摘　要：5G 的快速發(fā)展逐步開啟了萬物互聯(lián)新時代，但同時 5G 技術的應用當前依然面臨著多種風險挑戰(zhàn)。因此，以 5G 新技術的安全問題為重點，探索國內(nèi)外 5G 安全技術的主要發(fā)展趨勢，并從架構(gòu)、能力以及挑戰(zhàn) 3 個方面對 5G 網(wǎng)絡安全現(xiàn)狀進行分析。針對現(xiàn)有 5G網(wǎng)絡的安全問題，從防護體系設計、多元信任體系構(gòu)建以及新技術融合創(chuàng)新等方面進行 5G網(wǎng)絡安全創(chuàng)新體系設計，從而更好地提高 5G 網(wǎng)絡安全性，提升 5G 技術在各行各業(yè)的應用能力。

內(nèi)容目錄：

1 　5G 網(wǎng)絡安全技術發(fā)展現(xiàn)狀

1.1　國外 5G 安全發(fā)展現(xiàn)狀

1.2　國內(nèi) 5G 安全發(fā)展現(xiàn)狀

2　5G 網(wǎng)絡安全現(xiàn)狀分析

2.1　5G 網(wǎng)絡現(xiàn)有安全架構(gòu)

2.2　5G 網(wǎng)絡現(xiàn)有安全能力

2.3　當前 5G 網(wǎng)絡安全防護挑戰(zhàn)

3　5G 網(wǎng)絡安全創(chuàng)新體系及技術探索

3.1　立體 5G 網(wǎng)絡安全防護體系設計

3.2　5G 網(wǎng)絡在行業(yè)專用網(wǎng)絡領域的多元信任體系建立

3.3　新型技術與 5G 網(wǎng)絡安全融合創(chuàng)新

4　結(jié)　語

在全球科技界、產(chǎn)業(yè)界的共同努力下，5G商用進程大幅加快，與經(jīng)濟社會的融合日趨緊密，人們對 5G 的暢想正一步步走向觸手可及的現(xiàn)實，各行各業(yè)都希望通過 5G 來提升信息化技術水平。因此，5G的安全能力逐步成為關注焦點，全球各國都開始制定和研究 5G 安全相關標準及技術，希望 5G 的高安全性會讓各行業(yè)堅定不移地大力推動邊緣設備的智能化、無線化、自動化、安全化，促進 5G 產(chǎn)業(yè)鏈的全面升級。同時，為了讓未來 5G 能夠適配更加多樣化的應用場景，5G 網(wǎng)絡安全技術還需不斷創(chuàng)新和突破，并通過差異化的網(wǎng)絡服務、接入方式以及創(chuàng)新技術融合等方面，實現(xiàn)全方位安全保障提升，使 5G 技術在提供高性能、高可靠、高可用服務的同時，具備內(nèi)在的高等級安全防御能力。

1、5G 網(wǎng)絡安全技術發(fā)展現(xiàn)狀

從全球視角來看，數(shù)字經(jīng)濟在農(nóng)業(yè)現(xiàn)代化、城鎮(zhèn)化以及工業(yè)現(xiàn)代化等方面的作用凸顯，數(shù)字經(jīng)濟的浪潮已經(jīng)迎面而來、深入發(fā)展。5G 網(wǎng)絡作為數(shù)字經(jīng)濟發(fā)展的通信基礎設施，其網(wǎng)絡技術和網(wǎng)絡架構(gòu)也在快速演進，且面對國內(nèi)外網(wǎng)絡安全形勢的不斷變化，5G 網(wǎng)絡安全技術的創(chuàng)新發(fā)展需求也在日益凸顯。

當前業(yè)界針對 5G 安全的熱點研究，主要集中于安全能力部署、安全體系架構(gòu)、內(nèi)生安全機理以及結(jié)合 5G 網(wǎng)絡云化、虛擬化等特點。已有相當數(shù)量的標準研究機構(gòu)、高校以及企業(yè)開展了 5G 安全技術研究，以內(nèi)源性防御架構(gòu)為重點，挖掘 5G 網(wǎng)絡的內(nèi)生安全元素。主要包括物理層安全技術、網(wǎng)絡切片安全技術、用戶隱私保護技術、輕量級加密技術，以及應用于 5G 安全的區(qū)塊鏈、人工智能等新型融合技術。各國出于自身政治、經(jīng)濟以及技術等方面的考慮，在5G安全技術研究方面表現(xiàn)出各自不同的策略。

1.1　國外 5G 安全發(fā)展現(xiàn)狀

2020 年 3 月，美國頒布了《美國 5G 安全國家戰(zhàn)略》，內(nèi)容包括頻譜規(guī)劃、評估 5G 漏洞、安全原則制定以及 5G 安全評審簡化等方面，并協(xié)同盟友共同推動全球 5G 安全的開發(fā)和部署 。因此，該戰(zhàn)略計劃主要用于識別和評估 5G 相關的基礎設施、設備、軟件以及系統(tǒng)等方面潛在的安全威脅和漏洞，并支持 5G 及未來通信技術安全方面的發(fā)展。

2020 年 1 月， 美 國 國 防 高 級 研 究 計 劃 局(Defense Advanced Research Projects Agency，DARPA)發(fā)布了 OPS-5G 項目。該項目作為美國 5G 安全技術研究的新方向，主要是為 5G 移動設備開發(fā)一個輕便的、符合標準的網(wǎng)絡棧，該網(wǎng)絡棧免費、開源且安全性較高 [1]。其目標是提高 5G 整體技術的安全性，建立以美國為主導的、兼容標準的、不依賴于硬件且安全的開源軟件。

2020 年 1 月，歐盟國家網(wǎng)絡安全協(xié)作組(NIS Corporation Group)發(fā)布《5G 網(wǎng)絡安全風險消減措施工具箱》，包括 8 條戰(zhàn)略措施和 11 條技術措施 。其中，技術措施從安全網(wǎng)絡架構(gòu)、訪問控制、虛擬化網(wǎng)絡功能安全、安全 5G 網(wǎng)絡管理運維等方面提出相關建議，以保護 5G 網(wǎng)絡的機密性、完整性和可用性等為安全目標。

1.2　國內(nèi) 5G 安全發(fā)展現(xiàn)狀

2019—2020 年是我國 5G 元年，各部委針對5G 均單獨發(fā)文且要求加強 5G 安全保障，體現(xiàn)了國家對 5G 安全技術研究方面的重視。

2020 年 8 月 25 日，國家發(fā)展和改革委員會發(fā)布了《推動 5G 安全體系建設》。該指導方案要求加大 5G 安全技術研發(fā)投入，推動 5G 漏洞挖掘、入侵防御以及數(shù)據(jù)挖掘等方面的安全技術研發(fā)，構(gòu)建全局感知、預警防護、威脅監(jiān)測以及聯(lián)動處置的 5G 安全保障框架 。

2020 年 2 月 4 日，中國信息通信研究院和IMT-2020(5G)推進組聯(lián)合發(fā)布了《5G 安全報告》。該報告系統(tǒng)性分析了 5G 關鍵技術、典型應用場景及產(chǎn)業(yè)生態(tài)的安全風險，并提出了相應的安全理念及應對思路。重點關注了 5G 新技術對移動互聯(lián)網(wǎng)帶來的巨大挑戰(zhàn)，包括物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)以及車聯(lián)網(wǎng)等，詳細討論了 5G安全特性、需求以及漏洞，給出現(xiàn)有的解決方案，以及有關第三代合作伙伴計劃(3rd Generation Partnership Project，3GPP)5G 網(wǎng)絡中新功能和新技術的一些開放研究問題。同時，該報告從安全性和隱私性的角度介紹了 5G 安全模型的核心技術和支持技術，包括網(wǎng)絡軟件化、物理層和 5G 隱私安全，指出了符合未來 5G 高安全要求的研究方向。

2020 年底，中國 5G 網(wǎng)絡用戶數(shù)超過 1.6 億，約占全球 5G 總用戶數(shù)的 89%，已建成 5G 基站91.6萬個，占全球70%，5G連接數(shù)已超過3.65億，占全球 80%。因此，5G 安全是保障所有基礎業(yè)務安全的重要一環(huán)，中國在 5G 安全技術研究及應用方面正在不斷推進，且具有一定的領先優(yōu)勢。在推進過程中，中國有望保持并率先實現(xiàn) 5G 安全技術方面的研發(fā)突破。

2、5G 網(wǎng)絡安全現(xiàn)狀分析

面對當前信息化發(fā)展趨勢，各類應用場景、業(yè)務能力對 5G 網(wǎng)絡的技術安全及隱私保護提出了更高的要求。因此，5G 整體安全架構(gòu)及能力在滿足基本通信需求外，相較于 3G、4G 時代，進一步提出了差異化安全服務、多種網(wǎng)絡設備接入方式以及新型安全架構(gòu)等安全需求，從而更好地提供開放安全能力。

2.1　5G 網(wǎng)絡現(xiàn)有安全架構(gòu)

為了更好地突出 5G 高速率、低時延、海量終端接入等優(yōu)勢，當前 5G 網(wǎng)絡安全架構(gòu)主要從密鑰認證接入、節(jié)點安全保護研究等方面進行實現(xiàn)。5G 網(wǎng)絡架構(gòu)如圖 1 所示，包括 8 個安全能力領域 。

圖 1　5G 網(wǎng)絡

(1)網(wǎng)絡接入安全。保障用戶接入網(wǎng)絡的數(shù)據(jù)安全。

(2)網(wǎng)絡域安全。保障信令面和用戶面的信令數(shù)據(jù)安全交互，包括無線接入網(wǎng)節(jié)點、服務網(wǎng)絡節(jié)點與歸屬環(huán)境間的信息交互。

(3)首次認證和密鑰管理。包括認證和密鑰管理的各種機制，體現(xiàn)統(tǒng)一的認證框架。

(4)二次認證和密鑰管理。通過設備二次認證及相關密鑰管理，進一步提升終端用戶與外部數(shù)據(jù)網(wǎng)絡間業(yè)務認證的安全性。體現(xiàn)部分業(yè)務接入 5G 網(wǎng)絡時，5G 網(wǎng)絡對于業(yè)務的授權。

(5)安全能力開放。5G 網(wǎng)元可對外部業(yè)務提供方開放安全能力，從而實現(xiàn)基于業(yè)務需求的按需用戶保障。

(6)應用安全。保障終端用戶與業(yè)務應用方之間的安全通信。

(7)切片安全。體現(xiàn)切片的安全保護。例如，用戶設備(User Equipment，UE)接入切片的授權安全、切片隔離安全等。

(8)安全可視化和可配置。體現(xiàn)用戶可以感知安全特性是否被執(zhí)行，這些安全特性是否可以保障業(yè)務的安全使用和提供。

2.2　5G 網(wǎng)絡現(xiàn)有安全能力

2.2.1　網(wǎng)絡切片安全

5G 網(wǎng)絡采用了服務化網(wǎng)絡架構(gòu)，引入了網(wǎng)絡切片技術，通過引入網(wǎng)絡功能虛擬化(Network Function Virtualization，NFV)技術和軟件定義網(wǎng)絡(Software Defined Network，SDN)架構(gòu)實現(xiàn)了切片化。網(wǎng)絡切片技術即通過不同網(wǎng)元的編排組合使得網(wǎng)絡具有不同的功能，具備較高的靈活性和可定制性。

在傳統(tǒng)移動網(wǎng)絡的安全機制下，切片安全可以提供接入認證、信令及數(shù)據(jù)加密保護等在內(nèi)的安全能力。在當前 5G 網(wǎng)絡安全架構(gòu)下，切片安全可以結(jié)合物理隔離等隔離機制，實現(xiàn)網(wǎng)絡切片間端到端的安全隔離防護，包括核心網(wǎng)隔離、承載隔離以及無線接入網(wǎng)(Radio Access Network，RAN)隔離等。因此，切片安全能夠滿足垂直行業(yè)應用差異化需求，并提供了更健壯的數(shù)據(jù)安全保護、更豐富的認證機制支持和更嚴密的用戶隱私保護 。

2.2.2　認證和授權安全

5G 在 4G 安全特性的基礎上對部分安全特性進行了增強，并且針對不同業(yè)務場景拓展了安全能力，其中更完善的認證機制是 5G 網(wǎng)絡的重要安全特性。5G 網(wǎng)絡針對不同的認證場景考慮了更多有效的認證選擇，包括處于間接 3GPP 連接模式下的終端設備有效利用資源的認證機制，以及針對物聯(lián)網(wǎng)群組的有效認證機制。當前 5G系統(tǒng)還支持服務網(wǎng)絡認證、接入網(wǎng)授權、UE 授權以及未認證緊急服務等多種認證機制能力。

5G 認證和授權機制為網(wǎng)絡接入和業(yè)務接入提供了統(tǒng)一的認證框架，支持多種網(wǎng)絡接入和認證機制。5G 網(wǎng)絡認證繼承了 4G 網(wǎng)絡安全性較高的認證與密鑰協(xié)商協(xié)議(Authentication and Key Agreement，AKA)認證機制，并進一步增強了AKA 的機制和能力，稱作 5G-AKA。另外，5G引 入 了 擴 展 認 證 協(xié) 議(Extensive Authentication Protocol，EAP) 認 證 框 架， 將 EAP-AKA 作 為5G 網(wǎng)絡的基本認證方法予以支持。

2.2.3　MEC 安全防護

采用邊緣計算技術(Mobile Edge Computing，MEC)打造用戶內(nèi)部 5G 網(wǎng)絡，可保證用戶業(yè)務數(shù)據(jù)不傳送到外網(wǎng)，保證數(shù)據(jù)私密性。同時，MEC不會對傳輸?shù)臄?shù)據(jù)內(nèi)容做存儲，從而不會出現(xiàn)MEC 節(jié)點數(shù)據(jù)泄露現(xiàn)象。此外，MEC 與用戶本地服務器之間部署防火墻進行數(shù)據(jù)隔離，從物理層面上有效提升了 5G 網(wǎng)絡數(shù)據(jù)的安全性 。

2.2.4　安全能力開放

5G 網(wǎng)絡安全能力可通過能力開放接口提供給用戶，以便用戶按照自身需求編排定制化網(wǎng)絡安全服務。5G 網(wǎng)絡可通過將安全能力進行抽象、封裝，配合其他網(wǎng)絡能力及資源，動態(tài)按需組合部署，為用戶提供靈活、可定制的差異化安全能力。

2.3　當前 5G 網(wǎng)絡安全防護挑戰(zhàn)

5G 網(wǎng)絡技術得益于其通用化平臺部署能力以及靈活的部署形式，改變了無線網(wǎng)絡傳統(tǒng)語音 + 用戶的運營模式，豐富了蜂窩網(wǎng)絡通信技術的應用場景，但也對其安全防護能力帶來了一定挑戰(zhàn)。

2.3.1　多場景下網(wǎng)絡安全防護體系挑戰(zhàn)

5G網(wǎng)絡技術所提出的增強移動寬帶(Enhanced Mobile Broadband，eMBB)、高可靠低時延(Ultra Reliable Low-Latency Communications，uRLLC)、海量機器類通信(Massive Machine Type Communi cation，mMTC)3 大核心網(wǎng)絡能力，可以衍生出大量的差異化網(wǎng)絡需求場景。因此，為單一場景設計的網(wǎng)絡安全防護體系不再能夠適用于具有多樣化應用場景的 5G 網(wǎng)絡。針對行業(yè)應用差異化的網(wǎng)絡能力需求，5G 網(wǎng)絡安全防護體系也需要匹配相應的場景需求，避免安全網(wǎng)絡策略成為關鍵網(wǎng)絡指標的能力短板。因此，需要建立創(chuàng)新安全防護體系，滿足物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市等實際場景需求，從而成為數(shù)字化社會建設網(wǎng)絡能力底座 。

2.3.2　行業(yè)專用 5G 網(wǎng)絡安全信任體系挑戰(zhàn)

5G 網(wǎng)絡峰值數(shù)據(jù)傳輸速率相比于 4G 網(wǎng)絡增長超過 10 倍，可滿足 4K 超高清視頻、虛擬現(xiàn)實及增強現(xiàn)實等數(shù)據(jù)業(yè)務的大帶寬需求，且5G 網(wǎng)絡的鏈接密度相比于 4G 網(wǎng)絡有了質(zhì)的提升 。相較于之前的傳統(tǒng)移動通信，5G 網(wǎng)絡行業(yè)應用需求逐漸增多。針對 5G 網(wǎng)絡“一網(wǎng)賦能萬業(yè)”的開放性特點，如何構(gòu)建一個運營商 +行業(yè)客戶 + 網(wǎng)絡的多元信任關系是當前 5G 網(wǎng)絡安全面臨的主要挑戰(zhàn)之一。需要充分融合可靈活下沉部署的行業(yè) 5G 移動通信網(wǎng)絡、不同的垂直行業(yè)及多運營管理模式，構(gòu)建完善的統(tǒng)一信任網(wǎng)絡服務體系。

2.3.3　創(chuàng)新技術下 5G 網(wǎng)絡安全快速發(fā)展挑戰(zhàn)

作為新一輪科技革命和產(chǎn)業(yè)變革中的關鍵技術之一，5G網(wǎng)絡當前已成為支撐社會數(shù)智化、網(wǎng)絡化轉(zhuǎn)型的關鍵基礎設施，也是促進各行業(yè)經(jīng)濟發(fā)展的重要手段。當前，大數(shù)據(jù)、人工智能及區(qū)塊鏈等新興技術迅速發(fā)展，為經(jīng)濟社會各領域發(fā)展賦能。但是新興技術的發(fā)展也會帶來新的挑戰(zhàn)，如何將挑戰(zhàn)轉(zhuǎn)化為 5G 快速發(fā)展的機遇至關重要。因此，需要將 5G 網(wǎng)絡安全與其他新興技術深度融合，成為共生共進、相互促進的共同體，通過融合創(chuàng)新探索 5G 網(wǎng)絡安全的新可能性，進一步促進 5G 網(wǎng)絡安全的快速發(fā)展。

3、5G 網(wǎng)絡安全創(chuàng)新體系及技術探索

針對上述 5G 網(wǎng)絡安全現(xiàn)狀的分析，為了更好地解決 5G 網(wǎng)絡安全所面臨的挑戰(zhàn)，并讓 5G技術更廣泛地運用于多行業(yè)領域，5G 網(wǎng)絡安全創(chuàng)新體系及技術發(fā)展可從立體 5G 網(wǎng)絡安全防護體系設計、行業(yè) 5G 專網(wǎng)多元信任體系建立以及新型技術融合創(chuàng)新等方面展開探索。

3.1　立體 5G 網(wǎng)絡安全防護體系設計

為滿足 5G 網(wǎng) 絡 eMBB、uRLLC、mMTC 等場景需求，可通過構(gòu)建立體的 5G 網(wǎng)絡安全防護體系以應對不同場景下所面臨的風險。5G 網(wǎng)絡的安全防護體系以構(gòu)建形式為標準，大致可分為兩類，如圖 2 所示：一類是基于 3GPP 協(xié)議規(guī)定的標準框架下增量疊加安全技術所形成的 5G增量安全防護體系;另一類是基于 3GPP 協(xié)議框架下針對原生實現(xiàn)流程的定制化修改而實現(xiàn)的5G 內(nèi)生安全防護體系。

圖 2　5G 網(wǎng)絡安全防護體系

3.1.1　5G 增量安全防護體系設計

5G 增量安全防護技術是基于已有的標準化5G網(wǎng)絡的安全能力，在應用層面疊加安全技術，實現(xiàn)定制化的 5G 網(wǎng)絡安全功能。

通過引入 SDN 概念以及 NFV 技術，5G 網(wǎng)絡基礎設施實現(xiàn)了硬件設備與網(wǎng)絡功能的解耦，從而形成了一個通用化、虛擬化、開放化的網(wǎng)絡 。然而，這樣的網(wǎng)絡構(gòu)建模式也會帶來新的網(wǎng)絡安全風險，需要在網(wǎng)絡功能實體共享硬件設備資源的同時，構(gòu)建一個網(wǎng)絡功能之間的運算、存儲和交互的數(shù)據(jù)隔離機制，嚴格規(guī)范網(wǎng)絡功能實體的硬件資源限制，避免 5G 網(wǎng)絡在硬件設備集中部署的情況下，網(wǎng)絡安全風險在基礎設施中快速傳播的情況發(fā)生。

MEC 是 5G 網(wǎng)絡的核心設備之一，通過在靠近網(wǎng)絡邊緣的客戶 / 基站機房處部署部分網(wǎng)絡服務能力和業(yè)務訪問服務端，從而顯著降低在數(shù)據(jù)傳輸過程中產(chǎn)生的時延，提升網(wǎng)絡帶寬利用率，從而為時延敏感性網(wǎng)絡業(yè)務提供可靠的網(wǎng)絡能力支持。由于其物理部署位置的特殊性，硬件設備長期處于無人看管的環(huán)境下。因此，對于整個 5G 網(wǎng)絡，MEC 的物理防護及接口管控是網(wǎng)絡安全防護體系建設的一大重點研究方向 。

3.1.2 　5G 內(nèi)生安全防護體系設計

5G 內(nèi)生安全防護技術是通過對標準化 5G網(wǎng)絡進行定制化流程改造，滿足行業(yè)應用的實際安全能力要求。

通過對 3GPP 組織定義的標準化 5G 網(wǎng)絡架構(gòu)以及信令交互流程的定制化改造，在不影響標準化 5G 網(wǎng)絡組件的完整功能的前提下，實現(xiàn)5G 網(wǎng)絡架構(gòu)內(nèi)部的安全能力疊加。這種定制化的內(nèi)生網(wǎng)絡安全防護體系可以滿足對 5G 網(wǎng)絡安全有定制化需求的特殊行業(yè)用戶的安全標準。然而，此類定制化專用 5G 網(wǎng)絡配套設備與部分標準化的 5G 網(wǎng)絡設施之間的兼容性問題難以避免，模塊化部署能力較差。

3.2　5G 網(wǎng)絡在行業(yè)專用網(wǎng)絡領域的多元信任體系建立

5G 網(wǎng)絡高帶寬、低時延、大連接的技術優(yōu)勢使其在行業(yè)專用網(wǎng)絡領域具有非常廣闊的應用場景，行業(yè)專用網(wǎng)絡也是 5G 網(wǎng)絡建設的重要方向之一。不同于傳統(tǒng)網(wǎng)絡的運營商 + 用戶的商業(yè)模式，5G 行業(yè)專網(wǎng)建設需要構(gòu)建一個運營商 + 行業(yè)客戶 + 網(wǎng)絡用戶的全新的多元信任關系 。根據(jù)不同行業(yè)應用對于網(wǎng)絡能力的差異化需求，5G 行業(yè)專網(wǎng)的部分甚至全部網(wǎng)絡設施都需要下沉部署至用戶內(nèi)部機房。差異化的部署模式勢必需要在各方設備之間構(gòu)建一個完善的安全信任體系，以面對各個場景下的安全威脅。因此，運營商和行業(yè)用戶需要明確相關設備維護與數(shù)據(jù)安全能力的責任劃分，共同面對全新網(wǎng)絡建設模式所帶來的安全挑戰(zhàn) 。

5G 行業(yè)專用網(wǎng)絡部分或全部網(wǎng)絡設施下沉部署的建設模式勢必造成專用網(wǎng)絡的相關網(wǎng)絡接口處于運營商的安全管控防護能力之外，從而造成網(wǎng)絡設施下沉部署的安全風險。同時，部分網(wǎng)絡設施的下沉部署也會間接造成網(wǎng)絡設施之間的信令交互需要依賴 5G 公用網(wǎng)絡的傳輸承載網(wǎng)絡，因此，需要構(gòu)建一種遠程信令傳輸?shù)脑O備信任機制，完善新型網(wǎng)絡部署架構(gòu)的安全能力。同時，運營商與行業(yè)客戶需要詳細評估部分網(wǎng)絡設施下沉部署可能造成的網(wǎng)絡安全隱患，協(xié)商明確網(wǎng)絡設施安全責任劃分，盡可能地規(guī)避網(wǎng)絡安全風險 。

通過利用 5G 網(wǎng)絡的 SDN 和 NFV 技術優(yōu)勢，基于已有 5G 公用網(wǎng)絡設施內(nèi)建立獨立的網(wǎng)絡切片，以實現(xiàn)公網(wǎng)專用的網(wǎng)絡建設模式。在這種網(wǎng)絡構(gòu)建模式下，存在用戶是否具備公網(wǎng)接入能力、用戶行為與業(yè)務的管控主體劃分、應用層面數(shù)據(jù)的歸屬、應用層面的安全防護責任劃分等一系列網(wǎng)絡安全相關問題，需要運營商和行業(yè)客戶根據(jù)實際網(wǎng)絡建設需求進行規(guī)劃協(xié)商，構(gòu)建一個公網(wǎng)專用建設模式的運營管控體系，盡可能地規(guī)避網(wǎng)絡安全風險。

針對部分特殊行業(yè)應用在地理跨域的多園區(qū)網(wǎng)絡互聯(lián)的 5G 專用網(wǎng)絡建設需求，將采取5G 網(wǎng)絡設施的多園區(qū)分布式部署的形式，以構(gòu)建一個小型化的跨域 5G 網(wǎng)絡。該類型網(wǎng)絡中存在網(wǎng)絡接口防護、用戶簽約信息的安全傳輸、用戶面數(shù)據(jù)的傳輸加密、網(wǎng)絡路由的安全策略等網(wǎng)絡安全問題。這些問題需要運營商和行業(yè)用戶明確相關的硬件設備與網(wǎng)絡運營的責任劃分，構(gòu)建一個跨域?qū)Ｓ镁W(wǎng)絡建設的多元組網(wǎng)架構(gòu)的運營管控模式，形成一個雙方認可的網(wǎng)絡安全運維技術規(guī)范，盡可能地規(guī)避相關的網(wǎng)絡安全風險。

3.3　新型技術與 5G 網(wǎng)絡安全融合創(chuàng)新

隨著量子計算、人工智能等尖端技術的快速發(fā)展，新的網(wǎng)絡攻擊技術和新的網(wǎng)絡攻擊模式將會為傳統(tǒng)的網(wǎng)絡通信架構(gòu)帶來新的挑戰(zhàn)。為應對尖端技術在網(wǎng)絡攻擊中的應用，通過在網(wǎng)絡中引入例如基于機器學習的多模態(tài)分析模型以及區(qū)塊鏈技術的去中心化密鑰體系等其他領域的新型尖端技術，實現(xiàn) 5G 網(wǎng)絡技術與新興技術的融合，構(gòu)建一個具備演進能力的 5G 網(wǎng)絡安全體系。

3.3.1　5G 安全 + 多模態(tài)智慧網(wǎng)絡安全創(chuàng)新體系融合

模 態(tài) 是 指 一 種 信 息 的 來 源 形 式， 其 定 義非常廣泛，可以是一種聲音、一類圖像、一種語言或者一種無線電波信號。多模態(tài)機器學習(MultiModal Machine Learning，MMML)是通過機器學習的技術基礎，實現(xiàn)同時感知并處理來自多種類、多源、多模態(tài)不同類型的信息。多模態(tài)機器學習是目前人工智能領域較為熱門的研究方向，在新一代蜂窩網(wǎng)絡技術演進過程中有很大的發(fā)展前景 。

多模態(tài)網(wǎng)絡技術研究的目的是在先進無線通信網(wǎng)絡環(huán)境下，應用多模態(tài)機器學習技術，以提升網(wǎng)絡整體的運行效率，改善網(wǎng)絡業(yè)務體驗，是 5G 網(wǎng)絡技術演進的一個重要方向。通過在 5G 網(wǎng)絡的基礎設施中引入多模態(tài)機器學習技術，賦予網(wǎng)絡集通信、感知、計算于一體的能力，構(gòu)建一個具備核心網(wǎng)、承載網(wǎng)、無線網(wǎng)及終端 4 個維度的智慧網(wǎng)絡安全防護體系，如圖 3 所示，以滿足 5G 網(wǎng)絡多樣化部署形式及差異化部署場景的安全防護能力需求 。

圖 3 5G 智慧網(wǎng)絡安全防護體系

(1)無線信號環(huán)境模型構(gòu)建與智能波束管理。傳統(tǒng)網(wǎng)絡的無線信號覆蓋完全依賴運營商進行網(wǎng)絡規(guī)劃，然而 5G 網(wǎng)絡高帶寬、低時延、大連接的技術優(yōu)勢賦予其濃重的行業(yè)應用承載屬性，傳統(tǒng)的網(wǎng)絡覆蓋模型勢必難以在兼顧公網(wǎng)覆蓋的基礎上滿足行業(yè)用戶的無線覆蓋需求。針對行業(yè)用戶無線覆蓋需求單獨建設基站，則存在網(wǎng)絡建設成本過高、基站覆蓋邊界難以確定、站間信號干擾及終端接入不穩(wěn)定等問題。通過在無線網(wǎng)絡建設中引入多模態(tài)機器學習技術，構(gòu)建區(qū)域內(nèi)的無線信號環(huán)境模型，形成區(qū)域內(nèi)的用戶接入狀態(tài)的態(tài)勢感知，實現(xiàn)區(qū)域內(nèi)的無線信號環(huán)境的多維度呈現(xiàn) ?；跓o線信號環(huán)境模型，充分利用 5G 無線網(wǎng)網(wǎng)絡空分復用技術優(yōu)勢及基站的智能波束管理系統(tǒng)，根據(jù)實際用戶需求，實時調(diào)整無線信號覆蓋區(qū)域，從而達到優(yōu)化行業(yè)用戶接入體驗，降低站間信號干擾的目的。

(2)智能路由與網(wǎng)絡態(tài)勢感知。傳統(tǒng)網(wǎng)絡基于 IP 的單一化尋址路由機制已經(jīng)難以適應目前 5G 網(wǎng)絡承載的多樣化業(yè)務需求，缺乏數(shù)據(jù)傳輸安全能力以及對終端行為的感知能力。多模態(tài)網(wǎng)絡的智能路由技術以 SDN 和 NFV 技術為基礎，實現(xiàn)控制層面與傳輸層面的能力解耦 。通過構(gòu)建一個以 IP 路由為基礎，配合內(nèi)容標識、身份標識、空間標識等多模態(tài)信息的智能化路由尋址模型，從根本上突破傳統(tǒng)網(wǎng)絡的尋址機制瓶頸，滿足 5G 網(wǎng)絡差異化的業(yè)務需求。基于實時更新優(yōu)化的智能路由模型，可實現(xiàn)對于網(wǎng)絡整體態(tài)勢的實時感知，配部署網(wǎng)絡安全傳輸設備，建立智能化安全防護模型，形成針對用戶的惡意訪問行為的精確感知，從而構(gòu)建一個集網(wǎng)絡安全態(tài)勢感知、數(shù)據(jù)安全智能路由、惡意行為告警及網(wǎng)絡安全防護功能于一體的傳輸網(wǎng)絡安全體系，從根源上杜絕如分布式拒絕服務攻擊(Distributed Denial of Service，DDoS)等惡意行為對 5G 網(wǎng)絡造成的安全隱患。

(3)終端行為感知與管控。相比于傳統(tǒng)網(wǎng)絡，為滿足物聯(lián)網(wǎng)、車聯(lián)網(wǎng)以及智慧城市等應用環(huán)節(jié)的網(wǎng)絡能力需求，3GPP 組織預計 5G 網(wǎng)絡在 mMTC 場景下需支持每平方千米 100 萬用戶的接入數(shù)量，假定終端僅以正常頻率發(fā)起用戶接入，高并發(fā)的信令傳輸依舊會對傳統(tǒng)的網(wǎng)絡安全防護體系帶來不小的壓力。超大規(guī)模的終端接入能力必定伴隨著由挾持終端發(fā)起的 DDoS攻擊的風險。因此，終端行為的感知與管控能力是 5G 網(wǎng)絡 mMTC 場景下必不可少的安全防護能力。通過在網(wǎng)絡側(cè)收集終端用戶的行為信息，充分利用多模態(tài)機器學習技術針對多源數(shù)據(jù)的辨識能力，訓練一個具備識別用戶實時狀態(tài)的終端行為的管控模型，從而在網(wǎng)絡側(cè)形成針對終端異常或惡意行為的感知、識別、管控的一體化能力，進一步提升 5G 網(wǎng)絡的運行效率，增強網(wǎng)絡的可靠性。

(4)網(wǎng)絡的智慧化運營管理。通過充分利用多模態(tài)網(wǎng)絡通信、感知、計算一體化的能力，可在 5G 網(wǎng)絡的各個層面構(gòu)建完善的安全防護體系。以上述安全防護能力為基礎，進一步利用多模態(tài)機器學習技術的多源感知辨識能力，構(gòu)建一個網(wǎng)絡的智慧化運營管理系統(tǒng)。通過對各個維度網(wǎng)絡安全態(tài)勢的總體感知，統(tǒng)籌協(xié)調(diào)各個維度的安全防護策略，最終實現(xiàn)終端業(yè)務權限管控、無線網(wǎng)絡信號覆蓋智能化補盲、傳輸線路智能化路由的一體化智慧運營管理系統(tǒng)。在最大化各維度的安全防護能力的同時，顯著提升網(wǎng)絡的運行效率、安全能力及可靠性。

3.3.2　5G 安全 + 區(qū)塊鏈創(chuàng)新技術融合

5G 網(wǎng)絡空間中存在大量的設備，且類型及網(wǎng)絡環(huán)境均很復雜，虛擬狀態(tài)和物理狀態(tài)同時存在。因此，5G 移動通信網(wǎng)絡中各網(wǎng)絡元素在復雜網(wǎng)絡運營環(huán)境中的交互行為是安全性的主要挑戰(zhàn)之一。

區(qū)塊鏈作為一種分布式數(shù)據(jù)庫，可記錄起源區(qū)塊到當前區(qū)塊的所有事物，并具有分散性、匿名性、不可變性及可審計等特點 。因此，通過基于區(qū)塊鏈的 5G 安全通信基礎設施，可以實現(xiàn)面向隱私的加密音頻和視頻通信、欺詐管理、身份服務及通信數(shù)據(jù)管理的全新解決方案，從而構(gòu)建一個 5G 物聯(lián)的網(wǎng)絡安全架構(gòu)。

(1)基于區(qū)塊鏈 5G 接入設備安全防護。面對 5G 網(wǎng)絡中大量嵌入式設備存在的隱私和安全問題，可通過構(gòu)建私有鏈分布式靈活管理用戶設備身份，從而避免存在攻擊中心節(jié)點的情況。即使某個設備節(jié)點被攻破，整個通信網(wǎng)絡系統(tǒng)仍可以安全運行，不會造成大規(guī)模的網(wǎng)絡癱瘓。利用區(qū)塊鏈技術真正實現(xiàn)了 5G 網(wǎng)絡通信數(shù)據(jù)去中心化，有效預防了對數(shù)據(jù)信息的竊取和攻擊，滿足了 5G 網(wǎng)絡對數(shù)據(jù)信息應用安全性和可靠性的要求，并使多臺設備可以完整儲存相關數(shù)據(jù) 。

(2)基于區(qū)塊鏈 5G 網(wǎng)絡數(shù)據(jù)的安全防護。區(qū)塊鏈不可篡改以及安全追溯的特征，也可以提升 5G 網(wǎng)絡中的數(shù)據(jù)安全，并為數(shù)據(jù)的高質(zhì)量應用提供可靠保證。用戶數(shù)據(jù)加密存儲在分布式數(shù)據(jù)庫中，通過權限管理，對節(jié)點數(shù)據(jù)的安全性實現(xiàn)合理控制 。當用戶訪問某些數(shù)據(jù)時，可將訪問請求記錄在區(qū)塊鏈系統(tǒng)中。在系統(tǒng)使用過程中，用戶可隨時更改訪問權限，且相關操作具有透明、可審計的優(yōu)勢，用戶可隨時追蹤數(shù)據(jù)，明確數(shù)據(jù)具體應用性質(zhì)，使得數(shù)據(jù)安全性得到保障 。

4、結(jié)　語

5G 網(wǎng)絡架構(gòu)的革新使其具備了垂直行業(yè)應用網(wǎng)絡承載能力，且多樣化的垂直行業(yè)應用場景也為網(wǎng)絡的安全防護體系帶來了新的挑戰(zhàn)。

本文闡述了國內(nèi)外 5G 安全技術發(fā)展情況，并從安全架構(gòu)、安全能力以及安全風險挑戰(zhàn) 3 個方面分析了當前 5G 網(wǎng)絡安全現(xiàn)狀。針對 5G 移動通信網(wǎng)絡安全體系現(xiàn)存的挑戰(zhàn)展開分析，并進一步研究討論如何改進當前 5G 網(wǎng)絡安全體系的創(chuàng)新研發(fā)方向，包括構(gòu)建創(chuàng)新安全防護體系、行業(yè)專網(wǎng)多元信任體系以及探索新型技術與 5G網(wǎng)絡安全融合創(chuàng)新前景，助力建立一個多維度且全方面的立體網(wǎng)絡安全體系。

如今，5G 所連接的已經(jīng)是一個龐大智慧的網(wǎng)絡體系，且隨著各項新型產(chǎn)業(yè)、對抗性技術的快速發(fā)展，5G 安全威脅對各垂直行業(yè)的影響也將逐步從間接影響轉(zhuǎn)化為直接影響。因此，5G 網(wǎng)絡安全技術還需不斷發(fā)展和探索，為 5G未來發(fā)展構(gòu)建確定性保障。

引用格式：何明 , 宋琪 , 童貞 , 等 .5G 網(wǎng)絡安全發(fā)展與創(chuàng)新安全體系及技術探索 [J]. 信息安全與通信保密 ,2023(2):34-45.

作者簡介 >>>

何　明，男，碩士，高級工程師，主要研究方向為5G 移動通信安全;宋　琪，女，碩士，工程師，主要研究方向為 5G 核心網(wǎng)安全;童　貞， 女， 碩 士，工 程 師，主要研究方向為 5G 核心網(wǎng)安全;曾　熙，女，碩士，主要研究方向為 5G 核心網(wǎng)安全;王　震，男，學士，高級工程師，主要研究方向為 5G 移動通信安全;李鋮陽，男，碩士，主要研究方向為 5G 核心網(wǎng)安全。

選自《信息安全與通信保密》2023年第2期(為便于排版，已省去原文參考文獻)

文章來源： 信息安全與通信保密雜志社