5G系统安全防护

【摘  要】阐述了5G技术的发展现状，5G系统面临的安全隐患，介绍了网络切片、空口等概念，面对5G系统安全威胁的解决方案。

【关键词】5G;安全;解决方案

引言

近年来，随着物联网的应用，越来越多的设备连接到 5G 网络，并要求提供大容量、大连接和高可靠低时延的通信服务。2018年，第3代合作伙伴（3GPP）正式发布5G新空口标准方案，完成了5G功能的标准化工作。3GPP定义了5G的3大应用场景：增强移动宽带（eMBB）、高可靠低时延通信（uRLLC）以及海量物联网通信（mMTC），支持如物联网、触觉互联网等更高数据速率、更低时延和更大规模的设备连接，对安全提出挑战。5G网络将在提升移动互联网用户业务体验的基础上，进一步满足了未来物联网应用的海量需求，与工业、医疗、交通等行业深度融合。5G网络新的发展趋势，尤其是5G新业务、新架构、新技术，对安全和用户隐私保护都提出了新的挑战。当前，5G的国际标准化工作已经完成，其中5G网络安全也是重要的组成部分。除满足基本通信安全外，5G安全机制还需要能够为不同业务场景提供差异化安全服务，能够适应多种网络接入方式及新型网络架构，保障用户隐私，并提供开放的安全能力。

1.5G通信技术面临的安全威胁

1.1空口的安全威胁

空口指用户终端和基站设备间的空中无线信号传播。空口的安全威胁主要表现为：信息泄露：在基站发射信号的覆盖区域，非法用户也能接收，并通过侦听、嗅探、暴力破解等手段获取基站的转发数据，造成信息泄露;数据欺骗，例如伪造虚假的基站发射无线信号，骗取合法用户接入，然后盗取用户数据或实施欺诈;攻击设备发射强干扰信号，破坏正常用户和基站的无线连接，从而造成正常基站的业务中断。

1.2网络切片技术威胁

网络切片是 5G 通信技术接入的重要渠道，更是决定网络通信特征的关键要素，它的作用是为网络系统构成端点系统构建提供逻辑关系平台，能够根据不同网络的要求构建更多元化的服务体系。是根据不同业务应用对用户数、QoS、带宽的要求，将物理网络切成多张相互独立的逻辑网络，切出了多张虚拟网络让业务变得更加灵活多样。每个网络切片从无线接入网到承载网再到核心网在逻辑上隔离，适配各种类型的业务应用。网络切片做到了：端到端的按需定制并能保证隔离性。想实现网络切片，NFV（网络功能虚拟化）是先决条件。而结合网络切片功能与技术方面的特点可知，不同切片结构在通信方面均存在信道交叉等情况，若是未做好全面的隔离措施，则极有可能在数据传输过程中，出现非法访问等情况，使原有传输的数据渠道受到篡改，影响用户对数据的正常使用与管理。其次，相同结构与业务类型的网络切片之间也极易相互影响，使切片中传导的资料相互干扰，如此便无法保障 5G 通信技术内数据传导的稳定性与安全性。

1.3 5G通信系统安全威胁

（1）用户终端：随着 5G 网络应用范围的扩大，用户终端的数量和类型也在不断拓展，因此用户终端也极易受到移动恶意软件的攻击。该过程中，攻击者向终端用户发布恶意软件，诱导其接入，获取用户的通信链路，进而得到用户终端的用户身份数据、活动情况以及个人隐私等敏感信息，给违法行为提供了便利。同时，5G 通信系统的传输带宽更大，连接方式更丰富，通信速率更快，这也为外界病毒入侵提供了更加有利的接入条件，用户终端更容易受到恶意行为的攻击。

（2）网络接入：网络接入的过程中，也容易存在很多的安全问题。事实上，4G 时代向 5G 时代的过渡，技术之间的融合十分关键，需要制定更加科学、完善的接入方案。该过程中，来自 4G接入网的攻击会对基站安全进行干扰，会给 5G 通信系统的稳定运行带来一定的冲击。除此之外，攻击者还会在攻击 LTE 网络时，发送控制协议，对用户网络管理平台系统结构进行篡改，使 5G 接入设备的正常运转效率难以得到保障。

2.5G系统的安全解决方案

2.1空口的安全解决方案

需支持双向认证。在2G时代，移动终端使用普通用户身份识别卡（SIM），只支持可扩展身份认证协议单向鉴权，即网络对 SIM 卡进行身份合法性认证，而没有用户终端对网络的认证，这就造成“伪基站”。长期演进（LTE）使用了全新的双向认证方式，使用配置用户识别模块（UIM）的USIM卡，只有都完成网络对终端认证和终端对网络认证后才接入网络。5G 支持统一框架下的双向认证。

（2）开发和利用适合5G网络特性的安全协议来实现多域融合的密钥管理、网络和用户身份认证、用户隐私保护、网络空口数据保护、完整性保护、端到端安全认证和数据保护、安全域融合等功能需求。

2.2网络切片的安全解决方案

（1）网络资源隔离，不同切片采用不同密钥。

（2）切片ID验证，避免未经授权的切片访问。

（3）不同切片使用不同 Key 或者授权机制，防止 Key 泄露引发的切片攻击。

（4）运维审计，操作可追溯。

（5）对合法用户异常行为进行抑制，限制接入，强制下线。

2.3 5G传输安全解决方案

5G 设备的传输安全主要包括N2、N3口的传输安全，在不同的协议层都有各自的安全解决方案。物理层通过线缆屏蔽传输信号，防止外部监测和干扰，同时支持多物理链路和多设备商签名证书来对基站进行身份验证，验证通过后给基站签发运营商证书并返回证书响应，基站证书替换为运营商签名证书，完成基站注册。随后基站就使用运营商签名证书和核心网安全网关建立 IPSec连接。

2.4网管接口的安全方案

网管是对基站设备的管理系统完成基本的数据配置、监测控制、性能统计等功能。基站与网管系统通过 IP 网络连接，有可能暴露在公网，因此面临非法入侵、信息泄露、服务中断、物理破坏等安全威胁。和网管接口相关的安全解决方案如下几个方面。

（1）账户管理。账户管理支持常用的用户名密码方式认证，以及基于 PKI 的数字证书双因素认证方式。為了避免用户密码被暴力破解，系统支持对登录密码尝试次数做限定，超出尝试次数，用户会被锁定，锁定又支持按照用户来源锁定和按照用户锁定的锁定策略。

（2）权限管理。对接入系统的用户需要做身份认证，非授权用户不能接入系统。用户接入系统后，还需要进行权限控制，即用户能够读取/修改/执行系统文件是否在授权范围内。系统需要对用户分组，不同等级的用户分组有不同的权限。登录用户通过身份验证后，可以对 5G 基站设备进行管理操作。基站需要根据用户的分组对用户操作进行授权控制，为用户授予相应的操作权限。系统遵循最小特权和职责分离的原则，为不同职能的用户创建出不同权限的角色。同样，帐号信息类也有专门的权限控制，只有授予了帐号修改权限的安全管理员才能对帐号以及权限进行配置，避免帐号权限被恶意修改。

3.结束语

保障5G网络与安全同步发展，所以在5G网络的整体架构设计、业务流程、后续标准化工作中，一定要综合考虑5G安全要求，形成全国统一的5G安全技术标准，加强5G与各行业的融合创新研究，构建灵活、高效、安全的5G网络。应该同步开展安全技术创新与产品研发，以便我国商用部署的5G网络能够为不同业务场景提供差异化安全服务，适应多种网络接入方式及新型网络架构的需求，确保三大应用场景下的信息安全。

参考文献

魏小兵，5G移动通信技术应用与发展前景[J].数字技术与应用，2018.

[3]  李忠文，5G无线通信技术概念及其应用研究 [J]. 通讯世界，2018.

[4] 张兆信，赵永葆. 计算机网络安全与应用[M]. 北京：机械工业出版社，2005.

[5] 余建斌. 黑客的攻击手段及用户对策[M]. 北京：人民邮电出版社，1998

作者简介：王宁（1984.3-），男，学士，工程师;研究方向为计算机应用。