從CSS2018看5G：過去的快不是快，你說的安全該怎么“全”？

提到5G，人們的第一反應(yīng)一定是極高的網(wǎng)速。5G采用了很多不同于4G的新技術(shù)，以適應(yīng)多種應(yīng)用場景的需求，其中就包括高傳輸速率。但新技術(shù)往往是“雙刃劍”，帶來便利的同時(shí)也會(huì)形成新的挑戰(zhàn)。

以往我們介紹5G的時(shí)候，更多側(cè)重于描繪5G強(qiáng)大的能力，但事實(shí)上，5G面向更廣泛的應(yīng)用場景的同時(shí)，安全風(fēng)控的壓力也更大，例如在工業(yè)、車聯(lián)網(wǎng)方面的應(yīng)用，安全就至關(guān)重要。5G商用的時(shí)間越來越近，相信很多人會(huì)比較好奇，5G網(wǎng)絡(luò)如何保證自身的安全性？

在8月27日第四屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)（CSS2018）上，中國工程院院士，中國互聯(lián)網(wǎng)協(xié)會(huì)理事長鄔賀銓先生就和大家分享了目前行業(yè)在5G網(wǎng)絡(luò)安全方面所做的部署和努力。IT之家在此基礎(chǔ)上進(jìn)行梳理，為大家進(jìn)行比較通俗的講解。

5G有哪些獨(dú)特的安全需求？

首先我們知道5G有三大典型業(yè)務(wù)場景，分別是增強(qiáng)型移動(dòng)寬帶（eMBB）、高可靠低時(shí)延連接（uRLLC）、海量物聯(lián)網(wǎng)（mMTC）。他們對(duì)于安全性都有各自的需求：

eMBB能夠提供更高的體驗(yàn)速率和更大帶寬的接入能力，但需要更高的安全處理性能，支持外部網(wǎng)絡(luò)二次認(rèn)證以及已知漏洞的修補(bǔ)能力；

uRLLC能夠提供低時(shí)延和高可靠的信息交互能力，端到端的時(shí)延在ms級(jí)別，但在安全上，它需要低時(shí)延的安全算法/協(xié)議、邊緣計(jì)算的安全架構(gòu)和隱私、關(guān)鍵數(shù)據(jù)的保護(hù)；

mMTC能夠提供更高連接密度時(shí)優(yōu)化的信令控制能力，支持大規(guī)模、低成本、低能耗IoT設(shè)備的高效接入和管理，但它需要輕量化的安全，需要群組認(rèn)證以及能夠抵抗DDos攻擊。

除了三大業(yè)務(wù)場景，5G網(wǎng)絡(luò)還采用了新的網(wǎng)絡(luò)架構(gòu)，新架構(gòu)具有以用戶為中心、功能模塊化、網(wǎng)絡(luò)可編排為設(shè)計(jì)理念，引入了多無線接入、SDN、云計(jì)算、NFV等技術(shù)。

多無線接入需要統(tǒng)一的認(rèn)證框架來解決3GPP體制和非3GPP體制接入的問題，自然需要更安全的運(yùn)營網(wǎng)絡(luò)；

SDN、NFV等技術(shù)的引入（后文會(huì)詳細(xì)介紹），可以構(gòu)建邏輯隔離的安全切片，用來支持不同應(yīng)用場景差異化的需求，但會(huì)令網(wǎng)絡(luò)邊界變得模糊，以前依賴物理邊界防護(hù)的安全機(jī)制受到挑戰(zhàn)。

5G是如何應(yīng)對(duì)的？

在這部分IT之家將對(duì)5G網(wǎng)絡(luò)應(yīng)對(duì)安全新挑戰(zhàn)的方式進(jìn)行介紹，并對(duì)其中一些基礎(chǔ)概念做一些科普。

1、首先是5G終端的接入和認(rèn)證

前面介紹5G的三大應(yīng)用場景，覆蓋面非常廣泛，例如eMBB需要高頻率，如果基站功率做大，運(yùn)營成本很高；做大量的小站，很密集，也很難優(yōu)化，所以需要宏蜂窩和微蜂窩聯(lián)合組網(wǎng)。

什么是宏蜂窩和微蜂窩？他們都屬于基站，宏蜂窩的基站服務(wù)覆蓋半徑較大，一般在1~2.5千米左右，基站來看起來像鐵塔，比較高大；

微蜂窩的基站服務(wù)覆蓋半徑較小，大約為100m～1km，其發(fā)射功率也更小，，一般在2W左右，基站天線體型小，一般置于相對(duì)低的地方，無線波束折射、反射、散射于建筑物間或建筑物內(nèi)，主要用來彌補(bǔ)宏蜂窩覆蓋的“盲點(diǎn)”，同時(shí)安置在宏蜂窩的“熱點(diǎn)”上，可滿足微小區(qū)域高質(zhì)量高密度話務(wù)量要求。

根據(jù)鄔賀銓先生的介紹：

傳統(tǒng)蜂窩小區(qū)不論用戶面、控制面，上行、下行都在一個(gè)蜂窩小區(qū)，而5G控制面走到了宏蜂窩，用戶面走到微蜂窩，而且用戶面上行下行走的是不同的小區(qū)，甚至一個(gè)是5G，一個(gè)是4G。這種情況，傳統(tǒng)的4G安全機(jī)制是沒有考慮到這種密集異構(gòu)組網(wǎng)的安全威脅下的?！?/p>

這會(huì)帶來來自不同網(wǎng)絡(luò)系統(tǒng)，不同接入技術(shù)，不同類型站點(diǎn)（宏蜂窩、小蜂窩、微蜂窩）常態(tài)并行接入的問題。所以5G采用了“跨越底層異構(gòu)多層無線接入網(wǎng)的統(tǒng)一認(rèn)證框架“，來實(shí)現(xiàn)雙向認(rèn)證。

3G、4G用戶入網(wǎng)，會(huì)發(fā)送一個(gè)長期身份明文標(biāo)識(shí)（IMSI），用戶身份容易被泄露。而根據(jù)鄔院士的介紹，5G在USIM卡上，首先接收運(yùn)營商廣播的公鑰，然后這個(gè)公鑰將用戶長期的身份加密，網(wǎng)絡(luò)方面是用私鑰來解密，這樣用戶的身份就不會(huì)被竊聽，目前加密方案已經(jīng)標(biāo)準(zhǔn)化了。

2、防止降維打擊

這一點(diǎn)比較好理解，正如我們前文所說，5G時(shí)代并不是沒有4G，語音通話在5G沒有覆蓋到的地方或者數(shù)據(jù)網(wǎng)絡(luò)質(zhì)量不好的時(shí)候，也會(huì)回落到4G，而4G的安全未必有5G那么好，所以需要防止降維打擊。

5G核心網(wǎng)的特征之一是控制面和用戶面分離，而用戶面和控制面都會(huì)進(jìn)行加密；此外，無線通信端信令和消息傳輸也會(huì)加密，包括空口的信令。

這里解釋一下，信令就是信令是在無線通信系統(tǒng)中為使全網(wǎng)有軼序地工作，用來保證正常通信所需要的控制信號(hào)。通俗來說就是專門用來控制電路的，而不是我們打電話、上網(wǎng)的信號(hào)。

同時(shí)，5G網(wǎng)絡(luò)切片也會(huì)進(jìn)行加密，還有支持4G后向兼容也需要加密，還包含用于支持非3GPP接入的密鑰等等。

可以看到，5G的密鑰具有多樣化的特點(diǎn)，同時(shí)這一系列密鑰既要保持整體系統(tǒng)的統(tǒng)一性，又需要具備一定的獨(dú)立性，以確保每個(gè)部分的安全性互不影響。

3、5G網(wǎng)絡(luò)切片安全隔離

網(wǎng)絡(luò)切片是5G一項(xiàng)很重要的技術(shù)。

網(wǎng)絡(luò)切片技術(shù)通俗來說就是將運(yùn)營商的物理網(wǎng)絡(luò)劃分成多個(gè)虛擬網(wǎng)絡(luò)，每個(gè)虛擬網(wǎng)絡(luò)根據(jù)不同的服務(wù)需求來應(yīng)對(duì)不同的網(wǎng)絡(luò)應(yīng)用場景，這些場景也還是歸屬上面列舉的三大場景。打個(gè)比方，網(wǎng)絡(luò)切片技術(shù)就好像城市道路上劃分人行道、機(jī)動(dòng)車道、公交車道、應(yīng)急通道等等，每個(gè)通道（切片）有不同功能。

物理網(wǎng)絡(luò)是不變的，所以網(wǎng)絡(luò)切片本身是一種網(wǎng)絡(luò)虛擬化技術(shù),并且切片與切片之間，是有隔離的，為A用戶提供的切片不能和B用戶互相串有，所以，每個(gè)切片都需要有它的身份識(shí)別。

目前的解決方法比較復(fù)雜，簡單來說是對(duì)每個(gè)切片被預(yù)先配置一個(gè)切片ID，將對(duì)應(yīng)的切片安全規(guī)則存放于切片安全服務(wù)器(SSS)中，用戶設(shè)備(UE)接入網(wǎng)絡(luò)時(shí)需提供切片ID給歸屬服務(wù)器(HSS)，HSS根據(jù)SSS中對(duì)應(yīng)切片的安全配置采取與該切片ID對(duì)應(yīng)的安全措施，并選擇對(duì)應(yīng)的安全算法，來實(shí)現(xiàn)切片之間的安全隔離。

4、安全編排

網(wǎng)絡(luò)切片除了切片之間需要安全隔離，整體上還需要編排。另外5G的關(guān)鍵技術(shù)SDN也需要大量編排來實(shí)現(xiàn)靈活提供服務(wù)。

這里又要簡單介紹一下SDN，還有NFV技術(shù)。它們是網(wǎng)絡(luò)切片技術(shù)能夠?qū)崿F(xiàn)的基礎(chǔ)。

SDN又叫軟件定義網(wǎng)絡(luò)，它的內(nèi)含和機(jī)理很復(fù)雜，我們同樣還是簡單了解即可。它的理念是讓應(yīng)用軟件可以參與對(duì)網(wǎng)絡(luò)的控制管理，滿足上層業(yè)務(wù)需求，用自動(dòng)化業(yè)務(wù)部署來簡化網(wǎng)絡(luò)運(yùn)維。

通俗一點(diǎn)說，過去上層用戶發(fā)出請求時(shí)，需要通過網(wǎng)絡(luò)服務(wù)提供商傳達(dá)給網(wǎng)絡(luò)上的每一個(gè)網(wǎng)絡(luò)設(shè)備，再由設(shè)備的控制功能來控制設(shè)備進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，實(shí)現(xiàn)整個(gè)通信網(wǎng)絡(luò)的數(shù)據(jù)流通。

這種情況下，隨著網(wǎng)絡(luò)中的數(shù)據(jù)越來越多，一旦傳輸計(jì)劃有變更，網(wǎng)絡(luò)服務(wù)提供商需要傳達(dá)到每一個(gè)網(wǎng)絡(luò)設(shè)備，效率低下。

SDN就是在上層應(yīng)用（上層用戶和網(wǎng)絡(luò)服務(wù)提供商）和基礎(chǔ)網(wǎng)絡(luò)設(shè)施之間加入一個(gè)控制層，它將設(shè)備的控制功能和轉(zhuǎn)發(fā)功能分離，這樣硬件廠商就不用針對(duì)每個(gè)硬件設(shè)計(jì)和安裝對(duì)應(yīng)的軟件系統(tǒng)，使得硬件可以通用化。具體的控制轉(zhuǎn)發(fā)功能由SDN控制層進(jìn)行統(tǒng)一管理，這樣就大大提高了運(yùn)行效率。

至于HFV技術(shù)，也叫做網(wǎng)絡(luò)功能虛擬化，它的概念是把設(shè)備中的功能提取出來，通過虛擬化的技術(shù)在上層提供虛擬功能模塊，聽起來和SDN有點(diǎn)像，但是彼此獨(dú)立的，簡單說，可以理解為SDN把設(shè)備虛擬化，而NFV把功能虛擬化。

所以可以看到，網(wǎng)絡(luò)切片技術(shù)不是一個(gè)單獨(dú)的技術(shù)，而是由很多具體的技術(shù)群協(xié)同實(shí)現(xiàn)，而通過上層統(tǒng)一的網(wǎng)絡(luò)安全編排，能夠讓網(wǎng)絡(luò)實(shí)現(xiàn)管理和協(xié)同能力，你可以把安全編排理解為指揮官，它不僅決定網(wǎng)絡(luò)特定服務(wù)的拓?fù)?，還將決定在什么地方要加入安全機(jī)制和安全策略。

正如鄔賀銓院士所說：

5G本身也需要在編排中提供足夠的安全保證，4G是沒有這個(gè)編排的，編排本身如此重要，會(huì)影響到整個(gè)網(wǎng)絡(luò)拓?fù)浜头?wù)質(zhì)量。因此，編排本身的安全保護(hù)就是個(gè)非常重點(diǎn)的問題。

5、5G開放性的安全

5G的核心網(wǎng)架構(gòu)相較于4G有很大的變化，中國移動(dòng)牽頭提出的SBA架構(gòu)被3GPP確認(rèn)為5G核心網(wǎng)基礎(chǔ)構(gòu)架。SBA是指基于服務(wù)的架構(gòu)。

傳統(tǒng)4G網(wǎng)絡(luò)功能在4G是按網(wǎng)元組合的，網(wǎng)元就是網(wǎng)絡(luò)系統(tǒng)中的某個(gè)網(wǎng)絡(luò)單元或者節(jié)點(diǎn),能夠獨(dú)立完成一種或幾種功能的設(shè)備，傳統(tǒng)的網(wǎng)元是封閉的、黑盒的，NFV虛擬出網(wǎng)絡(luò)功能軟件后，仍然是體塊較大的單體式架構(gòu)。

SBA的理念是將單體架構(gòu)分拆為多個(gè)粒度更小的微服務(wù)，微服務(wù)之間通過API交互，微服務(wù)彼此獨(dú)立，也獨(dú)立于其他服務(wù)進(jìn)行部署、升級(jí)、擴(kuò)展，頻繁更新擴(kuò)展也不會(huì)影響客戶使用，更加靈活，就像App。

所以，鄔賀銓院士說：

5G是按照API、App的功能組合的。

需要調(diào)動(dòng)什么功能就調(diào)配相關(guān)App，把移動(dòng)端當(dāng)成手機(jī)終端一樣，把所有的能力當(dāng)成App的調(diào)用。

這種網(wǎng)絡(luò)能力是開放的，5G會(huì)提供移動(dòng)性、會(huì)話和QoS和計(jì)費(fèi)等功能的接口，運(yùn)營商會(huì)開放接口能力組織網(wǎng)絡(luò)，5G還會(huì)開放管理和編排能力，第三方還可以獨(dú)立地利用運(yùn)營商開放的管理能力和編排能力，實(shí)現(xiàn)它的網(wǎng)絡(luò)部署、更新和擴(kuò)容。

同時(shí)，SBA有兩個(gè)網(wǎng)元是直接服務(wù)于網(wǎng)絡(luò)安全的，一是AUSF認(rèn)證服務(wù)器，二是SEPP安全邊緣保護(hù)代理，涉及運(yùn)營商核心網(wǎng)絡(luò)之間的安全交互。

但開放意味著便利也意味著危險(xiǎn)，開放授權(quán)過程中也有可能出現(xiàn)信任問題，導(dǎo)致惡意的第三方獲得網(wǎng)絡(luò)操控能力對(duì)5G網(wǎng)絡(luò)發(fā)起攻擊，如APT、DDoS等等。

對(duì)于這些問題，需要面向垂直行業(yè)的安全服務(wù)，其實(shí)思路和能力的開放一樣，將安全也進(jìn)行開放。簡單來說就是將網(wǎng)絡(luò)里的安全資源，密碼算法、5G認(rèn)證協(xié)議和安全知識(shí)庫，對(duì)安全資源進(jìn)行抽象和封裝，對(duì)外提供安全服務(wù)，對(duì)加密傳輸服務(wù)提供認(rèn)證服務(wù)、信用服務(wù)、入侵檢測服務(wù)等等。

6、5G終端的安全性要求

在5G中，對(duì)于終端也有安全性要求，3GPP對(duì)終端安全有一些通用要求，包括用戶與信令數(shù)據(jù)的機(jī)密性保護(hù)，簽約憑證的安全存儲(chǔ)與處理，用戶隱私保護(hù)等等。而5G終端的一些特殊要求是根據(jù)其應(yīng)用場景來的，例如車聯(lián)網(wǎng)這類高可靠、低時(shí)延終端，需要支持高安全、高可靠的安全機(jī)制，相對(duì)于一般的終端安全更要求高；uRLLC終端可持續(xù)的環(huán)境，操作系統(tǒng)的增強(qiáng)高速加解密處理能力。

總結(jié)

4G時(shí)代，我們已經(jīng)見證了不少互聯(lián)網(wǎng)的安全事故，例如OpenSSL水牢漏洞、WannerCry勒索病毒、Petya勒索病毒變種肆虐等。而在即將到來的5G時(shí)代，網(wǎng)絡(luò)安全同樣面臨很多挑戰(zhàn)，上文介紹的行業(yè)應(yīng)對(duì)挑戰(zhàn)的策略只是框架性質(zhì)的，具體還有更加復(fù)雜的細(xì)節(jié)技術(shù)。

總體來說，5G的安全框架主要包含接入安全、網(wǎng)絡(luò)（接入網(wǎng)、核心網(wǎng)內(nèi)部等）安全、用戶安全、應(yīng)用安全（用戶設(shè)備和服務(wù)提供商之間的通信）、可信安全和管理安全這幾大內(nèi)容，并且隨著未來5G商業(yè)化的鋪展，未來業(yè)務(wù)還有很多不確定性，也會(huì)能夠隨著實(shí)際應(yīng)用而完善。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。