目前在國家主管部門的領導下，中國5G的建設和發展速度越來越快，廣電也擁有自己的5G牌照，也會參與到整個5G的建設中來。5G通信技術采用了很多新的技術以及不同的組網方式來滿足不同的場景的業務需求，而新技術新業務的使用也必將帶來新的安全需求。我們需要在建設5G網絡的同時高度關注網絡安全，才能保證整個5G網絡基礎設施和業務的安全，否則將會給社會和人民生活帶來嚴重損失。

[[331361]]

2019年6月，工信部正式向中國電信、中國移動、中國聯通以及中國廣電發放5G商用牌照，中國廣電成為我國境內第四家5G基礎電信運營企業。近期，工信部向中國廣電頒發了4.9GHz頻段5G試驗頻率使用許可，同意其在北京等16個城市部署5G網絡，2020年2月九部委聯合印發《全國有線電視網絡整合發展實施方案》，明確全國廣電一網的整合與組建方案，由中國廣電主導，建設具有廣電特色的5G網絡并賦能有線電視網絡，由此可見5G是廣電未來發展的重要方向。

5G網絡是未來物聯網、車聯網、智慧城市、智慧家庭等萬物互聯的基礎。5G網絡的高帶寬、低時延、大連接特性，將大幅度提升全社會各產業的信息化水平。它不僅提升了人與人之間通信的速度和效率，還將有效拓展人與物、物與物之間的連接水平和通信能力。5G將滲透到萬物互聯的各個領域，極大豐富移動通信網絡的業務范疇，并將逐步形成完善的生態體系。

5G采用了很多不同于4G的新技術，以適應多種應用場景的需求，新技術往往是“雙刃劍”，帶來便利的同時也會形成新的挑戰。5G網絡架構引入新的技術SDN、NFV來提高系統的靈活性和效率，同時降低成本;但由于SDN、NFV使網絡邊界變得十分模糊，以前依賴物理邊界防護的安全機制難以得到應用。為了滿足低時延業務，在5G接入點也將部署大量的MEC節點，MEC節點也將采用云化的部署方式，同樣面臨各種各樣的安全風險。

MEC安全需求

MEC通過將計算存儲能力與業務服務能力向網絡邊緣遷移，使應用、服務和內容可以實現本地化、近距離、分布式部署，從而一定程度解決了5G增強移動寬帶、海量機器類通信、超高可靠低時延通信等技術場景的業務需求。邊緣節點具備一定的規模后形成邊緣云。位于接入機房處的邊緣云規模較小，容易遭受物理攻擊，但距離用戶終端最近，能夠為業務提供超低時延保障。位于邊緣機房的邊緣云規模較大，雖然時延相對前者較大，但可靠性、安全性更高。

MEC為5G帶來便利的同時也帶來了新的安全需求，主要包括兩個方面：MEC應用的安全需求和MEC基礎設施的安全需求：

1. MEC應用的安全需求

5G垂直應用落地的一大關鍵是在MEC邊緣云上部署可信的第三方應用。然而，目前仍缺少對MEC應用進行安全檢查的安全規范。惡意MEC應用除了會嘗試耗盡它所運行的MEC主機的計算、網絡、存儲資源外，因為緊鄰在基站側，惡意MEC可以利用無線和網絡能力開放接口重新配置無線接入網以達到消耗競爭對手MEC應用分配到的無線資源。此外，惡意MEC應用還可在本地環境搜索易受攻擊的設備，執行破解密碼等程序。更為嚴重的是，運營商核心網用戶面網元UPF常與MEC應用共平臺部署，進一步擴大核心網的攻擊面。

因此，在將MEC應用實例化到5G網絡前，需要考慮MEC應用的安全需求。首先，要確保MEC應用來自可信的第三方應用提供商，可以通過對鏡像進行簽名驗證來實現;其次，要確保上傳的MEC鏡像未經過非法篡改，可以通過完整性校驗實現;最后，需要在沙箱中檢測MEC應用是否存在攻擊行為及虛假計費行為。因為5G中第三方應用的計費從核心網下沉到邊緣側，繞過了核心網的有力監控，因此，針對邊緣應用的計費行為需要重點關注。

2. MEC基礎設施的安全需求

MEC節點靠近網絡的邊緣，外部環境可信度降低，運營商的管理控制能力減弱。攻擊者甚至可以通過物理攻擊的手段(如放火、砸毀機房等)使本地MEC節點失效。此外，MEC自身資源有限、安全能力不夠完善，可抵御的攻擊種類和抵御單個攻擊的強度不夠，容易被攻擊。

因此，MEC基礎設施也存在著安全防護需求。這些需求分為包括兩個部分：物理基礎設施防護需求和虛擬化基礎設施防護需求。

• 物理基礎設施安全防護要確保物理環境的安全。由于位于網絡邊緣側且分布式部署，邊緣機房往往管理力度不夠，相對于云服務器，更容易遭受物理攻擊和物理端口被竊聽的風險。可通過加鎖、人員管理等方式保障物理環境安全。其次，可信計算和可信IO接入的引入也可以保障物理服務器的可信。
• 虛擬基礎設施需要應對多維度的安全風險，包括宿主機操作系統、容器和虛擬機。為加強宿主機操作系統安全性，可以對操作系統進行基礎檢查、漏洞掃描、病毒和木馬防范、升級及補丁管理;為加強容器和虛擬機安全性，可設計有效的隔離機制，關閉無關端口、并對東西向流量進行安全檢測。

二、SDN/NFV安全需求

5G新的網絡架構引入了SDN、NFV技術，提供更靈活、更高效、更低成本的網絡服務。SDN/NFV在與5G融合的過程中，也給5G移動通信網帶來了新的攻擊面。

1. SDN風險和安全需求

SDN控制器是傳輸網和核心網網絡調度的中心，其本身存在不少安全脆弱點。作為網絡的“大腦”，當攻擊者攻破控制器，就可以向所有的網絡設施發送指令，很容易使整個網絡癱瘓。因此，設計一個安全可靠的SDN控制器對于移動通信網來說是必不可少的。

安全可靠的SDN控制器首先需要加入審計機制，檢查訪問控制器的用戶是否合法。其次，控制器和底層交換設備之間必須存在一個加密通道，以防止中間人攻擊。最后，對于控制器上運行的應用軟件，需要進行安全測試以防止應用被植入惡意代碼，同時還應做到應用隔離和權限管理，以限制應用對底層資源的訪問權限。

除了SDN控制器的安全需求外，負責數據轉發的底層交換設備也容易遭受各種攻擊，如攻擊者直接入侵交換機用虛假流信息填滿流表、修改交換機對數據包的操作。底層交換設備，除了進行主動的攻擊檢測外進行安全防護外，還可以通過流控、擁塞丟包和超時調整等方式抵御外部攻擊。

2. NFV安全需求

NFV技術是核心網網元能夠動態靈活部署的關鍵。然而，NFV平臺存在平臺自身的脆弱性問題和不安全的接口，同時運行于上的虛擬安全功能(如5G核心網網元)也面臨著遠程調試、數據竊取與篡改等風險。因此，NFV的安全需求包括以下幾個方面：

• VNF安全需求：核心網網元通過VNF軟件包實例化在虛擬化平臺之上，因此有必要對第三方提供的VNF軟件包進行完整性校驗，同時需要對VNF進行敏感數據保護和權限管理;
• NFV網絡安全需求：VNF之間通信的流量可能只在同一宿主機內，傳統的物理安全設備很難檢測到這樣的流量，因此NFV組網需要考慮VNF之間通信的安全，如雙向認證、數據加密和完整性保護，同時可以部署虛擬機形態的安全功能對主機內的流量進行安全監控;
• MANO安全需求：MANO平臺除了有MANO各實體之間交互的安全需求(如雙向認證)，還包括每個MANO實體的安全需求，如VNFM可以運行在虛擬機上，因此需要考慮虛擬機逃逸等安全威脅;

三、面向垂直行業驅動的切片安全需求

國際電信聯盟將5G業務劃分為三個類型：增強型移動寬帶(eMBB)、超高可靠性低時延業務(uRLLC)和海量機器類通信(mMTC)。每個類型有不同的服務質量需求，如uRLLC業務需要滿足低時延、高帶寬，而海量機器類通信需要支持大連接，但對網絡時延并不敏感。

為了能夠根據不同業務構建不同網絡，5G引入了網絡切片的概念。網絡切片是指在運營商的物理網絡之上構建多個虛擬網絡，每個虛擬網絡提供差異化的網絡服務。行業應用需求的差異決定了網絡切片功能的差異化。并非所有切片都包含相同的網絡功能，有些網絡功能基于需求可以不用配置或進行定制化的裁剪。

1. 跨域的切片安全機制

跨域的切片安全機制是保障切片安全的基礎。根據上層MANO平臺下發的一致性安全策略，切片安全機制通過切片或子切片隔離、統一的切片認證等方式實現對切片的跨域安全防護。

(1) 有效的切片隔離機制

網絡切片運行于公有的基礎設施之上。根據3GPP協議，不同的切片之間可以共享控制面的子切片，而對于數據面的子切片而言，切片之間無法共享。因此，網絡切片需要提供不同切片之間有效的隔離機制，防止本切片的隱私數據被其他切片有意或無意訪問，如車聯網切片中，車輛的位置信息、身份信息等敏感信息并不希望被其他切片所訪問。當切片隔離機制不合理時可能會帶來安全隱患，如某個切片允許租戶在切片網絡中部署自身的第三方網絡功能，惡意的第三方網絡功能可能會對其他切片發起攻擊。此外，為了使租戶放心地使用網絡切片，切片中資源、服務的隔離效果應該接近于現有的私有網絡。

(2) 統一的切片認證機制

5G網絡的接入方式多種多樣，包括3GPP接入和非3GPP接入。同時，某些終端具備支持接入多種網絡切片、在不同網絡切片之間切換的能力，從而導致5G接入場景多種多樣。因此，5G應該提供一種統一、高效的切片認證方式，實現終端對不同切片的接入認證和鑒權。

2. 提供差異化的切片安全處理能力

切片網絡除了可以為垂直行業提供差異化的連接服務外，還需要根據各垂直行業安全需求的不同提供差異化的安全防護能力。

eMBB場景下，5G網絡峰值速率和用戶體驗速率較4G增長10倍以上。超大流量增加了基于流量檢測、內容識別、加解密等技術的安全防護難度;不良視頻內容識別、海量數據的輿情分析等方面對安全監測帶來挑戰。因此，eMBB切片對安全功能的計算與處理能力帶來了很大挑戰。

• uRLLC場景具有高安全、高可靠、低時延的特點。在切片部署的過程中需要考慮安全功能引入的時延以及在高速率情況下留給安全功能的開銷。因此，uRLLC切片對安全響應時效性要求較高。
• mMTC場景具有大連接、弱終端的特點。因此，安全和加密算法必須滿足資源受限的約束，同時終端并不一定每一次通信都需要完成完整的安全流程。此外，mMTC切片還需要抵御超大連接易引發的全網或局部規模DDoS攻擊。

2020年5G將進入規模部署商用，廣電在大融合背景下也將大力發展5G業務，在這樣的背景下，5G安全愈發引人關注。5G由于其IT和CT融合的特性，其安全需求不僅包括傳統移動通信網的需求，還有新型的IT技術和多樣化垂直服務引入的需求。在發展5G的同時，我們也要關注5G網絡的安全需求，最終能夠提供一張高質量、高可靠、高安全的5G網絡。

【本文是51CTO專欄作者“綠盟科技博客”的原創稿件，轉載請通過51CTO聯系原作者獲取授權】

戳這里，看該作者更多好文