网络安全技术论文 5G安全技术研究综述 / 论文推荐

*基金项目:国家科技重大项目(2018 ZX 03002002)；国家自然科学基金(61521003，61471396，61501516，61601514，61701538，61871404)

1导言

5G作为新一代移动通信技术，将不仅用于人与人之间的通信，还将用于人与物之间的通信，从而实现真正的“万物互联”。国际标准化组织3GPP定义了70多种5G需求，可分为三种场景，即eMBB、增强型移动宽带(增强型移动宽带)、mmtc(海量机式通信)、uRLLC(超可靠低延迟通信)。超可靠低延迟通信)，有待开发的关键技术包括大规模天线阵、多载波技术、全双工复用、超密集网络、软件定义网络、网络功能虚拟化等。

5G新业务、新架构、新技术、新应用场景的不断发展，给5G安全技术的研究带来了新的挑战，同时5G新技术的发展为解决传统安全问题提供了新的机遇。业内也期待采用与以往不同的发展思路，加大对基于架构和内生安全技术的研究，努力克服“两层皮”和“基于补丁的安全”在通信和安全方面的弊端，实现“构建具有自身安全基因的5G”的愿景。

本文首先梳理了5G的安全需求，包括业务应用、网络架构、in 空接口和用户隐私。在此基础上，分析了现有移动通信安全架构面临的挑战，提出应从网络架构和电磁传播机制中挖掘内生安全元素，引入新的安全增量，基于模拟防御思想构建5G内生安全网络。然后，根据5G网络和空端口技术创新带来的安全资源和技术特点，介绍了5G安全主要增量支撑技术的研究现状和发展趋势，包括物理层安全、轻量级加密、5G网络片安全、用户隐私保护以及区块链技术在5G中的应用。

2对5 G安全的总体要求

2.1新业务应用带来的安全需求

5G需要为eMBB、mMTC和uRLLC提供不同安全要求的保护机制[4]。EMBB专注于对带宽和用户体验要求极高的业务，不同业务的安全防护强度要求不同；MMTC专注于高连接密度的场景。终端具有能耗有限、网络拓扑动态变化和以数据为中心的特点，因此需要轻量级的安全算法和简单高效的安全协议；URLLC专注于低延迟、高安全性的通信服务，需要在不增加额外通信延迟的情况下，保证高水平的安全措施，包括身份认证、数据加密解密、安全上下文传输等。5G新业务和场景的应用需求，加上有限计算资源、体积和功耗的限制，给5G安全带来了更大的挑战。探索5G的内生安全机制是一种新的安全理念。

2.2新网络架构带来的安全要求

5G的新网络架构(network archITecture)引入了软件定义网络(sdn)和网络功能虚拟化(nfv)技术，将设备的控制平面和数据平面解耦[5-6]，为建立基于多厂商通用it硬件平台的新型设备信任关系创造了有利条件。然而，它也给安全带来了许多挑战。首先，传统封闭管理模式下的安全边界和安全模式正在发生深刻变化。服务的开放性、用户自定义和资源的可视化应用，给云平台的安全性和可信度带来了前所未有的挑战；其次，计算、存储和网络资源的共享会引入虚拟机安全、虚拟化软件安全、数据安全等问题；最后，集中部署和常见硬件会导致病毒在集中部署区域快速传播，硬件漏洞更容易被攻击者发现和利用。因此，传统的基于先验知识的保护模式已经不能适应5G的发展，迫切需要利用5G网络架构的优势，探索5G网络的内生安全属性，开展5G内生安全关键技术的研究，实现基于不可信网络组件构建高度可靠安全的5G网络的目标。

2.3新空港口技术引起的安全要求

目前2G、3G、4G移动通信系统的RAN、Radio Access Network)空[/K0/]中接口的安全性仍然基于用户身份索引的对称密钥安全体系，实现了基于计算复杂度的安全方案，缺乏结合无线传输特点的有效解决方案。5G的发展愿景对网络带宽、用户密度、网络延迟、可靠传输等提出了更高的要求，这使得在不影响网络功能和性能的情况下提供更高水平的安全性更具挑战性。此外，鉴于以无线信号为载体对信息内容进行篡改、伪造、中间人转发和重放等形式的无线访问攻击，传统的认证和数据完整性保护方案如AKA和EPS AKA本质上是利用基于身份索引的密钥，用用户身份信息来标记信令和数据[7-8]。根密钥一旦泄露认证参数就会失效，后续的保护密钥可以通过窃听AKA认证过程推导出来，威胁网络安全。另一方面，随着移动通信速率的不断提高，由于速度和计算复杂度之间的矛盾，移动通信系统中服务数据的完整性保护没有合适的解决方案。因此，对于5G中的典型场景，有必要研究快速发现和抵御未知位置用户主动攻击的手段，以满足5G各种场景和级别的安全需求。

2.4更高的用户隐私和安全要求

5G对用户隐私保护提出了新的挑战[1]。作为一个复杂的生态系统，5G网络有多种类型的参与者，如基础设施提供商、移动通信网络运营商、虚拟运营商等。在这个具有多种接入技术、多层网络、多种设备和多种参与者的复杂网络中，用户数据的存储、传输和处理可能会导致用户隐私数据在网络的每个角落传播。此外，5G网络引入大量虚拟化技术，不仅带来了灵活性，也使得网络安全边界更加模糊。当多租户共享计算资源时，用户的私有数据更容易受到攻击和泄露。此外，5G网络涉及的隐私内容更多，敏感度更高。除了所有的用户隐私数据(合同信息、位置、去向、通信内容、通信行为、通信关系、账号等。)介入传统网络，也增加了个人隐私数据(健康信息、服务类型、服务内容等)。)应用于不同行业，以及行业用户的私有数据(如机械控制、生产控制等。)

3 5G整体安全架构

综上所述，5G新的应用场景、新的网络架构、新的空端口技术以及用户隐私和安全性带来的安全需求与现有4G网络有很大不同。特别是物联网应用场景带来的大连接认证、高可用性、低延迟、低能耗条件下的安全需求，以及5G引入的SDN/NFV、移动边缘计算等新技术带来的变化和安全风险，对5G安全架构的设计提出了新的挑战。

3GPP工作组SA3负责5G网络安全架构的设计，工作组指出了5G安全架构设计需要注意的地方，如图1所示。

基于这一设计原则，ETSI[9]、5GPP[10]、中国未来移动通信论坛[11]、IMT-2020(5G)推广组[12]等机构，以及爱立信[13]、诺基亚[14]、大唐电信科技产业集团[15]、华为、

总的来说，在5G安全整体架构的能力部署层面，各种创新思路并没有融合，内生安全已经成为一个引人注目的发展趋势。从5G安全能力部署的角度来看，当前的发展趋势是基于5G安全架构和5G网络云、池、虚拟化的特点，探索内生安全的机制、机制和部署框架，这也是目前业界对5G安全研究的热点和重点。结合5G的安全需求和系统的内生安全机制，从空中的接口和地面网络探索5G网络的内生安全要素，引入新的防御机制，提出5G内生安全部署架构，如图2所示。在该架构中，有必要研究物理层安全、轻量级加密、5G网络片安全、模拟防御、用户隐私保护和区块链技术等关键技术及其在5G中的应用，形成具有抵御已知安全风险和未知安全威胁能力的高性能、高可靠性集成技术解决方案。

4个5G安全关键技术

5G的整体安全架构由关键的安全技术支持。5G新的业务应用、新的网络框架、新的空端口技术和更高的用户隐私安全要求也推动了安全关键技术的演进和发展。本文将介绍空端口的物理层安全技术、轻量级加密技术、网络片安全技术、用户隐私保护技术和区块链技术，它们与5G新业务应用、新网络架构和新空端口技术紧密结合。

4.1 空物理层安全

物理层安全[18-20] (PLS)利用无线信道的多样性和时变性以及合法通信双方信道的唯一性和互易性，从无线信号传播的特点出发，探索物理层无线通信的内生安全机制。5G新空端口技术的演进，为从根本上解决无线传输开放性带来的信号泄漏风险创造了有利条件。5G的空端口技术，如大规模天线、高频段、大带宽等，使得无线资源中包含的内源性安全元素更加丰富，提取更加方便，便于实现物理层安全[21]，为物理层安全开辟了新思路。此外，这些安全机制自然寄生在通信流和信号处理技术中，可以与5G new 空端口技术进行演进和融合。

物理层安全传输技术、物理层认证技术和物理层密钥生成技术是物理层安全的三个重要研究方向[22]。如何利用5G new 空 port技术带来的内源性安全元素设计来提高这三种技术的安全能力，将是物理层安全发展的主要趋势。物理层安全传输技术，利用5G new 空端口技术提供的无线信道特性的显著差异，设计了与位置强烈相关的信号传输和处理机制，生成私有传输管道，达到无线通信“物理隔离”的效果[23]。物理层认证技术研究信号级认证参数的生成方法，将认证参数与信号传输路径和信道特性绑定，将传统的身份和信息认证转化为信道认证，并设计了信道认证机制。物理层密钥生成技术利用双方的私有信道特性提取无线信道的指纹，提供无需分发即可实时生成的快速密钥更新方法，实现“一次一密”的加密效果[24-27]。这三者相互关联，结合在一起，形成一个统一的物理层安全整体。

4.2轻量级加密

物联网作为5G网络的典型应用场景，其安全问题不容忽视，且有其特殊性。物联网节点通常具有有限的硬件和信号处理能力、有限的内存、紧凑的尺寸和严格的功耗限制。因此，需要在通信终端和节点之间设计轻量级的安全通信机制。

轻量级安全机制是根据上述物联网节点的特点设计的。一方面可以从存储、硬件资源、计算复杂度等方面对现有的加密算法结构进行优化，或者从分组、序列、哈希等角度设计新的轻量级加密算法。并且可以在不降低安全性能的情况下减少资源开销和功耗。另一方面，可以从挖掘无线信道的内生安全属性入手，引入第三方无法度量、重构和复制的安全元素。在不牺牲通信能耗和效率的情况下，特别是对于大连接、小数据、低延迟的特点，通过安全和通信的一体化设计理念，可以实现轻量级的安全。

4.3网络片安全性

网络切片是5G阶段网络功能虚拟化应用的关键特征[28]。利用NFV技术，可以将5G网络的物理基础设施资源根据场景需求虚拟化为多个独立并行的虚拟网络片，每个片可以根据业务场景需求和流量模型定制网络功能，安排和管理相应的网络资源。

NGMN联盟[29]分析了5G采用网络切片技术后可能面临的安全威胁和安全缺陷，并列出了切片安全需要注意的10个问题，包括:1)片间通信控制；2)在片实例化期间对片管理器或运营商网络中的物理基础设施的伪造攻击；3)对运营商网络中切片实例的伪造攻击；4)对运营商网络中不同分片管理器的仿冒攻击；5)不同片之间不同安全协议或策略的共存；6)拒绝服务攻击；7)其他切片的安全资源耗尽；8)跨片侧通道攻击；9)混合部署模式；10)UE连接到多个片时片间隔离。关于网络片的安全性，3GPP[30]将部署研究分为两个阶段:第一阶段涉及片的安全隔离、终端的安全接入、敏感网元设备的安全等关键问题；第二阶段涉及切片的独立安全策略和切片管理的安全性等关键问题。特别是为了满足网络片隔离的安全需求，提出了一种基于密钥的技术方案。同一终端可以共享控制平面密钥，但不同的数据平面密钥将用于不同的片。

4.4用户隐私保护

从5G网络隐私的内容分析，5G隐私保护的范围至少应包括三个方面:1)传统意义上的移动通信网络用户隐私数据保护，如用户订阅数据、位置、去向、通信内容、通信行为、通信关系、账号等。；2)不同行业用户应用的隐私数据保护，如用户的医疗健康信息、车联网服务中的敏感信息；3)敏感行业的关键数据保护，如机械控制和生产控制的指令数据，通常比较敏感。此外，从隐私数据威胁的角度，有必要从两个方面对5G隐私保护机制和关键技术进行研究:一是隐私数据的提供、交互和使用中的防泄漏问题；另一种是对私人数据在存储、传输和使用中的防篡改、防破坏和防盗。

在5G网络中，不同的用户、网元、应用和业务场景对隐私保护的需求不同，因此需要网络提供差异化的隐私保护能力，采用不同的技术措施来解决5G网络中的用户数据防泄漏问题。首先，要明确5G网络涉及的个人隐私的内涵和范围，明确处理和存储隐私信息的网络实体和相关操作；然后利用数据最小化、访问控制、匿名、加密保护、用户许可等技术手段和管理措施[31]，从空端口、网络、信令交互、应用层等各个层面对用户的个人信息请求、存储、传输等操作进行隐私保护。

4.5区块链技术

5G海量实体组成的网络空中，实体数量庞大，类型多样，网络环境复杂，虚拟和物理状态同时存在。如何在复杂动态的环境中保护各种网元之间交互信息的完整性，以及交互行为的不可否认性，是5G网络面临的一大挑战。作为一个分布式数据库，区块链记录了从创建块到当前块的所有事务，具有分散性、不变性、匿名性和可审计性的特点，可以为上述挑战提供解决方案。

在物联网中，区块链技术也有着广阔的应用前景。2015年，IBM和三星合作开展了一个名为ADEPT(自主分散对等遥测)的项目，旨在将区块链作为底层技术引入物联网应用[32]。2016年，新创企业IOTA也开发了Tangle技术，改善了传统区块链技术应用于物联网的诸多限制。2017年，阿里巴巴集团、中兴通讯、中国联通、工信部宣布将共同打造一个专门适用于物联网的区块链框架，并与国际电信联盟取得联系，希望通过区块链技术改善物联网连接成本高、集中度过高、扩容困难、网络安全漏洞等问题。2017年9月，腾讯宣布与无锡高新区共同成立TUSI物联网实验室，与英特尔共同开发区块链技术，与天妃程心、威奇、天地融等智能硬件设备厂商共同研究物联网安全[33]。

5结束语

未来，5G安全将在更多样化的应用场景、多种接入方式、差异化的网络服务方式和新的网络架构的基础上，提供全面的安全保障。它提供高性能、高可靠性、高可用性的服务，具有固有的高级安全防御能力，可以抵御已知的安全风险和未知的安全威胁。目前5G标准化已经全面启动，3GPP SA2计划在2018年完成5G技术标准第一版R15的制定。因此，通过尽快明确5G网络的安全需求，提前开展5G安全关键技术研究，从网络架构和电磁传播机制中挖掘内源性安全元素，引入新的防御机制，在5G网络的整体架构、业务流程和算法设计中综合考虑5G安全需求，可以实现构建更加安全可信的5G内源性安全网络的目标。

原文发表在2019年第一期《移动通信》上

doi:10.3969/j . ISSN . 1006-1010 . 2019 . 01 . 006

中间图分类号:TN929.5

文件识别码:a

货号:1006-1010(2019)01-0034-06

引用格式:季新生，黄开智，金良，等. 5G安全技术研究综述[J]。移动通信，2019，43(1): 34-39。

作者简介

季新生:教授，博士生导师，目前在清华大学和国家数字交换系统工程技术研究中心工作，研究方向为移动通信网络及其安全和新网络架构。

黄开智:教授，博士生导师，目前在国家数字交换系统工程技术研究中心工作，研究方向为移动通信及其安全和物理层安全。

金良:教授，博士生导师，目前在国家数字交换系统工程技术研究中心工作，研究方向为无线通信网络和物理层安全。

有你想看的精彩的东西

关于；在…各处 ；大约

我们

《移动通信》杂志由中国电子科技集团公司牵头，中国电子科技集团公司第七研究所主办，是中国科技核心期刊、中国期刊方阵“双效期刊”、工信部优秀电子期刊、广东省优秀期刊、中国科技论文统计源期刊。国内统一序号:CN44-1301/TN，国际连续出版物序号:ISSN1006-1010，邮政编码:46-181。