5G網(wǎng)絡(luò)安全發(fā)展趨勢研究*

李俠宇 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所主任工程師

沈鴻 中國電信股份有限公司北京分公司高級工程師

5G網(wǎng)絡(luò)安全發(fā)展趨勢研究*

李俠宇 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所主任工程師

沈鴻 中國電信股份有限公司北京分公司高級工程師

5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)，都會對網(wǎng)絡(luò)安全和用戶隱私保護提出新的挑戰(zhàn)。本文基于5G需求與愿景研究進展，分析5G網(wǎng)絡(luò)面臨的安全問題和發(fā)展趨勢，為后續(xù)5G安全網(wǎng)絡(luò)架構(gòu)的研究和標(biāo)準(zhǔn)化工作提出了建議。

5G；移動互聯(lián)網(wǎng)；物聯(lián)網(wǎng)；網(wǎng)絡(luò)安全

1 引言

經(jīng)過三十多年的飛速發(fā)展，移動通信已成為應(yīng)用最為普及的信息通信技術(shù)。移動通信融入至社會生活的每個角落，深刻地改變了人們的溝通、交流乃至整個生活方式。當(dāng)前，全球新一輪科技革命和產(chǎn)業(yè)變革正孕育興起,跨行業(yè)、跨領(lǐng)域的融合創(chuàng)新不斷深入，將產(chǎn)生大量新應(yīng)用、新業(yè)態(tài)、新模式，對移動通信技術(shù)也提出了更高要求。隨著移動互聯(lián)網(wǎng)應(yīng)用的進一步發(fā)展，以及智慧城市、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等物聯(lián)網(wǎng)及行業(yè)應(yīng)用的爆發(fā)式增長，2020及未來移動通信將面臨千倍數(shù)據(jù)流量增長和千億設(shè)備聯(lián)網(wǎng)需求?，F(xiàn)有移動通信系統(tǒng)面臨巨大挑戰(zhàn)，迫切需要研發(fā)第五代移動通信（5G）以滿足各種移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)場景的多樣化極致業(yè)務(wù)需求。5G作為新一代移動通信技術(shù)發(fā)展的方向，將在提升移動互聯(lián)網(wǎng)用戶業(yè)務(wù)體驗的基礎(chǔ)上，進一步滿足未來物聯(lián)網(wǎng)應(yīng)用的海量需求，與工業(yè)、醫(yī)療、交通等行業(yè)深度融合，實現(xiàn)真正的“萬物互聯(lián)”。

面對5G網(wǎng)絡(luò)的新發(fā)展趨勢，尤其是5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)，都會對安全和用戶隱私保護提出新的挑戰(zhàn)。5G安全機制除了要滿足基本通信安全，還需要為不同業(yè)務(wù)場景提供差異化安全服務(wù)，能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保護用戶隱私，并支持提供開放的安全能力。本文基于5G需求與愿景研究進展，分析5G網(wǎng)絡(luò)面臨的安全問題和發(fā)展趨勢，為后續(xù)5G安全網(wǎng)絡(luò)架構(gòu)的研究和標(biāo)準(zhǔn)化工作提出了建議。

25 G新場景帶來的安全挑戰(zhàn)

與以往移動通信系統(tǒng)相比，5G需要滿足更加多樣化的場景和極致的性能挑戰(zhàn)。歸納為移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)兩大類業(yè)務(wù)，主要包括移動寬帶增強（eMBB）、大規(guī)模物聯(lián)網(wǎng)（mMTC）和低時延高可靠（URLLC）3個5G主要技術(shù)場景。

5G的eMBB場景與傳統(tǒng)移動互聯(lián)網(wǎng)場景相比，主要的區(qū)別是為用戶提供高速的網(wǎng)絡(luò)速率和高密度的容量，因此將出現(xiàn)數(shù)量眾多的小站（Small Cell、Femtocell）。小站的部署方式、部署條件以及功能都存在靈活多樣的特點。傳統(tǒng)4G安全機制未考慮此種密集組網(wǎng)場景下的安全威脅，因此，除了傳統(tǒng)移動互聯(lián)網(wǎng)所存在的安全威脅外，在這種密集組網(wǎng)場景下可能會存在小站接入的安全威脅。

針對大規(guī)模物聯(lián)網(wǎng)場景，預(yù)計到2020年，聯(lián)網(wǎng)設(shè)備達500億臺。終端包括物聯(lián)網(wǎng)終端、RFID標(biāo)簽、近距離無線通信終端、移動通信終端、攝像頭以及傳感器網(wǎng)絡(luò)網(wǎng)關(guān)等。由于大部分物聯(lián)網(wǎng)終端具有資源受限、拓撲動態(tài)變化、網(wǎng)絡(luò)環(huán)境復(fù)雜、以數(shù)據(jù)為中心以及與應(yīng)用密切相關(guān)等特點，與傳統(tǒng)的無線網(wǎng)絡(luò)相比，更容易受到威脅和攻擊。在此海量設(shè)備情況下，為了確保信息的準(zhǔn)確有效性，需要在機器通信中引入安全機制。而若每個設(shè)備的每條消息都需要單獨認證，則網(wǎng)絡(luò)側(cè)安全信令的驗證需要消耗大量資源。在傳統(tǒng)4G網(wǎng)絡(luò)認證機制中沒有考慮到這種海量認證信令的問題，一旦網(wǎng)絡(luò)收到終端信令請求超過了網(wǎng)絡(luò)各項信令資源的處理能力，則會觸發(fā)信令風(fēng)暴，導(dǎo)致網(wǎng)絡(luò)服務(wù)出現(xiàn)問題。進一步的，整個移動通信系統(tǒng)可能會因此出現(xiàn)故障，進而崩潰。

而在低時延高可靠場景，尤其針對車聯(lián)網(wǎng)、遠程實時醫(yī)療等時延敏感應(yīng)用，提出了低時延高安全性的需要。在這些場景中，為避免車輛碰撞、手術(shù)誤操作等事故，要求5G網(wǎng)絡(luò)能在保證高可靠性的同時提供低至1ms的時延QoS保障。而傳統(tǒng)的安全協(xié)議，如認證流程、加解密流程等，在設(shè)計時未考慮超高可靠低時延的通信場景。這樣可能會帶來傳統(tǒng)的復(fù)雜的安全協(xié)議/算法造成的時延無法滿足超低時延的需求。同時，5G中超密集部署技術(shù)的應(yīng)用使得單個接入節(jié)點覆蓋范圍很小，當(dāng)車輛等終端快速移動時，網(wǎng)絡(luò)的移動性管理過程將會非常頻繁，為了低時延的目標(biāo)，安全上下文的移動性管理相關(guān)的功能單元和流程需要進行優(yōu)化。

35 G新型網(wǎng)絡(luò)架構(gòu)對安全提出了新的要求

5G新型網(wǎng)絡(luò)架構(gòu)需要具備更加靈活、更高智能和更好性能的能力，可以自動適配海量業(yè)務(wù)的差異化服務(wù)要求，基于全網(wǎng)視圖來綜合調(diào)度網(wǎng)絡(luò)資源，包括接入能力、計算能力、存儲能力和網(wǎng)絡(luò)連接能力等，具體包括：5G網(wǎng)絡(luò)基于控制和轉(zhuǎn)發(fā)分離模式實現(xiàn)用戶面更加扁平的架構(gòu)；依托新型架構(gòu)的全局控制功能，可以實現(xiàn)多種接入技術(shù)的協(xié)同控制；借鑒IT虛擬化技術(shù)思想對網(wǎng)元形態(tài)和網(wǎng)絡(luò)連接方法進行重構(gòu)，5G網(wǎng)絡(luò)的基礎(chǔ)設(shè)施引入NFV等虛擬化技術(shù)，實現(xiàn)網(wǎng)絡(luò)切片和網(wǎng)元按需部署，增加整體網(wǎng)絡(luò)的靈活性和伸縮性。

3.1 NFV安全需求

5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施平臺將更多的選擇基于通用硬件架構(gòu)的數(shù)據(jù)中心構(gòu)成支持5G網(wǎng)絡(luò)的高轉(zhuǎn)發(fā)性能和電信級管理要求。NFV技術(shù)實現(xiàn)底層物理資源到虛擬化資源的映射，構(gòu)造虛擬機（VM），加載網(wǎng)絡(luò)邏輯功能（VNF）；虛擬化系統(tǒng)實現(xiàn)對虛擬化基礎(chǔ)設(shè)施平臺的統(tǒng)一管理和資源的動態(tài)重配置。NFV具有幫助強化網(wǎng)絡(luò)安全的潛力，安全策略可編排，并且可以發(fā)揮虛擬化的優(yōu)勢，隔離業(yè)務(wù)負載從而強化安全。NFV在強化安全的同時也帶來了新的安全隱患。相比傳統(tǒng)電信設(shè)備，軟件硬件分離的特點以及虛擬化網(wǎng)絡(luò)的開放性給NFV帶來了新的潛在安全問題：

引入新的高危區(qū)域——虛擬化管理層。虛擬化管理層是NFV的核心，一旦被攻破，在其上的所有虛擬機將直接處于攻擊之下，后果將不堪設(shè)想。

彈性、虛擬網(wǎng)絡(luò)使安全邊界模糊，安全策略難于隨網(wǎng)絡(luò)調(diào)整而實時、動態(tài)遷移，虛擬機容易受到同一主機的其他虛擬機的攻擊；傳統(tǒng)基于物理安全邊界的防護機制在云計算的環(huán)境難以得到有效的應(yīng)用。

用戶失去對資源的完全控制以及多租戶共享計算資源，帶來的數(shù)據(jù)泄漏與攻擊風(fēng)險，給數(shù)據(jù)安全的保護提出了更高的要求。并且用戶、應(yīng)用和數(shù)據(jù)資源聚集，容易成為黑客攻擊的目標(biāo)，而且一旦被攻擊，影響范圍廣、危害大。

因此，5G安全針對NFV等虛擬化技術(shù)的引入，需要為網(wǎng)絡(luò)設(shè)備提供多元化的系統(tǒng)級防護，防止各類非法的攻擊和入侵。5G網(wǎng)絡(luò)環(huán)境將包含多廠家的軟硬件基礎(chǔ)設(shè)施，因此網(wǎng)絡(luò)身份必須得到有效管理，從而防止非法用戶對網(wǎng)絡(luò)資源的訪問。5G安全將提供傳輸保護，為數(shù)據(jù)傳輸提供如機密性和完整性等安全防護，應(yīng)對傳輸中數(shù)據(jù)的惡意竊聽和轉(zhuǎn)發(fā)。

3.2 網(wǎng)絡(luò)切片安全需求

網(wǎng)絡(luò)切片是5G網(wǎng)絡(luò)的關(guān)鍵特征。一個網(wǎng)絡(luò)切片將構(gòu)成一個端到端的邏輯網(wǎng)絡(luò)，按切片需求方的需求靈活地提供一種或多種網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)切片重要的安全問題是網(wǎng)絡(luò)切片需要提供不同切片實例之間的隔離機制，防止本切片內(nèi)的資源被其他類型網(wǎng)絡(luò)切片中網(wǎng)絡(luò)節(jié)點非法訪問。例如，醫(yī)療切片網(wǎng)絡(luò)中的病人，只希望被接入到本切片網(wǎng)絡(luò)中的醫(yī)生訪問，而不希望被其他切片網(wǎng)絡(luò)中的人訪問。相同業(yè)務(wù)類型的網(wǎng)絡(luò)切片之間也存在隔離的需求，例如不同的企業(yè)的在使用相同業(yè)務(wù)類型的切片網(wǎng)絡(luò)時，并不希望本企業(yè)內(nèi)的服務(wù)資源被其他企業(yè)的網(wǎng)絡(luò)切片節(jié)點訪問。

服務(wù)、資源和數(shù)據(jù)在網(wǎng)絡(luò)切片中被隔離保護的效果要達到接近于傳統(tǒng)私網(wǎng)一樣用戶感受，這樣才能使得用戶能放心的將原本存放在私有網(wǎng)絡(luò)中的應(yīng)用數(shù)據(jù)存放到在云端，用戶在享有隨時隨地可訪問私有資源的同時不需要擔(dān)憂這些資源的安全問題，這樣才能促進各種垂直業(yè)務(wù)的健康快速發(fā)展。

3.3 多RAT接入的安全需求

異構(gòu)接入網(wǎng)絡(luò)將是下一代接入網(wǎng)絡(luò)的主要技術(shù)特征之一，5G網(wǎng)絡(luò)將是多種無線接入技術(shù)融合共存的網(wǎng)絡(luò)。異構(gòu)不僅體現(xiàn)在接入技術(shù)的不同，如Wi-Fi和蜂窩網(wǎng)絡(luò)，還體現(xiàn)在接入網(wǎng)絡(luò)因為屬于不同擁有者而造成的局部網(wǎng)絡(luò)架構(gòu)方面的差異，因此，5G網(wǎng)絡(luò)需要構(gòu)建一個通用的認證機制，能夠在不同的接入技術(shù)，不安全的接入網(wǎng)之上建立一個安全的運營網(wǎng)絡(luò)。

另外，在異構(gòu)網(wǎng)絡(luò)間的安全互操作方面，終端可能在異構(gòu)網(wǎng)絡(luò)間進行切換，這時需要保證在異構(gòu)網(wǎng)絡(luò)間切換的安全互操作，如安全上下文的傳遞、密鑰的更新、異構(gòu)網(wǎng)絡(luò)間安全上下文的隔離等。

4 5G安全算法的新要求

安全算法用于在5G中用于保護終端和網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸?shù)臋C密性和認證性。數(shù)據(jù)傳輸?shù)陌踩枨髲臒o線網(wǎng)絡(luò)的誕生就一直存在，例如4G目前就在使用AES、ZUC、Snow3G安全算法。進入5G時代，需要在5G安全技術(shù)中通過安全性和計算復(fù)雜性來研究現(xiàn)有的安全算法是否能滿足5G多樣化的場景。

安全算法的安全性主要體現(xiàn)在算法的體制、結(jié)構(gòu)、密鑰的隨機性和長度。由于軟硬件計算能力以及算法分析技術(shù)的不斷發(fā)展，原來被認為足夠安全的算法也逐漸被攻破而被放棄使用。因此，需要謹慎考慮5G中將要采用的安全算法的安全性。安全算法的計算復(fù)雜度主要體現(xiàn)在各種軟硬件計算平臺上的加密、解密速度、硬件實現(xiàn)需要的邏輯門數(shù)量。5G提出了更高的數(shù)據(jù)傳輸速率，4G正在使用的那些算法是否能滿足高速率的要求？5G引入的多樣化場景包括計算資源有限的設(shè)備，4G現(xiàn)有算法是否能滿足這些場景？這些問題都需要針對5G安全技術(shù)開展不斷深入的研究。

5 結(jié)束語

未來5G安全將在更加多樣化的場景、多種接入方式以及新型網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上，提供全方位的安全保障。除滿足基本通信安全外，5G安全機制能夠為不同業(yè)務(wù)場景提供差異化安全服務(wù)，能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保護用戶隱私，并支持提供開放的安全能力。當(dāng)前，5G標(biāo)準(zhǔn)化工作已經(jīng)全面啟動，3GPPSA2在2016年底完成5G網(wǎng)絡(luò)架構(gòu)的研究工作，因此亟需盡早明確5G網(wǎng)絡(luò)安全需求，并且在5G網(wǎng)絡(luò)的整體架構(gòu)設(shè)計、業(yè)務(wù)流程、算法和后續(xù)標(biāo)準(zhǔn)化中綜合考慮5G安全要求，這樣才能最終實現(xiàn)構(gòu)建更加安全可信的5G新型網(wǎng)絡(luò)的目標(biāo)。

Telefónica與中興通訊共同完成Pre5G MassiveMIMO測試

近日，Telefónica和中興通訊宣布在西班牙馬德里成功完成了Pre5GMassiveMIMO的業(yè)務(wù)測試，這是Telefónica集團首個Pre5GMassiveMIMO測試。

2016年10 月，中興通訊和Telefónica開始在Telefónica公司總部進行Pre5GMassiveMIMO測試，評估熱點和室內(nèi)覆蓋方案的性能。測試結(jié)果顯示，Pre5GMassiveMIMO基站性能已超過預(yù)期，相比傳統(tǒng)的LTE宏基站，網(wǎng)絡(luò)容量和小區(qū)邊緣的數(shù)據(jù)速率提高6倍，通過三維波束賦形技術(shù)降低了終端用戶的干擾。測試中，同時演示了虛擬現(xiàn)實和2K視頻等新應(yīng)用。所有的測試都是基于現(xiàn)有的4G終端，包括中興通訊和其他品牌的智能手機。

Researchonthe development trend of 5Gnetwork security

LI Xiayu,SHENHong

New business, new architecture, and new technology of 5G will bring more challenges to network security. Basedon the research progress of 5G requirement and vision, This paper analyzes the problems and the development trend of 5Gnetwork security, and puts forward some suggestions on the research and standardization work of 5G security networkarchitecture..

5G；mobile internet；IoT；network security

2016-11-20）

國家863項目（2015AA01A708）資助