1.4 5G網(wǎng)絡(luò)安全技術(shù)的發(fā)展

移動(dòng)通信系統(tǒng)的安全保護(hù)機(jī)制在持續(xù)演進(jìn)。例如，最早版本的GSM（全球移動(dòng)通信系統(tǒng)，2G系統(tǒng)）存在的多個(gè)安全弱點(diǎn)已在后續(xù)的通信系統(tǒng)中得到修正，包括以下幾方面。

（1）可能會(huì)受到偽基站主動(dòng)攻擊。

（2）密碼密鑰和認(rèn)證數(shù)據(jù)在網(wǎng)絡(luò)之間和內(nèi)部以明文方式傳輸。

（3）在空中接口進(jìn)行明文傳輸。

（4）驗(yàn)證時(shí)沒有采用隨機(jī)數(shù)機(jī)制，造成密鑰易被猜測(cè)，而且某些網(wǎng)絡(luò)未使用加密，因此，存在欺詐的可能。

（5）不提供數(shù)據(jù)完整性保護(hù)，從而容易受到偽基站攻擊，并且會(huì)被信道劫持。

（6）基于IMEI進(jìn)行身份驗(yàn)證的選項(xiàng)。

（7）沒有考慮網(wǎng)絡(luò)通信通道上可能發(fā)生的入侵。

（8）沒有定義UE在服務(wù)網(wǎng)絡(luò)中如何獲取歸屬網(wǎng)絡(luò)的認(rèn)證參數(shù)的方案。

（9）不具備隨時(shí)間推移升級(jí)和改善安全功能的靈活性。

雖然過(guò)去的GSM存在這些問(wèn)題，但已經(jīng)在3GPP的規(guī)范中通過(guò)技術(shù)演進(jìn)得到解決。新的移動(dòng)通信系統(tǒng)能夠充分保護(hù)用戶產(chǎn)生的或與用戶有關(guān)的信息，以防止被濫用或盜用；系統(tǒng)充分保護(hù)服務(wù)網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)的資源和服務(wù)，以防止被濫用或盜用；通信系統(tǒng)的標(biāo)準(zhǔn)化的安全功能與全球可用性兼容；通信系統(tǒng)對(duì)安全功能充分標(biāo)準(zhǔn)化，以確保全球范圍內(nèi)的互操作性及不同服務(wù)網(wǎng)絡(luò)之間的漫游；通信系統(tǒng)向用戶和服務(wù)提供者提供更高的保護(hù)水平；通信系統(tǒng)可以根據(jù)新威脅和服務(wù)的要求擴(kuò)展并增強(qiáng)3GPP安全功能和機(jī)制的實(shí)現(xiàn)。

在5G網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全更進(jìn)一步得到強(qiáng)化，包括實(shí)現(xiàn)了更完善的認(rèn)證措施、更全面的數(shù)據(jù)防護(hù)、更嚴(yán)密的隱私保護(hù)。

1.4.1 5G網(wǎng)絡(luò)的安全需求

傳統(tǒng)的通信網(wǎng)絡(luò)安全防護(hù)側(cè)重于用戶側(cè)安全和運(yùn)營(yíng)商網(wǎng)絡(luò)安全。用戶側(cè)安全關(guān)注身份鑒權(quán)和完整性保護(hù)；運(yùn)營(yíng)商網(wǎng)絡(luò)安全關(guān)注網(wǎng)絡(luò)自身、漫游、互聯(lián)互通和業(yè)務(wù)安全。

由于在5G網(wǎng)絡(luò)中所出現(xiàn)的多項(xiàng)變化，網(wǎng)絡(luò)安全需求也隨之增加。在業(yè)務(wù)接入方面，5G網(wǎng)絡(luò)接入更多新的業(yè)務(wù)和行業(yè)，涉及的安全層面會(huì)更廣；在網(wǎng)絡(luò)技術(shù)方面，引入網(wǎng)絡(luò)IT化后需要關(guān)注虛擬化、SDN等技術(shù)造成的網(wǎng)絡(luò)邊界模糊；由于5G采用高度集中的核心網(wǎng)絡(luò)組網(wǎng)模式，需要對(duì)網(wǎng)絡(luò)安全提出更高的要求；在網(wǎng)絡(luò)接入方面，多種新的接入方式有新的安全需求，除了手機(jī)終端的接入外，還包括物聯(lián)網(wǎng)、邊緣計(jì)算等新的接入方式需要進(jìn)行安全保護(hù)；隨著5G網(wǎng)絡(luò)作為平臺(tái)接入更多的行業(yè)應(yīng)用，對(duì)用戶數(shù)據(jù)的保護(hù)也提出了更高的要求。

可見，5G網(wǎng)絡(luò)的安全需求已經(jīng)不再局限于某一環(huán)節(jié)，需要從端到端的角度進(jìn)行考慮。5G網(wǎng)絡(luò)設(shè)備提供商應(yīng)在產(chǎn)品設(shè)計(jì)研發(fā)階段實(shí)現(xiàn)安全需求；網(wǎng)絡(luò)運(yùn)營(yíng)商需要根據(jù)5G網(wǎng)絡(luò)的新特點(diǎn)更新安全運(yùn)維和技術(shù)手段；網(wǎng)絡(luò)業(yè)務(wù)開發(fā)人員應(yīng)識(shí)別5G網(wǎng)絡(luò)的安全變化在應(yīng)用層面提升安全能力，網(wǎng)絡(luò)的各環(huán)節(jié)應(yīng)充分發(fā)揮5G網(wǎng)絡(luò)的高度集中性和靈活性，打造更全面的5G網(wǎng)絡(luò)安全防護(hù)體系。

1.4.2 5G網(wǎng)絡(luò)的總體安全原則

5G網(wǎng)絡(luò)的總體安全原則包括以下幾個(gè)方面。

（1）5G系統(tǒng)應(yīng)支持存儲(chǔ)緩存數(shù)據(jù)的安全機(jī)制。

（2）5G系統(tǒng)應(yīng)支持接入內(nèi)容緩存應(yīng)用過(guò)程的安全機(jī)制。

（3）5G系統(tǒng)應(yīng)支持在運(yùn)營(yíng)商的服務(wù)托管環(huán)境中接入服務(wù)或應(yīng)用過(guò)程的安全機(jī)制。

（4）5G系統(tǒng)應(yīng)支持與接入技術(shù)無(wú)關(guān)的安全框架。

（5）5G系統(tǒng)應(yīng)支持運(yùn)營(yíng)商授權(quán)其他PLMN的簽約用戶接收臨時(shí)服務(wù)（如關(guān)鍵任務(wù)服務(wù)）的機(jī)制。

（6）5G系統(tǒng)應(yīng)能夠?yàn)槭跈?quán)用戶提供臨時(shí)服務(wù)，而無(wú)須接入其歸屬網(wǎng)絡(luò)。

（7）5G系統(tǒng)應(yīng)允許運(yùn)營(yíng)商授權(quán)第三方創(chuàng)建、修改和刪除網(wǎng)絡(luò)切片，但要遵守第三方與網(wǎng)絡(luò)運(yùn)營(yíng)商之間的協(xié)議。

（8）5G系統(tǒng)應(yīng)提供安全機(jī)制，以保護(hù)中繼的數(shù)據(jù)不被中繼UE截獲。根據(jù)歸屬公共陸地移動(dòng)網(wǎng)絡(luò)（PLMN，Public Land Mobile Network）策略及其服務(wù)和運(yùn)營(yíng)需求，5G系統(tǒng)應(yīng)可根據(jù)用戶簽約所支持的服務(wù)對(duì)使用可接入EPS（演進(jìn)分組系統(tǒng)）的USIM的用戶進(jìn)行驗(yàn)證，即使該用戶沒有使用5G USIM。

（9）5G系統(tǒng)應(yīng)為使用5G LAN類型服務(wù)的授權(quán)UE之間的通信提供完整性保護(hù)和機(jī)密性保護(hù)。

（10）5G虛擬網(wǎng)絡(luò)將能夠驗(yàn)證請(qǐng)求加入特定專用通信的UE的身份。

（11）5G系統(tǒng)應(yīng)提供適當(dāng)?shù)腁PI（應(yīng)用程序編程接口），以允許在私有切片所服務(wù)的任何UE與該私有切片中的核心網(wǎng)絡(luò)實(shí)體之間使用受信任的第三方提供的機(jī)密性服務(wù)。

1.4.3 5G網(wǎng)絡(luò)的認(rèn)證能力要求

5G網(wǎng)絡(luò)的認(rèn)證能力要求如下。

（1）5G網(wǎng)絡(luò)應(yīng)支持資源高效的機(jī)制，以便批量認(rèn)證多個(gè)物聯(lián)網(wǎng)設(shè)備。

（2）5G系統(tǒng)應(yīng)支持有效的方式，以通過(guò)物聯(lián)網(wǎng)設(shè)備（如生物識(shí)別技術(shù)）對(duì)用戶進(jìn)行身份驗(yàn)證。

（3）5G系統(tǒng)應(yīng)能夠支持使用3GPP憑證通過(guò)非3GPP接入技術(shù)進(jìn)行認(rèn)證。

（4）5G系統(tǒng)應(yīng)支持網(wǎng)絡(luò)運(yùn)營(yíng)商控制的替代身份驗(yàn)證方法［AKA（認(rèn)證和密鑰協(xié)商）的替代方法］，該方法具有不同類型的憑據(jù)，可用于隔離部署場(chǎng)景（如工業(yè)自動(dòng)化）中的物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)接入。

（5）5G系統(tǒng)應(yīng)支持合適的框架［如可擴(kuò)展認(rèn)證協(xié)議（EAP，Extensible Authentication Protocol），該框架允許將具有非3GPP身份和憑證的替代認(rèn)證方法（如AKA）用于非公共網(wǎng)絡(luò)中的UE網(wǎng)絡(luò)接入認(rèn)證。非公共網(wǎng)絡(luò)可以使用3GPP身份驗(yàn)證方法，身份和憑據(jù)供UE接入網(wǎng)絡(luò)，但也可以使用非基于AKA的身份驗(yàn)證方法（如EAP框架提供）。

（6）5G系統(tǒng)應(yīng)支持PLMN認(rèn)證和授權(quán)UE接入托管非公共網(wǎng)絡(luò)和與托管關(guān)聯(lián)的PLMN專用切片非公共網(wǎng)絡(luò)的機(jī)制。

（7）5G網(wǎng)絡(luò)應(yīng)支持3GPP支持的機(jī)制，以認(rèn)證用于5G LAN虛擬網(wǎng)絡(luò)接入的傳統(tǒng)非3GPP設(shè)備。

1.4.4 5G網(wǎng)絡(luò)的授權(quán)能力要求

5G網(wǎng)絡(luò)的授權(quán)能力要求如下。

（1）5G系統(tǒng)應(yīng)允許運(yùn)營(yíng)商授權(quán)物聯(lián)網(wǎng)設(shè)備使用僅限于物聯(lián)網(wǎng)設(shè)備的一個(gè)或多個(gè)5G系統(tǒng)功能。

（2）5G系統(tǒng)應(yīng)允許運(yùn)營(yíng)商授權(quán)或取消授權(quán)UE使用5G局域網(wǎng)型服務(wù)。

（3）基于運(yùn)營(yíng)商策略，在使用非3GPP接入技術(shù)建立直接設(shè)備連接之前，物聯(lián)網(wǎng)設(shè)備可以使用3GPP憑據(jù)來(lái)確定它們是否被授權(quán)進(jìn)行直接設(shè)備連接。

（4）基于運(yùn)營(yíng)商策略，5G系統(tǒng)應(yīng)提供一種手段來(lái)驗(yàn)證UE是否被授權(quán)使用特定服務(wù)的優(yōu)先網(wǎng)絡(luò)接入權(quán)限。

1.4.5 5G網(wǎng)絡(luò)的身份管理

5G網(wǎng)絡(luò)的身份管理要求如下。

（1）5G系統(tǒng)應(yīng)為運(yùn)營(yíng)商提供一種機(jī)制，允許其使用隱藏簽約用戶身份的臨時(shí)標(biāo)識(shí)符來(lái)通過(guò)UE進(jìn)行接入。

（2）5G系統(tǒng)應(yīng)為運(yùn)營(yíng)商提供一種機(jī)制，使其使用隱藏簽約用戶身份的臨時(shí)標(biāo)識(shí)符允許來(lái)自間接網(wǎng)絡(luò)連接的UE的接入。

（3）歸屬PLMN應(yīng)該能夠?qū)⑴R時(shí)標(biāo)識(shí)符與UE的用戶身份相關(guān)聯(lián)。

（4）5G系統(tǒng)應(yīng)能夠保護(hù)用戶身份和其他用戶標(biāo)識(shí)信息免受被動(dòng)攻擊。

（5）根據(jù)國(guó)家或地區(qū)法規(guī)要求，5G系統(tǒng)應(yīng)能夠保護(hù)用戶身份和其他用戶標(biāo)識(shí)信息免受主動(dòng)攻擊。

（6）5G系統(tǒng)應(yīng)能夠在需要時(shí)允許合法實(shí)體收集設(shè)備標(biāo)識(shí)符，而與UE的用戶接口無(wú)關(guān)。

（7）5G系統(tǒng)應(yīng)能夠獨(dú)立于設(shè)備識(shí)別而支持簽約用戶識(shí)別。

（8）5G系統(tǒng)應(yīng)支持安全機(jī)制以收集系統(tǒng)信息，同時(shí)確保最終用戶和應(yīng)用過(guò)程的隱私。

（9）在遵守國(guó)家或地區(qū)法規(guī)要求的前提下，5G系統(tǒng)應(yīng)能夠提供5G定位服務(wù)，同時(shí)保護(hù)UE用戶或所有者的隱私，這包括5G系統(tǒng)按需提供定位服務(wù)的能力，而不必連續(xù)跟蹤所涉及UE的位置。

（10）對(duì)于使用5G技術(shù)的專用網(wǎng)絡(luò)，5G系統(tǒng)應(yīng)使用由第三方提供和管理并由3GPP支持的身份、憑證和身份驗(yàn)證方法來(lái)支持網(wǎng)絡(luò)接入。

1.4.6 5G網(wǎng)絡(luò)監(jiān)管

5G網(wǎng)絡(luò)的監(jiān)管要求如下。

（1）5G系統(tǒng)應(yīng)滿足所有支持接入網(wǎng)絡(luò)的國(guó)家或地區(qū)法規(guī)要求。

（2）5G系統(tǒng)應(yīng)根據(jù)國(guó)家或地區(qū)法規(guī)要求支持合法攔截。

（3）連接到多個(gè)國(guó)家和地區(qū)的5G核心網(wǎng)絡(luò)的5G衛(wèi)星接入網(wǎng)絡(luò)應(yīng)能夠滿足這些國(guó)家和地區(qū)的相應(yīng)監(jiān)管要求。

（4）5G系統(tǒng)應(yīng)支持5G局域網(wǎng)型服務(wù)的法規(guī)要求。

1.4.7 欺詐保護(hù)

5G的欺詐保護(hù)要求如下。

（1）根據(jù)國(guó)家或地區(qū)法規(guī)要求，5G系統(tǒng)應(yīng)支持一種安全機(jī)制，在收到UE被盜的報(bào)告后，允許授權(quán)實(shí)體禁止該UE繼續(xù)在網(wǎng)絡(luò)中使用。

（2）在遵守國(guó)家或地區(qū)法規(guī)要求的前提下，5G系統(tǒng)應(yīng)支持一種安全機(jī)制，以允許授權(quán)實(shí)體重新啟用已恢復(fù)的被盜UE使其正常運(yùn)行。

（3）5G系統(tǒng)應(yīng)能夠保護(hù)用戶位置信息免受被動(dòng)攻擊。

（4）根據(jù)國(guó)家或地區(qū)法規(guī)要求，5G系統(tǒng)應(yīng)能夠保護(hù)用戶位置信息免受主動(dòng)攻擊。

（5）根據(jù)國(guó)家或地區(qū)法規(guī)要求，5G系統(tǒng)應(yīng)支持各種機(jī)制，以保護(hù)用戶位置信息和與用戶定位有關(guān)的數(shù)據(jù)，以防篡改和欺騙。

（6）根據(jù)國(guó)家或地區(qū)法規(guī)要求，5G系統(tǒng)應(yīng)支持檢測(cè)有篡改用戶位置信息和與用戶位置相關(guān)的數(shù)據(jù)的企圖的機(jī)制。

1.4.8 5G安全功能的資源效率

5G安全功能的資源效率要求如下。

（1）5G系統(tǒng)應(yīng)在不影響3GPP系統(tǒng)安全級(jí)別的情況下最小化安全信令開銷。

（2）5G系統(tǒng)應(yīng)支持有效的安全機(jī)制，以將相同的數(shù)據(jù)（如服務(wù)供應(yīng)多個(gè)傳感器）傳輸給多個(gè)UE。

1.4.9 數(shù)據(jù)安全和隱私

數(shù)據(jù)安全和隱私保護(hù)要求如下。

（1）5G系統(tǒng)應(yīng)支持為uRLLC和能源受限設(shè)備提供服務(wù)的數(shù)據(jù)完整性保護(hù)和機(jī)密性方法。

（2）5G系統(tǒng)應(yīng)支持一種機(jī)制，以驗(yàn)證消息的完整性和消息發(fā)送者的真實(shí)性。

（3）5G系統(tǒng)應(yīng)在請(qǐng)求的端到端時(shí)延內(nèi)支持uRLLC服務(wù)的加密。

1.4.10 5G系統(tǒng)的安全功能

5G系統(tǒng)的安全功能如下。

（1）通過(guò)網(wǎng)絡(luò)對(duì)UE進(jìn)行身份驗(yàn)證，UE與網(wǎng)絡(luò)相互進(jìn)行身份驗(yàn)證。

（2）安全上下文的生成和分發(fā)。

（3）用戶面數(shù)據(jù)機(jī)密性和完整性保護(hù)。

（4）控制面信令機(jī)密性和完整性保護(hù)。

（5）用戶身份保密。

（6）合法監(jiān)聽和攔截。

（7）當(dāng)UE通過(guò)NG-RAN（NG無(wú)線接入網(wǎng)絡(luò)）和獨(dú)立的非3GPP接入進(jìn)行連接時(shí)，使用獨(dú)立的NAS安全上下文對(duì)多個(gè)N1實(shí)例進(jìn)行安全保護(hù)，每個(gè)NAS（網(wǎng)絡(luò)附屬存儲(chǔ)）上下文都是基于相應(yīng)SEAF（安全錨功能）中的安全上下文創(chuàng)建的。

1.4.11 5G主要場(chǎng)景的網(wǎng)絡(luò)安全

5G網(wǎng)絡(luò)可以分為3種場(chǎng)景：eMBB、mMTC和uRLLC，需要針對(duì)這3種業(yè)務(wù)場(chǎng)景的不同安全需求提供差異化安全保護(hù)機(jī)制。

（1）對(duì)于eMBB場(chǎng)景，由于eMBB是傳統(tǒng)通信業(yè)務(wù)的演進(jìn)，主要考慮如何加強(qiáng)對(duì)用戶數(shù)據(jù)的完整性、機(jī)密性、可用性等通用安全保障需求。

（2）對(duì)于mMTC場(chǎng)景，由于物聯(lián)網(wǎng)設(shè)備連接數(shù)量眾多，而且使用環(huán)境、計(jì)算處理能力、處理資源限制等方面具有較大的差異，因此，如果采用傳統(tǒng)的認(rèn)證方式，則會(huì)造成物聯(lián)網(wǎng)設(shè)備制造和使用成本較高，這就需要降低物聯(lián)網(wǎng)設(shè)備在認(rèn)證和身份管理方面的成本，以支撐物聯(lián)網(wǎng)設(shè)備的低成本和高效率海量部署。5G網(wǎng)絡(luò)將接入海量物聯(lián)網(wǎng)設(shè)備。物聯(lián)網(wǎng)設(shè)備的特點(diǎn)是具有不同的使用周期、不同的用戶接入界面、需要較長(zhǎng)的使用周期，物聯(lián)網(wǎng)設(shè)備的歸屬所有權(quán)有可能發(fā)生變化，如某些物聯(lián)網(wǎng)消費(fèi)品的銷售和轉(zhuǎn)換。為了適應(yīng)物聯(lián)網(wǎng)的這些特點(diǎn)，5G網(wǎng)絡(luò)引入了動(dòng)態(tài)建立或刷新憑證和簽約的安全機(jī)制，支持獨(dú)立的接入安全性，支持包括授權(quán)和非授權(quán)、3GPP和非3GPP在內(nèi)的多種新型接入技術(shù)。5G網(wǎng)絡(luò)強(qiáng)化了防止盜竊和欺詐行為的保護(hù)以支持智能手機(jī)、無(wú)人機(jī)和工廠自動(dòng)化的應(yīng)用。

（3）對(duì)于uRLLC場(chǎng)景，由于其對(duì)端到端時(shí)延的嚴(yán)格要求，因此，在進(jìn)行安全保障時(shí)，需要優(yōu)化業(yè)務(wù)接入時(shí)延、數(shù)據(jù)傳輸時(shí)延，以及相關(guān)安全處理帶來(lái)的時(shí)延。

高水平的5G安全性為社會(huì)關(guān)鍵領(lǐng)域，如工業(yè)自動(dòng)化、工業(yè)物聯(lián)網(wǎng)和智能電網(wǎng)等提供了更好的支持。在企業(yè)、交通、公共安全等領(lǐng)域，5G增強(qiáng)了用戶隱私的保護(hù)能力。5G網(wǎng)絡(luò)安全技術(shù)可以滿足這些新的安全需求，并繼續(xù)提供與現(xiàn)有3GPP通信系統(tǒng)一致的安全性。