當前，全球新一輪科技革命和產(chǎn)業(yè)變革正孕育興起，跨行業(yè)、跨領域的融合創(chuàng)新不斷深入，將產(chǎn)生大量新應用、新業(yè)態(tài)、新模式，對移動通信技術也提出了更高要求。第五代移動通信（5G）作為新一代移動通信技術發(fā)展的方向，將在提升移動互聯(lián)網(wǎng)用戶業(yè)務體驗的基礎上，進一步滿足未來物聯(lián)網(wǎng)應用的海量需求，與工業(yè)、醫(yī)療、交通等行業(yè)深度融合，實現(xiàn)真正的“萬物互聯(lián)”。

面對5G網(wǎng)絡的新發(fā)展趨勢，尤其是5G新業(yè)務、新架構(gòu)、新技術，都會對安全和用戶隱私保護提出新的挑戰(zhàn)。5G安全機制除了要滿足基本通信安全外，還需要為不同業(yè)務場景提供差異化安全服務，能夠適應多種網(wǎng)絡接入方式及新型網(wǎng)絡架構(gòu)，保護用戶隱私，并支持提供開放的安全能力。

5G新場景帶來新的安全威脅

5G的eMBB場景與傳統(tǒng)移動互聯(lián)網(wǎng)場景相比，主要的區(qū)別是為用戶提供更快的網(wǎng)絡速率和高密度的容量，因此將出現(xiàn)數(shù)量眾多的小站。小站的部署方式、部署條件以及功能都存在靈活多樣的特點。傳統(tǒng)4G安全機制未考慮此種密集組網(wǎng)場景下的安全威脅，因此，除了傳統(tǒng)移動互聯(lián)網(wǎng)所存在的安全威脅外，在這種密集組網(wǎng)場景下可能會存在小站接入的安全威脅。

針對大規(guī)模物聯(lián)網(wǎng)場景，預計到2020年，聯(lián)網(wǎng)設備將達500億臺。終端包括物聯(lián)網(wǎng)終端、RFID標簽、近距離無線通信終端、移動通信終端、攝像頭以及傳感器網(wǎng)絡網(wǎng)關等。由于大部分物聯(lián)網(wǎng)終端具有資源受限、拓撲動態(tài)變化、網(wǎng)絡環(huán)境復雜、以數(shù)據(jù)為中心以及與應用密切相關等特點，與傳統(tǒng)的無線網(wǎng)絡相比，更容易受到威脅和攻擊。在此海量設備情況下，為了確保信息的準確有效性，需要在機器通信中引入安全機制。而若每個設備的每條消息都需要單獨認證，則網(wǎng)絡側(cè)安全信令的驗證需要消耗大量資源。在傳統(tǒng)4G網(wǎng)絡認證機制中沒有考慮到這種海量認證信令的問題，一旦網(wǎng)絡收到終端信令請求超過了網(wǎng)絡各項信令資源的處理能力，則會觸發(fā)信令風暴，導致網(wǎng)絡服務出現(xiàn)問題。進一步的，整個移動通信系統(tǒng)可能會因此出現(xiàn)故障，進而崩潰。

而在低時延高可靠場景，尤其針對車聯(lián)網(wǎng)、遠程實時醫(yī)療等時延敏感應用，提出了低時延高安全性的需要。在這些場景中，為避免車輛碰撞、手術誤操作等事故，要求5G網(wǎng)絡能在保證高可靠性的同時提供低至1ms的時延QoS保障。而傳統(tǒng)的安全協(xié)議，如認證流程、加解密流程等，在設計時未考慮超高可靠低時延的通信場景。這樣可能會造成傳統(tǒng)的復雜的安全協(xié)議/算法造成的時延無法滿足超低時延的需求。同時，5G中超密集部署技術的應用使得單個接入節(jié)點覆蓋范圍很小，當車輛等終端快速移動時，網(wǎng)絡的移動性管理過程將會非常頻繁，為了低時延的目標，移動性管理相關的功能單元和流程需要進行優(yōu)化。

5G新型網(wǎng)絡架構(gòu)對安全提出了新的要求

5G新型網(wǎng)絡架構(gòu)需要更靈活、更智能和更好的性能，可以自動適配海量業(yè)務的差異化服務要求，基于全網(wǎng)視圖來綜合調(diào)度網(wǎng)絡資源，包括接入能力、計算能力、存儲能力和網(wǎng)絡連接能力等，具體包括：5G網(wǎng)絡基于控制和轉(zhuǎn)發(fā)分離模式實現(xiàn)用戶面更加扁平的架構(gòu)；依托新型架構(gòu)的全局控制功能，可以實現(xiàn)多種接入技術的協(xié)同控制；借鑒IT虛擬化技術思想對網(wǎng)元形態(tài)和網(wǎng)絡連接方法進行重構(gòu)，5G網(wǎng)絡的基礎設施引入NFV等虛擬化技術，實現(xiàn)網(wǎng)絡切片和網(wǎng)元按需部署，增加整體網(wǎng)絡的靈活性和伸縮性。

——NFV安全需求

5G網(wǎng)絡基礎設施平臺將更多地選擇基于通用硬件架構(gòu)的數(shù)據(jù)中心構(gòu)成支持5G網(wǎng)絡的高轉(zhuǎn)發(fā)性能和電信級管理要求。NFV技術實現(xiàn)底層物理資源到虛擬化資源的映射，構(gòu)造虛擬機（VM），加載網(wǎng)絡邏輯功能（VNF）；虛擬化系統(tǒng)實現(xiàn)對虛擬化基礎設施平臺的統(tǒng)一管理和資源的動態(tài)重配置。NFV具有幫助強化網(wǎng)絡安全的潛力，安全策略可編排，并且可以發(fā)揮虛擬化的優(yōu)勢，隔離業(yè)務負載從而強化安全。NFV在強化安全的同時也帶來了新的安全隱患。相比傳統(tǒng)電信設備，軟件硬件分離的特點以及虛擬化網(wǎng)絡的開放性給NFV帶來了新的潛在安全問題：

第一，引入新的高危區(qū)域——虛擬化管理層。虛擬化管理層是NFV的核心，一旦被攻破，在其上的所有虛擬機將直接面對攻擊，后果將不堪設想。

第二，彈性、虛擬網(wǎng)絡使安全邊界模糊，安全策略難于隨網(wǎng)絡調(diào)整而實時、動態(tài)遷移，虛擬機容易受到同一主機的其他虛擬機的攻擊；傳統(tǒng)基于物理安全邊界的防護機制在云計算的環(huán)境難以得到有效應用。

第三，用戶失去對資源的完全控制以及多租戶共享計算資源，帶來的數(shù)據(jù)泄漏與攻擊風險，給數(shù)據(jù)安全保護提出了更高的要求。并且用戶、應用和數(shù)據(jù)資源聚集，容易成為黑客攻擊的目標，而且一旦被攻擊，影響范圍廣、危害大。

5G安全針對NFV等虛擬化技術的引入，需要為網(wǎng)絡設備提供多元化的系統(tǒng)級防護，防止各類非法的攻擊和入侵。5G網(wǎng)絡環(huán)境將包含多廠家的軟硬件基礎設施，因此網(wǎng)絡身份必須得到有效管理，從而防止非法用戶對網(wǎng)絡資源的訪問。5G安全將提供傳輸保護，為數(shù)據(jù)傳輸提供如機密性和完整性等安全防護，應對傳輸中數(shù)據(jù)的惡意竊聽和轉(zhuǎn)發(fā)。

——網(wǎng)絡切片安全需求

網(wǎng)絡切片是5G網(wǎng)絡的關鍵特征。一個網(wǎng)絡切片將構(gòu)成一個端到端的邏輯網(wǎng)絡，按切片需求方的需求靈活地提供一種或多種網(wǎng)絡服務。網(wǎng)絡切片重要的安全問題是網(wǎng)絡切片需要提供不同切片實例之間的隔離機制，防止本切片內(nèi)的資源被其他類型網(wǎng)絡切片中網(wǎng)絡節(jié)點非法訪問。例如醫(yī)療切片網(wǎng)絡中的病人，只希望被接入到本切片網(wǎng)絡中的醫(yī)生訪問，而不希望被其他切片網(wǎng)絡中的人訪問。相同業(yè)務類型的網(wǎng)絡切片之間也存在隔離的需求，例如不同的企業(yè)的在使用相同業(yè)務類型的切片網(wǎng)絡時，并不希望本企業(yè)內(nèi)的服務資源被其他企業(yè)的網(wǎng)絡切片節(jié)點訪問。

服務、資源和數(shù)據(jù)在網(wǎng)絡切片中被隔離保護的效果要達到接近于傳統(tǒng)私網(wǎng)一樣的用戶感受，這樣才能使用戶能放心地將原本存放在私有網(wǎng)絡中的應用數(shù)據(jù)存放到在云端，用戶在享有隨時隨地可訪問私有資源的同時不需要擔憂這些資源的安全問題，這樣才能促進各種垂直業(yè)務的健康快速發(fā)展。

——多RAT接入的安全需求

異構(gòu)接入網(wǎng)絡將是下一代接入網(wǎng)絡的主要技術特征之一，5G網(wǎng)絡將是多種無線接入技術融合共存的網(wǎng)絡。異構(gòu)不僅體現(xiàn)在接入技術的不同，如WiFi和蜂窩網(wǎng)絡方面，還體現(xiàn)在接入網(wǎng)絡因為屬于不同擁有者而造成的局部網(wǎng)絡架構(gòu)方面的差異上，因此，5G網(wǎng)絡需要構(gòu)建一個通用的認證機制，能夠在不同的接入技術、不安全的接入網(wǎng)之上建立一個安全的運營網(wǎng)絡。

另外，在異構(gòu)網(wǎng)絡間的安全互操作方面，終端可能在異構(gòu)網(wǎng)絡間進行切換，這時需要保證在異構(gòu)網(wǎng)絡間切換的安全互操作，如安全上下文的傳遞、密鑰的更新、異構(gòu)網(wǎng)絡間安全上下文的隔離等。

* * *

未來5G安全將在更加多樣化的場景、多種接入方式以及新型網(wǎng)絡架構(gòu)的基礎上，提供全方位的安全保障。除滿足基本通信安全外，5G安全機制能夠為不同的業(yè)務場景提供差異化的安全服務，能夠適應多種網(wǎng)絡接入方式及新型網(wǎng)絡架構(gòu)，保護用戶隱私，并支持提供開放的安全能力。當前，5G標準化工作已經(jīng)全面啟動，3GPPSA2將在2016年年底完成5G網(wǎng)絡架構(gòu)的研究工作，因此亟須盡早明確5G網(wǎng)絡的安全需求，并且在5G網(wǎng)絡的整體架構(gòu)設計和后續(xù)標準化中綜合考慮5G安全要求，這樣才能最終實現(xiàn)構(gòu)建更加安全可信的5G新型網(wǎng)絡的目標。