5G移動通信網絡安全問題研究

導語：5G移動通信網絡安全問題研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要:隨著移動通信和智能設備的迅速發展，第五代移動通信系統（5g）的商用落地，為用戶提供更好體驗、更為快捷流暢、穩定的通信服務．針對5G移動通信網絡的安全，分別從新業務、新網絡體系結構、新型空中接口技術和用戶隱私的更高要求這4個方面來介紹5G移動通信網絡的安全要求，并提出5GUE接入和切換方法、物聯網的輕量級安全機制、網絡切片安全隔離策略、用戶隱私保護和區塊鏈技術這5方面的保護應對策略．

關鍵詞:5G移動通信網絡；安全要求；網絡切片；區塊鏈；保護應對策略

當今社會對高速互聯網連接、高數據速率的無線通信有著很高的需求，是智能經濟發展、社會和世界數字化的重要因素．5G網絡可以實現2G，3G，4G，WiFi等接入技術的無縫融合，提供超過10Gbps的速度、低延遲、高可靠性、超高密度用戶容量、高移動性的支持端口等．5G的移動網絡業務主要包括eMBB（增強移動寬帶）、uRLLC（低時延高可靠）、mMTC（海量物聯網）三大典型場景［1］．而5G需要根據這3種應用場景的不同安全要求使用保護機制，其中eMBB主要針對帶寬和用戶體驗有著高要求的業務，比如高清視頻和VR等；mMTC主要側重于高密度的應用場景，終端具有能耗限制特性，拓撲動態變化，注重數據分析，比如智能電表；uRLLC則是提供較低的時延和較高的安全性的通信應用服務，例如實時醫療應用服務、車輛聯網等．除了mMTC和uRLLC外，網絡還需要支持100萬?km2的連接密度，端到端延遲小于1ms，這意味著大量節點將同時加入和退出網絡．通信節點具有分布密集、并發通信量高、通信時延低、動態遷移等特點．網絡將面臨海量通信節點之間密鑰分配的實時生成和管理等諸多問題．為傳統無線通信的安全性帶來新挑戰．相應地，需要為5G開發的關鍵技術是：大規模多輸入多輸出（MIMO）、全雙工、超密集網絡（UDN）、軟件定義網絡（SDN）和網絡功能虛擬化（NFV）等［2］．

15G移動通信網絡安全要求分析

由于新的業務應用、新網絡架構、新應用技術和新應用場景，5G移動通信網絡需要使用許多新的安全類型，目前，以物聯網為代表的新的業務應用對安全和開放共享的網絡架構提出了新的挑戰．由于安全手段有限，空中接口技術的應用和發展不僅對無線安全提出了更高的傳輸要求，同時也為解決信息問題創造更好的條件．1．15G新業務的安全要求．5G通信網絡在eMBB，uRLLC和mMTC等三大典型應用場景時，由于虛擬現實（VR）、大數據及互聯網的消費者體驗的產品種類越來越豐富，導致多樣化的場景需求對網絡設備容量和性能提出更高的要求［3］．同時，5G的高速率和低延遲將逐漸和工業、交通、醫療、教育和城市等方面緊密聯系在一起．uRLLC能給用戶提供端到端的毫秒級的時延和接近100％的高可靠性的業務保證，因此，為實現即時互聯互通的遠程實時醫療、車聯網等，就需要5G網絡提供更加可靠的網絡架構；eMBB能給用戶提供隨時隨處獲得100Mbps以上的無縫、極致和高速的通信體驗，則要求5G網絡需要建設更多的小基站，而隨著這些小基站的密集度增加，其組網能力和組網能力的安全隱患也隨著增加；mMTC則能支撐百萬級別低能耗物聯網設備終端的連接服務，而拓撲動態變化和網絡環境復雜等情況，終端設備的安全可靠運營也受到威脅．所以，5G移動通信網絡的使用將涉及到大量的接入節點、低延遲和高可靠性．而目前，所存在的計算資源、規模和功耗都有局限性，對5G移動通信網絡安全性提出了前所未有挑戰，但對5G內生安全機制的研究正朝著一個有前景的方向發展．1．2新網絡體系結構的安全要求．隨著移動互聯網的蓬勃發展，越來越多的用戶設備和對帶寬的巨大需求，將來的蜂窩網絡相關的基礎設施需在HetNets網絡下才能正常工作．只有當5G移動通信網絡體系架構足夠強大，才能滿足多用戶同時請求可擴展的服務要求．將SDN?NFV技術運用到新5G移動通信網絡架構中，分離設備的控制平面和數據平面，這為基于通用IT硬件平臺的多個制造商生產的新設備兼容性提供了條件［4］．此外，業務的開放性能和用戶的可定制性等都會給企業帶來極大的挑戰，需為云平臺提供安全性和可信性．此外，有關數據的計算、存儲和網絡資源的共享等帶來了一系列的問題，例如虛擬機的安全性和數據的安全性．1．3新型空中接口技術的安全要求．基于上層協議，目前實現了2G和3G的加密技術和4G空中無線廣播信號的安全性，卻忽略了接口的重要性，接口對無線通信安全造成威脅．目前，5G通信網絡將擁有更寬的帶寬、更密集的用戶數、更低的延遲和更可靠的傳輸．因此，為保證5G通信網絡的關鍵性能指標（KPI），需設計安全有效的機制，以適用于不同的應用場景．在傳統的認證和數據完整性保護機制（如AKA，EPS－AKA）中，用于防止基于信號的無線攻擊（如消息篡改、模擬、中間主攻擊和重放攻擊）的主要方法是用由身份確定的用戶身份信息來標記信令和數據［5］．但是，當身份密鑰泄露或暴露時，身份驗證數據就會失效，而攻擊者不但能夠竊取身份驗證過程，還能獲取后續的會話密鑰，網絡安全得不到保證．目前，由于數據速率和計算復雜度存在矛盾，當前的移動網絡缺乏合適的解決方案，難以解決移動通信速率的快速和持續增加帶來的問題，不能確保業務數據的完整性．因此，急需開發能在5G移動通信網絡的應用場景中，能快速確認從未知位置發起的主動攻擊者并能進行防御的有效方法．1．4對用戶隱私的更高安全要求．5G網絡承諾為終端用戶提供智能服務，這將從用戶的角度提出許多隱私問題．5G網絡提供的服務將包含有關其用戶的主要信息（如身份、位置以及私人數據）．這些信息將如何存儲，以及在何種條件下，許多利益相關者可以獲得個人數據，因此，5G網絡引發了私人數據泄露的重大問題［6］：第一，數據隱私．5G網絡允許用戶通過異構智能設備使用智能和數據密集型的按需服務，例如，高分辨率流媒體、醫療保健等．為了提供這些服務，服務提供者可以未經許可存儲和使用個人的私人數據．存儲的數據可以與其他用戶共享，以便他們可以使用機器學習技術分析數據，并為自己的產品找到新的業務趨勢，這可能更適合該用戶．為了緩解此類數據隱私問題，服務提供商必須向用戶說明個人數據的存儲方式和存儲位置．第二，位置隱私．在5G網絡中，大多數設備將依賴無處不在的基于位置的服務（LBS）．LBS使用與智能手機和?或移動設備相關的位置數據向用戶提供服務．近年來，在政府、娛樂、交通、醫療、食品等多個垂直行業，LBS的推廣力度明顯加大．事實上，這樣的LBS讓用戶的生活更輕松、更愉快，但也帶來了大量的隱私問題，而這些問題都是不斷被跟蹤的．在某些情況下，個人可能不知道這些技術所帶來的潛在風險，不知道如何確定其位置，以及允許誰訪問這些信息．第三，身份隱私．指保護設備、系統和用戶的身份相關信息免受主動攻擊．隨著越來越多的設備連接到互聯網上，這就引發了身份盜竊的報警情況．例如，在最近的研究中，主動攻擊者可以通過捕捉用戶的國際移動用戶身份（IMSI）來暴露用戶的身份．此外，通過身份盜竊可以找到更多關于用戶的細節［7］．在5G和物聯網中，身份盜竊可以算作最大的風險之一．因此，5G通信網絡需要提高對用戶隱私的保護，設計安全機制來防止用戶在存儲、傳輸和訪問過程中的敏感信息的泄露．

25G移動通信網絡安全應對策略

2．15GUE接入和切換方法．5GUE接入方法中，5GUE與網絡之間的相互認證以及用于提供密鑰材料以保護后續安全程序的密鑰協議是5G網絡中2個最重要的安全功能．在5G系統中，3GPP委員會支持一種名為5GAKA的新AKA協議，該協議通過為家庭網絡提供成功認證的證明來增強4GAKA協議，即EPSAKA［8］．除5GAKA協議外，還支持EAP－AKA協議，以在5G網絡中執行相互認證和密鑰協議．5GUE切換方法中，3GPP委員會規定了5G系統的不同移動性場景，包括移動性內部新無線電（NR）、移動性內部3GPP接入和3GPP與不可信非3GPP接入之間移動性［9］．目前，針對5G接入過程的安全性的解決方案：USIM兼容的5G－AKA協議已被提出［10］．在該方案中，由于Diffie－Hellman（DH）密鑰交換協議嵌入到5G－AKA協議中，會話密鑰的生成不僅依賴于長期密鑰，還依賴于短暫的DH參數．即使長期密鑰被泄露，對手也不可能獲得共享密鑰．因此，該方案可以同時實現完美的前向保密（PFS）和抵抗被動攻擊．然而，由于使用了Diffie－Hellman（DH）算法，在資源有限的情況下，移動設備的計算和通信開銷會有所增加．Yang等人［11］提出了一種基于區塊鏈的5G網絡匿名接入方案．通過在訪問過程中引入基于區塊鏈的分發信任體系結構，可以節省大量的信令和連接成本．Miao等人［12］提出了一種基于信道信息和EAP－AKA協議的超密集5GHetNet跨層認證方案．在該方案中，當UE想要接入網絡時，首先采用EAP－AKA認證協議進行初始認證．而為了實現5G網絡安全高效的切換認證，大量的切換認證方案被提出．Duan等人［13］提出UE借助安裝在SDN控制器中的認證切換模塊（AHM）從源小區切換到目標小區，并且能夠監視和預測用戶的位置．由于AHM可以在UE到達之前準備好相關小區，并且相關小區也可以提前為UE準備資源，因此該切換方案可以大大降低切換延遲．此外，由于UE和小區始終處于AHM的監控之下，該方案可以避免模擬攻擊和MitM攻擊．2．2物聯網的輕量級安全機制物聯網．（loT）是5G通信網絡中的關鍵應用場景．在高速傳輸數據過程中，必須保證敏感數據的機密性和完整性．超高速、超大容量、超低延遲是未來5G網絡的顯著特點．5G網絡的傳輸速率是4G網絡的10～100倍．如何在如此快速的傳輸過程中設計重量最輕的安全保護機制，同時保證海量物聯網設備敏感數據的機密性和完整性，是未來5G網絡面臨的重大挑戰．為了解決這一問題，相關研究者提出了一系列的解決方案．Tahir等人［14］提出了一種新的用于客戶機服務器架構的可搜索加密方案，該方案利用模塊化的逆屬性方便在具有云上加密數據搜索功能的安全逆索引表上進行搜索．目前，學者為5G移動通信網絡的應用場景實現高級別和輕量級的安全性提供了一個有希望的解決方案，例如使用mMTC和uRLLC．Wang等人［15］提出了一種將隨機信號與無線信道相結合的密鑰生成方法，解決了無線信道隨機性有限和移動受限時密鑰生成率低的問題情景．Lou等人［16］研究出一種把隨機信號和密鑰相結合的方法．在BS中，密鑰主要是通過信道和信號隨機地提取出來的，而信號源的安全則是通過一種安全的傳輸方案來保證的，同時，節點側根據接收到的信號直接生成密鑰．綜上所述，無線信道安全機制能夠做到快速密鑰更新，減少不必要的網絡信令開銷和降低延遲，為大量運營設備的密鑰分配和管理提供了一個很好的解決方案，也滿足了輕量級實現的安全要求5G物聯網場景中的終端，提供高效的小數據安全傳輸和隱私保護．2．3網絡切片安全隔離策略．在5G時代，數千億個設備將連接到網絡．不同類型的設備和不同的應用場景具有不同的網絡要求．如何在同一網絡物理設施上滿足5G網絡不同服務的QoS要求是關鍵［17］．將NFV和SDN技術引入5G網絡，并采用網絡切片方法，可以有效滿足不同業務的QoS要求．網絡切片將現有物理網絡拆分為多個分別獨立的邏輯網絡，以為網絡的差異化服務提供一系列的定制服務．根據5G移動通信網絡不同業務的QoS服務要求，分別給網絡切片分配相應的網絡功能和網絡資源，來實現5G移動通信網絡架構的實例化．通常，網絡切片由大量網絡功能和1組特定的RAT組成．網絡功能和RAT集的組合方式取決于特定的使用場景或業務模型．例如，在某些物聯網情況下，移動性不會很高，因此不需要移動性處理功能．可以有不同的提供網絡切片的方法，例如，我們可以為每個服務提供1個切片，也可以為每個垂直市場提供1個切片．若想實現隔離，每個網絡切片的配置都有各自相匹配的專屬切片ID，同時，還需與5G通信的網絡規定切片安全需求保持一致，然后放到切片安全服務器內，當用戶設備使用5G網絡時，則需提供相關網絡切片ID．當歸屬服務器接收到網絡切片的請求時，會以HSS按照SSS相對應切片的安全配置使用和該切片ID相應的安全設置，同時，選擇合適的安全算法來建立UE相關認證矢量，此外，該認證矢量計算需和網絡切片ID相綁定，從而實現網絡切片安全隔離．而對于同樣業務種類的網絡切片而言，也體現出隔離方面的需要．不管是資源、服務還是數據，處于網絡切片內受到隔離保護．因此，為用戶提供統一、靈活和安全的可分離身份認證框架，安全存儲用戶相關重要信息，以供用戶實時訪問相關資源．2．4用戶隱私保護．5G移動通信網絡安全機制的研究和標準化過程中，用戶隱私保護是廣泛的關注點．對5G網絡隱私保護有關內容主要有3個方面：第一，移動通信網絡上傳統的用戶隱私數據保護，例如用戶位置、行蹤、通信內容等；第二，不同行業的用戶隱私數據保護，例如，用戶個人醫療和健康信息等；第三，敏感行業中的基本數據保護，例如機器設備中生產控制等指令數據．國家數字交換系統工程技術研究中心（NDSC）針對移動通信網絡中用戶隱私數據泄露的相關問題，提出了相應的解決方案，其主要核心思想是利用動態隱藏映射的主動防御機制來有效地隱藏并動態改變用戶數據的關聯關系，進而在不可控制的通信過程或通信設備中構造動態的、不確定的“用戶數據關聯關系譜”，使用戶數據體現出不完全、不確定、不相關、不真實的特點．5G網絡對不同的用戶和不同服務場景有不同的隱私保護要求．因此，需采用不同的技術手段來防止用戶隱私泄露．首先要明確用戶個人隱私信息的內容和涉及范圍，明確處理并存儲用戶的隱私信息的網絡操作等．然后，就空中交通、網絡、信令交互和應用層、隱私信息的請求等其他操作使用包括數據最小化、加密保護和用戶權限等在內技術和管理措施加以保護．2．5區塊鏈技術．5G網絡空間中存在大量的設備，其類型復雜，網絡環境復雜，虛擬狀態和物理狀態同時存在．因此，有必要確定如何實現相互的完整性保護．在復雜的網絡運營環境中，各網絡元素之間的信息交互行為的不可否認性是5G移動通信網絡面臨的主要挑戰．而區塊鏈被定義成一種分布式數據庫，用于記錄從起源區塊到當前區塊的所有事務，具有如下特點：分散性、不可變性、匿名性和可審計等，也能為上述挑戰提供解決方案．通過基于區塊鏈的安全通信基礎設施，可以實現面向隱私的加密音頻和視頻通信、欺詐管理、身份服務和電信行業數據管理的新解決方案，同時為5G構建物聯網安全網絡．Zyskind等人［18］提出了一種分散的個人數據管理系統，保證了用戶對數據的擁有和控制，信令（存儲、查詢和共享數據）被用作不受信任的第三方類信息，來對數據進行安全訪問控制管理．Kravitz等人［19］提出了大量嵌入式設備存在隱私和安全挑戰，通過私有鏈來保護并管理這些系統，使用區塊鏈技術提供分布式管理和靈活管理用戶及設備的身份來滿足基本需求．Cruickshank等人［20］提出了一種新的密鑰管理方案，用于在異構VCS（車輛通信系統）中的安全管理器之間進行密鑰轉移，并通過密鑰進行安全傳輸．

作者:林嘉濤 李玉 陳海萍 單位:中國電信股份有限公司廈門分公司