尹新江

【摘要】如今，各個(gè)行業(yè)都對(duì)5G技術(shù)的融合程度也越來越深。為此，需要做好5G系統(tǒng)的安全防護(hù)工作，從系統(tǒng)設(shè)計(jì)階段就明確安全威脅、安全需求以及安全目標(biāo)等。本文先表明目前5G系統(tǒng)所受到的安全威脅以及在安全方面的需求，然后明確5G系統(tǒng)的細(xì)致安全目標(biāo)并闡述安全設(shè)計(jì)過程中需要遵從的原則，期望能夠提升5G系統(tǒng)的安全性能。

【關(guān)鍵詞】5G系統(tǒng);安全威脅;安全需求;安全目標(biāo);安全設(shè)計(jì)原則

中圖分類號(hào)：TN92? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ?文章編號(hào)：1673-0348（2020）020-047-03

Analysis of 5G system security threats， security requirements， security goals and security design principles

Yin Xinjiang

（Nanjing ZTE Software Co.， Ltd. Nanjing 210000， Jiangsu）

Abstract： Nowadays， various industries are becoming more and more integrated with 5G technology. For this reason， it is necessary to do a good job in the security protection of the 5G system， and clarify the security threats， security requirements， and security goals from the system design stage. This article first shows the current security threats to the 5G system and the security requirements， then clarifies the detailed security goals of the 5G system and elaborates the principles that need to be followed in the security design process， hoping to improve the security performance of the 5G system.

Keywords： 5G system; security threats; security requirements; security goals; security design principles

5G系統(tǒng)是目前移動(dòng)通信行業(yè)發(fā)展的最高級(jí)的系統(tǒng)，也是互聯(lián)網(wǎng)發(fā)展的基礎(chǔ)，其能夠?yàn)槿藗兲峁└又腔刍姆?wù)。在國家工信部的推動(dòng)下，我國通信技術(shù)水平不斷提升，在5G技術(shù)方面呈現(xiàn)出快速發(fā)展的局面，促使5G系統(tǒng)成為各個(gè)行業(yè)發(fā)展的主要基礎(chǔ)設(shè)施。無論是工業(yè)、農(nóng)業(yè)，還是服務(wù)業(yè)都將受益于5G系統(tǒng)的發(fā)展，人民的工作和生活也會(huì)更加便利，5G系統(tǒng)的安全問題就變得非常重要，帶來的后果也很嚴(yán)重，所以我們要重視5G系統(tǒng)的安全問題。下文將詳細(xì)闡述目前5G系統(tǒng)的安全問題，闡述提升安全特性的具體要點(diǎn)。

1. 5G系統(tǒng)的安全威脅

為了了解5G系統(tǒng)的安全問題，通過3GPP TR33.899來形成安全研究報(bào)告，記錄出目前5G系統(tǒng)在安全方面所面臨的各類風(fēng)險(xiǎn)，而在對(duì)3GPP TR33.899文檔進(jìn)行總結(jié)的時(shí)候，明確當(dāng)前5G系統(tǒng)所遭受的安全威脅有下述幾個(gè)方面：

第一，當(dāng)前5G系統(tǒng)還需要面臨其在數(shù)據(jù)信息傳輸過程中可能會(huì)遭遇的竊聽問題。

第二，使用5G系統(tǒng)的用戶在互聯(lián)網(wǎng)當(dāng)中留下痕跡，其隱私信息可能會(huì)在系統(tǒng)遭受不法攻擊時(shí)泄漏。

第三，用戶在5G系統(tǒng)當(dāng)中所存儲(chǔ)的數(shù)據(jù)可能會(huì)遭遇篡改或者是偽造。

第四，5G系統(tǒng)自身的關(guān)鍵網(wǎng)元可能會(huì)受到物理因素?fù)p壞，且網(wǎng)元之間可能會(huì)出現(xiàn)未經(jīng)授權(quán)就被訪問的情況，此時(shí)網(wǎng)元之間的交互信息會(huì)遭遇泄露問題。

第五，不同的系統(tǒng)之間出現(xiàn)交互性的沒有經(jīng)過授權(quán)就訪問的情況，而運(yùn)營商之間也可能會(huì)出現(xiàn)信令泄露或者是被偽造的問題。

第六，5G系統(tǒng)的安全算法可能在遭受攻擊的時(shí)候出現(xiàn)使用受限的情況，一些沒有經(jīng)過授權(quán)的外部數(shù)據(jù)網(wǎng)絡(luò)也可能會(huì)連接到系統(tǒng)當(dāng)中，此時(shí)用戶或者是網(wǎng)絡(luò)會(huì)受到不法分子的攻擊。

2. 5G系統(tǒng)的安全需求

5G系統(tǒng)相比于以往的4G系統(tǒng)和3G系統(tǒng)，其已經(jīng)突破了原本比較單一的信息傳輸渠道或者是比較固化的信息控制服務(wù)模式，其將用戶作為服務(wù)中心，依據(jù)用戶的需求來打造系統(tǒng)的功能模塊，促使網(wǎng)絡(luò)具備可編程性。作為通用網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，其能夠面向不同的客戶群體為其提供個(gè)性化的需求服務(wù)，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的重新優(yōu)化分配以及對(duì)網(wǎng)絡(luò)功能的重構(gòu)。5G系統(tǒng)還可以通過能力開放接口將網(wǎng)絡(luò)能力提供給第三方應(yīng)用，從而第三方應(yīng)用可以按照定制化的需要提供個(gè)性化的服務(wù)。目前情況下，5G系統(tǒng)的主要應(yīng)用包含了移動(dòng)性增強(qiáng)寬帶、高可靠低時(shí)延以及海量機(jī)器類通信等，這和4G系統(tǒng)相比，能夠更加快速的為不同的用戶提供網(wǎng)絡(luò)服務(wù)，從而在移動(dòng)邊緣計(jì)算以及網(wǎng)絡(luò)能力開放等技術(shù)的輔助下，滿足不同用戶對(duì)5G系統(tǒng)的特殊應(yīng)用需求。如今，5G通信技術(shù)已經(jīng)受到國家工信部的關(guān)注，且在國家重視情況下獲取更多的發(fā)展空間，其不斷提升自身的技術(shù)水平，注重用戶應(yīng)用體驗(yàn)感提升并在整體上提升移動(dòng)網(wǎng)絡(luò)能力，促使其能夠更好的應(yīng)對(duì)各個(gè)類型的網(wǎng)絡(luò)安全威脅。例如，原本網(wǎng)絡(luò)安全系統(tǒng)中更多的是依靠對(duì)物理環(huán)境進(jìn)行改變，采取物理隔離的方式來確保網(wǎng)絡(luò)系統(tǒng)具有足夠的安全性。而在軟件網(wǎng)絡(luò)技術(shù)的應(yīng)用過程中，已經(jīng)不局限在物理方式來進(jìn)行隔離，而原本的物理隔離更加不適合網(wǎng)絡(luò)技術(shù)。因此，5G系統(tǒng)需要重點(diǎn)考慮網(wǎng)絡(luò)虛擬安全問題，并且尋找比較統(tǒng)一的安全架構(gòu)，確保其在支持多種認(rèn)證方式的情況下來滿足不同的行業(yè)業(yè)務(wù)應(yīng)用需求。再例如，5G系統(tǒng)需要進(jìn)一步考慮對(duì)用戶信息的認(rèn)證，并且加強(qiáng)對(duì)用戶隱私信息的保護(hù)，避免也用戶身份在空口泄露，而用戶自身也會(huì)受到跟蹤導(dǎo)致用戶的其他類型信息連帶性泄露。

早在2016年6月份開始，3GPP標(biāo)準(zhǔn)組織就已經(jīng)開始針對(duì)5G系統(tǒng)的安全架構(gòu)問題展開研究，并且發(fā)布了關(guān)于233.899的新版本，2017年，該組織繼續(xù)研究5G系統(tǒng)的安全問題，并且對(duì)系統(tǒng)所面臨的安全威脅以及在安全方面所具備的需求展開分析，認(rèn)為需要對(duì)系統(tǒng)當(dāng)中的空口消息進(jìn)行保護(hù)，確保在用戶信息傳輸過程中具備較強(qiáng)的機(jī)密性，能夠被完整的保護(hù)下來，此時(shí)用戶信息被保護(hù)，而系統(tǒng)的網(wǎng)絡(luò)功能也受到安全保護(hù)，避免受到對(duì)應(yīng)的服務(wù)供給。5G網(wǎng)絡(luò)的安全架構(gòu)主要包括兩個(gè)方面：安全分層和安全分域。安全分層包括傳送層、歸屬層和應(yīng)用層，各層之間完全獨(dú)立，相互間隔。安全分域包括接入域安全、網(wǎng)絡(luò)域安全、用戶域安全、應(yīng)用域安全、服務(wù)域安全、安全可視化和配置安全六個(gè)域，5G系統(tǒng)的安全架構(gòu)比4G系統(tǒng)增加了服務(wù)域安全，有更強(qiáng)的安全能力。

3. 5G系統(tǒng)的安全目標(biāo)

在明確目前5G系統(tǒng)所面臨的安全威脅以及在安全方面的具體需求以后，5G系統(tǒng)在進(jìn)行安全架構(gòu)過程中需要明確具體的安全目標(biāo)。4G系統(tǒng)在建設(shè)過程中就已經(jīng)形成了對(duì)應(yīng)的網(wǎng)絡(luò)安全機(jī)制，在對(duì)5G安全系統(tǒng)進(jìn)行架構(gòu)過程中可以從4G系統(tǒng)的基礎(chǔ)之上根據(jù)5G系統(tǒng)的用戶需求特點(diǎn)，在滿足用戶需求的情況下考慮安全體系架構(gòu)問題。例如，針對(duì)用戶的空口接入設(shè)置比較統(tǒng)一的認(rèn)證機(jī)制，確保用戶在和網(wǎng)絡(luò)之間展開空口傳輸時(shí)能夠保證數(shù)據(jù)的完整性，其所傳輸?shù)男帕钜材軌蚓邆錂C(jī)密性。安全架構(gòu)當(dāng)中將直接對(duì)用戶的隱私信息隔絕保護(hù)，通過密鑰協(xié)商和信息保護(hù)同步的方式來規(guī)避用戶信息受到攻擊的問題。此時(shí)5G系統(tǒng)能夠有效防范一些并未被授權(quán)的用戶訪問系統(tǒng)，避免了中間人對(duì)系統(tǒng)的攻擊，促使用戶身份信息能夠受到有效保護(hù)。也就是說，5G系統(tǒng)的安全目標(biāo)是通過各類安全機(jī)制的設(shè)置來保護(hù)用戶身份隱私，避免服務(wù)網(wǎng)絡(luò)受到篡改或者是服務(wù)攻擊。

4. 5G系統(tǒng)的安全設(shè)計(jì)原則

在明確了5G系統(tǒng)的安全需求以后，3GPP安全工作組已經(jīng)針對(duì)5G系統(tǒng)的安全問題設(shè)置了對(duì)應(yīng)了安全機(jī)制，并且做好安全機(jī)制的設(shè)計(jì)準(zhǔn)備，明確了安全機(jī)制的設(shè)計(jì)標(biāo)準(zhǔn)，期望能夠有效解決一些用戶未經(jīng)過授權(quán)就對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行訪問的安全隱患問題，避免用戶受到攻擊者的攻擊，也避免用戶的數(shù)據(jù)信息被泄露或者是揣測。本次針對(duì)3GPP安全工作組所劃分為的5G安全標(biāo)準(zhǔn)展開詳細(xì)分析，并梳理出5G系統(tǒng)在進(jìn)行安全設(shè)計(jì)時(shí)需要遵從的各項(xiàng)原則如下：

首先，5G系統(tǒng)的安全設(shè)計(jì)需要在4G系統(tǒng)的基礎(chǔ)之上，滿足原本4G系統(tǒng)所提供的安全特性，并能夠進(jìn)一步提升安全服務(wù)能力。具體來講，在5G系統(tǒng)當(dāng)中，網(wǎng)絡(luò)和用戶具備雙向鑒定的權(quán)利，當(dāng)用戶身份處于無線接口當(dāng)中時(shí)，其用戶身份信息處于安全狀態(tài)，而用戶通過無線接口所開展的數(shù)據(jù)傳輸或者是信令傳達(dá)都將受到機(jī)密性和完整性的保護(hù)。當(dāng)用戶身份處于系統(tǒng)當(dāng)中時(shí)，身份信息以及設(shè)備信息都將會(huì)受到特定的保護(hù)，系統(tǒng)將會(huì)針對(duì)性的建立安全訪問機(jī)制，并且確保網(wǎng)絡(luò)實(shí)體進(jìn)行信息傳輸時(shí)的安全。5G系統(tǒng)所構(gòu)建的安全體系能夠滿足在未來很長一段時(shí)間的安全算法要求，其能夠達(dá)到特定的安全級(jí)別，比4G系統(tǒng)的安全機(jī)制更強(qiáng)，且能夠有效規(guī)避5G系統(tǒng)現(xiàn)有的安全威脅問題。

其次，在設(shè)計(jì)5G安全系統(tǒng)的時(shí)候需要明確4G系統(tǒng)所存在的安全薄弱點(diǎn)，遵從安全增強(qiáng)的原則。也就是說，在對(duì)安全系統(tǒng)進(jìn)行設(shè)計(jì)的時(shí)候需要先對(duì)4G系統(tǒng)的安全特性展開分析，明確用戶在4G系統(tǒng)時(shí)所面臨的安全困擾問題，然后有針對(duì)性的展開設(shè)計(jì)，規(guī)避用戶所遭遇的安全問題。具體來講，做好歸屬網(wǎng)絡(luò)在服務(wù)網(wǎng)絡(luò)方面的認(rèn)證，針對(duì)用戶處于系統(tǒng)當(dāng)中遺留下的隱私信息開展保護(hù)工作，在網(wǎng)絡(luò)之間開展實(shí)體交互過程中保障其安全性，確保用戶所整理和存儲(chǔ)的信息具備完整性，避免信息被篡改或者是直接被盜取。

最后，在5G系統(tǒng)安全設(shè)計(jì)期間需要注意其最終達(dá)到的安全等級(jí)不能比4G低，其需要重新架構(gòu)安全體系，且為用戶提供足夠的安全保護(hù)，因此其在提供安全服務(wù)過程中需要包含用戶業(yè)務(wù)范圍內(nèi)的安全特性。例如，需要做好服務(wù)化架構(gòu)，尤其是考慮到其網(wǎng)絡(luò)服務(wù)模式的創(chuàng)新性，在服務(wù)化架構(gòu)過程中確保系統(tǒng)當(dāng)中的網(wǎng)絡(luò)功能能夠以靈活的姿態(tài)來為用戶提供部署服務(wù)，確保用戶為用戶做好安全部署，促使其安全需求能夠達(dá)成，尤其是在認(rèn)證授權(quán)方面的信息保護(hù)方面需求能夠得到滿足。5G系統(tǒng)安全設(shè)計(jì)要針對(duì)不同的應(yīng)用場景，做對(duì)應(yīng)的安全策略設(shè)計(jì)。例如，對(duì)于能力開發(fā)應(yīng)用場景，會(huì)將用戶個(gè)人信息、網(wǎng)絡(luò)傳據(jù)從運(yùn)營商的私有網(wǎng)絡(luò)中開放出來，所以存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，并且能力開放采用互聯(lián)網(wǎng)通用協(xié)議，會(huì)把互聯(lián)網(wǎng)現(xiàn)有的安全風(fēng)險(xiǎn)引入到5G系統(tǒng)。所以針對(duì)能力開放場景，一方面是網(wǎng)絡(luò)數(shù)據(jù)的保護(hù)，另一方面是能力開放接口的安全防護(hù)。

5. 結(jié)束語

如今，5G通信技術(shù)的出現(xiàn)促使各個(gè)行業(yè)的業(yè)務(wù)更加深度融合在一起，在賦予各個(gè)行業(yè)處于安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境當(dāng)中，成為各行業(yè)合作互聯(lián)的基礎(chǔ)。本文了解5G系統(tǒng)的安全威脅、安全需求、安全目標(biāo)以及安全設(shè)計(jì)原則，期望能夠在后續(xù)研究5G系統(tǒng)過程中全面開啟安全智慧屏障，為現(xiàn)代社會(huì)提供更加方便快捷的生活之門。

參考文獻(xiàn)：

[1]閆新成，毛玉欣，趙紅勛.5G典型應(yīng)用場景安全需求及安全防護(hù)對(duì)策[J].中興通訊技術(shù)，2019（4）.

[2]楊紅梅，趙勇.5G安全風(fēng)險(xiǎn)分析及標(biāo)準(zhǔn)進(jìn)展[J].中興通訊技術(shù)，2019，025（004）：2-5.

[3]任語錚，謝人超，曾詩欽，等.工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系綜述[J].通信學(xué)報(bào)，2019（11）.

[4]陸海濤，李剛，高旭昇.5G網(wǎng)絡(luò)的設(shè)備及其接入安全[J].中興通訊技術(shù)，2019（4）：19-24.

[5]劉瑋，董江波，任冶冰.面向商用的5G網(wǎng)絡(luò)關(guān)鍵問題研究及驗(yàn)證[J].電信科學(xué)，2018，034（008）：56-61.

[6]何贊園，王凱，牛犇，etal.基于安全威脅預(yù)測的5G網(wǎng)絡(luò)切片功能遷移策略[J].計(jì)算機(jī)應(yīng)用，2019，39（02）：446-452.

[7]徐越峰，馮杰，紀(jì)云鴻，等.基于物聯(lián)網(wǎng)技術(shù)的電力現(xiàn)場作業(yè)安全管理系統(tǒng)設(shè)計(jì)[J].制造業(yè)自動(dòng)化，2019，041（008）：110-114.