淺談5G面臨的安全風(fēng)險(xiǎn)

叢 海

內(nèi)蒙古自治區(qū)新聞出版廣播影視科研所 內(nèi)蒙古 呼和浩特市 010050

5G網(wǎng)絡(luò)為了能夠給產(chǎn)業(yè)側(cè)垂直行業(yè)和消費(fèi)者提供ROADS（Real-time，On-Demand，All online，DIY，Social）的體驗(yàn)，使用了諸如網(wǎng)絡(luò)功能虛擬化（NFV）、用戶面和控制面隔離（CUPS）、網(wǎng)絡(luò)切片（NS）、軟件定義網(wǎng)絡(luò)（SDN）和移動(dòng)/多接入邊緣計(jì)算（MEC）之類的技術(shù)，構(gòu)建了端到端能夠協(xié)同的云化架構(gòu)，這一架構(gòu)為在各個(gè)環(huán)節(jié)實(shí)現(xiàn)敏捷、自動(dòng)化和智能提供了可能。5G架構(gòu)由資源&功能層、網(wǎng)絡(luò)層和服務(wù)層構(gòu)成。如圖1所示。

資源和功能層中，在SDN、NFV等技術(shù)支撐下，基于物理基礎(chǔ)設(shè)施實(shí)現(xiàn)接入網(wǎng)RAN、傳輸網(wǎng)絡(luò)、MEC邊緣以及核心網(wǎng)絡(luò)的云化和可編程化。資源和功能層的另一重要能力是可編程控制，由SDN控制器以及底層的轉(zhuǎn)發(fā)節(jié)點(diǎn)組成，SDN控制器根據(jù)網(wǎng)絡(luò)的拓?fù)湟约熬唧w的業(yè)務(wù)需求生成特定的數(shù)據(jù)轉(zhuǎn)發(fā)路徑。

圖1 5G架構(gòu)圖

5G通過(guò)SDN架構(gòu)實(shí)現(xiàn)端到端網(wǎng)絡(luò)和業(yè)務(wù)的協(xié)同，提升業(yè)務(wù)的自動(dòng)開(kāi)通部署和智能運(yùn)維能力，同時(shí)需要面向高質(zhì)量的垂直行業(yè)客戶需求，提供網(wǎng)絡(luò)資源的隔離以及層次化的網(wǎng)絡(luò)保障機(jī)制，實(shí)現(xiàn)時(shí)延控制及分段的故障定位功能。

網(wǎng)絡(luò)層的關(guān)鍵功能是跨接入網(wǎng)CloudRAN（利用云重構(gòu)無(wú)線接入網(wǎng)絡(luò)）、MEC和核心網(wǎng)的端到端網(wǎng)絡(luò)切片。利用SDN、NFV等技術(shù)可以在通用網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)之上，將單個(gè)物理網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)絡(luò)實(shí)現(xiàn)靈活且可擴(kuò)展的網(wǎng)絡(luò)切片。網(wǎng)絡(luò)切片在邏輯上是隔離的，這種結(jié)構(gòu)可以實(shí)現(xiàn)面向服務(wù)的網(wǎng)絡(luò)視圖，以服務(wù)化的方式為不同類型的客戶群提供可定制化的服務(wù)支持，同時(shí)很好地滿足獨(dú)立運(yùn)維的需求。

作為5G承載多種類型垂直業(yè)務(wù)基礎(chǔ)的端到端網(wǎng)絡(luò)切片之間共享公共資源和組件，例如網(wǎng)絡(luò)切片選擇功能等（NSSF）。網(wǎng)絡(luò)切片可以分配有單獨(dú)的網(wǎng)絡(luò)功能組件，例如接入和移動(dòng)性管理功能（AMF），會(huì)話管理功能（SMF），策略控制功能（PCF）等，就是通過(guò)這些功能組件來(lái)滿足特定網(wǎng)絡(luò)切片的專用功能。

此外，控制面功能和用戶面功能（CPF/UPF）分離簡(jiǎn)化了5G核心網(wǎng)的基于服務(wù)的體系結(jié)構(gòu)Service-Based Architecture（SBA）?？刂泼娴哪K化、組件化和用戶面的可編程化使得5G網(wǎng)絡(luò)功能的可編排成為可能，可以根據(jù)不同需求選擇相應(yīng)的控制面/用戶面功能以實(shí)現(xiàn)網(wǎng)絡(luò)功能的按需配置。網(wǎng)絡(luò)能力開(kāi)放功能（NEF）進(jìn)行網(wǎng)絡(luò)能力的抽象及分析或以API的形式開(kāi)放給第三方。

5GC的用戶面功能（UPF）下沉到靠近基站的邊緣MEC，作為MEC的一個(gè)網(wǎng)元，負(fù)責(zé)將邊緣網(wǎng)絡(luò)的流量分流到MEC，二者在邏輯上UPF與MEC是分離的、松耦合的。在部署上，可以集成部署統(tǒng)一承載，也可以獨(dú)立部署，主要取決于具體的業(yè)務(wù)場(chǎng)景的需求。

5G支撐多種網(wǎng)絡(luò)應(yīng)用場(chǎng)景，滿足多種業(yè)務(wù)承載需求，服務(wù)層主要實(shí)現(xiàn)為不同的垂直行業(yè)提供端到端的服務(wù)創(chuàng)建和服務(wù)管理能力，同時(shí)，按需將網(wǎng)絡(luò)能力開(kāi)放給高質(zhì)量或有特殊業(yè)務(wù)要求的客戶。

架構(gòu)圖右側(cè)展現(xiàn)的主要是5G端到端的協(xié)同管控、服務(wù)編排以及全生命周期的服務(wù)管理和安全保障能力。5G通過(guò)開(kāi)放和標(biāo)準(zhǔn)化的北向接口（NBI）來(lái)對(duì)接上層端到端業(yè)務(wù)編排系統(tǒng)，共同實(shí)現(xiàn)端到端的業(yè)務(wù)流程自動(dòng)化服務(wù)編排、連接、監(jiān)控和管理。

1 5G面臨的威脅和端到端安全挑戰(zhàn)

5G大部分的威脅和挑戰(zhàn)與4G一致，但需要重點(diǎn)考慮新業(yè)務(wù)、新架構(gòu)、新技術(shù)給5G網(wǎng)絡(luò)帶來(lái)的安全挑戰(zhàn)。3GPP SA3工作組對(duì)5G安全的威脅和風(fēng)險(xiǎn)做了十七個(gè)方面的分析，包括：安全架構(gòu)、接入認(rèn)證、安全上下文、密鑰管理、RAN（無(wú)線接入網(wǎng)）安全、下一代UE安全、授權(quán)、用戶注冊(cè)信息隱私保護(hù)、網(wǎng)絡(luò)切片安全、網(wǎng)絡(luò)域安全、安全可視化&安全配置管理、憑證分發(fā)、安全的互聯(lián)互通和演進(jìn)、小數(shù)據(jù)安全、廣播/多播安全、管理面安全和密碼算法的風(fēng)險(xiǎn)分析。

基站自身服務(wù)可用性面臨著外部空口無(wú)線信號(hào)干擾和協(xié)議攻擊的威脅。5G核心網(wǎng)的部分網(wǎng)元如統(tǒng)一數(shù)據(jù)管理（UDM）會(huì)處理、保存用戶的個(gè)人信息，所以可能面臨用戶信息泄露和服務(wù)可用性攻擊的威脅。需要考慮網(wǎng)絡(luò)切片業(yè)務(wù)服務(wù)商的接入認(rèn)證。在新技術(shù)方面，就需要考慮量子計(jì)算等新技術(shù)對(duì)傳統(tǒng)密碼算法的影響。需要考慮SDN、NFV、MEC、云和虛擬化等面臨的安全威脅和挑戰(zhàn)。

2 5G端到端的安全威脅視圖

5G網(wǎng)絡(luò)面臨的安全威脅和攻擊面隨著其開(kāi)放性而不斷擴(kuò)大，所以基于業(yè)務(wù)場(chǎng)景梳理所面臨的安全威脅，有針對(duì)性的采取安全措施降低風(fēng)險(xiǎn)，收縮攻擊面成為5G網(wǎng)絡(luò)自身及5G+融合發(fā)展歷程中需要持續(xù)解決的問(wèn)題。主要包括如下三方面。

2.1 網(wǎng)絡(luò)物理結(jié)構(gòu)變化

越來(lái)越多的應(yīng)用程序和用例出于本地化計(jì)算和超低延遲的需要，需要計(jì)算和存儲(chǔ)更靠近邊緣和數(shù)據(jù)產(chǎn)生的位置，這樣會(huì)有更多的能力和服務(wù)下沉到MEC，增大MEC的暴露風(fēng)險(xiǎn)。

2.2 網(wǎng)絡(luò)風(fēng)險(xiǎn)

5G網(wǎng)絡(luò)引入了一些新技術(shù)、新機(jī)制和基于軟件的體系結(jié)構(gòu)而隨之引入的風(fēng)險(xiǎn)。例如SDN、軟件定義接入（SDA/CloudRAN）、軟件定義無(wú)線電（SDR）、控制面和用戶面隔離機(jī)制（CUPS），MEC，網(wǎng)絡(luò)切片（NS）和NFV等，基于服務(wù)的、云化的、容器化和虛擬化的5G網(wǎng)絡(luò)架構(gòu)在更好地支撐垂直行業(yè)不斷增長(zhǎng)的新業(yè)務(wù)需求和新業(yè)務(wù)場(chǎng)景的同時(shí)，也擴(kuò)大了暴露面和攻擊面。

2.3 網(wǎng)絡(luò)威脅

跨越接入、邊緣和核心的大部分威脅面是由于網(wǎng)絡(luò)架構(gòu)更加靈活并向互聯(lián)網(wǎng)開(kāi)放而引起的。網(wǎng)絡(luò)能力開(kāi)放，多類型更大范圍更多數(shù)量的設(shè)備和用戶以及供應(yīng)商會(huì)按需接入網(wǎng)絡(luò)，甚至?xí)芾砗团渲?G網(wǎng)絡(luò)，都會(huì)加劇因開(kāi)放而帶來(lái)的風(fēng)險(xiǎn)。如圖2所示。

3 產(chǎn)業(yè)側(cè)與網(wǎng)絡(luò)側(cè)融合應(yīng)用帶來(lái)的安全挑戰(zhàn)

5G作為“新基建”服務(wù)于垂直行業(yè)并帶來(lái)日益豐富的服務(wù)，不同的業(yè)務(wù)應(yīng)用場(chǎng)景將具有不同的安全性要求。例如，物聯(lián)網(wǎng)服務(wù)涉及復(fù)雜的應(yīng)用程序和數(shù)千億個(gè)連接（到2025年全球預(yù)計(jì)750億），同時(shí)，物聯(lián)網(wǎng)設(shè)備的計(jì)算能力一般較低，電池壽命要求較高。如果采用傳統(tǒng)的單用戶身份驗(yàn)證方式則很可能會(huì)產(chǎn)生高昂的成本開(kāi)銷并可能導(dǎo)致信令風(fēng)暴，同時(shí)也會(huì)增加物聯(lián)網(wǎng)設(shè)備在計(jì)算和電池方面的負(fù)擔(dān)。再如，車聯(lián)網(wǎng)（IoV）服務(wù)對(duì)網(wǎng)絡(luò)延遲和可靠性要求苛刻，甚至通信中的安全威脅可能危及生命。

因此，需要特別關(guān)注產(chǎn)業(yè)側(cè)和5G網(wǎng)絡(luò)側(cè)相融合而產(chǎn)生的融合安全挑戰(zhàn)，這些挑戰(zhàn)包括但不限于如下四方面。

第一方面是產(chǎn)業(yè)側(cè)和5G網(wǎng)絡(luò)側(cè)融合發(fā)展中，對(duì)滿足多個(gè)應(yīng)用場(chǎng)景的統(tǒng)一身份驗(yàn)證框架提出了嚴(yán)峻挑戰(zhàn)。統(tǒng)一身份認(rèn)證框架需要滿足兩側(cè)的網(wǎng)絡(luò)訪問(wèn)身份驗(yàn)證要求，包括終端設(shè)備身份驗(yàn)證，用戶身份驗(yàn)證，多種身份驗(yàn)證方法和多種身份驗(yàn)證機(jī)制。

第二方面是降低用戶和設(shè)備在身份驗(yàn)證、身份管理和數(shù)據(jù)傳輸開(kāi)銷等方面的挑戰(zhàn)。比如接入時(shí)的身份驗(yàn)證機(jī)制，服務(wù)訪問(wèn)期間的身份驗(yàn)證機(jī)制，用戶和設(shè)備在移動(dòng)期間的安全上下文（場(chǎng)景）切換機(jī)制以及網(wǎng)絡(luò)節(jié)點(diǎn)上的數(shù)據(jù)加解密機(jī)制等。

第三方面是需要對(duì)用戶面（UPF）數(shù)據(jù)提供按需保護(hù)的挑戰(zhàn)。根據(jù)服務(wù)類型、部署方式（與MEC集成或分開(kāi)）和安全要求部署相適配的安全保護(hù)機(jī)制，比如采用端點(diǎn)加密、輕量級(jí)加密算法等機(jī)制。

圖2 5G端到端威脅視圖

第四方面是需要滿足網(wǎng)絡(luò)和安全能力均具有彈性和伸縮性要求的挑戰(zhàn)。例如，當(dāng)網(wǎng)絡(luò)水平擴(kuò)展或收縮時(shí)，能夠及時(shí)啟動(dòng)或終止某些安全功能實(shí)例以滿足安全要求。

4 IT/ICT和DT的融合網(wǎng)絡(luò)架構(gòu)帶來(lái)的安全挑戰(zhàn)

為了提供更高的系統(tǒng)靈活性和效率，5G在網(wǎng)絡(luò)組織上采用多天線技術(shù)（MIMO）、網(wǎng)絡(luò)切片技術(shù)（NS）、軟件定義網(wǎng)絡(luò)（SDN）網(wǎng)絡(luò)功能虛擬化（NFV）等，引入邊緣計(jì)算（MEC）等技術(shù)，大大縮短端到端的傳輸時(shí)延，有效提升了應(yīng)用處理效率。在運(yùn)營(yíng)管理上采用大數(shù)據(jù)和人工智能技術(shù)，這些與原有移動(dòng)網(wǎng)絡(luò)架構(gòu)完全迥異的深刻變化，新技術(shù)的引入也給5G網(wǎng)絡(luò)安全帶來(lái)了新挑戰(zhàn)。

4.1 虛擬化和開(kāi)源軟件帶來(lái)的安全挑戰(zhàn)

5G網(wǎng)絡(luò)利用虛擬化技術(shù)實(shí)現(xiàn)了軟件和硬件的解耦，網(wǎng)絡(luò)功能通過(guò)軟件實(shí)現(xiàn)，不再依賴于特殊的通信硬件平臺(tái)，在方便靈活的同時(shí)首先需要特別關(guān)注虛擬化安全風(fēng)險(xiǎn)。其次，網(wǎng)絡(luò)虛擬化使用大量的開(kāi)源和第三方軟件，這增加了引入安全漏洞的可能性。通過(guò)SDN架構(gòu)實(shí)現(xiàn)端到端網(wǎng)絡(luò)和業(yè)務(wù)的協(xié)同，提升業(yè)務(wù)的自動(dòng)開(kāi)通部署和智能運(yùn)維能力的同時(shí)需要格外注意SDN的安全風(fēng)險(xiǎn)。

4.2 網(wǎng)絡(luò)切片安全

5G網(wǎng)絡(luò)切片提供差異化的網(wǎng)絡(luò)服務(wù)的同時(shí)也帶來(lái)了新的安全挑戰(zhàn)。例如，網(wǎng)絡(luò)切片內(nèi)以及切片之間的資源和安全隔離問(wèn)題，跨網(wǎng)絡(luò)切片的安全策略調(diào)度和用戶設(shè)備（UE）的身份認(rèn)證問(wèn)題，跨網(wǎng)絡(luò)切片的用戶設(shè)備（UE）的數(shù)據(jù)封裝問(wèn)題，網(wǎng)絡(luò)切片管理器與其目標(biāo)物理主機(jī)平臺(tái)之間相互的身份認(rèn)證問(wèn)題以防實(shí)例化假冒攻擊，以及針對(duì)網(wǎng)絡(luò)切片的降維度或降級(jí)攻擊等。

4.3 MEC系統(tǒng)平臺(tái)的安全問(wèn)題

移動(dòng)多接入訪問(wèn)邊緣計(jì)算（MEC）站點(diǎn)通常部署在物理?xiàng)l件相對(duì)較差的機(jī)房中，也難以復(fù)用核心網(wǎng)絡(luò)側(cè)的安全保障措施，在物理安全保證和網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制方面面臨相對(duì)較大的風(fēng)險(xiǎn)。在數(shù)據(jù)安全方面，5G園區(qū)專網(wǎng)中企業(yè)通常要求數(shù)據(jù)不出園區(qū)，要求MEC部署在園區(qū)側(cè)同時(shí)確保MEC系統(tǒng)平臺(tái)中的數(shù)據(jù)安全。此外，園區(qū)側(cè)擔(dān)心安全攻擊可能會(huì)從運(yùn)營(yíng)商的網(wǎng)絡(luò)滲透到園區(qū)側(cè)，而運(yùn)營(yíng)商也認(rèn)為園區(qū)側(cè)網(wǎng)絡(luò)不可控且不可信，可能會(huì)將安全威脅或病毒傳播到運(yùn)營(yíng)商側(cè)。為了應(yīng)對(duì)這些安全要求和挑戰(zhàn)，必須采取安全、細(xì)顆粒度的隔離措施，以確保運(yùn)營(yíng)商側(cè)網(wǎng)絡(luò)與園區(qū)側(cè)網(wǎng)絡(luò)之間的相互信任和通信，明確雙方各自的安全邊界，同時(shí)充分利用MEC的優(yōu)勢(shì)，確保安全性。

5 網(wǎng)絡(luò)能力開(kāi)放帶來(lái)的安全挑戰(zhàn)

5G核心網(wǎng)絡(luò)（CN）的功能架構(gòu)引入了NEF功能組件，以實(shí)現(xiàn)網(wǎng)絡(luò)能力的開(kāi)放性。在南向接口（SBI）方面，NEF與5G核心網(wǎng)中的各種服務(wù)網(wǎng)元進(jìn)行通信。在北向接口（NBI）方面，NEF將向垂直行業(yè)不同的應(yīng)用程序功能（AF）開(kāi)放API，通過(guò)集中式API網(wǎng)關(guān)，NEF可以實(shí)現(xiàn)5G核心網(wǎng)絡(luò)功能的統(tǒng)一開(kāi)放性。

由于調(diào)用NEF API的AF可能來(lái)自諸如Internet之類的外部運(yùn)營(yíng)商或垂直行業(yè)客戶，因此這種開(kāi)放性暴露的風(fēng)險(xiǎn)可能會(huì)對(duì)5G核心網(wǎng)絡(luò)乃至整個(gè)5G網(wǎng)絡(luò)帶來(lái)嚴(yán)重的安全威脅。5G核心網(wǎng)絡(luò)的網(wǎng)元提供服務(wù)開(kāi)放性并通過(guò)API相互調(diào)用所開(kāi)放的能力。因此，在5G網(wǎng)絡(luò)上，需要在核心網(wǎng)絡(luò)和外部第三方應(yīng)用程序之間以及核心網(wǎng)絡(luò)的內(nèi)部網(wǎng)元NE之間，支持更高和更靈活的安全功能，以實(shí)現(xiàn)安全能力的服務(wù)化調(diào)用。

6 多種接入技術(shù)帶來(lái)的安全挑戰(zhàn)

5G網(wǎng)絡(luò)支持多種接入技術(shù)，例如WLAN、LTE、固定網(wǎng)絡(luò)和新的5G無(wú)線接入技術(shù)（RAT），不同的接入技術(shù)具有不同的安全要求和身份驗(yàn)證機(jī)制。另外，用戶可以具有多個(gè)終端，并且一個(gè)終端可以支持多種接入方法。當(dāng)終端在不同的接入方式之間切換時(shí)，或者用戶在不同的終端上使用相同的服務(wù)時(shí)，需要進(jìn)行快速認(rèn)證，以保證服務(wù)的連續(xù)性，從而獲得更好的用戶體驗(yàn)。

因此，5G網(wǎng)絡(luò)需要建立統(tǒng)一的認(rèn)證框架，構(gòu)建一個(gè)統(tǒng)一的身份管理系統(tǒng)，以集成不同的接入認(rèn)證方法和身份驗(yàn)證方法，并優(yōu)化現(xiàn)有的安全認(rèn)證協(xié)議，以提高在異構(gòu)網(wǎng)絡(luò)之間切換終端的安全認(rèn)證效率，確保用戶在終端或接入方式之間切換的業(yè)務(wù)連續(xù)性。

7 數(shù)據(jù)和用戶隱私面臨的安全挑戰(zhàn)

5G網(wǎng)絡(luò)上服務(wù)和場(chǎng)景的多樣性以及網(wǎng)絡(luò)的開(kāi)放性增加了用戶和設(shè)備（UE）隱私信息被泄露的風(fēng)險(xiǎn)。例如在5G+智能醫(yī)療場(chǎng)景中，有關(guān)患者的機(jī)密信息（例如病歷、處方、治療方法和治療計(jì)劃等）在收集、存儲(chǔ)、傳輸和使用過(guò)程中有被泄漏或篡改的風(fēng)險(xiǎn)。或者在5G+智能交通場(chǎng)景中，有關(guān)車輛位置和駕駛軌跡之類的私人信息也可能被泄漏，并被非法追蹤和使用。因此，對(duì)5G網(wǎng)絡(luò)的用戶隱私保護(hù)和數(shù)據(jù)安全提出了更高的要求。

主要的安全威脅有四方面。

第一是5G網(wǎng)絡(luò)是具有多種接入技術(shù)的異構(gòu)網(wǎng)絡(luò)，用戶隱私和數(shù)據(jù)分散在網(wǎng)絡(luò)的功能實(shí)體上，數(shù)據(jù)挖掘技術(shù)使第三方能夠匯聚和分析分散的私人數(shù)據(jù)并獲得更多私人用戶信息。

第二是5G網(wǎng)絡(luò)需要優(yōu)化和糾正4G網(wǎng)絡(luò)上的國(guó)際移動(dòng)用戶身份（IMSI）漏洞，并使用增強(qiáng)的安全機(jī)制來(lái)保護(hù)用戶身份免遭泄露，同時(shí)防止對(duì)用戶進(jìn)行降維攻擊。

第三是網(wǎng)絡(luò)攻擊者還可以通過(guò)使用UE位置信息或空中接口數(shù)據(jù)包的連續(xù)性來(lái)跟蹤和攻擊UE。因此，5G中用戶設(shè)備（UE）的位置隱私數(shù)據(jù)面臨泄露和被跟蹤的安全威脅。

第四是5G網(wǎng)絡(luò)需要在接入技術(shù)和運(yùn)營(yíng)商之間切換時(shí)充分考慮用戶數(shù)據(jù)面臨的隱私暴露風(fēng)險(xiǎn)，并制定涵蓋用戶身份，位置和訪問(wèn)服務(wù)的全面隱私保護(hù)策略。