飛象網(wǎng)訊 9月3日消息，隨著5G商用腳步來臨，背后更大的一張網(wǎng)需要值得注意，那就是：安全。

在上周舉行的“第四屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會（CSS2018）”上，中國工程院院士、中國互聯(lián)網(wǎng)協(xié)會理事長鄔賀銓在談及安全話題時提到：5G在終端接入身份認(rèn)證、5G終端安全、網(wǎng)絡(luò)切片以及物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等各方面的安全問題都跟之前的3G/4G需求不同，因而面對的挑戰(zhàn)也將更加復(fù)雜。因此，在5G到來之前就要未雨綢繆提前把5G的安全問題布局好。

一，接入和認(rèn)證

在接入的身份認(rèn)證方面，當(dāng)移動用戶首次附著網(wǎng)絡(luò)時，3G/4G終端的長期身份標(biāo)識（IMSI）會直接以明文的形式在信道中傳輸，用戶身份被公開。但是5G在USIM卡增加運營商設(shè)定的公鑰，以該公鑰直接將用戶的SUPI（即IMSI）加密為SUCI，網(wǎng)絡(luò)用私鑰來解密，從而保護用戶身份不被竊聽攻擊。

據(jù)悉，3GPP在TR33.899中給出了推薦的SUCI加密方案。移動管理實體在獲取IMSI后，會向USIM分配臨時身份信息GUTI/TMSI，用于后續(xù)通信。

在認(rèn)證協(xié)議方面，5G面對的設(shè)備種類不再單一，也難以為不同的設(shè)備頒發(fā)一直的身份憑證，垂直行業(yè)會有一些專用的認(rèn)證機制。因此，5G還需要實現(xiàn)從以USIM卡未出的單一身份管理方式到靈活多樣的身份管理方式的過渡，以及對所涉及的身份憑證的產(chǎn)生、發(fā)放、撤銷等整個生命周期內(nèi)的管理。

那么，5G就會使用EAP-AKA以實現(xiàn)統(tǒng)一框架下的雙向認(rèn)證，支持非3GPP的接入，使用5G-AKA增強歸屬網(wǎng)絡(luò)控制。除了原有認(rèn)證之外，還可以借助第三方的二次認(rèn)證提供認(rèn)證服務(wù)。

同時，對海量IOT連接需要使用群組認(rèn)證，對車聯(lián)網(wǎng)要有V2V快速認(rèn)證。密鑰分發(fā)流程下發(fā)到網(wǎng)絡(luò)邊緣的各個認(rèn)證節(jié)點，有效防止了對網(wǎng)絡(luò)中間部署的集中的認(rèn)證中心的信令沖擊。

另外，由于5G接入網(wǎng)絡(luò)包括LTE接入網(wǎng)絡(luò)，攻擊者有可能誘導(dǎo)用戶至LTE接入方式，從而導(dǎo)致針對隱私性泄露的降維攻擊，5G隱私保護也需要考慮此類安全威脅。

二，5G終端的安全要求

據(jù)鄔賀銓介紹：5G終端安全通用要求包括用戶于信令數(shù)據(jù)的機密性保護、簽約憑證的安全存儲與處理、用戶隱私保護等等。

而5G終端特殊安全要求包括：對uRLLC的終端需要支持高安全、高可靠的安全機制；對于mMTC終端，需要支持輕量級的安全算法和協(xié)議；對于一些特殊行業(yè)，需要專用的安全芯片，定制操作系統(tǒng)和特定的應(yīng)用商店。

同時，免備案空間 香港服務(wù)器，在基于網(wǎng)絡(luò)和UE輔助方面，UE終端設(shè)備負責(zé)收集信息，將相鄰基站的CI、信號強度等信息通過測量報告上報給網(wǎng)絡(luò)，網(wǎng)絡(luò)結(jié)合網(wǎng)絡(luò)拓撲、配置信息等相關(guān)數(shù)據(jù)，對所有數(shù)據(jù)進行綜合分析，確認(rèn)在某個區(qū)域中是否存在偽基站，同時，通過GPS和三角測量等定位技術(shù)，鎖定偽基站位置，從而徹底打擊偽基站。

三，網(wǎng)絡(luò)切片和編排

不同切片的隔離是切片網(wǎng)絡(luò)的基本要求，每個切片需預(yù)配一個切片ID，終端（UE）在附著網(wǎng)絡(luò)時需要提供切片ID，歸屬服務(wù)器（HSS）根據(jù)終端請求。需要從切片安全服務(wù)器（SSS）中采取與該切片ID對應(yīng)的安全措施和算法，并為UE創(chuàng)建與切片ID綁定的認(rèn)證矢量。

因此，在支持網(wǎng)絡(luò)切片的運營支撐系統(tǒng)房間，歐洲服務(wù)器租用 云服務(wù)器，需要進行安全態(tài)勢管理與監(jiān)測預(yù)警。利用各類安全探針，采用標(biāo)準(zhǔn)化的安全設(shè)備統(tǒng)一管控接口對安全事件進行上報，以深度學(xué)習(xí)手段嗅探和檢測攻擊。

同時，根據(jù)安全威脅能智能化聲稱相關(guān)的安全策略調(diào)整，并將這些策略調(diào)整下發(fā)到各個安全設(shè)備中，從而構(gòu)建起一個安全的防護體系。

另外，在編排器方面，編排決定了網(wǎng)絡(luò)/特定服務(wù)的拓撲結(jié)構(gòu)，還將決定在何處部署安全機制和安全策略；管理和編排過程的最基本的安全需求是保證各服務(wù)之間共享資源的關(guān)聯(lián)性和一致性；5G系統(tǒng)需要再編排過程中提供足夠的安全保證。

四，網(wǎng)絡(luò)的開放性

由于5G將提供移動性、會話、QoS和計費等功能的接口，方便第三方應(yīng)用獨立完成網(wǎng)絡(luò)基本功能。還將開放ANO（管理和編排），讓第三方服務(wù)提供者可獨立實現(xiàn)網(wǎng)絡(luò)部署、更新和擴容。

但是，相比現(xiàn)有的相對封閉的移動通信系統(tǒng)來說，5G網(wǎng)絡(luò)如果在開放授權(quán)過程中出現(xiàn)信任問題，則惡意第三方將通過獲得的網(wǎng)絡(luò)操控能力對網(wǎng)絡(luò)發(fā)起攻擊，APT攻擊、DDOS、Worm惡意軟件攻擊等規(guī)模更大且更頻繁。

因此，隨著用戶（設(shè)備）種類增多、網(wǎng)絡(luò)虛擬化技術(shù)的引入，用戶、移動網(wǎng)絡(luò)運營商及基礎(chǔ)設(shè)施提供商之間的信任問題也比以前的網(wǎng)絡(luò)更加復(fù)雜。

同時，在網(wǎng)絡(luò)對外服務(wù)接口方面也需要認(rèn)證授權(quán)，對沖突策略進行檢測，相關(guān)權(quán)限控制和安全審計。

五，信令及SBA