国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1 引言

5G作為新一代移動通信技術，與傳統網絡相比，具有更高速率、更低功耗、更短時延和更大連接等特性。此外，5G在大幅提升移動互聯網業務能力的基礎上，進一步拓展到物聯網領域，服務對象從人與人通信拓展到人與物、物與物通信，開啟萬物互聯的新時代。5G主要面向的三大業務場景包括增強移動寬帶（eMBB）、海量機器類通信（mMTC）和超可靠低時延通信（uRLLC）。

5G網絡的發展趨勢，尤其是5G新業務、新架構、新技術，對安全和用戶隱私保護都提出了新的挑戰。本文將基于5G網絡架構逐層分析5G網絡存在的安全風險進行梳理分析，并從加強5G網絡安全建設、建立安全風險分級分類保障機制、完善5G安全標準體系三個方面入手提出對策與建議。

2 風險分析

2.1 總體架構

總體來說，5G網絡技術變革帶來的新的風險主要體現在終端多樣化、網絡功能虛擬化、網絡切片化、業務邊緣化、網絡開放化以及應用多樣化。與4G網絡相比，5G網絡暴露給攻擊者的信息量大幅增加，面臨著更高的安全風險。如圖1所示，基于5G網絡架構，逐層對5G網絡可能存在的安全風險進行分析。

2.2 接入層

2.2.1 終端設備安全

總體來說，終端面臨的安全風險與網絡通信和終端自身相關。一方面，對于網絡通信，在無線環境中，終端面臨著身份被盜用、數據被竊取與篡改的安全威脅；另一方面，對于終端的硬件，5G網絡支持的終端多樣化，終端面臨的安全問題主要源于終端芯片設計上存在的漏洞或硬件體系安全防護的不足，導致敏感數據面臨被泄露、篡改等安全風險；在終端軟件方面，還存在網絡攻擊者通過終端的軟件系統發起攻擊的安全風險。終端面臨與網絡通信相關的安全風險點具體如下。

（1）終端的真實性與數據的機密性

終端設備的真實性，尤其是物聯網設備的真實性是防御安全攻擊的關鍵。5G網絡的非接入層對設備的識別與認證不再基于SIM卡，尤其是采用靈活認證方式的物聯網設備，例如eSIM應用，給終端設備的認證帶來挑戰，終端的真實性受到影響。

在防御分布式拒絕服務攻擊（DDoS）的場景下，來自互聯網服務器的DDoS攻擊通常在已通過身份驗證的設備上生成。這類攻擊可以對源IP地址進行偽造，使得這種攻擊在發生的時候具有較高的隱蔽性。因此，為抵御DDoS攻擊，必須在系統的不同位置采取措施識別并弱化攻擊強度。

此外，真實性較低的終端設備還會受到普通文件傳輸協議（TFTP）中間人攻擊，導致第三方設備對會話中的通信進行竊聽，對數據的機密性構成威脅。

（2）網絡接入層設備功能的可用性

部分接入層的終端設備，尤其是M2M設備具有顯著的低功耗和不同的數據傳輸模式。此外，接入層設備計算資源有限，性能較低，很難提高網絡功能的可用性。

2.2.2 基站空口安全

基站空口存在的安全風險主要包括兩大類。

（1）由無線環境中的外部不可控因素引發的安全風險：無線環境中的偽基站會干擾無線信號，導致5G終端降級接入，連接至不安全的2G/3G/4G網絡中。無線環境中廣泛分布的安全性較低的物聯網設備若遭受攻擊，可能會對基站或核心網發起DDoS攻擊，這會降低網絡設備功能的可用性。

（2）空口協議存在的安全風險：3GPP協議自身存在的漏洞可能面臨身份假冒、服務抵賴、重放攻擊 等風險，這會對終端真實性造成影響；終端制造商為提升服務質量、降低時延，選擇關閉對用戶數據的加密或完整性保護選項，導致用戶數據被惡意篡改，這會給數據的機密性與完整性帶來影響。

2.3 網絡層

2.3.1 網絡切片

按照業務邏輯需求，5G網絡能夠分成不同的網絡切片，其中至少分為增強移動寬帶、高可靠低時延、大連接三大類。通過網絡切片管理為每一個業務組織形成一個虛擬化的專用網絡。

目前，網絡切片在5G生產系統中尚未廣泛應用，其脆弱性需有待全面評估，潛在的安全風險點集中體現在：切片中共享的通用網絡接口、管理接口、切片之間的接口、切片的選擇與管理。這些接口存在被非法調用的風險，一旦非法的攻擊者通過這些接口訪問業務功能服務器，濫用網絡設備，非法獲取包括用戶標識在內的隱私數據，給用戶標識安全性、數據機密性與完整性、網絡功能可用性帶來影響。

（1）用戶標識安全性

若直接使用真實的用戶標識進行用戶與用戶或者用戶與應用平臺之間的通信，一旦系統的網絡切片或切片之間的接口被非法程序訪問，用戶的標識容易遭到泄露。用戶真實身份以及其他關聯的隱私信息存在泄露的隱患。用戶標識被識別后其通信活動與內容受到攻擊者的非法竊聽或攔截。

（2）數據機密性

在安全隔離方面，網絡切片技術使得網絡邊界模糊，若網絡切片的管理域與存儲敏感信息域沒有實現隔離，一旦網絡切片遭到攻擊，切片中存儲的敏感信息將會遭到泄露；在身份認證方面，未經過授權的設備訪問網絡切片會導致端對應用的非法使用，非法客戶端也存在被黑客利用的風險，造成數據的泄露。

（3）數據完整性與網絡功能可用性

在業務與應用的服務質量方面，實現5G的每一個網絡切片均有一組特定的QoS參數集，這些參數的配置與網絡服務質量、數據的完整性密切相關，應在保障安全的前提下保證用戶的服務質量。在5G主要應用場景中，超可靠超低時延通信（uRLLC）與海量機器類通信（mMTC）均對服務質量具有較高的要求。若大幅降低時延提升傳輸速率，會導致數據丟包率上升，數據的完整性難以保證。

在基礎設施共享方面，多個網絡切片共享通用的硬件設備，一旦硬件設備遭到破壞，將會導致使用該設備的多個切片都會受到功能性破壞，網絡功能的可用性受到嚴重影響。

2.3.2 邊緣計算

邊緣計算是將網絡業務和計算能力下沉到更接近用戶的無線接入網側，從而降低核心網的負載和開銷，并降低了業務時延。邊緣計算給5G網絡帶來的安全風險點如下。

（1）用戶標識的安全性：網絡邊緣設備安全防護能力較弱，可能會面臨網絡攻擊，用戶終端與邊緣設備之間的流量容易受到截斷或者監聽，攻擊者可能在流量中捕獲并識別出用戶標識。

（2）數據機密性與完整性：邊緣計算將采用開放的應用程序接口（API）、開放的網絡功能虛擬化（NFV）等技術，開放性接口的引入將邊緣計算暴露給外部攻擊者，攻擊者通過非法訪問開放接口，竊取或者被非法篡改數據。

（3）終端的真實性：由于網絡邊緣的資源有限，相較于核心網，邊緣節點的計算能力較弱，對于終端的身份驗證能力下降。

（4）網絡功能的可用性：邊緣計算基礎設施通常部署在無線基站等網絡邊緣，更容易被暴露在不安全的環境中，設備面臨著功能性損壞的風險。

2.3.3 軟件定義網絡

5G網絡最突出的特征為通過軟件定義網絡（SDN）實現了控制面與用戶面的分離，利用網絡操作系統集中管理網絡，基于大數據和人工智能為每一個業務流計算出端到端的路由，而且將路由信息嵌入到原節點的IPv6擴展報頭，并按照原路徑傳遞到各節點，中間節點只需轉發而無需選路，保證低時延轉發，從而實現對流量的靈活控制。

SDN技術的引入給5G網絡的數據機密性與完整性帶來安全風險。面對不斷變化的網絡資源，SDN計算出來的路由可能存在沖突，尤其是在跨地區路由的場景下，需要SDN之間交換業務流和網絡資源數據，這就增加了復雜性，容易出現路由計算失誤、數據包丟失或者將數據傳送至錯誤的目的地址，導致傳輸的數據的完整性受到影響。此外，虛擬化基礎設備的API也會對數據的機密性與完整性產生影響：一是數據竊取，用戶的密碼等信息被竊取，登錄賬號發布敏感信息；二是數據篡改，提交的數據被抓包后進行篡改后再提交；三是數據泄露，爬蟲將業務數據甚至核心數據抓取，直接或間接造成損失。

SDN技術給5G網絡的功能可用性帶來的風險可從軟件與硬件兩個方面分析：一是在軟件方面，與傳統移動網絡相比，5G網絡對軟件的依賴性增大，給網絡運營帶來了新的威脅，因此必須確保這些軟件不會暴露或者被惡意篡改；二是在硬件方面，SDN控制器等相關硬件設備同樣存在功能性破壞或者盜用的安全風險。此外，在硬件設備發生故障后，系統恢復應通過自動化的方式恢復NFV、SDN、MANO系統之間的互操作性功能。

2.3.4 網絡功能虛擬化

與傳統移動網絡相比，虛擬化技術（NFV）基于通用的硬件，自定義軟件。這種技術給5G網絡帶來許多優點的同時也存在諸多安全風險。

（1）在軟件方面，若虛擬化系統存在漏洞，若遭到基于軟件的網絡攻擊，系統功能性會遭到破壞；若存儲了敏感或重要信息的功能模塊與受到損壞的功能之間沒有實現安全隔離，還會導致數據的機密性受到影響。

（2）在硬件方面，通用硬件設備存在安全弱點：一是通用硬件設備的安全，部署在機房中的設備受到環境的影響，設備可能會受到物理性的損壞；二是在故障恢復方面，設備故障發生后，要做到快速恢復；三是通用的基礎設施存在設備被非法使用的風險。

虛擬化技術在軟件和硬件方面給5G網絡的網絡功能可用性、數據的機密性帶來較高的安全風險。此外。由于5G網絡采用多層級的上下文認證方式，并配置多屬性的QoS用于上下文感知，包括多種用戶上下文（如應用程序和使用模式）和設備上下文（如位置和速度）。這些認證方式如果存在漏洞，容易被攻擊者破解，給終端設備和用戶的認證帶來影響，使得終端的真實性降低。

2.3.5 應用運營支撐系統

5G應用的運營支撐系統，不僅包括類似于傳統網絡的故障管理、配置管理、告警管理、性能管理，還包括虛擬化的網絡功能的管理,根據用戶的需求，對網絡功能進行配置、調整。

運營支撐系統通常情況下會分級管理，較低一級的系統通常部署的比較分散，數據存儲分散，安全管理與防御能力較弱，其功能可能被非法使用還會造成業務數據的泄露或者丟失，數據的機密性和完整性面臨著挑戰。

再者，如果運營支撐系統存在安全漏洞，遭到黑客攻擊，會導致網絡功能遭到破壞，網絡功能的可用性受到影響。

2.4 應用層

5G網絡面向多種垂直行業應用，如智慧城市、智慧醫療、智能家居、智能農業、金融、車聯網等，這些應用通過多種方式進行配置以實現跨網絡的運行具有潛在的安全風險。其中，金融服務、智慧醫療服務、車聯網具有較高風險。

5G多樣化的垂直應用如圖2所示。其中，個別重點行業領域具有特殊的安全要求。例如，面向行業（to B）和面向用戶（to C）的應用。to B應用包括機器人技術和自動化、自動車聯網和遠程醫療設備上的應急通信應用系統；to C應用包括增強現實（AR）、虛擬現實（VR）等新技術。相較于傳統網絡，這些5G應用對網絡的安全提出了更高、更復雜的要求。

總體上，在5G應用層，用戶標識安全性、數據的完整性與機密性存在一定的安全風險。各類垂直行業應用的業務相關系統中的服務器會生成、處理、存儲大量用戶敏感信息，業務系統如果存在安全問題，遭到黑客攻擊，容易造成用戶數據泄露。金融服務應用相關系統存儲包括個人身份信息、銀行賬戶在內的相關金融信息，如果遭到泄露容易給用戶造成較大的經濟損失；智慧醫療除了涉及用戶隱私信息之外，還與個人健康甚至是生命息息相關，若智能醫療系統存在漏洞遭到黑客攻擊控制，嚴重的情況會導致醫療事故，給個人的生命造成巨大損失；車聯網涉及用戶的行動軌跡，若車聯網相關用戶信息遭到泄露，用戶隱私受到威脅。此外，車聯網管理與控制系統如果遭到黑客非法操縱，易引發交通事故，造成較大的社會影響，甚至影響到國家的安全穩定發展。

2.5 數據傳輸

在數據傳輸方面存在的安全風險進行分析，5G網絡從接入層到應用層，數據傳輸的整個過程面臨著被攔截、竊聽、篡改等風險，數據的機密性與完整性會受到影響。

（1）在接入側，可能會出現針對以無線信號為載體對信息內容篡改、假冒、中間人轉發和重放等形式的無線接入攻擊，數據的機密性與完整性受到嚴重影響。

（2）在網絡層，核心網絡設備之間的傳輸線路同樣存在遭到破壞或者非法安裝竊聽設備導致數據被竊取的風險。

（3）在應用層，不同的應用服務提供商除了在企業內部機房自建服務器，還會租用第三方CDN機房的服務器和鏈路，數據在傳輸的過程中同樣面臨著被攔截、竊取的風險。

2.6 安全風險總結

綜上所述，5G網絡在接入層、網絡層以及應用層面臨的安全風險點集中體現在4個方面。

（1）用戶標識的安全性，應做好用戶標識符的隱私保護。在移動網絡中，可采用標識匿名的方式防止攻擊者識別出個人用戶，以防攻擊者通過核心網和無線接入網滲透進行的流量監測和流量分析。

（2）數據的機密性與完整性，需對網絡傳輸、業務服務器處理、數據庫存儲的涉及用戶隱私的數據進行加密，防止敏感信息遭到泄露。

（3）終端的真實性，為防止攻擊者冒充合法用戶獲取免費的服務，移動網絡對每一個接入網絡的終端進行身份驗證，確保終端用戶身份真實可靠。

（4）網絡功能的可用性，在提升安全能力的同時需要考慮網絡功能與設備的性能的要求，確保網絡功能與設備性能不會大幅下降,需要在網絡功能、設備性能與安全需求間保持平衡。

3 對策與建議

3.1 總體建議

基于5G網絡面臨的四大風險點出發，給出如下建議。

一是從用戶標識的安全性、數據的機密性與完整性、終端的真實性以及網絡功能的可用性4個方面入手加強網絡安全建設，基于5G網絡架構，結合5G網絡新特性，逐層完善安全防護手段。

二是建立安全風險分級分類保障機制。將安全風險相關方進行分類，劃分優先級，分級分類提出解決方案，優先解決損失最大的風險所有者。

三是完善5G安全標準體系。不同垂直行業企業通過標準化組織制定統一的標準，對安全解決方案進行規范化，提升安全防護能力。

3.2 加強5G網絡安全建設

從近期來看，應加大5G 安全相關建設的投入，從用戶標識安全性、數據的機密性與完整性、終端真實性以及網絡功能的可用性4個方面入手，在終端設備、網絡虛擬化、網絡切片、邊緣計算等方面采用一定的安全技術保證5G網絡安全，采取相應措施應對安全風險，構建安全穩定的5G網絡架構，提高5G網絡整體安全性。具體安全保障措施建議如下。

3.2.1 用戶標識的安全性

在接入層加強終端標識的認證，在網絡層對用戶標識進行加密存儲與傳輸，在應用層對用戶標識進行轉化，將轉化后的標識用于端到端以及端與平臺之間的通信。

3.2.2 數據的機密性與完整性

3.2.3 終端的真實性

構建按統一的標準的身份管理系統，采用多種靈活的認證方式與身份標識，加強終端認證能力，保證接入網絡的所有設備的合法性，提升終端的真實性。

3.2.4 網絡功能的可用性

在接入層中有限的計算資源下控制設備能效與安全之間的平衡，在保證安全的前提下提升設備的性能與功能可用性。

在網絡層采用多終端提高網絡功能的可用性：一是建立完備的病毒庫，及時更新，提升防御攻擊能力；二是采取必要的措施實現易受攻擊設備與存儲敏感信息設備之間的安全隔離；三是做好虛擬化系統間接口的安全認證，防止系統被非法調用，其功能受到影響。

在應用層制定適用于M2M應用的安全解決方案，為避免留下破壞系統安全的后門，可將安全算法應用于M2M設備實現網絡高能效與高安全保障之間的平衡。

3.3 建立安全風險分級分類保障機制

當5G網絡受到安全攻擊，其系統的完整性、可用性和機密性遭到損害。在安全領域，這些組織或個人被稱為“風險所有者”。建議將安全風險相關方進行分類，劃分優先級，分級分類地提出解決方案，優先解決受到損失最大的風險所有者。對于風險所有者分級分類的建議如圖3所示，圖中金字塔高層的用戶比低層的用戶具有較高的風險。隨著受到安全攻擊影響的用戶數量增加，風險度也會進一步增加，即發生安全事件時，用戶數量越多，所受影響越大。

在滿足5G安全要求的同時，應考慮5G網絡和業務的主要利益相關者的需求。在通常情況下，不同的策略之間存在潛在的沖突。表1可以根據不同策略提供優先級選擇指南。不同的應用場景下，不同的利益相關者會將不同的因素作為需求納入優先考慮范圍。

3.4 完善5G安全標準體系

從長期來看，建議加快標準制定，不同的垂直行業企業可以通過標準化組織制定統一的安全標準，為5G新技術新應用提供標準化的解決方案，提升全方位的防護能力。一方面，不同垂直行業領域的企業組織應通過標準化組織機構與工業論壇相互合作，制定統一規范的安全標準；另一方面，5G產業鏈內部各方應加強協同合作，確保各環節安全，形成綜合的5G安全治理體系，具備全方位的安全防護能力。

建議5G網絡涉及的所有行業的標準協會組織加強協同合作，共同制定規范，采用安全的端到端（E2E）跨層方法，提升5G網絡不同部分（包括移動核心網、傳輸、接入、服務與應用）之間的安全互操作性。同時，應確保單個標準協會組織提供的安全解決方案在有限的范圍內不具備較高的特殊性，從而在所有5G網絡系統之間留下安全間隙，實現網絡互聯。

參考文獻

[1] Department for Digital, Culture, Media & Sport, UK.DCMS 5G testbeds and trials programme (5G T&T)[EB/OL]. (2019-08-27)[2020-02-10]. https://www.gov. uk/government/collections/5g-testbeds-andtrials-programme.

[2] Brahima Sanou Director, Telecommunication development bureau, ITU. Setting the scene for 5G: Opportunities & Challenges, ITU report, 2018[EB/OL]. (2018-09-30)[2020-02-10]. https://www.itu.int/en/ITU-D/ Documents/ITU_5G_REPORT-2018. pdf.

[3] 3GPP. Feasibility study on new services and markets technology enablers for enhanced mobile broadband; Stage 1, 3GPP technical specification TS 22. 863 [EB/OL].(2016-09-30)[2020-02-10]. http://www.3gpp.org/ftp// Specs/archive/22_series/22. 863/.

[4] 3GPP. Feasibility study on new services and markets technology enablers for critical communications; Stage 1,3GPP technical specification TS 22. 862[EB/OL].(2016-10-04)[2020-02-10]. http://www.3gpp.org/ftp//Specs/ archive/22_series/22. 862/.

[5] 3GPP. FS_SMARTER-massive Internet of Things, 3GPP technical specification TS 22. 861[EB/OL]. (2016-09-30)[2020-02-10]. http://www.3gpp.org/ftp//Specs /archive/22_series/22.861/ .

來源：中國信通院