中国信息通信安全所长魏亮表示网络架构变化将给5G安全带来五大风险

在日前召开的“2019 C3安全峰会”上，中国信息通信研究院安全研究所所长魏亮表示，5G面临的安全风险来自两个方面，一个是网络架构的变化会带来额外的安全风险；另一个是新的业务场景会带来更大的风险。魏亮同时呼吁，5G产业链各方携手一起打造5G安全体系。

魏亮表示，网络架构的变化中虚拟化、边缘化、能力开放、切片等技术给5G带来多种安全风险。

“虚拟化能带来很多好处，但虚拟化后可能在一个通用的硬件商跑一个软件的模块，这个就可能会带来新的安全风险。”魏亮表示，“同时在资源层可能执行层带来一些安全风险，云计算以后原来的系统有些额外的安全风险，到了5G时代把原来很核心网专门的功能都虚拟化了，都在通用的硬件上作为软件模块来跑毫无疑问会有新的被攻击的风险。”

5G更加有利于一些行业应用的落地，原来在网络中心核心或者是一些软件地方处理的东西要下放到边缘才能降低实现。“边缘化后肯定会带来新的风险。”魏亮指出，因为边缘化后肯定是数量多了，单位上面的成本就会不可避免的降低。在边缘时安全防护的强度有可能降低，被攻击的难度有可能会降低，也会有一些额外的安全风险，本来在层层防护网络核心的东西如果放到网络边缘，物理上肯定安全的强度就会降低，而且它有一些复杂的协议交互，协议层面也受攻击，流量、数据、控制、管理等各个层面都可能会有弱化，有安全风险。”

能力开放。5G会把很多能力开放给新业务使用。从一个封闭的平台到一个开放的平台，能力开放后，很多协议接口、认证流程会开放出来让人调用，大家共享使用。这样一来，原来内部使用的一些API必须要对外提供，就有会被恶性使用，遇到攻击等。

异构介入和终端形态多样化。到了智能终端以后可以有一些灵活的，同时也有APP上可能有弱点有问题，可能对网络带来一些影响。这些终端带来新的安全风险，可能成为新的攻击源，在数据采集阶段因为被攻击采到一些样本被污染的数据。

此外，网络切片同样也会给安全带来风险。切片后会有短板效应，某个切片如果安全上做得弱一点，因为它可能自己没有这样的需求，这个切片被攻陷以后会不会影响别的切片，而且安全责任的归属难以划分。毫无疑问有了切片以后，参与者更多，链条变更长，安全受攻击的可能性也会增加。

eMBB业务典型的AR/VR、高清视频直播等业务，因为有了网络切片，在某个切片运行，因为边缘计算，因为能力开放，有了这个业务之后对差异化，对数据保护能力也带来一些新的挑战。

uRLLC业务可能带来一些生产的安全。在这种场景下，不能把业务拿下来扫描以后再来实施，这样就需要增加额外实验，同时又带来新的攻击风险。

魏亮表示，“这个业务的车联网或者工业互联网环境下我们既有严苛的生产安全，车联网环境下有严苛的生命安全，行车过程中车被控制了，即使在某个切片中也可能带来更多的安全风险。同时一些隐私的告知方式也不适应于车联网和典型的5G应用场景。”

还有mMTC业务安全风险，比如说智慧单车、指挥停车等等，有些切片、边缘开放等等带来的安全风险。魏亮指出，个人信息或者关键数据被泄露的风险，毫无疑问被增大。“在实际上业务的开展中，很多是很难真正做到的，为了有新业务后，不可避免把攻击面扩大，不可避免把业务做大。还有一些防护，因为终端越来越多，防护的工作量越来越大，成本越来越高，我们有可能会不愿意花这么多成本，毕竟安全有代价，不可能无线投入做安全，这样在这个场景下我们可能对终端的一些防护要求会弱化，那可能会影响整个网络或者影响其他切片的其他功能。”

“虽然说5G现在来说是刚刚在开始应用，应该来说还没有大规模的新业务大规模上来，只是试用。”魏亮表示，但5G安全特性来自于4G网络的增强，来自于多样化业务场景的要求，来自于新技术使用的一些要求，具体来说比如说统一认证健全，密钥的管理，加密算法的强化，还有物理层的安全等，具备六大好处。

首先是统一安全架构，这样可能会带来很多安全上的好处；

其次是开放的安全能力，为第三方提供开放的安全能力和接口；

第三是多层次的切片安全，有了切片带来好处，所以说我们从安全能力上就多层次化切片都是要有安全，不同的切片要有不同的隔离和保护；

第四是多样安全凭证管理，就5G以后可能多样化的凭证，凭证如何来管理，非对称的认证方式，减少大规模终端的一些认证压力；

第五是面向业务的安全保护，针对不同的业务开展加密等等安全规则；

第六是更强的隐私保护，从认证框架来看5G将采用统一的认证框架和安全管理，一个架构支持多种的接入技术和认证协议，多接入安全上下文的共享，开放数据接口等。

5G有按需的安全保护，对于不同业务的需求可以有不同的端到端之间的安全保护，这是5G带来从设计之初就有考虑的。同时有一个多层次的切片安全，用户与切片之间的安全，用户能够接入正确的切片，切片数据传输能够既完整又保密，切片和数据网络之间有安全机制，切片之间有相互的隔离，要有安全，要传输上安全。切片内也要有自己的安全，不同网源之间的数据传输要有安全，还有网源的限制，防止网源的攻击。

5G还没有大规模应用，但是从研究人员来说已经充分考虑了各方面的安全保障机制，有全生命周期的安全架构技术，有多层次的切片安全机制，有安全保障的下沉，外部有三方网源，核心网和内部网源有更灵活的安全能力。

据魏亮介绍，中国信息通信研究院安全研究所主要工作包括两方面：一个是安全标准方面的工作；一个是安全评估方面。

魏亮表示，从标准上是我们希望能够构建一个5G安全标准体系，从联盟标准、行业标准、国家标准多个层面来共同推进5G安全的标准化工作，全面覆盖5G安全机制保证的多个领域。还有5G业务和应用上线前安全评估标准和要求，使得5G应用数据安全、业务安全、应用安全各方面在各个场景下能够得到有效的保护。

此外，魏亮希望开展安全评估方面工作。“因为有了安全的标准要求，我们需要有评估来保障实施是否完全按照这个标准来做的。评估方面一个是要构建一个全方位的5G安全评估体系，建立5G安全评估实施机制，实现制度和保障措施，加强5G安全评估结果的应用，促进5G技术的健康发展。”

最后魏亮呼吁，业界同仁一起建立5G安全体系，加强能力建设，加强合作信息交流，推进5G设备安全认证机制，把5G标准打造更全面，并通过安全评估使得5G网络变得更安全。