導語：5G移動通信網(wǎng)絡安全問題研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:隨著移動通信和智能設備的迅速發(fā)展，第五代移動通信系統(tǒng)（5g）的商用落地，為用戶提供更好體驗、更為快捷流暢、穩(wěn)定的通信服務．針對5G移動通信網(wǎng)絡的安全，分別從新業(yè)務、新網(wǎng)絡體系結(jié)構(gòu)、新型空中接口技術和用戶隱私的更高要求這4個方面來介紹5G移動通信網(wǎng)絡的安全要求，并提出5GUE接入和切換方法、物聯(lián)網(wǎng)的輕量級安全機制、網(wǎng)絡切片安全隔離策略、用戶隱私保護和區(qū)塊鏈技術這5方面的保護應對策略．

關鍵詞:5G移動通信網(wǎng)絡；安全要求；網(wǎng)絡切片；區(qū)塊鏈；保護應對策略

當今社會對高速互聯(lián)網(wǎng)連接、高數(shù)據(jù)速率的無線通信有著很高的需求，是智能經(jīng)濟發(fā)展、社會和世界數(shù)字化的重要因素．5G網(wǎng)絡可以實現(xiàn)2G，3G，4G，WiFi等接入技術的無縫融合，提供超過10Gbps的速度、低延遲、高可靠性、超高密度用戶容量、高移動性的支持端口等．5G的移動網(wǎng)絡業(yè)務主要包括eMBB（增強移動寬帶）、uRLLC（低時延高可靠）、mMTC（海量物聯(lián)網(wǎng)）三大典型場景［1］．而5G需要根據(jù)這3種應用場景的不同安全要求使用保護機制，其中eMBB主要針對帶寬和用戶體驗有著高要求的業(yè)務，比如高清視頻和VR等；mMTC主要側(cè)重于高密度的應用場景，終端具有能耗限制特性，拓撲動態(tài)變化，注重數(shù)據(jù)分析，比如智能電表；uRLLC則是提供較低的時延和較高的安全性的通信應用服務，例如實時醫(yī)療應用服務、車輛聯(lián)網(wǎng)等．除了mMTC和uRLLC外，網(wǎng)絡還需要支持100萬?km2的連接密度，端到端延遲小于1ms，這意味著大量節(jié)點將同時加入和退出網(wǎng)絡．通信節(jié)點具有分布密集、并發(fā)通信量高、通信時延低、動態(tài)遷移等特點．網(wǎng)絡將面臨海量通信節(jié)點之間密鑰分配的實時生成和管理等諸多問題．為傳統(tǒng)無線通信的安全性帶來新挑戰(zhàn)．相應地，需要為5G開發(fā)的關鍵技術是：大規(guī)模多輸入多輸出（MIMO）、全雙工、超密集網(wǎng)絡（UDN）、軟件定義網(wǎng)絡（SDN）和網(wǎng)絡功能虛擬化（NFV）等［2］．

15G移動通信網(wǎng)絡安全要求分析

由于新的業(yè)務應用、新網(wǎng)絡架構(gòu)、新應用技術和新應用場景，5G移動通信網(wǎng)絡需要使用許多新的安全類型，目前，以物聯(lián)網(wǎng)為代表的新的業(yè)務應用對安全和開放共享的網(wǎng)絡架構(gòu)提出了新的挑戰(zhàn)．由于安全手段有限，空中接口技術的應用和發(fā)展不僅對無線安全提出了更高的傳輸要求，同時也為解決信息問題創(chuàng)造更好的條件．1．15G新業(yè)務的安全要求．5G通信網(wǎng)絡在eMBB，uRLLC和mMTC等三大典型應用場景時，由于虛擬現(xiàn)實（VR）、大數(shù)據(jù)及互聯(lián)網(wǎng)的消費者體驗的產(chǎn)品種類越來越豐富，導致多樣化的場景需求對網(wǎng)絡設備容量和性能提出更高的要求［3］．同時，5G的高速率和低延遲將逐漸和工業(yè)、交通、醫(yī)療、教育和城市等方面緊密聯(lián)系在一起．uRLLC能給用戶提供端到端的毫秒級的時延和接近100％的高可靠性的業(yè)務保證，因此，為實現(xiàn)即時互聯(lián)互通的遠程實時醫(yī)療、車聯(lián)網(wǎng)等，就需要5G網(wǎng)絡提供更加可靠的網(wǎng)絡架構(gòu)；eMBB能給用戶提供隨時隨處獲得100Mbps以上的無縫、極致和高速的通信體驗，則要求5G網(wǎng)絡需要建設更多的小基站，而隨著這些小基站的密集度增加，其組網(wǎng)能力和組網(wǎng)能力的安全隱患也隨著增加；mMTC則能支撐百萬級別低能耗物聯(lián)網(wǎng)設備終端的連接服務，而拓撲動態(tài)變化和網(wǎng)絡環(huán)境復雜等情況，終端設備的安全可靠運營也受到威脅．所以，5G移動通信網(wǎng)絡的使用將涉及到大量的接入節(jié)點、低延遲和高可靠性．而目前，所存在的計算資源、規(guī)模和功耗都有局限性，對5G移動通信網(wǎng)絡安全性提出了前所未有挑戰(zhàn)，但對5G內(nèi)生安全機制的研究正朝著一個有前景的方向發(fā)展．1．2新網(wǎng)絡體系結(jié)構(gòu)的安全要求．隨著移動互聯(lián)網(wǎng)的蓬勃發(fā)展，越來越多的用戶設備和對帶寬的巨大需求，將來的蜂窩網(wǎng)絡相關的基礎設施需在HetNets網(wǎng)絡下才能正常工作．只有當5G移動通信網(wǎng)絡體系架構(gòu)足夠強大，才能滿足多用戶同時請求可擴展的服務要求．將SDN?NFV技術運用到新5G移動通信網(wǎng)絡架構(gòu)中，分離設備的控制平面和數(shù)據(jù)平面，這為基于通用IT硬件平臺的多個制造商生產(chǎn)的新設備兼容性提供了條件［4］．此外，業(yè)務的開放性能和用戶的可定制性等都會給企業(yè)帶來極大的挑戰(zhàn)，需為云平臺提供安全性和可信性．此外，有關數(shù)據(jù)的計算、存儲和網(wǎng)絡資源的共享等帶來了一系列的問題，例如虛擬機的安全性和數(shù)據(jù)的安全性．1．3新型空中接口技術的安全要求．基于上層協(xié)議，目前實現(xiàn)了2G和3G的加密技術和4G空中無線廣播信號的安全性，卻忽略了接口的重要性，接口對無線通信安全造成威脅．目前，5G通信網(wǎng)絡將擁有更寬的帶寬、更密集的用戶數(shù)、更低的延遲和更可靠的傳輸．因此，為保證5G通信網(wǎng)絡的關鍵性能指標（KPI），需設計安全有效的機制，以適用于不同的應用場景．在傳統(tǒng)的認證和數(shù)據(jù)完整性保護機制（如AKA，EPS－AKA）中，用于防止基于信號的無線攻擊（如消息篡改、模擬、中間主攻擊和重放攻擊）的主要方法是用由身份確定的用戶身份信息來標記信令和數(shù)據(jù)［5］．但是，當身份密鑰泄露或暴露時，身份驗證數(shù)據(jù)就會失效，而攻擊者不但能夠竊取身份驗證過程，還能獲取后續(xù)的會話密鑰，網(wǎng)絡安全得不到保證．目前，由于數(shù)據(jù)速率和計算復雜度存在矛盾，當前的移動網(wǎng)絡缺乏合適的解決方案，難以解決移動通信速率的快速和持續(xù)增加帶來的問題，不能確保業(yè)務數(shù)據(jù)的完整性．因此，急需開發(fā)能在5G移動通信網(wǎng)絡的應用場景中，能快速確認從未知位置發(fā)起的主動攻擊者并能進行防御的有效方法．1．4對用戶隱私的更高安全要求．5G網(wǎng)絡承諾為終端用戶提供智能服務，這將從用戶的角度提出許多隱私問題．5G網(wǎng)絡提供的服務將包含有關其用戶的主要信息（如身份、位置以及私人數(shù)據(jù)）．這些信息將如何存儲，以及在何種條件下，許多利益相關者可以獲得個人數(shù)據(jù)，因此，5G網(wǎng)絡引發(fā)了私人數(shù)據(jù)泄露的重大問題［6］：第一，數(shù)據(jù)隱私．5G網(wǎng)絡允許用戶通過異構(gòu)智能設備使用智能和數(shù)據(jù)密集型的按需服務，例如，高分辨率流媒體、醫(yī)療保健等．為了提供這些服務，服務提供者可以未經(jīng)許可存儲和使用個人的私人數(shù)據(jù)．存儲的數(shù)據(jù)可以與其他用戶共享，以便他們可以使用機器學習技術分析數(shù)據(jù)，并為自己的產(chǎn)品找到新的業(yè)務趨勢，這可能更適合該用戶．為了緩解此類數(shù)據(jù)隱私問題，服務提供商必須向用戶說明個人數(shù)據(jù)的存儲方式和存儲位置．第二，位置隱私．在5G網(wǎng)絡中，大多數(shù)設備將依賴無處不在的基于位置的服務（LBS）．LBS使用與智能手機和?或移動設備相關的位置數(shù)據(jù)向用戶提供服務．近年來，在政府、娛樂、交通、醫(yī)療、食品等多個垂直行業(yè)，LBS的推廣力度明顯加大．事實上，這樣的LBS讓用戶的生活更輕松、更愉快，但也帶來了大量的隱私問題，而這些問題都是不斷被跟蹤的．在某些情況下，個人可能不知道這些技術所帶來的潛在風險，不知道如何確定其位置，以及允許誰訪問這些信息．第三，身份隱私．指保護設備、系統(tǒng)和用戶的身份相關信息免受主動攻擊．隨著越來越多的設備連接到互聯(lián)網(wǎng)上，這就引發(fā)了身份盜竊的報警情況．例如，在最近的研究中，主動攻擊者可以通過捕捉用戶的國際移動用戶身份（IMSI）來暴露用戶的身份．此外，通過身份盜竊可以找到更多關于用戶的細節(jié)［7］．在5G和物聯(lián)網(wǎng)中，身份盜竊可以算作最大的風險之一．因此，5G通信網(wǎng)絡需要提高對用戶隱私的保護，設計安全機制來防止用戶在存儲、傳輸和訪問過程中的敏感信息的泄露．

25G移動通信網(wǎng)絡安全應對策略

2．15GUE接入和切換方法．5GUE接入方法中，5GUE與網(wǎng)絡之間的相互認證以及用于提供密鑰材料以保護后續(xù)安全程序的密鑰協(xié)議是5G網(wǎng)絡中2個最重要的安全功能．在5G系統(tǒng)中，3GPP委員會支持一種名為5GAKA的新AKA協(xié)議，該協(xié)議通過為家庭網(wǎng)絡提供成功認證的證明來增強4GAKA協(xié)議，即EPSAKA［8］．除5GAKA協(xié)議外，還支持EAP－AKA協(xié)議，以在5G網(wǎng)絡中執(zhí)行相互認證和密鑰協(xié)議．5GUE切換方法中，3GPP委員會規(guī)定了5G系統(tǒng)的不同移動性場景，包括移動性內(nèi)部新無線電（NR）、移動性內(nèi)部3GPP接入和3GPP與不可信非3GPP接入之間移動性［9］．目前，針對5G接入過程的安全性的解決方案：USIM兼容的5G－AKA協(xié)議已被提出［10］．在該方案中，由于Diffie－Hellman（DH）密鑰交換協(xié)議嵌入到5G－AKA協(xié)議中，會話密鑰的生成不僅依賴于長期密鑰，還依賴于短暫的DH參數(shù)．即使長期密鑰被泄露，對手也不可能獲得共享密鑰．因此，該方案可以同時實現(xiàn)完美的前向保密（PFS）和抵抗被動攻擊．然而，由于使用了Diffie－Hellman（DH）算法，在資源有限的情況下，移動設備的計算和通信開銷會有所增加．Yang等人［11］提出了一種基于區(qū)塊鏈的5G網(wǎng)絡匿名接入方案．通過在訪問過程中引入基于區(qū)塊鏈的分發(fā)信任體系結(jié)構(gòu)，可以節(jié)省大量的信令和連接成本．Miao等人［12］提出了一種基于信道信息和EAP－AKA協(xié)議的超密集5GHetNet跨層認證方案．在該方案中，當UE想要接入網(wǎng)絡時，首先采用EAP－AKA認證協(xié)議進行初始認證．而為了實現(xiàn)5G網(wǎng)絡安全高效的切換認證，大量的切換認證方案被提出．Duan等人［13］提出UE借助安裝在SDN控制器中的認證切換模塊（AHM）從源小區(qū)切換到目標小區(qū)，并且能夠監(jiān)視和預測用戶的位置．由于AHM可以在UE到達之前準備好相關小區(qū)，并且相關小區(qū)也可以提前為UE準備資源，因此該切換方案可以大大降低切換延遲．此外，由于UE和小區(qū)始終處于AHM的監(jiān)控之下，該方案可以避免模擬攻擊和MitM攻擊．2．2物聯(lián)網(wǎng)的輕量級安全機制物聯(lián)網(wǎng)．（loT）是5G通信網(wǎng)絡中的關鍵應用場景．在高速傳輸數(shù)據(jù)過程中，必須保證敏感數(shù)據(jù)的機密性和完整性．超高速、超大容量、超低延遲是未來5G網(wǎng)絡的顯著特點．5G網(wǎng)絡的傳輸速率是4G網(wǎng)絡的10～100倍．如何在如此快速的傳輸過程中設計重量最輕的安全保護機制，同時保證海量物聯(lián)網(wǎng)設備敏感數(shù)據(jù)的機密性和完整性，是未來5G網(wǎng)絡面臨的重大挑戰(zhàn)．為了解決這一問題，相關研究者提出了一系列的解決方案．Tahir等人［14］提出了一種新的用于客戶機服務器架構(gòu)的可搜索加密方案，該方案利用模塊化的逆屬性方便在具有云上加密數(shù)據(jù)搜索功能的安全逆索引表上進行搜索．目前，學者為5G移動通信網(wǎng)絡的應用場景實現(xiàn)高級別和輕量級的安全性提供了一個有希望的解決方案，例如使用mMTC和uRLLC．Wang等人［15］提出了一種將隨機信號與無線信道相結(jié)合的密鑰生成方法，解決了無線信道隨機性有限和移動受限時密鑰生成率低的問題情景．Lou等人［16］研究出一種把隨機信號和密鑰相結(jié)合的方法．在BS中，密鑰主要是通過信道和信號隨機地提取出來的，而信號源的安全則是通過一種安全的傳輸方案來保證的，同時，節(jié)點側(cè)根據(jù)接收到的信號直接生成密鑰．綜上所述，無線信道安全機制能夠做到快速密鑰更新，減少不必要的網(wǎng)絡信令開銷和降低延遲，為大量運營設備的密鑰分配和管理提供了一個很好的解決方案，也滿足了輕量級實現(xiàn)的安全要求5G物聯(lián)網(wǎng)場景中的終端，提供高效的小數(shù)據(jù)安全傳輸和隱私保護．2．3網(wǎng)絡切片安全隔離策略．在5G時代，數(shù)千億個設備將連接到網(wǎng)絡．不同類型的設備和不同的應用場景具有不同的網(wǎng)絡要求．如何在同一網(wǎng)絡物理設施上滿足5G網(wǎng)絡不同服務的QoS要求是關鍵［17］．將NFV和SDN技術引入5G網(wǎng)絡，并采用網(wǎng)絡切片方法，可以有效滿足不同業(yè)務的QoS要求．網(wǎng)絡切片將現(xiàn)有物理網(wǎng)絡拆分為多個分別獨立的邏輯網(wǎng)絡，以為網(wǎng)絡的差異化服務提供一系列的定制服務．根據(jù)5G移動通信網(wǎng)絡不同業(yè)務的QoS服務要求，分別給網(wǎng)絡切片分配相應的網(wǎng)絡功能和網(wǎng)絡資源，來實現(xiàn)5G移動通信網(wǎng)絡架構(gòu)的實例化．通常，網(wǎng)絡切片由大量網(wǎng)絡功能和1組特定的RAT組成．網(wǎng)絡功能和RAT集的組合方式取決于特定的使用場景或業(yè)務模型．例如，在某些物聯(lián)網(wǎng)情況下，移動性不會很高，因此不需要移動性處理功能．可以有不同的提供網(wǎng)絡切片的方法，例如，我們可以為每個服務提供1個切片，也可以為每個垂直市場提供1個切片．若想實現(xiàn)隔離，每個網(wǎng)絡切片的配置都有各自相匹配的專屬切片ID，同時，還需與5G通信的網(wǎng)絡規(guī)定切片安全需求保持一致，然后放到切片安全服務器內(nèi)，當用戶設備使用5G網(wǎng)絡時，則需提供相關網(wǎng)絡切片ID．當歸屬服務器接收到網(wǎng)絡切片的請求時，會以HSS按照SSS相對應切片的安全配置使用和該切片ID相應的安全設置，同時，選擇合適的安全算法來建立UE相關認證矢量，此外，該認證矢量計算需和網(wǎng)絡切片ID相綁定，從而實現(xiàn)網(wǎng)絡切片安全隔離．而對于同樣業(yè)務種類的網(wǎng)絡切片而言，也體現(xiàn)出隔離方面的需要．不管是資源、服務還是數(shù)據(jù)，處于網(wǎng)絡切片內(nèi)受到隔離保護．因此，為用戶提供統(tǒng)一、靈活和安全的可分離身份認證框架，安全存儲用戶相關重要信息，以供用戶實時訪問相關資源．2．4用戶隱私保護．5G移動通信網(wǎng)絡安全機制的研究和標準化過程中，用戶隱私保護是廣泛的關注點．對5G網(wǎng)絡隱私保護有關內(nèi)容主要有3個方面：第一，移動通信網(wǎng)絡上傳統(tǒng)的用戶隱私數(shù)據(jù)保護，例如用戶位置、行蹤、通信內(nèi)容等；第二，不同行業(yè)的用戶隱私數(shù)據(jù)保護，例如，用戶個人醫(yī)療和健康信息等；第三，敏感行業(yè)中的基本數(shù)據(jù)保護，例如機器設備中生產(chǎn)控制等指令數(shù)據(jù)．國家數(shù)字交換系統(tǒng)工程技術研究中心（NDSC）針對移動通信網(wǎng)絡中用戶隱私數(shù)據(jù)泄露的相關問題，提出了相應的解決方案，其主要核心思想是利用動態(tài)隱藏映射的主動防御機制來有效地隱藏并動態(tài)改變用戶數(shù)據(jù)的關聯(lián)關系，進而在不可控制的通信過程或通信設備中構(gòu)造動態(tài)的、不確定的“用戶數(shù)據(jù)關聯(lián)關系譜”，使用戶數(shù)據(jù)體現(xiàn)出不完全、不確定、不相關、不真實的特點．5G網(wǎng)絡對不同的用戶和不同服務場景有不同的隱私保護要求．因此，需采用不同的技術手段來防止用戶隱私泄露．首先要明確用戶個人隱私信息的內(nèi)容和涉及范圍，明確處理并存儲用戶的隱私信息的網(wǎng)絡操作等．然后，就空中交通、網(wǎng)絡、信令交互和應用層、隱私信息的請求等其他操作使用包括數(shù)據(jù)最小化、加密保護和用戶權限等在內(nèi)技術和管理措施加以保護．2．5區(qū)塊鏈技術．5G網(wǎng)絡空間中存在大量的設備，其類型復雜，網(wǎng)絡環(huán)境復雜，虛擬狀態(tài)和物理狀態(tài)同時存在．因此，有必要確定如何實現(xiàn)相互的完整性保護．在復雜的網(wǎng)絡運營環(huán)境中，各網(wǎng)絡元素之間的信息交互行為的不可否認性是5G移動通信網(wǎng)絡面臨的主要挑戰(zhàn)．而區(qū)塊鏈被定義成一種分布式數(shù)據(jù)庫，用于記錄從起源區(qū)塊到當前區(qū)塊的所有事務，具有如下特點：分散性、不可變性、匿名性和可審計等，也能為上述挑戰(zhàn)提供解決方案．通過基于區(qū)塊鏈的安全通信基礎設施，可以實現(xiàn)面向隱私的加密音頻和視頻通信、欺詐管理、身份服務和電信行業(yè)數(shù)據(jù)管理的新解決方案，同時為5G構(gòu)建物聯(lián)網(wǎng)安全網(wǎng)絡．Zyskind等人［18］提出了一種分散的個人數(shù)據(jù)管理系統(tǒng)，保證了用戶對數(shù)據(jù)的擁有和控制，信令（存儲、查詢和共享數(shù)據(jù)）被用作不受信任的第三方類信息，來對數(shù)據(jù)進行安全訪問控制管理．Kravitz等人［19］提出了大量嵌入式設備存在隱私和安全挑戰(zhàn)，通過私有鏈來保護并管理這些系統(tǒng)，使用區(qū)塊鏈技術提供分布式管理和靈活管理用戶及設備的身份來滿足基本需求．Cruickshank等人［20］提出了一種新的密鑰管理方案，用于在異構(gòu)VCS（車輛通信系統(tǒng)）中的安全管理器之間進行密鑰轉(zhuǎn)移，并通過密鑰進行安全傳輸．

作者:林嘉濤 李玉 陳海萍 單位:中國電信股份有限公司廈門分公司