5G網絡安全關鍵技術及標準化進展

摘要：介紹了5G網絡安全架構，分析了5G網絡安全關鍵技術，闡述了5G網絡安全相關的國際和國內標準，最后展望了5G安全技術發(fā)展趨勢。關鍵詞：5G網絡安全架構，服務化架構安全，切片安全，標準1引言自20世紀80年代以來，移動通信技術先后經歷了2G、3G、4G時代，目前正闊步進入5G時代。經過30多年的迅猛增長，移動通信已成為推動國民經濟發(fā)展、提升社會信息化水平的重要引擎。與4G相比，5G將不僅僅提供人與人之間、人與服務器之間的通信服務，還將提供物與物之間的通信服務，將構建一個全新的信息化基礎設施，滿足未來萬物互聯的需求。2G、3G、4G時代的移動通信技術標準由3GPP、3GPP2以及IEEE等多個國際標準組織分別制定，分屬不同的標準體系。SDN/NFV等新技術的出現，推動5G網絡由多種制式的多種架構逐步演進成了統(tǒng)一的5G新空口和5G核心網，因此5G標準也隨之融合，形成了全球統(tǒng)一的5G技術標準。2018年6月，3GPP完成了第一版本的5G國際標準，其中5G安全相關標準也是標準體系的重要組成部分。5G網絡將與垂直行業(yè)深度融合，采用新架構、新技術，提供新業(yè)務，所以5G安全機制除了需要滿足基本通信安全之外，還要能夠為不同業(yè)務場景提供差異化的安全服務，能夠適應多種網絡接入方式及新型網絡架構，保護用戶隱私，并為垂直行業(yè)提供開放的安全能力。25G網絡安全架構5G網絡安全架構需滿足5G多樣化業(yè)務場景和新技術新特征引入的新的安全需求和挑戰(zhàn)。其設計原則包括支持數據安全保護、體現統(tǒng)一認證框架和業(yè)務認證、滿足能力開放以及支持服務化架構的安全和應用安全保護機制。圖1中，將5G網絡安全架構分為6個安全域：●網絡接入域安全（I）：包括多種安全特性，用來保障UE通過網絡（包括3GPP接入和非3GPP接入方式），安全地執(zhí)行認證和業(yè)務接入，從而抗擊來自針對（無線）接口的攻擊。另外，還包括從服務網絡發(fā)往UE的，用于保障接入安全的安全上下文?！窬W絡域安全（II）：用來保障網絡節(jié)點之間安全的信令和用戶數據傳遞?！裼脩粲虬踩↖II）：用來保障用戶安全接入移動設備。●應用域安全（IV）：用來保障用戶域內的應用與服務提供者所在域內的應用安全地交互數據?！馭BA域安全（V）：包括多種SBA安全特性，即網絡功能注冊、發(fā)現和安全的授權，以及對于服務化接口的保護?！癜踩目梢暬涂膳渲茫╒I）：包括多種安全特性，用來確保用戶能夠感知到安全特性被配置使用?？梢钥闯?，與4G網絡安全架構相比，主要變化是增加了SBA域安全，其他部分基本一致。35G網絡安全關鍵技術3.1認證和授權5G網絡為了滿足多種差異化需求，需要針對所有不同認證場景考慮更多有效的認證選擇，包括處于間接3GPP連接模式下的終端設備有效利用資源的認證機制，以及針對物聯網群組的有效認證機制。需支持使用3GPP憑證通過非3GPP接入連接至5G網絡的認證，還需能對支持多無線接入技術（包括非3GPP）的認證框架提供認證與安全憑證處理的機制，需最大限度地降低用于認證的信令開銷和延遲。5G系統(tǒng)支持簽約認證、服務網絡認證、UE授權、拜訪網絡授權以及接入網授權、未認證的緊急服務等。5G網絡中定義了4個認證相關網絡功能（NF），分別是認證憑證庫和處理功能（ARPF）、認證服務器功能（AUSF）、安全錨點功能（SEAF）、安全上下文管理功能（SCMF），通過這4個NF的交互實現簽約認證。簽約認證指的是認證用戶身份及相關簽約信息。服務網絡在UE和網絡的相互認證與密鑰協商過程中認證簽約用戶永久標識（SUPI）；服務網絡認證指的是UE通過隱式密鑰認證來認證服務網絡標識；UE授權指的是服務網絡通過從歸屬網獲得的簽約信息為UE授權，UE授權基于認證過的SUPI；拜訪網絡授權指的是歸屬網為拜訪網絡授權，為UE提供保證，以確保UE連接到被歸屬網授權的為UE提供服務的拜訪網絡，該授權通過認證與密鑰協商過程實現；接入網授權指的是為UE提供保證，以確保UE連接到被服務網絡授權的為UE提供服務的接入網絡，該授權通過建立接入網安全來實現，用于所有類型的接入網；未認證的緊急業(yè)務指的是為了滿足某些區(qū)域的法規(guī)要求，5G系統(tǒng)還可以支持未認證的緊急業(yè)務接入。為了更好地支持運營商或第三方的業(yè)務，5G網絡為網絡接入和業(yè)務接入提供一個統(tǒng)一的認證框架，并支持多種接入網絡和認證機制。5G第一階段標準規(guī)定，對于3GPP接入和非3GPP接入的首次認證，5GUE和5G網絡應支持EAP框架。另外，用于支持UE與外部數據網絡之間二次認證的通用EAP方法對3GPP網絡完全透明。3.2網絡切片安全網絡切片技術使得網絡運營商能夠在統(tǒng)一的基礎設施上部署多個獨立的差異化網絡，可靈活地滿足垂直行業(yè)多元化需求，運營商可以基于網絡切片技術針對不同的要求（如功能、性能、隔離等方面）創(chuàng)建定制網絡。5G網絡的三大主要切片類型包括eMBB（增強移動寬帶）、uRLLC（超可靠低時延通信）和mMTC（海量機器類通信）。一個網絡切片由一組能支持特定場景通信業(yè)務需求的邏輯網絡功能組成，其主要特征是資源可伸縮、功能可定制，可動態(tài)設置網絡拓撲，重構網絡架構和功能。網絡切片技術的出現，給5G網絡帶來了潛在的安全影響，如網絡功能共享、不同切片之間的隔離等，5G系統(tǒng)的業(yè)務接入模式與現有網絡有所不同，即UE除了可以通過不同類型的接入網（如3GPP、可信非3GPP、不可信非3GPP）接入業(yè)務之外，還可以通過不同的網絡切片同時接入不同業(yè)務，所有這些能力的組合促成了多種部署場景，這些場景或依賴于共享的網絡功能，或依賴于網絡接人類型，或依賴于業(yè)務提供商與網絡運營商之間的信任關系等，這些方面都給5G網絡帶來了一定的安全風險。另外，5G網絡切片可以向第三方（如企業(yè)或公共安全機構）開放，以便第三方在自己定制的切片上運行自己的網絡功能甚至全權管理切片。此時，切片安全隔離就顯得尤為重要。網絡切片安全首先應能保障切片被UE正確地選擇和接入，由于5G網絡中允許存在多個網絡切片，通過切片選擇流程將UE導向相應的切片，因此首先應保證這些流程的安全；其次，網絡切片之間需保持彼此的穩(wěn)固隔離，每個切片應有獨立的與其功能相符的安全策略，根據簽約信息、網絡策略和能力，UE可能被分配給不同的網絡切片實體，不管切片是否屬于同一類型，也不管切片是否屬于同一個網絡運營商（或第三方），不同切片之間必須隔離；另外，5G網絡應為每個網絡切片定義不同的接入安全機制和會話（如控制面、用戶面、切換等）安全機制。3.3服務化架構的安全5G時代新需求和新技術（NFV/SDN）的發(fā)展推動5G網絡采用全新的基于服務化的架構（SBA），這種架構基于模塊化、可重用和自包含的原則來構建網絡功能。也就是說，將網元（NF）的功能以服務的方式對外提供，這些功能可以被部署在任何合適的地方，通過統(tǒng)一框架的接口為任何許可的網絡功能提供其服務，從而提升網絡部署的靈活性。在SBA架構下，API調用的安全性通過TLS、IPSec、證書等傳統(tǒng)機制保證傳輸安全；同時，通過OAUTH2.0等基于Token的授權協議完成對調用服務的設備的授權。在SBA架構中，5G設計了運營商之間信令鏈路的端到端安全機制。運營商可以通過安全邊界保護代理（SEPP）進行跨運營商的服務提供與授權，同時為運營商提供端到端的安全保護，以對抗運營商間傳輸鏈路上發(fā)起的嗅探、篡改、偽造等攻擊。45G網絡安全標準化進展3GPP計劃制定R15和R16兩個版本的標準來滿足ITUIMT-2020的全部需求，其中R15為5G基礎版本，重點支持增強移動寬帶業(yè)務和基礎的低時延高可靠業(yè)務，R16為5G增強版本，將支持更多類型的業(yè)務。目前，3GPP已完成了R15獨立組網5G標準，將于2019年年底發(fā)布R16標準。R16標準在R15的基礎上，進一步增強網絡支持移動寬帶的能力和效率，重點提升對垂直行業(yè)應用的支持，特別是對低時延高可靠類業(yè)務以及物聯網類業(yè)務的支持。為了保障5G安全研究及標準制定與5G總體架構相關工作保持同步，業(yè)界將積極研究創(chuàng)新技術來滿足5G網絡安全需求，推動5G安全統(tǒng)一認證架構、按需的安全保護、SBA的安全、256bit密鑰長度密碼算法、5G網絡設備安全保障、虛擬化網絡產品的安全保障方法論及安全保障規(guī)范等方面的國際國內相關標準化工作。目前，5G網絡安全相關國際標準主要由3GPPSA3工作組制定，重點研究5G系統(tǒng)安全架構和流程相關要求，包括安全框架、接入安全、用戶數據的機密性和完整性保護、移動性和會話管理安全、用戶身份的隱私保護以及與EPS（演進的分組系統(tǒng)）的互通等相關內容。4.1國際標準5G安全相關的國際標準主要如下：●3GPPTS33.5015G系統(tǒng)安全架構和流程?！?GPPTS33.4013GPP系統(tǒng)架構演進（SAE）安全架構。●3GPPTR33.402非3GPP接入安全。●3GPPTS24.5015G系統(tǒng)（5GS）非接入層（NAS）協議；階段3?！?GPPTS33.117安全保障通用要求。●3GPPTS33.5115G安全保障規(guī)范NRNodeB（gNB）。●3GPPTS33.512～5195G安全保障規(guī)范AMF、UPF、UDM、SMF、AUSF、SEPP、NRF、NEF?！?GPPTR33.841支持256bit密鑰和算法研究?！?GPPTR33.8183GPP虛擬化網絡產品的安全保障方法論（SECAM）和安全保障規(guī)范（SCAS）?！馝TSIGSNFV-SEC001NFV安全；問題描述。●ETSIGSNFV-SEC002NFV安全；管理軟件中安全特性分類?！馝TSIGSNFV-SEC003NFV安全；實現NFV環(huán)境安全與信任指南?！馝TSIGSNFV-SEC004NFV安全；隱私和監(jiān)管要求等。4.2國內標準5G網絡安全相關國內標準主要在CCSATC5WG5工作組以及IMT-2020（5G）推進組制定，主要包括5G網絡安全架構和流程技術要求、5G網絡設備安全保障要求系列標準等，具體內容如下：（1）CCSA研究課題●5G安全技術研究。●網絡功能虛擬化（NFV）環(huán)境下移動通信核心網安全需求研究。（2）CCSA行標●5G移動通信網安全總體技術要求。●移動通信網絡設備安全保障通用要求。●5G移動通信網絡設備安全保障技術要求系列規(guī)范。（3）IMT-2020（5G）推進組規(guī)范●5G技術研發(fā)試驗系統(tǒng)驗證5G網絡安全技術要求?！?G技術研發(fā)試驗系統(tǒng)驗證5G網絡安全測試方法。5結束語網絡安全和信息化是一體之兩翼、驅動之雙輪，應處理好安全和發(fā)展的關系，做到同步規(guī)劃、同步建設、同步發(fā)展?？紤]到5G網絡的新網絡架構以及新技術新特征，并且將與垂直行業(yè)深度融合，因此5G相關技術的復雜度越來越高，5G網絡的開放程度也越來越高