1　引言

　　5G作为新一代移动通信技术，与传统网络相比，具有更高速率、更低功耗、更短时延和更大连接等特性。此外，5G在大幅提升移动互联网业务能力的基础上，进一步拓展到物联网领域，服务对象从人与人通信拓展到人与物、物与物通信，开启万物互联的新时代。5G主要面向的三大业务场景包括增强移动宽带（eMBB）、海量机器类通信（mMTC）和超可靠低时延通信（uRLLC）。

　　5G网络的发展趋势，尤其是5G新业务、新架构、新技术，对安全和用户隐私保护都提出了新的挑战。本文将基于5G网络架构逐层分析5G网络存在的安全风险进行梳理分析，并从加强5G网络安全建设、建立安全风险分级分类保障机制、完善5G安全标准体系三个方面入手提出对策与建议。

　　2　风险分析

　　2.1　总体架构

　　总体来说，5G网络技术变革带来的新的风险主要体现在终端多样化、网络功能虚拟化、网络切片化、业务边缘化、网络开放化以及应用多样化。与4G网络相比，5G网络暴露给攻击者的信息量大幅增加，面临着更高的安全风险。如图1所示，基于5G网络架构，逐层对5G网络可能存在的安全风险进行分析。

　　图1　5G网络安全总体架构图

　　2.2　接入层

　　2.2.1　终端设备安全

　　总体来说，终端面临的安全风险与网络通信和终端自身相关。一方面，对于网络通信，在无线环境中，终端面临着身份被盗用、数据被窃取与篡改的安全威胁；另一方面，对于终端的硬件，5G网络支持的终端多样化，终端面临的安全问题主要源于终端芯片设计上存在的漏洞或硬件体系安全防护的不足，导致敏感数据面临被泄露、篡改等安全风险；在终端软件方面，还存在网络攻击者通过终端的软件系统发起攻击的安全风险。终端面临与网络通信相关的安全风险点具体如下。

　　（1）终端的真实性与数据的机密性

　　终端设备的真实性，尤其是物联网设备的真实性是防御安全攻击的关键。5G网络的非接入层对设备的识别与认证不再基于SIM卡，尤其是采用灵活认证方式的物联网设备，例如eSIM应用，给终端设备的认证带来挑战，终端的真实性受到影响。

　　在防御分布式拒绝服务攻击（DDoS）的场景下，来自互联网服务器的DDoS攻击通常在已通过身份验证的设备上生成。这类攻击可以对源IP地址进行伪造，使得这种攻击在发生的时候具有较高的隐蔽性。因此，为抵御DDoS攻击，必须在系统的不同位置采取措施识别并弱化攻击强度。

　　此外，真实性较低的终端设备还会受到普通文件传输协议（TFTP）中间人攻击，导致第三方设备对会话中的通信进行窃听，对数据的机密性构成威胁。

　　（2）网络接入层设备功能的可用性

　　部分接入层的终端设备，尤其是M2M设备具有显著的低功耗和不同的数据传输模式。此外，接入层设备计算资源有限，性能较低，很难提高网络功能的可用性。

　　　　2.2.2　基站空口安全

　　基站空口存在的安全风险主要包括两大类。

（1）由无线环境中的外部不可控因素引发的安全风险：无线环境中的伪基站会干扰无线信号，导致5G终端降级接入，连接至不安全的2G/3G/4G网络中。无线环境中广泛分布的安全性较低的物联网设备若遭受攻击，可能会对基站或核心网发起DDoS攻击，这会降低网络设备功能的可用性。

　　（2）空口协议存在的安全风险：3GPP协议自身存在的漏洞可能面临身份假冒、服务抵赖、重放攻击 等风险，这会对终端真实性造成影响；终端制造商为提升服务质量、降低时延，选择关闭对用户数据的加密或完整性保护选项，导致用户数据被恶意篡改，这会给数据的机密性与完整性带来影响。

　　2.3　网络层

　　2.3.1　网络切片

　　按照业务逻辑需求，5G网络能够分成不同的网络切片，其中至少分为增强移动宽带、高可靠低时延、大连接三大类。通过网络切片管理为每一个业务组织形成一个虚拟化的专用网络。

　　目前，网络切片在5G生产系统中尚未广泛应用，其脆弱性需有待全面评估，潜在的安全风险点集中体现在：切片中共享的通用网络接口、管理接口、切片之间的接口、切片的选择与管理。这些接口存在被非法调用的风险，一旦非法的攻击者通过这些接口访问业务功能服务器，滥用网络设备，非法获取包括用户标识在内的隐私数据，给用户标识安全性、数据机密性与完整性、网络功能可用性带来影响。

　　（1）用户标识安全性

　　若直接使用真实的用户标识进行用户与用户或者用户与应用平台之间的通信，一旦系统的网络切片或切片之间的接口被非法程序访问，用户的标识容易遭到泄露。用户真实身份以及其他关联的隐私信息存在泄露的隐患。用户标识被识别后其通信活动与内容受到攻击者的非法窃听或拦截。

　　（2）数据机密性

　　在安全隔离方面，网络切片技术使得网络边界模糊，若网络切片的管理域与存储敏感信息域没有实现隔离，一旦网络切片遭到攻击，切片中存储的敏感信息将会遭到泄露；在身份认证方面，未经过授权的设备访问网络切片会导致端对应用的非法使用，非法客户端也存在被黑客利用的风险，造成数据的泄露。

　　（3）数据完整性与网络功能可用性

　　在业务与应用的服务质量方面，实现5G的每一个网络切片均有一组特定的QoS参数集，这些参数的配置与网络服务质量、数据的完整性密切相关，应在保障安全的前提下保证用户的服务质量。在5G主要应用场景中，超可靠超低时延通信（uRLLC）与海量机器类通信（mMTC）均对服务质量具有较高的要求。若大幅降低时延提升传输速率，会导致数据丢包率上升，数据的完整性难以保证。

　　在基础设施共享方面，多个网络切片共享通用的硬件设备，一旦硬件设备遭到破坏，将会导致使用该设备的多个切片都会受到功能性破坏，网络功能的可用性受到严重影响。

　　2.3.2　边缘计算

　　边缘计算是将网络业务和计算能力下沉到更接近用户的无线接入网侧，从而降低核心网的负载和开销，并降低了业务时延。边缘计算给5G网络带来的安全风险点如下。

　　（1）用户标识的安全性：网络边缘设备安全防护能力较弱，可能会面临网络攻击，用户终端与边缘设备之间的流量容易受到截断或者监听，攻击者可能在流量中捕获并识别出用户标识。

　　（2）数据机密性与完整性：边缘计算将采用开放的应用程序接口（API）、开放的网络功能虚拟化（NFV）等技术，开放性接口的引入将边缘计算暴露给外部攻击者，攻击者通过非法访问开放接口，窃取或者被非法篡改数据。

　　（3）终端的真实性：由于网络边缘的资源有限，相较于核心网，边缘节点的计算能力较弱，对于终端的身份验证能力下降。

（4）网络功能的可用性：边缘计算基础设施通常部署在无线基站等网络边缘，更容易被暴露在不安全的环境中，设备面临着功能性损坏的风险。

　　2.3.3　软件定义网络

　　5G网络最突出的特征为通过软件定义网络（SDN）实现了控制面与用户面的分离，利用网络操作系统集中管理网络，基于大数据和人工智能为每一个业务流计算出端到端的路由，而且将路由信息嵌入到原节点的IPv6扩展报头，并按照原路径传递到各节点，中间节点只需转发而无需选路，保证低时延转发，从而实现对流量的灵活控制。

　　SDN技术的引入给5G网络的数据机密性与完整性带来安全风险。面对不断变化的网络资源，SDN计算出来的路由可能存在冲突，尤其是在跨地区路由的场景下，需要SDN之间交换业务流和网络资源数据，这就增加了复杂性，容易出现路由计算失误、数据包丢失或者将数据传送至错误的目的地址，导致传输的数据的完整性受到影响。此外，虚拟化基础设备的API也会对数据的机密性与完整性产生影响：一是数据窃取，用户的密码等信息被窃取，登录账号发布敏感信息；二是数据篡改，提交的数据被抓包后进行篡改后再提交；三是数据泄露，爬虫将业务数据甚至核心数据抓取，直接或间接造成损失。

　　SDN技术给5G网络的功能可用性带来的风险可从软件与硬件两个方面分析：一是在软件方面，与传统移动网络相比，5G网络对软件的依赖性增大，给网络运营带来了新的威胁，因此必须确保这些软件不会暴露或者被恶意篡改；二是在硬件方面，SDN控制器等相关硬件设备同样存在功能性破坏或者盗用的安全风险。此外，在硬件设备发生故障后，系统恢复应通过自动化的方式恢复NFV、SDN、MANO系统之间的互操作性功能。

　　2.3.4　网络功能虚拟化

　　与传统移动网络相比，虚拟化技术（NFV）基于通用的硬件，自定义软件。这种技术给5G网络带来许多优点的同时也存在诸多安全风险。

　　（1）在软件方面，若虚拟化系统存在漏洞，若遭到基于软件的网络攻击，系统功能性会遭到破坏；若存储了敏感或重要信息的功能模块与受到损坏的功能之间没有实现安全隔离，还会导致数据的机密性受到影响。

　　（2）在硬件方面，通用硬件设备存在安全弱点：一是通用硬件设备的安全，部署在机房中的设备受到环境的影响，设备可能会受到物理性的损坏；二是在故障恢复方面，设备故障发生后，要做到快速恢复；三是通用的基础设施存在设备被非法使用的风险。

　　虚拟化技术在软件和硬件方面给5G网络的网络功能可用性、数据的机密性带来较高的安全风险。此外。由于5G网络采用多层级的上下文认证方式，并配置多属性的QoS用于上下文感知，包括多种用户上下文（如应用程序和使用模式）和设备上下文（如位置和速度）。这些认证方式如果存在漏洞，容易被攻击者破解，给终端设备和用户的认证带来影响，使得终端的真实性降低。

　　2.3.5　应用运营支撑系统

　　5G应用的运营支撑系统，不仅包括类似于传统网络的故障管理、配置管理、告警管理、性能管理，还包括虚拟化的网络功能的管理,根据用户的需求，对网络功能进行配置、调整。

　　运营支撑系统通常情况下会分级管理，较低一级的系统通常部署的比较分散，数据存储分散，安全管理与防御能力较弱，其功能可能被非法使用还会造成业务数据的泄露或者丢失，数据的机密性和完整性面临着挑战。

　　再者，如果运营支撑系统存在安全漏洞，遭到黑客攻击，会导致网络功能遭到破坏，网络功能的可用性受到影响。

　　2.4　应用层

　　5G网络面向多种垂直行业应用，如智慧城市、智慧医疗、智能家居、智能农业、金融、车联网等，这些应用通过多种方式进行配置以实现跨网络的运行具有潜在的安全风险。其中，金融服务、智慧医疗服务、车联网具有较高风险。

　　5G多样化的垂直应用如图2所示。其中，个别重点行业领域具有特殊的安全要求。例如，面向行业（to B）和面向用户（to C）的应用。to B应用包括机器人技术和自动化、自动车联网和远程医疗设备上的应急通信应用系统；to C应用包括增强现实（AR）、虚拟现实（VR）等新技术。相较于传统网络，这些5G应用对网络的安全提出了更高、更复杂的要求。

　5G 垂直行业应用场景

　　总体上，在5G应用层，用户标识安全性、数据的完整性与机密性存在一定的安全风险。各类垂直行业应用的业务相关系统中的服务器会生成、处理、存储大量用户敏感信息，业务系统如果存在安全问题，遭到黑客攻击，容易造成用户数据泄露。金融服务应用相关系统存储包括个人身份信息、银行账户在内的相关金融信息，如果遭到泄露容易给用户造成较大的经济损失；智慧医疗除了涉及用户隐私信息之外，还与个人健康甚至是生命息息相关，若智能医疗系统存在漏洞遭到黑客攻击控制，严重的情况会导致医疗事故，给个人的生命造成巨大损失；车联网涉及用户的行动轨迹，若车联网相关用户信息遭到泄露，用户隐私受到威胁。此外，车联网管理与控制系统如果遭到黑客非法操纵，易引发交通事故，造成较大的社会影响，甚至影响到国家的安全稳定发展。

　　2.5　数据传输

　　在数据传输方面存在的安全风险进行分析，5G网络从接入层到应用层，数据传输的整个过程面临着被拦截、窃听、篡改等风险，数据的机密性与完整性会受到影响。

　　（1）在接入侧，可能会出现针对以无线信号为载体对信息内容篡改、假冒、中间人转发和重放等形式的无线接入攻击，数据的机密性与完整性受到严重影响。

　　（2）在网络层，核心网络设备之间的传输线路同样存在遭到破坏或者非法安装窃听设备导致数据被窃取的风险。

　　（3）在应用层，不同的应用服务提供商除了在企业内部机房自建服务器，还会租用第三方CDN机房的服务器和链路，数据在传输的过程中同样面临着被拦截、窃取的风险。

　　2.6　安全风险总结

　　综上所述，5G网络在接入层、网络层以及应用层面临的安全风险点集中体现在4个方面。

　　（1）用户标识的安全性，应做好用户标识符的隐私保护。在移动网络中，可采用标识匿名的方式防止攻击者识别出个人用户，以防攻击者通过核心网和无线接入网渗透进行的流量监测和流量分析。

　　（2）数据的机密性与完整性，需对网络传输、业务服务器处理、数据库存储的涉及用户隐私的数据进行加密，防止敏感信息遭到泄露。

　　（3）终端的真实性，为防止攻击者冒充合法用户获取免费的服务，移动网络对每一个接入网络的终端进行身份验证，确保终端用户身份真实可靠。

　　（4）网络功能的可用性，在提升安全能力的同时需要考虑网络功能与设备的性能的要求，确保网络功能与设备性能不会大幅下降,需要在网络功能、设备性能与安全需求间保持平衡。

　　3　对策与建议

　　3.1　总体建议

　　基于5G网络面临的四大风险点出发，给出如下建议。一是从用户标识的安全性、数据的机密性与完整性、终端的真实性以及网络功能的可用性4个方面入手加强网络安全建设，基于5G网络架构，结合5G网络新特性，逐层完善安全防护手段。

　　二是建立安全风险分级分类保障机制。将安全风险相关方进行分类，划分优先级，分级分类提出解决方案，优先解决损失最大的风险所有者。

　　三是完善5G安全标准体系。不同垂直行业企业通过标准化组织制定统一的标准，对安全解决方案进行规范化，提升安全防护能力。

　　3.2　加强5G网络安全建设

　　从近期来看，应加大5G 安全相关建设的投入，从用户标识安全性、数据的机密性与完整性、终端真实性以及网络功能的可用性4个方面入手，在终端设备、网络虚拟化、网络切片、边缘计算等方面采用一定的安全技术保证5G网络安全，采取相应措施应对安全风险，构建安全稳定的5G网络架构，提高5G网络整体安全性。具体安全保障措施建议如下。

　　3.2.1　用户标识的安全性

　　在接入层加强终端标识的认证，在网络层对用户标识进行加密存储与传输，在应用层对用户标识进行转化，将转化后的标识用于端到端以及端与平台之间的通信。

　　3.2.2　数据的机密性与完整性

　　为进一步加强数据的机密性，一是加强接口的安全认证，包括接入层空口、网络层核心虚拟化系统之间的接口、网络层与应用层之间对外开放API接口等，防止数据通过接口被非法应用获取造成数据泄露或被篡改；二是做好数据的加密存储与传输，采取多种不同的加密方式降低数据被破解的风险。例如，对称加密算法（DES、AES）与非对称加密算法（RSA）相结合的方式，使用MD5混淆算法或HASH算法配合加盐算法加密，使用TOKEN令牌等方式进行加密。针对数据的传输，移动网络尤其需加强用户终端与基站之间的空口传输的数据进行加密，防止攻击者针对终端发送和接收到的信令与数据进行拦截窃听。

　　为进一步加强数据的完整性保护，一是在数据传输方面，针对传输的信令与用户面数据均配置合适的安全策略，做好不同算法的优先级设置，重点提升空口传输的信令与数据的安全。针对低时延业务，为有效兼顾可靠性与安全性，可采用多路径的冗余传输安全方案，在保障数据安全的前提下提升数据传输的效率；二是在数据存储方面，采用多地多中心分布式存储方式，做好数据备份。此外，在故障处理方面，应做好故障后的系统恢复，特别是虚拟化系统以及接口的恢复，保证数据不丢失。

　　3.2.3　终端的真实性

　　构建按统一的标准的身份管理系统，采用多种灵活的认证方式与身份标识，加强终端认证能力，保证接入网络的所有设备的合法性，提升终端的真实性。

　　3.2.4　网络功能的可用性

　　在接入层中有限的计算资源下控制设备能效与安全之间的平衡，在保证安全的前提下提升设备的性能与功能可用性。

　　在网络层采用多终端提高网络功能的可用性：一是建立完备的病毒库，及时更新，提升防御攻击能力；二是采取必要的措施实现易受攻击设备与存储敏感信息设备之间的安全隔离；三是做好虚拟化系统间接口的安全认证，防止系统被非法调用，其功能受到影响。

　　在应用层制定适用于M2M应用的安全解决方案，为避免留下破坏系统安全的后门，可将安全算法应用于M2M设备实现网络高能效与高安全保障之间的平衡。

　　3.3　建立安全风险分级分类保障机制

　　当5G网络受到安全攻击，其系统的完整性、可用性和机密性遭到损害。在安全领域，这些组织或个人被称为“风险所有者”。建议将安全风险相关方进行分类，划分优先级，分级分类地提出解决方案，优先解决受到损失最大的风险所有者。对于风险所有者分级分类的建议如图3所示，图中金字塔高层的用户比低层的用户具有较高的风险。随着受到安全攻击影响的用户数量增加，风险度也会进一步增加，即发生安全事件时，用户数量越多，所受影响越大。

　　图3　5G风险所有者分级分类

在满足5G安全要求的同时，应考虑5G网络和业务的主要利益相关者的需求。在通常情况下，不同的策略之间存在潜在的冲突。表1可以根据不同策略提供优先级选择指南。不同的应用场景下，不同的利益相关者会将不同的因素作为需求纳入优先考虑范围。

　　表1　5G网络和服务的利益相关者

　　　3.4　完善5G安全标准体系

　　从长期来看，建议加快标准制定，不同的垂直行业企业可以通过标准化组织制定统一的安全标准，为5G新技术新应用提供标准化的解决方案，提升全方位的防护能力。一方面，不同垂直行业领域的企业组织应通过标准化组织机构与工业论坛相互合作，制定统一规范的安全标准；另一方面，5G产业链内部各方应加强协同合作，确保各环节安全，形成综合的5G安全治理体系，具备全方位的安全防护能力。

　　建议5G网络涉及的所有行业的标准协会组织加强协同合作，共同制定规范，采用安全的端到端（E2E）跨层方法，提升5G网络不同部分（包括移动核心网、传输、接入、服务与应用）之间的安全互操作性。同时，应确保单个标准协会组织提供的安全解决方案在有限的范围内不具备较高的特殊性，从而在所有5G网络系统之间留下安全间隙，实现网络互联。