逄丹

当前，5G国际标准化工作已全面展开，5G 安全也成为业界关注的焦点。日前，IMT-2020（5G）推进组正式发布《5G网络安全需求与架构白皮书》（以下简称《白皮书》）。

《白皮书》指出，5G网络新的发展趋势，尤其是5G新业务、新架构、新技术，对安全和用户隐私保护都提出了新的挑战。5G安全机制除了要满足基本通信安全要求之外，还需要为不同业务场景提供差异化安全服务，能够适应多种网络接入方式及新型网络架构，保护用户隐私，并支持提供开放的安全能力。

三大场景下的安全挑战

《白皮书》将5G网络安全面临的挑战分为四个层面，分别是三大业务场景下的挑战以及引入新技术、多种接入方式和新商业模式带来的挑战。

5G网络，带来千亿连接，从人与人的联接，转向人与物、物与物的联接。业界普遍认为，5G业务大致可以分为3种场景：eMBB（增强移动宽带）、mMTC（海量机器类通信）和uRLLC（超可靠低时延通信），5G网络需要针对这三种业务场景的不同安全需求提供差异化安全保护机制。

其中，eMBB广泛的应用场景将带来不同的安全需求，同一个应用场景中的不同业务其安全需求也有所不同，例如，VR/AR等个人业务可能只要求对关键信息的传输进行加密，而对于行业应用可能要求对所有环境信息的传输进行加密。《白皮书》建议，5G网络可以通过扩展LTE安全机制来满足eMBB场景所需的安全需求。

更大的挑战来自于mMTC场景。面向物联网成百上千亿的设备，如果采用单用户认证方案则成本高昂，而且容易造成信令风暴问题，因此在5G网络中，需降低物联网设备在认证和身份管理方面的成本，支撑物联网设备的低成本和高效率海量部署。特别是针对计算能力低且电池寿命需求高的物联网设备，5G网络应该通过一些安全保护措施，如轻量级的安全算法、简单高效的安全协议等来保证能源高效性。

低时延和高可靠性是uRLLC业务的基本要求，如车联网业务在通信中如果受到安全威胁则可能会涉及到生命安全，因此要求高级别的安全保护措施且不能额外增加通信时延。从安全角度来看，降低时延需要优化业务接入过程身份認证的时延、数据传输安全保护带来的时延，终端移动过程由于安全上下文切换带来的时延、以及数据在网络节点中加解密处理带来的时延。

面对多种应用场景和业务需求，5G网络需要一个统一的、灵活的、可伸缩的5G网络安全架构来满足不同应用的不同安全级别的安全需求，即5G网络需要一个统一的认证框架，用以支持多种应用场景的网络接入认证；同时5G网络应支持伸缩性需求，如网络横向扩展时需要及时启动安全功能实例来满足增加的安全需求。

新技术下的挑战

从4G向5G的演进，更是现有网络架构的重建。5G网络将引入SDN、NFV等新一代IT技术，也为5G网络安全带来了新的挑战。

《白皮书》指出，由于5G网络引入NFV，改变了传统网络中功能网元的保护很大程度上依赖于对物理设备的安全隔离的现状，原先认为安全的物理环境已经变得不安全，实现虚拟化平台的可管可控的安全性要求成为5G安全的一个重要组成部分，例如安全认证的功能也可能放到物理环境安全当中，因此，5G安全需要考虑5G基础设施的安全，从而保障5G业务在NFV环境下能够安全运行。

另外，5G网络引入SDN提高了数据传输效率，实现了更好的资源配置，但同时也带来了新的安全需求，即需要考虑在5G环境下，虚拟SDN控制网元和转发节点的安全隔离和管理，以及SDN流表的安全部署和正确执行。

而为了更好地支持5G的3大业务场景，5G网络将建立网络切片，为不同业务提供差异化的安全服务，根据业务需求针对切片定制其安全保护机制，实现客户化的安全分级服务，同时网络切片也对安全提出了新的挑战，如切片之间的安全隔离，以及虚拟网络的安全部署和安全管理。

同时，《白皮书》指出，5G网络中业务和场景的多样性，以及网络的开放性，使用户隐私信息从封闭的平台 转移到开放的平台上，接触状态从线下变成线上，泄露的风险也因此增加。例如在智能医疗系统中，病人病历、处方和治疗方案等隐私性信息在采集、存储和传输过程中存在被泄露、篡改的风险，而在智能交通中，车辆的位置和行驶轨迹等隐私信息也存在暴露和被非法跟踪使用的风险，因此5G网络有了更高的用户隐私保护需求。

安全总体目标出炉

基于这些需求，《白皮书》提出了5G网络安全总体目标。

针对5G网络的多种应用场景中涉及不同类型的终端设备、多种接入方式和接入凭证、多种时延要求、隐私保护要求等，5G网络安全应保证如下：第一，提供统一的认证框架，支持多种接入方式和接入凭证，从而保证所有终端设备安全地接入网络。第二，提供按需的安全保护，满足多种应用场景中的终端设备的生命周期要求、业务的时延要求。第三，提供隐私保护，满足用户隐私保护以及相关法规的要求。

针对5G网络架构中的重要特征包括NFV/SDN、切片以及能力开放，所以5G安全应保证如下：第一，NFV/SDN引入移动网络的安全，包括虚拟机相关的安全、软件安全、数据安全、SDN控制器安全等。第二，切片的安全，包括切片安全隔离、切片的安全管理、UE接入切片的安全、切片之间通信的安全等。第三，能力开放的安全，既能保证开放的网络能力安全地提供给第三方，也能够保证网络的安全能力能够开放给第三方使用。

《白皮书》指出，IMT-2020（5G）推进组全力支持在ITU和3GPP框架下研制全球统一的5G安全技术标准，积极采用创新技术满足5G网络安全需求，推动5G安全统一认证架构、按需安全保护、切片安全以及256比特密钥长度密码算法等技术的国际国内相关标准化工作。

未来将分如下两阶段积极推动 3GPP开展5G安全标准化工作：第一阶段，在2018年3月之前，完成安全框架、接入安全、用户数据的机密性和完整性保护、移动性和会话管理安全、用户身份的隐私保护以及与EPS（演进的分组系统）的互通等相关研究工作；第二阶段，在2019年12月之前，重点推进切片安全、能力开放安全、256比特密钥长度密码算法等相关工作。