下一代移動網需建構差異化安全機制

目前，全球新一輪科技革命和産業變革正孕育興起，跨行業、跨領域的融合創新不斷深入，将産生大量新應用、新業态、新模式，對移動通信技術也提出了更高要求。第五代移動通信（5g）作為新一代移動通信技術發展的方向，将在提升移動網際網路使用者業務體驗的基礎上，進一步滿足未來物聯網應用的海量需求，與工業、醫療、交通等行業深度融合，實作真正的“萬物互聯”。

面對5g網絡的新發展趨勢，尤其是5g新業務、新架構、新技術，都會對安全和使用者隐私保護提出新的挑戰。5g安全機制除了要滿足基本通信安全外，還需要為不同業務場景提供差異化安全服務，能夠适應多種網絡接入方式及新型網絡架構，保護使用者隐私，并支援提供開放的安全能力。

5g新場景帶來新的安全威脅

5g的embb場景與傳統移動網際網路場景相比，主要的差別是為使用者提供更快的網絡速率和高密度的容量，是以将出現數量衆多的小站。小站的部署方式、部署條件以及功能都存在靈活多樣的特點。傳統4g安全機制未考慮此種密集組網場景下的安全威脅，是以，除了傳統移動網際網路所存在的安全威脅外，在這種密集組網場景下可能會存在小站接入的安全威脅。

針對大規模物聯網場景，預計到2020年，聯網裝置将達500億台。終端包括物聯網終端、rfid标簽、近距離無線通信終端、移動通信終端、攝像頭以及傳感器網絡網關等。由于大部分物聯網終端具有資源受限、拓撲動态變化、網絡環境複雜、以資料為中心以及與應用密切相關等特點，與傳統的無線網絡相比，更容易受到威脅和攻擊。在此海量裝置情況下，為了確定資訊的準确有效性，需要在機器通信中引入安全機制。而若每個裝置的每條消息都需要單獨認證，則網絡側安全信令的驗證需要消耗大量資源。在傳統4g網絡認證機制中沒有考慮到這種海量認證信令的問題，一旦網絡收到終端信令請求超過了網絡各項信令資源的處理能力，則會觸發信令風暴，導緻網絡服務出現問題。進一步的，整個移動通信系統可能會是以出現故障，進而崩潰。

而在低延遲時間高可靠場景，尤其針對車聯網、遠端實時醫療等時延敏感應用，提出了低延遲時間高安全性的需要。在這些場景中，為避免車輛碰撞、手術誤操作等事故，要求5g網絡能在保證高可靠性的同時提供低至1ms的時延qos保障。而傳統的安全協定，如認證流程、加解密流程等，在設計時未考慮超高可靠低延遲時間的通信場景。這樣可能會造成傳統的複雜的安全協定/算法造成的時延無法滿足超低延遲時間的需求。同時，5g中超密集部署技術的應用使得單個接入節點覆寫範圍很小，當車輛等終端快速移動時，網絡的移動性管理過程将會非常頻繁，為了低延遲時間的目标，移動性管理相關的功能單元和流程需要進行優化。

5g新型網絡架構對安全提出了新的要求

5g新型網絡架構需要更靈活、更智能和更好的性能，可以自動适配海量業務的差異化服務要求，基于全網視圖來綜合排程網絡資源，包括接入能力、計算能力、存儲能力和網絡連接配接能力等，具體包括：5g網絡基于控制和轉發分離模式實作使用者面更加扁平的架構；依托新型架構的全局控制功能，可以實作多種接入技術的協同控制；借鑒it虛拟化技術思想對網元形态和網絡連接配接方法進行重構，5g網絡的基礎設施引入nfv等虛拟化技術，實作網絡切片和網元按需部署，增加整體網絡的靈活性和伸縮性。

——nfv安全需求

5g網絡基礎設施平台将更多地選擇基于通用硬體架構的資料中心構成支援5g網絡的高轉發性能和電信級管理要求。nfv技術實作底層實體資源到虛拟化資源的映射，構造虛拟機（vm），加載網絡邏輯功能（vnf）；虛拟化系統實作對虛拟化基礎設施平台的統一管理和資源的動态重配置。nfv具有幫助強化網絡安全的潛力，安全政策可編排，并且可以發揮虛拟化的優勢，隔離業務負載進而強化安全。nfv在強化安全的同時也帶來了新的安全隐患。相比傳統電信裝置，軟體硬體分離的特點以及虛拟化網絡的開放性給nfv帶來了新的潛在安全問題：

第一，引入新的高危區域——虛拟化管理層。虛拟化管理層是nfv的核心，一旦被攻破，在其上的所有虛拟機将直接面對攻擊，後果将不堪設想。

第二，彈性、虛拟網絡使安全邊界模糊，安全政策難于随網絡調整而實時、動态遷移，虛拟機容易受到同一主機的其他虛拟機的攻擊；傳統基于實體安全邊界的防護機制在雲計算的環境難以得到有效應用。

第三，使用者失去對資源的完全控制以及多租戶共享計算資源，帶來的資料洩漏與攻擊風險，給資料安全保護提出了更高的要求。并且使用者、應用和資料資源聚集，容易成為黑客攻擊的目标，而且一旦被攻擊，影響範圍廣、危害大。

5g安全針對nfv等虛拟化技術的引入，需要為網絡裝置提供多元化的系統級防護，防止各類非法的攻擊和入侵。5g網絡環境将包含多廠家的軟硬體基礎設施，是以網絡身份必須得到有效管理，進而防止非法使用者對網絡資源的通路。5g安全将提供傳輸保護，為資料傳輸提供如機密性和完整性等安全防護，應對傳輸中資料的惡意竊聽和轉發。

——網絡切片安全需求

網絡切片是5g網絡的關鍵特征。一個網絡切片将構成一個端到端的邏輯網絡，按切片需求方的需求靈活地提供一種或多種網絡服務。網絡切片重要的安全問題是網絡切片需要提供不同切片執行個體之間的隔離機制，防止本切片内的資源被其他類型網絡切片中網絡節點非法通路。例如醫療切片網絡中的病人，隻希望被接入到本切片網絡中的醫生通路，而不希望被其他切片網絡中的人通路。相同業務類型的網絡切片之間也存在隔離的需求，例如不同的企業的在使用相同業務類型的切片網絡時，并不希望本企業内的服務資源被其他企業的網絡切片節點通路。

服務、資源和資料在網絡切片中被隔離保護的效果要達到接近于傳統私網一樣的使用者感受，這樣才能使使用者能放心地将原本存放在私有網絡中的應用資料存放到在雲端，使用者在享有随時随地可通路私有資源的同時不需要擔憂這些資源的安全問題，這樣才能促進各種垂直業務的健康快速發展。

——多rat接入的安全需求

異構接入網絡将是下一代接入網絡的主要技術特征之一，5g網絡将是多種無線接入技術融合共存的網絡。異構不僅展現在接入技術的不同，如wifi和蜂窩網絡方面，還展現在接入網絡因為屬于不同擁有者而造成的局部網絡架構方面的差異上，是以，5g網絡需要建構一個通用的認證機制，能夠在不同的接入技術、不安全的接入網之上建立一個安全的營運網絡。

另外，在異構網絡間的安全互操作方面，終端可能在異構網絡間進行切換，這時需要保證在異構網絡間切換的安全互操作，如安全上下文的傳遞、密鑰的更新、異構網絡間安全上下文的隔離等。

*

未來5g安全将在更加多樣化的場景、多種接入方式以及新型網絡架構的基礎上，提供全方位的安全保障。除滿足基本通信安全外，5g安全機制能夠為不同的業務場景提供差異化的安全服務，能夠适應多種網絡接入方式及新型網絡架構，保護使用者隐私，并支援提供開放的安全能力。目前，5g标準化工作已經全面啟動，3gppsa2将在2016年年底完成5g網絡架構的研究工作，是以亟須盡早明确5g網絡的安全需求，并且在5g網絡的整體架構設計和後續标準化中綜合考慮5g安全要求，這樣才能最終實作建構更加安全可信的5g新型網絡的目标。

本文轉自d1net（轉載）