許書彬，甘植旺

(中電科網(wǎng)絡(luò)空間安全研究院有限公司，河北 雄安071799)

0 引言

當(dāng)前，在全球范圍內(nèi)5G通信技術(shù)發(fā)展方興未艾[1-4]。全球移動(dòng)供應(yīng)商協(xié)會(huì)(Global mobile Suppliers Association，GSA)報(bào)告顯示，在全球范圍內(nèi)超過150家移動(dòng)通信運(yùn)營(yíng)商正在開展5G關(guān)鍵技術(shù)試驗(yàn)與探索。在亞太地區(qū)，中國(guó)于2015年發(fā)布5G概念白皮書[5]，并于2019年實(shí)現(xiàn)5G試商用，2020年實(shí)現(xiàn)重點(diǎn)城市規(guī)模商用，此外澳、日、韓等國(guó)也確定了5G頻譜的分配。在美洲地區(qū)，美國(guó)確定可以使用600 MHz，28 GHz，39 GHz等頻段用于5G服務(wù)，加拿大也開放600 MHz為技術(shù)中立許可頻譜。在歐洲地區(qū)，英國(guó)、德國(guó)等7個(gè)國(guó)家已經(jīng)完成了可用于5G的頻譜拍賣。在中東和非洲地區(qū)，沙特阿拉伯、坦桑尼亞等國(guó)都已經(jīng)完成了相關(guān)頻率的拍賣。

在不久的將來，5G網(wǎng)絡(luò)將作為重要的通信基礎(chǔ)設(shè)施，滲透到交通、醫(yī)療、工業(yè)等多元化的垂直行業(yè)和領(lǐng)域，支持包括人與人、人與物、物與物之間的多樣化信息交互。屆時(shí)，5G將極大滿足和擴(kuò)展人們?cè)谏?、工作、出行等?chǎng)景的數(shù)據(jù)業(yè)務(wù)需求，特別是能在大型交通樞紐、大型活動(dòng)現(xiàn)場(chǎng)、高速鐵路等具有高密度、高連接、高移動(dòng)特點(diǎn)的場(chǎng)景中，為人們提供高清視頻、增強(qiáng)現(xiàn)實(shí)等數(shù)據(jù)服務(wù)。此外，5G將與物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)等新一代信息技術(shù)相互滲透和深度融合，進(jìn)一步推動(dòng)各行業(yè)業(yè)務(wù)需求和業(yè)務(wù)模式變革，支撐實(shí)現(xiàn)數(shù)字化、網(wǎng)絡(luò)化、智能化的社會(huì)發(fā)展形態(tài)。

1 5G應(yīng)用場(chǎng)景及安全挑戰(zhàn)

1.1 5G新場(chǎng)景及特點(diǎn)

目前，根據(jù)國(guó)際標(biāo)準(zhǔn)組織3GPP制定的與5G業(yè)務(wù)相關(guān)的文件[6]，5G技術(shù)可以分為增強(qiáng)移動(dòng)寬帶(eMBB)、海量機(jī)器類通信(mMTC)和超可靠低時(shí)延通信(uRLLC)3種應(yīng)用場(chǎng)景。eMBB聚焦超大帶寬需求業(yè)務(wù)，能應(yīng)對(duì)超高清視頻、虛擬現(xiàn)實(shí)與增強(qiáng)現(xiàn)實(shí)等數(shù)據(jù)業(yè)務(wù)的帶寬需求。mMTC主要針對(duì)如智能家居、智慧城市等高連接密度的應(yīng)用場(chǎng)景，服務(wù)數(shù)字化社會(huì)業(yè)務(wù)需求。uRLLC針對(duì)高可靠性時(shí)間敏感業(yè)務(wù)，如車聯(lián)網(wǎng)工業(yè)、遠(yuǎn)程控制、遠(yuǎn)程醫(yī)療以及智慧工業(yè)等垂直行業(yè)，滿足人們對(duì)于數(shù)字化工業(yè)的特殊需求。

1.2 新場(chǎng)景安全挑戰(zhàn)

為實(shí)現(xiàn)萬(wàn)物互聯(lián)，5G網(wǎng)絡(luò)需要支持人與人、人與物、物與物之間多樣化的信息交互。然而，為應(yīng)對(duì)多樣化的應(yīng)用場(chǎng)景，其安全架構(gòu)也應(yīng)面向多樣化，不僅要支持海量應(yīng)用與終端進(jìn)行統(tǒng)一身份管理和認(rèn)證，還需要支持多元化的信任關(guān)系構(gòu)建，支持差異化安全策略。

為了提升網(wǎng)絡(luò)的整體安全，5G網(wǎng)絡(luò)需要針對(duì)eMBB，mMTC，uRLLC三種基本業(yè)務(wù)場(chǎng)景的不同安全需求提供差異化安全保護(hù)機(jī)制，主要可以概括為以下三個(gè)場(chǎng)景。

1.2.1 eMBB場(chǎng)景

eMBB終端傳輸速率高，涉及普通用戶隱私和行業(yè)用戶敏感信息多，支持異構(gòu)網(wǎng)絡(luò)連接。廣泛的應(yīng)用場(chǎng)景將帶來差異化的安全需求，即使在相同應(yīng)用場(chǎng)景下的不同業(yè)務(wù)也有不同的安全需求。如面向個(gè)人用戶的超高清視頻業(yè)務(wù)可能僅要求對(duì)環(huán)境信息進(jìn)行加密，但某些工業(yè)應(yīng)用中的超高清視頻傳輸則需要對(duì)環(huán)境信息和視頻關(guān)鍵信息進(jìn)行加密傳輸。

eMBB終端的主要安全需求有3個(gè)方面：① 要具備與5G網(wǎng)絡(luò)速率相適配的高速率加密能力，同時(shí)還具備較低的功耗要求；② 對(duì)普通用戶具備對(duì)個(gè)人信息或標(biāo)識(shí)以及地址信息等隱私信息的保護(hù)能力，對(duì)行業(yè)用戶具高等級(jí)的認(rèn)證、端到端加密、信息完整性保護(hù)等能力；③ 具備異構(gòu)接入的統(tǒng)一認(rèn)證和安全上下文管理能力，提高異構(gòu)接入安全上下文切換效率。

目前5G網(wǎng)絡(luò)主要在LTE安全框架下進(jìn)行功能擴(kuò)展來滿足上述eMBB安全需求。目前5G網(wǎng)絡(luò)主要在LTE安全框架下進(jìn)行功能擴(kuò)展來滿足上述eMBB安全需求。目前5G網(wǎng)絡(luò)主要在LTE安全框架下進(jìn)行功能擴(kuò)展來滿足上述eMBB安全需求。3GPP制定5G第一階段的標(biāo)準(zhǔn)就是為了滿足eMBB應(yīng)用。在LTE接入情況下，用戶首次入網(wǎng)時(shí)，由于IMSI明文傳送存在安全風(fēng)險(xiǎn)，因此采用了IMSI加密的安全機(jī)制。另外結(jié)合5G網(wǎng)絡(luò)架構(gòu)，進(jìn)一步增強(qiáng)密鑰派生機(jī)制來滿足各接入層次安全傳輸?shù)男枰?/p>

1.2.2 mMTC場(chǎng)景

mMTC終端按照傳統(tǒng)方式實(shí)現(xiàn)網(wǎng)絡(luò)接入時(shí)，每個(gè)終端和網(wǎng)絡(luò)之間需要進(jìn)行多次交互才能完成認(rèn)證過程。由于物聯(lián)網(wǎng)設(shè)備數(shù)量龐大，行業(yè)對(duì)物聯(lián)網(wǎng)終端的成本比較敏感。但是由于物聯(lián)網(wǎng)終端深入到城市基礎(chǔ)設(shè)施及民眾生活等涉及國(guó)計(jì)民生的重要部位，其安全性建設(shè)也不容忽視。

mMTC終端的典型安全需求包括：① 輕量級(jí)的密碼算法和協(xié)議，滿足mMTC終端的低功耗、低帶寬要求；② 安全可靠的網(wǎng)絡(luò)接入模式，如5G網(wǎng)絡(luò)為物聯(lián)終端提供去中心化的身份管理和接入認(rèn)證模式，包括縮短認(rèn)證鏈條、快速安全接入、網(wǎng)絡(luò)與業(yè)務(wù)融合分層身份管理等，降低管理復(fù)雜度；③ 低成本的設(shè)備認(rèn)證和身份管理實(shí)現(xiàn)，滿足物聯(lián)終端低成本要求。

mMTC應(yīng)用下，如果終端仍然延用傳統(tǒng)接入方式，單用戶認(rèn)證方案成本高昂且海量終端并發(fā)接入網(wǎng)絡(luò)極有可能產(chǎn)生信令風(fēng)暴，造成網(wǎng)絡(luò)擁塞；另外，對(duì)計(jì)算能力低、無人值守且電池壽命需求高的物聯(lián)網(wǎng)設(shè)備，在接入失敗情況下，終端不斷嘗試重新接入網(wǎng)絡(luò)發(fā)起認(rèn)證將加速其電池消耗。因此在此類場(chǎng)景中5G網(wǎng)絡(luò)需要使用輕量、高效的安全機(jī)制來降低能源消耗。而針對(duì)物聯(lián)網(wǎng)傳輸?shù)氖切?shù)據(jù)且零星傳送的數(shù)據(jù)特征，則需要為小數(shù)據(jù)傳送建立通道。如果小數(shù)據(jù)傳送的無線網(wǎng)絡(luò)缺少安全保護(hù)機(jī)制，攻擊者就有可能通過訪問小數(shù)據(jù)接口人侵網(wǎng)絡(luò)，因此還需要研究針對(duì)小數(shù)據(jù)的空口傳輸安全保證機(jī)制。

1.2.3 uRLLC場(chǎng)景

uRLLC比普通物聯(lián)終端有著更高的安全性要求。網(wǎng)絡(luò)安全通常與網(wǎng)絡(luò)性能效率互為矛盾，增強(qiáng)網(wǎng)絡(luò)安全防護(hù)機(jī)制，必然以犧牲網(wǎng)絡(luò)性能、降低網(wǎng)絡(luò)效率為代價(jià)。uRLLC應(yīng)用也不例外，如果引入安全機(jī)制，就必然會(huì)影響業(yè)務(wù)時(shí)延。但是安全對(duì)于uRLLC應(yīng)用又是不可或缺的。

uRLLC終端的典型安全需求包括：① 高安全等級(jí)的保護(hù)強(qiáng)度，具備高等級(jí)的認(rèn)證、端到端加密、信息完整性保護(hù)等能力；② 超高可靠和超低時(shí)延的能力，在不降低安全保護(hù)強(qiáng)度的前提下，支持認(rèn)證節(jié)點(diǎn)下移，簡(jiǎn)化認(rèn)證框架與協(xié)議，提高移動(dòng)性安全上下文遷移和密鑰重建機(jī)制效率，采用高效密碼算法，減少加解密處理時(shí)間。

其中低時(shí)延和高可靠性是uRLLC業(yè)務(wù)的基本要求，如交通信息被竊取或篡改等則可能影響到正常行車，甚至威脅到生命安全。因此在保證可靠性和低時(shí)延等業(yè)務(wù)性能的同時(shí)，需要研究uRLLC的接入安全，研究車聯(lián)網(wǎng)通信時(shí)的身份認(rèn)證、車輛身份信息的保護(hù)、數(shù)據(jù)傳輸安全等接入安全解決方案。因此5G超低時(shí)延的實(shí)現(xiàn)需要在端到端傳輸?shù)母鱾€(gè)環(huán)節(jié)進(jìn)行一系列機(jī)制優(yōu)化，對(duì)于安全機(jī)制來說，需要優(yōu)化安全認(rèn)證、安全傳輸、節(jié)點(diǎn)加密等安全防護(hù)過程的時(shí)延。

1.3 5G安全技術(shù)研究

自5G國(guó)際標(biāo)準(zhǔn)發(fā)布以來，5G網(wǎng)絡(luò)安全成為研究者們關(guān)注的焦點(diǎn)。3GPP SA技術(shù)規(guī)范小組從2016年起啟動(dòng)了5G安全研究項(xiàng)目，其研究報(bào)告TR 33.899[7]給出了97個(gè)關(guān)鍵問題共106種解決方案，其中涉及到的17個(gè)安全領(lǐng)域基本覆蓋了所有5G安全需求。國(guó)際電信聯(lián)盟—電信研究小組(ITU-TSG17)對(duì)涉及移動(dòng)虛擬運(yùn)營(yíng)、電信欺詐、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)及軟件定義網(wǎng)絡(luò)等的5G安全問題密切關(guān)注。5G政府與社會(huì)資本合作(PPP)安全工作組在其5G白皮書中介紹了安全架構(gòu)、訪問控制、隱私保護(hù)、信任模型、安全監(jiān)控和管理、網(wǎng)絡(luò)切片安全隔離等方面的研究。下一代移動(dòng)網(wǎng)絡(luò)組織(NGMN)在其白皮書中則主要關(guān)注了用戶身份認(rèn)證、用戶隱私保護(hù)和網(wǎng)絡(luò)安全等方面。此外，歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(ETSI)于2017年6月組織了5G安全研討會(huì)，著重討論了NFV網(wǎng)絡(luò)安全監(jiān)管和實(shí)際應(yīng)用中的安全問題。

國(guó)內(nèi)相關(guān)機(jī)構(gòu)也在5G安全方面開展了一系技術(shù)研究。早在2014年，未來移動(dòng)通信論壇就從空中接口安全、網(wǎng)絡(luò)安全、應(yīng)用安全等方面總結(jié)概括了5G安全技術(shù)的研究方向。隨后，國(guó)家高新研究發(fā)展計(jì)劃(863計(jì)劃)和國(guó)家科學(xué)技術(shù)重大項(xiàng)目“新一代寬帶無線移動(dòng)通信網(wǎng)絡(luò)”先后設(shè)立實(shí)施5G安全技術(shù)研究項(xiàng)目。此外，中國(guó)通信標(biāo)準(zhǔn)協(xié)會(huì)(CCSA)TC5 WG5和TC8 WG2主要涉及國(guó)內(nèi)5G安全標(biāo)準(zhǔn)化研究和與國(guó)際標(biāo)準(zhǔn)對(duì)接相關(guān)的工作，并就5G安全威脅、安全需求和解決方案等進(jìn)行了多次專題討論，著力推進(jìn)中國(guó)5G安全標(biāo)準(zhǔn)化工作。IMT-2020(5G)推進(jìn)組在2017年發(fā)布的《5G網(wǎng)絡(luò)安全要求與架構(gòu)白皮書》中提出了其5G安全架構(gòu)的設(shè)計(jì)規(guī)劃。

國(guó)內(nèi)外企業(yè)也在積極參與5G安全技術(shù)的研究與標(biāo)準(zhǔn)化工作。愛立信發(fā)布白皮書《5G安全：場(chǎng)景與解決方案》，提出了5G網(wǎng)絡(luò)安全架構(gòu)的愿景，指出5G的基礎(chǔ)是安全和隱私[8]。大唐電信科技產(chǎn)業(yè)集團(tuán)在《5G網(wǎng)絡(luò)安全白皮書：建設(shè)安全可信的網(wǎng)絡(luò)空間》中分析了實(shí)現(xiàn)5G網(wǎng)絡(luò)安全可信的身份、網(wǎng)絡(luò)和實(shí)體等3個(gè)核心要素[9]。華為在發(fā)布的《5G場(chǎng)景安全與設(shè)計(jì)》中分析了5G三大應(yīng)用場(chǎng)景的不同安全性需求與挑戰(zhàn)，并提供了差異化的安全能力、策略和解決方案[10]。在“2016未來移動(dòng)通信技術(shù)峰會(huì)”上,諾基亞和上海貝爾提出5G新的安全解決方案需滿足魯棒性、靈活性和自適應(yīng)性三個(gè)基本要求。在EISI組織的2017年安全研討會(huì)上，華為總結(jié)了NFV面臨的安全挑戰(zhàn)、安全控制、架構(gòu)模型及安全模型設(shè)計(jì)；諾基亞則從5G云環(huán)境部署的角度引入介紹了5G安全架構(gòu)元素，包括SDN安全、NFV安全及網(wǎng)絡(luò)切片安全等。雖然國(guó)內(nèi)外企業(yè)彼此相互獨(dú)立，各具特色和優(yōu)勢(shì)，但它們共同構(gòu)成了一個(gè)相互補(bǔ)充與支持的完整的5G安全研究生態(tài)。

2 5G安全技術(shù)體系

5G安全架構(gòu)應(yīng)該能為差異化的5G應(yīng)用場(chǎng)景與新型網(wǎng)絡(luò)架構(gòu)提供全面安全防護(hù)[11-15]。結(jié)合5G應(yīng)用場(chǎng)景下終端種類多、安全防護(hù)要求高、隱私保護(hù)差異化等特點(diǎn)，5G安全架構(gòu)應(yīng)該滿足以下具體需求：

① 認(rèn)證安全。5G安全認(rèn)證需要兼容海量終端的多種認(rèn)證體制，為各類設(shè)備提供無差別的統(tǒng)一認(rèn)證服務(wù)。

② 按需服務(wù)。不同的應(yīng)用場(chǎng)景與不同的終端設(shè)備對(duì)于安全服務(wù)具有不同的周期與等級(jí)要求，需要根據(jù)需要提供個(gè)性化安全服務(wù)。

③ 隱私保護(hù)。根據(jù)5G網(wǎng)絡(luò)應(yīng)用特點(diǎn)，提供相應(yīng)的符合法律法規(guī)要求的用戶隱私信息保護(hù)。

④ 虛擬化組件安全。NFV/SDN、切片等技術(shù)是5G網(wǎng)絡(luò)重要特征，5G安全架構(gòu)應(yīng)該能保障NFV/SDN等相關(guān)的軟件安全和數(shù)據(jù)安全。

⑤ 切片安全。5G安全內(nèi)容應(yīng)當(dāng)包含切片安全隔離、切片安全管理、切片安全接入、切片通信安全等切片功能相關(guān)的安全。

⑥ 開放安全。確保5G的網(wǎng)絡(luò)能力和網(wǎng)絡(luò)相關(guān)的安全能力可以安全地提供第三方使用。

5G安全總體架構(gòu)設(shè)計(jì)如圖1所示。

圖1 5G安全總體架構(gòu)設(shè)計(jì)Fig.1 5G security architecture

下面將從安全認(rèn)證、隱私保護(hù)、切片安全、終端安全等幾個(gè)主要方面介紹5G安全技術(shù)研究進(jìn)展。

2.1 安全認(rèn)證

5G需要支持多種接入技術(shù)，如4G接入、5G接入及WLAN接入等。由于不同的接入網(wǎng)絡(luò)使用不同的接入技術(shù)，5G需要允許垂直行業(yè)的設(shè)備和網(wǎng)絡(luò)使用其特有的接入技術(shù)。為了更好地支持物聯(lián)網(wǎng)的接入，使用戶可以在不同接入網(wǎng)間實(shí)現(xiàn)無縫切換，需要研究建立5G的統(tǒng)一密鑰體系，為各種設(shè)備提供統(tǒng)一接入認(rèn)證服務(wù)，實(shí)現(xiàn)多場(chǎng)景海量終端的靈活高效身份鑒權(quán)。

可擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證框架是能滿足5G統(tǒng)一認(rèn)證需求的備選方案之一[16]。EAP是一個(gè)可以靈活封裝各種認(rèn)證協(xié)議的統(tǒng)一認(rèn)證框架，支持AP-PSK，EAP-TLS，EAP-AKA等多種認(rèn)證協(xié)議。在3GPP目前所定義的5G網(wǎng)絡(luò)架構(gòu)中，認(rèn)證服務(wù)器功能、處理功能(AUSF/ARPF)網(wǎng)元、接入管理功能(AMF)網(wǎng)元等功能模塊組成了EAP統(tǒng)一認(rèn)證框架。在此框架下，不同接入體制的終端設(shè)備都能無縫接入5G網(wǎng)絡(luò)。

相關(guān)研究方面，紀(jì)韜[17]兼顧執(zhí)行效率和安全的接入認(rèn)證方案，針對(duì)智能移動(dòng)電話等計(jì)算能力較強(qiáng)的設(shè)備采用基于KP-ABE的匿名接入認(rèn)證，針對(duì)計(jì)算能力較弱的設(shè)備采用基于群組的接入認(rèn)證，并驗(yàn)證了多種常見攻擊下的安全性；李小文[18]等人結(jié)合5G AKA認(rèn)證機(jī)制的特點(diǎn)，提出了終端5G AKA認(rèn)證過程的具體設(shè)計(jì)方案；賈聿庸[19]等人提出了以用戶為中心的身份認(rèn)證管理技術(shù)解決用戶和設(shè)備之間的關(guān)系、訪問第三方服務(wù)以及物聯(lián)網(wǎng)設(shè)備可見性等問題。

2.2 隱私保護(hù)

5G網(wǎng)絡(luò)涉及多種網(wǎng)絡(luò)接入類型并兼容垂直行業(yè)應(yīng)用，提供差異化的隱私保護(hù)能力。用戶隱私在多種網(wǎng)絡(luò)、服務(wù)、應(yīng)用及網(wǎng)絡(luò)設(shè)備中存儲(chǔ)使用，不同用戶、不同業(yè)務(wù)場(chǎng)景對(duì)隱私保護(hù)的需求不盡相同，因此需要針對(duì)不同的用戶和業(yè)務(wù)場(chǎng)景采用不同技術(shù)措施解決5G網(wǎng)絡(luò)的隱私保護(hù)問題。另外，根據(jù)隱私數(shù)據(jù)在5G網(wǎng)絡(luò)中的實(shí)際使用情況，從數(shù)據(jù)采集傳輸、數(shù)據(jù)脫敏、數(shù)據(jù)加密、安全基線建立、數(shù)據(jù)發(fā)布保護(hù)等方面采用不同技術(shù)措施保證數(shù)據(jù)的安全。因此5G網(wǎng)絡(luò)需要支持安全、靈活、按需的隱私保護(hù)機(jī)制。

5G網(wǎng)絡(luò)對(duì)用戶隱私的保護(hù)可以分為身份標(biāo)識(shí)保護(hù)、位置信息保護(hù)、服務(wù)信息保護(hù)等幾種類型。當(dāng)前5G網(wǎng)絡(luò)中隱私保護(hù)所采用的主要技術(shù)措施有數(shù)據(jù)加密技術(shù)、基于限制發(fā)布的隱私保護(hù)技術(shù)、訪問控制技術(shù)、虛擬存儲(chǔ)和傳輸保護(hù)技術(shù)、5G網(wǎng)絡(luò)隱私增強(qiáng)技術(shù)等。

相關(guān)研究方面，趙靜[20]分析了5G終端使用4G卡時(shí)存在SUPU信息泄露的問題；李梁等人[21]為了解決5G智能電網(wǎng)中電力回收的安全性和隱私保護(hù)問題，提出了基于V2G(Vehicle-to-Grid)的具有隱私保護(hù)能力的5G智能電網(wǎng)電力注入系統(tǒng)；馮中華[22]等人分析了基于隱私保護(hù)的車聯(lián)網(wǎng)身份認(rèn)證系統(tǒng)面臨的攻擊威脅，提出了基于證書和假名機(jī)制的隱私保護(hù)方案。

2.3 切片安全

5G引入網(wǎng)絡(luò)切片和SDN/NFV技術(shù)概念之后，安全邊界模糊化問題導(dǎo)致了傳統(tǒng)移動(dòng)通信網(wǎng)絡(luò)以物理實(shí)體為核心的安全防護(hù)技術(shù)在5G網(wǎng)絡(luò)新環(huán)境中已經(jīng)不再適用[23]。安全性不僅與安全特征的物理部署有關(guān)，更重要的是與虛擬資產(chǎn)部署的安全特征有關(guān)，需要建立起以虛擬資源和虛擬功能為目標(biāo)的安全防護(hù)體系。因此不僅要在網(wǎng)絡(luò)切片、NFV層面研究虛擬化基礎(chǔ)設(shè)施可信運(yùn)行及資源隔離與虛擬化網(wǎng)絡(luò)切片的安全保障機(jī)制，更需要在管理架構(gòu)上進(jìn)行設(shè)計(jì)調(diào)整，以適應(yīng)被管虛擬資源和虛擬功能靈活多變的組網(wǎng)需求[24-27]。

相關(guān)研究方面，毛玉欣等人[28]提出了網(wǎng)絡(luò)切片端到端安全隔離的實(shí)現(xiàn)方法，可以實(shí)現(xiàn)切片在接入網(wǎng)絡(luò)、承載網(wǎng)絡(luò)和核心網(wǎng)絡(luò)中的隔離；周巍[29]從網(wǎng)絡(luò)切片安全的關(guān)鍵需求出發(fā)，提出了基于網(wǎng)絡(luò)部署方案的切片安全分級(jí)保護(hù)，以及基于密碼技術(shù)的切片內(nèi)用戶數(shù)據(jù)保護(hù)；陳松等人[30]提出了安全隔離、終端訪問安全連接、切片安全構(gòu)建、切片內(nèi)部安全通信等切片安全技術(shù)；孫志勇等人[31]提出了網(wǎng)絡(luò)切片中虛擬節(jié)點(diǎn)與物理節(jié)點(diǎn)的安全參數(shù)評(píng)估模型，建立虛擬節(jié)點(diǎn)與物理節(jié)點(diǎn)的安全約束關(guān)系，從而提高網(wǎng)絡(luò)切片的容侵性能；鄧偉華[32]提出了基于安全威脅檢測(cè)的虛擬機(jī)遷移策略，能夠有效降低安全防護(hù)成本。

2.4 終端安全

終端安全是5G安全體系中不可缺少的一環(huán)。安全架構(gòu)在終端中引入終端安全面，在終端安全面中通過構(gòu)建受信存儲(chǔ)、計(jì)算環(huán)境和標(biāo)準(zhǔn)化安全接口，分別從終端自身和外部?jī)煞矫鏋榻K端安全提供保障。終端自身安全保障可以通過構(gòu)建可信存儲(chǔ)和計(jì)算環(huán)境，提升終端自身的安全防護(hù)能力；終端外部安全保障通過引入標(biāo)準(zhǔn)化的安全接口，支持第三方安全服務(wù)和安全模塊的引入，并支持基于云的安全增強(qiáng)機(jī)制，為終端提供安全監(jiān)測(cè)、安全分析、安全管控等輔助安全功能[33-35]。在3G/4G階段，3GPP一直注重加強(qiáng)對(duì)移動(dòng)網(wǎng)絡(luò)的安全設(shè)計(jì)，終端安全則完全交由終端廠家自行開發(fā)。由于缺少統(tǒng)一標(biāo)準(zhǔn)的牽引，移動(dòng)終端安全技術(shù)發(fā)展緩慢，產(chǎn)業(yè)化進(jìn)展滯后，很快就成為用戶隱私泄露的重災(zāi)區(qū)。近年來，雖然有芯片廠家或終端企業(yè)陸續(xù)推出了一些安全技術(shù)，但總體來說，受已有架構(gòu)的限制，對(duì)于解決不同角度的安全問題，缺乏普適性設(shè)計(jì)。

相關(guān)研究方面，秦寧麗[36]提出了一種基于國(guó)密算法的智能移動(dòng)終端安全防護(hù)技術(shù)，能夠提升終端的數(shù)據(jù)存儲(chǔ)、傳輸及應(yīng)用安全；黃霞[37]從智能家居的終端架構(gòu)特點(diǎn)出發(fā)，提出了智能家居APP安全、通信網(wǎng)絡(luò)安全、智能終端安全等安全問題的應(yīng)對(duì)措施；鐘磊等人[38]引入機(jī)器學(xué)習(xí)算法對(duì)終端安全事件進(jìn)行分析與分類，有效降低了終端用戶的安全風(fēng)險(xiǎn)；吳慶升等人[39]從網(wǎng)絡(luò)準(zhǔn)入、硬軟件等層面研究終端存在的安全威脅，從接入控制、身份認(rèn)證、監(jiān)控與審計(jì)等方面提出了終端安全防護(hù)的設(shè)計(jì)思路；黃飛飛等人[40]全面分析了終端數(shù)據(jù)面臨的安全威脅，提出了終端數(shù)據(jù)防泄漏的安全管理建議。

3 發(fā)展趨勢(shì)

隨著5G商用的推進(jìn)和5G應(yīng)用的增長(zhǎng)，針對(duì)5G的安全技術(shù)將呈現(xiàn)多元化、精細(xì)化、主動(dòng)化的發(fā)展趨勢(shì)，具體的研究趨勢(shì)包括：

① 在技術(shù)架構(gòu)上，5G安全將實(shí)現(xiàn)虛擬化安全技術(shù)的廣泛應(yīng)用。隨著SDN、NFV、切片等技術(shù)的引入，5G網(wǎng)絡(luò)呈現(xiàn)出虛擬化、軟件化、開放化等特點(diǎn)，促使安全架構(gòu)實(shí)現(xiàn)對(duì)高可靠虛擬化安全技術(shù)的支持。

② 在部署理念上，5G安全將實(shí)現(xiàn)從外掛式防護(hù)到內(nèi)生式安全的跨越。5G將充分利用網(wǎng)絡(luò)架構(gòu)的優(yōu)勢(shì)，如軟硬件解耦、虛擬化和動(dòng)態(tài)化，挖掘內(nèi)生安全性和開發(fā)內(nèi)生安全關(guān)鍵技術(shù)，構(gòu)建基于非可信網(wǎng)絡(luò)組件的高可靠性、高安全性5G網(wǎng)絡(luò)。

③ 在應(yīng)用需求上，5G安全將實(shí)現(xiàn)差異化安全策略的靈活適配。5G在豐富垂直行業(yè)與專用領(lǐng)域的應(yīng)用，使得5G終端類型呈現(xiàn)多元化，從而促使安全架構(gòu)應(yīng)對(duì)多元化終端的安全需求，實(shí)現(xiàn)差異化安全策略與模組的靈活適配。

4 結(jié)束語(yǔ)

未來5G通信網(wǎng)絡(luò)將面臨多樣化的業(yè)務(wù)場(chǎng)景，應(yīng)用多種虛擬化安全技術(shù)和接入技術(shù)，在網(wǎng)絡(luò)架構(gòu)、終端接入、認(rèn)證鑒權(quán)等多方面具有新的安全需求。本文從5G的新場(chǎng)景出發(fā)，對(duì)三大基本應(yīng)用場(chǎng)景下的安全挑戰(zhàn)進(jìn)行總結(jié)分析，明確5G網(wǎng)絡(luò)安全需求和架構(gòu)，并在安全認(rèn)證、隱私保護(hù)、切片安全、終端安全等核心安全功能方面進(jìn)行研究現(xiàn)狀闡述，并在此基礎(chǔ)上給出了5G安全技術(shù)的發(fā)展趨勢(shì)，為5G安全整體架構(gòu)設(shè)計(jì)、業(yè)務(wù)流程及現(xiàn)實(shí)應(yīng)用等方面工作提供參考借鑒。