鄔賀銓

5G具有增強移動寬帶、高可靠低時延和廣覆蓋大連接等特性，帶來了業(yè)務的開放性、多樣性、智能型、高可靠和敏捷性，為5G從面向消費者的應用擴展到面向產業(yè)的應用奠定了基礎。但是也要看到虛擬化和軟件定義等新技術的引入為網絡帶來了一些新的安全風險，需要正視5G帶來的安全挑戰(zhàn)。

新技術的引入帶來新的安全隱患

互聯網初期網絡不夠穩(wěn)定，所有業(yè)務都以IP包的方式獨立選路。對于視頻類長的IP流切成小包選路效率太低。網絡需要在不同層次的多種轉發(fā)單元，以適應不同規(guī)模的業(yè)務流。而多轉發(fā)模式可以帶來靈活性，但需網絡具有識別業(yè)務的能力。

過去的網絡是“傻瓜”，簡單并對外來攻擊具有魯棒性。但是網絡功能虛擬化之后，與電信專用設備相比，更易受攻擊。同時，NFV依賴集中的網絡智能管理系統(tǒng)，一旦遭遇攻擊則影響全局。但是從另一個角度來看，在網絡遭受入侵的時候，可以執(zhí)行變換網元的功能，實現改變游戲規(guī)則的動態(tài)防御。

此外，5G還會用到SDN（軟件定義）技術。傳統(tǒng)IP網絡按無連接方式工作，不論前后的IP包是否屬于同一次通信而獨立選路，路徑上的每一個路由器也逐包選路，效率不高。SDN可實現業(yè)務控制層和傳送承載層分離，SDN基于大數據和人工智能形成可彈性擴展即插即用的資源池，實現端到端選路，可繞開有安全風險的路由。

對于路由來說，過去各個路由器是獨立選路的，現在改成了集中選路，網絡操作系統(tǒng)會成為被攻擊的重點。同時，大網集中選路對算法的收斂性有比較高的要求，網絡穩(wěn)定性是比較容易受影響的。因此，同樣的能力，對安全而言也是一把雙刃劍。

在業(yè)務切片方面，未來5G會使用到網絡切片技術，而網絡切片技術對安全提出了更高的要求。比如，切片授權與接入控制，切片間的資源沖突，切片間的安全隔離，切片用戶的隱私保護等。

切片技術的好處是可以隔離故障網元，做到網絡業(yè)務的隔離。但從另外一個角度來看，切片依賴于網絡資源和業(yè)務類型以及流量，要精準地把握，否則將無法組織好跟業(yè)務對應的切片。切片本身要有很強大的操作系統(tǒng)，它可能會首先遭到木馬的攻擊、病毒的控制，最后的影響將會使網絡癱瘓。

移動邊緣計算的安全雙刃劍

為適應工業(yè)傳感器、視頻業(yè)務、VR/AR與車聯網以及遠程醫(yī)療等的低時延要求，需要將這些業(yè)務的存儲和內容分發(fā)下沉到邊緣計算來處理。利用邊緣計算可以過濾和壓縮數據，節(jié)省核心網資源，成本僅為單獨使用云計算的39%。在網絡連接不穩(wěn)定時仍可保證應用的可靠性。

據IDC預測，未來將有超過50%的數據在邊緣測處理。到2020年邊緣計算支出將占物聯網基礎設施總支出的18%，成本僅為單獨使用云計算的39%。

雖然邊緣計算對數據就近處理減少了敏感數據泄露的風險，但邊緣計算設備安全防護能力不及云中心，對原有集中式內容監(jiān)管模式帶來挑戰(zhàn)。

5G核心網協議互聯網化的安全代價

過去移動通信協議是專用的，不易招致外部的病毒和木馬等攻擊，但是5G的協議全面互聯網化后被外部攻擊的可能性明顯增加。與現有相對封閉的移動通信系統(tǒng)相比，業(yè)務能力開放的平臺使第三方可通過獲得的網絡操控能力對網絡發(fā)起攻擊，增加安全監(jiān)管責任主體的劃分難度和業(yè)務數據泄露的風險。

傳統(tǒng)的互聯網沒有控制面，僅有用戶面，很多網絡功能能由管理面來支撐，即基于網管系統(tǒng)由人工配置?，F在5G引入的SDN/NFV和網絡切片需要利用控制面信令來動態(tài)配置，網絡OS不僅要完成傳統(tǒng)OSS功能，還要控制網元功能的變換和業(yè)務切片的管理，業(yè)務信道編排的計算量很大而且相應時間要求很嚴。

5G的智能運維中心是5G的中樞，是安全防御的重點。5G網絡具有對外開放業(yè)務的能力，需要對開放門戶認證管理。同時，還需對來自第三方的APP實施安全認證。

大連接特性帶來的安全挑戰(zhàn)

5G具有三大特性，其中大連接特性帶來的安全挑戰(zhàn)更為突出。物聯網終端數量多，且永遠在線，易被劫持和數據被竊取，或被木馬入侵，成為DDoS攻擊的跳板。如果每個設備的每條消息都需要單獨認證，終端信令請求可能超過網絡處理能力，則會觸發(fā)信令風暴。5G物聯網需要有群組認證機制。需要采用輕量化的安全機制，簡單但不失強度的加密協議，保證物聯網在安全方面增加過多的能量消耗，也不致時延太大。

與面向消費者的應用相比，面向企業(yè)的應用一旦發(fā)生信息安全事件，其影響更嚴重。5G可以用在企業(yè)外網或企業(yè)內網，后者又分為基于5G公網與5G專網兩種。公網針對人的應用，TDD的下行較上行時隙多，而物聯網則相反，因此用5G專網作為企業(yè)內網更合適，而且內網安全性優(yōu)于外網。不論5G是作為企業(yè)外網還是內網，即便是5G專網，其安全防護都要特別重視。

大數據和人工智能助力網絡安全

5G實現了計算和通信的融合，基于大數據和人工智能的網絡運維，減少了人為的差錯，智能化的監(jiān)控有利于提高網絡的安全防御水平。

AI可對網絡流量內外所包含的無數元數據的海量關聯進行分析，實現對網絡流量異常檢測。AI技術可將包括企業(yè)運營日志數據和外部威脅情報服務的多個信息源整合分析，具備處理上百萬數據點以及生成預測的能力，獲得最準確的網絡風險評估。除在企業(yè)內部建立IT和OT統(tǒng)一的安全團隊和企業(yè)安全運營中心外，還要與企業(yè)的上下游實現威脅情報共享和安全防護的協同聯動，從政府和運營商獲得安全態(tài)勢感知信息。

對包括5G在內的企業(yè)網的安全需要利用大數據和人工智能技術?；贏I技術威脅檢測，軟件定義網絡與安全的聯動防御以及安全策略智能調優(yōu)，可以為企業(yè)構建全網主動防御體系，讓威脅檢測、威脅處置以及安全運維更為智能，提高企業(yè)網絡抵御威脅能力，降低運維成本。

相關鏈接

5G新型網絡架構對安全提出了新要求

1.NFV安全需求

5G安全針對NFV等虛擬化技術的引入，需要為網絡設備提供多元化的系統(tǒng)級防護，防止各類非法攻擊和入侵。5G網絡環(huán)境將包含多廠家的軟硬件基礎設施，因此網絡身份必須得到有效管理。

2.網絡切片安全需求

網絡切片是5G網絡的關鍵特征。服務、資源和數據在網絡切片中被隔離保護的效果要達到接近于傳統(tǒng)私網一樣的用戶感受，這樣才能令用戶放心將原本存放在私有網絡中的應用數據存放到在云端。

3.多RAT接入的安全需求

5G網絡需要構建一個通用的認證機制，能夠在不同接入技術及不安全接入網上建立一個安全的運營網絡。另外，需要保證在異構網絡間切換的安全互操作，如安全上下文的傳遞、密鑰的更新、異構網絡間安全上下文的隔離等。