下一代移動(dòng)網(wǎng)需構(gòu)建差異化安全機(jī)制

當(dāng)前，全球新一輪科技革命和產(chǎn)業(yè)變革正孕育興起，跨行業(yè)、跨領(lǐng)域的融合創(chuàng)新不斷深入，將產(chǎn)生大量新應(yīng)用、新業(yè)態(tài)、新模式，對(duì)移動(dòng)通信技術(shù)也提出了更高要求。第五代移動(dòng)通信（5G）作為新一代移動(dòng)通信技術(shù)發(fā)展的方向，將在提升移動(dòng)互聯(lián)網(wǎng)用戶業(yè)務(wù)體驗(yàn)的基礎(chǔ)上，進(jìn)一步滿足未來(lái)物聯(lián)網(wǎng)應(yīng)用的海量需求，與工業(yè)、醫(yī)療、交通等行業(yè)深度融合，實(shí)現(xiàn)真正的“萬(wàn)物互聯(lián)”。

面對(duì)5G網(wǎng)絡(luò)的新發(fā)展趨勢(shì)，尤其是5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)，都會(huì)對(duì)安全和用戶隱私保護(hù)提出新的挑戰(zhàn)。5G安全機(jī)制除了要滿足基本通信安全外，還需要為不同業(yè)務(wù)場(chǎng)景提供差異化安全服務(wù)，能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保護(hù)用戶隱私，并支持提供開(kāi)放的安全能力。

5G新場(chǎng)景帶來(lái)新的安全威脅

5G的eMBB場(chǎng)景與傳統(tǒng)移動(dòng)互聯(lián)網(wǎng)場(chǎng)景相比，主要的區(qū)別是為用戶提供更快的網(wǎng)絡(luò)速率和高密度的容量，因此將出現(xiàn)數(shù)量眾多的小站。小站的部署方式、部署條件以及功能都存在靈活多樣的特點(diǎn)。傳統(tǒng)4G安全機(jī)制未考慮此種密集組網(wǎng)場(chǎng)景下的安全威脅，因此，除了傳統(tǒng)移動(dòng)互聯(lián)網(wǎng)所存在的安全威脅外，在這種密集組網(wǎng)場(chǎng)景下可能會(huì)存在小站接入的安全威脅。

針對(duì)大規(guī)模物聯(lián)網(wǎng)場(chǎng)景，預(yù)計(jì)到2020年，聯(lián)網(wǎng)設(shè)備將達(dá)500億臺(tái)。終端包括物聯(lián)網(wǎng)終端、RFID標(biāo)簽、近距離無(wú)線通信終端、移動(dòng)通信終端、攝像頭以及傳感器網(wǎng)絡(luò)網(wǎng)關(guān)等。由于大部分物聯(lián)網(wǎng)終端具有資源受限、拓?fù)鋭?dòng)態(tài)變化、網(wǎng)絡(luò)環(huán)境復(fù)雜、以數(shù)據(jù)為中心以及與應(yīng)用密切相關(guān)等特點(diǎn)，與傳統(tǒng)的無(wú)線網(wǎng)絡(luò)相比，更容易受到威脅和攻擊。在此海量設(shè)備情況下，為了確保信息的準(zhǔn)確有效性，需要在機(jī)器通信中引入安全機(jī)制。而若每個(gè)設(shè)備的每條消息都需要單獨(dú)認(rèn)證，則網(wǎng)絡(luò)側(cè)安全信令的驗(yàn)證需要消耗大量資源。在傳統(tǒng)4G網(wǎng)絡(luò)認(rèn)證機(jī)制中沒(méi)有考慮到這種海量認(rèn)證信令的問(wèn)題，一旦網(wǎng)絡(luò)收到終端信令請(qǐng)求超過(guò)了網(wǎng)絡(luò)各項(xiàng)信令資源的處理能力，則會(huì)觸發(fā)信令風(fēng)暴，導(dǎo)致網(wǎng)絡(luò)服務(wù)出現(xiàn)問(wèn)題。進(jìn)一步的，整個(gè)移動(dòng)通信系統(tǒng)可能會(huì)因此出現(xiàn)故障，進(jìn)而崩潰。

而在低時(shí)延高可靠場(chǎng)景，尤其針對(duì)車(chē)聯(lián)網(wǎng)、遠(yuǎn)程實(shí)時(shí)醫(yī)療等時(shí)延敏感應(yīng)用，提出了低時(shí)延高安全性的需要。在這些場(chǎng)景中，為避免車(chē)輛碰撞、手術(shù)誤操作等事故，要求5G網(wǎng)絡(luò)能在保證高可靠性的同時(shí)提供低至1ms的時(shí)延QoS保障。而傳統(tǒng)的安全協(xié)議，如認(rèn)證流程、加解密流程等，在設(shè)計(jì)時(shí)未考慮超高可靠低時(shí)延的通信場(chǎng)景。這樣可能會(huì)造成傳統(tǒng)的復(fù)雜的安全協(xié)議/算法造成的時(shí)延無(wú)法滿足超低時(shí)延的需求。同時(shí)，5G中超密集部署技術(shù)的應(yīng)用使得單個(gè)接入節(jié)點(diǎn)覆蓋范圍很小，當(dāng)車(chē)輛等終端快速移動(dòng)時(shí)，網(wǎng)絡(luò)的移動(dòng)性管理過(guò)程將會(huì)非常頻繁，為了低時(shí)延的目標(biāo)，移動(dòng)性管理相關(guān)的功能單元和流程需要進(jìn)行優(yōu)化。

5G新型網(wǎng)絡(luò)架構(gòu)對(duì)安全提出了新的要求

5G新型網(wǎng)絡(luò)架構(gòu)需要更靈活、更智能和更好的性能，可以自動(dòng)適配海量業(yè)務(wù)的差異化服務(wù)要求，基于全網(wǎng)視圖來(lái)綜合調(diào)度網(wǎng)絡(luò)資源，包括接入能力、計(jì)算能力、存儲(chǔ)能力和網(wǎng)絡(luò)連接能力等，具體包括：5G網(wǎng)絡(luò)基于控制和轉(zhuǎn)發(fā)分離模式實(shí)現(xiàn)用戶面更加扁平的架構(gòu)；依托新型架構(gòu)的全局控制功能，可以實(shí)現(xiàn)多種接入技術(shù)的協(xié)同控制；借鑒IT虛擬化技術(shù)思想對(duì)網(wǎng)元形態(tài)和網(wǎng)絡(luò)連接方法進(jìn)行重構(gòu)，5G網(wǎng)絡(luò)的基礎(chǔ)設(shè)施引入NFV等虛擬化技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)切片和網(wǎng)元按需部署，增加整體網(wǎng)絡(luò)的靈活性和伸縮性。

——NFV安全需求

5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施平臺(tái)將更多地選擇基于通用硬件架構(gòu)的數(shù)據(jù)中心構(gòu)成支持5G網(wǎng)絡(luò)的高轉(zhuǎn)發(fā)性能和電信級(jí)管理要求。NFV技術(shù)實(shí)現(xiàn)底層物理資源到虛擬化資源的映射，構(gòu)造虛擬機(jī)（VM），加載網(wǎng)絡(luò)邏輯功能（VNF）；虛擬化系統(tǒng)實(shí)現(xiàn)對(duì)虛擬化基礎(chǔ)設(shè)施平臺(tái)的統(tǒng)一管理和資源的動(dòng)態(tài)重配置。NFV具有幫助強(qiáng)化網(wǎng)絡(luò)安全的潛力，安全策略可編排，并且可以發(fā)揮虛擬化的優(yōu)勢(shì)，隔離業(yè)務(wù)負(fù)載從而強(qiáng)化安全。NFV在強(qiáng)化安全的同時(shí)也帶來(lái)了新的安全隱患。相比傳統(tǒng)電信設(shè)備，軟件硬件分離的特點(diǎn)以及虛擬化網(wǎng)絡(luò)的開(kāi)放性給NFV帶來(lái)了新的潛在安全問(wèn)題：

第一，引入新的高危區(qū)域——虛擬化管理層。虛擬化管理層是NFV的核心，一旦被攻破，在其上的所有虛擬機(jī)將直接面對(duì)攻擊，后果將不堪設(shè)想。

第二，彈性、虛擬網(wǎng)絡(luò)使安全邊界模糊，安全策略難于隨網(wǎng)絡(luò)調(diào)整而實(shí)時(shí)、動(dòng)態(tài)遷移，虛擬機(jī)容易受到同一主機(jī)的其他虛擬機(jī)的攻擊；傳統(tǒng)基于物理安全邊界的防護(hù)機(jī)制在云計(jì)算的環(huán)境難以得到有效應(yīng)用。

第三，用戶失去對(duì)資源的完全控制以及多租戶共享計(jì)算資源，帶來(lái)的數(shù)據(jù)泄漏與攻擊風(fēng)險(xiǎn)，給數(shù)據(jù)安全保護(hù)提出了更高的要求。并且用戶、應(yīng)用和數(shù)據(jù)資源聚集，容易成為黑客攻擊的目標(biāo)，而且一旦被攻擊，影響范圍廣、危害大。

5G安全針對(duì)NFV等虛擬化技術(shù)的引入，需要為網(wǎng)絡(luò)設(shè)備提供多元化的系統(tǒng)級(jí)防護(hù)，防止各類非法的攻擊和入侵。5G網(wǎng)絡(luò)環(huán)境將包含多廠家的軟硬件基礎(chǔ)設(shè)施，因此網(wǎng)絡(luò)身份必須得到有效管理，從而防止非法用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。5G安全將提供傳輸保護(hù)，為數(shù)據(jù)傳輸提供如機(jī)密性和完整性等安全防護(hù)，應(yīng)對(duì)傳輸中數(shù)據(jù)的惡意竊聽(tīng)和轉(zhuǎn)發(fā)。

——網(wǎng)絡(luò)切片安全需求

網(wǎng)絡(luò)切片是5G網(wǎng)絡(luò)的關(guān)鍵特征。一個(gè)網(wǎng)絡(luò)切片將構(gòu)成一個(gè)端到端的邏輯網(wǎng)絡(luò)，按切片需求方的需求靈活地提供一種或多種網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)切片重要的安全問(wèn)題是網(wǎng)絡(luò)切片需要提供不同切片實(shí)例之間的隔離機(jī)制，防止本切片內(nèi)的資源被其他類型網(wǎng)絡(luò)切片中網(wǎng)絡(luò)節(jié)點(diǎn)非法訪問(wèn)。例如醫(yī)療切片網(wǎng)絡(luò)中的病人，只希望被接入到本切片網(wǎng)絡(luò)中的醫(yī)生訪問(wèn)，而不希望被其他切片網(wǎng)絡(luò)中的人訪問(wèn)。相同業(yè)務(wù)類型的網(wǎng)絡(luò)切片之間也存在隔離的需求，例如不同的企業(yè)的在使用相同業(yè)務(wù)類型的切片網(wǎng)絡(luò)時(shí)，并不希望本企業(yè)內(nèi)的服務(wù)資源被其他企業(yè)的網(wǎng)絡(luò)切片節(jié)點(diǎn)訪問(wèn)。

服務(wù)、資源和數(shù)據(jù)在網(wǎng)絡(luò)切片中被隔離保護(hù)的效果要達(dá)到接近于傳統(tǒng)私網(wǎng)一樣的用戶感受，這樣才能使用戶能放心地將原本存放在私有網(wǎng)絡(luò)中的應(yīng)用數(shù)據(jù)存放到在云端，用戶在享有隨時(shí)隨地可訪問(wèn)私有資源的同時(shí)不需要擔(dān)憂這些資源的安全問(wèn)題，這樣才能促進(jìn)各種垂直業(yè)務(wù)的健康快速發(fā)展。

——多RAT接入的安全需求

異構(gòu)接入網(wǎng)絡(luò)將是下一代接入網(wǎng)絡(luò)的主要技術(shù)特征之一，5G網(wǎng)絡(luò)將是多種無(wú)線接入技術(shù)融合共存的網(wǎng)絡(luò)。異構(gòu)不僅體現(xiàn)在接入技術(shù)的不同，如WiFi和蜂窩網(wǎng)絡(luò)方面，還體現(xiàn)在接入網(wǎng)絡(luò)因?yàn)閷儆诓煌瑩碛姓叨�造成的局部網(wǎng)絡(luò)架構(gòu)方面的差異上，因此，5G網(wǎng)絡(luò)需要構(gòu)建一個(gè)通用的認(rèn)證機(jī)制，能夠在不同的接入技術(shù)、不安全的接入網(wǎng)之上建立一個(gè)安全的運(yùn)營(yíng)網(wǎng)絡(luò)。

另外，在異構(gòu)網(wǎng)絡(luò)間的安全互操作方面，終端可能在異構(gòu)網(wǎng)絡(luò)間進(jìn)行切換，這時(shí)需要保證在異構(gòu)網(wǎng)絡(luò)間切換的安全互操作，如安全上下文的傳遞、密鑰的更新、異構(gòu)網(wǎng)絡(luò)間安全上下文的隔離等。

* * *

未來(lái)5G安全將在更加多樣化的場(chǎng)景、多種接入方式以及新型網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上，提供全方位的安全保障。除滿足基本通信安全外，5G安全機(jī)制能夠?yàn)椴煌�的業(yè)務(wù)場(chǎng)景提供差異化的安全服務(wù)，能夠適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保護(hù)用戶隱私，并支持提供開(kāi)放的安全能力。當(dāng)前，5G標(biāo)準(zhǔn)化工作已經(jīng)全面啟動(dòng)，3GPPSA2將在2016年年底完成5G網(wǎng)絡(luò)架構(gòu)的研究工作，因此亟須盡早明確5G網(wǎng)絡(luò)的安全需求，并且在5G網(wǎng)絡(luò)的整體架構(gòu)設(shè)計(jì)和后續(xù)標(biāo)準(zhǔn)化中綜合考慮5G安全要求，這樣才能最終實(shí)現(xiàn)構(gòu)建更加安全可信的5G新型網(wǎng)絡(luò)的目標(biāo)。

作者：李俠宇 來(lái)源：人民郵電報(bào)