒng)安全運(yùn)維

應(yīng)用系統(tǒng)運(yùn)維的安全性主要體現(xiàn)在對(duì)應(yīng)用系統(tǒng)的操作和使用方面。應(yīng)用系統(tǒng)操作用戶應(yīng)具有很高的信息安全控制能力和自我安全約束能力，不下載未知來源的軟件對(duì)系統(tǒng)造成破壞，不泄露終端設(shè)備的賬號(hào)和密碼。定期給系統(tǒng)體檢、修復(fù)、升級(jí)。5G 應(yīng)用安全解決方案如圖2 所示。

圖2 5G 應(yīng)用安全解決方案

4 結(jié)語

5G 是最新最先進(jìn)的通信技術(shù)，充當(dāng)行業(yè)基石的作用，為各個(gè)行業(yè)提供高速、可靠信息交互。基于5G 技術(shù)eMBB、uRLLC、mMTC 的三大應(yīng)用場(chǎng)景，5G 技術(shù)被融入各行各業(yè)的基礎(chǔ)領(lǐng)域和關(guān)鍵領(lǐng)域。5G 技術(shù)雖然有著各項(xiàng)不可比擬的優(yōu)勢(shì)，但也會(huì)面臨著新的網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)，如何進(jìn)一步完善5G 通信安全保護(hù)機(jī)制是亟待解決的問題。本文分析了各應(yīng)用場(chǎng)景的具體安全需求，并提出了相應(yīng)的安全措施，在給出5G 安全參考架構(gòu)的基礎(chǔ)上提出5G應(yīng)用的安全解決方案。