以下是現(xiàn)場演講內(nèi)容，雷鋒網(wǎng)在不改變原意的基礎(chǔ)上進(jìn)行了編輯整理。

5G是當(dāng)前非常熱門的話題，最近運(yùn)營商也在頻繁地發(fā)布建設(shè)現(xiàn)網(wǎng)的消息，感覺5G離我們越來越近。安全一直是移動通信系統(tǒng)關(guān)注的問題，在5G時(shí)代，安全會面臨什么樣的挑戰(zhàn)?它和4G以前的安全有什么不同?需要我們在哪些方面開展研究?現(xiàn)在究竟準(zhǔn)備好沒有?今天上午我就這個(gè)問題與大家一起探討一下。我的介紹分為四部分。

一、5G面臨的安全需求與挑戰(zhàn)

第一，5G有新的應(yīng)用場景，有增強(qiáng)移動寬帶，低功耗大連接、低時(shí)延高可靠三大應(yīng)用場景。

因此，5G不僅僅是速率變得更高，時(shí)延變得更低，它將滲透到萬物互聯(lián)的各個(gè)領(lǐng)域，與工業(yè)控制、智慧交通緊密結(jié)合在一起。所以，安全就變得尤其重要。在這幾大應(yīng)用場景中，對增強(qiáng)移動寬帶來說，它的安全挑戰(zhàn)需要更高的安全處理性能，這時(shí)候用戶體驗(yàn)速率已經(jīng)達(dá)到1G;二是它需要支持外部網(wǎng)絡(luò)二次認(rèn)證，能更好地與業(yè)務(wù)結(jié)合在一起;三是需要解決目前發(fā)現(xiàn)的已知漏洞的問題。對低功耗網(wǎng)絡(luò)來說，需要輕量化的安全機(jī)制，以適應(yīng)功耗受限、時(shí)延受限的物聯(lián)網(wǎng)設(shè)備的需要;需要通過群組認(rèn)證機(jī)制，解決海量物聯(lián)網(wǎng)設(shè)備認(rèn)證時(shí)所帶來的信令風(fēng)暴的問題;需要抗DDOS攻擊機(jī)制，應(yīng)對由于設(shè)備安全能力不足被攻擊者利用，而對網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)起攻擊的危險(xiǎn)。對于低時(shí)延高可靠來說，需要提供低時(shí)延的安全算法和協(xié)議，要簡化和優(yōu)化原有安全上下文的交換、密鑰管理等流程，支持邊緣計(jì)算架構(gòu)，支持隱私和關(guān)鍵數(shù)據(jù)的保護(hù)。第二，新網(wǎng)絡(luò)架構(gòu)的挑戰(zhàn)。為了更好地支持5G應(yīng)用場景，現(xiàn)在5G提出了以 IT 為中心的網(wǎng)絡(luò)架構(gòu)，會引入多無線接入、SDN、云計(jì)算、NFV 等技術(shù)。

對多無線接入來說需要統(tǒng)一的認(rèn)證框架來解決 3GPP 體制和非 3GPP 體制接入的問題。比如無線 Wi-Fi 接入需要統(tǒng)一認(rèn)證，在多接入環(huán)境下提供安全的運(yùn)營網(wǎng)絡(luò)。SDN和NFV這樣的技術(shù)引入，可以構(gòu)建邏輯隔離的安全切片，用來支持不同應(yīng)用場景差異化的需求。但這些技術(shù)個(gè)引入也對安全造成帶來了巨大的挑戰(zhàn)，由于它使網(wǎng)絡(luò)邊界變得十分模糊，以前依賴物理邊界防護(hù)的安全機(jī)制難以得到應(yīng)用。所以，安全機(jī)制要適應(yīng)虛擬化、云化的需要。

這是5G新的網(wǎng)絡(luò)架構(gòu)，這個(gè)圖是中國移動牽頭的5G架構(gòu)的SBA標(biāo)準(zhǔn)，5G把原來4G的物理網(wǎng)元進(jìn)行了重新的分解和組合，通過服務(wù)和服務(wù)編排的方式來提高網(wǎng)絡(luò)的功能，通過服務(wù)總線實(shí)現(xiàn)網(wǎng)元之間的邏輯接口。服務(wù)總線的開放能力和可兼容性使得網(wǎng)絡(luò)具有很大的靈活性和可擴(kuò)展性，可以支持不同的業(yè)務(wù)。但這對我們的安全設(shè)計(jì)也會帶來新的挑戰(zhàn)，我們也要適應(yīng)這樣的服務(wù)化、虛擬化、軟件定義的變化，也就是說我們要提供安全即服務(wù)、軟件定義的安全等能力。5G網(wǎng)絡(luò)會變得更加開放，相比現(xiàn)有的相對封閉的移動通信系統(tǒng)來說，會面臨更多的網(wǎng)絡(luò)空間安全問題。比如 APT 攻擊、DDOS、Worm 惡意軟件攻擊等，而且攻擊會更加猛烈，規(guī)模更大，影響也會更大。針對這些5G安全的挑戰(zhàn)，相關(guān)的 5G 研究組織，比如 3GPP、歐盟的 5GPPP 以及 NGMN 這些組織都進(jìn)行了深入的需求分析。第三，總體安全需求。總體的需求包括 5G 必須要提供比 4G 更高，至少和 4G 的安全和隱私保護(hù)水平相當(dāng)?shù)陌踩Ｕ?。具體的需求包括要對簽約、服務(wù)網(wǎng)絡(luò)、設(shè)備進(jìn)行認(rèn)證和鑒權(quán)。要對網(wǎng)絡(luò)切片要進(jìn)行嚴(yán)格的隔離，甚至對敏感數(shù)據(jù)的隔離強(qiáng)度應(yīng)該等同于物理上分隔的網(wǎng)絡(luò)。要防止降維攻擊，能夠利用機(jī)器學(xué)習(xí)或人工智能方法檢測高級網(wǎng)絡(luò)安全威脅。安全的能力要能服務(wù)化，要能符合和適應(yīng)網(wǎng)絡(luò)架構(gòu)的需要。二、安全架構(gòu)與相關(guān)安全機(jī)制

1、5G安全防護(hù)架構(gòu)。

這是安全功能要素組成和他們之間的相互關(guān)系。5G安全防護(hù)架構(gòu)延用了原來4G安全參考架構(gòu)，相比之前增加了非3GPP接入、切片和虛擬網(wǎng)元的安全、網(wǎng)絡(luò)開放接口安全和安全管理等安全實(shí)體。整個(gè)來看，它的安全涉及到接入的安全(用于解決用戶的安全接入)、無線空口安全、網(wǎng)絡(luò)域安全(用來保證網(wǎng)元之間信令和數(shù)據(jù)交換的安全)、用戶域安全，應(yīng)用域安全、網(wǎng)絡(luò)開放接口安全、管理域安全幾個(gè)部分。

這是基于SBA架構(gòu)下的功能部署考慮。SBA有兩個(gè)網(wǎng)元是直接服務(wù)于網(wǎng)絡(luò)安全的，一是 AUSF認(rèn)證服務(wù)器，二是SEPP安全邊緣保護(hù)代理，涉及運(yùn)營商核心網(wǎng)絡(luò)之間的安全交互。在其它網(wǎng)元中應(yīng)嵌入相應(yīng)的安全功能。2、主要的安全機(jī)制。

網(wǎng)絡(luò)接入方面，認(rèn)證協(xié)議上使用了 EAP-AKA 以實(shí)現(xiàn)統(tǒng)一框架下的雙向認(rèn)證，支持非3GPP的接入，使用5G-AKA增強(qiáng)歸屬網(wǎng)絡(luò)控制。除了原有認(rèn)證之外，可以借助第二方第三方的二次認(rèn)證提供認(rèn)證服務(wù)。認(rèn)證擴(kuò)展，要適應(yīng)于IoTD群組認(rèn)證，適應(yīng)于車聯(lián)網(wǎng)的點(diǎn)對點(diǎn)快速認(rèn)證。隱私保護(hù)，在USIM卡增加運(yùn)營商設(shè)定的公鑰，首次附著網(wǎng)絡(luò)使用公鑰加密IMSI，解決初始接入身份泄露問題。信令保護(hù)，提供空口和NAS層信令的加密和完整性保護(hù)。用戶面報(bào)，按需提供空口和/或UE到核心網(wǎng)之間的用戶面加密和完整性保護(hù)。用戶面加密和完整性保護(hù)在以前的4G系統(tǒng)里是沒有的問題，現(xiàn)在根據(jù)物聯(lián)網(wǎng)需要可以按需選擇。密鑰體系，算法需要支持主流的加密和完整性算法，但現(xiàn)在這些算法可能會在5G做進(jìn)一步的改進(jìn)，因?yàn)?G運(yùn)營周期在20年，20年之中，比如量子計(jì)算比較成熟，受到攻擊的風(fēng)險(xiǎn)會增大。所以，在算法方面也可能會進(jìn)行升級。在密鑰體制方面，還是要支持程度化的密鑰派生機(jī)制，同時(shí)能夠提供由于認(rèn)證機(jī)制變化，切片引入和用戶面的完整性保護(hù)所需要的這些新的密鑰。網(wǎng)絡(luò)安全方面，主要機(jī)制分布在這些領(lǐng)域?；A(chǔ)設(shè)施安全里需要有資源的安全隔離，系統(tǒng)防護(hù)控制、安全加固，從而使得基礎(chǔ)設(shè)施能夠安全可信地運(yùn)行。在網(wǎng)絡(luò)域方面，需要對VNF虛擬化網(wǎng)絡(luò)安全進(jìn)行可信評估。網(wǎng)源之間的安全通信和移動邊緣計(jì)算安全、SDN安全。網(wǎng)絡(luò)安全切片方面，需要提供網(wǎng)絡(luò)切片的安全隔離，差異化的安全服務(wù)，終端能夠安全地訪問切片，切片的安全管理以及內(nèi)部的安全通信等等。在網(wǎng)絡(luò)對外服務(wù)接口方面，也需要認(rèn)證授權(quán)，對沖突策略進(jìn)行檢測，相關(guān)權(quán)限控制和安全審計(jì)。安全態(tài)勢管理與監(jiān)測預(yù)警方面，我們要借助于，位于各種網(wǎng)絡(luò)功能以及安全設(shè)備類的安全探針，采用標(biāo)準(zhǔn)化的安全設(shè)備統(tǒng)一管控接口對安全事件進(jìn)行上報(bào)，下發(fā)統(tǒng)一的安全策略，可以進(jìn)行深度學(xué)習(xí)、機(jī)器學(xué)習(xí)手段來嗅探和攻擊的檢測，應(yīng)對未知的安全威脅。同時(shí)，根據(jù)安全威脅能智能化生成相關(guān)的安全策略調(diào)整，并將這些策略調(diào)整下發(fā)到各個(gè)安全設(shè)備中，從而構(gòu)建起一個(gè)安全的防護(hù)體系。隱私保護(hù)方面，現(xiàn)在對個(gè)人信息保護(hù)非常關(guān)注的，5G里上面承載著很多用戶的隱私和敏感信息，包括用戶的號碼，用戶位置信息等等，我們可能需要從技術(shù)和管理兩個(gè)途徑進(jìn)行保護(hù)，在技術(shù)方面，加密傳輸和加密存儲，訪問控制，對關(guān)鍵隱私數(shù)據(jù)在網(wǎng)絡(luò)傳輸中進(jìn)行匿名。管理方面，一是數(shù)據(jù)最小化，只能獲取自己必要的信息;二是除了最小化數(shù)據(jù)之外的信息需要征得用戶的許可才能進(jìn)行使用。

三、5G標(biāo)準(zhǔn)化工作進(jìn)展

第一，5G系統(tǒng)標(biāo)準(zhǔn)化的規(guī)劃。這是以3GPP標(biāo)準(zhǔn)規(guī)劃來描述的，去年年底已經(jīng)完成非獨(dú)立組網(wǎng)5G標(biāo)準(zhǔn)，這是支持增強(qiáng)移動寬帶產(chǎn)品，同時(shí)完成5G系統(tǒng)架構(gòu)標(biāo)準(zhǔn)。按照計(jì)劃是在本月，對按照獨(dú)立組網(wǎng)的5G標(biāo)準(zhǔn)，支持增強(qiáng)移動寬帶和低時(shí)延高可靠場景。計(jì)劃明年年底完成滿足ITU全部要求的完整5G標(biāo)準(zhǔn)。對于安全標(biāo)準(zhǔn)的進(jìn)展，目前開展5G安全研究的組織主要有幾個(gè)：

1、3GPP，重點(diǎn)研究領(lǐng)域包括安全架構(gòu)、RAN安全、認(rèn)證機(jī)制、用戶隱私、網(wǎng)絡(luò)切片。目前主要的成果是TR 33.899報(bào)告以及標(biāo)準(zhǔn)規(guī)范TS 33.501。2、5GPPP，這是一個(gè)歐盟的研究組織，他們重點(diǎn)研究領(lǐng)域包括安全架構(gòu)、用戶隱私、認(rèn)證機(jī)制。目前主要研究成果是5G安全態(tài)勢白皮書。3、NGMN，重點(diǎn)研究領(lǐng)域相關(guān)方面是用戶隱私、網(wǎng)絡(luò)切片、MEC安全，他們也形成了相關(guān)的建議書，包括接入網(wǎng)改進(jìn)/抗DDOS攻擊、網(wǎng)絡(luò)切片，MEC低時(shí)延/用戶體驗(yàn)等等。4、ETSI重點(diǎn)關(guān)注安全體系結(jié)構(gòu)、NFV安全性、MEC安全、隱私，主要形成安全報(bào)告主要集中在NFV和MEC方面。第二，5G安全標(biāo)準(zhǔn)化的推進(jìn)情況。

2016年2月，啟動相關(guān)安全研究工作，2017年8月份完成了第一階段安全標(biāo)準(zhǔn)的研究，形成了33.899的報(bào)告。去年2月份啟動了第一階段安全標(biāo)準(zhǔn)的研究。今年3月份，這個(gè)標(biāo)準(zhǔn)已經(jīng)基本凍結(jié)，形成了今年3月份形成了33.501的規(guī)范。第二階段的標(biāo)準(zhǔn)是在2019年12月完成。這是和大系統(tǒng)同步的。

這兩個(gè)階段研究的重點(diǎn)側(cè)重不太一樣，第一階段主要關(guān)心的是架構(gòu)、認(rèn)證、安全憑證、上下文管理、密鑰安全、無線接入安全、用戶隱私、網(wǎng)絡(luò)域的安全等等，主要是4G安全的增強(qiáng)。第二階段，主要研究內(nèi)容，從今年下半年到明年主要針對新的場景，就是大規(guī)模物聯(lián)網(wǎng)、低時(shí)延高可靠兩個(gè)場景下的安全機(jī)制，以及對現(xiàn)有安全功能進(jìn)一步完善，包括SBA安全、網(wǎng)絡(luò)切片安全和邊緣計(jì)算安全等等。

第三，國內(nèi)標(biāo)準(zhǔn)進(jìn)展情況

在國內(nèi)標(biāo)準(zhǔn)情況之下，這是中國通信標(biāo)準(zhǔn)化協(xié)會組織開展的，目前也是深度規(guī)劃相應(yīng)的標(biāo)準(zhǔn)體系，在2016年10月份啟動了安全研究，計(jì)劃今年年終完成安全報(bào)告。標(biāo)準(zhǔn)制訂，今年4月啟動5G網(wǎng)絡(luò)安全技術(shù)要求的立項(xiàng)，計(jì)劃明年年底完成。

前面三個(gè)部分，我們重點(diǎn)主要是介紹了5G系統(tǒng)自身的安全考慮。

四、面向5G應(yīng)用的安全可能涉及的領(lǐng)域。

第一，5G環(huán)境下的終端安全。

3GPP里，對終端安全提出了通用要求，包括用戶與信令數(shù)據(jù)的機(jī)密性保護(hù)，簽約憑證的安全存儲與處理，用戶隱私保護(hù)等等。針對應(yīng)用場景，也對終端安全提出了一些特殊的要求，比如uRLLC終端可持續(xù)的環(huán)境，操作系統(tǒng)的增強(qiáng)高速加解密處理能力，對于mMTC終端，需要支持輕量級的安全算法和協(xié)議，能夠抗物理攻擊、低功耗、低成本的實(shí)現(xiàn)，對于uRLLC的終端需要支持高安全、高可靠的安全機(jī)制，能夠支持超級實(shí)驗(yàn)室的安全硬件，入網(wǎng)時(shí)的相互認(rèn)證等等。對于一些特殊行業(yè)，他需要用到安全終端來說需要轉(zhuǎn)用的安全芯片，定制操作系統(tǒng)和特定的應(yīng)用商店。

5G環(huán)境下，終端安全應(yīng)該是云端協(xié)同防御的體系，在終端方面需要從硬件層、系統(tǒng)層、應(yīng)用層幾個(gè)層次考慮相應(yīng)的安全防護(hù)措施，同時(shí)我們可以借用云端，借用網(wǎng)絡(luò)能力提供更多的網(wǎng)絡(luò)安全支持，包括端到端加密，數(shù)據(jù)安全存儲，因?yàn)榫W(wǎng)絡(luò)帶寬足夠，一些敏感區(qū)域不一定要存在終端上，可以存在云端。云端形成的安全監(jiān)測預(yù)警。的現(xiàn)在用的比較多的基于云端的遠(yuǎn)程管控，應(yīng)用安全和系統(tǒng)安全的支撐等等。

第二，面向垂直行業(yè)的安全服務(wù)。

對各種垂直行業(yè)來說，業(yè)務(wù)應(yīng)用、安全威脅和安全需求存在很大的差異。我們可以依托5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施，基于前面服務(wù)化的思想，在統(tǒng)一架構(gòu)下為垂直行業(yè)提供定制性和差異化的安全能力。具體來說，我們可以對網(wǎng)絡(luò)里的安全資源，密碼算法、5G認(rèn)證協(xié)議和安全知識庫，對安全資源進(jìn)行抽象和封裝，對外提供安全服務(wù)，對加密傳輸服務(wù)提供認(rèn)證服務(wù)、信用服務(wù)、入侵檢測服務(wù)等等，這些服務(wù)會通過網(wǎng)絡(luò)能力開放引擎，開放給各種應(yīng)用，這樣就可以使應(yīng)用在使用網(wǎng)絡(luò)通道的同時(shí)也可以獲得網(wǎng)絡(luò)提供的安全服務(wù)，能夠更高效、更安全地實(shí)現(xiàn)信息服務(wù)。

第三，安全行業(yè)專網(wǎng)建設(shè)。

對國防、政務(wù)、公共安全和關(guān)鍵行業(yè)，對安全有著特別的要求，包括高安全業(yè)務(wù)可靠保護(hù)、敏感信息安全存儲與受控訪問、特殊用戶隱私保護(hù)、特殊行業(yè)運(yùn)營管理。特殊行業(yè)在4G以前是基于運(yùn)營商的公共基礎(chǔ)網(wǎng)絡(luò)，在上面構(gòu)造了專網(wǎng)的技術(shù)來實(shí)現(xiàn)，這種方式投資成本是比較高的，建設(shè)周期比較短，同時(shí)可擴(kuò)展性、靈活性也存在不足，它的技術(shù)體制難以跟上發(fā)展，通信系統(tǒng)本身進(jìn)展是很快的，我們往往可以看到系統(tǒng)已經(jīng)進(jìn)入到4G，但很多專網(wǎng)還停留在2G、3G上。5G現(xiàn)在開放性架構(gòu)和靈活性的應(yīng)用，為構(gòu)建行業(yè)特定專網(wǎng)提供了新的解決思路。

具體來看是兩種途徑：

1、對安全的需求進(jìn)行定義，5G網(wǎng)絡(luò)可以提供差異化的安全服務(wù)，可以定制和優(yōu)化獲得想要的安全能力。

2、對安全要求更高的行業(yè)來說，可以將滿足自己安全需求的能力、功能進(jìn)行事例化，通過服務(wù)接口編排到網(wǎng)絡(luò)切片當(dāng)中，形成自己的專業(yè)高安全切片。

在這些方面可以對認(rèn)證，空口加密，用戶平面加密算法進(jìn)行替換，對存儲在UDM的隱私數(shù)據(jù)、敏感數(shù)據(jù)進(jìn)行保護(hù)。

基于前面的措施，可以構(gòu)建行業(yè)專業(yè)的切片，這個(gè)切片和其他的切片資源是隔離的，同時(shí)網(wǎng)絡(luò)安全策略是可以定制的，采取強(qiáng)的安全定制，以防范非法接入以及跨切片的攻擊等。

還可以通過在業(yè)務(wù)層面進(jìn)行終端加密，增強(qiáng)行業(yè)應(yīng)用的安全性，我們是行業(yè)應(yīng)用專網(wǎng)的解決思路。

以上就是我們分享的對5G安全方面的認(rèn)識?？偟膩砜矗捎?G它的網(wǎng)絡(luò)結(jié)構(gòu)、技術(shù)體制發(fā)生了很大的變化，所以，5G安全相對之前的通信安全也有很大的變化，目前5G安全基于對之前的安全增強(qiáng)上，對于新的應(yīng)用場景，比如物聯(lián)網(wǎng)和車聯(lián)網(wǎng)環(huán)境，還用得相對比較滯后，如何保證各種場景下5G五系統(tǒng)支持的安全以及安全高效地運(yùn)用5G系統(tǒng)，還需要我們廣大同仁們開展深入的探索。