逄丹

當前，5G國際標準化工作已全面展開，5G 安全也成為業(yè)界關(guān)注的焦點。日前，IMT-2020（5G）推進組正式發(fā)布《5G網(wǎng)絡(luò)安全需求與架構(gòu)白皮書》（以下簡稱《白皮書》）。

《白皮書》指出，5G網(wǎng)絡(luò)新的發(fā)展趨勢，尤其是5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)，對安全和用戶隱私保護都提出了新的挑戰(zhàn)。5G安全機制除了要滿足基本通信安全要求之外，還需要為不同業(yè)務(wù)場景提供差異化安全服務(wù)，能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保護用戶隱私，并支持提供開放的安全能力。

三大場景下的安全挑戰(zhàn)

《白皮書》將5G網(wǎng)絡(luò)安全面臨的挑戰(zhàn)分為四個層面，分別是三大業(yè)務(wù)場景下的挑戰(zhàn)以及引入新技術(shù)、多種接入方式和新商業(yè)模式帶來的挑戰(zhàn)。

5G網(wǎng)絡(luò)，帶來千億連接，從人與人的聯(lián)接，轉(zhuǎn)向人與物、物與物的聯(lián)接。業(yè)界普遍認為，5G業(yè)務(wù)大致可以分為3種場景：eMBB（增強移動寬帶）、mMTC（海量機器類通信）和uRLLC（超可靠低時延通信），5G網(wǎng)絡(luò)需要針對這三種業(yè)務(wù)場景的不同安全需求提供差異化安全保護機制。

其中，eMBB廣泛的應(yīng)用場景將帶來不同的安全需求，同一個應(yīng)用場景中的不同業(yè)務(wù)其安全需求也有所不同，例如，VR/AR等個人業(yè)務(wù)可能只要求對關(guān)鍵信息的傳輸進行加密，而對于行業(yè)應(yīng)用可能要求對所有環(huán)境信息的傳輸進行加密?！栋灼方ㄗh，5G網(wǎng)絡(luò)可以通過擴展LTE安全機制來滿足eMBB場景所需的安全需求。

更大的挑戰(zhàn)來自于mMTC場景。面向物聯(lián)網(wǎng)成百上千億的設(shè)備，如果采用單用戶認證方案則成本高昂，而且容易造成信令風暴問題，因此在5G網(wǎng)絡(luò)中，需降低物聯(lián)網(wǎng)設(shè)備在認證和身份管理方面的成本，支撐物聯(lián)網(wǎng)設(shè)備的低成本和高效率海量部署。特別是針對計算能力低且電池壽命需求高的物聯(lián)網(wǎng)設(shè)備，5G網(wǎng)絡(luò)應(yīng)該通過一些安全保護措施，如輕量級的安全算法、簡單高效的安全協(xié)議等來保證能源高效性。

低時延和高可靠性是uRLLC業(yè)務(wù)的基本要求，如車聯(lián)網(wǎng)業(yè)務(wù)在通信中如果受到安全威脅則可能會涉及到生命安全，因此要求高級別的安全保護措施且不能額外增加通信時延。從安全角度來看，降低時延需要優(yōu)化業(yè)務(wù)接入過程身份認證的時延、數(shù)據(jù)傳輸安全保護帶來的時延，終端移動過程由于安全上下文切換帶來的時延、以及數(shù)據(jù)在網(wǎng)絡(luò)節(jié)點中加解密處理帶來的時延。

面對多種應(yīng)用場景和業(yè)務(wù)需求，5G網(wǎng)絡(luò)需要一個統(tǒng)一的、靈活的、可伸縮的5G網(wǎng)絡(luò)安全架構(gòu)來滿足不同應(yīng)用的不同安全級別的安全需求，即5G網(wǎng)絡(luò)需要一個統(tǒng)一的認證框架，用以支持多種應(yīng)用場景的網(wǎng)絡(luò)接入認證；同時5G網(wǎng)絡(luò)應(yīng)支持伸縮性需求，如網(wǎng)絡(luò)橫向擴展時需要及時啟動安全功能實例來滿足增加的安全需求。

新技術(shù)下的挑戰(zhàn)

從4G向5G的演進，更是現(xiàn)有網(wǎng)絡(luò)架構(gòu)的重建。5G網(wǎng)絡(luò)將引入SDN、NFV等新一代IT技術(shù)，也為5G網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)。

《白皮書》指出，由于5G網(wǎng)絡(luò)引入NFV，改變了傳統(tǒng)網(wǎng)絡(luò)中功能網(wǎng)元的保護很大程度上依賴于對物理設(shè)備的安全隔離的現(xiàn)狀，原先認為安全的物理環(huán)境已經(jīng)變得不安全，實現(xiàn)虛擬化平臺的可管可控的安全性要求成為5G安全的一個重要組成部分，例如安全認證的功能也可能放到物理環(huán)境安全當中，因此，5G安全需要考慮5G基礎(chǔ)設(shè)施的安全，從而保障5G業(yè)務(wù)在NFV環(huán)境下能夠安全運行。

另外，5G網(wǎng)絡(luò)引入SDN提高了數(shù)據(jù)傳輸效率，實現(xiàn)了更好的資源配置，但同時也帶來了新的安全需求，即需要考慮在5G環(huán)境下，虛擬SDN控制網(wǎng)元和轉(zhuǎn)發(fā)節(jié)點的安全隔離和管理，以及SDN流表的安全部署和正確執(zhí)行。

而為了更好地支持5G的3大業(yè)務(wù)場景，5G網(wǎng)絡(luò)將建立網(wǎng)絡(luò)切片，為不同業(yè)務(wù)提供差異化的安全服務(wù)，根據(jù)業(yè)務(wù)需求針對切片定制其安全保護機制，實現(xiàn)客戶化的安全分級服務(wù)，同時網(wǎng)絡(luò)切片也對安全提出了新的挑戰(zhàn)，如切片之間的安全隔離，以及虛擬網(wǎng)絡(luò)的安全部署和安全管理。

同時，《白皮書》指出，5G網(wǎng)絡(luò)中業(yè)務(wù)和場景的多樣性，以及網(wǎng)絡(luò)的開放性，使用戶隱私信息從封閉的平臺 轉(zhuǎn)移到開放的平臺上，接觸狀態(tài)從線下變成線上，泄露的風險也因此增加。例如在智能醫(yī)療系統(tǒng)中，病人病歷、處方和治療方案等隱私性信息在采集、存儲和傳輸過程中存在被泄露、篡改的風險，而在智能交通中，車輛的位置和行駛軌跡等隱私信息也存在暴露和被非法跟蹤使用的風險，因此5G網(wǎng)絡(luò)有了更高的用戶隱私保護需求。

安全總體目標出爐

基于這些需求，《白皮書》提出了5G網(wǎng)絡(luò)安全總體目標。

針對5G網(wǎng)絡(luò)的多種應(yīng)用場景中涉及不同類型的終端設(shè)備、多種接入方式和接入憑證、多種時延要求、隱私保護要求等，5G網(wǎng)絡(luò)安全應(yīng)保證如下：第一，提供統(tǒng)一的認證框架，支持多種接入方式和接入憑證，從而保證所有終端設(shè)備安全地接入網(wǎng)絡(luò)。第二，提供按需的安全保護，滿足多種應(yīng)用場景中的終端設(shè)備的生命周期要求、業(yè)務(wù)的時延要求。第三，提供隱私保護，滿足用戶隱私保護以及相關(guān)法規(guī)的要求。

針對5G網(wǎng)絡(luò)架構(gòu)中的重要特征包括NFV/SDN、切片以及能力開放，所以5G安全應(yīng)保證如下：第一，NFV/SDN引入移動網(wǎng)絡(luò)的安全，包括虛擬機相關(guān)的安全、軟件安全、數(shù)據(jù)安全、SDN控制器安全等。第二，切片的安全，包括切片安全隔離、切片的安全管理、UE接入切片的安全、切片之間通信的安全等。第三，能力開放的安全，既能保證開放的網(wǎng)絡(luò)能力安全地提供給第三方，也能夠保證網(wǎng)絡(luò)的安全能力能夠開放給第三方使用。

《白皮書》指出，IMT-2020（5G）推進組全力支持在ITU和3GPP框架下研制全球統(tǒng)一的5G安全技術(shù)標準，積極采用創(chuàng)新技術(shù)滿足5G網(wǎng)絡(luò)安全需求，推動5G安全統(tǒng)一認證架構(gòu)、按需安全保護、切片安全以及256比特密鑰長度密碼算法等技術(shù)的國際國內(nèi)相關(guān)標準化工作。

未來將分如下兩階段積極推動 3GPP開展5G安全標準化工作：第一階段，在2018年3月之前，完成安全框架、接入安全、用戶數(shù)據(jù)的機密性和完整性保護、移動性和會話管理安全、用戶身份的隱私保護以及與EPS（演進的分組系統(tǒng)）的互通等相關(guān)研究工作；第二階段，在2019年12月之前，重點推進切片安全、能力開放安全、256比特密鑰長度密碼算法等相關(guān)工作。