5G 应用安全解决方案浅析

高翔

（中通服中睿科技有限公司，广东 广州 510630）

0 引言

5G 是最新最先进的通信技术，充当行业基石的作用，为各个行业提供高速、可靠信息交互。基于5G 技术eMBB、uRLLC、mMTC 的三大应用场景，5G 技术被融入各行各业的基础领域和关键领域，同一个行业的不同部门之间、不同行业之间的信息传输与关联，速度与效率达到了一个前所未有的高度，5G 网络通信技术实现了人与物，物与物的互联，在一定意义上将各个独立的工作个体关联成为一个高效的信息交互整体，推动行业经济和技术的进步。5G 技术虽然有着各项不可比拟的优势，但也会面临着新的网络技术风险，如何进一步完善5G 通信安全保护机制是亟待解决的问题。应分析各应用场景的具体安全需求，并提出相应的安全措施，在给出5G 安全参考架构的基础上提出5G 应用的安全解决方案。

1 5G 技术特点

5G 引用软件定义网络、网络功能虚拟化、多接入边缘计算技术，极大提高了通信系统的高效性和灵活性，具有高速率、低延时、大宽带、低功耗等独特优势。

1.1 高速率

5G 通信较上一代4G 通信的数据传输效率提升了近十倍，5G 的传输速率最高可达10Gbps，使得用户在观看或传输高清视频、使用虚拟现实产品时可不受流量限制；高速率的数据传输，使得用户更青睐采用数据云端存储的生活和工作方式，逐渐减少对移动硬盘的依赖，进一步提升信息存储和提取的效率和安全性。

1.2 低功耗

5G 技术支持众多的终端设备低功耗连接，使得终端设备的使用时长得到极大的提升，方便了需长时间使用的终端应用设备的部署，如智能家居、智慧港口、智慧城市的部署应用。同时5G还具备成熟的低功耗广域网技术，可以满足传输距离远、传输数据量小，且需长时间待机维持正常工作的终端应用，如智能天气观测、智能电表读取、智能空气净化器等。

1.3 低时延

5G 通信较上一代4G 通信的数据传输延时缩短了近10 倍，4G 的数据传输延时为10ms 左右，而5G 的数据传输延时可达1ms。5G 的低时延特性为对网络时效性要求极高的应用提供了技术支持，如自动驾驶、工业自动化、远程医疗等，使得这些应用在日常的工作中或面临突发状况时能高效快速精准地处理好问题。

1.4 5G 泛在网

5G 的高速率、低时延、大带宽使得5G 能够建成全面覆盖的泛在网，主要从两个角度出发：横向覆盖和纵深覆盖。横向覆盖指将全中国各个省、市、自治区、直辖市、特别行政区划都囊括到5G 网络系统中来；纵深覆盖指将所有的通信死角纳入5G 互联网络，如地下车库、卫生间等场所。泛在网的构建，使得社会每个角落的信息都能够被采集和传输，极大地提升了社会的活力和生产效率。

2 5G 不同应用场景的安全需求

不同的5G 应用场景对安全的需求是不同的，5G 通信应对eMBB、mMTC、uRLLC 等应用场景提供不同的安全需求保护机制，制定差异化的安全措施。5G 应用安全需求及应对措施如表1所示。

表1 5G 应用安全需求及应对措施

2.1 eMBB 的安全需求及措施

随着eMBB 增强型移动宽带业务的应用，网络数据传输速率和用户体验都提升了10 倍以上，使得工作和生活上的信息上传量巨大，超大的流量数据使得网络安全机制对内容识别、流量检测、信息加密解密技术的力度提出了更高的要求，也对安全机制计算数据和处理数据的能力提出了更高的要求，同时对在海量信息数据中对用户的隐私进行更有效的保护提出了更高的要求。

为了更有效地对网络信息进行有效监测，须在网络入口部署安全基础设施，对上传的信息内容进行严格的识别和检测；在边缘计算节点实施流量监控，对流量的时间、流向进行监督，一旦发现风险立即终止服务；构建云化基础设施，提升5G 通信网络对流量数据的计算能力和处理能力；在对用户数据隐私的保护上，建立二次身份认证机制，用户使用的终端应用与服务平台之间需要进行二次认证，确保信息申请访问的真实性和合法性；实现密钥管理机制，对信息安全要求高的信息进行加密传输，确保用户的隐私安全；为有特殊需求的用户提供特定网络切片，构建专属的信息传输通道，增强信息传输的安全性，保护用户的隐私安全。

2.2 uRLLC 的安全需求及措施

5G 通信较上一代4G 通信的数据传输延时缩短了近10 倍，4G 的数据传输延时为10ms 左右，而5G 的数据传输延时可达1ms。5G 的低时延特性为对网络时效性要求极高的应用提供了技术支持，如自动驾驶、工业自动化、远程医疗等，使得这些应用在日常的工作中或面临突发状况时能高效快速精准地处理好问题。同时也需确保低时延传输的安全性，防止外部恶意程序入侵或操控，一旦传输系统被不法分子操控，这对高度依赖低延时处理和解决问题的应用将构成严重威胁，不仅会造成经济损失，而且会造成人员生命安全。因此，对低延时应用场景的安全防护尤为重要，这对构建高效的uRLLC 安全防护机制提出了更高的要求。

在用户终端和应用服务器之间建立双向身份认证机制，防止虚假用户建立连接.部署防DDoS 功能，以防止网络拥塞、无线干扰和通信链路中断。通过部署在边缘计算的安全能力，以及数据完整性保护、时间戳、序列号等机制，防止应用程序数据被篡改或重放等，从而确保数据传输的可靠性[1]。

同加强对MEC 边缘计算的安全防护：MEC 边缘计算安全防护措施主要包括对流量分析的攻击溯源、全流量分析、全流量回溯等程序方案。

基于流量分析的攻击溯源：5G 运营商应健全流量朔源分析系统和威胁检测系统，对攻击行为进行流量检测分析，通过流量溯源还原攻击行为的攻击过程，有针对性的进行问题修复。流量分析攻击溯源系统的功能主要有以下4 点：全流量分析；全流量回溯；威胁检测；未知威胁分析。全流量分析：5G 运营商通过人工大致分析和系统自动化追踪具体分析结合，通过协议或引用层层下钻，找到数据的原始PCAP 详细信息，对这些数据进行自动化分析，经过筛选找到想要的信息。全流量回溯：5G 运营商的流量回溯系统通过对应用使用流量的监控、信息保存、时间段和趋势分析，结合流量数据查询系统进行流量的回溯以及对PCAP 原始数据的分析。

2.3 mMTC 的安全需求及措施

mMTC 广连接低功耗业务可在1km2的范围内支持同时连接十万台终端设备的使用，是以往4G 通信网络的10 倍。虽然支持海量的终端设备联网，但是在业务极高的峰值时，如果终端设备请求信令超过了平台的信令处理能力，就会产生信令风暴，造成平台故障的产生。由于连接的终端设备数量太多，难以保证终端设备的使用安全，如果不对终端设备进行管控，那么不法分子就会利用漏洞劫持正在使用的终端设备，对通信网络的基础设施甚至关键设施进行全部或局部的DDOS 攻击，造成网络拥挤甚至网络服务瘫痪。因此，对于mMTC 的安全需求而言，确保终端设备使用的安全性，增强抵抗DDOS 攻击的防御性是非常重要的。

确保终端设备的安全性主要有三大措施：采用轻量级安全算法和简单高效的协议，实现海量终端设备与服务平台之间的双向认证；构建终端设备数据传输加密机制，对用户从终端设备上传的敏感数据进行安全加密，防止非法分子从传输路径上进行拦截、解密、改造数据；在终端设备的接入端部署安全监控机制，对终端设备的运行状态进行监测分析，一旦发现终端设备有异常的行为，马上切断终端设备与服务平台之间的连接，可防止终端设备被恶意操控，从而保障整个网络的安全性。

3 5G 应用安全解决方案

终端层、网络层、服务层、平台层构建成了5G 应用的参考架构。5G 应用参考架构如图1 所示。

图1 5G 应用参考架构

3.1 终端层解决方案

终端层是5G 应用参考架构消息的接受层和传输层，主要通过各种智能终端设备来对信息进行采集和呈现。但是由于海量终端设备的存储能力和数据处理能力有限，在终端层构建信息安全保护机制的难度较大。

3.1.1 防御DDOS 攻击

需对终端设备进行严格的监测，预防来自终端设备的DDOS攻击，这类攻击可能是黑客入侵终端设备发起的，也可能是由于服务器瘫痪引起的海量终端设备同时发出信令注册导致的。因此，需要在终端设备构建完善的安全检测机制，采用轻量级安全算法和简单高效的协议，实现海量终端设备与服务平台之间的双向认证；构建终端设备数据传输加密机制，对用户从终端设备上传的敏感数据进行安全加密，防止非法分子从传输路径上进行拦截、解密、改造数据；在终端设备的接入端部署安全监控机制，对终端设备的运行状态进行监测分析，一旦发现终端设备有异常的行为，马上切断终端设备与服务平台之间的连接，可防止终端设备被恶意操控，从而保障整个网络的安全性。

3.1.2 终端入侵防护

为了防止终端设备被黑客入侵而造成损失，可在终端设备中内置安全功能，如SSH 安全登录、TLS 传输加密、内置安全芯片及信令加密保护机制[2]。

3.2 网络层安全解决方案

网络层在5G 应用参考架构中起着信息传输桥梁的作用，网络层能够快速、可靠地实现两个终端设备之间的信息传输。确保网络层的安全主要从网络组件着手，加强空口、5G 切片、MEC、承载网络的安全建设。

3.2.1 基站空口安全

采用SUCI 加密、空口PDCP 数据包加密技术，防止不法分子通过空口劫取用户上传的敏感信息，进行窃听、篡改数据，造成用户损失；构建DDOS 监测防御机制，当基站遭受DDOS 攻击时能进入自动防御状态，减少损失；构建伪基站侦察系统，当有伪基站对基站进行恶意干扰和攻击时，侦察系统第一时间进行监测，找到伪基站的位置，从而采取针对性措施降低损失。

3.2.2 5G 切片安全

5G 网络切片可以根据不同的逻辑需求分离出多个不同的虚拟通道，以适配不同类型的应用，其安全防护应从以下几方面进行：切片安全定制，根据不同场景安全需求不同，设置不同的切片安全等级，提供多种类型的网络切片来满足客户不同的应用场景需求，从而实现不同业务的有效隔离；做好切片之间的隔离，使各切片工作互不影响，做到完全意义上的独立，一个切片的损坏不会影响到另外一个切片的正常使用；确保用户对切片的正常访问，同时为确保用户对网络切片的合法访问，需要用户和网络运营商的双重身份验证授权；切片安全管理，5G 运营商运用虚拟技术，组建切片网络安全资源池，为海量终端设备用户提供网络安全服务，运用NFV 技术，5G 运营商在收到终端设备用户的相关安全需求时，进行安全策略配置，为终端设备用户提供准确而高效的安全服务；切片防护定制，对不同的切片应启用不同的定制安全防护，5G 运营商安全资源池应当提供但不限于认证、入侵防护、入侵检测、抗DDOS 攻击[4]、反病毒程序保护、反恶意软件检测、安全事件管理系统等安全防护机制服务。

3.3 5G 平台层安全解决方案

各类大数据平台、AI 智能平台组成了5G 参考构架中的平台层。平台层具有承上启下的过度作用，具有把接受到的数据进行存储、计算、分析并把处理好的信息传递给服务层的功能。

3.3.1 5G 通信接口安全

对通信接口进行加密，对终端设备用户的账户和密码进行维护管理并加密。

3.3.2 5G 平台数据安全

5G 平台层的数据安全体现在数据的完整性、可用性、隐私性，而大数据平台所采集数据信息的安全性直接影响到平台层数据信息的安全性，可采用冗余技术保证数据的可以性，采用数据验证技术确保数据完整性，采取访问控制确保数据的隐私性。

3.4 5G 服务层安全解决方案

服务层是通过各种系统应用软件将处理好的数据信息呈现在终端设备上，它的安全性主要体现在软件使用安全和系统操作及维护运行方面。

3.4.1 应用系统软件安全

通过软件自身或者通过其他软件或操作系统来扫描软件自身存在的漏洞并加以修复，进而提升软件安全性能。切勿安装未知来源软件，该软件可能存在捆绑病毒而使5G 应用软件遭到侵害。

3.4.2 应用系统安全运维

应用系统运维的安全性主要体现在对应用系统的操作和使用方面。应用系统操作用户应具有很高的信息安全控制能力和自我安全约束能力，不下载未知来源的软件对系统造成破坏，不泄露终端设备的账号和密码。定期给系统体检、修复、升级。5G 应用安全解决方案如图2 所示。

图2 5G 应用安全解决方案

4 结语

5G 是最新最先进的通信技术，充当行业基石的作用，为各个行业提供高速、可靠信息交互。基于5G 技术eMBB、uRLLC、mMTC 的三大应用场景，5G 技术被融入各行各业的基础领域和关键领域。5G 技术虽然有着各项不可比拟的优势，但也会面临着新的网络技术风险，如何进一步完善5G 通信安全保护机制是亟待解决的问题。本文分析了各应用场景的具体安全需求，并提出了相应的安全措施，在给出5G 安全参考架构的基础上提出5G应用的安全解决方案。