李侠宇 中国信息通信研究院技术与标准研究所主任工程师

沈鸿 中国电信股份有限公司北京分公司高级工程师

5G网络安全发展趋势研究*

李侠宇 中国信息通信研究院技术与标准研究所主任工程师

沈鸿 中国电信股份有限公司北京分公司高级工程师

5G新业务、新架构、新技术，都会对网络安全和用户隐私保护提出新的挑战。本文基于5G需求与愿景研究进展，分析5G网络面临的安全问题和发展趋势，为后续5G安全网络架构的研究和标准化工作提出了建议。

5G；移动互联网；物联网；网络安全

1 引言

经过三十多年的飞速发展，移动通信已成为应用最为普及的信息通信技术。移动通信融入至社会生活的每个角落，深刻地改变了人们的沟通、交流乃至整个生活方式。当前，全球新一轮科技革命和产业变革正孕育兴起,跨行业、跨领域的融合创新不断深入，将产生大量新应用、新业态、新模式，对移动通信技术也提出了更高要求。随着移动互联网应用的进一步发展，以及智慧城市、车联网、工业互联网等物联网及行业应用的爆发式增长，2020及未来移动通信将面临千倍数据流量增长和千亿设备联网需求。现有移动通信系统面临巨大挑战，迫切需要研发第五代移动通信（5G）以满足各种移动互联网和物联网场景的多样化极致业务需求。5G作为新一代移动通信技术发展的方向，将在提升移动互联网用户业务体验的基础上，进一步满足未来物联网应用的海量需求，与工业、医疗、交通等行业深度融合，实现真正的“万物互联”。

面对5G网络的新发展趋势，尤其是5G新业务、新架构、新技术，都会对安全和用户隐私保护提出新的挑战。5G安全机制除了要满足基本通信安全，还需要为不同业务场景提供差异化安全服务，能够适应多种网络接入方式及新型网络架构，保护用户隐私，并支持提供开放的安全能力。本文基于5G需求与愿景研究进展，分析5G网络面临的安全问题和发展趋势，为后续5G安全网络架构的研究和标准化工作提出了建议。

25 G新场景带来的安全挑战

与以往移动通信系统相比，5G需要满足更加多样化的场景和极致的性能挑战。归纳为移动互联网和物联网两大类业务，主要包括移动宽带增强（eMBB）、大规模物联网（mMTC）和低时延高可靠（URLLC）3个5G主要技术场景。

5G的eMBB场景与传统移动互联网场景相比，主要的区别是为用户提供高速的网络速率和高密度的容量，因此将出现数量众多的小站（Small Cell、Femtocell）。小站的部署方式、部署条件以及功能都存在灵活多样的特点。传统4G安全机制未考虑此种密集组网场景下的安全威胁，因此，除了传统移动互联网所存在的安全威胁外，在这种密集组网场景下可能会存在小站接入的安全威胁。

针对大规模物联网场景，预计到2020年，联网设备达500亿台。终端包括物联网终端、RFID标签、近距离无线通信终端、移动通信终端、摄像头以及传感器网络网关等。由于大部分物联网终端具有资源受限、拓扑动态变化、网络环境复杂、以数据为中心以及与应用密切相关等特点，与传统的无线网络相比，更容易受到威胁和攻击。在此海量设备情况下，为了确保信息的准确有效性，需要在机器通信中引入安全机制。而若每个设备的每条消息都需要单独认证，则网络侧安全信令的验证需要消耗大量资源。在传统4G网络认证机制中没有考虑到这种海量认证信令的问题，一旦网络收到终端信令请求超过了网络各项信令资源的处理能力，则会触发信令风暴，导致网络服务出现问题。进一步的，整个移动通信系统可能会因此出现故障，进而崩溃。

而在低时延高可靠场景，尤其针对车联网、远程实时医疗等时延敏感应用，提出了低时延高安全性的需要。在这些场景中，为避免车辆碰撞、手术误操作等事故，要求5G网络能在保证高可靠性的同时提供低至1ms的时延QoS保障。而传统的安全协议，如认证流程、加解密流程等，在设计时未考虑超高可靠低时延的通信场景。这样可能会带来传统的复杂的安全协议/算法造成的时延无法满足超低时延的需求。同时，5G中超密集部署技术的应用使得单个接入节点覆盖范围很小，当车辆等终端快速移动时，网络的移动性管理过程将会非常频繁，为了低时延的目标，安全上下文的移动性管理相关的功能单元和流程需要进行优化。

35 G新型网络架构对安全提出了新的要求

5G新型网络架构需要具备更加灵活、更高智能和更好性能的能力，可以自动适配海量业务的差异化服务要求，基于全网视图来综合调度网络资源，包括接入能力、计算能力、存储能力和网络连接能力等，具体包括：5G网络基于控制和转发分离模式实现用户面更加扁平的架构；依托新型架构的全局控制功能，可以实现多种接入技术的协同控制；借鉴IT虚拟化技术思想对网元形态和网络连接方法进行重构，5G网络的基础设施引入NFV等虚拟化技术，实现网络切片和网元按需部署，增加整体网络的灵活性和伸缩性。

3.1 NFV安全需求

5G网络基础设施平台将更多的选择基于通用硬件架构的数据中心构成支持5G网络的高转发性能和电信级管理要求。NFV技术实现底层物理资源到虚拟化资源的映射，构造虚拟机（VM），加载网络逻辑功能（VNF）；虚拟化系统实现对虚拟化基础设施平台的统一管理和资源的动态重配置。NFV具有帮助强化网络安全的潜力，安全策略可编排，并且可以发挥虚拟化的优势，隔离业务负载从而强化安全。NFV在强化安全的同时也带来了新的安全隐患。相比传统电信设备，软件硬件分离的特点以及虚拟化网络的开放性给NFV带来了新的潜在安全问题：

引入新的高危区域——虚拟化管理层。虚拟化管理层是NFV的核心，一旦被攻破，在其上的所有虚拟机将直接处于攻击之下，后果将不堪设想。

弹性、虚拟网络使安全边界模糊，安全策略难于随网络调整而实时、动态迁移，虚拟机容易受到同一主机的其他虚拟机的攻击；传统基于物理安全边界的防护机制在云计算的环境难以得到有效的应用。

用户失去对资源的完全控制以及多租户共享计算资源，带来的数据泄漏与攻击风险，给数据安全的保护提出了更高的要求。并且用户、应用和数据资源聚集，容易成为黑客攻击的目标，而且一旦被攻击，影响范围广、危害大。

因此，5G安全针对NFV等虚拟化技术的引入，需要为网络设备提供多元化的系统级防护，防止各类非法的攻击和入侵。5G网络环境将包含多厂家的软硬件基础设施，因此网络身份必须得到有效管理，从而防止非法用户对网络资源的访问。5G安全将提供传输保护，为数据传输提供如机密性和完整性等安全防护，应对传输中数据的恶意窃听和转发。

3.2 网络切片安全需求

网络切片是5G网络的关键特征。一个网络切片将构成一个端到端的逻辑网络，按切片需求方的需求灵活地提供一种或多种网络服务。网络切片重要的安全问题是网络切片需要提供不同切片实例之间的隔离机制，防止本切片内的资源被其他类型网络切片中网络节点非法访问。例如，医疗切片网络中的病人，只希望被接入到本切片网络中的医生访问，而不希望被其他切片网络中的人访问。相同业务类型的网络切片之间也存在隔离的需求，例如不同的企业的在使用相同业务类型的切片网络时，并不希望本企业内的服务资源被其他企业的网络切片节点访问。

服务、资源和数据在网络切片中被隔离保护的效果要达到接近于传统私网一样用户感受，这样才能使得用户能放心的将原本存放在私有网络中的应用数据存放到在云端，用户在享有随时随地可访问私有资源的同时不需要担忧这些资源的安全问题，这样才能促进各种垂直业务的健康快速发展。

3.3 多RAT接入的安全需求

异构接入网络将是下一代接入网络的主要技术特征之一，5G网络将是多种无线接入技术融合共存的网络。异构不仅体现在接入技术的不同，如Wi-Fi和蜂窝网络，还体现在接入网络因为属于不同拥有者而造成的局部网络架构方面的差异，因此，5G网络需要构建一个通用的认证机制，能够在不同的接入技术，不安全的接入网之上建立一个安全的运营网络。

另外，在异构网络间的安全互操作方面，终端可能在异构网络间进行切换，这时需要保证在异构网络间切换的安全互操作，如安全上下文的传递、密钥的更新、异构网络间安全上下文的隔离等。

4 5G安全算法的新要求

安全算法用于在5G中用于保护终端和网络之间的数据传输的机密性和认证性。数据传输的安全需求从无线网络的诞生就一直存在，例如4G目前就在使用AES、ZUC、Snow3G安全算法。进入5G时代，需要在5G安全技术中通过安全性和计算复杂性来研究现有的安全算法是否能满足5G多样化的场景。

安全算法的安全性主要体现在算法的体制、结构、密钥的随机性和长度。由于软硬件计算能力以及算法分析技术的不断发展，原来被认为足够安全的算法也逐渐被攻破而被放弃使用。因此，需要谨慎考虑5G中将要采用的安全算法的安全性。安全算法的计算复杂度主要体现在各种软硬件计算平台上的加密、解密速度、硬件实现需要的逻辑门数量。5G提出了更高的数据传输速率，4G正在使用的那些算法是否能满足高速率的要求？5G引入的多样化场景包括计算资源有限的设备，4G现有算法是否能满足这些场景？这些问题都需要针对5G安全技术开展不断深入的研究。

5 结束语

未来5G安全将在更加多样化的场景、多种接入方式以及新型网络架构的基础上，提供全方位的安全保障。除满足基本通信安全外，5G安全机制能够为不同业务场景提供差异化安全服务，能够适应多种网络接入方式及新型网络架构，保护用户隐私，并支持提供开放的安全能力。当前，5G标准化工作已经全面启动，3GPPSA2在2016年底完成5G网络架构的研究工作，因此亟需尽早明确5G网络安全需求，并且在5G网络的整体架构设计、业务流程、算法和后续标准化中综合考虑5G安全要求，这样才能最终实现构建更加安全可信的5G新型网络的目标。

Telefónica与中兴通讯共同完成Pre5G MassiveMIMO测试

近日，Telefónica和中兴通讯宣布在西班牙马德里成功完成了Pre5GMassiveMIMO的业务测试，这是Telefónica集团首个Pre5GMassiveMIMO测试。

2016年10 月，中兴通讯和Telefónica开始在Telefónica公司总部进行Pre5GMassiveMIMO测试，评估热点和室内覆盖方案的性能。测试结果显示，Pre5GMassiveMIMO基站性能已超过预期，相比传统的LTE宏基站，网络容量和小区边缘的数据速率提高6倍，通过三维波束赋形技术降低了终端用户的干扰。测试中，同时演示了虚拟现实和2K视频等新应用。所有的测试都是基于现有的4G终端，包括中兴通讯和其他品牌的智能手机。

Researchonthe development trend of 5Gnetwork security

LI Xiayu,SHENHong

New business, new architecture, and new technology of 5G will bring more challenges to network security. Basedon the research progress of 5G requirement and vision, This paper analyzes the problems and the development trend of 5Gnetwork security, and puts forward some suggestions on the research and standardization work of 5G security networkarchitecture..

5G；mobile internet；IoT；network security

2016-11-20）

国家863项目（2015AA01A708）资助