5G 網(wǎng)絡(luò)安全化思路分析

秦超

（戰(zhàn)略支援部隊(duì)信息工程大學(xué)，河南 鄭州 450001）

0 引言

隨著社會(huì)的發(fā)展，聯(lián)網(wǎng)設(shè)備呈現(xiàn)爆炸式增長(zhǎng)，傳統(tǒng)的通信技術(shù)已無(wú)法有效應(yīng)對(duì)多種通信場(chǎng)景。尤其是，物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市的不斷發(fā)展，大量異構(gòu)性強(qiáng)的可連接設(shè)備不斷接入互聯(lián)網(wǎng)，進(jìn)一步加重了當(dāng)前網(wǎng)絡(luò)的負(fù)擔(dān)。5G 作為新一代移動(dòng)通信技術(shù)的發(fā)展方向，將在提升移動(dòng)互聯(lián)網(wǎng)用戶的交互體驗(yàn)上，進(jìn)一步解決未來(lái)可能會(huì)面臨的海量需求，與交通、醫(yī)療、工業(yè)等領(lǐng)域高度融合。

當(dāng)前，5G 已逐漸的走入了我們的生活，移動(dòng)通信網(wǎng)絡(luò)也已進(jìn)入了5G 發(fā)展的關(guān)鍵階段。由于5G 中采用了大量的新架構(gòu)、新技術(shù)，使得5G 之前的大部分安全模型都無(wú)法直接使用，這也進(jìn)一步加劇了5G 面臨的安全風(fēng)險(xiǎn)。這些問題，對(duì)5G 網(wǎng)絡(luò)安全和用戶隱私保護(hù)都提出了新的挑戰(zhàn)。目前，5G 標(biāo)準(zhǔn)化工作已全面展開，5G安全也成為業(yè)界關(guān)注的焦點(diǎn)。為緊跟前沿技術(shù)領(lǐng)域發(fā)展趨勢(shì)，分析5G 網(wǎng)絡(luò)面臨的安全問題與發(fā)展趨勢(shì)，旨在提升5G 網(wǎng)絡(luò)的安全性。

1 網(wǎng)絡(luò)安全在5G 中面臨的困難與挑戰(zhàn)

由于5G 網(wǎng)絡(luò)架構(gòu)中采用了很多新技術(shù)，且需服務(wù)多種應(yīng)用場(chǎng)景，導(dǎo)致網(wǎng)絡(luò)安全技術(shù)在5G 環(huán)境下面臨較大的安全挑戰(zhàn)。挑戰(zhàn)分為關(guān)鍵技術(shù)、網(wǎng)絡(luò)架構(gòu)以及業(yè)務(wù)場(chǎng)景三方面分別進(jìn)行闡述。

1.1 關(guān)鍵技術(shù)

5G 網(wǎng)絡(luò)中采用了多種新技術(shù)，其中以軟件定義網(wǎng)絡(luò)（SDN）、通過(guò)虛擬化的技術(shù)解耦網(wǎng)絡(luò)物理設(shè)備和軟件功能（NFV）、網(wǎng)絡(luò)切片以及邊緣計(jì)算為主。SDN 通過(guò)控制器將規(guī)則下放的方式，可對(duì)南向接口連接的不同網(wǎng)絡(luò)設(shè)備進(jìn)行流量調(diào)度。由于SDN 的安全研究尚不完善，尚無(wú)商用化的安全產(chǎn)品出現(xiàn)，導(dǎo)致其面臨較大的安全挑戰(zhàn)，尤其是SDN 控制器以及南向接口的安全。NFV通過(guò)將硬件的網(wǎng)絡(luò)設(shè)備進(jìn)行虛擬化，并部署在通用化的服務(wù)平臺(tái)，實(shí)現(xiàn)網(wǎng)元功能的軟件化。網(wǎng)元功能軟件化，導(dǎo)致原來(lái)的硬件網(wǎng)元設(shè)備的物理邊界消失，引入了新的軟件安全和管理安全問題，攻擊面變得更廣。部署集中化，用戶、應(yīng)用和數(shù)據(jù)資源聚集，數(shù)據(jù)泄露與被攻擊風(fēng)險(xiǎn)加大，并且引入通用硬件導(dǎo)致病毒能夠在集中部署區(qū)域迅速傳播，通用硬件的漏洞更容易被攻擊者發(fā)現(xiàn)和利用，被攻擊后造成的影響范圍廣、危害大[1]。這些都會(huì)加重NFV 面臨的安全服務(wù)部署挑戰(zhàn)。而且，由于其引入的通用化架構(gòu)，會(huì)使得5G 部署的安全措施更加繁雜，不易于管理。針對(duì)于此，需提出一種較為統(tǒng)一的安全架構(gòu)，來(lái)降低安全措施的繁雜性，提供安全性強(qiáng)、部署難度較低、安全彈性強(qiáng)的安全框架。另外，網(wǎng)絡(luò)切片技術(shù)在網(wǎng)絡(luò)物理資源共享的基礎(chǔ)上，分割出多個(gè)邏輯網(wǎng)絡(luò)，以此支持不同的業(yè)務(wù)場(chǎng)景。在這個(gè)過(guò)程中，切片技術(shù)表現(xiàn)出了共享資源的依賴性、不同切片的隔離性兩大特性。而它面臨的安全服務(wù)部署挑戰(zhàn)，也主要是圍繞這兩方面。一方面，網(wǎng)絡(luò)切片運(yùn)行在公用的平臺(tái)上，可能會(huì)使用公共資源，如何防止攻擊者通過(guò)攻擊公共資源，影響切片的安全性，或者如何維護(hù)公用平臺(tái)的安全性，并保證不重復(fù)部署安全措施，這都是相關(guān)安全機(jī)構(gòu)需要考慮的問題；另一方面，不同網(wǎng)絡(luò)切片之間需要保證切片之間的信息不能相互流通，保持一定的安全隔離，如何保證不同切片可能出現(xiàn)的信息泄露、信息篡改等。同時(shí)，網(wǎng)絡(luò)切片的引入，也使得網(wǎng)絡(luò)邊界變得模糊，之前依賴物理邊界進(jìn)行防護(hù)的安全措施不再有效。而物理邊界往往比軟件邊界更加安全，如何提升軟件邊界的安全性也是應(yīng)該考慮的問題。

1.2 網(wǎng)絡(luò)架構(gòu)

5G 網(wǎng)絡(luò)架構(gòu)中接入網(wǎng)負(fù)責(zé)用戶終端（UE）的接入，其支持多種接入方式，如WLAN（無(wú)線局域網(wǎng)）、5G 接入技術(shù)、LTE（長(zhǎng)期演進(jìn)）、固定網(wǎng)絡(luò)，但是不同的網(wǎng)絡(luò)具有不同的接入方式和接入要求。同時(shí)，同一用戶可能有不同的終端，或者同一終端會(huì)有不同的接入方式，可能會(huì)在不同接入方式之間進(jìn)行切換。針對(duì)于此，必須保證用戶終端的安全、高效接入，保持用戶業(yè)務(wù)的連續(xù)性。而且，不同終端的身份標(biāo)識(shí)不同，比如有些設(shè)備有USIM（通用用戶身份識(shí)別模塊），其擁有一定程度的存儲(chǔ)、計(jì)算能力，而有些設(shè)備采用生物特征、數(shù)字證書等，也可以進(jìn)行標(biāo)識(shí)，但也有設(shè)備沒有條件來(lái)安全存儲(chǔ)身份標(biāo)識(shí)。針對(duì)于此，必須解決不同標(biāo)識(shí)、憑證的統(tǒng)一化認(rèn)證。目前的身份認(rèn)證也都是針對(duì)同一種認(rèn)證憑證或者標(biāo)識(shí)進(jìn)行合法性驗(yàn)證，缺乏對(duì)不同類型憑證的驗(yàn)證方法。如何保證異構(gòu)性較強(qiáng)的不同類型終端高效接入，也是需面對(duì)的一大挑戰(zhàn)。

1.3 業(yè)務(wù)場(chǎng)景

5G 的業(yè)務(wù)場(chǎng)景主要分為增強(qiáng)移動(dòng)寬帶（eMBB）、海量機(jī)器類通信（mMTC）和超可靠低時(shí)延通信（uRLLC），eMBB 聚焦對(duì)帶寬要求極高的業(yè)務(wù)，mMTC 聚焦于高密度連接的場(chǎng)景，uRLLC 聚焦于對(duì)時(shí)延要求比較高的場(chǎng)景。這些業(yè)務(wù)場(chǎng)景對(duì)網(wǎng)絡(luò)寬帶、安全算法的計(jì)算復(fù)雜度、時(shí)間延遲等都有不同的要求。面對(duì)這些復(fù)雜的需求，再加上計(jì)算資源、功耗等的有限性，使得5G 網(wǎng)絡(luò)的安全需求更加復(fù)雜。這也導(dǎo)致傳統(tǒng)的靜態(tài)防御思路不再適用，需采用按需分配的安全原則，進(jìn)行安全防護(hù)。同時(shí)，uRLLC、mMTC 會(huì)將原來(lái)封閉的不聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)中，這無(wú)形中增大了攻擊面，暴露了脆弱性。這些設(shè)備計(jì)算能力偏低，無(wú)法部署復(fù)雜的安全措施，易導(dǎo)致被攻陷，成為攻擊源，對(duì)用戶和5G 核心網(wǎng)展開攻擊。

2 5G 安全化思路與措施

為應(yīng)對(duì)和解決5G 安全問題，我們主要可分兩方面來(lái)進(jìn)行：①解決新引入技術(shù)的安全性問題，保證新技術(shù)本身不會(huì)對(duì)5G 網(wǎng)絡(luò)產(chǎn)生較大的安全影響。②解決新技術(shù)架構(gòu)帶來(lái)的安全問題，保證網(wǎng)絡(luò)架構(gòu)的安全性。

2.1 提升新技術(shù)的安全性

提升軟件定義網(wǎng)絡(luò)（SDN）的安全性，通過(guò)引入軟件定義網(wǎng)絡(luò)（SDN），將網(wǎng)絡(luò)設(shè)備的控制面與數(shù)據(jù)面解耦合，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)流量、路由、流表、協(xié)議的靈活控制，簡(jiǎn)化了網(wǎng)絡(luò)的管理。但由于SDN 解耦式的網(wǎng)絡(luò)結(jié)構(gòu)，導(dǎo)致其面臨著較大的安全風(fēng)險(xiǎn)。為此，我們可以從如下幾方面提升其安全性：加強(qiáng)應(yīng)用層應(yīng)用程序的安全性，可建立全面的應(yīng)用程序?qū)徍藱C(jī)制，防范惡意應(yīng)用程序的攻擊，另外引入應(yīng)用程序的授權(quán)認(rèn)證模塊，確保接入應(yīng)用程序操作的合法性；加強(qiáng)配置問題安全的檢查，可采用基于語(yǔ)義識(shí)別或形式化方法的檢測(cè)、驗(yàn)證機(jī)制檢測(cè)沖突，也可以設(shè)計(jì)配置錯(cuò)誤的檢測(cè)算法進(jìn)行實(shí)時(shí)的沖突檢測(cè)，并在檢測(cè)到?jīng)_突后及時(shí)響應(yīng)處理，降低配置錯(cuò)誤對(duì)SDN 的傷害；加強(qiáng)對(duì)DoS/DDoS 攻擊的檢測(cè)，可采用特征提取、數(shù)據(jù)包閾值設(shè)定的方法，限定僅接收傳遞一定數(shù)量的數(shù)據(jù)包，防范過(guò)量請(qǐng)求消耗資源，提升資源消耗型攻擊的防御能力；建立有效的授權(quán)認(rèn)證機(jī)制，SDN 控制與轉(zhuǎn)發(fā)分離的架構(gòu)必然引發(fā)授權(quán)認(rèn)證問題，采用授權(quán)認(rèn)證機(jī)制可以有效防護(hù)一些惡意節(jié)點(diǎn)的接入，進(jìn)一步提升SDN 對(duì)網(wǎng)絡(luò)的控制能力。

提升軟件功能虛擬化（NFV）的安全性，軟件功能虛擬化（NFV）通過(guò)將傳統(tǒng)的網(wǎng)絡(luò)單元軟件化，并將其部署在通用的硬件設(shè)備上，實(shí)現(xiàn)了網(wǎng)絡(luò)單元軟件和硬件的解耦。由于NFV 嚴(yán)重依賴于第三方云計(jì)算平臺(tái)，這使得用戶的數(shù)據(jù)暴露在第三方平臺(tái)，由此帶來(lái)了數(shù)據(jù)安全及隱私保護(hù)的問題。為此，我們可通過(guò)如下方式降低安全風(fēng)險(xiǎn)：加強(qiáng)不同VNF 間的安全防護(hù)，我們可建立不同VNF 之間的安全隔離機(jī)制，保證不同安全等級(jí)的VNF之間不能相互攻擊，防止攻擊者攻擊低安全等級(jí)的VNF 后，以此為跳板攻擊其余VNF；降低漏洞風(fēng)險(xiǎn)，定期更新軟件，并通過(guò)打補(bǔ)丁的方式降低漏洞數(shù)量，提升對(duì)軟件漏洞的抗風(fēng)險(xiǎn)能力；加強(qiáng)對(duì)VM 的安全防護(hù)，在VM 方面，其可能會(huì)遭受側(cè)信道攻擊、虛擬機(jī)數(shù)據(jù)竊取、虛擬機(jī)回滾等威脅。針對(duì)側(cè)信道攻擊我們需注意保護(hù)虛擬機(jī)的側(cè)信道信息，防止攻擊者通過(guò)一些邊緣方式采集到表示系統(tǒng)狀態(tài)的信息。針對(duì)虛擬機(jī)數(shù)據(jù)竊取以及回滾等威脅，我們需要建立合理的身份驗(yàn)證及訪問控制機(jī)制，保證沒有惡意用戶進(jìn)行非法訪問，并按照用戶的等級(jí)授予不同的操作權(quán)限，防止越權(quán)操作。

提升邊緣計(jì)算（MEC）的安全性，5G 環(huán)境下，邊緣計(jì)算將存儲(chǔ)和計(jì)算任務(wù)遷移到基站、無(wú)線接入點(diǎn)等網(wǎng)絡(luò)邊緣節(jié)點(diǎn)中，在滿足計(jì)算能力的條件下，還可以節(jié)省數(shù)據(jù)傳輸過(guò)程中的消耗。但由于其接近用戶，也帶來(lái)了隱私數(shù)據(jù)安全的問題。為此，我們可以按照如下幾方面加強(qiáng)其安全性：加強(qiáng)對(duì)邊緣設(shè)施的物理隔離與安全防護(hù)，可采用防火墻、IDS 及IPS 技術(shù)防范惡意操作，保證邊緣設(shè)施的安全性；加強(qiáng)對(duì)邊緣設(shè)施上應(yīng)用的安全防護(hù)，積極完善接入應(yīng)用的授權(quán)驗(yàn)證機(jī)制；保證應(yīng)用的安全性；加強(qiáng)對(duì)邊緣計(jì)算設(shè)施上數(shù)據(jù)的安全防護(hù)，采用輕量化的加密算法保證數(shù)據(jù)的機(jī)密性，同時(shí)對(duì)數(shù)據(jù)進(jìn)行完整性審計(jì)，保證數(shù)據(jù)的完整性和可用性；加強(qiáng)邊緣計(jì)算設(shè)施上身份、位置以及數(shù)據(jù)的隱私保護(hù)，最大限度的利用已有技術(shù)（匿名認(rèn)證技術(shù)、加密技術(shù)等）保證相關(guān)對(duì)象的隱私性。

提升網(wǎng)絡(luò)切片（Network Slicing）的安全性，為了支持5G 網(wǎng)絡(luò)環(huán)境下不同的業(yè)務(wù)場(chǎng)景需求，引入了網(wǎng)絡(luò)切片技術(shù)對(duì)不同的業(yè)務(wù)場(chǎng)景進(jìn)行分割。每個(gè)切片按照不同的應(yīng)用場(chǎng)景與業(yè)務(wù)需求進(jìn)行編排與定制，同時(shí)，這些切片被部署在共享的、通用化的服務(wù)器資源上。由此會(huì)產(chǎn)生一系列的安全后果，比如攻擊者可能會(huì)攻擊低安全等級(jí)的網(wǎng)絡(luò)切片，并以此作為跳板攻擊其余切片。為此，我們可采用如下的方式，保證切片的安全性：完善切片間的隔離機(jī)制，采用軟件防火墻、授權(quán)認(rèn)證機(jī)制或通過(guò)虛擬局域網(wǎng)分割不同切片，保證不同切片間不會(huì)有數(shù)據(jù)或操作的異常流動(dòng)；加強(qiáng)切片內(nèi)不同網(wǎng)絡(luò)功能之間的安全性，可采用授權(quán)認(rèn)證機(jī)制保證網(wǎng)絡(luò)功能的可信性，然后采用加密傳輸?shù)姆绞奖ＷC數(shù)據(jù)通信的安全性。

2.2 解決新架構(gòu)帶來(lái)的安全問題

解決用戶與終端的安全問題，由于5G 支持業(yè)務(wù)場(chǎng)景的多元化以及用戶感官的外延，導(dǎo)致用戶側(cè)面臨著更多的攻擊威脅。用戶側(cè)需要更加嚴(yán)密的隱私保護(hù)，防范用戶標(biāo)識(shí)、位置信息、移動(dòng)軌跡等被攻擊者掌握，同時(shí)也需構(gòu)建安全可信的終端運(yùn)行環(huán)境，防范終端受到木馬植入、APT 攻擊的威脅。為此，我們可采用如下思路針對(duì)性的提升用戶、終端側(cè)的安全性：加強(qiáng)對(duì)用戶隱私的保護(hù)，目前為快速部署，保證系統(tǒng)的兼容性，5G 通信中用戶身份標(biāo)識(shí)很多會(huì)沿用4G LTE 網(wǎng)絡(luò)中的標(biāo)準(zhǔn)，導(dǎo)致其面臨身份隱私泄露、位置隱私泄露的風(fēng)險(xiǎn)，我們可以對(duì)用戶的永久標(biāo)識(shí)進(jìn)行動(dòng)態(tài)加密，并提高臨時(shí)身份標(biāo)識(shí)的更新周期，防范身份標(biāo)識(shí)的泄露，另外對(duì)有更高算力的終端設(shè)備，考慮采用更高等級(jí)的加密算法；加強(qiáng)可信執(zhí)行環(huán)境的構(gòu)建，目前5G 終端數(shù)量巨大，相較傳統(tǒng)的4G LTE 網(wǎng)絡(luò)更具開放性，攻擊面更大，導(dǎo)致其會(huì)面臨更多的安全風(fēng)險(xiǎn)，我們可以構(gòu)建可信的執(zhí)行環(huán)境，對(duì)身份認(rèn)證過(guò)程中需要的密鑰進(jìn)行全生命周期的安全保護(hù)，同時(shí)，也保證終端上軟件的安全運(yùn)行。

解決無(wú)線接入網(wǎng)的安全問題，由于5G 引入了新空口技術(shù)，融合Wi-Fi、衛(wèi)星、蜂窩網(wǎng)絡(luò)等多種接入方式提升接入網(wǎng)承載能力，這導(dǎo)致接入網(wǎng)面臨著較多類型的安全需求。其主要需要支持多種接入技術(shù)的身份認(rèn)證，并保持嚴(yán)格的安全性。為此，我們可以采用如下方式進(jìn)行：加強(qiáng)對(duì)超密集組網(wǎng)的接入管理，目前用戶終端數(shù)量龐大，傳統(tǒng)認(rèn)證方式不支持高密集性的身份認(rèn)證，為此我們針對(duì)這種情況需解決高密集性設(shè)備的認(rèn)證；加強(qiáng)接入網(wǎng)節(jié)點(diǎn)的安全保護(hù)，由于5G 接入網(wǎng)側(cè)會(huì)有大量的邊緣計(jì)算節(jié)點(diǎn)，且其對(duì)攻擊防護(hù)能力有限，為此我們需要提供內(nèi)生服務(wù)安全。

解決多種業(yè)務(wù)場(chǎng)景的不同安全需求問題，5G 業(yè)務(wù)涉及人與人、人與物、物與物，滲透到了交通、醫(yī)療、工業(yè)等領(lǐng)域，這導(dǎo)致5G 對(duì)于多種業(yè)務(wù)場(chǎng)景有著不同的安全需求。比如在超大流量的場(chǎng)景下，現(xiàn)有方案無(wú)法對(duì)超大流量進(jìn)行安全性檢測(cè)。我們需采取如下措施增強(qiáng)其安全性：建立超大流量場(chǎng)景下的攻擊篩選機(jī)制，由于傳統(tǒng)的防范方法計(jì)算復(fù)雜度偏高，且檢測(cè)時(shí)間過(guò)慢，無(wú)法在短時(shí)間內(nèi)檢測(cè)出異常流量，為此我們建議采用基于流量篩選機(jī)制的安全防護(hù)機(jī)制，可加密關(guān)鍵流量，防范關(guān)鍵信息的隱私泄露；加強(qiáng)攻擊檢測(cè)算法的處理能力，由于目前檢測(cè)算法時(shí)延較大，數(shù)據(jù)處理能力有限，無(wú)法檢測(cè)大規(guī)模流量，我們可引入多平臺(tái)計(jì)算的方式，加大檢測(cè)方法處理能力；建立不同類型的多種認(rèn)證方式，目前網(wǎng)絡(luò)設(shè)備繁雜多樣，密鑰構(gòu)成及存儲(chǔ)方式不同，我們可采用群組認(rèn)證、批量認(rèn)證的方式加強(qiáng)對(duì)海量物聯(lián)網(wǎng)設(shè)備的認(rèn)證能力。

3 結(jié)語(yǔ)

當(dāng)前，5G 移動(dòng)網(wǎng)絡(luò)已經(jīng)進(jìn)入了發(fā)展的關(guān)鍵階段，面對(duì)新技術(shù)、新架構(gòu)、新業(yè)務(wù)場(chǎng)景的安全需求，本研究立足于5G 網(wǎng)絡(luò)安全現(xiàn)狀，從網(wǎng)絡(luò)安全在5G 攻防面臨的困難方面，分析了5G 對(duì)網(wǎng)絡(luò)安全影響；最后基于上述研究基礎(chǔ)，本報(bào)告總結(jié)提煉了5G 安全化思路與措施，為以后5G 安全框架的提出提供理論基礎(chǔ)。