解析5G安全（二）：5G安全需求

随着5G的快速建设，5G的安全问题亟待解决。解决5G的安全问题，首先要明确5G的安全需求。5G的安全需求涵盖许多方面，既继承了2/3/4G的传统安全需求，还在此基础上进一步增强；既关注如SDN（Software Defined-Networking，软件定义网络）等新技术引入的安全需求，也考虑不同垂直行业提出的差异化安全需求。因此，本文将从以下三个方面探讨5G的安全需求：增强的移动通信网安全需求、新技术驱动的安全需求和垂直行业驱动的安全需求。

一、增强的移动通信网安全需求

在上一篇文章解析5G安全（一）：5G网络架构中，我们介绍了传统移动通信网的网络结构，分为终端、接入网、传输网和核心网四个部分，如图1所示。

在增强的移动通信网安全需求这一小节，我们主要探讨终端和接入网的安全需求。而传输网和核心网方面的安全需求主要是源于新技术的引入，将在下一节讨论。

图1 移动通信网架构

1终端

5G的到来使得终端的定义不再局限于传统的手持终端，而是涵盖了数量更为庞大、种类更为丰富的IoT终端。终端作为垂直应用的关键入口，其安全防护的重要性不言而喻。

1.1 终端基本安全需求

终端侧的基本安全需求，一方面是与网络通信相关，另一方面与终端自身相关。网络通信方面，需要考虑在无线环境中终端可能会面临身份被盗用、数据被窃取、篡改的情况；终端自身的硬件安全威胁主要来源于终端芯片设计上存在的漏洞或硬件体系安全防护的不足，这些漏洞与不足可能会导致敏感数据泄露、数据篡改等安全风险；终端自身的软件安全需要考虑操作系统安全和运行于上的各类应用安全，攻击者可以通过对软件系统发起注入攻击、钓鱼攻击从而控制和更改终端软件。

1.2 三大场景对终端的安全需求

除了终端基本的安全需求外，在5G中讨论终端安全需求不能脱离垂直应用场景。5G承载着千行万业的垂直应用，如车联网、工业物联网等。3GPP将这些应用归纳为三大应用场景：增强型移动宽带（eMBB）、超高可靠性低时延业务（uRLLC）和海量机器类通信（mMTC）。针对不同的应用场景，终端也有不同的安全需求，如图2所示。

图2 终端不同场景下的安全需求

eMBB场景的特点是大带宽、高速率、涉及的敏感信息较多。因此，支持eMBB的终端的安全需求包括以下几个方面：首先，该场景的传输速率非常高，因此终端必须具备高速率的加解密能力。高速率的加解密能力对终端的硬件能力、能耗管理提出很高的需求。过高的能耗甚至可能使手持移动终端无法支持eMBB。其次，eMBB场景涉及的敏感信息较多，因此该场景下终端还需要重视用户隐私数据（如个人标识、地址信息等）的保护。

uRLLC场景最大的特点是低时延，其代表性的应用是车联网。在车联网场景中，当时延无法满足需求时，不仅会造成业务的中断，还有可能引发各类交通事故。因此，支持uRLLC的终端的安全需求包括以下几个方面：首先，终端需要支持轻量、高效的加解密算法，减少加解密的时间。此外，某些场景（如车联网），终端会处于不断的移动中。如果终端每次发生越区切换都需要与核心网完成一次完整的认证流程，那么引入的时延将会非常大。因此，uRLLC终端与网络应该简化认证协议和认证流程，以降低认证频率和认证时延。

mMTC场景的特点是大连接和弱终端。mMTC的终端往往是分布广泛但成本较低、性能较为低下的IoT设备，这些终端能够提供的计算、存储等资源是十分有限的。因此，支持uRLLC的终端的安全需求包括以下几个方面：首先，终端执行的加解密算法应该是轻量级的，与终端低功耗、低带宽的特点相匹配。其次，虽然单个IoT终端认证的数据量较小，但IoT终端数量庞大，且分布广泛，如果全部都在核心网处进行认证，会容易产生信令风暴。因此，5G网络应当为终端设计去中心化的认证模式和身份管理机制。

2接入网

相对于传输网和核心网，空口一直以来是攻击者重点关注的对象，其安全性不容忽视。在本小节，我们先介绍接入网基本的安全需求，然后阐述5G三大应用场景对接入网提出的差异化安全需求。

2.1 接入网基本安全需求

接入网侧存在的安全威胁可以分为以下几类：

1

无线环境不可控引入的安全威胁：无线环境中可能存在伪基站，这些伪基站可以干扰无线信号，甚至令5G终端降级接入，从而连接到更加不安全的2、3、4G网络中。此外，无线环境中广泛分布的安全性较低的IoT设备，在遭受攻击后，很可能会对基站和核心网发起DDoS攻击。

2

空口协议漏洞：3GPP协议自身存在的漏洞很可能会导致身份假冒、服务抵赖、重放攻击等安全风险。如David Rupprecht等人[1]通过分析4G LTE协议栈发现了数据链路层存在的漏洞，并利用了此漏洞发起了2种主动攻击和1种被动攻击。再如，Altaf Shaik等人[2]提出，LTE网络中终端在与基站建立安全的RRC连接前，已经发送了终端的Capabilities，而这些Capabilities明文传输，容易遭受中间人攻击，造成手机接入降级、速率降低等情况。

3

各厂家在协议实现和配置上引入的安全风险：各厂家在实现3GPP协议时，出于自身的理解或考虑，可能会修改协议的默认配置，如为了降低服务时延关闭对用户数据的加密或完整性保护选项，从而导致用户数据被恶意篡改。

为了应对无线侧的安全威胁，4G对网络和用户采用双向认证、对无线端的通信进行加密、同时给移动终端分配临时身份标识以免USIM（Universal Subscriber Identity Module，全球用户身份模块）信息泄露。而5G在4G的基础上，对安全性提出了更高的要求。

1.对用户数据的完整性保护：4G网络中仅对控制面信令进行完整性保护，而5G在对信令进行完整性保护的基础上增加了用户面数据保护，从而有效地防止用户数据被恶意篡改；

2.增加无线数据加密和完整性保护算法：5G不仅支持NEA0、128-2.NEA1、128- NEA2、128- NEA3 等加密和完整性保护算法，而且为了应对量子计算机对密码算法的影响，5G在未来版本可能需要支持256bit算法；

3.多终端认证和二次认证：为了适应多种类型的通信终端，并使得它们能够接入通信网络，传统面向蜂窝接入的认证机制在5G需要进一步地向非蜂窝接入的方式扩展[3]。为了对切片认证进行认证，5G在用户接入网络时完成认证之后，还需要为接入特定业务建立认证。

2.2 三大场景对接入网的安全需求

除了上述通用的安全需求外，5G三大场景对接入侧也有不同的安全需求，这些安全需求的差异主要体现在接入认证方面。因为不同的切片接入网络时，会提供相应的切片标识符，因此基站可以根据此标识符来对不同的切片选择不同的认证方式。

uRLLC切片中终端需要低时延的认证方式。如果采用传统接入认证方式，即认证终结在核心网处，引入的时延对于用户而言是难以接受的。因此，针对uRLLC切片，基站可根据切片标识符，将终端认证信令引流到接入机房处的MEC上，由MEC上运行的VNF执行认证功能，如图3所示。

图3 MEC处执行终端认证

mMTC切片中大量终端会通过基站接入。因为核心网一般位于全省中心或大区中心，如果全省的IoT设备都在核心网处认证，那整体的信令流量会过于庞大，导致核心网入网处网络拥塞、增加核心网负担。针对mMTC场景可以通过聚合认证的方式来优化网络信令开销。在基站后部署聚合设备，对每个终端的信令消息进行解析，并按照一定的策略进行聚合。聚合认证能够在满足安全认证需求的同时，大大减少回传网上的信令流量，降低对核心网设备的压力。

eMBB切片虽然传输数据量巨大，但大部分为用户面数据，可在MEC（Multi-access Edge Computing，多接入边缘计算）处进行处理，而控制面信令流量较少且时延需求没有uRLLC苛刻，因此可以采用传统的接入认证方式。

二、新技术驱动的安全需求

5G的落地离不开众多新技术的支持。冯登国等人[4]认为5G引入的新技术可以分为无线技术和网络技术。其中，在网络技术方面，MEC、SDN和NFV（Network Function Virtualization，网络功能虚拟化）在5G传输网和核心网发挥着不可获取的作用。

MEC在网络边缘侧提供就近服务，降低了传输网和核心网的带宽压力，使5G高带宽、低时延的目标成为可能；SDN解耦了控制面和转发面，提供可编程的服务接口，使5G传输网和和核心网流量的灵活调度成为可能；NFV将通信网元分层解耦，使移动通信网元的灵活编排、自动扩缩容成为可能。

虽然MEC、SDN和NFV提升了5G传输网和核心网的灵活性、可扩展性，但同时也带来了新的安全需求。

1MEC

MEC在网络边缘侧提供就近服务，可位于基站附近的接入机房、城域网汇聚点处的边缘机房和城域网核心节点处的边缘机房。边缘节点具备一定的规模后形成边缘云。位于接入机房处的边缘云规模较小，容易遭受物理攻击，但距离用户终端最近，能够为业务提供超低时延保障。位于边缘机房的边缘云规模较大，虽然时延相对前者较大，但可靠性、安全性更高。

MEC为5G带来便利的同时也带来了新的安全需求，主要包括两个方面：MEC应用的安全需求和MEC基础设施的安全需求，如图4所示。

图4 MEC安全需求

1.1 MEC应用安全需求

5G垂直应用落地的一大关键是在MEC边缘云上部署可信的第三方应用。然而，目前仍缺少对MEC应用进行安全检查的安全规范。恶意MEC应用除了会尝试耗尽它所运行的MEC主机的计算、网络、存储资源外，因为紧邻在基站侧，恶意MEC可以利用无线和网络能力开放接口重新配置无线接入网以达到消耗竞争对手MEC应用分配到的无线资源。此外，恶意MEC应用还可在本地环境搜索易受攻击的设备，执行破解密码等程序。更为严重的是，运营商核心网用户面网元UPF常与MEC应用共平台部署，进一步扩大核心网的攻击面。

因此，在将MEC应用实例化到5G网络前，需要考虑MEC应用的安全需求。首先，要确保MEC应用来自可信的第三方应用提供商，可以通过对镜像进行签名验证来实现；其次，要确保上传的MEC镜像未经过非法篡改，可以通过完整性校验实现；最后，需要在沙箱中检测MEC应用是否存在攻击行为及虚假计费行为。因为5G中第三方应用的计费从核心网下沉到边缘侧，绕过了核心网的有力监控，因此，针对边缘应用的计费行为需要重点关注。

1.2 MEC基础设施安全需求

MEC 节点靠近网络的边缘，外部环境可信度降低，运营商的管理控制能力减弱。攻击者甚至可以通过物理攻击的手段（如放火、砸毁机房等）使本地MEC节点失效。此外，MEC自身资源有限、安全能力不够完善，可抵御的攻击种类和抵御单个攻击的强度不够，容易被攻击。

因此，MEC基础设施也存在着安全防护需求。这些需求分为包括两个部分：物理基础设施防护需求和虚拟化基础设施防护需求。

物理基础设施安全防护要确保物理环境的安全。由于位于网络边缘侧且分布式部署，边缘机房往往管理力度不够，相对于云服务器，更容易遭受物理攻击和物理端口被窃听的风险。可通过加锁、人员管理等方式保障物理环境安全。其次，可信计算和可信IO接入的引入也可以保障物理服务器的可信。

虚拟基础设施需要应对多维度的安全风险，包括宿主机操作系统、容器和虚拟机。为加强宿主机操作系统安全性，可以对操作系统进行基础检查、漏洞扫描、病毒和木马防范、升级及补丁管理；为加强容器和虚拟机安全性，可设计有效的隔离机制，关闭无关端口、并对东西向流量进行安全检测。

2SDN/NFV

5G新的网络架构引入了SDN、NFV技术，提供更灵活、更高效、更低成本的网络服务。SDN/NFV在与5G融合的过程中，也给5G移动通信网带来了新的攻击面。

2.1 SDN风险和安全需求

SDN控制器是传输网和核心网网络调度的中心，其本身存在不少安全脆弱点。作为网络的“大脑”，当攻击者攻破控制器，就可以向所有的网络设施发送指令，很容易使整个网络瘫痪。因此，设计一个安全可靠的SDN控制器对于移动通信网来说是必不可少的。

安全可靠的SDN控制器首先需要加入审计机制，检查访问控制器的用户是否合法。其次，控制器和底层交换设备之间必须存在一个加密通道，以防止中间人攻击。最后，对于控制器上运行的应用软件，需要进行安全测试以防止应用被植入恶意代码，同时还应做到应用隔离和权限管理，以限制应用对底层资源的访问权限。

除了SDN控制器的安全需求外，负责数据转发的底层交换设备也容易遭受各种攻击，如攻击者直接入侵交换机用虚假流信息填满流表、修改交换机对数据包的操作。底层交换设备，除了进行主动的攻击检测外进行安全防护外，还可以通过流控、拥塞丢包和超时调整等方式抵御外部攻击。

2.2 NFV安全需求

NFV技术是核心网网元能够动态灵活部署的关键。然而，NFV平台存在平台自身的脆弱性问题和不安全的接口，同时运行于上的虚拟安全功能（如5G核心网网元）也面临着远程调试、数据窃取与篡改等风险。因此，NFV的安全需求包括以下几个方面：

VNF安全需求：核心网网元通过VNF软件包实例化在虚拟化平台之上，因此有必要对第三方提供的VNF软件包进行完整性校验，同时对需要对VNF进行敏感数据保护和权限管理；

NFV网络安全需求：VNF之间通信的流量可能只在同一宿主机内，传统的物理安全设备很难检测到这样的流量，因此NFV组网需要考虑VNF之间通信的安全，如双向认证、数据加密和完整性保护，同时可以部署虚拟机形态的安全功能对主机内的流量进行安全监控；

MANO安全需求：MANO平台除了有MANO各实体之间交互的安全需求（如双向认证），还包括每个MANO实体的安全需求，如VNFM可以运行在虚拟机上，因此需要考虑虚拟机逃逸等安全威胁。

三、面向多垂直行业驱动的切片安全需求

国际电信联盟将5G业务划分为三个类型：增强型移动宽带（eMBB）、超高可靠性低时延业务（uRLLC）和海量机器类通信（mMTC）。每个类型有不同的服务质量需求，如uRLLC业务需要满足低时延、高带宽，而海量机器类通信需要支持大连接，但对网络时延并不敏感。

为了能够根据不同业务构建不同网络，5G引入了网络切片的概念。网络切片是指在运营商的物理网络之上构建多个虚拟网络，每个虚拟网络提供差异化的网络服务。行业应用需求的差异决定了网络切片功能的差异化。并非所有切片都包含相同的网络功能，有些网络功能基于需求可以不用配置或进行定制化的裁剪。

1跨域的切片安全机制

跨域的切片安全机制是保障切片安全的基础。根据上层MANO平台下发的一致性安全策略，切片安全机制通过切片或子切片隔离、统一的切片认证等方式实现对切片的跨域安全防护。

（1）有效的切片隔离机制

网络切片运行于公有的基础设施之上。根据3GPP协议，不同的切片之间可以共享控制面的子切片，而对于数据面的子切片而言，切片之间无法共享。因此，如图5所示，网络切片需要提供不同切片之间有效的隔离机制，防止本切片的隐私数据被其他切片有意或无意访问，如车联网切片中，车辆的位置信息、身份信息等敏感信息并不希望被其他切片所访问。当切片隔离机制不合理时可能会带来安全隐患，如某个切片允许租户在切片网络中部署自身的第三方网络功能，恶意的第三方网络功能可能会对其他切片发起攻击。此外，为了使租户放心地使用网络切片，切片中资源、服务的隔离效果应该接近于现有的私有网络。

图5 切片隔离

（2）统一的切片认证机制

5G网络的接入方式多种多样，包括3GPP接入和非3GPP接入。同时，某些终端具备支持接入多种网络切片、在不同网络切片之间切换的能力，从而导致5G接入场景多种多样。因此，5G应该提供一种统一、高效的切片认证方式，实现终端对不同切片的接入认证和鉴权。

2提供差异化的切片安全处理能力

切片网络除了可以为垂直行业提供差异化的连接服务外，还需要根据各垂直行业安全需求的不同提供差异化的安全防护能力。

eMBB场景下，5G网络峰值速率和用户体验速率较4G增长10倍以上[5]。超大流量增加了基于流量检测、内容识别、加解密等技术的安全防护难度；不良视频内容识别、海量数据的舆情分析等方面对安全监测带来挑战。因此，eMBB切片对安全功能的计算与处理能力带来了很大挑战。

uRLLC场景具有高安全、高可靠、低时延的特点。在切片部署的过程中需要考虑安全功能引入的时延以及在高速率情况下留给安全功能的开销。因此，uRLLC切片对安全响应时效性要求较高。

mMTC场景具有大连接、弱终端的特点。因此，安全和加密算法必须满足资源受限的约束，同时终端并不一定每一次通信都需要完成完整的安全流程。此外，mMTC切片还需要抵御超大连接易引发的全网或局部规模DDoS攻击。

四、总结

2019年是5G的商用元年。在这样的背景下，5G安全愈发引人关注。5G由于其IT和CT融合的特性，其安全需求不仅包括传统移动通信网的需求，还有新型的IT技术和多样化垂直服务引入的需求。在明确了5G的安全需求后，下一篇文章我们将对这些安全需求提出相应的安全举措，同时提出一种面向切片服务的多级协同安全防护机制，希望为5G安全防护提供一个新的视角。5G安全是机遇也是挑战，让我们拥抱5G安全，共同守护5G的美好未来。

参考文献：

[1].Rupprecht D , Kohls K , Holz T , et al. Breaking LTE on Layer Two[C]

[2].Altaf Shaik*, Ravishankar Borgaonkar, New vulnerabilities in 4G and 5G cellular access network protocols: exposing device capabilities

[3].齐鹏，彭晋，5G网络的认证体系

[4].冯登国, 徐静, 兰晓. 5G移动通信网络安全研究[J]. 软件学报, 2018, v.29(06):303-315.

[5].5G总体白皮书

关于星云实验室

星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究。基于IaaS环境的安全防护，利用SDN/NFV等新技术和新理念，提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功孵化落地绿盟科技云安全解决方案

内容编辑：星云实验室 吴宏晶 责任编辑：肖晴