冯泽冰 司培培

(中国信息通信研究院 北京 100191)

(fengzebing@caict.ac.cn)

移动通信网络安全是不断演进和增强的过程，5G在继承4G网络分层分域的安全架构的基础上，提供了比4G更强的安全能力[1]，包括：1)新增服务域安全，采用完善的注册、发现、授权安全机制及安全协议来保障5G服务化架构安全；2)采用统一认证框架能够融合不同制式的多种接入认证方式，保障异构网络切换时认证流程的连续性；3)增强数据隐私保护，使用加密方式传送用户身份标识，支持用户面数据完整性保护，以防范攻击者篡改用户面数据或利用空中接口明文传送的用户身份标识来非法追踪用户的位置和信息；4)增强网间漫游安全，提供了网络运营商网间信令的端到端保护，防范以中间人攻击方式获取运营商网间的敏感数据.

然而，5G采用了包括网络功能虚拟化(network virtualization function, NFV)、多接入边缘计算(multi-access edge computing, MEC)、网络切片等关键技术，网络资产形态更为多样复杂，同时5G网络的开放性引入了比过去移动通信网更复杂的安全风险[2].为了提升产业界对5G移动通信网安全的信任，全球移动通信系统协会(GSMA)与负责制订全球通信技术标准的第3代合作伙伴计划(3GPP)合作制定了网络设备安全保障计划 (NESAS)[3]，通过对5G设备开展安全评估，提升5G网络设备的安全能力.在移动产业的推动下NESAS已在产业界具有较高的认可度，并作为欧盟网络安全统一认证框架5G设备安全基线认证的重要参考.

本文在GSMA NESAS的基础上，借鉴STRIDE安全威胁模型[4]、通用准则(CC)[5]等，提出了一套适用于5G网络安全评测的通用模型，即ARMIT模型.该模型与NESAS框架整体目标一致，但相比NESAS框架，一方面，ARMIT 模型对5G资产作了更详细分层的梳理，清楚地描述了开展安全评测的组成元素和周期过程；另一方面，与NESAS仅关注资产本身安全不同，ARMIT模型阐述了适用于5G资产和网络运行的安全要求、安全能力评价指标体系和评测方法.ARMIT测评模型可为设备企业、运营商等开展5G产品、网络和服务的安全能力评估提供有效的参考.

1 5G安全评测体系

1.1 5G安全评测模型

5G安全评测ARMIT模型如图1所示，每个字母代表安全评测生命周期内的不同组成部分，分别为：1)资产(assets)，指代组成5G网络的各种资产集合；2)要求(requirements)，指代对5G不同资产的安全要求集合；3)方法(methods)，指代对5G资产安全要求进行评测的方法集合；4)指标(index)，指代衡量5G资产安全能力安全性指标集合；5)威胁(threats)，指代5G资产面临的安全威胁集合.从STRIDE威胁建模角度看[5]，由于5G资产本身安全能力不足或者受到可能的外部攻击，会面临仿冒、篡改、抵赖、信息泄露、拒绝服务、越权等各式各样的安全威胁.5G安全评测需要通过合理的评测方法，对5G资产的安全能力进行验证，以最大程度消减资产面临的安全风险.因此，以上几个环节互共同组成5G安全评测体系，5G安全评测的整体目标为“针对5G资产A，通过评测方法M，验证满足安全要求R，达到安全指标I，并消减安全威胁T” .

图1 5G安全评测模型

1.2 5G安全评测周期

5G安全评测的执行需要专业的评测机构依据评测标准，通过科学的评测方法和工具对5G资产的安全能力进行验证.一个完整的评测周期包含评测机构域、参考文档域、评测对象域和业务运行域，4个域内的主体之间通过之间的相互作用，共同完成5G安全评测过程(如图2所示).几个域的能力说明如下：

图2 5G安全评测周期

1) 评测机构域.指开展5G安全评测相关机构，依据提供的验证能力不同，评测机构通常分为安全审计机构和安全检测实验室.安全审计机构主要对5G参与主体的市场、人员、流程、运营、维护等安全管理进行审计，确保参与方在运维网络、开发产品、管理人员、市场交易、文档管理等过程中符合安全管理规范要求.安全检测实验室主要对5G资产开展安全评估和检测，确保5G资产符合安全技术规范要求和参数要求.安全审计机构和安全检测实验室由专门的认可机构进行能力认可后方可进行和检测.例如中国合格评定国家认可委员会可依据ISO/IEC 17025标准对检测实验室进行认可， GSMA依据其发布的规范对NESAS体系下审计机构和安全评估实验室进行认可.

2) 参考文档域.指开展5G安全评测过程中的参考文档，包括国际/国家安全评测相关标准规范、国家发布的安全政策和法律等.一般来说，认可机构会引用参考文档开展机构和实验室认可，审计机构和检测实验室会引用参考文档开展安全审计和安全检测.

3) 评测对象域.指被评测的对象，包括主体和资产2种.主体主要是指参与5G过程的参与方，包括设备厂商、运营商等，资产主要是指组成5G架构的各种设备、网络、协议、数据等.在评测过程中主体需要接受审计机构的安全审计，而资产作为检测对象由检测实验室进行安全检测.

4) 业务运行域.指运行5G业务的网络服务提供者和网络本身，主要包括具备5G牌照的运营商以及建设运行的5G网络.一般来说，经过检测实验室安全检测(或认证)后的5G资产才能具备作为安全基础设施支撑5G网络安全建设和运营.

2 5G资产及威胁分析

2.1 5G资产分析

5G网络是一个复杂的组合体，传统对移动通信网的结构区分主要分为接入网、传输网和核心网，核心网之后就是骨干网.5G网络由于引入NFV、软件定义网络、MEC等新技术，网络形态相比4G更加复杂.在网络参与主体上，除传统通信设备厂商、基础电信企业外，由于新技术的引入，云、大数据、互联网数据中心等厂商加入到5G网络组成各个环节，多领域垂直行业主体也深度参与5G应用.

按形态、功能和尺度规模不同，5G资产可以分为基础元件级、资源级、基础软件级、功能组件级、网络功能级和交互级，图3给出了不同资产所包含的资产内容.级别越低资产形态和尺寸越小，功能简单，但体量大.相反级别越高资产形态和尺寸越大，功能越复杂.相比4G时代：一方面，5G网络功能以虚拟化方式提供功能，引入了网络功能虚拟化资产；另一方面，在虚拟化基础上，5G接入、传输和核心网可以通过切片方式为用户提供服务，出现了以网络切片为主的组合资产形态.一般来说，5G安全其实更加关注基础软件级以上的安全能力.例如3GPP SCAS将5G设备安全分为基线安全和设备功能安全[6].基线安全主要关注操作系统安全、Web安全、数据安全、隔离安全等，而设备功能安全主要关注设备具备的安全功能(如加密/完整性保护)和通信协议过程的安全(如接入鉴权过程).

图3 5G网络资产视图

2.2 5G网络威胁分析

5G新技术、新应用、新架构发展的变革性，引入了过去移动通信网不曾遇到的特定安全风险，总体上面临比4G更多的攻击面，包括：1)新技术引入的安全风险.5G网络引入的网络功能虚拟化、服务化架构、网络切片、边缘计算、网络能力开放等关键技术，相比4G网络更加开放，在一定程度上带来了新的安全威胁和风险，对数据保护、安全防护和运营部署等方面提出了更高要求.2)新场景带来的安全挑战.5G拓展了工业互联网、车联网自动驾驶等多元化应用场景，5G与垂直行业的深度融合带来了从“通用安全”向“按需安全”转变的挑战，行业安全诉求差异化，难以采用单一化、通用化的安全解决方案来确保各垂直行业安全应用.3)复杂产业链造成的安全威胁.5G技术门槛高、产业链长，应用领域广泛，产业链涵盖系统设备、芯片、终端、应用软件、操作系统等多类资产，如果产业链各环节不能同步更新完善5G网络安全产品和解决方案、无法提供更为安全可靠的5G产品，将增加网络基础设施的脆弱性，影响5G网络安全运行.

欧盟网络安全局于2019年11月发布5G网络威胁图谱[7]，将5G网络面临的威胁分为核心网威胁、接入网威胁、MEC威胁、虚拟化威胁、物理设施威胁、一般性威胁和SDN威胁.总体上，可将5G网络威胁分为两大类：一类是基础威胁，包括基础软硬件的漏洞、软件代码缺陷、不安全的网络协议、数据保护措施不足、访问控制策略不恰当、不可信的第三方组件等；另一类是与5G网络功能相关的威胁，包括网络功能虚拟化安全防护措施不当、边缘计算节点安全防护能力不足、5G通信协议存在漏洞、网络切片隔离不足等.

3 5G安全要求及安全指标

3.1 安全要求分析

评测机构对评测对象开展安全评测时，需要通过评测方法确认评测对象是否满足一定的安全要求.这些安全要求往往是作为保护轮廓来确保评测对象具备防护资产抵抗攻击的能力.在某些场景下部分安全要求往往没有绝对的定义，需要靠评测人员的经验来判断.一般来说，安全要求随着攻击和防御技术的演进也会发生相应的变化.例如，RC4和SHA-1加密算法随着加密技术的演进和攻击能力的提升，已经不能作为当前信息加密的可靠性算法要求.5G网络安全评测过程中主要关注的安全要求包括：

1) 环境安全.针对部署5G基础设施的物理环境提出的安全要求，主要对象为物理环境和物理设施等.涉及的安全要求包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等.

2) 基础软硬件安全.针对支持5G网络建设的基础软硬件提出的安全要求，主要对象为组成5G网络的基础软硬件，如通信模组、物理服务器、虚拟机、天线、操作系统、数据库、虚拟化套件、SDN软件等.涉及的安全要求包括软件无已知后门、硬件运行可靠、软硬件可信等.

3) 通信网络安全.针对通信网络提出的安全要求，主要对象为5G接入网、传输网、核心网，以及运营商之间的网络、5G与其他异构网络之间的通信网络等.涉及的安全要求包括架构安全、传输安全和接入鉴权等.

4) 区域边界安全.针对网络边界提出的安全要求，主要对象为系统边界和区域边界等，例如5G与MEC之间的边界、运营商网络之间的安全边界、运营商网络与业务系统之间的边界等.涉及的安全要求包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和设备可信等.

5) 数据安全.针对网络中通信和存储的数据提出的安全要求，主要对象为在5G网络中传输和存储的用户/系统数据.涉及的安全要求包括数据加解密、密钥管理、数据脱敏、数据安全存储、数据生命周期管理等.

6) 系统访问安全.针对系统访问和操作提出的安全要求，主要对象为5G网络中的相关主机、系统和数据库等.涉及的安全要求包括权限管理、访问控制、日志管理、身份验证等.

7) 供应链安全.针对5G资产供应链提出的安全要求，主要对象为运营5G网络的运营商和提供5G设备集成和服务的设备厂商.涉及的安全要求包括供应链可靠性、供应商多元性、供应商可信、供应商产品安全能力等.

8) 符合标准性.针对5G资产生产和5G网络组网运营过程提出的要求，主要对象为5G资产和5G网络运营者.涉及的安全要求包括5G资产本身、网络运维等应符合国际标准的安全协议、流程和功能.

9) 管理安全.针对5G网络的安全运营维护、主体的安全管理制度和人员管理等提出的要求，主要对象为5G主体.涉及的安全要求包括安全管理中心、安全人员管理、安全建设管理、安全运维管理等.

3.2 安全指标分析

安全要求可以用来评测资产某一项安全功能是否满足规定的要求，此外，还可以通过定义的指标对其安全性进行衡量.安全评估指标是反映评估对象安全属性的指示标志，根据评估目标和评估内容的要求构建的一组反映网络安全水平的相关指标.一般来说，评测过程中对某一项安全能力的评估会用到多个指标.5G安全评测用到的指标体系如图4所示，主要分为5类指标：

图4 5G安全评测指标体系

1) 信息安全指标.主要评价5G网络信息生成、传输、存储的过程中是否安全，其中：完整性指标衡量5G网络对数据相关属性的完整性保护程度；机密性指标衡量5G关键数据泄露给非授权的用户的程度；可用性指标衡量合法用户正常使用信息以及非法用户无法使用信息的程度；可控性指标衡量5G网络是否被合法所有者或使用者所控制；不可抵赖性指标衡量节点对信息的发送、转发、修改、存储或接受行为的不可否认性.

2) 资产安全运行性指标.主要评价5G资产运行过程中是否安全、稳定、可靠:安全防护指标衡量5G资产是否实施安全防护技术，资产是否统一授权管理和认证;安全监测指标衡量5G网络基础设施的监测覆盖情况;应急处置指标衡量5G资产是否具备灾难恢复能力以及5G网路应对系统漏洞、计算机病毒、网络入侵、网络攻击、社会工程学攻击等安全威胁的能力情况;防御能力指标衡量5G网络整体对安全事件的防御能力，包括网络安全事件检测比例、响应比例、成功防护比例等.

3) 安全态势指标.主要评价5G网络运营过程中的威胁和事件态势情况:安全威胁指标衡量关键信息基础设施网络受到的威胁情况;安全隐患指标衡量5G网络基础设施的安全漏洞和隐患情况;安全事件指标衡量5G网络基础设施发生攻击事件、信息破坏、设施故障、APT攻击以及其他网络安全事件情况.

4) 主体安全管理性指标.主要评价5G网络运营者对网络管理的安全情况:合规性指标衡量基础设施安全规划、管理制度执行、责任部门建设和管理等情况;人员队伍指标衡量网络安全培训情况和信息安全从业人员获得的网络安全资质情况;资金投入指标衡量网络安全管理实际投资情况;运维管理指标衡量关键信息基础设施运行和管理部门的应急演练能力，以及关键资产管理情况.

5) 供应链安全指标.主要评价5G资产供应链是否安全、稳定和可靠:鲁棒性指标衡量5G网络上下游供应链的健壮情况，包括主体是否具有可靠的供应商、供应商是否具有可替代性等；多元性指标主要衡量运营者对上下游供应链的依赖情况，例如是否具有多样化的供应商选择.

4 5G安全评测方法

5G安全评测方法主要包括审计方法、测试方法和评估方法，针对不同的对象和安全能力选择适当的评测方法，一般需要2种以上方法共同实施.其中：

1) 安全审计.审计方法主要面向产品和服务：对产品来讲，审计内容包括产品设计、开发、采购、运行、升级、报废等完整的生命周期过程的安全性，对服务来讲，审计的内容包括服务形式、流程、质量、稳定性等.一般来说，审计的对象主要是产品和服务的提供商以及网络运营商等主体.

2) 安全检测.检测方法一般指采用通用或专用测试工具或仪表，通过实地或远程的方式接入被测对象，通过制定的操作流程，对网络、设备、应用等对象潜在的安全隐患进行技术检测，判断被测对象的反映情况是否符合标准规定的安全要求.安全检测对象主要是5G资产.根据资产所受的安全威胁以及相应的安全要求不同，安全检测方法主要包括漏洞/端口扫描测试、模拟攻击测试、代码审计、模糊测试、抓包分析等.

3) 安全评估.评估方法主要通过收集的审计和测试信息等，依据一套指标体系对评估对象整体的安全能力给予评价(例如安全能力分级).安全评估一般包括风险等级评估和安全等级评估.常用的等级评估方法包括层次分析法、专家打分法等.

5 结束语

本文基于GSMA NESAS安全评估框架，提出了一种适用于5G网络复杂资产威胁分析和安全能力评估的ARMIT评测模型，ARMIT 模型对5G资产作了更详细分层的梳理，清楚地描述了开展安全评测的组成元素和周期过程，提出了适用于5G资产和网络运行的安全要求、安全能力评价指标体系和评测方法.

然而，5G资产安全功能实现机制复杂，且安全功能点较多，在实际评测过程中仍面临着较大的技术难度.即使经过评测确认资产满足标准中的安全功能，由于资产运行过程中的内外部攻击和威胁的不确定性，也无法说明5G资产完全安全.因此，5G安全评测是一个不断演进的过程，需要不断优化评测模型和增强评测手段能力，验证5G资产满足新的安全需求，并能应对攻击行为和外部威胁的不断变化.