導(dǎo)語：5G移動通信網(wǎng)絡(luò)安全問題研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:隨著移動通信和智能設(shè)備的迅速發(fā)展，第五代移動通信系統(tǒng)（5g）的商用落地，為用戶提供更好體驗、更為快捷流暢、穩(wěn)定的通信服務(wù)．針對5G移動通信網(wǎng)絡(luò)的安全，分別從新業(yè)務(wù)、新網(wǎng)絡(luò)體系結(jié)構(gòu)、新型空中接口技術(shù)和用戶隱私的更高要求這4個方面來介紹5G移動通信網(wǎng)絡(luò)的安全要求，并提出5GUE接入和切換方法、物聯(lián)網(wǎng)的輕量級安全機制、網(wǎng)絡(luò)切片安全隔離策略、用戶隱私保護和區(qū)塊鏈技術(shù)這5方面的保護應(yīng)對策略．

關(guān)鍵詞:5G移動通信網(wǎng)絡(luò)；安全要求；網(wǎng)絡(luò)切片；區(qū)塊鏈；保護應(yīng)對策略

當(dāng)今社會對高速互聯(lián)網(wǎng)連接、高數(shù)據(jù)速率的無線通信有著很高的需求，是智能經(jīng)濟發(fā)展、社會和世界數(shù)字化的重要因素．5G網(wǎng)絡(luò)可以實現(xiàn)2G，3G，4G，WiFi等接入技術(shù)的無縫融合，提供超過10Gbps的速度、低延遲、高可靠性、超高密度用戶容量、高移動性的支持端口等．5G的移動網(wǎng)絡(luò)業(yè)務(wù)主要包括eMBB（增強移動寬帶）、uRLLC（低時延高可靠）、mMTC（海量物聯(lián)網(wǎng)）三大典型場景［1］．而5G需要根據(jù)這3種應(yīng)用場景的不同安全要求使用保護機制，其中eMBB主要針對帶寬和用戶體驗有著高要求的業(yè)務(wù)，比如高清視頻和VR等；mMTC主要側(cè)重于高密度的應(yīng)用場景，終端具有能耗限制特性，拓撲動態(tài)變化，注重數(shù)據(jù)分析，比如智能電表；uRLLC則是提供較低的時延和較高的安全性的通信應(yīng)用服務(wù)，例如實時醫(yī)療應(yīng)用服務(wù)、車輛聯(lián)網(wǎng)等．除了mMTC和uRLLC外，網(wǎng)絡(luò)還需要支持100萬?km2的連接密度，端到端延遲小于1ms，這意味著大量節(jié)點將同時加入和退出網(wǎng)絡(luò)．通信節(jié)點具有分布密集、并發(fā)通信量高、通信時延低、動態(tài)遷移等特點．網(wǎng)絡(luò)將面臨海量通信節(jié)點之間密鑰分配的實時生成和管理等諸多問題．為傳統(tǒng)無線通信的安全性帶來新挑戰(zhàn)．相應(yīng)地，需要為5G開發(fā)的關(guān)鍵技術(shù)是：大規(guī)模多輸入多輸出（MIMO）、全雙工、超密集網(wǎng)絡(luò)（UDN）、軟件定義網(wǎng)絡(luò)（SDN）和網(wǎng)絡(luò)功能虛擬化（NFV）等［2］．

15G移動通信網(wǎng)絡(luò)安全要求分析

由于新的業(yè)務(wù)應(yīng)用、新網(wǎng)絡(luò)架構(gòu)、新應(yīng)用技術(shù)和新應(yīng)用場景，5G移動通信網(wǎng)絡(luò)需要使用許多新的安全類型，目前，以物聯(lián)網(wǎng)為代表的新的業(yè)務(wù)應(yīng)用對安全和開放共享的網(wǎng)絡(luò)架構(gòu)提出了新的挑戰(zhàn)．由于安全手段有限，空中接口技術(shù)的應(yīng)用和發(fā)展不僅對無線安全提出了更高的傳輸要求，同時也為解決信息問題創(chuàng)造更好的條件．1．15G新業(yè)務(wù)的安全要求．5G通信網(wǎng)絡(luò)在eMBB，uRLLC和mMTC等三大典型應(yīng)用場景時，由于虛擬現(xiàn)實（VR）、大數(shù)據(jù)及互聯(lián)網(wǎng)的消費者體驗的產(chǎn)品種類越來越豐富，導(dǎo)致多樣化的場景需求對網(wǎng)絡(luò)設(shè)備容量和性能提出更高的要求［3］．同時，5G的高速率和低延遲將逐漸和工業(yè)、交通、醫(yī)療、教育和城市等方面緊密聯(lián)系在一起．uRLLC能給用戶提供端到端的毫秒級的時延和接近100％的高可靠性的業(yè)務(wù)保證，因此，為實現(xiàn)即時互聯(lián)互通的遠程實時醫(yī)療、車聯(lián)網(wǎng)等，就需要5G網(wǎng)絡(luò)提供更加可靠的網(wǎng)絡(luò)架構(gòu)；eMBB能給用戶提供隨時隨處獲得100Mbps以上的無縫、極致和高速的通信體驗，則要求5G網(wǎng)絡(luò)需要建設(shè)更多的小基站，而隨著這些小基站的密集度增加，其組網(wǎng)能力和組網(wǎng)能力的安全隱患也隨著增加；mMTC則能支撐百萬級別低能耗物聯(lián)網(wǎng)設(shè)備終端的連接服務(wù)，而拓撲動態(tài)變化和網(wǎng)絡(luò)環(huán)境復(fù)雜等情況，終端設(shè)備的安全可靠運營也受到威脅．所以，5G移動通信網(wǎng)絡(luò)的使用將涉及到大量的接入節(jié)點、低延遲和高可靠性．而目前，所存在的計算資源、規(guī)模和功耗都有局限性，對5G移動通信網(wǎng)絡(luò)安全性提出了前所未有挑戰(zhàn)，但對5G內(nèi)生安全機制的研究正朝著一個有前景的方向發(fā)展．1．2新網(wǎng)絡(luò)體系結(jié)構(gòu)的安全要求．隨著移動互聯(lián)網(wǎng)的蓬勃發(fā)展，越來越多的用戶設(shè)備和對帶寬的巨大需求，將來的蜂窩網(wǎng)絡(luò)相關(guān)的基礎(chǔ)設(shè)施需在HetNets網(wǎng)絡(luò)下才能正常工作．只有當(dāng)5G移動通信網(wǎng)絡(luò)體系架構(gòu)足夠強大，才能滿足多用戶同時請求可擴展的服務(wù)要求．將SDN?NFV技術(shù)運用到新5G移動通信網(wǎng)絡(luò)架構(gòu)中，分離設(shè)備的控制平面和數(shù)據(jù)平面，這為基于通用IT硬件平臺的多個制造商生產(chǎn)的新設(shè)備兼容性提供了條件［4］．此外，業(yè)務(wù)的開放性能和用戶的可定制性等都會給企業(yè)帶來極大的挑戰(zhàn)，需為云平臺提供安全性和可信性．此外，有關(guān)數(shù)據(jù)的計算、存儲和網(wǎng)絡(luò)資源的共享等帶來了一系列的問題，例如虛擬機的安全性和數(shù)據(jù)的安全性．1．3新型空中接口技術(shù)的安全要求．基于上層協(xié)議，目前實現(xiàn)了2G和3G的加密技術(shù)和4G空中無線廣播信號的安全性，卻忽略了接口的重要性，接口對無線通信安全造成威脅．目前，5G通信網(wǎng)絡(luò)將擁有更寬的帶寬、更密集的用戶數(shù)、更低的延遲和更可靠的傳輸．因此，為保證5G通信網(wǎng)絡(luò)的關(guān)鍵性能指標(biāo)（KPI），需設(shè)計安全有效的機制，以適用于不同的應(yīng)用場景．在傳統(tǒng)的認證和數(shù)據(jù)完整性保護機制（如AKA，EPS－AKA）中，用于防止基于信號的無線攻擊（如消息篡改、模擬、中間主攻擊和重放攻擊）的主要方法是用由身份確定的用戶身份信息來標(biāo)記信令和數(shù)據(jù)［5］．但是，當(dāng)身份密鑰泄露或暴露時，身份驗證數(shù)據(jù)就會失效，而攻擊者不但能夠竊取身份驗證過程，還能獲取后續(xù)的會話密鑰，網(wǎng)絡(luò)安全得不到保證．目前，由于數(shù)據(jù)速率和計算復(fù)雜度存在矛盾，當(dāng)前的移動網(wǎng)絡(luò)缺乏合適的解決方案，難以解決移動通信速率的快速和持續(xù)增加帶來的問題，不能確保業(yè)務(wù)數(shù)據(jù)的完整性．因此，急需開發(fā)能在5G移動通信網(wǎng)絡(luò)的應(yīng)用場景中，能快速確認從未知位置發(fā)起的主動攻擊者并能進行防御的有效方法．1．4對用戶隱私的更高安全要求．5G網(wǎng)絡(luò)承諾為終端用戶提供智能服務(wù)，這將從用戶的角度提出許多隱私問題．5G網(wǎng)絡(luò)提供的服務(wù)將包含有關(guān)其用戶的主要信息（如身份、位置以及私人數(shù)據(jù)）．這些信息將如何存儲，以及在何種條件下，許多利益相關(guān)者可以獲得個人數(shù)據(jù)，因此，5G網(wǎng)絡(luò)引發(fā)了私人數(shù)據(jù)泄露的重大問題［6］：第一，數(shù)據(jù)隱私．5G網(wǎng)絡(luò)允許用戶通過異構(gòu)智能設(shè)備使用智能和數(shù)據(jù)密集型的按需服務(wù)，例如，高分辨率流媒體、醫(yī)療保健等．為了提供這些服務(wù)，服務(wù)提供者可以未經(jīng)許可存儲和使用個人的私人數(shù)據(jù)．存儲的數(shù)據(jù)可以與其他用戶共享，以便他們可以使用機器學(xué)習(xí)技術(shù)分析數(shù)據(jù)，并為自己的產(chǎn)品找到新的業(yè)務(wù)趨勢，這可能更適合該用戶．為了緩解此類數(shù)據(jù)隱私問題，服務(wù)提供商必須向用戶說明個人數(shù)據(jù)的存儲方式和存儲位置．第二，位置隱私．在5G網(wǎng)絡(luò)中，大多數(shù)設(shè)備將依賴無處不在的基于位置的服務(wù)（LBS）．LBS使用與智能手機和?或移動設(shè)備相關(guān)的位置數(shù)據(jù)向用戶提供服務(wù)．近年來，在政府、娛樂、交通、醫(yī)療、食品等多個垂直行業(yè)，LBS的推廣力度明顯加大．事實上，這樣的LBS讓用戶的生活更輕松、更愉快，但也帶來了大量的隱私問題，而這些問題都是不斷被跟蹤的．在某些情況下，個人可能不知道這些技術(shù)所帶來的潛在風(fēng)險，不知道如何確定其位置，以及允許誰訪問這些信息．第三，身份隱私．指保護設(shè)備、系統(tǒng)和用戶的身份相關(guān)信息免受主動攻擊．隨著越來越多的設(shè)備連接到互聯(lián)網(wǎng)上，這就引發(fā)了身份盜竊的報警情況．例如，在最近的研究中，主動攻擊者可以通過捕捉用戶的國際移動用戶身份（IMSI）來暴露用戶的身份．此外，通過身份盜竊可以找到更多關(guān)于用戶的細節(jié)［7］．在5G和物聯(lián)網(wǎng)中，身份盜竊可以算作最大的風(fēng)險之一．因此，5G通信網(wǎng)絡(luò)需要提高對用戶隱私的保護，設(shè)計安全機制來防止用戶在存儲、傳輸和訪問過程中的敏感信息的泄露．

25G移動通信網(wǎng)絡(luò)安全應(yīng)對策略

2．15GUE接入和切換方法．5GUE接入方法中，5GUE與網(wǎng)絡(luò)之間的相互認證以及用于提供密鑰材料以保護后續(xù)安全程序的密鑰協(xié)議是5G網(wǎng)絡(luò)中2個最重要的安全功能．在5G系統(tǒng)中，3GPP委員會支持一種名為5GAKA的新AKA協(xié)議，該協(xié)議通過為家庭網(wǎng)絡(luò)提供成功認證的證明來增強4GAKA協(xié)議，即EPSAKA［8］．除5GAKA協(xié)議外，還支持EAP－AKA協(xié)議，以在5G網(wǎng)絡(luò)中執(zhí)行相互認證和密鑰協(xié)議．5GUE切換方法中，3GPP委員會規(guī)定了5G系統(tǒng)的不同移動性場景，包括移動性內(nèi)部新無線電（NR）、移動性內(nèi)部3GPP接入和3GPP與不可信非3GPP接入之間移動性［9］．目前，針對5G接入過程的安全性的解決方案：USIM兼容的5G－AKA協(xié)議已被提出［10］．在該方案中，由于Diffie－Hellman（DH）密鑰交換協(xié)議嵌入到5G－AKA協(xié)議中，會話密鑰的生成不僅依賴于長期密鑰，還依賴于短暫的DH參數(shù)．即使長期密鑰被泄露，對手也不可能獲得共享密鑰．因此，該方案可以同時實現(xiàn)完美的前向保密（PFS）和抵抗被動攻擊．然而，由于使用了Diffie－Hellman（DH）算法，在資源有限的情況下，移動設(shè)備的計算和通信開銷會有所增加．Yang等人［11］提出了一種基于區(qū)塊鏈的5G網(wǎng)絡(luò)匿名接入方案．通過在訪問過程中引入基于區(qū)塊鏈的分發(fā)信任體系結(jié)構(gòu)，可以節(jié)省大量的信令和連接成本．Miao等人［12］提出了一種基于信道信息和EAP－AKA協(xié)議的超密集5GHetNet跨層認證方案．在該方案中，當(dāng)UE想要接入網(wǎng)絡(luò)時，首先采用EAP－AKA認證協(xié)議進行初始認證．而為了實現(xiàn)5G網(wǎng)絡(luò)安全高效的切換認證，大量的切換認證方案被提出．Duan等人［13］提出UE借助安裝在SDN控制器中的認證切換模塊（AHM）從源小區(qū)切換到目標(biāo)小區(qū)，并且能夠監(jiān)視和預(yù)測用戶的位置．由于AHM可以在UE到達之前準(zhǔn)備好相關(guān)小區(qū)，并且相關(guān)小區(qū)也可以提前為UE準(zhǔn)備資源，因此該切換方案可以大大降低切換延遲．此外，由于UE和小區(qū)始終處于AHM的監(jiān)控之下，該方案可以避免模擬攻擊和MitM攻擊．2．2物聯(lián)網(wǎng)的輕量級安全機制物聯(lián)網(wǎng)．（loT）是5G通信網(wǎng)絡(luò)中的關(guān)鍵應(yīng)用場景．在高速傳輸數(shù)據(jù)過程中，必須保證敏感數(shù)據(jù)的機密性和完整性．超高速、超大容量、超低延遲是未來5G網(wǎng)絡(luò)的顯著特點．5G網(wǎng)絡(luò)的傳輸速率是4G網(wǎng)絡(luò)的10～100倍．如何在如此快速的傳輸過程中設(shè)計重量最輕的安全保護機制，同時保證海量物聯(lián)網(wǎng)設(shè)備敏感數(shù)據(jù)的機密性和完整性，是未來5G網(wǎng)絡(luò)面臨的重大挑戰(zhàn)．為了解決這一問題，相關(guān)研究者提出了一系列的解決方案．Tahir等人［14］提出了一種新的用于客戶機服務(wù)器架構(gòu)的可搜索加密方案，該方案利用模塊化的逆屬性方便在具有云上加密數(shù)據(jù)搜索功能的安全逆索引表上進行搜索．目前，學(xué)者為5G移動通信網(wǎng)絡(luò)的應(yīng)用場景實現(xiàn)高級別和輕量級的安全性提供了一個有希望的解決方案，例如使用mMTC和uRLLC．Wang等人［15］提出了一種將隨機信號與無線信道相結(jié)合的密鑰生成方法，解決了無線信道隨機性有限和移動受限時密鑰生成率低的問題情景．Lou等人［16］研究出一種把隨機信號和密鑰相結(jié)合的方法．在BS中，密鑰主要是通過信道和信號隨機地提取出來的，而信號源的安全則是通過一種安全的傳輸方案來保證的，同時，節(jié)點側(cè)根據(jù)接收到的信號直接生成密鑰．綜上所述，無線信道安全機制能夠做到快速密鑰更新，減少不必要的網(wǎng)絡(luò)信令開銷和降低延遲，為大量運營設(shè)備的密鑰分配和管理提供了一個很好的解決方案，也滿足了輕量級實現(xiàn)的安全要求5G物聯(lián)網(wǎng)場景中的終端，提供高效的小數(shù)據(jù)安全傳輸和隱私保護．2．3網(wǎng)絡(luò)切片安全隔離策略．在5G時代，數(shù)千億個設(shè)備將連接到網(wǎng)絡(luò)．不同類型的設(shè)備和不同的應(yīng)用場景具有不同的網(wǎng)絡(luò)要求．如何在同一網(wǎng)絡(luò)物理設(shè)施上滿足5G網(wǎng)絡(luò)不同服務(wù)的QoS要求是關(guān)鍵［17］．將NFV和SDN技術(shù)引入5G網(wǎng)絡(luò)，并采用網(wǎng)絡(luò)切片方法，可以有效滿足不同業(yè)務(wù)的QoS要求．網(wǎng)絡(luò)切片將現(xiàn)有物理網(wǎng)絡(luò)拆分為多個分別獨立的邏輯網(wǎng)絡(luò)，以為網(wǎng)絡(luò)的差異化服務(wù)提供一系列的定制服務(wù)．根據(jù)5G移動通信網(wǎng)絡(luò)不同業(yè)務(wù)的QoS服務(wù)要求，分別給網(wǎng)絡(luò)切片分配相應(yīng)的網(wǎng)絡(luò)功能和網(wǎng)絡(luò)資源，來實現(xiàn)5G移動通信網(wǎng)絡(luò)架構(gòu)的實例化．通常，網(wǎng)絡(luò)切片由大量網(wǎng)絡(luò)功能和1組特定的RAT組成．網(wǎng)絡(luò)功能和RAT集的組合方式取決于特定的使用場景或業(yè)務(wù)模型．例如，在某些物聯(lián)網(wǎng)情況下，移動性不會很高，因此不需要移動性處理功能．可以有不同的提供網(wǎng)絡(luò)切片的方法，例如，我們可以為每個服務(wù)提供1個切片，也可以為每個垂直市場提供1個切片．若想實現(xiàn)隔離，每個網(wǎng)絡(luò)切片的配置都有各自相匹配的專屬切片ID，同時，還需與5G通信的網(wǎng)絡(luò)規(guī)定切片安全需求保持一致，然后放到切片安全服務(wù)器內(nèi)，當(dāng)用戶設(shè)備使用5G網(wǎng)絡(luò)時，則需提供相關(guān)網(wǎng)絡(luò)切片ID．當(dāng)歸屬服務(wù)器接收到網(wǎng)絡(luò)切片的請求時，會以HSS按照SSS相對應(yīng)切片的安全配置使用和該切片ID相應(yīng)的安全設(shè)置，同時，選擇合適的安全算法來建立UE相關(guān)認證矢量，此外，該認證矢量計算需和網(wǎng)絡(luò)切片ID相綁定，從而實現(xiàn)網(wǎng)絡(luò)切片安全隔離．而對于同樣業(yè)務(wù)種類的網(wǎng)絡(luò)切片而言，也體現(xiàn)出隔離方面的需要．不管是資源、服務(wù)還是數(shù)據(jù)，處于網(wǎng)絡(luò)切片內(nèi)受到隔離保護．因此，為用戶提供統(tǒng)一、靈活和安全的可分離身份認證框架，安全存儲用戶相關(guān)重要信息，以供用戶實時訪問相關(guān)資源．2．4用戶隱私保護．5G移動通信網(wǎng)絡(luò)安全機制的研究和標(biāo)準(zhǔn)化過程中，用戶隱私保護是廣泛的關(guān)注點．對5G網(wǎng)絡(luò)隱私保護有關(guān)內(nèi)容主要有3個方面：第一，移動通信網(wǎng)絡(luò)上傳統(tǒng)的用戶隱私數(shù)據(jù)保護，例如用戶位置、行蹤、通信內(nèi)容等；第二，不同行業(yè)的用戶隱私數(shù)據(jù)保護，例如，用戶個人醫(yī)療和健康信息等；第三，敏感行業(yè)中的基本數(shù)據(jù)保護，例如機器設(shè)備中生產(chǎn)控制等指令數(shù)據(jù)．國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心（NDSC）針對移動通信網(wǎng)絡(luò)中用戶隱私數(shù)據(jù)泄露的相關(guān)問題，提出了相應(yīng)的解決方案，其主要核心思想是利用動態(tài)隱藏映射的主動防御機制來有效地隱藏并動態(tài)改變用戶數(shù)據(jù)的關(guān)聯(lián)關(guān)系，進而在不可控制的通信過程或通信設(shè)備中構(gòu)造動態(tài)的、不確定的“用戶數(shù)據(jù)關(guān)聯(lián)關(guān)系譜”，使用戶數(shù)據(jù)體現(xiàn)出不完全、不確定、不相關(guān)、不真實的特點．5G網(wǎng)絡(luò)對不同的用戶和不同服務(wù)場景有不同的隱私保護要求．因此，需采用不同的技術(shù)手段來防止用戶隱私泄露．首先要明確用戶個人隱私信息的內(nèi)容和涉及范圍，明確處理并存儲用戶的隱私信息的網(wǎng)絡(luò)操作等．然后，就空中交通、網(wǎng)絡(luò)、信令交互和應(yīng)用層、隱私信息的請求等其他操作使用包括數(shù)據(jù)最小化、加密保護和用戶權(quán)限等在內(nèi)技術(shù)和管理措施加以保護．2．5區(qū)塊鏈技術(shù)．5G網(wǎng)絡(luò)空間中存在大量的設(shè)備，其類型復(fù)雜，網(wǎng)絡(luò)環(huán)境復(fù)雜，虛擬狀態(tài)和物理狀態(tài)同時存在．因此，有必要確定如何實現(xiàn)相互的完整性保護．在復(fù)雜的網(wǎng)絡(luò)運營環(huán)境中，各網(wǎng)絡(luò)元素之間的信息交互行為的不可否認性是5G移動通信網(wǎng)絡(luò)面臨的主要挑戰(zhàn)．而區(qū)塊鏈被定義成一種分布式數(shù)據(jù)庫，用于記錄從起源區(qū)塊到當(dāng)前區(qū)塊的所有事務(wù)，具有如下特點：分散性、不可變性、匿名性和可審計等，也能為上述挑戰(zhàn)提供解決方案．通過基于區(qū)塊鏈的安全通信基礎(chǔ)設(shè)施，可以實現(xiàn)面向隱私的加密音頻和視頻通信、欺詐管理、身份服務(wù)和電信行業(yè)數(shù)據(jù)管理的新解決方案，同時為5G構(gòu)建物聯(lián)網(wǎng)安全網(wǎng)絡(luò)．Zyskind等人［18］提出了一種分散的個人數(shù)據(jù)管理系統(tǒng)，保證了用戶對數(shù)據(jù)的擁有和控制，信令（存儲、查詢和共享數(shù)據(jù)）被用作不受信任的第三方類信息，來對數(shù)據(jù)進行安全訪問控制管理．Kravitz等人［19］提出了大量嵌入式設(shè)備存在隱私和安全挑戰(zhàn)，通過私有鏈來保護并管理這些系統(tǒng)，使用區(qū)塊鏈技術(shù)提供分布式管理和靈活管理用戶及設(shè)備的身份來滿足基本需求．Cruickshank等人［20］提出了一種新的密鑰管理方案，用于在異構(gòu)VCS（車輛通信系統(tǒng)）中的安全管理器之間進行密鑰轉(zhuǎn)移，并通過密鑰進行安全傳輸．

作者:林嘉濤 李玉 陳海萍 單位:中國電信股份有限公司廈門分公司