5G安全風險分析 及標準進展

楊紅梅

摘要：5G網絡新技術、新特征帶來了新的安全風險與挑戰，主要體現在虛擬化設備安全邊界模糊，數據泄露風險有所增加，海量多樣化終端容易成為新的攻擊目標以及新業務場景下安全責任主體劃分難度加大等方面。5G安全相關標準重點研究5G安全關鍵技術、5G系統安全架構和流程相關要求、設備安全保障等，目前已完成第1版本（R15）的標準制定工作，預計2019年底完成第2階段（R16）5G安全的標準制定工作。

關鍵詞：5G;基礎設施;關鍵技術;安全風險;供應鏈風險;標準

Abstract： New technologies and features of 5G network bring new security risks and challenges. It is mainly reflected in the blurred security boundary of virtualization equipment， the increased risk of data leakage， massive diversified terminals which are vulnerable to attack， and the increased difficulty in the division of security responsibility subjects in new business scenarios. The 5G security specifications focus on the key technologies of 5G security， the security architecture and process， security assurance， etc. At present， the first phase （R15） of 5G security specifications has been published， and the second phase （R16） is expected to be completed by the end of 2019.

Key words： 5G; infrastructure; key technology; security risk; supply chain security risk; specification

5G時代，移動通信將大幅提升移動互聯網業務的使用體驗，進一步滿足海量物聯網應用的多樣化需求，與工業、醫療、交通、金融等行業深度融合，實現“無處不在，萬物互聯”。5G網絡與垂直行業深度融合的特點導致5G安全問題不僅影響人和人之間的通信，還將會影響到各行各業，有些場景甚至可能威脅到人們的生命財產安全乃至國家安全;因此，世界主要國家均將5G作為優先發展的戰略性領域，5G安全問題成為世界各國關注的焦點。

近期，部分組織或國家（如歐盟、美國、捷克等）在5G安全領域發布了多個5G安全相關報告，這些報告所表達的觀點主要涵蓋2個方面：一是5G安全意義重大，5G網絡的安全性對于國家安全、經濟安全和其他國家利益以及全球穩定性至關重要;二是5G將面臨新的安全風險，有必要開展5G安全風險評估，并倡導將供應鏈安全及非技術因素納入5G安全評估范疇。中國在2016年12月發布《國家網絡空間安全戰略》，提出要統籌網絡發展和安全2件大事，認為安全是發展的保障，發展是安全的目的。

1 5G網絡的主要特點

5G是新一代信息通信技術的主要發展方向，業務應用從移動互聯網擴展到移動物聯網領域，服務對象從人與人通信拓展到人與物、物與物通信，并將與經濟社會各領域深度融合，引發人們生產、生活方式的深刻變革。國際電信聯盟無線電通信組（ITU-R）定義了5G的3類典型業務場景：增強移動寬帶（eMBB）、海量機器類通信（mMTC）、高可靠低時延通信（uRLLC），它們的應用需求以及對網絡的性能要求各不相同。

與4G相比，5G網絡整體架構延續4G特點，仍采用接入層、核心網層和應用層3層架構。不過，為了應對5G需求和場景對網絡提出的挑戰，并滿足更加靈活、更加智能的發展趨勢，5G網絡進行了創新和變革。5G網絡有以下幾個主要特征：采用新型基礎設施平臺和新型核心網架構;比4G支持更多樣化的業務場景;支持更高的性能指標并提供更強、更靈活的通信安全能力。下面我們從網絡和安全2方面分別闡述。

（1）5G網絡方面?；诰W絡功能虛擬化（NFV）和軟件定義網絡（SDN）技術實現基于通用硬件的新型基礎設施平臺。新型核心網基于統一基礎設施平臺進行云化部署，具有硬件平臺通用化、軟件功能模塊化的特點：能夠重構網絡控制和轉發機制，進一步實現控制和轉發分離，改變單一管道和固化的服務模式;利用友好開放的基礎設施環境，可為不同用戶和垂直行業提供定制化的網絡服務，構建資源全共享、功能易編排、業務緊耦合的綜合信息化服務使能平臺;利用服務化架構、網絡切片、邊緣計算、5G網絡能力開放等技術滿足各行業需求。

（2）5G安全方面。5G網絡采用統一的認證框架來融合不同的接入認證方式，并優化現有的安全認證協議（如安全上下文的傳輸、密鑰更新管理等）;采用差異化身份管理機制以及匿名化技術來保護用戶隱私;為不同應用場景提供按需的安全保護，可滿足業務多樣化的時延要求、終端設備的生命周期要求;采用更加靈活的安全機制保障網絡安全?？傮w來說， 5G 可提供更健壯的業務安全性、更嚴密的數據保護以及更強的用戶隱私性，可提供比4G系統更強大的通信安全能力。

2 5G安全風險分析

相比于傳統3G/4G網絡，5G核心網基于NFV等新技術，在架構和功能上提供更泛在的接入支持、更靈活的控制和轉發機制，以及更友好的能力開放方式，打破了傳統電信網絡的封閉性，同時能與云化基礎設施結合，為普通消費者、應用提供商和垂直行業提供網絡切片、邊緣計算等新型業務能力。5G網絡新技術新業務帶來便利性的同時，也帶來了安全風險和挑戰。

2.1 5G新技術新特性帶來的

安全風險與挑戰

5G面臨的新安全風險和挑戰主要包括：實體網元變為虛擬化軟件，物理資源共享，設備安全邊界模糊，開放端口成為數據泄露的脆弱點，多樣化終端的安全能力差異大，容易成為新的攻擊目標以及新業務場景下安全責任歸屬問題等。

（1）基礎設施虛擬化云化。

基礎設施虛擬化云化給網絡安全帶來了突出挑戰，具體表現在以下幾個方面：虛擬化服務化架構模糊了傳統網絡邊界，給虛擬化軟件及虛擬機間的通信安全帶來風險;集中的控制點容易成為網絡攻擊的“重災區”;分層解耦、多廠商集成導致安全問題快速定位和溯源困難;開源軟件的脆弱性及安全漏洞，給自動化安全評估和修復帶來挑戰，同時新型網絡架構對安全運維人員的經驗、技能提出了新的挑戰。

（2）邊緣計算。

邊緣計算是指在網絡邊緣、靠近用戶的位置上提供信息技術（IT）的服務、環境和云計算的能力，邊緣計算節點可根據應用服務的需求部署于移動網絡的邊緣，提供超低時延的同時也能夠降低高帶寬業務的數據流對核心網的壓力。但是，邊緣計算帶來便利的同時也帶來了安全風險和挑戰：一方面，移動邊緣計算（MEC）基礎設施通常部署在網絡邊緣，客觀縮短了攻擊者與MEC物理設施之間的距離，使得攻擊者更容易接觸到MEC網絡基礎設施，被攻擊后可能會造成物理設備毀壞、服務中斷、用戶隱私和數據泄露等嚴重后果;另一方面，由于性能、成本、部署靈活性要求等多種因素制約，MEC節點的安全能力不夠完善，可抵御的攻擊種類和抵御單個攻擊的強度不夠，容易被攻擊，使5G網絡面臨風險;另外，MEC服務不僅可由網絡運營商提供，也可由第三方服務商提供，當MEC服務由第三方提供時，在接入網絡的時候如果沒有調用認證與鑒權接口，則面臨惡意第三方接入網絡提供非法服務的風險等。

（3）網絡切片。

5G網絡切片是在統一基礎設施上，為用戶提供專用服務。網絡切片為不同業務提供差異化安全服務的同時，也面臨一定的安全風險：不同的網絡切片承載不同的5G業務，但網絡切片共享網絡基礎設施，這就對切片的安全隔離能力帶來挑戰。若網絡切片的認證和授權能力不足，則可能造成敏感信息和/或隱私信息泄漏，并且被攻擊者所利用。另外，在5G新業務場景下，運營商可能會以網絡切片的模式向第三方企業、用戶提供網絡服務，對于此種服務中涉及的運營商、虛擬運營商、用戶等不同層和不同域的安全責任主體劃分問題面臨挑戰。

（4）網絡能力開放。

5G網絡基于網絡能力開放技術，與垂直行業深度融合，使得垂直行業可以充分利用網絡能力的同時靈活開發新業務，但也帶來新的風險和挑戰：5G網絡能力開放架構可能會面臨網絡能力的非授權訪問和使用、數據泄露、用戶和網絡敏感信息泄露等安全風險，同時攻擊者還可以利用5G網絡能力開放架構提供的應用程序編程接口（API）對網絡進行拒絕服務攻擊;隨著跨行業應用的開展，需要開放共享相應的用戶個人信息、網絡數據和業務數據，這些信息和數據從運營商內部的封閉平臺開放共享到垂直行業企業的開放平臺上，運營商對數據的控制力減弱，數據泄露的風險增大。另外，跨行業數據共享過程中一旦發生用戶數據泄露等安全事件，將面臨主體間的責任劃分不清的風險。

（5）海量多樣化終端。

5G支持多種接入技術，終端類型復雜多樣，終端的安全能力差異巨大，終端設備分散不便統一管理，應用需求復雜難以部署強有力安全防護。因此，5G時代海量多樣化終端會給5G網絡帶來安全風險。

巨量化、泛在化的智能終端易被利用成為新攻擊源。一方面在mMTC場景下，未來將有數以百億計的終端接入物聯網，一旦這些終端被入侵利用，形成規?；脑O備僵尸網絡，將成為新型高容量分布式拒絕服務（DDoS）攻擊源，進而對用戶應用、后臺系統等發起攻擊;另一方面，物聯網終端提供的數據信息量巨大，分類眾多，應用場景多元化，但缺乏統一的安全標識和認證管理機制，這也增加了網絡管理的難度。

另外，終端上日趨開放的用戶應用生態環境將加大安全管理挑戰。在5G的泛在連接場景下，生產類、生活類應用可能同時安裝在一臺用戶終端上，開放的應用生態環境在帶來生產和生活便利的同時，也加劇了惡意應用威脅其他應用安全、終端安全以及后臺生產系統安全的風險。

2.2 5G融合應用面臨的安全

風險與挑戰

5G融合應用基于5G網絡開展業務，因此也面臨5G新技術、新特性帶來的安全風險與挑戰，并具有各自業務本身的特點。同時，5G新應用迭代速度快，5G規模商用對經濟社會帶來的影響有待持續評估，安全風險呈現動態演進、持續變化的特點。具體表現為：（1）eMBB場景下個人信息泄漏風險加大;（2）uRLLC場景下數據保護風險加大;（3）mMTC場景下多種終端形態導致海量終端被攻擊的風險增大。

另外，5G融合應用業務發展模式尚不明朗，其面臨的風險可能在相當長一段時間之后才會逐步顯現，有待持續跟蹤研究。

2.3 應對舉措

針對5G網絡和業務面臨的安全風險，可以從以下幾個方面來應對：完善5G安全相關政策和管理制度，確保5G安全能力建設和業務發展同步推進;加大5G安全研發投入，在5G網絡建設過程中，將安全需求納入到業務設計、網絡和網元動態部署的各個環節中，形成針對5G網絡特點的主動防御體系;構建5G安全標準體系，加強5G網絡安全新技術研究，制定完善5G安全技術標準，提升國際標準話語權。

3 5G安全標準進展

3.1 國際標準

5G相關國際標準主要由第3代合作伙伴計劃（3GPP）研究制定，分為 R15和R16 2個版本來滿足ITU IMT-2020的全部需求：R15為5G基礎版本，重點支持eMBB業務和基礎的uRLLC業務;R16為5G增強版本，將支持更多類型的業務。目前，3GPP已完成了R15獨立組網5G標準，并將于2019年底發布R16標準。R16標準在R15的基礎上，進一步增強網絡支持eMBB的能力和效率，重點提升對垂直行業應用的支持，特別是對uRLLC類業務以及mMTC類業務的支持。

5G安全研究及標準制定與5G總體架構相關工作保持同步。3GPP于2018年6月完成了第1階段（R15）5G安全標準，重點研究5G系統安全架構和流程相關要求，包括安全框架、接入安全、用戶數據的機密性和完整性保護、移動性和會話管理安全、用戶身份的隱私保護以及與演進的分組系統（EPS）的互通等相關內容。預計2019年底將可以完成第2階段（R16）5G安全標準的工作，將重點推進uRLLC安全、切片安全、5G蜂窩物聯網（CIoT）安全、增強的服務化架構（eSBA）安全、位置業務安全增強等工作。

5G安全相關的主要國際標準如下：

·5G系統安全架構和流程（3GPP TS 33.501）[1] ;

·3GPP系統架構演進（SAE）安全架構（3GPP TS 33.401）[2];

·安全保障通用要求（3GPP TS 33.117）[3];

·5G安全保障規范 NR Node B（gNB）（3GPP TS 33.511）[4];

·5G安全保障規范接入與移動管理功能（AMF）、用戶平面功能（UPF）、統一數據管理（UDM）、會話管理功能（SMF）、認證服務器功能（AUSF）、安全邊界保護代理（SEPP）、網絡存儲功能（NRF）、網絡開放功能（NEF）（3GPP TS 33.512～519）[5]-[12]。

其中，《5G系統安全架構和流程》和《3GPP系統架構演進（SAE）安全架構》主要規定獨立組網（SA）架構和非獨立組網（NSA）架構下的5G網絡架構及安全機制相關內容;安全保障系列規范主要規定5G網元的基線要求（數據和信息保護、可用性和完整性保護、認證和授權、會話保護、日志等）、抗攻擊能力、端口掃描、漏洞掃描等的技術要求和測試方法等。

3.2 中國標準

中國5G安全標準分為行業標準和國家標準2大類，主要研究5G安全關鍵技術、架構和流程、虛擬化安全技術、設備安全保障等。行業標準在中國通信標準化協會（CCSA）研究制定，預計在2020年完成大部分標準;國家標準在國家標準化管理委員會制定，正在陸續立項。

目前正在研究制定的中國標準如下：

·5G移動通信網安全技術要求（2018-2367T-YD）;

·NFV安全技術要求（H-2019009066）;

·移動通信網絡設備安全保障要求 5G基站（gNB）（H-2019008972）;

·5G移動通信網絡設備安全保障要求核心網網絡功能（H-2018008666）;

·NFV環境下移動通信核心網安全需求研究（B-2018008682）;

·5G網絡切片安全技術要求（B-2017006541）;

·5G邊緣計算安全技術研究（B-2019008981）。

目前正立項的國家標準如下：

·5G移動通信網通信安全技術要求（G-2019009101）;

·5G移動通信網絡設備安全保障要求 核心網網絡功能（G-2019009031）;

·5G移動通信網絡設備安全保障要求5G基站（G-2019009031）。

以上行業和國家標準的主要內容基本與對應的國際標準一致，旨在指導5G移動通信網絡設備的研發，并為運營商和監管機構在5G安全方面開展工作提供技術參考。

4 結束語

在當前5G發展的關鍵時期，中國應進一步加快5G技術創新，提升產業競爭優勢，打造5G精品網絡，構建新型基礎設施，堅持5G產品全球化路線，繼續推動5G產業快速發展。同時，為了應對5G面臨的安全風險和挑戰，應進一步加強國際交流合作，提升中國在5G安全領域的話語權;加大5G安全研發投入，突破5G安全關鍵技術研究，提升中國5G網絡和設備的安全性可靠性;加強5G與垂直行業的融合創新研究，構建支撐行業發展的具有靈活高效安全屬性的5G網絡，并積極推動5G安全的全球標準以及后續產業發展，實現5G技術發展與技術安全相統一。

參考文獻

[1] 3GPP. Security architecture and Procedures for 5G System （Release 15）： 3GPP TS 33.501[S]. 2019

[2] 3GPP. 3GPP System Architecture Evolution （SAE）; Security Architecture： 3GPP TS 33.401[S]. 2012

[3] 3GPP. Catalogue of General Security Assurance Requirements： 3GPP TS 33.117[S]. 2017

[4] 3GPP. 5G Security Assurance Specification （SCAS）; NR Node B （gNB）： 3GPP TS 33.511[S]. 2019

[5] 3GPP. 5G Security Assurance Specification （SCAS）; Access and Mobility Management Function （AMF）： 3GPP TS 33.512[S]. 2018

[6] 3GPP. 5G Security Assurance Specification （SCAS）; User Plane Function （UPF）： 3GPP TS 33.513[S]. 2018

[7] 3GPP. 5G Security Assurance Specification （SCAS） for the Unified Data Management （UDM） Network Product Class： 3GPP TS 33.514[S]. 2018

[8] 3GPP. 5G Security Assurance Specification （SCAS）; Session Management Function （SMF）： 3GPP TS 33.515[S]. 2018

[9] 3GPP. 5G Security Assurance Specification （SCAS）; Authentication Server Function （AUSF）： 3GPP TS 33.516[S]. 2017

[10] 3GPP. 5G Security Assurance Specification （SCAS） for the Security Edge Protection Proxy （SEPP） Network Product Class： 3GPP TS 33.517[S]. 2018

[11] 3GPP. 5G Security Assurance Specification （SCAS） for the Network Repository Function （NRF） network product class： 3GPP TS 33.518[S]. 2018

[12] 3GPP. 5G Security Assurance Specification （SCAS） for the Network Exposure Function （NEF） Network Product Class： 3GPP TS 33.519[S]. 2018