亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

摘要：本文從新的應(yīng)用場(chǎng)景和新的網(wǎng)絡(luò)架構(gòu)兩方面分析5G面臨的安全挑戰(zhàn)及其安全需求，介紹目前5G安全研究主要進(jìn)展，包括安全參考模型、基于SBA的安全架構(gòu)以及接入認(rèn)證、網(wǎng)絡(luò)安全、安全管理、隱私保護(hù)等主要安全防護(hù)機(jī)制，簡(jiǎn)述5G安全相關(guān)標(biāo)準(zhǔn)化組織及標(biāo)準(zhǔn)推進(jìn)情況，最后從終端安全、安全行業(yè)專網(wǎng)和安全服務(wù)等方面介紹5G應(yīng)用中的安全考慮。

曾浩洋 ? ?中國(guó)電子科技集團(tuán)公司首席科學(xué)家

一、5G面臨的安全需求與挑戰(zhàn)。???

1.5G有新的應(yīng)用場(chǎng)景，要增加移動(dòng)寬帶，低功耗大連接、低時(shí)延高可靠三大應(yīng)用場(chǎng)景。

因此，5G不僅僅是速率變得更高，時(shí)延變得更低，它將滲透到萬物互聯(lián)的各個(gè)領(lǐng)域，與工業(yè)控制、智慧交通等緊密結(jié)合在一起。所以，安全就變得尤其重要。在這幾大應(yīng)用場(chǎng)景中，對(duì)增強(qiáng)移動(dòng)寬帶來說，它的安全挑戰(zhàn)需要更高的安全處理性能，這時(shí)候用戶體驗(yàn)速率已經(jīng)達(dá)到1G；二是它需要支持外部網(wǎng)絡(luò)二次認(rèn)證，能更好地與業(yè)務(wù)結(jié)合在一塊兒；三是需要解決目前發(fā)現(xiàn)的已知漏洞的問題。對(duì)低功耗網(wǎng)絡(luò)來說，我們需要輕量化的安全機(jī)制，以適應(yīng)功耗受限、時(shí)延受限的物聯(lián)網(wǎng)設(shè)備的需要；需要通過群組認(rèn)證機(jī)制，解決海量物聯(lián)網(wǎng)設(shè)備認(rèn)證時(shí)所帶來的信令風(fēng)暴的問題，需要抗DDOS攻擊機(jī)制，應(yīng)對(duì)由于設(shè)備安全能力不足被攻擊者利用，而對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)起攻擊的危險(xiǎn)。對(duì)于低時(shí)延高可靠來說，需要提供低時(shí)延的安全算法和協(xié)議，要簡(jiǎn)化和優(yōu)化原有安全上下文的交換、密鑰管理等流程，支持邊緣計(jì)算架構(gòu)，支持隱私和關(guān)鍵數(shù)據(jù)的保護(hù)。

2.新網(wǎng)絡(luò)架構(gòu)的挑戰(zhàn)。

為了更好地支持5G應(yīng)用場(chǎng)景，現(xiàn)在5G提出了以IT為中心的網(wǎng)絡(luò)架構(gòu)，會(huì)引入多無線接入，SDN、云計(jì)算、NFV等技術(shù)。比如無線Wi-Fi接入統(tǒng)一認(rèn)證，在多接入環(huán)境下提供安全的運(yùn)營(yíng)網(wǎng)絡(luò)。SDN和NFV這樣的技術(shù)引入，可以構(gòu)建這樣的邏輯隔離的安全切片，用來支持不同應(yīng)用場(chǎng)景差異化的需求。但這些技術(shù)個(gè)引入也對(duì)安全造成帶來了巨大的挑戰(zhàn)，由于它使網(wǎng)絡(luò)邊界變得十分模糊，以前依賴物理邊界防護(hù)的安全機(jī)制難以得到應(yīng)用。所以，安全機(jī)制要適應(yīng)虛擬化、云化的需要。

但這個(gè)引入也對(duì)安全造成了巨大的挑戰(zhàn)，由于它使網(wǎng)絡(luò)邊界變得十分模糊，以前依賴物理邊界防護(hù)的安全機(jī)制難以得到應(yīng)用。所以，安全機(jī)制要適應(yīng)虛擬化、云化的需要。

這是5G新的網(wǎng)絡(luò)架構(gòu)，這個(gè)圖是中國(guó)移動(dòng)牽頭的5G架構(gòu)的SDASBA標(biāo)準(zhǔn)，5G把原來4G的物理網(wǎng)元源進(jìn)行了重新的分解和組合，通過服務(wù)和服務(wù)編排的方式來提高網(wǎng)絡(luò)化的功能，通過服務(wù)總線實(shí)現(xiàn)網(wǎng)源元之間的邏輯接口。服務(wù)總線的開放能力和可兼容性使得網(wǎng)絡(luò)具有很大的靈活性和可擴(kuò)展性，可以支持不同的業(yè)務(wù)。

但這對(duì)我們的安全設(shè)計(jì)也會(huì)帶來新的挑戰(zhàn)，我們也要適應(yīng)這樣的服務(wù)化、虛擬化、軟件定義的變化，也就是說我們要提供安全及即服務(wù)、，軟件網(wǎng)絡(luò)定義的安全等能力。

5G網(wǎng)絡(luò)將會(huì)變得更加開放，相比現(xiàn)有的相對(duì)封閉的移動(dòng)通信系統(tǒng)來說，會(huì)面臨更多的網(wǎng)絡(luò)空間安全問題。比如 APT 攻擊、DDOS、Worm 惡意軟件攻擊等，而且攻擊會(huì)更加猛烈，規(guī)模更大，影響也會(huì)更大。

針對(duì)這些5G安全的挑戰(zhàn)，相關(guān)的 5G 研究組織，比如 3GPP，、歐盟的 I5GPPP 以及 NGMN 這些組織都進(jìn)行了深入的需求分析。

3.總體安全需求。

總體的需求包括 5G 必須要提供比 4G 更高，至少和 4G 的安全和隱私保護(hù)水平相當(dāng)?shù)陌踩Ｕ稀＞唧w的需求包括要對(duì)簽約、服務(wù)網(wǎng)絡(luò)、設(shè)備進(jìn)行認(rèn)證和鑒權(quán)。要對(duì)網(wǎng)絡(luò)切片要進(jìn)行嚴(yán)格的隔離，甚至對(duì)敏感數(shù)據(jù)的隔離強(qiáng)度應(yīng)該等同于物理上分隔的網(wǎng)絡(luò)。要防止降維攻擊，能夠利用機(jī)器學(xué)習(xí)或人工智能方法檢測(cè)高級(jí)網(wǎng)絡(luò)安全威脅。安全的能力要能服務(wù)化，要能符合和適應(yīng)網(wǎng)絡(luò)架構(gòu)的需要。

二、安全架構(gòu)與相關(guān)安全機(jī)制

1、5G安全防護(hù)架構(gòu)。

這是安全功能要素組成和他們之間的相互關(guān)系。5G安全防護(hù)架構(gòu)延用了原來4G安全參考架構(gòu)，相比之前增加了非3GPP接入、切片和虛擬網(wǎng)元的安全、網(wǎng)絡(luò)開放接口安全和安全管理等安全實(shí)體。

整個(gè)來看，它的安全涉及到接入的安全（用于解決用戶的安全接入）、無線空口安全、網(wǎng)絡(luò)域安全（用來保證網(wǎng)元之間信令和數(shù)據(jù)交換的安全）、用戶域安全，應(yīng)用域安全、網(wǎng)絡(luò)開放接口安全、管理域安全幾個(gè)部分。

這是基于SBA架構(gòu)下的功能部署考慮。

SBA有兩個(gè)網(wǎng)元是直接服務(wù)于網(wǎng)絡(luò)安全的，一是 AUSF認(rèn)證服務(wù)器，二是SEPP安全邊緣保護(hù)代理，涉及運(yùn)營(yíng)商核心網(wǎng)絡(luò)之間的安全交互。在其它網(wǎng)元中應(yīng)嵌入相應(yīng)的安全功能。

2、主要的安全機(jī)制。

網(wǎng)絡(luò)接入方面，認(rèn)證協(xié)議上使用了 EAP-AKA’ 以實(shí)現(xiàn)統(tǒng)一框架下的雙向認(rèn)證，支持非3GPP的接入，使用5G-AKA增強(qiáng)歸屬網(wǎng)絡(luò)控制。

除了原有認(rèn)證之外，可以借助第三方的二次認(rèn)證提供認(rèn)證服務(wù)。

認(rèn)證擴(kuò)展，要適應(yīng)于IoT的群組認(rèn)證，適應(yīng)于車聯(lián)網(wǎng)的點(diǎn)對(duì)點(diǎn)快速認(rèn)證。

隱私保護(hù)，在USIM卡增加運(yùn)營(yíng)商設(shè)定的公鑰，首次附著網(wǎng)絡(luò)使用公鑰加密IMSI，解決初始接入身份泄露問題。

信令保護(hù)，提供空口和NAS層信令的加密和完整性保護(hù)。

用戶面保護(hù)，按需提供空口和/或UE到核心網(wǎng)之間的用戶面加密和完整性保護(hù)。用戶面加密和完整性保護(hù)在以前的4G系統(tǒng)里是沒有的問題，現(xiàn)在根據(jù)物聯(lián)網(wǎng)需要可以按需選擇。

密鑰體系、算法需要支持主流的加密和完整性算法，但現(xiàn)在這些算法可能會(huì)在5G做進(jìn)一步的改進(jìn)，因?yàn)?G運(yùn)營(yíng)周期設(shè)計(jì)為20年，20年之中，比如量子計(jì)算成熟，受到攻擊的風(fēng)險(xiǎn)會(huì)增大。所以，在算法方面也可能會(huì)進(jìn)行升級(jí)。

在密鑰體制方面，還是要支持層次化的密鑰派生機(jī)制，同時(shí)能夠提供由于認(rèn)證機(jī)制變化、切片引入和用戶面完整性保護(hù)所需要的這些新的密鑰。

網(wǎng)絡(luò)安全方面，主要安全機(jī)制分布在這些領(lǐng)域。基礎(chǔ)設(shè)施安全里需要有資源的安全隔離、系統(tǒng)防護(hù)控制、安全加固，從而使得基礎(chǔ)設(shè)施能夠安全可信地運(yùn)行。

在網(wǎng)絡(luò)域方面，需要考慮對(duì)VNF虛擬化網(wǎng)絡(luò)安全進(jìn)行可信評(píng)估、網(wǎng)元之間的安全通信和移動(dòng)邊緣計(jì)算安全、SDN安全。

網(wǎng)絡(luò)安全切片方面，需要提供網(wǎng)絡(luò)切片的安全隔離、差異化的安全服務(wù)、終端訪問切片安全、切片的安全管理以及內(nèi)部的安全通信等等。

在網(wǎng)絡(luò)對(duì)外服務(wù)接口方面，也需要認(rèn)證授權(quán)、對(duì)沖突策略進(jìn)行檢測(cè)、相關(guān)權(quán)限控制和安全審計(jì)。

安全態(tài)勢(shì)管理與監(jiān)測(cè)預(yù)警方面，我們要借助于位于各種網(wǎng)元以及安全設(shè)備內(nèi)的安全探針，采用標(biāo)準(zhǔn)化的安全設(shè)備統(tǒng)一管控接口對(duì)安全事件進(jìn)行上報(bào)，下發(fā)統(tǒng)一的安全策略，可以利用深度學(xué)習(xí)、機(jī)器學(xué)習(xí)手段來對(duì)嗅探和攻擊進(jìn)行檢測(cè)，應(yīng)對(duì)未知的安全威脅。同時(shí)，根據(jù)安全威脅能夠智能化生成相關(guān)的安全策略調(diào)整，并將這些策略調(diào)整下發(fā)到各個(gè)安全設(shè)備中，從而構(gòu)建起一個(gè)動(dòng)態(tài)的防護(hù)體系。

隱私保護(hù)方面，現(xiàn)在對(duì)個(gè)人信息保護(hù)非常關(guān)注，5G里上面承載著很多用戶的隱私和敏感信息，包括用戶的號(hào)碼、用戶位置信息等等，我們可能需要從技術(shù)和管理兩個(gè)途徑進(jìn)行保護(hù)，在技術(shù)層面，加密傳輸和加密存儲(chǔ)、訪問控制、對(duì)關(guān)鍵隱私數(shù)據(jù)在網(wǎng)絡(luò)傳輸中進(jìn)行匿名。管理層面，一是數(shù)據(jù)最小化，只能獲取自己必要的信息；二是除了最小化數(shù)據(jù)之外的信息需要征得用戶的許可才能進(jìn)行使用。

三、5G標(biāo)準(zhǔn)化工作進(jìn)展

1.5G系統(tǒng)標(biāo)準(zhǔn)化的規(guī)劃。

按照3GPP標(biāo)準(zhǔn)的總體規(guī)劃，去年年底已經(jīng)完成非獨(dú)立組網(wǎng)5G標(biāo)準(zhǔn)，主要支持增強(qiáng)移動(dòng)寬帶場(chǎng)景，同時(shí)完成5G系統(tǒng)架構(gòu)標(biāo)準(zhǔn)。按照計(jì)劃是在本月，完成獨(dú)立組網(wǎng)的5G標(biāo)準(zhǔn)，支持增強(qiáng)移動(dòng)寬帶和低時(shí)延高可靠場(chǎng)景。計(jì)劃明年年底完成滿足ITU全部要求的完整5G標(biāo)準(zhǔn)。

對(duì)于安全標(biāo)準(zhǔn)的進(jìn)展，目前開展5G安全研究的組織主要有幾個(gè)：

1、3GPP，重點(diǎn)研究領(lǐng)域包括安全架構(gòu)、RAN安全、認(rèn)證機(jī)制、用戶隱私、網(wǎng)絡(luò)切片。目前主要的成果是TR 33.899報(bào)告以及標(biāo)準(zhǔn)規(guī)范TS 33.501。

2、5GPPP，這是一個(gè)歐盟的研究組織，他們重點(diǎn)研究領(lǐng)域包括安全架構(gòu)、用戶隱私、認(rèn)證機(jī)制。目前主要研究成果是5G安全形勢(shì)白皮書。

3、NGMN，重點(diǎn)研究領(lǐng)域涉及用戶隱私、網(wǎng)絡(luò)切片、MEC安全，他們也形成了相關(guān)的建議書，包括接入網(wǎng)改進(jìn)/抗DDOS攻擊、網(wǎng)絡(luò)切片、MEC低時(shí)延/用戶體驗(yàn)等等。

4、ETSI重點(diǎn)關(guān)注安全體系結(jié)構(gòu)、NFV安全性、MEC安全和隱私，形成報(bào)告主要集中在NFV和MEC方面。

2.5G安全標(biāo)準(zhǔn)化的推進(jìn)情況。

2016年2月，啟動(dòng)相關(guān)安全研究工作，2017年8月份完成了第一階段安全標(biāo)準(zhǔn)的研究，形成了TR33.899的報(bào)告。去年2月份啟動(dòng)了第一階段安全標(biāo)準(zhǔn)的研究。今年3月份，這個(gè)標(biāo)準(zhǔn)已經(jīng)基本凍結(jié)，形成了TS33.501的規(guī)范。第二階段的標(biāo)準(zhǔn)計(jì)劃是在2019年12月完成。這是和大系統(tǒng)同步的。

這兩個(gè)階段研究的重點(diǎn)側(cè)重不太一樣，第一階段主要關(guān)心的是架構(gòu)、認(rèn)證、安全憑證、上下文管理、密鑰安全、無線接入安全、用戶隱私、網(wǎng)絡(luò)域的安全等等，主要是4G安全的增強(qiáng)。第二階段（從今年下半年到明年），主要研究?jī)?nèi)容，主要針對(duì)新的場(chǎng)景，就是大規(guī)模物聯(lián)網(wǎng)、低時(shí)延高可靠?jī)蓚€(gè)場(chǎng)景下的安全機(jī)制，以及對(duì)現(xiàn)有安全功能進(jìn)一步完善，包括SBA安全、網(wǎng)絡(luò)切片安全和邊緣計(jì)算安全等等。

3.國(guó)內(nèi)標(biāo)準(zhǔn)進(jìn)展情況

5G安全國(guó)內(nèi)標(biāo)準(zhǔn)推進(jìn)由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)組織開展，目前規(guī)劃了相應(yīng)的標(biāo)準(zhǔn)體系，在2016年10月份啟動(dòng)了安全研究，計(jì)劃今年年終完成安全報(bào)告。標(biāo)準(zhǔn)制訂方面，今年4月啟動(dòng)了5G網(wǎng)絡(luò)安全技術(shù)要求的立項(xiàng)，計(jì)劃明年年底完成。

前面三個(gè)部分，我們重點(diǎn)主要是介紹了5G系統(tǒng)自身的安全考慮。

四、面向5G應(yīng)用的安全可能涉及的領(lǐng)域。

1.5G環(huán)境下的終端安全。

3GPP里，對(duì)終端安全提出了通用要求，包括用戶與信令數(shù)據(jù)的機(jī)密性保護(hù)，簽約憑證的安全存儲(chǔ)與處理，用戶隱私保護(hù)等等。此外，5G的不同應(yīng)用場(chǎng)景，也對(duì)終端安全提出了一些特殊的要求，比如eMBB終端需提供可信執(zhí)行環(huán)境、操作系統(tǒng)的安全增強(qiáng)和高速加解密處理能力；對(duì)于mMTC終端，需要支持輕量級(jí)的安全算法和協(xié)議，能夠抗物理攻擊以及低功耗、低成本的實(shí)現(xiàn)；對(duì)于uRLLC的終端需要支持高安全、高可靠的安全機(jī)制，能夠支持超低延遲的安全硬件，無網(wǎng)絡(luò)時(shí)的相互認(rèn)證等等。對(duì)于一些特殊行業(yè)，需要用到高安全終端，需要專用的安全芯片，定制操作系統(tǒng)和特定的應(yīng)用商店。

5G環(huán)境下，終端安全應(yīng)該是云端協(xié)同防御的體系，在終端方面需要從硬件層、系統(tǒng)層、應(yīng)用層幾個(gè)層次考慮相應(yīng)的安全防護(hù)措施，同時(shí)我們可以借用云端，借用網(wǎng)絡(luò)能力提供更多的網(wǎng)絡(luò)安全支持，包括端到端加密；數(shù)據(jù)安全存儲(chǔ)，因?yàn)榫W(wǎng)絡(luò)帶寬足夠，一些敏感區(qū)域不一定要存在終端上，可以存在云端；云端協(xié)同的安全監(jiān)測(cè)預(yù)警以及現(xiàn)在用的比較多的基于云端的遠(yuǎn)程管控、應(yīng)用安全和系統(tǒng)安全的支撐等等。

2.面向垂直行業(yè)的安全服務(wù)。

對(duì)各種垂直行業(yè)來說，業(yè)務(wù)應(yīng)用、安全威脅和安全需求存在很大的差異。我們可以依托5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施，基于前面服務(wù)化的思想，在統(tǒng)一架構(gòu)下為垂直行業(yè)提供定制性和差異化的安全能力。具體來說，我們可以利用網(wǎng)絡(luò)中的各種安全資源，例如密碼算法、5G認(rèn)證協(xié)議和安全知識(shí)庫等，對(duì)安全資源進(jìn)行抽象和封裝，對(duì)外提供安全服務(wù)，例如加密傳輸服務(wù)、認(rèn)證服務(wù)、信用服務(wù)、入侵檢測(cè)服務(wù)等等，這些服務(wù)可通過5G的網(wǎng)絡(luò)能力開放引擎，開放給各種應(yīng)用，這樣就可以使應(yīng)用在使用網(wǎng)絡(luò)傳輸通道的同時(shí)也可以獲得網(wǎng)絡(luò)提供的安全服務(wù)，能夠更高效、更安全地實(shí)現(xiàn)信息服務(wù)。

3.安全行業(yè)專網(wǎng)建設(shè)。

對(duì)于國(guó)防、政務(wù)、公共安全和關(guān)鍵行業(yè)，對(duì)安全有著特別的要求，包括高安全業(yè)務(wù)可靠保護(hù)、敏感信息安全存儲(chǔ)與受控訪問、特殊用戶隱私保護(hù)、特殊行業(yè)運(yùn)營(yíng)管理等。特殊行業(yè)在4G以前是基于運(yùn)營(yíng)商的公共基礎(chǔ)網(wǎng)絡(luò)，在上面構(gòu)造專網(wǎng)的思路來實(shí)現(xiàn)，這種方式投資成本是比較高的，建設(shè)周期比較長(zhǎng)，同時(shí)可擴(kuò)展性、靈活性也存在不足，并且技術(shù)體制難以跟上發(fā)展。通信系統(tǒng)本身發(fā)展是很快的，我們往往可以看到系統(tǒng)已經(jīng)進(jìn)入到4G，但很多專網(wǎng)還停留在2G、3G上。5G現(xiàn)在開放性架構(gòu)和靈活性的應(yīng)用，為構(gòu)建行業(yè)特定專網(wǎng)提供了新的解決思路。

具體來看有兩種途徑：

一是根據(jù)安全的需求進(jìn)行定制，5G網(wǎng)絡(luò)可以提供差異化的安全服務(wù)，可以利用網(wǎng)絡(luò)開放能力通過定制和優(yōu)化獲得想要的安全能力。2、對(duì)安全要求更高的行業(yè)來說，可以將滿足自己安全需求的能力、功能進(jìn)行實(shí)例化，通過服務(wù)接口編排到網(wǎng)絡(luò)切片當(dāng)中，形成自己的行業(yè)高安全切片。

在這些方面可以對(duì)認(rèn)證、空口加密、用戶平面加密算法進(jìn)行替換，對(duì)存儲(chǔ)在UDM的隱私數(shù)據(jù)、敏感數(shù)據(jù)進(jìn)行保護(hù)。

基于前面的措施，可以構(gòu)建行業(yè)專用的切片，這個(gè)切片和其他的切片資源是隔離的，同時(shí)網(wǎng)絡(luò)安全策略是可以定制的，采取強(qiáng)的安全定制，以防范非法接入以及跨切片的攻擊等。此外，還可以通過在業(yè)務(wù)層面進(jìn)行終端加密，進(jìn)一步增強(qiáng)行業(yè)應(yīng)用的安全性，這就是行業(yè)專網(wǎng)的一種解決思路。

以上就是我們分享的對(duì)5G安全方面的認(rèn)識(shí)。總的來看，由于5G的網(wǎng)絡(luò)結(jié)構(gòu)、技術(shù)體制和應(yīng)用場(chǎng)景發(fā)生了很大的變化，所以，5G安全相對(duì)4G之前的網(wǎng)絡(luò)安全也有很大的變化。目前5G安全研究主要針對(duì)在eMBB場(chǎng)景，重點(diǎn)在對(duì)4G的安全完善，對(duì)于新的應(yīng)用場(chǎng)景，比如物聯(lián)網(wǎng)和車聯(lián)網(wǎng)環(huán)境，研究還相對(duì)比較滯后，如何保證各種場(chǎng)景下5G系統(tǒng)自身的安全運(yùn)行以及安全高效地運(yùn)用5G系統(tǒng)，還需要我們廣大同仁們開展深入的探索。