蘇焯根

（中國移動通信集團(tuán)廣東有限公司潮州分公司，廣東 潮州 521000）

0 引 言

第五代移動通信技術(shù)（5th Generation Mobile Communication Technology，5G）因其速度快、延遲低、連接密度大等特點(diǎn)，催生出大量新型應(yīng)用場景，如智能城市、自動駕駛、工業(yè)物聯(lián)網(wǎng)等。這些應(yīng)用涉及傳輸大量敏感數(shù)據(jù)，增加了被黑客攻擊的風(fēng)險(xiǎn)。攻擊者可能會利用新手段竊取、篡改及破壞數(shù)據(jù)，對個(gè)人隱私、商業(yè)機(jī)密以及國家安全造成威脅。另外，5G 網(wǎng)絡(luò)將連接大量物聯(lián)網(wǎng)設(shè)備，但這些設(shè)備的安全性能較低，容易成為網(wǎng)絡(luò)攻擊的對象。攻擊者可通過入侵這些設(shè)備滲透到整個(gè)網(wǎng)絡(luò)，向關(guān)鍵基礎(chǔ)設(shè)施和服務(wù)發(fā)起攻擊。因此，如何通過技術(shù)手段保障5G 網(wǎng)絡(luò)安全成為信息通信行業(yè)從業(yè)者需要解決的難題。

1 5G 在網(wǎng)絡(luò)安全中的作用

1.1 加密和認(rèn)證技術(shù)的改善

使用5G 有利于引入更高級別的加密算法，以保障數(shù)據(jù)傳輸過程中的保密性，降低數(shù)據(jù)被非法獲取的風(fēng)險(xiǎn)[1]。此外，5G 網(wǎng)絡(luò)支持更安全的身份認(rèn)證機(jī)制，通過運(yùn)用新型認(rèn)證協(xié)議與技術(shù)，降低身份偽裝和欺騙攻擊發(fā)生的概率。

1.2 網(wǎng)絡(luò)切片的應(yīng)用

在5G網(wǎng)絡(luò)中，網(wǎng)絡(luò)切片可以針對不同的垂直行業(yè)、不同的應(yīng)用場景提供定制化的網(wǎng)絡(luò)服務(wù)，以提升網(wǎng)絡(luò)安全。網(wǎng)絡(luò)切片指將網(wǎng)絡(luò)劃分為多個(gè)獨(dú)立的虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)不同服務(wù)、不同應(yīng)用之間的隔離。每個(gè)網(wǎng)絡(luò)切片具有獨(dú)立的安全策略、服務(wù)質(zhì)量保障以及資源分配標(biāo)準(zhǔn)，可以針對不同應(yīng)用場景和不同應(yīng)用需求進(jìn)行靈活配置。例如，針對智能工廠、智能交通、遠(yuǎn)程醫(yī)療等垂直行業(yè)，可以通過創(chuàng)建專門的網(wǎng)絡(luò)切片，滿足它們特定的通信需求與安全要求。該技術(shù)有效解決了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中不同服務(wù)、不同應(yīng)用之間相互干擾、安全防護(hù)難以統(tǒng)一的問題。另外，5G 網(wǎng)絡(luò)的高速、低時(shí)延特性為網(wǎng)絡(luò)切片提供了更廣闊的應(yīng)用場景。例如，面對如虛擬現(xiàn)實(shí)等對延遲較為敏感的應(yīng)用場景，5G網(wǎng)絡(luò)能夠提高相關(guān)數(shù)據(jù)的傳輸效率與傳輸穩(wěn)定性。

1.3 邊緣計(jì)算的應(yīng)用

5G 通過將計(jì)算下沉到靠近用戶和數(shù)據(jù)源的網(wǎng)絡(luò)邊緣，降低對中央數(shù)據(jù)中心的依賴，減少敏感數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中暴露的風(fēng)險(xiǎn)，從而縮小攻擊面。5G將計(jì)算任務(wù)遷移至網(wǎng)絡(luò)邊緣有助于降低延遲，實(shí)現(xiàn)更迅速的檢測，以便有效應(yīng)對潛在威脅。

1.4 物聯(lián)網(wǎng)設(shè)備的安全性提升

利用5G 網(wǎng)絡(luò)有利于提升物聯(lián)網(wǎng)設(shè)備的安全性。通過執(zhí)行更嚴(yán)格的認(rèn)證程序，5G 網(wǎng)絡(luò)可確保物聯(lián)網(wǎng)設(shè)備在網(wǎng)絡(luò)環(huán)境中不成為潛在攻擊對象。此外，5G支持安全更新設(shè)備固件，能夠及時(shí)修復(fù)已知漏洞，從而更好地應(yīng)對不斷演變的安全挑戰(zhàn)。

2 5G 網(wǎng)絡(luò)面臨的安全威脅

2.1 5G 網(wǎng)絡(luò)與物聯(lián)網(wǎng)集成的安全問題

5G 網(wǎng)絡(luò)與物聯(lián)網(wǎng)在集成時(shí)面臨的安全威脅包括設(shè)備認(rèn)證、數(shù)據(jù)隱私、網(wǎng)絡(luò)攻擊、固件漏洞以及物理安全等。在設(shè)備認(rèn)證方面，5G 網(wǎng)絡(luò)與物聯(lián)網(wǎng)集成中的常見問題包括使用弱密碼、默認(rèn)憑證以及偽裝設(shè)備身份等，容易導(dǎo)致未經(jīng)授權(quán)的設(shè)備入侵，危及整個(gè)網(wǎng)絡(luò)的安全[2]。在數(shù)據(jù)隱私方面，5G 網(wǎng)絡(luò)與物聯(lián)網(wǎng)集成時(shí)存在數(shù)據(jù)加密不足和數(shù)據(jù)泄露的風(fēng)險(xiǎn)，容易導(dǎo)致敏感信息因未經(jīng)適當(dāng)加密而被竊取或篡改。在網(wǎng)絡(luò)攻擊方面，黑客可通過攻擊物聯(lián)網(wǎng)設(shè)備，構(gòu)建分布式拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS）或?qū)嵤┲虚g人攻擊，使5G 網(wǎng)絡(luò)服務(wù)不可用或數(shù)據(jù)傳輸時(shí)受損。在固件漏洞方面，5G 網(wǎng)絡(luò)與物聯(lián)網(wǎng)集成時(shí)的問題主要體現(xiàn)在漏洞未及時(shí)修補(bǔ)和固件更新管理不足兩個(gè)方面，容易為攻擊者提供入侵窗口。

2.2 用戶隱私與數(shù)據(jù)保護(hù)的挑戰(zhàn)

在實(shí)際應(yīng)用5G 網(wǎng)絡(luò)的過程中，如何保護(hù)用戶隱私與數(shù)據(jù)安全成為相關(guān)從業(yè)人員面臨的巨大挑戰(zhàn)。一方面，5G 網(wǎng)絡(luò)的高帶寬和低延遲特性使大規(guī)模采集與傳輸數(shù)據(jù)變得更加便捷，但也增加了用戶隱私被侵犯的風(fēng)險(xiǎn)。另一方面，5G 網(wǎng)絡(luò)如數(shù)據(jù)加密、訪問控制等保護(hù)措施尚未完善，容易導(dǎo)致用戶隱私泄露。

2.3 網(wǎng)絡(luò)切片技術(shù)中的安全隱患

由于所有網(wǎng)絡(luò)切片在同一物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施上運(yùn)行，隔離效果完全依賴虛擬化技術(shù)和配置，導(dǎo)致任意虛擬化漏洞或配置問題都可能導(dǎo)致隔離失敗。盡管網(wǎng)絡(luò)切片的目的在于隔離不同服務(wù)和不同資源，但是如果隔離措施不充分，切片面臨的惡意流量或攻擊可能會影響其他網(wǎng)絡(luò)切片所占有的服務(wù)和資源。此外，不同行業(yè)、不同應(yīng)用對各自使用的網(wǎng)絡(luò)切片有不同的安全需求，無法設(shè)計(jì)一套通用的安全策略來滿足所有的切片。網(wǎng)絡(luò)切片的多樣性要求安全策略能夠根據(jù)每個(gè)切片的具體需求進(jìn)行定制，增加了安全策略設(shè)計(jì)和實(shí)施的復(fù)雜度。

3 5G 網(wǎng)絡(luò)安全技術(shù)與措施

3.1 核心網(wǎng)安全加固

建設(shè)5G 網(wǎng)絡(luò)時(shí)，核心網(wǎng)作為關(guān)鍵組件，承擔(dān)著關(guān)鍵數(shù)據(jù)傳輸、用戶身份驗(yàn)證及網(wǎng)絡(luò)管理的任務(wù)。但是，隨著5G 網(wǎng)絡(luò)的廣泛應(yīng)用和數(shù)據(jù)量的持續(xù)增長，核心網(wǎng)面臨的安全風(fēng)險(xiǎn)日益嚴(yán)峻，急需實(shí)施針對核心網(wǎng)安全的強(qiáng)化措施[3]。

3.1.1 身份認(rèn)證與訪問控制

在強(qiáng)化5G 網(wǎng)絡(luò)核心網(wǎng)安全的過程中，研究人員采用安全套接層（Secure Socket Layer，SSL）模塊，建立基于數(shù)字證書的傳輸層安全協(xié)議（Transport Layer Security，TLS）?；赑ython 編程平臺，研究人員導(dǎo)入套接字和SSL 模塊，并定義服務(wù)器端的端口號和證書文件路徑。將創(chuàng)建的一個(gè)傳輸控制協(xié)議（Transmission Control Protocol，TCP）套接字對象綁定到指定的本地主機(jī)和端口，可以監(jiān)聽來自客戶端的連接請求，以便系統(tǒng)及時(shí)響應(yīng)并建立與客戶端之間的通信。在此過程中，研究人員會創(chuàng)建一個(gè)SSL 上下文對象、加載服務(wù)器的證書和私鑰以及使用SSL 上下文對象包裝客戶端套接字，以確保通信安全。在與客戶端建立安全的連接后，系統(tǒng)會向客戶端發(fā)送歡迎消息，并等待接收客戶端發(fā)送的數(shù)據(jù)。研究人員通過此類嚴(yán)格的訪問控制策略，基于用戶身份和權(quán)限進(jìn)行驗(yàn)證，可防止未經(jīng)授權(quán)的設(shè)備或用戶進(jìn)入核心網(wǎng)絡(luò)，從而提升5G 網(wǎng)絡(luò)的安全性。

3.1.2 安全協(xié)議與通信保護(hù)

在核心網(wǎng)安全加固的過程中，運(yùn)用先進(jìn)的安全協(xié)議與通信機(jī)制加密和保護(hù)核心網(wǎng)通信，如互聯(lián)網(wǎng)安全協(xié)議（Internet Protocol Security，IPSec）。IPSec 支持加密和驗(yàn)證2 種安全機(jī)制。一方面，IPSec 采用對稱加密算法對數(shù)據(jù)進(jìn)行加密和解密，如數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）、高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）等。另一方面，IPSec 使用完整性校驗(yàn)算法驗(yàn)證數(shù)據(jù)，以檢測數(shù)據(jù)是否在傳輸過程中被篡改或損壞。IPSec 具體的構(gòu)建流程可分為6 步。第一，隧道建立。通過密鑰交換與協(xié)商，確定用于加密和認(rèn)證的密鑰材料，以確保通信雙方建立安全隧道。第二，封裝與加密。建立安全隧道后，通信雙方將要傳輸?shù)臄?shù)據(jù)進(jìn)行封裝和加密。在發(fā)送端，數(shù)據(jù)被封裝為IPSec 封裝包，并使用協(xié)商好的密鑰進(jìn)行加密。第三，傳輸。加密后的數(shù)據(jù)通過網(wǎng)絡(luò)傳輸?shù)侥康牡亍５谒?，解密與解封裝。接收端收到數(shù)據(jù)后，使用相同的密鑰進(jìn)行解密和解封裝，將數(shù)據(jù)還原為原始數(shù)據(jù)包。第五，驗(yàn)證數(shù)據(jù)完整性。接收端對解密后的數(shù)據(jù)進(jìn)行完整性驗(yàn)證，以確保數(shù)據(jù)在傳輸過程中未被篡改。第六，數(shù)據(jù)傳遞。將解密后的數(shù)據(jù)交付給目標(biāo)應(yīng)用程序或做進(jìn)一步處理。先進(jìn)的安全協(xié)議通過執(zhí)行端點(diǎn)鑒別、數(shù)據(jù)完整性驗(yàn)證以及通信加密等安全策略，能夠確保核心網(wǎng)與外部網(wǎng)絡(luò)之間的通信安全可靠，有效抵御潛在的攻擊風(fēng)險(xiǎn)。

3.2 加密技術(shù)

在5G 的實(shí)際應(yīng)用中，為防范非法訪問、竊聽以及篡改等風(fēng)險(xiǎn)，研究人員采取一系列措施對數(shù)據(jù)進(jìn)行加密。例如，在用戶設(shè)備與基站的通信過程中引入一種端到端的加密模式——AES，以確保通信數(shù)據(jù)在傳輸過程中的安全性。AES 算法使用固定大小的分組（128 位）和靈活的密鑰長度（128 位、192 位或256 位），通過多輪替代-置換操作加密數(shù)據(jù)。這種加密方式使數(shù)據(jù)在傳輸過程中難以被竊取或篡改，為5G 網(wǎng)絡(luò)提供了強(qiáng)大的安全保障。在運(yùn)行AES 算法時(shí)，研究人員會將初始密鑰擴(kuò)展為各輪次所需的輪密鑰，以確保每輪次的加密操作都使用不同的密鑰，從而改善加密效果。與其他加密算法相比，AES 算法具有高度的擴(kuò)散性和混淆性。經(jīng)過多輪次的替代-置換操作，研究人員能成功地掩蓋原始數(shù)據(jù)信息，從而實(shí)現(xiàn)高效加密。

3.3 邊緣計(jì)算安全管理

邊緣計(jì)算作為一種新型的計(jì)算模式，將計(jì)算和存儲資源推向網(wǎng)絡(luò)邊緣，為用戶提供更快速、更低延遲的服務(wù)。然而，在實(shí)際使用的過程中，邊緣計(jì)算也帶來了一系列安全挑戰(zhàn)。針對這些挑戰(zhàn)，研究人員采取相關(guān)的安全措施對邊緣設(shè)備進(jìn)行安全管理，以修補(bǔ)已知的安全漏洞，從而保護(hù)數(shù)據(jù)和系統(tǒng)的安全[4]。此外，研究人員設(shè)計(jì)了有效的安全防護(hù)策略，如防火墻、入侵檢測系統(tǒng)（Intrusion Detection System，IDS）、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）、安全配置管理以及漏洞管理流程，以保護(hù)邊緣設(shè)備免受各類網(wǎng)絡(luò)攻擊。邊緣計(jì)算安全措施如表1 所示。

表1 邊緣計(jì)算安全措施

3.4 隱私保護(hù)

在信息交互日益頻繁的背景下，如何保護(hù)用戶的個(gè)人隱私已經(jīng)成為社會關(guān)注的熱點(diǎn)問題。為應(yīng)對這一挑戰(zhàn)，5G 網(wǎng)絡(luò)采用了一系列技術(shù)措施。第一，匿名識別技術(shù)。為深入保障用戶隱私，5G 網(wǎng)絡(luò)引入匿名標(biāo)識符等手段以掩蓋用戶的真實(shí)身份信息。使用匿名身份有益于在用戶與服務(wù)提供商之間構(gòu)筑一道安全的通信紐帶，抵御潛在的用戶身份泄露隱患[5]。第二，位置隱私保護(hù)技術(shù)。為降低用戶位置信息泄露的風(fēng)險(xiǎn)，5G 網(wǎng)絡(luò)運(yùn)用了位置模糊技術(shù)，如地理位置擾動技巧。通過向用戶位置數(shù)據(jù)混入噪聲，5G 網(wǎng)絡(luò)可以實(shí)現(xiàn)用戶具體位置模糊化，從而提升位置隱私的安全級別。第三，強(qiáng)化安全認(rèn)證機(jī)制。5G 網(wǎng)絡(luò)引入了多因素認(rèn)證（Multi-factor Authentication，MFA）等強(qiáng)化后的安全認(rèn)證方式，確保僅授權(quán)用戶能訪問敏感資源，降低了普通用戶遭受非法訪問的風(fēng)險(xiǎn)，同時(shí)加強(qiáng)了系統(tǒng)訪問的控制能力。

4 結(jié) 論

5G 的迅猛發(fā)展給人類社會帶來了前所未有的便利，但伴隨而來的是日益復(fù)雜和嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。在面對這些挑戰(zhàn)時(shí)，相關(guān)研究人員深入分析5G 網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)，采取針對性措施，以確保網(wǎng)絡(luò)穩(wěn)定、可靠、安全運(yùn)行。增強(qiáng)核心網(wǎng)安全、運(yùn)用加密技術(shù)、執(zhí)行邊緣計(jì)算安全管理以及加強(qiáng)隱私保護(hù)等方式，能夠有效提升5G 網(wǎng)絡(luò)的安全性，保護(hù)用戶隱私，維護(hù)通信數(shù)據(jù)的機(jī)密性與完整性。