信息化觀察網(wǎng)

在新冠肺炎疫情期間，隨著越來越多的企業(yè)采取遠(yuǎn)程辦公政策以及遠(yuǎn)程醫(yī)療應(yīng)用的增加，5G網(wǎng)絡(luò)安全變得更加重要。舉例來說，員工在辦公室以外工作導(dǎo)致企業(yè)IT基礎(chǔ)設(shè)施外延，在受到網(wǎng)絡(luò)安全攻擊時，系統(tǒng)脆弱性會進一步加劇。此外，病人通過平板電腦、筆記本電腦或手機與醫(yī)療專家聯(lián)系時，也需要確保病人敏感信息的安全。

在5G生態(tài)系統(tǒng)中，所有的參與者，包括移動運營商、網(wǎng)絡(luò)供應(yīng)商、系統(tǒng)集成商和終端企業(yè)，應(yīng)該在其被允許進入網(wǎng)絡(luò)之前，先識別、分析和評估其每個組件的健康狀況，并基于評估結(jié)果，在允許范圍內(nèi)對連接5G服務(wù)進行一些限制?？梢酝ㄟ^以下因素來實現(xiàn)：

1、零信任方法：對于所有設(shè)備和軟件，端到端的可靠安全態(tài)勢將有助于減少整個5G生態(tài)系統(tǒng)的風(fēng)險敞口。在連接到網(wǎng)絡(luò)或資源之前，需要對設(shè)備的安全級別進行評估，然后，設(shè)備僅允許連接到資源，并且應(yīng)基于訪問需求及設(shè)備的安全健康水平?jīng)Q定是否允許設(shè)備訪問資源。

2、通用加密：為了盡可能降低數(shù)據(jù)泄露或損壞風(fēng)險，電信運營商和其他5G參與者應(yīng)該利用強大的加密方法來保護端點與服務(wù)之間的通信。這包括采用靈活的加密方法，并隨著標(biāo)準(zhǔn)和風(fēng)險的演變而逐漸增強加密。集中式密鑰管理過程將有助于減少“中間人”攻擊，即攻擊者干預(yù)通信雙方建立的聯(lián)系，令雙方認(rèn)為他們是在直接與對方通信。

3、人工智能編排：機器學(xué)習(xí)(ML)和人工智能將在識別和降低時刻變化的風(fēng)險方面發(fā)揮至關(guān)重要的作用，它們能夠提供具有出色響應(yīng)速度和準(zhǔn)確性的洞見和智慧，以管理超密集機器類型通信和超低延遲應(yīng)用的安全策略。人工智能和機器學(xué)習(xí)技術(shù)將在整個5G架構(gòu)中被用于安全編排，包括流量分析、深度數(shù)據(jù)包檢測(DPI)、威脅識別和感染隔離等活動。

基于以上三個方面，可構(gòu)建網(wǎng)絡(luò)安全的三個基礎(chǔ)：信任，以推動網(wǎng)絡(luò)安全措施的采用;彈性，以預(yù)防、安然度過破壞性的網(wǎng)絡(luò)攻擊，并在攻擊后恢復(fù);實施，快速行動以解決新生和現(xiàn)有的威脅。

同時根據(jù)5G安全設(shè)計原則，可將5G網(wǎng)絡(luò)安全架構(gòu)分為以下八個安全域：

1、網(wǎng)絡(luò)接入安全：保障用戶接入網(wǎng)絡(luò)的數(shù)據(jù)安全?？刂泼妫河脩粼O(shè)備(UE)與網(wǎng)絡(luò)之間信令的機密性和完整性安全保護，包括無線和核心網(wǎng)信令保護。用戶面：UE和網(wǎng)絡(luò)之間用戶數(shù)據(jù)的機密性和/或完整性安全保護，包括UE與(無線)接入網(wǎng)之間的空口數(shù)據(jù)保護，以及UE與核心網(wǎng)中用戶安全終結(jié)點之間的數(shù)據(jù)保護。

2、網(wǎng)絡(luò)域安全：保障網(wǎng)元之間信令和用戶數(shù)據(jù)的安全交換，包括(無線)接入網(wǎng)與服務(wù)網(wǎng)絡(luò)共同節(jié)點之間，服務(wù)網(wǎng)絡(luò)共同節(jié)點與歸屬環(huán)境(HE)之間，服務(wù)網(wǎng)絡(luò)共同節(jié)點與NS之間，HE與NS之間的交互。

3、首次認(rèn)證和密鑰管理：包括認(rèn)證和密鑰管理的各種機制，體現(xiàn)統(tǒng)一的認(rèn)證框架。具體為：UE與3GPP網(wǎng)絡(luò)之間基于運營商安全憑證的認(rèn)證，以及認(rèn)證成功后用戶數(shù)據(jù)保護的密鑰管理。根據(jù)不同場景中設(shè)備形式的不同，UE中認(rèn)證安全憑證可以存儲在UE上基于硬件的防篡改的安全環(huán)境中，如UICC(通用集成電路卡)。

4、二次認(rèn)證和密鑰管理：UE與外部數(shù)據(jù)網(wǎng)絡(luò)(如，業(yè)務(wù)提供方)之間的業(yè)務(wù)認(rèn)證以及相關(guān)密鑰管理。體現(xiàn)部分業(yè)務(wù)接入5G網(wǎng)絡(luò)時，5G網(wǎng)絡(luò)對于業(yè)務(wù)的授權(quán)。

5、安全能力開放：體現(xiàn)5G網(wǎng)元與外部業(yè)務(wù)提供方的安全能力開放，包括開放數(shù)字身份管理與認(rèn)證能力。另外通過安全開放能力，也可以實現(xiàn)5G網(wǎng)絡(luò)獲取業(yè)務(wù)對于數(shù)據(jù)保護的安全需求，完成按需的用戶面保護

6、應(yīng)用安全：此安全域保證用戶和業(yè)務(wù)提供方之間的安全通信。

7、切片安全：體現(xiàn)切片的安全保護，例如UE接入切片的授權(quán)安全，切片隔離安全等

8、安全可視化和可配置：體現(xiàn)用戶可以感知安全特性是否被執(zhí)行，這些安全特性是否可以保障業(yè)務(wù)的安全使用和提供。

我們認(rèn)為，5G網(wǎng)絡(luò)安全應(yīng)支持多種安全憑證的管理，包括對稱安全憑證管理和非對稱安全憑證管理。

對稱安全憑證管理對稱安全憑證管理機制，便于運營商對于用戶的集中化管理。如，基于(U)SIM卡的數(shù)字身份管理，是一種典型的對稱安全憑證管理，其認(rèn)證機制已得到業(yè)務(wù)提供者和用戶廣泛的信賴。

非對稱安全憑證管理采用非對稱安全憑證管理可以實現(xiàn)物聯(lián)網(wǎng)場景下的身份管理和接入認(rèn)證，縮短認(rèn)證鏈條，實現(xiàn)快速安全接入，降低認(rèn)證開銷。

非對稱安全憑證管理主要包括以下兩類分支：證書機制和基于身份安全IBC(基于身份密碼學(xué))機制。其中證書機制是應(yīng)用較為成熟的非對稱安全憑證管理機制，已廣泛應(yīng)用于金融和CA(證書中心)等業(yè)務(wù)，不過證書復(fù)雜度較高;而基于IBC的身份管理，設(shè)備ID可以作為其公鑰，在認(rèn)證時不需要發(fā)送證書，具有傳輸效率高的優(yōu)勢。

5G網(wǎng)絡(luò)應(yīng)支持安全、靈活、按需的隱私保護機制。5G網(wǎng)絡(luò)對用戶隱私的保護可以分為以下幾類：

1、身份標(biāo)識保護：用戶身份是用戶隱私的重要組成部分，5G網(wǎng)絡(luò)使用加密技術(shù)、匿名化技術(shù)等為臨時身份標(biāo)識、永久身份標(biāo)識、設(shè)備身份標(biāo)識、網(wǎng)絡(luò)切片標(biāo)識等身份標(biāo)識提供保護。

2、位置信息保護：5G網(wǎng)絡(luò)中海量的用戶設(shè)備及其應(yīng)用，產(chǎn)生大量用戶位置相關(guān)的信息，如定位信息、軌跡信息等，5G網(wǎng)絡(luò)使用加密等技術(shù)提供對位置信息的保護，并可防止通過位置信息分析和預(yù)測用戶軌跡。

3、服務(wù)信息保護：相比4G網(wǎng)絡(luò)，5G網(wǎng)絡(luò)中的服務(wù)將更加多樣化，用戶對使用服務(wù)產(chǎn)生的信息保護需求增強，用戶服務(wù)信息主要包括用戶使用的服務(wù)類型、服務(wù)內(nèi)容等，5G網(wǎng)絡(luò)使用機密性、完整性保護等技術(shù)對服務(wù)信息提供保護。

4、隱私保護：5G網(wǎng)絡(luò)使用機密性、完整性保護等技術(shù)對服務(wù)信息提供保護。隱私保護能力在服務(wù)和網(wǎng)絡(luò)應(yīng)用中，不同的用戶隱私類型保護需求不盡相同，存在差異性，因此需要網(wǎng)絡(luò)提供靈活、按需的隱私保護能力。

5、差異化隱私保護能力：5G網(wǎng)絡(luò)能夠針對不同的應(yīng)用、不同的服務(wù)，靈活設(shè)定隱私保護范圍和保護強度(如提供機密性保護、提供機密性和完整性保護等)，提供差異化隱私保護能力。

6、用戶偏好保護能力：5G網(wǎng)絡(luò)能夠根據(jù)用戶需求，為用戶提供設(shè)置隱私保護偏好的能力，同時具備隱私保護的可配置、可視化能力。

7、用戶行為保護能力：5G網(wǎng)絡(luò)中業(yè)務(wù)和場景的多樣性，以及網(wǎng)絡(luò)的開放性，使得用戶隱私信息可能從封閉的平臺轉(zhuǎn)移到開放的平臺上，因此需要對用戶行為相關(guān)的數(shù)據(jù)分析提供保護，防止從公開信息中挖掘和分析出用戶隱私信息。

隱私保護技術(shù)

5G網(wǎng)絡(luò)可提供多樣化的技術(shù)手段對用戶隱私進行保護，使用基于密碼學(xué)的機密性保護、完整性保護、匿名化技術(shù)等對用戶身份進行保護，使用基于密碼學(xué)的機密性保護、完整性保護對位置信息、服務(wù)信息進行保護。

為提供差異化隱私保護能力，網(wǎng)絡(luò)通過安全策略可配置和可視化技術(shù)，以及可配置的隱私保護偏好技術(shù)，實現(xiàn)對隱私信息保護范圍和保護強度的靈活選擇;采用大數(shù)據(jù)分析相關(guān)的保護技術(shù)，實現(xiàn)對用戶行為相關(guān)數(shù)據(jù)的安全保護。

總結(jié)與展望

我們認(rèn)為，5G安全將面臨場景業(yè)務(wù)多樣化、網(wǎng)絡(luò)架構(gòu)全面云化、安全能力開放帶來的安全需求、挑戰(zhàn)和更高的用戶隱私保護需求。5G系統(tǒng)需要在不同的接入技術(shù)、云化網(wǎng)絡(luò)架構(gòu)之上建立一個統(tǒng)一的安全管理機制，構(gòu)建通用的安全核心能力，并在安全核心能力之上，提供差異化的安全功能、策略和解決方案，支持不同的業(yè)務(wù)場景。