5G网络安全体系构建与关键技术解析

“5G是把双刃剑，必将引发新的风险”， 5G作为关键信息基础设施和数字化转型的重要基石，在开启万物互联新局面的同时，也带来了新的安全挑战和风险，成为全球面临的共同问题。5G安全是5G生态的重要组成部分和5G发展的关键基础条件，我们需要在5G网络建设时期予以重点和充分的考虑。

假基站，信息泄漏问题严重

假基站是一种利用GSM单向认证缺陷的非法无线电通信设备，主要由主机和笔记本电脑组成，能够搜取以其为中心、一定半径范围内的GSM移动电话信息，并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信，通常安放在汽车或者一个比较隐蔽的地方发送。假基站运行时，用户手机信号被强制连接到该设备上，无法连接到公用电信网络，以影响手机用户的正常使用。

假基站的问题是研究员在设计通信规则时候存在的漏洞，3G、4G考虑到这个问题后就变成了双向认证，手机把信息传递给基站，基站也要把信息传递给手机，信息在这个通道内完成双向认证。

但是4G时代假基站依然有机可乘，由于3GPP协议本身考虑到复杂的234G网络互操作和各种业务情况，为了更好地兼容网络、更好地服务用户造成的。4G手机的TAU跟踪区（相当于2G中的位置区）更新过程分为空闲态（无承载建立）、空闲态（核心网要求认证和安全模式）、空闲态（要求承载建立）和连接态等几种形态。4G假基站获取用户信息是发生在其中空闲态（核心网要求认证）这个环节的。

假基站设置为一个异常的TAC（跟踪码，简单理解为位置码），使处于RRC空闲态的手机重选到假基站，通过UE（用户设备、手机）上报的跟踪区更新请求（TAURequest），来获取用户的GUTI（全球唯一临时标识，网络产生的用于标识用户的唯一标识，以减少IMSI的使用次数），并进一步获取用户的IMSI（国际移动用户识别码，可算出用户的手机号码）。这样就知道了某个用户在某时到过某地(通过大数据就可以描绘某人的行动轨迹)。

信息泄漏问题在生活中比较普遍，安全是一个防不胜防的事情。罗成博士说道：【那安全的意义是什么？安全就是要解决“什么人，在什么地方，可以做什么事”的问题。】

5G安全需求有哪些？

新应用场景需求

5G有三大应用场景，第一个是低时延uRLLC，第二是大联接mMTC，第三个高带宽eMBB。对应的有三个点，能解决用户的“痛点、爽点、痒点”。

第一个是低时延，因为5G具有低时延的效应，可以在工业互联网或者是社会GDP方面做出重要的贡献，所以我们需要5G网络，5G网络就解决了我们的痛点。

低时延场景下的业务需要更高级别的安全保护。但涉及接入认证、数据传输安全保护、终端移动过程中切换、数据加解密等方面的过于复杂的安全机制会增加时延，就不能满足低时延业务的要求，因此就需要优化安全机制。

第二个是大连接，通过大范围地连接、大范围地联动，让我们身边各个产品都为你服务。这可以解决用户的的“痒点”，靠的就是物联网。

但是大连接采用单用户认证方案则成本高昂，而且容易造成信令风暴问题。

大量低功耗、计算和存储资源有限的终端难以部署复杂的安全策略，因此容易被攻击，进而引发对其他用户乃至整个网络的攻击，造成系统瘫痪、网络中断等安全风险。同时，海量终端间的信息交互也面临着隐私泄露、虚假消息欺骗等安全风险。

第三个是大带宽，5G网络能让我们使用更大的带宽，这时候5G网络就解决了我们的爽点。不过大带宽意味着大数据，大数据意味着你在数据存储和流量检测这一块面临着巨大地挑战，同时，新业务的兴起将引入新的媒体传播形式，也会对内容监管识别带来挑战。

新技术的需求

由于5G运用了很多新的技术，所以在新的技术方面也产生了新的需求。

第一个是SDN，有3大特点：

1. SDN控制网元和转发节点的安全隔离和管理。
2. 控制器是天然的网络中心，很容易成为DoS攻击的目标。
3. SDN流表的安全部署和正确执行。

第二个是网络功能虚拟化（NFV）的安全

网络功能不再依赖专有通信硬件平台，打破传统网络通过物理隔离来保证安全性的机制。网络编排与管理安全。

第三个是边缘计算（MEC）的安全

受到物理攻击的可能性较大，攻击者会通过边缘计算平台攻击核心网。在MEC平台中，可部署应用包括自有应用与第三方应用，存在多应用安全风险。

第四个是网络切片的安全，有3个方面：

1. 资源共用带来的安全风险。
2. 切片交互带来的安全风险。
3. 服务模式带来的安全风险。

5G安全架构

5G安全架构分为两方面，一个是5G通信的安全，另一个是5G行业应用的安全。

5G通信安全部分可以从三个维度来看，保障对象、安全能力、运行安全。保护我们的信息，数据，网络，以及网元，可能是虚拟的网元，也可能是实际的网元。安全能力包含多个方面。

5G网络运行的时候，希望可以即时处置一些威胁恢复，监测态势感知和一些未知的风险，并且实现威胁防护。

在5G通信网络这一块对应的就是应用安全，围绕5G应用能够正常运行，包含车联网、物联网、工业互联网等等。

5G安全关键技术

5G安全涉及很多关键技术，第一个是5G具有统一的认证协议EAP，各种接入方式均可在EAP框架下接入5G核心网：用户通过WLAN接入时可使用EAP-AKA’认证，有线接入时可采用IEEE802.1x认证，5G新空口接入时可使用EAP-AKA认证。不同的接入网使用在逻辑功能上统一的AMF和AUSF/ARPF提供认证服务，基于此，用户在不同接入网间进行无缝切换成为可能。总结下来就是EAP是一个框什么都往里面装。

第二个是切片怎么保护，切片是个墙，墙里墙外都要很健壮。

1. UE 和切片间安全
2. 切片的非授权访问
3. 切片内 NF 间安全 

第三个是5G要有差异化的安全保障，区分服务就是差异化的服务，根据应用与服务侧的业务安全需求，确定相应切片的安全保护机制，并部署相关切片的用户面安全防护。例如考虑 mMTC 中设备的轻量级特征，此切片内数据可以根据 mMTC 业务需求部署轻量级的用户面安全保护机制。另外，切片内还包含 UE 至核心网的会话传输模式，因此基于不同的会话做用户面数据保护，可以增加安全保护的灵活度。总结下来就是区分服务是一个宝，人人都要服务好。

第四个是5G可以开放，5G 网络安全能力可以通过 API 接口开放给第三方业务， 让第三方业务能便捷地使用移动网络的安全能力， 从而让第三方业务提供商有更多的时间和精力专注于具体应用业务逻辑的开发， 进而快速、灵活地部署各种新业务，以满足用户不断变化的需求；同时运营商通过 API 接口开放 5G 网络安全能力，让运营商的网络安全能力深入地渗透到第三方业务生态环境中，进而增强用户黏性，拓展运营商的业务收入来源。总结下来就是开放是一个钻，瓷器活儿都能揽。

第五个是灵活的安全凭证管理，这里存在多种安全凭证，如对称安全凭证和非对称安全凭证。非对称密钥体制具有天然的去中心化特点，无需在网络侧保存所有终端设备的密钥，无需部署永久在线的集中式身份管理节点。

网络认证节点可以采用去中心化部署方式，如下移至网络边缘，终端和网络的认证无需访问网络中心的用户身份数据库。总结下来就是灵活凭证是个符，边缘领走镇妖魔，灵活凭证可以起到很好的减轻中心化。

还有SDA的安全和NFV的安全，边缘计算的安全，边缘计算的安全是分层分类来解决它的安全问题。

还有数据安全，例如大数据安全保障，核心要解决的问题就是数据全生命周期的运营，数据的采集、传输、使用、销毁、数据的运营产生利润的那一部分，使数据发挥价值的部分，这些都需要我们关注数据的安全。

安全管理和安全运维

安全管理也不可忽视，安全管理就像你对整个5G安全的一个行政上的管理，安全管理做得好，等保才能过的了，只有安全管理做好了，这些规范和制度才能有验收的标准。

最后一个是运维要靠PDCA，安全永不松懈！例如，建议一个公司的安全管理可以这样做，管理层下面成立一个安全委员会，安全委员会成立两个专门做安全的，一个是安全实验室，一个是操作维护安全事件的响应团队。

安全实验室采用漏洞扫描工具执行安全漏洞扫描，及时发现网络是否存在漏洞。通过不断的安全累积更新、外部事件触发以及内部定期扫描，建立5G网络的安全漏洞加固基线，并不断发布、更新、升级。

操作维护安全事件响应团队专门负责接收安全相关漏洞的应急响应组织，为5G运维提供全局处理的解决方案，包括响应并处理提交的安全事件，响应并处理行业协会公布的安全事件，制定5G运维重大信息安全事件管理策略和安全事件处理方案，验证系统软件提供商和专业安全厂商发布的漏洞及补丁等。

5G是一项改变社会的新技术，但是真正希望安全能够伴我们同行。

责编：Yvonne Geng