5G信息安全風(fēng)險研究

1 引言

作為新一代移動通信技術(shù)，5G系統(tǒng)在提升移動互聯(lián)網(wǎng)用戶業(yè)務(wù)體驗(yàn)的基礎(chǔ)之上，進(jìn)一步滿足未來物聯(lián)網(wǎng)應(yīng)用的海量需求，與各行業(yè)深度融合，實(shí)現(xiàn)真正的“萬物互聯(lián)”。

5G網(wǎng)絡(luò)支持更高帶寬、更低時延、更大連接密度，可以滿足3類應(yīng)用場景：增強(qiáng)移動寬帶（Enhanced Mobile Broadband，eMBB），超可靠低時延通信（Ultra-reliable and Low-latency Communications，uRLLC）以及海量機(jī)器類通信（Massive Machine Type Communications，mMTC）。

為滿足3種不同業(yè)務(wù)類型的通信需要，要求運(yùn)營商能夠針對新系統(tǒng)、新環(huán)境下的差異性，研究5G業(yè)務(wù)系統(tǒng)安全方面的典型特征，做好5G網(wǎng)絡(luò)業(yè)務(wù)的安全管控，保障5G網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)運(yùn)營安全。

2 5G網(wǎng)絡(luò)架構(gòu)與數(shù)據(jù)流分析

本文以目前5G網(wǎng)絡(luò)規(guī)劃使用的NSA Option3x、SA Option2兩種架構(gòu)為例，對5G數(shù)據(jù)流走向及存在的信息安全問題進(jìn)行分析。

2.1 NSA Option3x網(wǎng)絡(luò)架構(gòu)介紹與數(shù)據(jù)流分析

基于NSA Option3x方案的5G網(wǎng)絡(luò)總體架構(gòu)和4G LTE網(wǎng)絡(luò)總體架構(gòu)基本相同，是由分組域核心網(wǎng)、電路域核心網(wǎng)、IMS核心網(wǎng)及相關(guān)業(yè)務(wù)平臺、無線接入網(wǎng)和NSA終端組成，其中分組域核心網(wǎng)通過功能增強(qiáng)支持NSA核心網(wǎng)，簡稱EPC+。在NSA Option3x的網(wǎng)絡(luò)系統(tǒng)中，信令面均通過eNB和EPC+的S1-C接口連接交互。

對于NSA Option3x方案，數(shù)據(jù)可按承載粒度由4GeNB基站或5GgNB基站通過S1-U隧道和EPC+交互，X2接口除了承載信令外，還支持?jǐn)?shù)據(jù)面報(bào)文的交互，即gNB支持將一個承載內(nèi)的下行數(shù)據(jù)按照一定規(guī)則通過X2接口分流至eNB，上行數(shù)據(jù)可從eNB通過X2接口發(fā)送至gNB，也可直接通過NR空口發(fā)送至gNB。所有信令數(shù)據(jù)通過eNB到核心網(wǎng)，Volte數(shù)據(jù)通過eNB到核心網(wǎng)。

2.2 SA Option 2網(wǎng)絡(luò)架構(gòu)介紹與數(shù)據(jù)流分析

在SA Option 2組網(wǎng)方式中，接入層及非接入層信令和數(shù)據(jù)均通過5G協(xié)議進(jìn)行傳輸。

在核心網(wǎng)層面，核心網(wǎng)組網(wǎng)架構(gòu)、設(shè)備為5G新核心網(wǎng)架構(gòu)、設(shè)備；所有核心網(wǎng)信令、流程按照5G核心網(wǎng)協(xié)議進(jìn)行傳輸； 5G控制面采用基于服務(wù)的架構(gòu)（SBA），控制面網(wǎng)元包含AUSF、AMF、SMF、NSSF、NEF、NRF、PCF、UDM等；5G用戶面功能設(shè)備為UPF；可以對垂直行業(yè)用戶提供業(yè)務(wù)優(yōu)化能力，如網(wǎng)絡(luò)切片、邊緣計(jì)算（MEC）信息開放等。

在接入網(wǎng)層面，5G SA用戶通過NR空口接入5G核心網(wǎng)；5G接入采用gNB基站；支持與4G切換、重選互操作；所有控制面數(shù)據(jù)與用戶面數(shù)據(jù)均通過gNB傳輸?shù)?G核心網(wǎng)。

3 5G信息安全管控

5G網(wǎng)絡(luò)架構(gòu)以及應(yīng)用的變化，使得5G的信息安全管控也隨之發(fā)生改變。下面我們從5G信息安全管控體系以及5G應(yīng)用于人工智能（AI）、物聯(lián)網(wǎng)（IoT）、云計(jì)算（Cloud Computing）、大數(shù)據(jù)（Big Data）、邊緣計(jì)算（Edge Computing）這幾個方面可能帶來的變化為切入點(diǎn)，介紹5G網(wǎng)絡(luò)的信息安全管控問題。

3.1 5G信息安全管控體系問題總述

（1）NSA架構(gòu)下的信息安全管控變化。NSA架構(gòu)下，架構(gòu)與應(yīng)用的變化為：接入網(wǎng)基站發(fā)生變化，引入5G的gNB基站；會出現(xiàn)5G應(yīng)用于人工智能、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、邊緣計(jì)算等場景下的新業(yè)務(wù)；5G傳輸速率會相比于4G明顯提高。

基于以上變化，我們需要確認(rèn)安全管控的需求點(diǎn)為：信息安全管控系統(tǒng)的覆蓋能力能否對5G新業(yè)務(wù)進(jìn)行覆蓋；現(xiàn)有系統(tǒng)的解析、計(jì)算能力需對5G場景下的高速率業(yè)務(wù)進(jìn)行匹配。

（2）SA架構(gòu)下的信息安全管控變化。SA架構(gòu)下，架構(gòu)與應(yīng)用的變化為：接入網(wǎng)、核心網(wǎng)的設(shè)備、流程、信令均發(fā)生變化，接入網(wǎng)與核心網(wǎng)均引入新的5G設(shè)備；會出現(xiàn)更多5G應(yīng)用于不同場景的新業(yè)務(wù)；會產(chǎn)生大量垂直行業(yè)下的新應(yīng)用；會引入邊緣計(jì)算、切片。

基于以上變化，我們需要確認(rèn)安全管控的需求點(diǎn)為：信息安全管控系統(tǒng)的覆蓋能力；部分信息安全管控系統(tǒng)需要改造，匹配系統(tǒng)架構(gòu)；為新的應(yīng)用場景、業(yè)務(wù)、協(xié)議提供安全管控能力；為垂直行業(yè)提供安全管控。

3.2 5G在人工智能場景下的信息安全管控

3.2.1 5G與人工智能融合下的信息安全風(fēng)險

5G網(wǎng)絡(luò)下，人工智能提供的應(yīng)用數(shù)量日益增長，同時這些應(yīng)用也會帶來安全風(fēng)險，如：

（1）深度偽造技術(shù)。深度偽造（Deepfake）是一種利用人工智能和機(jī)器學(xué)習(xí)將人的臉疊加到另外一個人的身體上的技術(shù)。目前，華盛頓大學(xué)研究人員已經(jīng)可以利用音視頻人工智能技術(shù)，虛擬出政治人物演講，達(dá)到以假亂真的效果。未來，不法分子可能會利用人工智能技術(shù)，針對公眾人物制作虛假視頻，進(jìn)行詐騙、政治宣傳等。

（2）人工智能惡意軟件。據(jù)報(bào)道，IBM研究院安全研究人員開發(fā)了一種由人工智能驅(qū)動的“高度針對性和回避性”攻擊工具DeepLocker，將現(xiàn)有的幾種人工智能模型與當(dāng)前的惡意軟件技術(shù)相結(jié)合，創(chuàng)建一種特別具有挑戰(zhàn)性的新型惡意軟件。該惡意軟件可以隱藏其意圖，直到它觸達(dá)特定受害者，才會釋放惡意行為。

（3）語音機(jī)器人騷擾電話。2019年“3·15”晚會上曝光不少企業(yè)通過模仿人類聲音的智能機(jī)器人撥打大量騷擾電話。在對某人工智能公司的暗訪中，記者發(fā)現(xiàn)，一年內(nèi)該公司利用智能機(jī)器人撥打了40多億次騷擾電話，涉及30多個行業(yè)。

（4）人工智能釣魚郵件。黑客可以使用人工智能技術(shù)，對用戶大量生成有針對性的釣魚郵件。此外，還可利用對抗生成網(wǎng)絡(luò)技術(shù)，巧妙繞過目前已有的反釣魚郵件系統(tǒng)，達(dá)到攻擊用戶的目的。

3.2.2 針對5G與人工智能融合下新增風(fēng)險的管控措施

人工智能信息安全風(fēng)險，并非在5G網(wǎng)絡(luò)下所特有的風(fēng)險，而是人工智能自身所具有的風(fēng)險。5G網(wǎng)絡(luò)使得人工智能技術(shù)的使用迅速增加，因此人工智能的安全風(fēng)險也增大，我們針對人工智能風(fēng)險提出了以下管控措施：

（1）對抗訓(xùn)練。主動生成大量對抗樣本供模型進(jìn)行學(xué)習(xí)，提升模型應(yīng)對對抗樣本的能力；手機(jī)惡意軟件管控系統(tǒng)及時更新惡意軟件數(shù)據(jù)庫；騷擾電話、虛假主叫監(jiān)控系統(tǒng)對自動語音撥打建立有針對性的監(jiān)控流程、算法模型；不良信息集中管控系統(tǒng)及時更新釣魚網(wǎng)站識別算法。

（2）源頭預(yù)防與聯(lián)合治理相結(jié)合。對于人工智能生成的虛假音視頻，目前的安全管控系統(tǒng)很難直接監(jiān)測，因此只能聯(lián)合多方進(jìn)行管控。建議視頻發(fā)布源頭加強(qiáng)審核，工信部、公安部、網(wǎng)信辦等有關(guān)部門加大違規(guī)人員、網(wǎng)站處罰力度。

3.3 5G在物聯(lián)網(wǎng)場景下的信息安全管控

萬物互聯(lián)是人工智能時代背景下物聯(lián)網(wǎng)的最終極目標(biāo)之一。物聯(lián)網(wǎng)設(shè)備的海量增長，以及5G網(wǎng)絡(luò)商用化的逐步展開，將使物聯(lián)網(wǎng)卡引發(fā)的信息安全風(fēng)險與4G時代相比也會成倍增長，因此更需要重點(diǎn)關(guān)注。

3.3.1 5G與物聯(lián)網(wǎng)融合下的信息安全風(fēng)險

物聯(lián)網(wǎng)卡的發(fā)放管理不嚴(yán)格，可能出現(xiàn)違規(guī)轉(zhuǎn)售轉(zhuǎn)租等管理風(fēng)險；物聯(lián)網(wǎng)終端易被侵入遭受惡意控制，進(jìn)而可能形成僵尸網(wǎng)絡(luò)并攻擊其他網(wǎng)絡(luò)用戶，出現(xiàn)非法散播違規(guī)內(nèi)容的風(fēng)險（例如傳播垃圾短信、撥打騷擾電話等）。

3.3.2 針對5G與物聯(lián)網(wǎng)融合下新增風(fēng)險的管控措施

對于疑似違規(guī)的物聯(lián)網(wǎng)卡，可以基于物聯(lián)網(wǎng)卡開卡（注冊）信息、位置信息、上網(wǎng)流量、通話記錄、短信記錄等數(shù)據(jù)進(jìn)行專項(xiàng)分析，并對安全風(fēng)險進(jìn)行監(jiān)控，可采取的物聯(lián)網(wǎng)卡安全監(jiān)測方法如下。

（1）業(yè)務(wù)濫用分析。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)移動業(yè)務(wù)情況（例如單獨(dú)開通通話、上網(wǎng)等功能）、消費(fèi)地點(diǎn)、消費(fèi)賬單等數(shù)據(jù)進(jìn)行分析。

（2）機(jī)卡分離監(jiān)測。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)的行業(yè)業(yè)務(wù)情況，例如控制系統(tǒng)（如電表、充電樁）、車聯(lián)網(wǎng)、智能安防系統(tǒng)、智能終端、IMEI號碼，以及相關(guān)業(yè)務(wù)可能的位置情況等內(nèi)容，來判定行業(yè)卡/物聯(lián)網(wǎng)卡是否存在機(jī)卡分離的現(xiàn)象。

（3）位置異常變動分析。根據(jù)物聯(lián)網(wǎng)卡被授權(quán)的行業(yè)業(yè)務(wù)情況，以及LAC、CI數(shù)據(jù)等，判斷是否存在位置異常變動情況。

（4）惡意攻擊檢測。根據(jù)上網(wǎng)日志、DNS日志等數(shù)據(jù)，發(fā)現(xiàn)物聯(lián)網(wǎng)卡設(shè)備被人植入后門，并惡意利用進(jìn)行DDoS攻擊、僵尸網(wǎng)絡(luò)挖礦等行為。

（5）騷擾電話、垃圾短信分析。根據(jù)物聯(lián)網(wǎng)卡號段信息，通話信令數(shù)據(jù)、疑似垃圾短信上報(bào)數(shù)據(jù)，發(fā)現(xiàn)物聯(lián)網(wǎng)卡撥打騷擾電話、發(fā)送垃圾短信、傳播惡意鏈接的情況。

（6）區(qū)域分析、行業(yè)分析、整體態(tài)勢分析。分析并展示違規(guī)、物聯(lián)網(wǎng)卡的區(qū)域情況（例如地市）、行業(yè)情況、整體態(tài)勢（例如時間展示、違規(guī)比例展示、總量展示、最新違規(guī)情況展示等）。

3.4 5G在云計(jì)算場景下的信息安全管控

5G環(huán)境下，更多的云計(jì)算資源將會接入網(wǎng)絡(luò)，也會加速高清視頻、虛擬現(xiàn)實(shí)/增強(qiáng)現(xiàn)實(shí)（VR/AR）、云視頻等業(yè)務(wù)的發(fā)展。資源的擴(kuò)張，業(yè)務(wù)的發(fā)展，也會給信息安全管控帶來新的挑戰(zhàn)。

3.4.1 5G與云計(jì)算融合下的信息安全風(fēng)險

在5G網(wǎng)絡(luò)環(huán)境下，云計(jì)算可能帶來的信息安全風(fēng)險參見表1。

3.4.2 針對5G與云計(jì)算融合下新增風(fēng)險的管控措施

如表1所介紹，對于5G環(huán)境下帶寬增大的問題，需要對現(xiàn)在不良信息集中管控系統(tǒng)前端采集點(diǎn)進(jìn)行適當(dāng)擴(kuò)容，來滿足新增需求；對于新出現(xiàn)的業(yè)務(wù)、協(xié)議（例如HTTPS等），需要針對其進(jìn)行專項(xiàng)研究，并對特定的內(nèi)容進(jìn)行還原、解析、判定。

3.5 5G在邊緣計(jì)算中的信息安全管控

3.5.1 5G與邊緣計(jì)算融合下的信息安全風(fēng)險

移動邊緣計(jì)算（MEC）是一個“硬件+軟件”的系統(tǒng)，通過在移動網(wǎng)絡(luò)邊緣提供IT服務(wù)環(huán)境和云計(jì)算能力，以減少網(wǎng)絡(luò)操作和服務(wù)交付的時延，是5G的重要支撐力量。在5G獨(dú)立組網(wǎng)商用以后，預(yù)計(jì)車聯(lián)網(wǎng)、虛擬現(xiàn)實(shí)、增強(qiáng)現(xiàn)實(shí)、高清視頻、工業(yè)互聯(lián)網(wǎng)、遠(yuǎn)程醫(yī)療等眾多垂直行業(yè)應(yīng)用會涉及邊緣計(jì)算。邊緣計(jì)算有如下特點(diǎn):

（1）傳統(tǒng)的CDN/WebCache中，邊緣節(jié)點(diǎn)不直接產(chǎn)生數(shù)據(jù)，也不對數(shù)據(jù)進(jìn)行處理，而是由內(nèi)容中心對數(shù)據(jù)進(jìn)行分發(fā)，或直接對用戶上網(wǎng)數(shù)據(jù)進(jìn)行緩存。

（2）在邊緣計(jì)算中，用戶設(shè)備（例如汽車、工程設(shè)備、醫(yī)療平臺、家庭電腦、智能手機(jī)等）產(chǎn)生用戶側(cè)數(shù)據(jù)，上傳到邊緣云/邊緣服務(wù)器，邊緣服務(wù)器在不跟中心服務(wù)器發(fā)生交互的前提下，直接對數(shù)據(jù)進(jìn)行儲存、計(jì)算，并將處理結(jié)果返回給用戶設(shè)備。

（3）用戶側(cè)上傳的尤其是媒體類型的數(shù)據(jù)，可能存在信息安全風(fēng)險隱患。

3.5.2 針對5G與邊緣計(jì)算融合下新增風(fēng)險的管控措施

邊緣計(jì)算由5G用戶名功能模塊和邊緣計(jì)算平臺構(gòu)成；5G網(wǎng)絡(luò)中控制面和用戶面徹底分離，控制面網(wǎng)元可以集中在大區(qū)/省中心，用戶面網(wǎng)元可根據(jù)業(yè)務(wù)需求（如時延要求）分層部署在不同的網(wǎng)絡(luò)位置，包括大區(qū)/省中心、地市、區(qū)縣等；深度報(bào)文檢測（Deep Packet Inspection，DPI）設(shè)備可對UE到用戶面的N3接口數(shù)據(jù)進(jìn)行采集，進(jìn)而進(jìn)行監(jiān)控。

4 5G對現(xiàn)有安全管控系統(tǒng)影響分析

4.1 5G NSA架構(gòu)對安全管控系統(tǒng)的影響

4.1.1 對DPI采集設(shè)備的影響

在5G NSA網(wǎng)絡(luò)架構(gòu)下，DPI采集設(shè)備的架構(gòu)圖參見圖1，采集點(diǎn)包括S1-U接口、省網(wǎng)網(wǎng)間出口、省網(wǎng)出口、IDC出口、骨干網(wǎng)出口以及國際出口。

對于DPI設(shè)備的具體影響，表2進(jìn)行了總結(jié)。

4.1.2 對安全管控系統(tǒng)覆蓋面的影響

在NSA架構(gòu)下，安全管控系統(tǒng)只有接入網(wǎng)的架構(gòu)、信令、用戶面數(shù)據(jù)流發(fā)生變化，核心網(wǎng)架構(gòu)、信令、數(shù)據(jù)流未發(fā)生變化；5G業(yè)務(wù)所有的信令數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)可被現(xiàn)有系統(tǒng)采集，可以實(shí)現(xiàn)管控。

4.2 5G SA架構(gòu)對安全管控系統(tǒng)的影響

4.2.1 對DPI采集設(shè)備的影響

在5G SA網(wǎng)絡(luò)架構(gòu)下，DPI采集設(shè)備的架構(gòu)參見圖2。在該架構(gòu)圖中，DPI采集點(diǎn)會發(fā)生變化。

對于DPI設(shè)備的具體影響，表3進(jìn)行了總結(jié)。

4.2.2 對電話管控系統(tǒng)的影響

對SA架構(gòu)下電話管控系統(tǒng)（包括虛假主叫管控系統(tǒng)、騷擾電話監(jiān)控系統(tǒng)、國際詐騙電話監(jiān)控系統(tǒng)）進(jìn)行分析，可得出如下結(jié)論：

（1）電話管控的信令采集仍在IMS域進(jìn)行，其中虛假主叫管控系統(tǒng)采集Mx接口，騷擾電話監(jiān)控系統(tǒng)采集ISC接口，國際詐騙電話監(jiān)控系統(tǒng)采集MGCF出口信令。

（2）電話管控系統(tǒng)信令采集部分字段會發(fā)生變化。

（3）SA架構(gòu)下5G業(yè)務(wù)所有的信令數(shù)據(jù)可以被現(xiàn)有系統(tǒng)采集，可以實(shí)現(xiàn)語音管控。

4.2.3 對垃圾短信管控系統(tǒng)的影響

5G SA架構(gòu)下，短消息發(fā)送流程分為SMSoNAS以及SMSoIP兩種模式，兩種模式下的短信發(fā)送都會經(jīng)過SMSC（短信中心），可被現(xiàn)有垃短系統(tǒng)監(jiān)控。

4.2.4 對不良信息管控系統(tǒng)的影響

5G SA架構(gòu)可以實(shí)現(xiàn)對不良信息的監(jiān)控，但涉及邊緣節(jié)點(diǎn)的數(shù)據(jù)，需要增加DPI設(shè)備對于N3接口的數(shù)據(jù)采集。但此時預(yù)計(jì)采集數(shù)據(jù)量會增大，可能需要對相關(guān)設(shè)備進(jìn)行擴(kuò)容。在5G下，會出現(xiàn)大量VR/AR視頻等業(yè)務(wù)，使用VR/AR類協(xié)議，而目前現(xiàn)有算法無法對VR/AR類視頻進(jìn)行分析，導(dǎo)致無法對VR/AR類不良視頻進(jìn)行監(jiān)控。

5 結(jié)語

本文對5G新網(wǎng)絡(luò)環(huán)境下可能面臨的信息安全風(fēng)險進(jìn)行了簡要分析，并針對5G下兩種不同的網(wǎng)絡(luò)架構(gòu)，提出了信息安全風(fēng)險的影響面以及可能的管控措施、手段。通過以上措施，我們可以對5G下可能出現(xiàn)的信息安全風(fēng)險提前做好準(zhǔn)備，為5G網(wǎng)絡(luò)更好地運(yùn)行打下良好基礎(chǔ)。

 

（原載于《保密科學(xué)技術(shù)》2020年9月刊）