1.4 5G网络安全技术的发展

移动通信系统的安全保护机制在持续演进。例如，最早版本的GSM（全球移动通信系统，2G系统）存在的多个安全弱点已在后续的通信系统中得到修正，包括以下几方面。

（1）可能会受到伪基站主动攻击。

（2）密码密钥和认证数据在网络之间和内部以明文方式传输。

（3）在空中接口进行明文传输。

（4）验证时没有采用随机数机制，造成密钥易被猜测，而且某些网络未使用加密，因此，存在欺诈的可能。

（5）不提供数据完整性保护，从而容易受到伪基站攻击，并且会被信道劫持。

（6）基于IMEI进行身份验证的选项。

（7）没有考虑网络通信通道上可能发生的入侵。

（8）没有定义UE在服务网络中如何获取归属网络的认证参数的方案。

（9）不具备随时间推移升级和改善安全功能的灵活性。

虽然过去的GSM存在这些问题，但已经在3GPP的规范中通过技术演进得到解决。新的移动通信系统能够充分保护用户产生的或与用户有关的信息，以防止被滥用或盗用；系统充分保护服务网络和归属网络的资源和服务，以防止被滥用或盗用；通信系统的标准化的安全功能与全球可用性兼容；通信系统对安全功能充分标准化，以确保全球范围内的互操作性及不同服务网络之间的漫游；通信系统向用户和服务提供者提供更高的保护水平；通信系统可以根据新威胁和服务的要求扩展并增强3GPP安全功能和机制的实现。

在5G网络中，网络安全更进一步得到强化，包括实现了更完善的认证措施、更全面的数据防护、更严密的隐私保护。

1.4.1 5G网络的安全需求

传统的通信网络安全防护侧重于用户侧安全和运营商网络安全。用户侧安全关注身份鉴权和完整性保护；运营商网络安全关注网络自身、漫游、互联互通和业务安全。

由于在5G网络中所出现的多项变化，网络安全需求也随之增加。在业务接入方面，5G网络接入更多新的业务和行业，涉及的安全层面会更广；在网络技术方面，引入网络IT化后需要关注虚拟化、SDN等技术造成的网络边界模糊；由于5G采用高度集中的核心网络组网模式，需要对网络安全提出更高的要求；在网络接入方面，多种新的接入方式有新的安全需求，除了手机终端的接入外，还包括物联网、边缘计算等新的接入方式需要进行安全保护；随着5G网络作为平台接入更多的行业应用，对用户数据的保护也提出了更高的要求。

可见，5G网络的安全需求已经不再局限于某一环节，需要从端到端的角度进行考虑。5G网络设备提供商应在产品设计研发阶段实现安全需求；网络运营商需要根据5G网络的新特点更新安全运维和技术手段；网络业务开发人员应识别5G网络的安全变化在应用层面提升安全能力，网络的各环节应充分发挥5G网络的高度集中性和灵活性，打造更全面的5G网络安全防护体系。

1.4.2 5G网络的总体安全原则

5G网络的总体安全原则包括以下几个方面。

（1）5G系统应支持存储缓存数据的安全机制。

（2）5G系统应支持接入内容缓存应用过程的安全机制。

（3）5G系统应支持在运营商的服务托管环境中接入服务或应用过程的安全机制。

（4）5G系统应支持与接入技术无关的安全框架。

（5）5G系统应支持运营商授权其他PLMN的签约用户接收临时服务（如关键任务服务）的机制。

（6）5G系统应能够为授权用户提供临时服务，而无须接入其归属网络。

（7）5G系统应允许运营商授权第三方创建、修改和删除网络切片，但要遵守第三方与网络运营商之间的协议。

（8）5G系统应提供安全机制，以保护中继的数据不被中继UE截获。根据归属公共陆地移动网络（PLMN，Public Land Mobile Network）策略及其服务和运营需求，5G系统应可根据用户签约所支持的服务对使用可接入EPS（演进分组系统）的USIM的用户进行验证，即使该用户没有使用5G USIM。

（9）5G系统应为使用5G LAN类型服务的授权UE之间的通信提供完整性保护和机密性保护。

（10）5G虚拟网络将能够验证请求加入特定专用通信的UE的身份。

（11）5G系统应提供适当的API（应用程序编程接口），以允许在私有切片所服务的任何UE与该私有切片中的核心网络实体之间使用受信任的第三方提供的机密性服务。

1.4.3 5G网络的认证能力要求

5G网络的认证能力要求如下。

（1）5G网络应支持资源高效的机制，以便批量认证多个物联网设备。

（2）5G系统应支持有效的方式，以通过物联网设备（如生物识别技术）对用户进行身份验证。

（3）5G系统应能够支持使用3GPP凭证通过非3GPP接入技术进行认证。

（4）5G系统应支持网络运营商控制的替代身份验证方法［AKA（认证和密钥协商）的替代方法］，该方法具有不同类型的凭据，可用于隔离部署场景（如工业自动化）中的物联网设备的网络接入。

（5）5G系统应支持合适的框架［如可扩展认证协议（EAP，Extensible Authentication Protocol），该框架允许将具有非3GPP身份和凭证的替代认证方法（如AKA）用于非公共网络中的UE网络接入认证。非公共网络可以使用3GPP身份验证方法，身份和凭据供UE接入网络，但也可以使用非基于AKA的身份验证方法（如EAP框架提供）。

（6）5G系统应支持PLMN认证和授权UE接入托管非公共网络和与托管关联的PLMN专用切片非公共网络的机制。

（7）5G网络应支持3GPP支持的机制，以认证用于5G LAN虚拟网络接入的传统非3GPP设备。

1.4.4 5G网络的授权能力要求

5G网络的授权能力要求如下。

（1）5G系统应允许运营商授权物联网设备使用仅限于物联网设备的一个或多个5G系统功能。

（2）5G系统应允许运营商授权或取消授权UE使用5G局域网型服务。

（3）基于运营商策略，在使用非3GPP接入技术建立直接设备连接之前，物联网设备可以使用3GPP凭据来确定它们是否被授权进行直接设备连接。

（4）基于运营商策略，5G系统应提供一种手段来验证UE是否被授权使用特定服务的优先网络接入权限。

1.4.5 5G网络的身份管理

5G网络的身份管理要求如下。

（1）5G系统应为运营商提供一种机制，允许其使用隐藏签约用户身份的临时标识符来通过UE进行接入。

（2）5G系统应为运营商提供一种机制，使其使用隐藏签约用户身份的临时标识符允许来自间接网络连接的UE的接入。

（3）归属PLMN应该能够将临时标识符与UE的用户身份相关联。

（4）5G系统应能够保护用户身份和其他用户标识信息免受被动攻击。

（5）根据国家或地区法规要求，5G系统应能够保护用户身份和其他用户标识信息免受主动攻击。

（6）5G系统应能够在需要时允许合法实体收集设备标识符，而与UE的用户接口无关。

（7）5G系统应能够独立于设备识别而支持签约用户识别。

（8）5G系统应支持安全机制以收集系统信息，同时确保最终用户和应用过程的隐私。

（9）在遵守国家或地区法规要求的前提下，5G系统应能够提供5G定位服务，同时保护UE用户或所有者的隐私，这包括5G系统按需提供定位服务的能力，而不必连续跟踪所涉及UE的位置。

（10）对于使用5G技术的专用网络，5G系统应使用由第三方提供和管理并由3GPP支持的身份、凭证和身份验证方法来支持网络接入。

1.4.6 5G网络监管

5G网络的监管要求如下。

（1）5G系统应满足所有支持接入网络的国家或地区法规要求。

（2）5G系统应根据国家或地区法规要求支持合法拦截。

（3）连接到多个国家和地区的5G核心网络的5G卫星接入网络应能够满足这些国家和地区的相应监管要求。

（4）5G系统应支持5G局域网型服务的法规要求。

1.4.7 欺诈保护

5G的欺诈保护要求如下。

（1）根据国家或地区法规要求，5G系统应支持一种安全机制，在收到UE被盗的报告后，允许授权实体禁止该UE继续在网络中使用。

（2）在遵守国家或地区法规要求的前提下，5G系统应支持一种安全机制，以允许授权实体重新启用已恢复的被盗UE使其正常运行。

（3）5G系统应能够保护用户位置信息免受被动攻击。

（4）根据国家或地区法规要求，5G系统应能够保护用户位置信息免受主动攻击。

（5）根据国家或地区法规要求，5G系统应支持各种机制，以保护用户位置信息和与用户定位有关的数据，以防篡改和欺骗。

（6）根据国家或地区法规要求，5G系统应支持检测有篡改用户位置信息和与用户位置相关的数据的企图的机制。

1.4.8 5G安全功能的资源效率

5G安全功能的资源效率要求如下。

（1）5G系统应在不影响3GPP系统安全级别的情况下最小化安全信令开销。

（2）5G系统应支持有效的安全机制，以将相同的数据（如服务供应多个传感器）传输给多个UE。

1.4.9 数据安全和隐私

数据安全和隐私保护要求如下。

（1）5G系统应支持为uRLLC和能源受限设备提供服务的数据完整性保护和机密性方法。

（2）5G系统应支持一种机制，以验证消息的完整性和消息发送者的真实性。

（3）5G系统应在请求的端到端时延内支持uRLLC服务的加密。

1.4.10 5G系统的安全功能

5G系统的安全功能如下。

（1）通过网络对UE进行身份验证，UE与网络相互进行身份验证。

（2）安全上下文的生成和分发。

（3）用户面数据机密性和完整性保护。

（4）控制面信令机密性和完整性保护。

（5）用户身份保密。

（6）合法监听和拦截。

（7）当UE通过NG-RAN（NG无线接入网络）和独立的非3GPP接入进行连接时，使用独立的NAS安全上下文对多个N1实例进行安全保护，每个NAS（网络附属存储）上下文都是基于相应SEAF（安全锚功能）中的安全上下文创建的。

1.4.11 5G主要场景的网络安全

5G网络可以分为3种场景：eMBB、mMTC和uRLLC，需要针对这3种业务场景的不同安全需求提供差异化安全保护机制。

（1）对于eMBB场景，由于eMBB是传统通信业务的演进，主要考虑如何加强对用户数据的完整性、机密性、可用性等通用安全保障需求。

（2）对于mMTC场景，由于物联网设备连接数量众多，而且使用环境、计算处理能力、处理资源限制等方面具有较大的差异，因此，如果采用传统的认证方式，则会造成物联网设备制造和使用成本较高，这就需要降低物联网设备在认证和身份管理方面的成本，以支撑物联网设备的低成本和高效率海量部署。5G网络将接入海量物联网设备。物联网设备的特点是具有不同的使用周期、不同的用户接入界面、需要较长的使用周期，物联网设备的归属所有权有可能发生变化，如某些物联网消费品的销售和转换。为了适应物联网的这些特点，5G网络引入了动态建立或刷新凭证和签约的安全机制，支持独立的接入安全性，支持包括授权和非授权、3GPP和非3GPP在内的多种新型接入技术。5G网络强化了防止盗窃和欺诈行为的保护以支持智能手机、无人机和工厂自动化的应用。

（3）对于uRLLC场景，由于其对端到端时延的严格要求，因此，在进行安全保障时，需要优化业务接入时延、数据传输时延，以及相关安全处理带来的时延。

高水平的5G安全性为社会关键领域，如工业自动化、工业物联网和智能电网等提供了更好的支持。在企业、交通、公共安全等领域，5G增强了用户隐私的保护能力。5G网络安全技术可以满足这些新的安全需求，并继续提供与现有3GPP通信系统一致的安全性。