1.4 5G網絡安全技術的發展

移動通信系統的安全保護機制在持續演進。例如，最早版本的GSM（全球移動通信系統，2G系統）存在的多個安全弱點已在后續的通信系統中得到修正，包括以下幾方面。

（1）可能會受到偽基站主動攻擊。

（2）密碼密鑰和認證數據在網絡之間和內部以明文方式傳輸。

（3）在空中接口進行明文傳輸。

（4）驗證時沒有采用隨機數機制，造成密鑰易被猜測，而且某些網絡未使用加密，因此，存在欺詐的可能。

（5）不提供數據完整性保護，從而容易受到偽基站攻擊，并且會被信道劫持。

（6）基于IMEI進行身份驗證的選項。

（7）沒有考慮網絡通信通道上可能發生的入侵。

（8）沒有定義UE在服務網絡中如何獲取歸屬網絡的認證參數的方案。

（9）不具備隨時間推移升級和改善安全功能的靈活性。

雖然過去的GSM存在這些問題，但已經在3GPP的規范中通過技術演進得到解決。新的移動通信系統能夠充分保護用戶產生的或與用戶有關的信息，以防止被濫用或盜用；系統充分保護服務網絡和歸屬網絡的資源和服務，以防止被濫用或盜用；通信系統的標準化的安全功能與全球可用性兼容；通信系統對安全功能充分標準化，以確保全球范圍內的互操作性及不同服務網絡之間的漫游；通信系統向用戶和服務提供者提供更高的保護水平；通信系統可以根據新威脅和服務的要求擴展并增強3GPP安全功能和機制的實現。

在5G網絡中，網絡安全更進一步得到強化，包括實現了更完善的認證措施、更全面的數據防護、更嚴密的隱私保護。

1.4.1 5G網絡的安全需求

傳統的通信網絡安全防護側重于用戶側安全和運營商網絡安全。用戶側安全關注身份鑒權和完整性保護；運營商網絡安全關注網絡自身、漫游、互聯互通和業務安全。

由于在5G網絡中所出現的多項變化，網絡安全需求也隨之增加。在業務接入方面，5G網絡接入更多新的業務和行業，涉及的安全層面會更廣；在網絡技術方面，引入網絡IT化后需要關注虛擬化、SDN等技術造成的網絡邊界模糊；由于5G采用高度集中的核心網絡組網模式，需要對網絡安全提出更高的要求；在網絡接入方面，多種新的接入方式有新的安全需求，除了手機終端的接入外，還包括物聯網、邊緣計算等新的接入方式需要進行安全保護；隨著5G網絡作為平臺接入更多的行業應用，對用戶數據的保護也提出了更高的要求。

可見，5G網絡的安全需求已經不再局限于某一環節，需要從端到端的角度進行考慮。5G網絡設備提供商應在產品設計研發階段實現安全需求；網絡運營商需要根據5G網絡的新特點更新安全運維和技術手段；網絡業務開發人員應識別5G網絡的安全變化在應用層面提升安全能力，網絡的各環節應充分發揮5G網絡的高度集中性和靈活性，打造更全面的5G網絡安全防護體系。

1.4.2 5G網絡的總體安全原則

5G網絡的總體安全原則包括以下幾個方面。

（1）5G系統應支持存儲緩存數據的安全機制。

（2）5G系統應支持接入內容緩存應用過程的安全機制。

（3）5G系統應支持在運營商的服務托管環境中接入服務或應用過程的安全機制。

（4）5G系統應支持與接入技術無關的安全框架。

（5）5G系統應支持運營商授權其他PLMN的簽約用戶接收臨時服務（如關鍵任務服務）的機制。

（6）5G系統應能夠為授權用戶提供臨時服務，而無須接入其歸屬網絡。

（7）5G系統應允許運營商授權第三方創建、修改和刪除網絡切片，但要遵守第三方與網絡運營商之間的協議。

（8）5G系統應提供安全機制，以保護中繼的數據不被中繼UE截獲。根據歸屬公共陸地移動網絡（PLMN，Public Land Mobile Network）策略及其服務和運營需求，5G系統應可根據用戶簽約所支持的服務對使用可接入EPS（演進分組系統）的USIM的用戶進行驗證，即使該用戶沒有使用5G USIM。

（9）5G系統應為使用5G LAN類型服務的授權UE之間的通信提供完整性保護和機密性保護。

（10）5G虛擬網絡將能夠驗證請求加入特定專用通信的UE的身份。

（11）5G系統應提供適當的API（應用程序編程接口），以允許在私有切片所服務的任何UE與該私有切片中的核心網絡實體之間使用受信任的第三方提供的機密性服務。

1.4.3 5G網絡的認證能力要求

5G網絡的認證能力要求如下。

（1）5G網絡應支持資源高效的機制，以便批量認證多個物聯網設備。

（2）5G系統應支持有效的方式，以通過物聯網設備（如生物識別技術）對用戶進行身份驗證。

（3）5G系統應能夠支持使用3GPP憑證通過非3GPP接入技術進行認證。

（4）5G系統應支持網絡運營商控制的替代身份驗證方法［AKA（認證和密鑰協商）的替代方法］，該方法具有不同類型的憑據，可用于隔離部署場景（如工業自動化）中的物聯網設備的網絡接入。

（5）5G系統應支持合適的框架［如可擴展認證協議（EAP，Extensible Authentication Protocol），該框架允許將具有非3GPP身份和憑證的替代認證方法（如AKA）用于非公共網絡中的UE網絡接入認證。非公共網絡可以使用3GPP身份驗證方法，身份和憑據供UE接入網絡，但也可以使用非基于AKA的身份驗證方法（如EAP框架提供）。

（6）5G系統應支持PLMN認證和授權UE接入托管非公共網絡和與托管關聯的PLMN專用切片非公共網絡的機制。

（7）5G網絡應支持3GPP支持的機制，以認證用于5G LAN虛擬網絡接入的傳統非3GPP設備。

1.4.4 5G網絡的授權能力要求

5G網絡的授權能力要求如下。

（1）5G系統應允許運營商授權物聯網設備使用僅限于物聯網設備的一個或多個5G系統功能。

（2）5G系統應允許運營商授權或取消授權UE使用5G局域網型服務。

（3）基于運營商策略，在使用非3GPP接入技術建立直接設備連接之前，物聯網設備可以使用3GPP憑據來確定它們是否被授權進行直接設備連接。

（4）基于運營商策略，5G系統應提供一種手段來驗證UE是否被授權使用特定服務的優先網絡接入權限。

1.4.5 5G網絡的身份管理

5G網絡的身份管理要求如下。

（1）5G系統應為運營商提供一種機制，允許其使用隱藏簽約用戶身份的臨時標識符來通過UE進行接入。

（2）5G系統應為運營商提供一種機制，使其使用隱藏簽約用戶身份的臨時標識符允許來自間接網絡連接的UE的接入。

（3）歸屬PLMN應該能夠將臨時標識符與UE的用戶身份相關聯。

（4）5G系統應能夠保護用戶身份和其他用戶標識信息免受被動攻擊。

（5）根據國家或地區法規要求，5G系統應能夠保護用戶身份和其他用戶標識信息免受主動攻擊。

（6）5G系統應能夠在需要時允許合法實體收集設備標識符，而與UE的用戶接口無關。

（7）5G系統應能夠獨立于設備識別而支持簽約用戶識別。

（8）5G系統應支持安全機制以收集系統信息，同時確保最終用戶和應用過程的隱私。

（9）在遵守國家或地區法規要求的前提下，5G系統應能夠提供5G定位服務，同時保護UE用戶或所有者的隱私，這包括5G系統按需提供定位服務的能力，而不必連續跟蹤所涉及UE的位置。

（10）對于使用5G技術的專用網絡，5G系統應使用由第三方提供和管理并由3GPP支持的身份、憑證和身份驗證方法來支持網絡接入。

1.4.6 5G網絡監管

5G網絡的監管要求如下。

（1）5G系統應滿足所有支持接入網絡的國家或地區法規要求。

（2）5G系統應根據國家或地區法規要求支持合法攔截。

（3）連接到多個國家和地區的5G核心網絡的5G衛星接入網絡應能夠滿足這些國家和地區的相應監管要求。

（4）5G系統應支持5G局域網型服務的法規要求。

1.4.7 欺詐保護

5G的欺詐保護要求如下。

（1）根據國家或地區法規要求，5G系統應支持一種安全機制，在收到UE被盜的報告后，允許授權實體禁止該UE繼續在網絡中使用。

（2）在遵守國家或地區法規要求的前提下，5G系統應支持一種安全機制，以允許授權實體重新啟用已恢復的被盜UE使其正常運行。

（3）5G系統應能夠保護用戶位置信息免受被動攻擊。

（4）根據國家或地區法規要求，5G系統應能夠保護用戶位置信息免受主動攻擊。

（5）根據國家或地區法規要求，5G系統應支持各種機制，以保護用戶位置信息和與用戶定位有關的數據，以防篡改和欺騙。

（6）根據國家或地區法規要求，5G系統應支持檢測有篡改用戶位置信息和與用戶位置相關的數據的企圖的機制。

1.4.8 5G安全功能的資源效率

5G安全功能的資源效率要求如下。

（1）5G系統應在不影響3GPP系統安全級別的情況下最小化安全信令開銷。

（2）5G系統應支持有效的安全機制，以將相同的數據（如服務供應多個傳感器）傳輸給多個UE。

1.4.9 數據安全和隱私

數據安全和隱私保護要求如下。

（1）5G系統應支持為uRLLC和能源受限設備提供服務的數據完整性保護和機密性方法。

（2）5G系統應支持一種機制，以驗證消息的完整性和消息發送者的真實性。

（3）5G系統應在請求的端到端時延內支持uRLLC服務的加密。

1.4.10 5G系統的安全功能

5G系統的安全功能如下。

（1）通過網絡對UE進行身份驗證，UE與網絡相互進行身份驗證。

（2）安全上下文的生成和分發。

（3）用戶面數據機密性和完整性保護。

（4）控制面信令機密性和完整性保護。

（5）用戶身份保密。

（6）合法監聽和攔截。

（7）當UE通過NG-RAN（NG無線接入網絡）和獨立的非3GPP接入進行連接時，使用獨立的NAS安全上下文對多個N1實例進行安全保護，每個NAS（網絡附屬存儲）上下文都是基于相應SEAF（安全錨功能）中的安全上下文創建的。

1.4.11 5G主要場景的網絡安全

5G網絡可以分為3種場景：eMBB、mMTC和uRLLC，需要針對這3種業務場景的不同安全需求提供差異化安全保護機制。

（1）對于eMBB場景，由于eMBB是傳統通信業務的演進，主要考慮如何加強對用戶數據的完整性、機密性、可用性等通用安全保障需求。

（2）對于mMTC場景，由于物聯網設備連接數量眾多，而且使用環境、計算處理能力、處理資源限制等方面具有較大的差異，因此，如果采用傳統的認證方式，則會造成物聯網設備制造和使用成本較高，這就需要降低物聯網設備在認證和身份管理方面的成本，以支撐物聯網設備的低成本和高效率海量部署。5G網絡將接入海量物聯網設備。物聯網設備的特點是具有不同的使用周期、不同的用戶接入界面、需要較長的使用周期，物聯網設備的歸屬所有權有可能發生變化，如某些物聯網消費品的銷售和轉換。為了適應物聯網的這些特點，5G網絡引入了動態建立或刷新憑證和簽約的安全機制，支持獨立的接入安全性，支持包括授權和非授權、3GPP和非3GPP在內的多種新型接入技術。5G網絡強化了防止盜竊和欺詐行為的保護以支持智能手機、無人機和工廠自動化的應用。

（3）對于uRLLC場景，由于其對端到端時延的嚴格要求，因此，在進行安全保障時，需要優化業務接入時延、數據傳輸時延，以及相關安全處理帶來的時延。

高水平的5G安全性為社會關鍵領域，如工業自動化、工業物聯網和智能電網等提供了更好的支持。在企業、交通、公共安全等領域，5G增強了用戶隱私的保護能力。5G網絡安全技術可以滿足這些新的安全需求，并繼續提供與現有3GPP通信系統一致的安全性。