1 引言

作為新一代移動通信技術，5G系統(tǒng)在提升移動互聯(lián)網用戶業(yè)務體驗的基礎之上，進一步滿足未來物聯(lián)網應用的海量需求，與各行業(yè)深度融合，實現(xiàn)真正的“萬物互聯(lián)”。

5G網絡支持更高帶寬、更低時延、更大連接密度，可以滿足3類應用場景：增強移動寬帶（Enhanced Mobile Broadband，eMBB），超可靠低時延通信（Ultra-reliable and Low-latency Communications，uRLLC）以及海量機器類通信（Massive Machine Type Communications，mMTC）。

為滿足3種不同業(yè)務類型的通信需要，要求運營商能夠針對新系統(tǒng)、新環(huán)境下的差異性，研究5G業(yè)務系統(tǒng)安全方面的典型特征，做好5G網絡業(yè)務的安全管控，保障5G網絡系統(tǒng)業(yè)務運營安全。

2 5G網絡架構與數(shù)據(jù)流分析

本文以目前5G網絡規(guī)劃使用的NSA Option3x、SA Option2兩種架構為例，對5G數(shù)據(jù)流走向及存在的信息安全問題進行分析。

2.1 NSA Option3x網絡架構介紹與數(shù)據(jù)流分析

基于NSA Option3x方案的5G網絡總體架構和4G LTE網絡總體架構基本相同，是由分組域核心網、電路域核心網、IMS核心網及相關業(yè)務平臺、無線接入網和NSA終端組成，其中分組域核心網通過功能增強支持NSA核心網，簡稱EPC+。在NSA Option3x的網絡系統(tǒng)中，信令面均通過eNB和EPC+的S1-C接口連接交互。

對于NSA Option3x方案，數(shù)據(jù)可按承載粒度由4GeNB基站或5GgNB基站通過S1-U隧道和EPC+交互，X2接口除了承載信令外，還支持數(shù)據(jù)面報文的交互，即gNB支持將一個承載內的下行數(shù)據(jù)按照一定規(guī)則通過X2接口分流至eNB，上行數(shù)據(jù)可從eNB通過X2接口發(fā)送至gNB，也可直接通過NR空口發(fā)送至gNB。所有信令數(shù)據(jù)通過eNB到核心網，Volte數(shù)據(jù)通過eNB到核心網。

2.2 SA Option 2網絡架構介紹與數(shù)據(jù)流分析

在SA Option 2組網方式中，接入層及非接入層信令和數(shù)據(jù)均通過5G協(xié)議進行傳輸。

在核心網層面，核心網組網架構、設備為5G新核心網架構、設備；所有核心網信令、流程按照5G核心網協(xié)議進行傳輸； 5G控制面采用基于服務的架構（SBA），控制面網元包含AUSF、AMF、SMF、NSSF、NEF、NRF、PCF、UDM等；5G用戶面功能設備為UPF；可以對垂直行業(yè)用戶提供業(yè)務優(yōu)化能力，如網絡切片、邊緣計算（MEC）信息開放等。

在接入網層面，5G SA用戶通過NR空口接入5G核心網；5G接入采用gNB基站；支持與4G切換、重選互操作；所有控制面數(shù)據(jù)與用戶面數(shù)據(jù)均通過gNB傳輸?shù)?G核心網。

3 5G信息安全管控

5G網絡架構以及應用的變化，使得5G的信息安全管控也隨之發(fā)生改變。下面我們從5G信息安全管控體系以及5G應用于人工智能（AI）、物聯(lián)網（IoT）、云計算（Cloud Computing）、大數(shù)據(jù)（Big Data）、邊緣計算（Edge Computing）這幾個方面可能帶來的變化為切入點，介紹5G網絡的信息安全管控問題。

3.1 5G信息安全管控體系問題總述

（1）NSA架構下的信息安全管控變化。NSA架構下，架構與應用的變化為：接入網基站發(fā)生變化，引入5G的gNB基站；會出現(xiàn)5G應用于人工智能、物聯(lián)網、云計算、大數(shù)據(jù)、邊緣計算等場景下的新業(yè)務；5G傳輸速率會相比于4G明顯提高。

基于以上變化，我們需要確認安全管控的需求點為：信息安全管控系統(tǒng)的覆蓋能力能否對5G新業(yè)務進行覆蓋；現(xiàn)有系統(tǒng)的解析、計算能力需對5G場景下的高速率業(yè)務進行匹配。

（2）SA架構下的信息安全管控變化。SA架構下，架構與應用的變化為：接入網、核心網的設備、流程、信令均發(fā)生變化，接入網與核心網均引入新的5G設備；會出現(xiàn)更多5G應用于不同場景的新業(yè)務；會產生大量垂直行業(yè)下的新應用；會引入邊緣計算、切片。

基于以上變化，我們需要確認安全管控的需求點為：信息安全管控系統(tǒng)的覆蓋能力；部分信息安全管控系統(tǒng)需要改造，匹配系統(tǒng)架構；為新的應用場景、業(yè)務、協(xié)議提供安全管控能力；為垂直行業(yè)提供安全管控。

3.2 5G在人工智能場景下的信息安全管控

3.2.1 5G與人工智能融合下的信息安全風險

5G網絡下，人工智能提供的應用數(shù)量日益增長，同時這些應用也會帶來安全風險，如：

（1）深度偽造技術。深度偽造（Deepfake）是一種利用人工智能和機器學習將人的臉疊加到另外一個人的身體上的技術。目前，華盛頓大學研究人員已經可以利用音視頻人工智能技術，虛擬出政治人物演講，達到以假亂真的效果。未來，不法分子可能會利用人工智能技術，針對公眾人物制作虛假視頻，進行詐騙、政治宣傳等。

（2）人工智能惡意軟件。據(jù)報道，IBM研究院安全研究人員開發(fā)了一種由人工智能驅動的“高度針對性和回避性”攻擊工具DeepLocker，將現(xiàn)有的幾種人工智能模型與當前的惡意軟件技術相結合，創(chuàng)建一種特別具有挑戰(zhàn)性的新型惡意軟件。該惡意軟件可以隱藏其意圖，直到它觸達特定受害者，才會釋放惡意行為。

（3）語音機器人騷擾電話。2019年“3·15”晚會上曝光不少企業(yè)通過模仿人類聲音的智能機器人撥打大量騷擾電話。在對某人工智能公司的暗訪中，記者發(fā)現(xiàn)，一年內該公司利用智能機器人撥打了40多億次騷擾電話，涉及30多個行業(yè)。

（4）人工智能釣魚郵件。黑客可以使用人工智能技術，對用戶大量生成有針對性的釣魚郵件。此外，還可利用對抗生成網絡技術，巧妙繞過目前已有的反釣魚郵件系統(tǒng)，達到攻擊用戶的目的。

3.2.2 針對5G與人工智能融合下新增風險的管控措施

人工智能信息安全風險，并非在5G網絡下所特有的風險，而是人工智能自身所具有的風險。5G網絡使得人工智能技術的使用迅速增加，因此人工智能的安全風險也增大，我們針對人工智能風險提出了以下管控措施：

（1）對抗訓練。主動生成大量對抗樣本供模型進行學習，提升模型應對對抗樣本的能力；手機惡意軟件管控系統(tǒng)及時更新惡意軟件數(shù)據(jù)庫；騷擾電話、虛假主叫監(jiān)控系統(tǒng)對自動語音撥打建立有針對性的監(jiān)控流程、算法模型；不良信息集中管控系統(tǒng)及時更新釣魚網站識別算法。

（2）源頭預防與聯(lián)合治理相結合。對于人工智能生成的虛假音視頻，目前的安全管控系統(tǒng)很難直接監(jiān)測，因此只能聯(lián)合多方進行管控。建議視頻發(fā)布源頭加強審核，工信部、公安部、網信辦等有關部門加大違規(guī)人員、網站處罰力度。

3.3 5G在物聯(lián)網場景下的信息安全管控

萬物互聯(lián)是人工智能時代背景下物聯(lián)網的最終極目標之一。物聯(lián)網設備的海量增長，以及5G網絡商用化的逐步展開，將使物聯(lián)網卡引發(fā)的信息安全風險與4G時代相比也會成倍增長，因此更需要重點關注。

3.3.1 5G與物聯(lián)網融合下的信息安全風險

物聯(lián)網卡的發(fā)放管理不嚴格，可能出現(xiàn)違規(guī)轉售轉租等管理風險；物聯(lián)網終端易被侵入遭受惡意控制，進而可能形成僵尸網絡并攻擊其他網絡用戶，出現(xiàn)非法散播違規(guī)內容的風險（例如傳播垃圾短信、撥打騷擾電話等）。

3.3.2 針對5G與物聯(lián)網融合下新增風險的管控措施

對于疑似違規(guī)的物聯(lián)網卡，可以基于物聯(lián)網卡開卡（注冊）信息、位置信息、上網流量、通話記錄、短信記錄等數(shù)據(jù)進行專項分析，并對安全風險進行監(jiān)控，可采取的物聯(lián)網卡安全監(jiān)測方法如下。

（1）業(yè)務濫用分析。根據(jù)物聯(lián)網卡被授權移動業(yè)務情況（例如單獨開通通話、上網等功能）、消費地點、消費賬單等數(shù)據(jù)進行分析。

（2）機卡分離監(jiān)測。根據(jù)物聯(lián)網卡被授權的行業(yè)業(yè)務情況，例如控制系統(tǒng)（如電表、充電樁）、車聯(lián)網、智能安防系統(tǒng)、智能終端、IMEI號碼，以及相關業(yè)務可能的位置情況等內容，來判定行業(yè)卡/物聯(lián)網卡是否存在機卡分離的現(xiàn)象。

（3）位置異常變動分析。根據(jù)物聯(lián)網卡被授權的行業(yè)業(yè)務情況，以及LAC、CI數(shù)據(jù)等，判斷是否存在位置異常變動情況。

（4）惡意攻擊檢測。根據(jù)上網日志、DNS日志等數(shù)據(jù)，發(fā)現(xiàn)物聯(lián)網卡設備被人植入后門，并惡意利用進行DDoS攻擊、僵尸網絡挖礦等行為。

（5）騷擾電話、垃圾短信分析。根據(jù)物聯(lián)網卡號段信息，通話信令數(shù)據(jù)、疑似垃圾短信上報數(shù)據(jù)，發(fā)現(xiàn)物聯(lián)網卡撥打騷擾電話、發(fā)送垃圾短信、傳播惡意鏈接的情況。

（6）區(qū)域分析、行業(yè)分析、整體態(tài)勢分析。分析并展示違規(guī)、物聯(lián)網卡的區(qū)域情況（例如地市）、行業(yè)情況、整體態(tài)勢（例如時間展示、違規(guī)比例展示、總量展示、最新違規(guī)情況展示等）。

3.4 5G在云計算場景下的信息安全管控

5G環(huán)境下，更多的云計算資源將會接入網絡，也會加速高清視頻、虛擬現(xiàn)實/增強現(xiàn)實（VR/AR）、云視頻等業(yè)務的發(fā)展。資源的擴張，業(yè)務的發(fā)展，也會給信息安全管控帶來新的挑戰(zhàn)。

3.4.1 5G與云計算融合下的信息安全風險

在5G網絡環(huán)境下，云計算可能帶來的信息安全風險參見表1。

3.4.2 針對5G與云計算融合下新增風險的管控措施

如表1所介紹，對于5G環(huán)境下帶寬增大的問題，需要對現(xiàn)在不良信息集中管控系統(tǒng)前端采集點進行適當擴容，來滿足新增需求；對于新出現(xiàn)的業(yè)務、協(xié)議（例如HTTPS等），需要針對其進行專項研究，并對特定的內容進行還原、解析、判定。

3.5 5G在邊緣計算中的信息安全管控

3.5.1 5G與邊緣計算融合下的信息安全風險

移動邊緣計算（MEC）是一個“硬件+軟件”的系統(tǒng)，通過在移動網絡邊緣提供IT服務環(huán)境和云計算能力，以減少網絡操作和服務交付的時延，是5G的重要支撐力量。在5G獨立組網商用以后，預計車聯(lián)網、虛擬現(xiàn)實、增強現(xiàn)實、高清視頻、工業(yè)互聯(lián)網、遠程醫(yī)療等眾多垂直行業(yè)應用會涉及邊緣計算。邊緣計算有如下特點:

（1）傳統(tǒng)的CDN/WebCache中，邊緣節(jié)點不直接產生數(shù)據(jù)，也不對數(shù)據(jù)進行處理，而是由內容中心對數(shù)據(jù)進行分發(fā)，或直接對用戶上網數(shù)據(jù)進行緩存。

（2）在邊緣計算中，用戶設備（例如汽車、工程設備、醫(yī)療平臺、家庭電腦、智能手機等）產生用戶側數(shù)據(jù)，上傳到邊緣云/邊緣服務器，邊緣服務器在不跟中心服務器發(fā)生交互的前提下，直接對數(shù)據(jù)進行儲存、計算，并將處理結果返回給用戶設備。

（3）用戶側上傳的尤其是媒體類型的數(shù)據(jù)，可能存在信息安全風險隱患。

3.5.2 針對5G與邊緣計算融合下新增風險的管控措施

邊緣計算由5G用戶名功能模塊和邊緣計算平臺構成；5G網絡中控制面和用戶面徹底分離，控制面網元可以集中在大區(qū)/省中心，用戶面網元可根據(jù)業(yè)務需求（如時延要求）分層部署在不同的網絡位置，包括大區(qū)/省中心、地市、區(qū)縣等；深度報文檢測（Deep Packet Inspection，DPI）設備可對UE到用戶面的N3接口數(shù)據(jù)進行采集，進而進行監(jiān)控。

4 5G對現(xiàn)有安全管控系統(tǒng)影響分析

4.1 5G NSA架構對安全管控系統(tǒng)的影響

4.1.1 對DPI采集設備的影響

在5G NSA網絡架構下，DPI采集設備的架構圖參見圖1，采集點包括S1-U接口、省網網間出口、省網出口、IDC出口、骨干網出口以及國際出口。

對于DPI設備的具體影響，表2進行了總結。

4.1.2 對安全管控系統(tǒng)覆蓋面的影響

在NSA架構下，安全管控系統(tǒng)只有接入網的架構、信令、用戶面數(shù)據(jù)流發(fā)生變化，核心網架構、信令、數(shù)據(jù)流未發(fā)生變化；5G業(yè)務所有的信令數(shù)據(jù)、業(yè)務數(shù)據(jù)可被現(xiàn)有系統(tǒng)采集，可以實現(xiàn)管控。

4.2 5G SA架構對安全管控系統(tǒng)的影響

4.2.1 對DPI采集設備的影響

在5G SA網絡架構下，DPI采集設備的架構參見圖2。在該架構圖中，DPI采集點會發(fā)生變化。

對于DPI設備的具體影響，表3進行了總結。

4.2.2 對電話管控系統(tǒng)的影響

對SA架構下電話管控系統(tǒng)（包括虛假主叫管控系統(tǒng)、騷擾電話監(jiān)控系統(tǒng)、國際詐騙電話監(jiān)控系統(tǒng)）進行分析，可得出如下結論：

（1）電話管控的信令采集仍在IMS域進行，其中虛假主叫管控系統(tǒng)采集Mx接口，騷擾電話監(jiān)控系統(tǒng)采集ISC接口，國際詐騙電話監(jiān)控系統(tǒng)采集MGCF出口信令。

（2）電話管控系統(tǒng)信令采集部分字段會發(fā)生變化。

（3）SA架構下5G業(yè)務所有的信令數(shù)據(jù)可以被現(xiàn)有系統(tǒng)采集，可以實現(xiàn)語音管控。

4.2.3 對垃圾短信管控系統(tǒng)的影響

5G SA架構下，短消息發(fā)送流程分為SMSoNAS以及SMSoIP兩種模式，兩種模式下的短信發(fā)送都會經過SMSC（短信中心），可被現(xiàn)有垃短系統(tǒng)監(jiān)控。

4.2.4 對不良信息管控系統(tǒng)的影響

5G SA架構可以實現(xiàn)對不良信息的監(jiān)控，但涉及邊緣節(jié)點的數(shù)據(jù)，需要增加DPI設備對于N3接口的數(shù)據(jù)采集。但此時預計采集數(shù)據(jù)量會增大，可能需要對相關設備進行擴容。在5G下，會出現(xiàn)大量VR/AR視頻等業(yè)務，使用VR/AR類協(xié)議，而目前現(xiàn)有算法無法對VR/AR類視頻進行分析，導致無法對VR/AR類不良視頻進行監(jiān)控。

5 結語

本文對5G新網絡環(huán)境下可能面臨的信息安全風險進行了簡要分析，并針對5G下兩種不同的網絡架構，提出了信息安全風險的影響面以及可能的管控措施、手段。通過以上措施，我們可以對5G下可能出現(xiàn)的信息安全風險提前做好準備，為5G網絡更好地運行打下良好基礎。

 

（原載于《保密科學技術》2020年9月刊）