5G萬物互聯(lián)的時代即將到來需要重構(gòu)5G安全架構(gòu)

5G網(wǎng)絡(luò)“高速率、低時延、海量連接”的特點，為個人移動通信帶來優(yōu)質(zhì)體驗的同時，還為各領(lǐng)域提供了重要的基礎(chǔ)通信服務(wù)，為傳統(tǒng)行業(yè)的發(fā)展注入了新的動力，尤其在無人駕駛、工業(yè)控制、智慧城市等方面將大放異彩。信息網(wǎng)絡(luò)和垂直行業(yè)的深度融合，注定了5G時代信息安全問題將更加復雜多變。

全國政協(xié)委員、中國聯(lián)通研究院院長張云勇

信息安全的前提是核心技術(shù)必須掌握在自己手中。但是，從美國對中興通訊出口管制、將華為公司列入管制實體名單等事件中，反映出我國在信息核心技術(shù)領(lǐng)域還存在很多短板。隨著5G商用全面展開，我國必須加強自主芯片、操作系統(tǒng)、安全架構(gòu)等基礎(chǔ)核心技術(shù)的研發(fā)，依托核心創(chuàng)新能力，統(tǒng)籌推進研發(fā)、標準、產(chǎn)業(yè)的協(xié)同創(chuàng)新,形成支撐產(chǎn)業(yè)升級的自主創(chuàng)新能力,真正實現(xiàn)網(wǎng)絡(luò)強國。一方面需要依托國家頂層設(shè)計和支持力度，整合優(yōu)勢資源，探索合作機制，持續(xù)迭代以適應(yīng)不斷發(fā)展的技術(shù)和使用需求，提升國家自主創(chuàng)新能力。另一方面，核心技術(shù)需要通過國家指導下的重點領(lǐng)域產(chǎn)業(yè)化應(yīng)用，培育產(chǎn)業(yè)鏈和應(yīng)用生態(tài)，使技術(shù)真正成為國之重器。

無處不在的安全需求

5G網(wǎng)絡(luò)可以提供增強移動寬帶（eMBB）、低功耗大連接（eMTC）、低時延高可靠（uRLLC）三大類應(yīng)用場景服務(wù)。5G網(wǎng)絡(luò)的特點是內(nèi)網(wǎng)和外網(wǎng)的邊界變得越來越模糊，網(wǎng)絡(luò)泛化成為一個大趨勢，需要重構(gòu)5G安全架構(gòu)。5G也是萬物互聯(lián)的時代，安全問題也越來越復雜，尤其是金融、醫(yī)療、交通等應(yīng)用場景對5G網(wǎng)絡(luò)安全性要求極高。安全需求無處不在，保障信息安全是發(fā)展5G的基本前提。

需求一：多應(yīng)用場景的安全需求

與前幾代移動通信網(wǎng)絡(luò)相比，5G網(wǎng)絡(luò)在速率、時延、連接數(shù)量等方面都有巨大飛躍，可滲透到國民生產(chǎn)生活的各個領(lǐng)域。5G的三類應(yīng)用場景在速率、連接、時延等方面需求差異很大，因此也產(chǎn)生了差異化的安全需求。
增強移動寬帶業(yè)務(wù)，主要體現(xiàn)為高帶寬需求，此場景下終端與網(wǎng)絡(luò)需要進行大量的數(shù)據(jù)交互，例如VR、AR和高清視頻等。這類業(yè)務(wù)需要對用戶和業(yè)務(wù)的關(guān)鍵信息進行重點加密，并對信息傳輸采用統(tǒng)一加密方式進行安全管理。

低功耗大連接業(yè)務(wù)主要特點是終端設(shè)備多樣化、設(shè)備數(shù)量海量化、接入方式多元化，例如智慧城市、智慧農(nóng)業(yè)、共享經(jīng)濟等。這類業(yè)務(wù)安全需求較低，可采用統(tǒng)一加密方式進行安全管理，重點平衡安全管理與海量接入間的關(guān)系，提升設(shè)備接入使用的高效性。

低時延高可靠業(yè)務(wù)主要體現(xiàn)為業(yè)務(wù)對低時延和高可靠性的雙重要求，如車聯(lián)網(wǎng)的自動駕駛和輔助駕駛等遠程控制業(yè)務(wù)。這類業(yè)務(wù)涉及生命財產(chǎn)，需要在保證高級別的安全保護措施下，不額外增加通信時延，需要重點優(yōu)化業(yè)務(wù)接入過程中身份認證的時延、數(shù)據(jù)安全保護傳輸帶來的時延。

需求二：多接入設(shè)備的安全需求

5G作為革新的通信網(wǎng)絡(luò)，接入設(shè)備是多種多樣的。由于設(shè)備接入形式和應(yīng)用場景不同，安全需求也不同。

在通用業(yè)務(wù)場景中，5G業(yè)務(wù)需具備接入認證、數(shù)據(jù)機密性保護、用戶隱私保護等通用安全特性。

在垂直行業(yè)應(yīng)用中，不同的接入設(shè)備有其特殊的安全需求。例如自動駕駛應(yīng)用領(lǐng)域，車輛的移動性特點需要其隨時接入多種網(wǎng)絡(luò)，業(yè)務(wù)邏輯復雜，安全性要求非常嚴格。此時，5G網(wǎng)絡(luò)“異構(gòu)多層無線接入”特性需提供多種網(wǎng)絡(luò)接入認證機制、密鑰切換機制等，以保證自動駕駛的安全性。

在一些涉及政府、國防、安全、科研、軍隊等重要行業(yè)領(lǐng)域，接入設(shè)備的安全性要求更加嚴苛。例如涉及國家秘密的重要通信領(lǐng)域，除了提供通用的安全認證機制之外，還需從接入終端的安全架構(gòu)、終端芯片、操作系統(tǒng)、密碼算法、認證機制等方面提供端到端的安全可信計算環(huán)境。

需求三：多商業(yè)模式的安全需求

5G網(wǎng)絡(luò)不僅要滿足超高流量密度、超高連接數(shù)密度、超高移動性的需求，還將為垂直行業(yè)提供通信服務(wù)。因此，5G時代，勢必會出現(xiàn)全新的網(wǎng)絡(luò)模式和通信服務(wù)模式，跨界運營將成為業(yè)務(wù)運營的常態(tài)，傳統(tǒng)意義的網(wǎng)絡(luò)設(shè)備和終端的概念將會發(fā)生改變，各類新型終端以及業(yè)務(wù)形式的出現(xiàn)將會帶來不同態(tài)勢的安全需求。

這種情況下，現(xiàn)有移動通信系統(tǒng)“用戶—終端—運營商”式的簡單可信模式不能滿足5G時代各類新興的商業(yè)模式，需要對可信模式進行變革，以應(yīng)對相關(guān)領(lǐng)域的擴展型需求。例如，自動駕駛業(yè)務(wù)需要人、車、路、氣候等多方面的數(shù)據(jù)融合，需要建立安全、智能的運營體系，在提供超凡業(yè)務(wù)體驗的同時，需要構(gòu)建不同的安全服務(wù)流程、數(shù)據(jù)隱私保護機制等，來支撐創(chuàng)新的商業(yè)模式。

主動防御筑牢信息安全屏障

5G時代，垂直行業(yè)與移動網(wǎng)絡(luò)的深度融合，催生了網(wǎng)絡(luò)架構(gòu)的發(fā)展和安全需求的爆發(fā)，帶動了傳統(tǒng)行業(yè)的深刻變革。當前是5G技術(shù)、標準以及產(chǎn)業(yè)運用蓬勃發(fā)展的重要時期，需要緊緊抓住發(fā)展機遇，統(tǒng)籌解決5G網(wǎng)絡(luò)落地商用階段遇到的各方面問題，全方位地推進5G產(chǎn)業(yè)發(fā)展，筑牢信息安全屏障。

場景1：新業(yè)務(wù)場景安全服務(wù)

5G網(wǎng)絡(luò)三大應(yīng)用場景的業(yè)務(wù)在速率、連接、時延等方面需求差異很大，安全服務(wù)需求也各不相同，針對這三類場景，需要分類別差異化地提供網(wǎng)絡(luò)安全服務(wù)。

在增強移動寬帶應(yīng)用場景下，為用戶提供高速上網(wǎng)體驗的同時，網(wǎng)絡(luò)需具備更快的安全反應(yīng)和處理能力，對惡意攻擊進行快速反應(yīng)，及時修補漏洞避免更大的安全風險；同時，由于5G網(wǎng)絡(luò)的開放性特征，為了更好地實現(xiàn)業(yè)務(wù)跨界融合，需要支持外部網(wǎng)絡(luò)的二次認證，提供更安全的服務(wù)。

在高密度大連接業(yè)務(wù)場景下，由于物聯(lián)網(wǎng)設(shè)備具有資源有限、無人值守、數(shù)量巨大等特點，很容易受到克隆攻擊、信令風暴等攻擊，傳統(tǒng)的密碼認證方式不能很好地解決身份認證問題，需要提供群組認證機制，解決海量物聯(lián)網(wǎng)設(shè)備認證所帶來的克隆攻擊等風險，需要提供抗DDOS攻擊機制，應(yīng)對信令風暴攻擊的危險。

在低時延高可靠業(yè)務(wù)場景下，網(wǎng)絡(luò)需要能夠提供低時延和高可靠的交互能力，需要提供低時延的安全算法和協(xié)議、邊緣計算的安全架構(gòu)以及安全上下文的交換機制。

場景2：云端協(xié)同安全機制

5G網(wǎng)絡(luò)安全應(yīng)保護多種應(yīng)用場景下的通信安全以及5G網(wǎng)絡(luò)架構(gòu)安全，其主要安全機制包括網(wǎng)絡(luò)接入方面、認證擴展、信令保護，在安全策略的管理框架之內(nèi)，基于服務(wù)化的思想，建立一種按需的5G安全管理機制，為垂直行業(yè)提供定制性和差異化的安全能力服務(wù)。對安全需求更高的行業(yè)，還可將滿足自己安全需求的能力、功能進行定制化，通過服務(wù)接口編排到網(wǎng)絡(luò)切片當中，形成行業(yè)專有的安全切片，和其他切片資源相互隔離，同時網(wǎng)絡(luò)安全策略采用強定制的方式，以防范非法接入以及跨切片的攻擊等。

當前，云端協(xié)同的安全防御體系要求終端從硬件層、操作系統(tǒng)層、應(yīng)用層等多個層面分別構(gòu)建安全防護措施，同時利用云端網(wǎng)絡(luò)能力提供的安全支持，達到端到端的認證加密、多級隔離、數(shù)據(jù)安全存儲、遠程安全管控、應(yīng)用系統(tǒng)安全保障等防護。

場景3：能力開放主動防御

5G時代，隨著業(yè)務(wù)形式及運營模式的巨大變革，網(wǎng)絡(luò)能力開放已是大勢所趨。通過構(gòu)建統(tǒng)一開放的網(wǎng)絡(luò)安全能力，運營商可為垂直行業(yè)客戶提供各類安全服務(wù)。具體來說，可對網(wǎng)絡(luò)中的安全資源（包括密碼算法、5G認證協(xié)議和安全知識庫等）進行抽象和封裝，對外提供安全服務(wù)，為加密傳輸業(yè)務(wù)提供認證服務(wù)、信用服務(wù)、入侵檢測等，使其更高效、更安全地實現(xiàn)信息安全服務(wù)。

傳統(tǒng)的信息安全，受限于技術(shù)發(fā)展，普遍采用被動防御方式。伴隨大數(shù)據(jù)分析技術(shù)、云計算技術(shù)、SDN技術(shù)、安全情報收集的發(fā)展，信息系統(tǒng)安全檢測技術(shù)對安全態(tài)勢分析越來越準確，對安全事件預警越來越及時精準，到5G時代，主動防御已成為必然。未來5G網(wǎng)絡(luò)作為連接的重要基礎(chǔ)設(shè)施，運營商可通過開放安全資源池，在網(wǎng)絡(luò)切片和邊緣計算的基礎(chǔ)上，定制5G安全專網(wǎng)，在主動防御設(shè)計理念中引入AI等技術(shù)，實現(xiàn)對垂直行業(yè)網(wǎng)絡(luò)的深層次安全加固。

當前，世界政治經(jīng)濟形勢正在發(fā)生深刻復雜的變化，我國改革發(fā)展進入關(guān)鍵時期，國家信息安全面臨的形勢更加嚴峻復雜。近年來，從斯諾登事件、美國對我國企業(yè)的出口管制事件，再到關(guān)乎普通百姓的數(shù)據(jù)隱私泄露、惡意攻擊等問題，無不凸顯著我國信息安全問題的嚴峻性。

信息安全的前提是核心技術(shù)必須掌握在自己手中。5G時代在開放合作的理念下，我國必須加強自主芯片、操作系統(tǒng)等基礎(chǔ)核心技術(shù)的研發(fā)及產(chǎn)權(quán)保護和轉(zhuǎn)化，依托核心創(chuàng)新能力，統(tǒng)籌推進科技、標準、產(chǎn)業(yè)的協(xié)同創(chuàng)新,形成支撐產(chǎn)業(yè)升級的自主創(chuàng)新能力,真正實現(xiàn)網(wǎng)絡(luò)強國。
來源：人民政協(xié)報