摘　要：5G 的快速發(fā)展逐步開啟了萬物互聯(lián)新時代，但同時 5G 技術(shù)的應(yīng)用當(dāng)前依然面臨著多種風(fēng)險挑戰(zhàn)。因此，以 5G 新技術(shù)的安全問題為重點，探索國內(nèi)外 5G 安全技術(shù)的主要發(fā)展趨勢，并從架構(gòu)、能力以及挑戰(zhàn) 3 個方面對 5G 網(wǎng)絡(luò)安全現(xiàn)狀進行分析。針對現(xiàn)有 5G網(wǎng)絡(luò)的安全問題，從防護體系設(shè)計、多元信任體系構(gòu)建以及新技術(shù)融合創(chuàng)新等方面進行 5G網(wǎng)絡(luò)安全創(chuàng)新體系設(shè)計，從而更好地提高 5G 網(wǎng)絡(luò)安全性，提升 5G 技術(shù)在各行各業(yè)的應(yīng)用能力。

內(nèi)容目錄：

1 　5G 網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀

1.1　國外 5G 安全發(fā)展現(xiàn)狀

1.2　國內(nèi) 5G 安全發(fā)展現(xiàn)狀

2　5G 網(wǎng)絡(luò)安全現(xiàn)狀分析

2.1　5G 網(wǎng)絡(luò)現(xiàn)有安全架構(gòu)

2.2　5G 網(wǎng)絡(luò)現(xiàn)有安全能力

2.3　當(dāng)前 5G 網(wǎng)絡(luò)安全防護挑戰(zhàn)

3　5G 網(wǎng)絡(luò)安全創(chuàng)新體系及技術(shù)探索

3.1　立體 5G 網(wǎng)絡(luò)安全防護體系設(shè)計

3.2　5G 網(wǎng)絡(luò)在行業(yè)專用網(wǎng)絡(luò)領(lǐng)域的多元信任體系建立

3.3　新型技術(shù)與 5G 網(wǎng)絡(luò)安全融合創(chuàng)新

4　結(jié)　語

在全球科技界、產(chǎn)業(yè)界的共同努力下，5G商用進程大幅加快，與經(jīng)濟社會的融合日趨緊密，人們對 5G 的暢想正一步步走向觸手可及的現(xiàn)實，各行各業(yè)都希望通過 5G 來提升信息化技術(shù)水平。因此，5G的安全能力逐步成為關(guān)注焦點，全球各國都開始制定和研究 5G 安全相關(guān)標準及技術(shù)，希望 5G 的高安全性會讓各行業(yè)堅定不移地大力推動邊緣設(shè)備的智能化、無線化、自動化、安全化，促進 5G 產(chǎn)業(yè)鏈的全面升級。同時，為了讓未來 5G 能夠適配更加多樣化的應(yīng)用場景，5G 網(wǎng)絡(luò)安全技術(shù)還需不斷創(chuàng)新和突破，并通過差異化的網(wǎng)絡(luò)服務(wù)、接入方式以及創(chuàng)新技術(shù)融合等方面，實現(xiàn)全方位安全保障提升，使 5G 技術(shù)在提供高性能、高可靠、高可用服務(wù)的同時，具備內(nèi)在的高等級安全防御能力。

1、5G 網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀

從全球視角來看，數(shù)字經(jīng)濟在農(nóng)業(yè)現(xiàn)代化、城鎮(zhèn)化以及工業(yè)現(xiàn)代化等方面的作用凸顯，數(shù)字經(jīng)濟的浪潮已經(jīng)迎面而來、深入發(fā)展。5G 網(wǎng)絡(luò)作為數(shù)字經(jīng)濟發(fā)展的通信基礎(chǔ)設(shè)施，其網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)架構(gòu)也在快速演進，且面對國內(nèi)外網(wǎng)絡(luò)安全形勢的不斷變化，5G 網(wǎng)絡(luò)安全技術(shù)的創(chuàng)新發(fā)展需求也在日益凸顯。

當(dāng)前業(yè)界針對 5G 安全的熱點研究，主要集中于安全能力部署、安全體系架構(gòu)、內(nèi)生安全機理以及結(jié)合 5G 網(wǎng)絡(luò)云化、虛擬化等特點。已有相當(dāng)數(shù)量的標準研究機構(gòu)、高校以及企業(yè)開展了 5G 安全技術(shù)研究，以內(nèi)源性防御架構(gòu)為重點，挖掘 5G 網(wǎng)絡(luò)的內(nèi)生安全元素。主要包括物理層安全技術(shù)、網(wǎng)絡(luò)切片安全技術(shù)、用戶隱私保護技術(shù)、輕量級加密技術(shù)，以及應(yīng)用于 5G 安全的區(qū)塊鏈、人工智能等新型融合技術(shù)。各國出于自身政治、經(jīng)濟以及技術(shù)等方面的考慮，在5G安全技術(shù)研究方面表現(xiàn)出各自不同的策略。

1.1　國外 5G 安全發(fā)展現(xiàn)狀

2020 年 3 月，美國頒布了《美國 5G 安全國家戰(zhàn)略》，內(nèi)容包括頻譜規(guī)劃、評估 5G 漏洞、安全原則制定以及 5G 安全評審簡化等方面，并協(xié)同盟友共同推動全球 5G 安全的開發(fā)和部署 。因此，該戰(zhàn)略計劃主要用于識別和評估 5G 相關(guān)的基礎(chǔ)設(shè)施、設(shè)備、軟件以及系統(tǒng)等方面潛在的安全威脅和漏洞，并支持 5G 及未來通信技術(shù)安全方面的發(fā)展。

2020 年 1 月， 美 國 國 防 高 級 研 究 計 劃 局(Defense Advanced Research Projects Agency，DARPA)發(fā)布了 OPS-5G 項目。該項目作為美國 5G 安全技術(shù)研究的新方向，主要是為 5G 移動設(shè)備開發(fā)一個輕便的、符合標準的網(wǎng)絡(luò)棧，該網(wǎng)絡(luò)棧免費、開源且安全性較高 [1]。其目標是提高 5G 整體技術(shù)的安全性，建立以美國為主導(dǎo)的、兼容標準的、不依賴于硬件且安全的開源軟件。

2020 年 1 月，歐盟國家網(wǎng)絡(luò)安全協(xié)作組(NIS Corporation Group)發(fā)布《5G 網(wǎng)絡(luò)安全風(fēng)險消減措施工具箱》，包括 8 條戰(zhàn)略措施和 11 條技術(shù)措施 。其中，技術(shù)措施從安全網(wǎng)絡(luò)架構(gòu)、訪問控制、虛擬化網(wǎng)絡(luò)功能安全、安全 5G 網(wǎng)絡(luò)管理運維等方面提出相關(guān)建議，以保護 5G 網(wǎng)絡(luò)的機密性、完整性和可用性等為安全目標。

1.2　國內(nèi) 5G 安全發(fā)展現(xiàn)狀

2019—2020 年是我國 5G 元年，各部委針對5G 均單獨發(fā)文且要求加強 5G 安全保障，體現(xiàn)了國家對 5G 安全技術(shù)研究方面的重視。

2020 年 8 月 25 日，國家發(fā)展和改革委員會發(fā)布了《推動 5G 安全體系建設(shè)》。該指導(dǎo)方案要求加大 5G 安全技術(shù)研發(fā)投入，推動 5G 漏洞挖掘、入侵防御以及數(shù)據(jù)挖掘等方面的安全技術(shù)研發(fā)，構(gòu)建全局感知、預(yù)警防護、威脅監(jiān)測以及聯(lián)動處置的 5G 安全保障框架 。

2020 年 2 月 4 日，中國信息通信研究院和IMT-2020(5G)推進組聯(lián)合發(fā)布了《5G 安全報告》。該報告系統(tǒng)性分析了 5G 關(guān)鍵技術(shù)、典型應(yīng)用場景及產(chǎn)業(yè)生態(tài)的安全風(fēng)險，并提出了相應(yīng)的安全理念及應(yīng)對思路。重點關(guān)注了 5G 新技術(shù)對移動互聯(lián)網(wǎng)帶來的巨大挑戰(zhàn)，包括物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)以及車聯(lián)網(wǎng)等，詳細討論了 5G安全特性、需求以及漏洞，給出現(xiàn)有的解決方案，以及有關(guān)第三代合作伙伴計劃(3rd Generation Partnership Project，3GPP)5G 網(wǎng)絡(luò)中新功能和新技術(shù)的一些開放研究問題。同時，該報告從安全性和隱私性的角度介紹了 5G 安全模型的核心技術(shù)和支持技術(shù)，包括網(wǎng)絡(luò)軟件化、物理層和 5G 隱私安全，指出了符合未來 5G 高安全要求的研究方向。

2020 年底，中國 5G 網(wǎng)絡(luò)用戶數(shù)超過 1.6 億，約占全球 5G 總用戶數(shù)的 89%，已建成 5G 基站91.6萬個，占全球70%，5G連接數(shù)已超過3.65億，占全球 80%。因此，5G 安全是保障所有基礎(chǔ)業(yè)務(wù)安全的重要一環(huán)，中國在 5G 安全技術(shù)研究及應(yīng)用方面正在不斷推進，且具有一定的領(lǐng)先優(yōu)勢。在推進過程中，中國有望保持并率先實現(xiàn) 5G 安全技術(shù)方面的研發(fā)突破。

2、5G 網(wǎng)絡(luò)安全現(xiàn)狀分析

面對當(dāng)前信息化發(fā)展趨勢，各類應(yīng)用場景、業(yè)務(wù)能力對 5G 網(wǎng)絡(luò)的技術(shù)安全及隱私保護提出了更高的要求。因此，5G 整體安全架構(gòu)及能力在滿足基本通信需求外，相較于 3G、4G 時代，進一步提出了差異化安全服務(wù)、多種網(wǎng)絡(luò)設(shè)備接入方式以及新型安全架構(gòu)等安全需求，從而更好地提供開放安全能力。

2.1　5G 網(wǎng)絡(luò)現(xiàn)有安全架構(gòu)

為了更好地突出 5G 高速率、低時延、海量終端接入等優(yōu)勢，當(dāng)前 5G 網(wǎng)絡(luò)安全架構(gòu)主要從密鑰認證接入、節(jié)點安全保護研究等方面進行實現(xiàn)。5G 網(wǎng)絡(luò)架構(gòu)如圖 1 所示，包括 8 個安全能力領(lǐng)域 。

圖 1　5G 網(wǎng)絡(luò)

(1)網(wǎng)絡(luò)接入安全。保障用戶接入網(wǎng)絡(luò)的數(shù)據(jù)安全。

(2)網(wǎng)絡(luò)域安全。保障信令面和用戶面的信令數(shù)據(jù)安全交互，包括無線接入網(wǎng)節(jié)點、服務(wù)網(wǎng)絡(luò)節(jié)點與歸屬環(huán)境間的信息交互。

(3)首次認證和密鑰管理。包括認證和密鑰管理的各種機制，體現(xiàn)統(tǒng)一的認證框架。

(4)二次認證和密鑰管理。通過設(shè)備二次認證及相關(guān)密鑰管理，進一步提升終端用戶與外部數(shù)據(jù)網(wǎng)絡(luò)間業(yè)務(wù)認證的安全性。體現(xiàn)部分業(yè)務(wù)接入 5G 網(wǎng)絡(luò)時，5G 網(wǎng)絡(luò)對于業(yè)務(wù)的授權(quán)。

(5)安全能力開放。5G 網(wǎng)元可對外部業(yè)務(wù)提供方開放安全能力，從而實現(xiàn)基于業(yè)務(wù)需求的按需用戶保障。

(6)應(yīng)用安全。保障終端用戶與業(yè)務(wù)應(yīng)用方之間的安全通信。

(7)切片安全。體現(xiàn)切片的安全保護。例如，用戶設(shè)備(User Equipment，UE)接入切片的授權(quán)安全、切片隔離安全等。

(8)安全可視化和可配置。體現(xiàn)用戶可以感知安全特性是否被執(zhí)行，這些安全特性是否可以保障業(yè)務(wù)的安全使用和提供。

2.2　5G 網(wǎng)絡(luò)現(xiàn)有安全能力

2.2.1　網(wǎng)絡(luò)切片安全

5G 網(wǎng)絡(luò)采用了服務(wù)化網(wǎng)絡(luò)架構(gòu)，引入了網(wǎng)絡(luò)切片技術(shù)，通過引入網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization，NFV)技術(shù)和軟件定義網(wǎng)絡(luò)(Software Defined Network，SDN)架構(gòu)實現(xiàn)了切片化。網(wǎng)絡(luò)切片技術(shù)即通過不同網(wǎng)元的編排組合使得網(wǎng)絡(luò)具有不同的功能，具備較高的靈活性和可定制性。

在傳統(tǒng)移動網(wǎng)絡(luò)的安全機制下，切片安全可以提供接入認證、信令及數(shù)據(jù)加密保護等在內(nèi)的安全能力。在當(dāng)前 5G 網(wǎng)絡(luò)安全架構(gòu)下，切片安全可以結(jié)合物理隔離等隔離機制，實現(xiàn)網(wǎng)絡(luò)切片間端到端的安全隔離防護，包括核心網(wǎng)隔離、承載隔離以及無線接入網(wǎng)(Radio Access Network，RAN)隔離等。因此，切片安全能夠滿足垂直行業(yè)應(yīng)用差異化需求，并提供了更健壯的數(shù)據(jù)安全保護、更豐富的認證機制支持和更嚴密的用戶隱私保護 。

2.2.2　認證和授權(quán)安全

5G 在 4G 安全特性的基礎(chǔ)上對部分安全特性進行了增強，并且針對不同業(yè)務(wù)場景拓展了安全能力，其中更完善的認證機制是 5G 網(wǎng)絡(luò)的重要安全特性。5G 網(wǎng)絡(luò)針對不同的認證場景考慮了更多有效的認證選擇，包括處于間接 3GPP 連接模式下的終端設(shè)備有效利用資源的認證機制，以及針對物聯(lián)網(wǎng)群組的有效認證機制。當(dāng)前 5G系統(tǒng)還支持服務(wù)網(wǎng)絡(luò)認證、接入網(wǎng)授權(quán)、UE 授權(quán)以及未認證緊急服務(wù)等多種認證機制能力。

5G 認證和授權(quán)機制為網(wǎng)絡(luò)接入和業(yè)務(wù)接入提供了統(tǒng)一的認證框架，支持多種網(wǎng)絡(luò)接入和認證機制。5G 網(wǎng)絡(luò)認證繼承了 4G 網(wǎng)絡(luò)安全性較高的認證與密鑰協(xié)商協(xié)議(Authentication and Key Agreement，AKA)認證機制，并進一步增強了AKA 的機制和能力，稱作 5G-AKA。另外，5G引 入 了 擴 展 認 證 協(xié) 議(Extensive Authentication Protocol，EAP) 認 證 框 架， 將 EAP-AKA 作 為5G 網(wǎng)絡(luò)的基本認證方法予以支持。

2.2.3　MEC 安全防護

采用邊緣計算技術(shù)(Mobile Edge Computing，MEC)打造用戶內(nèi)部 5G 網(wǎng)絡(luò)，可保證用戶業(yè)務(wù)數(shù)據(jù)不傳送到外網(wǎng)，保證數(shù)據(jù)私密性。同時，MEC不會對傳輸?shù)臄?shù)據(jù)內(nèi)容做存儲，從而不會出現(xiàn)MEC 節(jié)點數(shù)據(jù)泄露現(xiàn)象。此外，MEC 與用戶本地服務(wù)器之間部署防火墻進行數(shù)據(jù)隔離，從物理層面上有效提升了 5G 網(wǎng)絡(luò)數(shù)據(jù)的安全性 。

2.2.4　安全能力開放

5G 網(wǎng)絡(luò)安全能力可通過能力開放接口提供給用戶，以便用戶按照自身需求編排定制化網(wǎng)絡(luò)安全服務(wù)。5G 網(wǎng)絡(luò)可通過將安全能力進行抽象、封裝，配合其他網(wǎng)絡(luò)能力及資源，動態(tài)按需組合部署，為用戶提供靈活、可定制的差異化安全能力。

2.3　當(dāng)前 5G 網(wǎng)絡(luò)安全防護挑戰(zhàn)

5G 網(wǎng)絡(luò)技術(shù)得益于其通用化平臺部署能力以及靈活的部署形式，改變了無線網(wǎng)絡(luò)傳統(tǒng)語音 + 用戶的運營模式，豐富了蜂窩網(wǎng)絡(luò)通信技術(shù)的應(yīng)用場景，但也對其安全防護能力帶來了一定挑戰(zhàn)。

2.3.1　多場景下網(wǎng)絡(luò)安全防護體系挑戰(zhàn)

5G網(wǎng)絡(luò)技術(shù)所提出的增強移動寬帶(Enhanced Mobile Broadband，eMBB)、高可靠低時延(Ultra Reliable Low-Latency Communications，uRLLC)、海量機器類通信(Massive Machine Type Communi cation，mMTC)3 大核心網(wǎng)絡(luò)能力，可以衍生出大量的差異化網(wǎng)絡(luò)需求場景。因此，為單一場景設(shè)計的網(wǎng)絡(luò)安全防護體系不再能夠適用于具有多樣化應(yīng)用場景的 5G 網(wǎng)絡(luò)。針對行業(yè)應(yīng)用差異化的網(wǎng)絡(luò)能力需求，5G 網(wǎng)絡(luò)安全防護體系也需要匹配相應(yīng)的場景需求，避免安全網(wǎng)絡(luò)策略成為關(guān)鍵網(wǎng)絡(luò)指標的能力短板。因此，需要建立創(chuàng)新安全防護體系，滿足物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市等實際場景需求，從而成為數(shù)字化社會建設(shè)網(wǎng)絡(luò)能力底座 。

2.3.2　行業(yè)專用 5G 網(wǎng)絡(luò)安全信任體系挑戰(zhàn)

5G 網(wǎng)絡(luò)峰值數(shù)據(jù)傳輸速率相比于 4G 網(wǎng)絡(luò)增長超過 10 倍，可滿足 4K 超高清視頻、虛擬現(xiàn)實及增強現(xiàn)實等數(shù)據(jù)業(yè)務(wù)的大帶寬需求，且5G 網(wǎng)絡(luò)的鏈接密度相比于 4G 網(wǎng)絡(luò)有了質(zhì)的提升 。相較于之前的傳統(tǒng)移動通信，5G 網(wǎng)絡(luò)行業(yè)應(yīng)用需求逐漸增多。針對 5G 網(wǎng)絡(luò)“一網(wǎng)賦能萬業(yè)”的開放性特點，如何構(gòu)建一個運營商 +行業(yè)客戶 + 網(wǎng)絡(luò)的多元信任關(guān)系是當(dāng)前 5G 網(wǎng)絡(luò)安全面臨的主要挑戰(zhàn)之一。需要充分融合可靈活下沉部署的行業(yè) 5G 移動通信網(wǎng)絡(luò)、不同的垂直行業(yè)及多運營管理模式，構(gòu)建完善的統(tǒng)一信任網(wǎng)絡(luò)服務(wù)體系。

2.3.3　創(chuàng)新技術(shù)下 5G 網(wǎng)絡(luò)安全快速發(fā)展挑戰(zhàn)

作為新一輪科技革命和產(chǎn)業(yè)變革中的關(guān)鍵技術(shù)之一，5G網(wǎng)絡(luò)當(dāng)前已成為支撐社會數(shù)智化、網(wǎng)絡(luò)化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)設(shè)施，也是促進各行業(yè)經(jīng)濟發(fā)展的重要手段。當(dāng)前，大數(shù)據(jù)、人工智能及區(qū)塊鏈等新興技術(shù)迅速發(fā)展，為經(jīng)濟社會各領(lǐng)域發(fā)展賦能。但是新興技術(shù)的發(fā)展也會帶來新的挑戰(zhàn)，如何將挑戰(zhàn)轉(zhuǎn)化為 5G 快速發(fā)展的機遇至關(guān)重要。因此，需要將 5G 網(wǎng)絡(luò)安全與其他新興技術(shù)深度融合，成為共生共進、相互促進的共同體，通過融合創(chuàng)新探索 5G 網(wǎng)絡(luò)安全的新可能性，進一步促進 5G 網(wǎng)絡(luò)安全的快速發(fā)展。

3、5G 網(wǎng)絡(luò)安全創(chuàng)新體系及技術(shù)探索

針對上述 5G 網(wǎng)絡(luò)安全現(xiàn)狀的分析，為了更好地解決 5G 網(wǎng)絡(luò)安全所面臨的挑戰(zhàn)，并讓 5G技術(shù)更廣泛地運用于多行業(yè)領(lǐng)域，5G 網(wǎng)絡(luò)安全創(chuàng)新體系及技術(shù)發(fā)展可從立體 5G 網(wǎng)絡(luò)安全防護體系設(shè)計、行業(yè) 5G 專網(wǎng)多元信任體系建立以及新型技術(shù)融合創(chuàng)新等方面展開探索。

3.1　立體 5G 網(wǎng)絡(luò)安全防護體系設(shè)計

為滿足 5G 網(wǎng) 絡(luò) eMBB、uRLLC、mMTC 等場景需求，可通過構(gòu)建立體的 5G 網(wǎng)絡(luò)安全防護體系以應(yīng)對不同場景下所面臨的風(fēng)險。5G 網(wǎng)絡(luò)的安全防護體系以構(gòu)建形式為標準，大致可分為兩類，如圖 2 所示：一類是基于 3GPP 協(xié)議規(guī)定的標準框架下增量疊加安全技術(shù)所形成的 5G增量安全防護體系;另一類是基于 3GPP 協(xié)議框架下針對原生實現(xiàn)流程的定制化修改而實現(xiàn)的5G 內(nèi)生安全防護體系。

圖 2　5G 網(wǎng)絡(luò)安全防護體系

3.1.1　5G 增量安全防護體系設(shè)計

5G 增量安全防護技術(shù)是基于已有的標準化5G網(wǎng)絡(luò)的安全能力，在應(yīng)用層面疊加安全技術(shù)，實現(xiàn)定制化的 5G 網(wǎng)絡(luò)安全功能。

通過引入 SDN 概念以及 NFV 技術(shù)，5G 網(wǎng)絡(luò)基礎(chǔ)設(shè)施實現(xiàn)了硬件設(shè)備與網(wǎng)絡(luò)功能的解耦，從而形成了一個通用化、虛擬化、開放化的網(wǎng)絡(luò) 。然而，這樣的網(wǎng)絡(luò)構(gòu)建模式也會帶來新的網(wǎng)絡(luò)安全風(fēng)險，需要在網(wǎng)絡(luò)功能實體共享硬件設(shè)備資源的同時，構(gòu)建一個網(wǎng)絡(luò)功能之間的運算、存儲和交互的數(shù)據(jù)隔離機制，嚴格規(guī)范網(wǎng)絡(luò)功能實體的硬件資源限制，避免 5G 網(wǎng)絡(luò)在硬件設(shè)備集中部署的情況下，網(wǎng)絡(luò)安全風(fēng)險在基礎(chǔ)設(shè)施中快速傳播的情況發(fā)生。

MEC 是 5G 網(wǎng)絡(luò)的核心設(shè)備之一，通過在靠近網(wǎng)絡(luò)邊緣的客戶 / 基站機房處部署部分網(wǎng)絡(luò)服務(wù)能力和業(yè)務(wù)訪問服務(wù)端，從而顯著降低在數(shù)據(jù)傳輸過程中產(chǎn)生的時延，提升網(wǎng)絡(luò)帶寬利用率，從而為時延敏感性網(wǎng)絡(luò)業(yè)務(wù)提供可靠的網(wǎng)絡(luò)能力支持。由于其物理部署位置的特殊性，硬件設(shè)備長期處于無人看管的環(huán)境下。因此，對于整個 5G 網(wǎng)絡(luò)，MEC 的物理防護及接口管控是網(wǎng)絡(luò)安全防護體系建設(shè)的一大重點研究方向 。

3.1.2 　5G 內(nèi)生安全防護體系設(shè)計

5G 內(nèi)生安全防護技術(shù)是通過對標準化 5G網(wǎng)絡(luò)進行定制化流程改造，滿足行業(yè)應(yīng)用的實際安全能力要求。

通過對 3GPP 組織定義的標準化 5G 網(wǎng)絡(luò)架構(gòu)以及信令交互流程的定制化改造，在不影響標準化 5G 網(wǎng)絡(luò)組件的完整功能的前提下，實現(xiàn)5G 網(wǎng)絡(luò)架構(gòu)內(nèi)部的安全能力疊加。這種定制化的內(nèi)生網(wǎng)絡(luò)安全防護體系可以滿足對 5G 網(wǎng)絡(luò)安全有定制化需求的特殊行業(yè)用戶的安全標準。然而，此類定制化專用 5G 網(wǎng)絡(luò)配套設(shè)備與部分標準化的 5G 網(wǎng)絡(luò)設(shè)施之間的兼容性問題難以避免，模塊化部署能力較差。

3.2　5G 網(wǎng)絡(luò)在行業(yè)專用網(wǎng)絡(luò)領(lǐng)域的多元信任體系建立

5G 網(wǎng)絡(luò)高帶寬、低時延、大連接的技術(shù)優(yōu)勢使其在行業(yè)專用網(wǎng)絡(luò)領(lǐng)域具有非常廣闊的應(yīng)用場景，行業(yè)專用網(wǎng)絡(luò)也是 5G 網(wǎng)絡(luò)建設(shè)的重要方向之一。不同于傳統(tǒng)網(wǎng)絡(luò)的運營商 + 用戶的商業(yè)模式，5G 行業(yè)專網(wǎng)建設(shè)需要構(gòu)建一個運營商 + 行業(yè)客戶 + 網(wǎng)絡(luò)用戶的全新的多元信任關(guān)系 。根據(jù)不同行業(yè)應(yīng)用對于網(wǎng)絡(luò)能力的差異化需求，5G 行業(yè)專網(wǎng)的部分甚至全部網(wǎng)絡(luò)設(shè)施都需要下沉部署至用戶內(nèi)部機房。差異化的部署模式勢必需要在各方設(shè)備之間構(gòu)建一個完善的安全信任體系，以面對各個場景下的安全威脅。因此，運營商和行業(yè)用戶需要明確相關(guān)設(shè)備維護與數(shù)據(jù)安全能力的責(zé)任劃分，共同面對全新網(wǎng)絡(luò)建設(shè)模式所帶來的安全挑戰(zhàn) 。

5G 行業(yè)專用網(wǎng)絡(luò)部分或全部網(wǎng)絡(luò)設(shè)施下沉部署的建設(shè)模式勢必造成專用網(wǎng)絡(luò)的相關(guān)網(wǎng)絡(luò)接口處于運營商的安全管控防護能力之外，從而造成網(wǎng)絡(luò)設(shè)施下沉部署的安全風(fēng)險。同時，部分網(wǎng)絡(luò)設(shè)施的下沉部署也會間接造成網(wǎng)絡(luò)設(shè)施之間的信令交互需要依賴 5G 公用網(wǎng)絡(luò)的傳輸承載網(wǎng)絡(luò)，因此，需要構(gòu)建一種遠程信令傳輸?shù)脑O(shè)備信任機制，完善新型網(wǎng)絡(luò)部署架構(gòu)的安全能力。同時，運營商與行業(yè)客戶需要詳細評估部分網(wǎng)絡(luò)設(shè)施下沉部署可能造成的網(wǎng)絡(luò)安全隱患，協(xié)商明確網(wǎng)絡(luò)設(shè)施安全責(zé)任劃分，盡可能地規(guī)避網(wǎng)絡(luò)安全風(fēng)險 。

通過利用 5G 網(wǎng)絡(luò)的 SDN 和 NFV 技術(shù)優(yōu)勢，基于已有 5G 公用網(wǎng)絡(luò)設(shè)施內(nèi)建立獨立的網(wǎng)絡(luò)切片，以實現(xiàn)公網(wǎng)專用的網(wǎng)絡(luò)建設(shè)模式。在這種網(wǎng)絡(luò)構(gòu)建模式下，存在用戶是否具備公網(wǎng)接入能力、用戶行為與業(yè)務(wù)的管控主體劃分、應(yīng)用層面數(shù)據(jù)的歸屬、應(yīng)用層面的安全防護責(zé)任劃分等一系列網(wǎng)絡(luò)安全相關(guān)問題，需要運營商和行業(yè)客戶根據(jù)實際網(wǎng)絡(luò)建設(shè)需求進行規(guī)劃協(xié)商，構(gòu)建一個公網(wǎng)專用建設(shè)模式的運營管控體系，盡可能地規(guī)避網(wǎng)絡(luò)安全風(fēng)險。

針對部分特殊行業(yè)應(yīng)用在地理跨域的多園區(qū)網(wǎng)絡(luò)互聯(lián)的 5G 專用網(wǎng)絡(luò)建設(shè)需求，將采取5G 網(wǎng)絡(luò)設(shè)施的多園區(qū)分布式部署的形式，以構(gòu)建一個小型化的跨域 5G 網(wǎng)絡(luò)。該類型網(wǎng)絡(luò)中存在網(wǎng)絡(luò)接口防護、用戶簽約信息的安全傳輸、用戶面數(shù)據(jù)的傳輸加密、網(wǎng)絡(luò)路由的安全策略等網(wǎng)絡(luò)安全問題。這些問題需要運營商和行業(yè)用戶明確相關(guān)的硬件設(shè)備與網(wǎng)絡(luò)運營的責(zé)任劃分，構(gòu)建一個跨域?qū)Ｓ镁W(wǎng)絡(luò)建設(shè)的多元組網(wǎng)架構(gòu)的運營管控模式，形成一個雙方認可的網(wǎng)絡(luò)安全運維技術(shù)規(guī)范，盡可能地規(guī)避相關(guān)的網(wǎng)絡(luò)安全風(fēng)險。

3.3　新型技術(shù)與 5G 網(wǎng)絡(luò)安全融合創(chuàng)新

隨著量子計算、人工智能等尖端技術(shù)的快速發(fā)展，新的網(wǎng)絡(luò)攻擊技術(shù)和新的網(wǎng)絡(luò)攻擊模式將會為傳統(tǒng)的網(wǎng)絡(luò)通信架構(gòu)帶來新的挑戰(zhàn)。為應(yīng)對尖端技術(shù)在網(wǎng)絡(luò)攻擊中的應(yīng)用，通過在網(wǎng)絡(luò)中引入例如基于機器學(xué)習(xí)的多模態(tài)分析模型以及區(qū)塊鏈技術(shù)的去中心化密鑰體系等其他領(lǐng)域的新型尖端技術(shù)，實現(xiàn) 5G 網(wǎng)絡(luò)技術(shù)與新興技術(shù)的融合，構(gòu)建一個具備演進能力的 5G 網(wǎng)絡(luò)安全體系。

3.3.1　5G 安全 + 多模態(tài)智慧網(wǎng)絡(luò)安全創(chuàng)新體系融合

模 態(tài) 是 指 一 種 信 息 的 來 源 形 式， 其 定 義非常廣泛，可以是一種聲音、一類圖像、一種語言或者一種無線電波信號。多模態(tài)機器學(xué)習(xí)(MultiModal Machine Learning，MMML)是通過機器學(xué)習(xí)的技術(shù)基礎(chǔ)，實現(xiàn)同時感知并處理來自多種類、多源、多模態(tài)不同類型的信息。多模態(tài)機器學(xué)習(xí)是目前人工智能領(lǐng)域較為熱門的研究方向，在新一代蜂窩網(wǎng)絡(luò)技術(shù)演進過程中有很大的發(fā)展前景 。

多模態(tài)網(wǎng)絡(luò)技術(shù)研究的目的是在先進無線通信網(wǎng)絡(luò)環(huán)境下，應(yīng)用多模態(tài)機器學(xué)習(xí)技術(shù)，以提升網(wǎng)絡(luò)整體的運行效率，改善網(wǎng)絡(luò)業(yè)務(wù)體驗，是 5G 網(wǎng)絡(luò)技術(shù)演進的一個重要方向。通過在 5G 網(wǎng)絡(luò)的基礎(chǔ)設(shè)施中引入多模態(tài)機器學(xué)習(xí)技術(shù)，賦予網(wǎng)絡(luò)集通信、感知、計算于一體的能力，構(gòu)建一個具備核心網(wǎng)、承載網(wǎng)、無線網(wǎng)及終端 4 個維度的智慧網(wǎng)絡(luò)安全防護體系，如圖 3 所示，以滿足 5G 網(wǎng)絡(luò)多樣化部署形式及差異化部署場景的安全防護能力需求 。

圖 3 5G 智慧網(wǎng)絡(luò)安全防護體系

(1)無線信號環(huán)境模型構(gòu)建與智能波束管理。傳統(tǒng)網(wǎng)絡(luò)的無線信號覆蓋完全依賴運營商進行網(wǎng)絡(luò)規(guī)劃，然而 5G 網(wǎng)絡(luò)高帶寬、低時延、大連接的技術(shù)優(yōu)勢賦予其濃重的行業(yè)應(yīng)用承載屬性，傳統(tǒng)的網(wǎng)絡(luò)覆蓋模型勢必難以在兼顧公網(wǎng)覆蓋的基礎(chǔ)上滿足行業(yè)用戶的無線覆蓋需求。針對行業(yè)用戶無線覆蓋需求單獨建設(shè)基站，則存在網(wǎng)絡(luò)建設(shè)成本過高、基站覆蓋邊界難以確定、站間信號干擾及終端接入不穩(wěn)定等問題。通過在無線網(wǎng)絡(luò)建設(shè)中引入多模態(tài)機器學(xué)習(xí)技術(shù)，構(gòu)建區(qū)域內(nèi)的無線信號環(huán)境模型，形成區(qū)域內(nèi)的用戶接入狀態(tài)的態(tài)勢感知，實現(xiàn)區(qū)域內(nèi)的無線信號環(huán)境的多維度呈現(xiàn) ?；跓o線信號環(huán)境模型，充分利用 5G 無線網(wǎng)網(wǎng)絡(luò)空分復(fù)用技術(shù)優(yōu)勢及基站的智能波束管理系統(tǒng)，根據(jù)實際用戶需求，實時調(diào)整無線信號覆蓋區(qū)域，從而達到優(yōu)化行業(yè)用戶接入體驗，降低站間信號干擾的目的。

(2)智能路由與網(wǎng)絡(luò)態(tài)勢感知。傳統(tǒng)網(wǎng)絡(luò)基于 IP 的單一化尋址路由機制已經(jīng)難以適應(yīng)目前 5G 網(wǎng)絡(luò)承載的多樣化業(yè)務(wù)需求，缺乏數(shù)據(jù)傳輸安全能力以及對終端行為的感知能力。多模態(tài)網(wǎng)絡(luò)的智能路由技術(shù)以 SDN 和 NFV 技術(shù)為基礎(chǔ)，實現(xiàn)控制層面與傳輸層面的能力解耦 。通過構(gòu)建一個以 IP 路由為基礎(chǔ)，配合內(nèi)容標識、身份標識、空間標識等多模態(tài)信息的智能化路由尋址模型，從根本上突破傳統(tǒng)網(wǎng)絡(luò)的尋址機制瓶頸，滿足 5G 網(wǎng)絡(luò)差異化的業(yè)務(wù)需求。基于實時更新優(yōu)化的智能路由模型，可實現(xiàn)對于網(wǎng)絡(luò)整體態(tài)勢的實時感知，配部署網(wǎng)絡(luò)安全傳輸設(shè)備，建立智能化安全防護模型，形成針對用戶的惡意訪問行為的精確感知，從而構(gòu)建一個集網(wǎng)絡(luò)安全態(tài)勢感知、數(shù)據(jù)安全智能路由、惡意行為告警及網(wǎng)絡(luò)安全防護功能于一體的傳輸網(wǎng)絡(luò)安全體系，從根源上杜絕如分布式拒絕服務(wù)攻擊(Distributed Denial of Service，DDoS)等惡意行為對 5G 網(wǎng)絡(luò)造成的安全隱患。

(3)終端行為感知與管控。相比于傳統(tǒng)網(wǎng)絡(luò)，為滿足物聯(lián)網(wǎng)、車聯(lián)網(wǎng)以及智慧城市等應(yīng)用環(huán)節(jié)的網(wǎng)絡(luò)能力需求，3GPP 組織預(yù)計 5G 網(wǎng)絡(luò)在 mMTC 場景下需支持每平方千米 100 萬用戶的接入數(shù)量，假定終端僅以正常頻率發(fā)起用戶接入，高并發(fā)的信令傳輸依舊會對傳統(tǒng)的網(wǎng)絡(luò)安全防護體系帶來不小的壓力。超大規(guī)模的終端接入能力必定伴隨著由挾持終端發(fā)起的 DDoS攻擊的風(fēng)險。因此，終端行為的感知與管控能力是 5G 網(wǎng)絡(luò) mMTC 場景下必不可少的安全防護能力。通過在網(wǎng)絡(luò)側(cè)收集終端用戶的行為信息，充分利用多模態(tài)機器學(xué)習(xí)技術(shù)針對多源數(shù)據(jù)的辨識能力，訓(xùn)練一個具備識別用戶實時狀態(tài)的終端行為的管控模型，從而在網(wǎng)絡(luò)側(cè)形成針對終端異常或惡意行為的感知、識別、管控的一體化能力，進一步提升 5G 網(wǎng)絡(luò)的運行效率，增強網(wǎng)絡(luò)的可靠性。

(4)網(wǎng)絡(luò)的智慧化運營管理。通過充分利用多模態(tài)網(wǎng)絡(luò)通信、感知、計算一體化的能力，可在 5G 網(wǎng)絡(luò)的各個層面構(gòu)建完善的安全防護體系。以上述安全防護能力為基礎(chǔ)，進一步利用多模態(tài)機器學(xué)習(xí)技術(shù)的多源感知辨識能力，構(gòu)建一個網(wǎng)絡(luò)的智慧化運營管理系統(tǒng)。通過對各個維度網(wǎng)絡(luò)安全態(tài)勢的總體感知，統(tǒng)籌協(xié)調(diào)各個維度的安全防護策略，最終實現(xiàn)終端業(yè)務(wù)權(quán)限管控、無線網(wǎng)絡(luò)信號覆蓋智能化補盲、傳輸線路智能化路由的一體化智慧運營管理系統(tǒng)。在最大化各維度的安全防護能力的同時，顯著提升網(wǎng)絡(luò)的運行效率、安全能力及可靠性。

3.3.2　5G 安全 + 區(qū)塊鏈創(chuàng)新技術(shù)融合

5G 網(wǎng)絡(luò)空間中存在大量的設(shè)備，且類型及網(wǎng)絡(luò)環(huán)境均很復(fù)雜，虛擬狀態(tài)和物理狀態(tài)同時存在。因此，5G 移動通信網(wǎng)絡(luò)中各網(wǎng)絡(luò)元素在復(fù)雜網(wǎng)絡(luò)運營環(huán)境中的交互行為是安全性的主要挑戰(zhàn)之一。

區(qū)塊鏈作為一種分布式數(shù)據(jù)庫，可記錄起源區(qū)塊到當(dāng)前區(qū)塊的所有事物，并具有分散性、匿名性、不可變性及可審計等特點 。因此，通過基于區(qū)塊鏈的 5G 安全通信基礎(chǔ)設(shè)施，可以實現(xiàn)面向隱私的加密音頻和視頻通信、欺詐管理、身份服務(wù)及通信數(shù)據(jù)管理的全新解決方案，從而構(gòu)建一個 5G 物聯(lián)的網(wǎng)絡(luò)安全架構(gòu)。

(1)基于區(qū)塊鏈 5G 接入設(shè)備安全防護。面對 5G 網(wǎng)絡(luò)中大量嵌入式設(shè)備存在的隱私和安全問題，可通過構(gòu)建私有鏈分布式靈活管理用戶設(shè)備身份，從而避免存在攻擊中心節(jié)點的情況。即使某個設(shè)備節(jié)點被攻破，整個通信網(wǎng)絡(luò)系統(tǒng)仍可以安全運行，不會造成大規(guī)模的網(wǎng)絡(luò)癱瘓。利用區(qū)塊鏈技術(shù)真正實現(xiàn)了 5G 網(wǎng)絡(luò)通信數(shù)據(jù)去中心化，有效預(yù)防了對數(shù)據(jù)信息的竊取和攻擊，滿足了 5G 網(wǎng)絡(luò)對數(shù)據(jù)信息應(yīng)用安全性和可靠性的要求，并使多臺設(shè)備可以完整儲存相關(guān)數(shù)據(jù) 。

(2)基于區(qū)塊鏈 5G 網(wǎng)絡(luò)數(shù)據(jù)的安全防護。區(qū)塊鏈不可篡改以及安全追溯的特征，也可以提升 5G 網(wǎng)絡(luò)中的數(shù)據(jù)安全，并為數(shù)據(jù)的高質(zhì)量應(yīng)用提供可靠保證。用戶數(shù)據(jù)加密存儲在分布式數(shù)據(jù)庫中，通過權(quán)限管理，對節(jié)點數(shù)據(jù)的安全性實現(xiàn)合理控制 。當(dāng)用戶訪問某些數(shù)據(jù)時，可將訪問請求記錄在區(qū)塊鏈系統(tǒng)中。在系統(tǒng)使用過程中，用戶可隨時更改訪問權(quán)限，且相關(guān)操作具有透明、可審計的優(yōu)勢，用戶可隨時追蹤數(shù)據(jù)，明確數(shù)據(jù)具體應(yīng)用性質(zhì)，使得數(shù)據(jù)安全性得到保障 。

4、結(jié)　語

5G 網(wǎng)絡(luò)架構(gòu)的革新使其具備了垂直行業(yè)應(yīng)用網(wǎng)絡(luò)承載能力，且多樣化的垂直行業(yè)應(yīng)用場景也為網(wǎng)絡(luò)的安全防護體系帶來了新的挑戰(zhàn)。

本文闡述了國內(nèi)外 5G 安全技術(shù)發(fā)展情況，并從安全架構(gòu)、安全能力以及安全風(fēng)險挑戰(zhàn) 3 個方面分析了當(dāng)前 5G 網(wǎng)絡(luò)安全現(xiàn)狀。針對 5G 移動通信網(wǎng)絡(luò)安全體系現(xiàn)存的挑戰(zhàn)展開分析，并進一步研究討論如何改進當(dāng)前 5G 網(wǎng)絡(luò)安全體系的創(chuàng)新研發(fā)方向，包括構(gòu)建創(chuàng)新安全防護體系、行業(yè)專網(wǎng)多元信任體系以及探索新型技術(shù)與 5G網(wǎng)絡(luò)安全融合創(chuàng)新前景，助力建立一個多維度且全方面的立體網(wǎng)絡(luò)安全體系。

如今，5G 所連接的已經(jīng)是一個龐大智慧的網(wǎng)絡(luò)體系，且隨著各項新型產(chǎn)業(yè)、對抗性技術(shù)的快速發(fā)展，5G 安全威脅對各垂直行業(yè)的影響也將逐步從間接影響轉(zhuǎn)化為直接影響。因此，5G 網(wǎng)絡(luò)安全技術(shù)還需不斷發(fā)展和探索，為 5G未來發(fā)展構(gòu)建確定性保障。

引用格式：何明 , 宋琪 , 童貞 , 等 .5G 網(wǎng)絡(luò)安全發(fā)展與創(chuàng)新安全體系及技術(shù)探索 [J]. 信息安全與通信保密 ,2023(2):34-45.

作者簡介 >>>

何　明，男，碩士，高級工程師，主要研究方向為5G 移動通信安全;宋　琪，女，碩士，工程師，主要研究方向為 5G 核心網(wǎng)安全;童　貞， 女， 碩 士，工 程 師，主要研究方向為 5G 核心網(wǎng)安全;曾　熙，女，碩士，主要研究方向為 5G 核心網(wǎng)安全;王　震，男，學(xué)士，高級工程師，主要研究方向為 5G 移動通信安全;李鋮陽，男，碩士，主要研究方向為 5G 核心網(wǎng)安全。

選自《信息安全與通信保密》2023年第2期(為便于排版，已省去原文參考文獻)

文章來源： 信息安全與通信保密雜志社