下一代移動網需構建差異化安(ān)全機制

                        【來源：中(zhōng)國(guó)信息産(chǎn)業網-人民(mín)郵電(diàn)報】

　　 當前，全球新(xīn)一輪科(kē)技(jì )革命和産(chǎn)業變革正孕育興起，跨行業、跨領域的融合創新(xīn)不斷深入，将産(chǎn)生大量新(xīn)應用(yòng)、新(xīn)業态、新(xīn)模式，對移動通信技(jì )術也提出了更高要求。第五代移動通信（5G）作(zuò)為(wèi)新(xīn)一代移動通信技(jì )術發展的方向，将在提升移動互聯網用(yòng)戶業務(wù)體(tǐ)驗的基礎上，進一步滿足未來物(wù)聯網應用(yòng)的海量需求，與工(gōng)業、醫(yī)療、交通等行業深度融合，實現真正的“萬物(wù)互聯”。
　　 面對5G網絡的新(xīn)發展趨勢，尤其是5G新(xīn)業務(wù)、新(xīn)架構、新(xīn)技(jì )術，都會對安(ān)全和用(yòng)戶隐私保護提出新(xīn)的挑戰。5G安(ān)全機制除了要滿足基本通信安(ān)全外，還需要為(wèi)不同業務(wù)場景提供差異化安(ān)全服務(wù)，能(néng)夠适應多(duō)種網絡接入方式及新(xīn)型網絡架構，保護用(yòng)戶隐私，并支持提供開放的安(ān)全能(néng)力。

　　 5G新(xīn)場景帶來新(xīn)的安(ān)全威脅
　　 5G的eMBB場景與傳統移動互聯網場景相比，主要的區(qū)别是為(wèi)用(yòng)戶提供更快的網絡速率和高密度的容量，因此将出現數量衆多(duō)的小(xiǎo)站。小(xiǎo)站的部署方式、部署條件以及功能(néng)都存在靈活多(duō)樣的特點。傳統4G安(ān)全機制未考慮此種密集組網場景下的安(ān)全威脅，因此，除了傳統移動互聯網所存在的安(ān)全威脅外，在這種密集組網場景下可(kě)能(néng)會存在小(xiǎo)站接入的安(ān)全威脅。
　　 針對大規模物(wù)聯網場景，預計到2020年，聯網設備将達500億台。終端包括物(wù)聯網終端、RFID标簽、近距離無線(xiàn)通信終端、移動通信終端、攝像頭以及傳感器網絡網關等。由于大部分(fēn)物(wù)聯網終端具(jù)有(yǒu)資源受限、拓撲動态變化、網絡環境複雜、以數據為(wèi)中(zhōng)心以及與應用(yòng)密切相關等特點，與傳統的無線(xiàn)網絡相比，更容易受到威脅和攻擊。在此海量設備情況下，為(wèi)了确保信息的準确有(yǒu)效性，需要在機器通信中(zhōng)引入安(ān)全機制。而若每個設備的每條消息都需要單獨認證，則網絡側安(ān)全信令的驗證需要消耗大量資源。在傳統4G網絡認證機制中(zhōng)沒有(yǒu)考慮到這種海量認證信令的問題，一旦網絡收到終端信令請求超過了網絡各項信令資源的處理(lǐ)能(néng)力，則會觸發信令風暴，導緻網絡服務(wù)出現問題。進一步的，整個移動通信系統可(kě)能(néng)會因此出現故障，進而崩潰。
　　 而在低時延高可(kě)靠場景，尤其針對車(chē)聯網、遠(yuǎn)程實時醫(yī)療等時延敏感應用(yòng)，提出了低時延高安(ān)全性的需要。在這些場景中(zhōng)，為(wèi)避免車(chē)輛碰撞、手術誤操作(zuò)等事故，要求5G網絡能(néng)在保證高可(kě)靠性的同時提供低至1ms的時延QoS保障。而傳統的安(ān)全協議，如認證流程、加解密流程等，在設計時未考慮超高可(kě)靠低時延的通信場景。這樣可(kě)能(néng)會造成傳統的複雜的安(ān)全協議/算法造成的時延無法滿足超低時延的需求。同時，5G中(zhōng)超密集部署技(jì )術的應用(yòng)使得單個接入節點覆蓋範圍很(hěn)小(xiǎo)，當車(chē)輛等終端快速移動時，網絡的移動性管理(lǐ)過程将會非常頻繁，為(wèi)了低時延的目标，移動性管理(lǐ)相關的功能(néng)單元和流程需要進行優化。

　　 5G新(xīn)型網絡架構對安(ān)全提出了新(xīn)的要求
　　 5G新(xīn)型網絡架構需要更靈活、更智能(néng)和更好的性能(néng)，可(kě)以自動适配海量業務(wù)的差異化服務(wù)要求，基于全網視圖來綜合調度網絡資源，包括接入能(néng)力、計算能(néng)力、存儲能(néng)力和網絡連接能(néng)力等，具(jù)體(tǐ)包括：5G網絡基于控制和轉發分(fēn)離模式實現用(yòng)戶面更加扁平的架構；依托新(xīn)型架構的全局控制功能(néng)，可(kě)以實現多(duō)種接入技(jì )術的協同控制；借鑒IT虛拟化技(jì )術思想對網元形态和網絡連接方法進行重構，5G網絡的基礎設施引入NFV等虛拟化技(jì )術，實現網絡切片和網元按需部署，增加整體(tǐ)網絡的靈活性和伸縮性。
　　 ——NFV安(ān)全需求
　　 5G網絡基礎設施平台将更多(duō)地選擇基于通用(yòng)硬件架構的數據中(zhōng)心構成支持5G網絡的高轉發性能(néng)和電(diàn)信級管理(lǐ)要求。NFV技(jì )術實現底層物(wù)理(lǐ)資源到虛拟化資源的映射，構造虛拟機（VM），加載網絡邏輯功能(néng)（VNF）；虛拟化系統實現對虛拟化基礎設施平台的統一管理(lǐ)和資源的動态重配置。NFV具(jù)有(yǒu)幫助強化網絡安(ān)全的潛力，安(ān)全策略可(kě)編排，并且可(kě)以發揮虛拟化的優勢，隔離業務(wù)負載從而強化安(ān)全。NFV在強化安(ān)全的同時也帶來了新(xīn)的安(ān)全隐患。相比傳統電(diàn)信設備，軟件硬件分(fēn)離的特點以及虛拟化網絡的開放性給NFV帶來了新(xīn)的潛在安(ān)全問題：
　　 第一，引入新(xīn)的高危區(qū)域——虛拟化管理(lǐ)層。虛拟化管理(lǐ)層是NFV的核心，一旦被攻破，在其上的所有(yǒu)虛拟機将直接面對攻擊，後果将不堪設想。
　　 第二，彈性、虛拟網絡使安(ān)全邊界模糊，安(ān)全策略難于随網絡調整而實時、動态遷移，虛拟機容易受到同一主機的其他(tā)虛拟機的攻擊；傳統基于物(wù)理(lǐ)安(ān)全邊界的防護機制在雲計算的環境難以得到有(yǒu)效應用(yòng)。
　　 第三，用(yòng)戶失去對資源的完全控制以及多(duō)租戶共享計算資源，帶來的數據洩漏與攻擊風險，給數據安(ān)全保護提出了更高的要求。并且用(yòng)戶、應用(yòng)和數據資源聚集，容易成為(wèi)黑客攻擊的目标，而且一旦被攻擊，影響範圍廣、危害大。
　　 5G安(ān)全針對NFV等虛拟化技(jì )術的引入，需要為(wèi)網絡設備提供多(duō)元化的系統級防護，防止各類非法的攻擊和入侵。5G網絡環境将包含多(duō)廠家的軟硬件基礎設施，因此網絡身份必須得到有(yǒu)效管理(lǐ)，從而防止非法用(yòng)戶對網絡資源的訪問。5G安(ān)全将提供傳輸保護，為(wèi)數據傳輸提供如機密性和完整性等安(ān)全防護，應對傳輸中(zhōng)數據的惡意竊聽和轉發。
　　 ——網絡切片安(ān)全需求
　　 網絡切片是5G網絡的關鍵特征。一個網絡切片将構成一個端到端的邏輯網絡，按切片需求方的需求靈活地提供一種或多(duō)種網絡服務(wù)。網絡切片重要的安(ān)全問題是網絡切片需要提供不同切片實例之間的隔離機制，防止本切片内的資源被其他(tā)類型網絡切片中(zhōng)網絡節點非法訪問。例如醫(yī)療切片網絡中(zhōng)的病人，隻希望被接入到本切片網絡中(zhōng)的醫(yī)生訪問，而不希望被其他(tā)切片網絡中(zhōng)的人訪問。相同業務(wù)類型的網絡切片之間也存在隔離的需求，例如不同的企業的在使用(yòng)相同業務(wù)類型的切片網絡時，并不希望本企業内的服務(wù)資源被其他(tā)企業的網絡切片節點訪問。
服務(wù)、資源和數據在網絡切片中(zhōng)被隔離保護的效果要達到接近于傳統私網一樣的用(yòng)戶感受，這樣才能(néng)使用(yòng)戶能(néng)放心地将原本存放在私有(yǒu)網絡中(zhōng)的應用(yòng)數據存放到在雲端，用(yòng)戶在享有(yǒu)随時随地可(kě)訪問私有(yǒu)資源的同時不需要擔憂這些資源的安(ān)全問題，這樣才能(néng)促進各種垂直業務(wù)的健康快速發展。
　　 ——多(duō)RAT接入的安(ān)全需求
　　 異構接入網絡将是下一代接入網絡的主要技(jì )術特征之一，5G網絡将是多(duō)種無線(xiàn)接入技(jì )術融合共存的網絡。異構不僅體(tǐ)現在接入技(jì )術的不同，如WiFi和蜂窩網絡方面，還體(tǐ)現在接入網絡因為(wèi)屬于不同擁有(yǒu)者而造成的局部網絡架構方面的差異上，因此，5G網絡需要構建一個通用(yòng)的認證機制，能(néng)夠在不同的接入技(jì )術、不安(ān)全的接入網之上建立一個安(ān)全的運營網絡。
　　 另外，在異構網絡間的安(ān)全互操作(zuò)方面，終端可(kě)能(néng)在異構網絡間進行切換，這時需要保證在異構網絡間切換的安(ān)全互操作(zuò)，如安(ān)全上下文(wén)的傳遞、密鑰的更新(xīn)、異構網絡間安(ān)全上下文(wén)的隔離等。

　　 * * *
　　 未來5G安(ān)全将在更加多(duō)樣化的場景、多(duō)種接入方式以及新(xīn)型網絡架構的基礎上，提供全方位的安(ān)全保障。除滿足基本通信安(ān)全外，5G安(ān)全機制能(néng)夠為(wèi)不同的業務(wù)場景提供差異化的安(ān)全服務(wù)，能(néng)夠适應多(duō)種網絡接入方式及新(xīn)型網絡架構，保護用(yòng)戶隐私，并支持提供開放的安(ān)全能(néng)力。當前，5G标準化工(gōng)作(zuò)已經全面啓動，3GPPSA2将在2016年年底完成5G網絡架構的研究工(gōng)作(zuò)，因此亟須盡早明确5G網絡的安(ān)全需求，并且在5G網絡的整體(tǐ)架構設計和後續标準化中(zhōng)綜合考慮5G安(ān)全要求，這樣才能(néng)最終實現構建更加安(ān)全可(kě)信的5G新(xīn)型網絡的目标。