1 引言

5G作為新一代移動通信技術(shù)，與傳統(tǒng)網(wǎng)絡(luò)相比，具有更高速率、更低功耗、更短時延和更大連接等特性。此外，5G在大幅提升移動互聯(lián)網(wǎng)業(yè)務(wù)能力的基礎(chǔ)上，進(jìn)一步拓展到物聯(lián)網(wǎng)領(lǐng)域，服務(wù)對象從人與人通信拓展到人與物、物與物通信，開啟萬物互聯(lián)的新時代。5G主要面向的三大業(yè)務(wù)場景包括增強(qiáng)移動寬帶（eMBB）、海量機(jī)器類通信（mMTC）和超可靠低時延通信（uRLLC）。

5G網(wǎng)絡(luò)的發(fā)展趨勢，尤其是5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)，對安全和用戶隱私保護(hù)都提出了新的挑戰(zhàn)。本文將基于5G網(wǎng)絡(luò)架構(gòu)逐層分析5G網(wǎng)絡(luò)存在的安全風(fēng)險進(jìn)行梳理分析，并從加強(qiáng)5G網(wǎng)絡(luò)安全建設(shè)、建立安全風(fēng)險分級分類保障機(jī)制、完善5G安全標(biāo)準(zhǔn)體系三個方面入手提出對策與建議。

2 風(fēng)險分析

2.1 總體架構(gòu)

總體來說，5G網(wǎng)絡(luò)技術(shù)變革帶來的新的風(fēng)險主要體現(xiàn)在終端多樣化、網(wǎng)絡(luò)功能虛擬化、網(wǎng)絡(luò)切片化、業(yè)務(wù)邊緣化、網(wǎng)絡(luò)開放化以及應(yīng)用多樣化。與4G網(wǎng)絡(luò)相比，5G網(wǎng)絡(luò)暴露給攻擊者的信息量大幅增加，面臨著更高的安全風(fēng)險。如圖1所示，基于5G網(wǎng)絡(luò)架構(gòu)，逐層對5G網(wǎng)絡(luò)可能存在的安全風(fēng)險進(jìn)行分析。

2.2 接入層

2.2.1 終端設(shè)備安全

總體來說，終端面臨的安全風(fēng)險與網(wǎng)絡(luò)通信和終端自身相關(guān)。一方面，對于網(wǎng)絡(luò)通信，在無線環(huán)境中，終端面臨著身份被盜用、數(shù)據(jù)被竊取與篡改的安全威脅；另一方面，對于終端的硬件，5G網(wǎng)絡(luò)支持的終端多樣化，終端面臨的安全問題主要源于終端芯片設(shè)計(jì)上存在的漏洞或硬件體系安全防護(hù)的不足，導(dǎo)致敏感數(shù)據(jù)面臨被泄露、篡改等安全風(fēng)險；在終端軟件方面，還存在網(wǎng)絡(luò)攻擊者通過終端的軟件系統(tǒng)發(fā)起攻擊的安全風(fēng)險。終端面臨與網(wǎng)絡(luò)通信相關(guān)的安全風(fēng)險點(diǎn)具體如下。

（1）終端的真實(shí)性與數(shù)據(jù)的機(jī)密性

終端設(shè)備的真實(shí)性，尤其是物聯(lián)網(wǎng)設(shè)備的真實(shí)性是防御安全攻擊的關(guān)鍵。5G網(wǎng)絡(luò)的非接入層對設(shè)備的識別與認(rèn)證不再基于SIM卡，尤其是采用靈活認(rèn)證方式的物聯(lián)網(wǎng)設(shè)備，例如eSIM應(yīng)用，給終端設(shè)備的認(rèn)證帶來挑戰(zhàn)，終端的真實(shí)性受到影響。

在防御分布式拒絕服務(wù)攻擊（DDoS）的場景下，來自互聯(lián)網(wǎng)服務(wù)器的DDoS攻擊通常在已通過身份驗(yàn)證的設(shè)備上生成。這類攻擊可以對源IP地址進(jìn)行偽造，使得這種攻擊在發(fā)生的時候具有較高的隱蔽性。因此，為抵御DDoS攻擊，必須在系統(tǒng)的不同位置采取措施識別并弱化攻擊強(qiáng)度。

此外，真實(shí)性較低的終端設(shè)備還會受到普通文件傳輸協(xié)議（TFTP）中間人攻擊，導(dǎo)致第三方設(shè)備對會話中的通信進(jìn)行竊聽，對數(shù)據(jù)的機(jī)密性構(gòu)成威脅。

（2）網(wǎng)絡(luò)接入層設(shè)備功能的可用性

部分接入層的終端設(shè)備，尤其是M2M設(shè)備具有顯著的低功耗和不同的數(shù)據(jù)傳輸模式。此外，接入層設(shè)備計(jì)算資源有限，性能較低，很難提高網(wǎng)絡(luò)功能的可用性。

2.2.2 基站空口安全

基站空口存在的安全風(fēng)險主要包括兩大類。

（1）由無線環(huán)境中的外部不可控因素引發(fā)的安全風(fēng)險：無線環(huán)境中的偽基站會干擾無線信號，導(dǎo)致5G終端降級接入，連接至不安全的2G/3G/4G網(wǎng)絡(luò)中。無線環(huán)境中廣泛分布的安全性較低的物聯(lián)網(wǎng)設(shè)備若遭受攻擊，可能會對基站或核心網(wǎng)發(fā)起DDoS攻擊，這會降低網(wǎng)絡(luò)設(shè)備功能的可用性。

（2）空口協(xié)議存在的安全風(fēng)險：3GPP協(xié)議自身存在的漏洞可能面臨身份假冒、服務(wù)抵賴、重放攻擊 等風(fēng)險，這會對終端真實(shí)性造成影響；終端制造商為提升服務(wù)質(zhì)量、降低時延，選擇關(guān)閉對用戶數(shù)據(jù)的加密或完整性保護(hù)選項(xiàng)，導(dǎo)致用戶數(shù)據(jù)被惡意篡改，這會給數(shù)據(jù)的機(jī)密性與完整性帶來影響。

2.3 網(wǎng)絡(luò)層

2.3.1 網(wǎng)絡(luò)切片

按照業(yè)務(wù)邏輯需求，5G網(wǎng)絡(luò)能夠分成不同的網(wǎng)絡(luò)切片，其中至少分為增強(qiáng)移動寬帶、高可靠低時延、大連接三大類。通過網(wǎng)絡(luò)切片管理為每一個業(yè)務(wù)組織形成一個虛擬化的專用網(wǎng)絡(luò)。

目前，網(wǎng)絡(luò)切片在5G生產(chǎn)系統(tǒng)中尚未廣泛應(yīng)用，其脆弱性需有待全面評估，潛在的安全風(fēng)險點(diǎn)集中體現(xiàn)在：切片中共享的通用網(wǎng)絡(luò)接口、管理接口、切片之間的接口、切片的選擇與管理。這些接口存在被非法調(diào)用的風(fēng)險，一旦非法的攻擊者通過這些接口訪問業(yè)務(wù)功能服務(wù)器，濫用網(wǎng)絡(luò)設(shè)備，非法獲取包括用戶標(biāo)識在內(nèi)的隱私數(shù)據(jù)，給用戶標(biāo)識安全性、數(shù)據(jù)機(jī)密性與完整性、網(wǎng)絡(luò)功能可用性帶來影響。

（1）用戶標(biāo)識安全性

若直接使用真實(shí)的用戶標(biāo)識進(jìn)行用戶與用戶或者用戶與應(yīng)用平臺之間的通信，一旦系統(tǒng)的網(wǎng)絡(luò)切片或切片之間的接口被非法程序訪問，用戶的標(biāo)識容易遭到泄露。用戶真實(shí)身份以及其他關(guān)聯(lián)的隱私信息存在泄露的隱患。用戶標(biāo)識被識別后其通信活動與內(nèi)容受到攻擊者的非法竊聽或攔截。

（2）數(shù)據(jù)機(jī)密性

在安全隔離方面，網(wǎng)絡(luò)切片技術(shù)使得網(wǎng)絡(luò)邊界模糊，若網(wǎng)絡(luò)切片的管理域與存儲敏感信息域沒有實(shí)現(xiàn)隔離，一旦網(wǎng)絡(luò)切片遭到攻擊，切片中存儲的敏感信息將會遭到泄露；在身份認(rèn)證方面，未經(jīng)過授權(quán)的設(shè)備訪問網(wǎng)絡(luò)切片會導(dǎo)致端對應(yīng)用的非法使用，非法客戶端也存在被黑客利用的風(fēng)險，造成數(shù)據(jù)的泄露。

（3）數(shù)據(jù)完整性與網(wǎng)絡(luò)功能可用性

在業(yè)務(wù)與應(yīng)用的服務(wù)質(zhì)量方面，實(shí)現(xiàn)5G的每一個網(wǎng)絡(luò)切片均有一組特定的QoS參數(shù)集，這些參數(shù)的配置與網(wǎng)絡(luò)服務(wù)質(zhì)量、數(shù)據(jù)的完整性密切相關(guān)，應(yīng)在保障安全的前提下保證用戶的服務(wù)質(zhì)量。在5G主要應(yīng)用場景中，超可靠超低時延通信（uRLLC）與海量機(jī)器類通信（mMTC）均對服務(wù)質(zhì)量具有較高的要求。若大幅降低時延提升傳輸速率，會導(dǎo)致數(shù)據(jù)丟包率上升，數(shù)據(jù)的完整性難以保證。

在基礎(chǔ)設(shè)施共享方面，多個網(wǎng)絡(luò)切片共享通用的硬件設(shè)備，一旦硬件設(shè)備遭到破壞，將會導(dǎo)致使用該設(shè)備的多個切片都會受到功能性破壞，網(wǎng)絡(luò)功能的可用性受到嚴(yán)重影響。

2.3.2 邊緣計(jì)算

邊緣計(jì)算是將網(wǎng)絡(luò)業(yè)務(wù)和計(jì)算能力下沉到更接近用戶的無線接入網(wǎng)側(cè)，從而降低核心網(wǎng)的負(fù)載和開銷，并降低了業(yè)務(wù)時延。邊緣計(jì)算給5G網(wǎng)絡(luò)帶來的安全風(fēng)險點(diǎn)如下。

（1）用戶標(biāo)識的安全性：網(wǎng)絡(luò)邊緣設(shè)備安全防護(hù)能力較弱，可能會面臨網(wǎng)絡(luò)攻擊，用戶終端與邊緣設(shè)備之間的流量容易受到截?cái)嗷蛘弑O(jiān)聽，攻擊者可能在流量中捕獲并識別出用戶標(biāo)識。

（2）數(shù)據(jù)機(jī)密性與完整性：邊緣計(jì)算將采用開放的應(yīng)用程序接口（API）、開放的網(wǎng)絡(luò)功能虛擬化（NFV）等技術(shù)，開放性接口的引入將邊緣計(jì)算暴露給外部攻擊者，攻擊者通過非法訪問開放接口，竊取或者被非法篡改數(shù)據(jù)。

（3）終端的真實(shí)性：由于網(wǎng)絡(luò)邊緣的資源有限，相較于核心網(wǎng)，邊緣節(jié)點(diǎn)的計(jì)算能力較弱，對于終端的身份驗(yàn)證能力下降。

（4）網(wǎng)絡(luò)功能的可用性：邊緣計(jì)算基礎(chǔ)設(shè)施通常部署在無線基站等網(wǎng)絡(luò)邊緣，更容易被暴露在不安全的環(huán)境中，設(shè)備面臨著功能性損壞的風(fēng)險。

2.3.3 軟件定義網(wǎng)絡(luò)

5G網(wǎng)絡(luò)最突出的特征為通過軟件定義網(wǎng)絡(luò)（SDN）實(shí)現(xiàn)了控制面與用戶面的分離，利用網(wǎng)絡(luò)操作系統(tǒng)集中管理網(wǎng)絡(luò)，基于大數(shù)據(jù)和人工智能為每一個業(yè)務(wù)流計(jì)算出端到端的路由，而且將路由信息嵌入到原節(jié)點(diǎn)的IPv6擴(kuò)展報(bào)頭，并按照原路徑傳遞到各節(jié)點(diǎn)，中間節(jié)點(diǎn)只需轉(zhuǎn)發(fā)而無需選路，保證低時延轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)對流量的靈活控制。

SDN技術(shù)的引入給5G網(wǎng)絡(luò)的數(shù)據(jù)機(jī)密性與完整性帶來安全風(fēng)險。面對不斷變化的網(wǎng)絡(luò)資源，SDN計(jì)算出來的路由可能存在沖突，尤其是在跨地區(qū)路由的場景下，需要SDN之間交換業(yè)務(wù)流和網(wǎng)絡(luò)資源數(shù)據(jù)，這就增加了復(fù)雜性，容易出現(xiàn)路由計(jì)算失誤、數(shù)據(jù)包丟失或者將數(shù)據(jù)傳送至錯誤的目的地址，導(dǎo)致傳輸?shù)臄?shù)據(jù)的完整性受到影響。此外，虛擬化基礎(chǔ)設(shè)備的API也會對數(shù)據(jù)的機(jī)密性與完整性產(chǎn)生影響：一是數(shù)據(jù)竊取，用戶的密碼等信息被竊取，登錄賬號發(fā)布敏感信息；二是數(shù)據(jù)篡改，提交的數(shù)據(jù)被抓包后進(jìn)行篡改后再提交；三是數(shù)據(jù)泄露，爬蟲將業(yè)務(wù)數(shù)據(jù)甚至核心數(shù)據(jù)抓取，直接或間接造成損失。

SDN技術(shù)給5G網(wǎng)絡(luò)的功能可用性帶來的風(fēng)險可從軟件與硬件兩個方面分析：一是在軟件方面，與傳統(tǒng)移動網(wǎng)絡(luò)相比，5G網(wǎng)絡(luò)對軟件的依賴性增大，給網(wǎng)絡(luò)運(yùn)營帶來了新的威脅，因此必須確保這些軟件不會暴露或者被惡意篡改；二是在硬件方面，SDN控制器等相關(guān)硬件設(shè)備同樣存在功能性破壞或者盜用的安全風(fēng)險。此外，在硬件設(shè)備發(fā)生故障后，系統(tǒng)恢復(fù)應(yīng)通過自動化的方式恢復(fù)NFV、SDN、MANO系統(tǒng)之間的互操作性功能。

2.3.4 網(wǎng)絡(luò)功能虛擬化

與傳統(tǒng)移動網(wǎng)絡(luò)相比，虛擬化技術(shù)（NFV）基于通用的硬件，自定義軟件。這種技術(shù)給5G網(wǎng)絡(luò)帶來許多優(yōu)點(diǎn)的同時也存在諸多安全風(fēng)險。

（1）在軟件方面，若虛擬化系統(tǒng)存在漏洞，若遭到基于軟件的網(wǎng)絡(luò)攻擊，系統(tǒng)功能性會遭到破壞；若存儲了敏感或重要信息的功能模塊與受到損壞的功能之間沒有實(shí)現(xiàn)安全隔離，還會導(dǎo)致數(shù)據(jù)的機(jī)密性受到影響。

（2）在硬件方面，通用硬件設(shè)備存在安全弱點(diǎn)：一是通用硬件設(shè)備的安全，部署在機(jī)房中的設(shè)備受到環(huán)境的影響，設(shè)備可能會受到物理性的損壞；二是在故障恢復(fù)方面，設(shè)備故障發(fā)生后，要做到快速恢復(fù)；三是通用的基礎(chǔ)設(shè)施存在設(shè)備被非法使用的風(fēng)險。

虛擬化技術(shù)在軟件和硬件方面給5G網(wǎng)絡(luò)的網(wǎng)絡(luò)功能可用性、數(shù)據(jù)的機(jī)密性帶來較高的安全風(fēng)險。此外。由于5G網(wǎng)絡(luò)采用多層級的上下文認(rèn)證方式，并配置多屬性的QoS用于上下文感知，包括多種用戶上下文（如應(yīng)用程序和使用模式）和設(shè)備上下文（如位置和速度）。這些認(rèn)證方式如果存在漏洞，容易被攻擊者破解，給終端設(shè)備和用戶的認(rèn)證帶來影響，使得終端的真實(shí)性降低。

2.3.5 應(yīng)用運(yùn)營支撐系統(tǒng)

5G應(yīng)用的運(yùn)營支撐系統(tǒng)，不僅包括類似于傳統(tǒng)網(wǎng)絡(luò)的故障管理、配置管理、告警管理、性能管理，還包括虛擬化的網(wǎng)絡(luò)功能的管理,根據(jù)用戶的需求，對網(wǎng)絡(luò)功能進(jìn)行配置、調(diào)整。

運(yùn)營支撐系統(tǒng)通常情況下會分級管理，較低一級的系統(tǒng)通常部署的比較分散，數(shù)據(jù)存儲分散，安全管理與防御能力較弱，其功能可能被非法使用還會造成業(yè)務(wù)數(shù)據(jù)的泄露或者丟失，數(shù)據(jù)的機(jī)密性和完整性面臨著挑戰(zhàn)。

再者，如果運(yùn)營支撐系統(tǒng)存在安全漏洞，遭到黑客攻擊，會導(dǎo)致網(wǎng)絡(luò)功能遭到破壞，網(wǎng)絡(luò)功能的可用性受到影響。

2.4 應(yīng)用層

5G網(wǎng)絡(luò)面向多種垂直行業(yè)應(yīng)用，如智慧城市、智慧醫(yī)療、智能家居、智能農(nóng)業(yè)、金融、車聯(lián)網(wǎng)等，這些應(yīng)用通過多種方式進(jìn)行配置以實(shí)現(xiàn)跨網(wǎng)絡(luò)的運(yùn)行具有潛在的安全風(fēng)險。其中，金融服務(wù)、智慧醫(yī)療服務(wù)、車聯(lián)網(wǎng)具有較高風(fēng)險。

5G多樣化的垂直應(yīng)用如圖2所示。其中，個別重點(diǎn)行業(yè)領(lǐng)域具有特殊的安全要求。例如，面向行業(yè)（to B）和面向用戶（to C）的應(yīng)用。to B應(yīng)用包括機(jī)器人技術(shù)和自動化、自動車聯(lián)網(wǎng)和遠(yuǎn)程醫(yī)療設(shè)備上的應(yīng)急通信應(yīng)用系統(tǒng)；to C應(yīng)用包括增強(qiáng)現(xiàn)實(shí)（AR）、虛擬現(xiàn)實(shí)（VR）等新技術(shù)。相較于傳統(tǒng)網(wǎng)絡(luò)，這些5G應(yīng)用對網(wǎng)絡(luò)的安全提出了更高、更復(fù)雜的要求。

總體上，在5G應(yīng)用層，用戶標(biāo)識安全性、數(shù)據(jù)的完整性與機(jī)密性存在一定的安全風(fēng)險。各類垂直行業(yè)應(yīng)用的業(yè)務(wù)相關(guān)系統(tǒng)中的服務(wù)器會生成、處理、存儲大量用戶敏感信息，業(yè)務(wù)系統(tǒng)如果存在安全問題，遭到黑客攻擊，容易造成用戶數(shù)據(jù)泄露。金融服務(wù)應(yīng)用相關(guān)系統(tǒng)存儲包括個人身份信息、銀行賬戶在內(nèi)的相關(guān)金融信息，如果遭到泄露容易給用戶造成較大的經(jīng)濟(jì)損失；智慧醫(yī)療除了涉及用戶隱私信息之外，還與個人健康甚至是生命息息相關(guān)，若智能醫(yī)療系統(tǒng)存在漏洞遭到黑客攻擊控制，嚴(yán)重的情況會導(dǎo)致醫(yī)療事故，給個人的生命造成巨大損失；車聯(lián)網(wǎng)涉及用戶的行動軌跡，若車聯(lián)網(wǎng)相關(guān)用戶信息遭到泄露，用戶隱私受到威脅。此外，車聯(lián)網(wǎng)管理與控制系統(tǒng)如果遭到黑客非法操縱，易引發(fā)交通事故，造成較大的社會影響，甚至影響到國家的安全穩(wěn)定發(fā)展。

2.5 數(shù)據(jù)傳輸

在數(shù)據(jù)傳輸方面存在的安全風(fēng)險進(jìn)行分析，5G網(wǎng)絡(luò)從接入層到應(yīng)用層，數(shù)據(jù)傳輸?shù)恼麄€過程面臨著被攔截、竊聽、篡改等風(fēng)險，數(shù)據(jù)的機(jī)密性與完整性會受到影響。

（1）在接入側(cè)，可能會出現(xiàn)針對以無線信號為載體對信息內(nèi)容篡改、假冒、中間人轉(zhuǎn)發(fā)和重放等形式的無線接入攻擊，數(shù)據(jù)的機(jī)密性與完整性受到嚴(yán)重影響。

（2）在網(wǎng)絡(luò)層，核心網(wǎng)絡(luò)設(shè)備之間的傳輸線路同樣存在遭到破壞或者非法安裝竊聽設(shè)備導(dǎo)致數(shù)據(jù)被竊取的風(fēng)險。

（3）在應(yīng)用層，不同的應(yīng)用服務(wù)提供商除了在企業(yè)內(nèi)部機(jī)房自建服務(wù)器，還會租用第三方CDN機(jī)房的服務(wù)器和鏈路，數(shù)據(jù)在傳輸?shù)倪^程中同樣面臨著被攔截、竊取的風(fēng)險。

2.6 安全風(fēng)險總結(jié)

綜上所述，5G網(wǎng)絡(luò)在接入層、網(wǎng)絡(luò)層以及應(yīng)用層面臨的安全風(fēng)險點(diǎn)集中體現(xiàn)在4個方面。

（1）用戶標(biāo)識的安全性，應(yīng)做好用戶標(biāo)識符的隱私保護(hù)。在移動網(wǎng)絡(luò)中，可采用標(biāo)識匿名的方式防止攻擊者識別出個人用戶，以防攻擊者通過核心網(wǎng)和無線接入網(wǎng)滲透進(jìn)行的流量監(jiān)測和流量分析。

（2）數(shù)據(jù)的機(jī)密性與完整性，需對網(wǎng)絡(luò)傳輸、業(yè)務(wù)服務(wù)器處理、數(shù)據(jù)庫存儲的涉及用戶隱私的數(shù)據(jù)進(jìn)行加密，防止敏感信息遭到泄露。

（3）終端的真實(shí)性，為防止攻擊者冒充合法用戶獲取免費(fèi)的服務(wù)，移動網(wǎng)絡(luò)對每一個接入網(wǎng)絡(luò)的終端進(jìn)行身份驗(yàn)證，確保終端用戶身份真實(shí)可靠。

（4）網(wǎng)絡(luò)功能的可用性，在提升安全能力的同時需要考慮網(wǎng)絡(luò)功能與設(shè)備的性能的要求，確保網(wǎng)絡(luò)功能與設(shè)備性能不會大幅下降,需要在網(wǎng)絡(luò)功能、設(shè)備性能與安全需求間保持平衡。

3 對策與建議

3.1 總體建議

基于5G網(wǎng)絡(luò)面臨的四大風(fēng)險點(diǎn)出發(fā)，給出如下建議。

一是從用戶標(biāo)識的安全性、數(shù)據(jù)的機(jī)密性與完整性、終端的真實(shí)性以及網(wǎng)絡(luò)功能的可用性4個方面入手加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，基于5G網(wǎng)絡(luò)架構(gòu)，結(jié)合5G網(wǎng)絡(luò)新特性，逐層完善安全防護(hù)手段。

二是建立安全風(fēng)險分級分類保障機(jī)制。將安全風(fēng)險相關(guān)方進(jìn)行分類，劃分優(yōu)先級，分級分類提出解決方案，優(yōu)先解決損失最大的風(fēng)險所有者。

三是完善5G安全標(biāo)準(zhǔn)體系。不同垂直行業(yè)企業(yè)通過標(biāo)準(zhǔn)化組織制定統(tǒng)一的標(biāo)準(zhǔn)，對安全解決方案進(jìn)行規(guī)范化，提升安全防護(hù)能力。

3.2 加強(qiáng)5G網(wǎng)絡(luò)安全建設(shè)

從近期來看，應(yīng)加大5G 安全相關(guān)建設(shè)的投入，從用戶標(biāo)識安全性、數(shù)據(jù)的機(jī)密性與完整性、終端真實(shí)性以及網(wǎng)絡(luò)功能的可用性4個方面入手，在終端設(shè)備、網(wǎng)絡(luò)虛擬化、網(wǎng)絡(luò)切片、邊緣計(jì)算等方面采用一定的安全技術(shù)保證5G網(wǎng)絡(luò)安全，采取相應(yīng)措施應(yīng)對安全風(fēng)險，構(gòu)建安全穩(wěn)定的5G網(wǎng)絡(luò)架構(gòu)，提高5G網(wǎng)絡(luò)整體安全性。具體安全保障措施建議如下。

3.2.1 用戶標(biāo)識的安全性

在接入層加強(qiáng)終端標(biāo)識的認(rèn)證，在網(wǎng)絡(luò)層對用戶標(biāo)識進(jìn)行加密存儲與傳輸，在應(yīng)用層對用戶標(biāo)識進(jìn)行轉(zhuǎn)化，將轉(zhuǎn)化后的標(biāo)識用于端到端以及端與平臺之間的通信。

3.2.2 數(shù)據(jù)的機(jī)密性與完整性

3.2.3 終端的真實(shí)性

構(gòu)建按統(tǒng)一的標(biāo)準(zhǔn)的身份管理系統(tǒng)，采用多種靈活的認(rèn)證方式與身份標(biāo)識，加強(qiáng)終端認(rèn)證能力，保證接入網(wǎng)絡(luò)的所有設(shè)備的合法性，提升終端的真實(shí)性。

3.2.4 網(wǎng)絡(luò)功能的可用性

在接入層中有限的計(jì)算資源下控制設(shè)備能效與安全之間的平衡，在保證安全的前提下提升設(shè)備的性能與功能可用性。

在網(wǎng)絡(luò)層采用多終端提高網(wǎng)絡(luò)功能的可用性：一是建立完備的病毒庫，及時更新，提升防御攻擊能力；二是采取必要的措施實(shí)現(xiàn)易受攻擊設(shè)備與存儲敏感信息設(shè)備之間的安全隔離；三是做好虛擬化系統(tǒng)間接口的安全認(rèn)證，防止系統(tǒng)被非法調(diào)用，其功能受到影響。

在應(yīng)用層制定適用于M2M應(yīng)用的安全解決方案，為避免留下破壞系統(tǒng)安全的后門，可將安全算法應(yīng)用于M2M設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)高能效與高安全保障之間的平衡。

3.3 建立安全風(fēng)險分級分類保障機(jī)制

當(dāng)5G網(wǎng)絡(luò)受到安全攻擊，其系統(tǒng)的完整性、可用性和機(jī)密性遭到損害。在安全領(lǐng)域，這些組織或個人被稱為“風(fēng)險所有者”。建議將安全風(fēng)險相關(guān)方進(jìn)行分類，劃分優(yōu)先級，分級分類地提出解決方案，優(yōu)先解決受到損失最大的風(fēng)險所有者。對于風(fēng)險所有者分級分類的建議如圖3所示，圖中金字塔高層的用戶比低層的用戶具有較高的風(fēng)險。隨著受到安全攻擊影響的用戶數(shù)量增加，風(fēng)險度也會進(jìn)一步增加，即發(fā)生安全事件時，用戶數(shù)量越多，所受影響越大。

在滿足5G安全要求的同時，應(yīng)考慮5G網(wǎng)絡(luò)和業(yè)務(wù)的主要利益相關(guān)者的需求。在通常情況下，不同的策略之間存在潛在的沖突。表1可以根據(jù)不同策略提供優(yōu)先級選擇指南。不同的應(yīng)用場景下，不同的利益相關(guān)者會將不同的因素作為需求納入優(yōu)先考慮范圍。

3.4 完善5G安全標(biāo)準(zhǔn)體系

從長期來看，建議加快標(biāo)準(zhǔn)制定，不同的垂直行業(yè)企業(yè)可以通過標(biāo)準(zhǔn)化組織制定統(tǒng)一的安全標(biāo)準(zhǔn)，為5G新技術(shù)新應(yīng)用提供標(biāo)準(zhǔn)化的解決方案，提升全方位的防護(hù)能力。一方面，不同垂直行業(yè)領(lǐng)域的企業(yè)組織應(yīng)通過標(biāo)準(zhǔn)化組織機(jī)構(gòu)與工業(yè)論壇相互合作，制定統(tǒng)一規(guī)范的安全標(biāo)準(zhǔn)；另一方面，5G產(chǎn)業(yè)鏈內(nèi)部各方應(yīng)加強(qiáng)協(xié)同合作，確保各環(huán)節(jié)安全，形成綜合的5G安全治理體系，具備全方位的安全防護(hù)能力。

建議5G網(wǎng)絡(luò)涉及的所有行業(yè)的標(biāo)準(zhǔn)協(xié)會組織加強(qiáng)協(xié)同合作，共同制定規(guī)范，采用安全的端到端（E2E）跨層方法，提升5G網(wǎng)絡(luò)不同部分（包括移動核心網(wǎng)、傳輸、接入、服務(wù)與應(yīng)用）之間的安全互操作性。同時，應(yīng)確保單個標(biāo)準(zhǔn)協(xié)會組織提供的安全解決方案在有限的范圍內(nèi)不具備較高的特殊性，從而在所有5G網(wǎng)絡(luò)系統(tǒng)之間留下安全間隙，實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)。

參考文獻(xiàn)

[1] Department for Digital, Culture, Media & Sport, UK.DCMS 5G testbeds and trials programme (5G T&T)[EB/OL]. (2019-08-27)[2020-02-10]. https://www.gov. uk/government/collections/5g-testbeds-andtrials-programme.

[2] Brahima Sanou Director, Telecommunication development bureau, ITU. Setting the scene for 5G: Opportunities & Challenges, ITU report, 2018[EB/OL]. (2018-09-30)[2020-02-10]. https://www.itu.int/en/ITU-D/ Documents/ITU_5G_REPORT-2018. pdf.

[3] 3GPP. Feasibility study on new services and markets technology enablers for enhanced mobile broadband; Stage 1, 3GPP technical specification TS 22. 863 [EB/OL].(2016-09-30)[2020-02-10]. http://www.3gpp.org/ftp// Specs/archive/22_series/22. 863/.

[4] 3GPP. Feasibility study on new services and markets technology enablers for critical communications; Stage 1,3GPP technical specification TS 22. 862[EB/OL].(2016-10-04)[2020-02-10]. http://www.3gpp.org/ftp//Specs/ archive/22_series/22. 862/.

[5] 3GPP. FS_SMARTER-massive Internet of Things, 3GPP technical specification TS 22. 861[EB/OL]. (2016-09-30)[2020-02-10]. http://www.3gpp.org/ftp//Specs /archive/22_series/22.861/ .

來源：中國信通院