序
我国5G与发达国家同期商用,至今已有三年。自 5G 商用之始,关于5G安全的热点一直持续,而且上升为一些国家的战略。2019年5月,美国联合部分国家在布拉格召开5G安全大会并发布《布拉格提案》;2020年3月,美国白宫发布了《国家5G安全战略》,美国总统特朗普签署了《2020年5G安全保障法》;2020年8月,美国国土安全部网络安全和基础设施安全局(CISA)发布了《CISA 5G 战略》;2020年12月,美国国防部发布了《5G技术实施方案》报告,提出了5G安全路线图;2021年2月,美国国家标准与技术研究院(NIST)发布了《5G网络安全实践指南》;2021年5月,美国国家安全局(NSA)与国家情报总监办公室(ODNI)和CISA联合发布了《5G 基础设施的潜在威胁向量分析报告》。2019年10月,欧盟国家网络安全协作组(NIS)发布了《欧盟5G网络安全风险评估报告》;2019年11月,欧洲网络和信息安全局发布了《5G网络安全威胁全景图》;2020年1月和7月,欧盟国家网络安全协作组(NIS)先后发布了《5G网络安全风险消减措施工具箱》和《欧盟成员国5G网络安全工具箱实施进展》。
事实上,5G 在安全技术上比4G有较多的改进和加固,但以下方面使得5G安全问题凸显:一是5G技术更复杂,导致影响安全的因素增多;二是 5G 推动新一代信息技术无缝融合,数据安全问题因 5G 而被更多关注;三是 5G 扩展应用从消费到工业,这些领域对网络与信息安全更为敏感;四是一些国家对5G安全借题发挥,掺杂了冷战思维,给5G安全贴上政治标签。
关于5G的安全技术,在接入认证方面,5G 用户终端号码从明文改为加密传输,去除了基于手机用户识别码(IMSI)对用户非法跟踪威胁,5G 用户面和控制面的数据均加入了完整性保护。5G的通用认证机制(GBA)较传统的短信认证和账密认证等方式有更高的安全性,适合车联网等对安全要求高的场景。在网间访问安全方面,增加了 5G 访问地网络与归属地网络间的安全边缘保护。5G 支持网络切片,为指定业务提供 VPN 通道,实现安全隔离。5G 基于服务化架构(SBA)实现核心网用户面与控制面功能分离,其用户面功能(UPF)可下沉到客户所在地,并利用 IPv6 地址的多归属特性实现业务按目的地地址分流,保证客户敏感数据不外泄。
5G与4G相比,在网络架构上采用了不少新技术,在增加网络配置灵活性和效率的同时,也存在安全隐患。在2021年5月美国国家安全局(NSA)等发布的《5G 基础设施的潜在威胁向量分析报告》中分析了 5G 系统架构涉及软件/配置、网络安全、网络切片、传统通信基础设施、多址边缘计算、频谱共享、软件定义网络七方面的威胁。软件定义网络(SDN)将传送与控制分离,集中控制选路会成为网络安全攻击的重点,恶意攻击者可能会在 SDN 控制器应用程序中嵌入代码来控制网络资源。传统依赖物理边界防护的安全机制在虚拟化下难以应用,大量使用的开源软件会引入安全风险。SBA 使网络功能以通用接口的方式对外开放,这与传统移动网络封闭的业务管理相比,恶意第三方容易通过获得的网络操控能力对网络发起攻击。网络切片增加了网络的复杂性,并且切片的隔离也可能面临非授权用户接入的风险。
5G的安全问题还体现在5G与新一代信息技术的融合上。5G的高带宽、低时延、大连接使得物联网感知的数据能快速上云,AI 的决策也能第一时间反馈到物联网执行,5G 成为融合新一代信息技术的纽带,贯穿了数据从采集到分析的全过程,发挥了数据作为生产要素的作用。但万物互联使得大量简易且缺乏足够安全保障的传感器连接到 5G,扩大了 5G 被攻击的暴露面。诺基亚发布的《2020年威胁情报报告》显示,2019年全球受感染的物联网设备占总数的 32.7%。边缘计算造成网络及用户数据下沉至网络边缘,边缘计算节点的安全机制缺失或策略错误配置可能导致非授权的边缘计算网关接入、边缘节点过载和边界开放 API 滥用等风险。企业为了服务的多样化会使用多云,多云协同增加了安全管理的复杂性,云网融合使得网络物理边界模糊,给5G核心网的可靠性与稳定性保障带来挑战。
5G 开拓了工业互联网与智慧城市的应用领域,这些新的应用领域尤其是关键基础设施的重要性被黑客所看重,甚至会被敌对势力选为实施网络战的目标。企业和社会经济的重要信息系统如果受到黑客入侵,轻则被勒索使财产遭遇很大的损失,重则使基础设施瘫痪,一旦发生系统中断和数据泄露,会对社会经济稳定带来严重危害。社会经济对5G的依赖越深,5G安全的责任越大。
关于5G安全还有技术之外的考虑。《5G 基础设施的潜在威胁向量分析报告》提出,在 5G 系统架构之外还有政治标准与供应链两大影响要素,以意识形态画线来判断 5G 设备供应商是否安全,“司马昭之心路人皆知”。该报告提到人为干预供应链的做法提醒我们关注 5G 设备的底层安全,包括芯片与操作系统,需要以零信任的理念来防范我们尚不能自主可控的核心器件及软件的安全漏洞。应对5G安全问题需要技术与管理并重,2020年11月、2021年4月和 6月在德国、加拿大和法国先后发生的移动网络中断事故,都与软件升级有关。5G网络复杂,运维人员缺乏网络功能虚拟化、软件定义网络的技能,网络的错误配置会激活漏洞,运维经验不足导致安全风险难以被及时有效处置。
尽管 5G 存在安全风险,但网络安全总是在不安全环境中走过来的,“魔高一尺,道高一丈”,网络安全永远在路上。而且我们还要看到 5G 具有支撑社会和产业安全的重要作用,5G 物联网在社会治安管理和经济运行安全监测等方面得到广泛的应用,2022年2月,国务院印发的《“十四五”国家应急体系规划》就提到要充分利用物联网、工业互联网、遥感、视频识别、5G 等技术提高灾害事故监测感知能力。
“云安全联盟丛书”将5G安全作为重点,丛书编委会及本书作者李雨航院士等都有丰富的网络安全研究开发实践经验,他们来自 5G 领域研究领先或应用先行的企业,包括华为技术有限公司、云安全联盟大中华区、中国移动通信集团公司、中国南方电网有限责任公司、中国信息通信研究院等。本书从网络组成(接入网、传输网和核心网)、安全技术(身份认证、终端安全、信息安全、切片安全)和运维管理(运营、业务开放、测试和工程建设)等多个维度来介绍5G安全,给出了安全方案与应用案例。本书内容全面,深入浅出,适合从事电信行业、安全行业、应用5G的各行业技术与管理人员及高校学生阅读。希望本书能激发更多从业者关注5G安全,投身5G安全创新研究与开发工作,创造更多的5G安全管理及运维经验,为 5G 所支撑的各行各业的运行提供安全保障。
中国工程院院士