朱紅儒，莊小君，郭 姝，齊旻鵬

（中國移動通信有限公司研究院 北京 100053）

1 引言

2 5G網(wǎng)絡(luò)架構(gòu)演進

為了滿足千倍流量增長、無感知時延和海量設(shè)備連接的網(wǎng)絡(luò)發(fā)展需求，5G需要有新的網(wǎng)絡(luò)架構(gòu)，從而支持網(wǎng)絡(luò)管理的自動化、網(wǎng)絡(luò)資源的虛擬化和網(wǎng)絡(luò)控制的集中化。目前業(yè)界比較認可的5G架構(gòu)演進方向包括兩個方面：一是在網(wǎng)絡(luò)設(shè)備上，通過NFV（network function virtualization，網(wǎng)絡(luò)功能虛擬化）實現(xiàn)軟件和硬件解耦，提高網(wǎng)絡(luò)資源利用率；二是在網(wǎng)絡(luò)架構(gòu)上，通過SDN（software defined networking，軟件定義網(wǎng)絡(luò)）技術(shù)實現(xiàn)控制和轉(zhuǎn)發(fā)的進一步分離。

NFV使得傳統(tǒng)的物理網(wǎng)絡(luò)設(shè)備以VNF（virtualized network function，虛擬網(wǎng)絡(luò)功能）的方式部署在通用硬件的虛擬機上，靈活實現(xiàn)網(wǎng)絡(luò)資源的彈性伸縮，加快網(wǎng)絡(luò)的部署，提升網(wǎng)絡(luò)的運維管理效率。而采用SDN技術(shù)將會提升控制面集成度，增強轉(zhuǎn)發(fā)面效率。對于網(wǎng)絡(luò)設(shè)備的控制面，將采用集中控制、分布控制或者兩者結(jié)合的控制方式；對于網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)面，基站與路由交換等基礎(chǔ)設(shè)施將具備可編程的能力，使得網(wǎng)絡(luò)應(yīng)用層可以與各種應(yīng)用場景靈活適配，增強網(wǎng)絡(luò)的開放性和兼容性。

5G接入網(wǎng)中可能需要更多的天線數(shù)、更高的調(diào)制階數(shù)、更強的干擾消除機制等，使得5G網(wǎng)絡(luò)能夠支持高密度小區(qū)、支持網(wǎng)絡(luò)容量呼吸和遷移、支持多網(wǎng)融合，進而實現(xiàn)對高密度和新空口的高頻數(shù)據(jù)以及新型移動互聯(lián)網(wǎng)應(yīng)用的適配。因此，大規(guī)模天線系統(tǒng)、高頻段新波形設(shè)計、非正交傳輸和接入技術(shù)、同時同頻全雙工技術(shù)、網(wǎng)絡(luò)架構(gòu)與信令優(yōu)化等都將作為5G網(wǎng)絡(luò)架構(gòu)演進的重要技術(shù)。圖1描述了5G網(wǎng)絡(luò)架構(gòu)演進的方向，重點突出了5G網(wǎng)絡(luò)中革新的部分，即通過基站池化、核心網(wǎng)云化、網(wǎng)絡(luò)設(shè)備控制面和管理面分離實現(xiàn)NFV和SDN技術(shù)在5G網(wǎng)絡(luò)中的落地，推動5G網(wǎng)絡(luò)架構(gòu)的演進。

3 5G安全技術(shù)發(fā)展方向

3.1 5G安全架構(gòu)

2G的安全架構(gòu)是單向認證，即只有網(wǎng)絡(luò)對用戶的認證，而沒有用戶對網(wǎng)絡(luò)的認證，空口的信令和數(shù)據(jù)只具備加密保護能力；3G的安全架構(gòu)則是網(wǎng)絡(luò)和用戶的雙向認證，相比于2G的空口加密能力，3G空口的信令還增加了完整性保護，同時核心網(wǎng)也有NDS/IP的網(wǎng)絡(luò)域安全保護[4]；4G安全架構(gòu)雖然仍采取雙向認證，但是4G使用獨立的密鑰保護不同層面（接入層和非接入層）的多條數(shù)據(jù)流和信令流，核心網(wǎng)也使用網(wǎng)絡(luò)域安全進行保護[5]。

由于對5G提出的高速率、低時延、處理海量終端等要求，5G安全架構(gòu)需要從優(yōu)化保護節(jié)點和密鑰架構(gòu)等方面進行演進。

3.1.1 保護節(jié)點的演進

然而，對于李秀花的這種心理，楊力生卻并不清楚。在他看來，她暫時不應(yīng)聲不要緊，反正姑娘家早晚是得找婆家，任憑別人對她再好，想超過他的條件那肯定是不可能的。自己雖比她大十幾歲，但論人品自己不賴；論經(jīng)濟條件，在周圍也是尖子戶。有這兩個優(yōu)勢，早晚她都會屬于他。

在5G時代，用戶對數(shù)據(jù)傳輸?shù)囊蟾撸粌H對上下行數(shù)據(jù)傳輸速率提出挑戰(zhàn)，同時也對時延提出了“無感知”的苛刻要求[6]。而在傳統(tǒng)的2G、3G、4G網(wǎng)絡(luò)中，用戶設(shè)備（UE）與基站之間提供空口的安全保護機制，在移動時會頻繁地更新密鑰。而頻繁地切換基站與更新密鑰將會帶來較大的時延，并導(dǎo)致用戶實際傳輸速率無法得到進一步提高，因此在5G中必須對此加以改進。5G網(wǎng)絡(luò)可考慮從數(shù)據(jù)保護節(jié)點處進行改進，即將加解密的網(wǎng)絡(luò)側(cè)節(jié)點由基站設(shè)備向核心網(wǎng)設(shè)備延伸，利用核心網(wǎng)設(shè)備在會話過程中較少變動的特性，實現(xiàn)降低切換頻率的目的，進而提升傳輸速率。在這種方式下，空口加密將轉(zhuǎn)變?yōu)閁E與核心網(wǎng)設(shè)備間的加密，原本用于空口加密的控制信令也將隨之演進為UE與核心網(wǎng)設(shè)備間的控制信令。

此外，5G時代將會融合各種通信網(wǎng)絡(luò)，而目前2G、3G、4G以及WLAN[7]等網(wǎng)絡(luò)均擁有各自獨立的安全保護體系，提供加密保護的節(jié)點也有所不同，如2G、3G、4G采用UE與基站間的空口保護，而WLAN則多數(shù)采用終端到核心網(wǎng)的接入網(wǎng)元PDN網(wǎng)關(guān)或者邊界網(wǎng)元ePDG之間的安全保護。因此，終端必須不斷地根據(jù)網(wǎng)絡(luò)形態(tài)選擇對應(yīng)的保護節(jié)點，這為終端在各種網(wǎng)絡(luò)間的漫游帶來了極大的不便，因此可考慮在核心網(wǎng)中設(shè)立相應(yīng)的安全邊界節(jié)點，采用統(tǒng)一的認證機制解決這一問題。

3.1.2 密鑰架構(gòu)優(yōu)化

4G網(wǎng)絡(luò)架構(gòu)的扁平化導(dǎo)致密鑰架構(gòu)從原來使用單一密鑰提供保護，變成使用獨立密鑰對NAS（non-access stratum，非接入層）和 AS（access stratum，接入層）分別進行保護，如圖2所示。所以保護信令面和數(shù)據(jù)面的密鑰個數(shù)也從原來的2個變成5個，密鑰推衍變得相對復(fù)雜[5]，多個密鑰的推衍計算會帶來一定的計算開銷和時延。在5G場景下，需要對4G的密鑰架構(gòu)進行優(yōu)化，使得5G的密鑰架構(gòu)具備輕量化的特點，滿足5G對低成本和低時延的要求。

圖1 5G網(wǎng)絡(luò)架構(gòu)演進

圖2 4G網(wǎng)絡(luò)的密鑰架構(gòu)

另外，5G網(wǎng)絡(luò)中可能會存在兩類計算和處理能力差別很大的設(shè)備：一類是大量的物聯(lián)網(wǎng)設(shè)備，這些設(shè)備的成本低、計算能力和處理能力不強，無法支持現(xiàn)在通用的密碼算法和安全機制（如AES、TLS等），因此除了上述的密鑰架構(gòu)之外，5G還需要開發(fā)輕量級的密鑰算法，使得5G場景下海量的低成本、低處理能力的物聯(lián)網(wǎng)設(shè)備能夠進行安全的通信；另一類是高處理能力的設(shè)備（如智能手機），隨著芯片等技術(shù)的高速發(fā)展，設(shè)備的計算、存儲能力將大大提高，也會很容易支持快速公私鑰加解密，此時可以大范圍使用證書來更簡單、更方便地產(chǎn)生不同的多樣化密鑰，從而對具有高處理能力的設(shè)備之間的通信進行保護。

3.2 5G安全關(guān)鍵技術(shù)

3.2.1 5G中的大數(shù)據(jù)安全

5G的高速率、大帶寬特性促使移動網(wǎng)絡(luò)的數(shù)據(jù)量劇增，也使得大數(shù)據(jù)技術(shù)在移動網(wǎng)絡(luò)中變得更加重要。大數(shù)據(jù)技術(shù)可以實現(xiàn)對移動網(wǎng)絡(luò)中海量數(shù)據(jù)的分析，進而實現(xiàn)流量的精細化運營，準確感知安全態(tài)勢等業(yè)務(wù)。如5G網(wǎng)絡(luò)中的網(wǎng)絡(luò)集中控制器具有全網(wǎng)的流量視圖，通過使用大數(shù)據(jù)技術(shù)分析網(wǎng)絡(luò)中流量最多的時間段和類型等，可以對網(wǎng)絡(luò)流量的精細化管理給出準確的對策。另外，對于移動網(wǎng)絡(luò)中的攻擊事件也可以利用大數(shù)據(jù)技術(shù)進行分析，描繪攻擊視圖有助于提前感知未知的安全攻擊。

在大數(shù)據(jù)技術(shù)為移動網(wǎng)絡(luò)帶來諸多好處和便利的同時，也需要關(guān)注和解決大數(shù)據(jù)的安全問題。而隨著人們對個人隱私保護越來越重視，隱私保護成為了大數(shù)據(jù)首先要解決的重要問題。大量事實已經(jīng)表明，大數(shù)據(jù)如不得到妥善處理，將會對用戶的隱私造成極大的侵害；另外，針對大數(shù)據(jù)的安全問題，還需要進一步研究數(shù)據(jù)挖掘中的匿名保護、數(shù)據(jù)溯源、數(shù)據(jù)安全傳輸、安全存儲、安全刪除等技術(shù)[8]。

3.2.2 5G中云化、虛擬化、軟件定義網(wǎng)絡(luò)帶來的安全問題

對5G系統(tǒng)的低成本和高效率的要求，使得云化、虛擬化、軟件定義網(wǎng)絡(luò)等技術(shù)被引入5G網(wǎng)絡(luò)。隨著這些技術(shù)的引入，原來私有、封閉、高成本的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)形態(tài)變成標準、開放、低成本的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)形態(tài)。同時，標準化和開放化的網(wǎng)絡(luò)形態(tài)使得攻擊者更容易發(fā)起攻擊，并且云化、虛擬化、軟件定義網(wǎng)絡(luò)的集中化部署，將導(dǎo)致一旦網(wǎng)絡(luò)上發(fā)生安全威脅，其傳播速度會更快、波及范圍會更廣。所以，云化、虛擬化、軟件定義網(wǎng)絡(luò)的安全變得更加重要，其主要的安全問題如下。

·云化、虛擬化網(wǎng)絡(luò)引入虛擬化技術(shù)，要重點考慮和解決虛擬化相關(guān)的問題，如虛擬資源的隔離、虛擬網(wǎng)絡(luò)的安全域劃分及邊界防護等。

·云化、虛擬化網(wǎng)絡(luò)后，傳統(tǒng)物理設(shè)備之間的通信變成了虛擬機之間的通信，需要考慮能否使用虛擬機之間的安全通信來優(yōu)化傳統(tǒng)物理設(shè)備之間的安全通信。

·引入SDN架構(gòu)后，5G網(wǎng)絡(luò)中設(shè)備的控制面與轉(zhuǎn)發(fā)面分離，5G網(wǎng)絡(luò)架構(gòu)產(chǎn)生了應(yīng)用層、控制層以及轉(zhuǎn)發(fā)層。需要重點考慮各層的安全、各層之間連接所對應(yīng)的安全 （如南北協(xié)議安全和東西向的安全）以及控制器本身的安全等。

3.2.3 移動智能終端的安全

5G時代用戶使用的業(yè)務(wù)會更加豐富多彩，對業(yè)務(wù)的欲望也會更加強烈，移動智能終端的處理能力、計算能力會得到極大的提高，但同時黑客使用5G網(wǎng)絡(luò)的高速率、大數(shù)據(jù)、豐富的應(yīng)用等技術(shù)手段，能夠更加有效地發(fā)起對移動智能終端的攻擊，因此移動智能終端的安全在5G場景下會變得更加重要。

保證移動智能終端的安全，除了采用常規(guī)的安裝病毒軟件進行病毒查殺之外，還需要有硬件級別的安全環(huán)境，保護用戶的敏感信息（如加密關(guān)鍵數(shù)據(jù)的密鑰）、敏感操作（如輸入銀行密碼），并且能夠從可信根啟動，建立可信根→boot loader→OS→關(guān)鍵應(yīng)用程序的可信鏈，保證智能終端的安全可信。

3.3 5G安全機制的未來研究方向

5G包含很多不同的技術(shù)，針對不同場景需要采用不同的安全機制。本文主要討論5G安全機制未來可能的研究方向。

3.3.1 5G新型認證機制

在5G移動互聯(lián)網(wǎng)中，物聯(lián)網(wǎng)將成為重要的應(yīng)用場景。物聯(lián)網(wǎng)主要面向物與物、人與物的通信。5G網(wǎng)絡(luò)通信不僅涉及普通個人用戶，也涵蓋了大量不同類型的行業(yè)用戶。為了滲透到更多的物聯(lián)網(wǎng)業(yè)務(wù)中，5G應(yīng)具備更強的靈活性和可擴展性，以適應(yīng)海量的設(shè)備連接和多樣化的用戶需求[6]。為此，物聯(lián)網(wǎng)通信中需要對按照一定原則（如同屬一個應(yīng)用、在同一個區(qū)域、有相同的行為特征等）組織在一起的大量終端節(jié)點提供成組的認證[9]，即通過一次認證就可以完成對所有節(jié)點的認證，從而避免傳統(tǒng)網(wǎng)絡(luò)的一對一認證帶來的大量信令消耗和時延問題。

3.3.2 算法協(xié)商

5G 系統(tǒng)中 2G、3G、4G、LTE、Wi-Fi等多種網(wǎng)絡(luò)共存，這必然產(chǎn)生網(wǎng)絡(luò)融合的問題。終端設(shè)備在多種網(wǎng)絡(luò)之間漫游時，必然會引起密鑰切換、算法協(xié)商問題。而且在5G網(wǎng)絡(luò)下，接入網(wǎng)將面臨更大的信令與數(shù)據(jù)壓力，所以需要采取更加輕量級的算法協(xié)商方案，以提升網(wǎng)絡(luò)的效率。

4 結(jié)束語

5G網(wǎng)絡(luò)是一個全融合的網(wǎng)絡(luò)，其安全問題也是連接“移動智能終端、寬帶和云”的端到端的安全問題，更是涉及物理安全、傳輸安全以及信息安全的全方位安全問題，從而產(chǎn)生了如大數(shù)據(jù)安全保護、虛擬化網(wǎng)絡(luò)安全、智能終端安全等關(guān)鍵安全問題。此外，在傳統(tǒng)安全機制的基礎(chǔ)上，新的認證機制和技術(shù)中的安全機制可以進一步增強5G網(wǎng)絡(luò)的安全防護能力，使得5G網(wǎng)絡(luò)可以為人們的生產(chǎn)、生活帶來更多便利。

1 3GPP TS 23.002.Technical Specification Group Services and System Aspects;Network Architecture,2007

2 3GPP TS 23.401.GeneralPacketRadio Service (GPRS)Enhancements for Evolved Universal Terrestrial Radio Access Network(E-UTRAN)Access,2008

3 陳曉貝,羅振東.面向2020年及未來,5G之花如何綻放.人民郵電報,2014

4 3GPP TS 33.102 V12.1.0.Technical Specification Group Services and System Aspects;3G Security;Security Architecture,2011

5 3GPP TS 33.401.3GPP System Architecture Evolution(SAE);Security Architecture,2012

6 IMT-2020.5G愿景與需求白皮書,2014

7 3GPP TS 33.234 V12.1.0.TechnicalSpecification Group Services and System Aspects;3G Security;Wireless Local Area Network(WLAN)Interworking Security,2011

8 馮登國,張敏,李昊.大數(shù)據(jù)安全與隱私保護.計算機學(xué)報,2014,37(1):246～258

9 3GPP TR 33.812 V9.2.0.Feasibility Study on the Security Aspects of Remote Provisioning and Change of Subscription for Machine to Machine(M2M)Equipment,2012