嚴苗苗 王磊 張衛(wèi)剛

?

5G網絡的終端安全

嚴苗苗 王磊 張衛(wèi)剛

天元瑞信通信技術股份有限公司，陜西 西安 710065

隨著通信的不斷發(fā)展，5G移動通信勢在必行，隨之而來的安全技術也為網絡帶來新的挑戰(zhàn)。從終端安全的角度對5G網絡安全進行了闡述。

5G網絡；移動終端；eMBB；mMTC；uRLLC；終端安全

引言

從3G網絡引入移動互聯(lián)網開始，移動終端日益成為黑客攻擊的主要目標。在3G/4G階段，3GPP一直注重加強對移動網絡的安全設計，終端安全則完全交由終端廠家自行開發(fā)。由于缺少統(tǒng)一標準的牽引，移動終端安全技術發(fā)展緩慢，產業(yè)化進展滯后，很快就成為用戶隱私泄露的重災區(qū)。近年來，雖然有芯片廠家或終端企業(yè)陸續(xù)推出了一些安全技術，但總體來說受已有架構的限制，解決不同角度的安全問題缺乏普適性設計[1]。

終端安全是5G安全體系中不可缺少的一環(huán)。安全架構在終端中引入終端安全面，在終端安全面中通過構建受信存儲、計算環(huán)境和標準化安全接口，分別從終端自身和外部兩方面為終端安全提供保障。終端自身安全保障可以通過構建可信存儲和計算環(huán)境，提升終端自身的安全防護能力；終端外部安全保障通過引入標準化的安全接口，支持第三方安全服務和安全模塊的引入，并支持基于云的安全增強機制，為終端提供安全監(jiān)測、安全分析、安全管控等輔助安全。

5G網絡的安全體系由移動終端側和網絡側配合共同完成。無論是控制面還是用戶面都需要移動終端的安全配合。從信息流向來看，移動終端既是用戶信息和隱私數(shù)據(jù)的源頭也是其歸宿；從網絡切片來看，移動終端是網絡安全切片的實現(xiàn)起點也是實現(xiàn)終點；從垂直行業(yè)來看，5G網絡的一大特征就是對垂直行業(yè)的深度支持，垂直行業(yè)存在著多樣化的安全要求，其安全能力更是需要移動終端的支持。綜上所述，移動終端安全是5G網絡安全體系中不可缺少的一環(huán)。

移動終端安全涉及硬件層、操作系統(tǒng)層以及應用層等多個層面的問題，威脅因素主要來自外部網絡。解決終端安全問題，首先要從多個層面提升終端自身抵御攻擊的免疫能力，同時也要提高外部網絡如網絡接入、應用服務等的安全性，引入基于云的安全增強機制來為終端安全提供輔助支撐[2]。

1 5G移動終端共性安全需求

1.1 可信執(zhí)行環(huán)境

隨著5G技術的發(fā)展，移動終端正在成為互聯(lián)網和物聯(lián)網業(yè)務的關鍵入口。網絡攻擊面的大幅擴大，敏感信息的指數(shù)增加，使得5G終端將面臨更艱難的安全環(huán)境。為5G終端建立可信任執(zhí)行環(huán)境，是5G時代的必然要求。

移動終端的運行環(huán)境面臨來自硬件和軟件的威脅。移動終端硬件安全威脅主要來源于終端芯片設計安全漏洞或硬件體系安全防護不足，可導致平臺安全權限被獲取、存儲的隱私數(shù)據(jù)被竊取等安全風險，需要從硬件角度設計使終端核心器件具有抗物理攻擊的能力，為移動終端的安全起到基礎作用。移動終端軟件系統(tǒng)是移動終端的靈魂，對軟件系統(tǒng)的攻擊包括：利用操作系統(tǒng)漏洞等獲取終端控制權、修改安全策略；利用信息保護缺失、內存監(jiān)管漏洞、應用程序漏洞等竊取用戶信息、篡改信息和信令、植入惡意代碼、擾亂系統(tǒng)的正常工作；利用Wi-Fi、藍牙等外設配置漏洞吸引終端接入，竊取敏感信息等。利用上述攻擊手段，可以輕易地收集用戶數(shù)據(jù)，控制和更改終端軟件，甚至在極端情況下，可以遙控癱瘓所有入網的終端，威脅國家網絡安全。因此需要對移動終端從硬件和軟件層面采取有效措施，建立可信執(zhí)行環(huán)境，保證終端平臺的安全[3]。

1.2 安全體系完備性與可裁剪性

3G/4G時代，終端安全技術的主要驅動力是解決普通民眾移動支付等安全問題。終端廠家的安全方案基本是專用和封閉的。但是進入5G時代，行業(yè)用戶成為重要利益相關方。萬物互聯(lián)成為新生態(tài)的趨勢，將使行業(yè)安全和物聯(lián)網安全成為5G終端安全技術新的強大動力。

終端安全能力包括終端防護、用戶認證、入網認證、信息加密、安全存儲、應用管理等，涉及平臺安全、信息安全、使用安全、安全管理等多方面安全要求。不同行業(yè)對終端安全能力有著不同的需求。如果終端業(yè)界為不同行業(yè)分別設計安全架構，既不經濟又不現(xiàn)實。為了高效率地適應差異化安全需求，應建立統(tǒng)一的終端安全技術體系，該技術體系既能以組件化方式提供完備的安全能力，又能夠根據(jù)行業(yè)需求，方便地進行組件的組合和裁剪，提供高、中、低不同等級的安全能力，滿足差異化的安全要求。

從國家對信息領域的發(fā)展要求來看，在新興信息領域實施軍民戰(zhàn)略已上升到國家戰(zhàn)略層面。國防行業(yè)以及政府、公安等涉及國家安全和社會穩(wěn)定的特殊行業(yè)，對移動通信的需求非常高，也對安全性有著更高的要求。終端安全體系應著眼安全能力要求更全面的特殊行業(yè)，提供完備的安全功能集。在面向普通垂直行業(yè)和普通公眾用戶時，安全架構能夠進行有針對性的功能裁剪，為普通行業(yè)和普通公眾用戶提供在成本范圍內的安全功能，以最小的代價實現(xiàn)通用終端與高安全行業(yè)終端安全防護體系的構建，滿足國家對信息領域安全建設的要求。

1.3 標準化的安全接口

在建立統(tǒng)一的安全體系同時，5G終端還應提供開放的安全服務環(huán)境，提供標準化的安全接口。通過標準接口，支持第三方安全服務和安全模塊的引入，便于行業(yè)客戶的二次開發(fā)，允許行業(yè)用戶通過標準接口快速地實現(xiàn)行業(yè)定制，支持不同行業(yè)終端的快速部署與專用化服務，提升終端產品的服務水平和競爭力。

2 eMBB終端安全需求

eMBB終端覆蓋了增強移動寬帶應用場景，是人與人、人與網、人與物間信息鏈接的主要載體，也是行業(yè)用戶開展移動辦公等處理行業(yè)敏感信息的主要工具。eMBB終端傳輸速率高、涉及普通用戶隱私/行業(yè)用戶敏感信息多、支持異構網絡連接，因此它的典型安全需求主要有三個方面：一具備與5G網絡速率相適配的高速率加密能力，同時還要具備較低的功耗要求；二是對普通用戶具備對個人信息或標識以及地址信息等等隱私信息的保護能力，對行業(yè)用戶具備高等級的認證、端到端加密、信息完整性保護等能力；三是具備異構接入的統(tǒng)一認證和安全上下文管理能力，提高異構接入安全上下文切換效率。

3 mMTC終端安全需求

mMTC覆蓋主要應用于連接密度要求較高的物聯(lián)網場景，例如智慧城市、智能電網、智慧家居等，滿足人們對數(shù)字化社會的需求。由于物聯(lián)網設備數(shù)量龐大，行業(yè)對物聯(lián)終端的成本比較敏感。但是由于物聯(lián)終端深入城市基礎設施及民眾生活等涉及國計民生的重要部位，其安全性建設也不容忽視。

mMTC終端的典型安全需求包括：一是輕量級的密碼算法和協(xié)議，滿足mMTC終端的低功耗、低帶寬要求；二是安全可靠的網絡接入模式，如5G網絡提供為物聯(lián)終端提供去中心化的身份管理和接入認證模式，包括縮短認證鏈條、快速安全接入、網絡與業(yè)務融合分層身份管理等，降低管理復雜度；三是低成本的設備認證和身份管理實現(xiàn)，滿足物聯(lián)終端低成本要求[4]。

4 uRLLC終端安全需求

uRLLC聚焦對時延極其敏感的行業(yè)，例如車聯(lián)網、智慧工業(yè)等，滿足人們對數(shù)字化工業(yè)的需求。因這些行業(yè)的信息涉及自動駕駛、路況識別、工業(yè)控制等高風險環(huán)節(jié)。如果被假冒或篡改，將引發(fā)很大的安全事件，因此uRLLC比普通物聯(lián)終端有著更高的安全性要求[5]。

uRLLC終端的典型安全需求包括：一是高安全等級的保護強度，具備高等級的認證、端到端加密、信息完整性保護等能力；二是超高可靠和超低時延的能力，在不降低安全保護強度的前提下，支持認證節(jié)點下移，簡化認證框架與協(xié)議，提高移動性安全上下文遷移和密鑰重建機制效率，采用高效密碼算法，減少加解密處理時間。

5 總結

5G網絡明確了三種典型應用場景，帶來eMBB、mMTC、uRLLC三種典型終端，并引入了行業(yè)用戶作為新的利益相關方，因此5G終端安全還需要考慮針對不同應用終端以及不同行業(yè)用戶群體的雙重安全需求[6]。未來5G通信網絡將面臨多樣化的業(yè)務場景，應用多種虛擬化安全技術和接入技術，在多方面具有新的安全需求。本文主要圍繞終端安全技術需求，結合行業(yè)用戶和三種典型終端需求進行闡述[7]。

[1]3GPP TR 33.899：“Study on the security aspects of the next generation system”.

[2]3GPP TR 23.799：“Study on Architecture for Next Generation System”.

[3]3GPP TS 23.501：“System Architecture for the 5G System”.

[4]IMT—2020（5G）推進組. 白皮書“5G網絡安全需求與架構”[S]. 2017.

[5]中國電子技術標準化研究院.對象標識符（OID）白皮書2015[S]. 2015

[6]李宏佳，王利明，徐震，等. 5G安全：通信與計算融合演進中的需求分析與架構設計[J]. 信息安全學報，2018（1）：1-14.

[7]信息安全技術鑒別與授權安全斷言標記語言：GBT 29242—2012[S].

Terminal Security for 5G Networks

Yan Miaomiao Wang Lei Zhang Weigang

Tianyuan Ruixin Communication Technology Co., Ltd., Shaanxi Xi’an 710065

With the continuous development of communication, 5G mobile communication is imperative, and the security technology that comes with it brings new challenges to the network. The 5G network security is described from the perspective of terminal security.

5G Network; mobile terminal; eMBB; mMTC; uRLLC; terminal security

TN929.53

A