5G 網(wǎng)絡(luò)安全發(fā)展與創(chuàng)新安全體系及技術(shù)探索

１5G網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀從全球視角來(lái)看，數(shù)字經(jīng)濟(jì)在農(nóng)業(yè)現(xiàn)代化、城鎮(zhèn)化以及工業(yè)現(xiàn)代化等方面的作用凸顯，數(shù)字經(jīng)濟(jì)的浪潮已經(jīng)迎面而來(lái)、深入發(fā)展。5G網(wǎng)絡(luò)作為數(shù)字經(jīng)濟(jì)發(fā)展的通信基礎(chǔ)設(shè)施，其網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)架構(gòu)也在快速演進(jìn)，且面對(duì)國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)的不斷變化，5G網(wǎng)絡(luò)安全技術(shù)的創(chuàng)新發(fā)展需求也在日益凸顯。當(dāng)前業(yè)界針對(duì)5G安全的熱點(diǎn)研究，主要集中于安全能力部署、安全體系架構(gòu)、內(nèi)生安全機(jī)理以及結(jié)合5G網(wǎng)絡(luò)云化、虛擬化等特點(diǎn)。已有相當(dāng)數(shù)量的標(biāo)準(zhǔn)研究機(jī)構(gòu)、高校以及企業(yè)開(kāi)展了5G安全技術(shù)研究，以內(nèi)源性防御架構(gòu)為重點(diǎn)，挖掘5G網(wǎng)絡(luò)的內(nèi)生安全元素。主要包括物理層安全技術(shù)、網(wǎng)絡(luò)切片安全技術(shù)、用戶隱私保護(hù)技術(shù)、輕量級(jí)加密技術(shù)，以及應(yīng)用于5G安全的區(qū)塊鏈、人工智能等新型融合技術(shù)。各國(guó)出于自身政治、經(jīng)濟(jì)以及技術(shù)等方面的考慮，在5G安全技術(shù)研究方面表現(xiàn)出各自不同的策略。1.1國(guó)外5G安全發(fā)展現(xiàn)狀2020年3月，美國(guó)頒布了《美國(guó)5G安全國(guó)家戰(zhàn)略》，內(nèi)容包括頻譜規(guī)劃、評(píng)估5G漏洞、安全原則制定以及5G安全評(píng)審簡(jiǎn)化等方面，并協(xié)同盟友共同推動(dòng)全球5G安全的開(kāi)發(fā)和部署。因此，該戰(zhàn)略計(jì)劃主要用于識(shí)別和評(píng)估5G相關(guān)的基礎(chǔ)設(shè)施、設(shè)備、軟件以及系統(tǒng)等方面潛在的安全威脅和漏洞，并支持5G及未來(lái)通信技術(shù)安全方面的發(fā)展。2020年1月，美國(guó)國(guó)防高級(jí)研究計(jì)劃局（DefenseAdvancedResearchProjectsAgency，DARPA）發(fā)布了OPS-5G項(xiàng)目。該項(xiàng)目作為美國(guó)5G安全技術(shù)研究的新方向，主要是為5G移動(dòng)設(shè)備開(kāi)發(fā)一個(gè)輕便的、符合標(biāo)準(zhǔn)的網(wǎng)絡(luò)棧，該網(wǎng)絡(luò)棧免費(fèi)、開(kāi)源且安全性較高[1]。其目標(biāo)是提高5G整體技術(shù)的安全性，建立以美國(guó)為主導(dǎo)的、兼容標(biāo)準(zhǔn)的、不依賴于硬件且安全的開(kāi)源軟件。2020年1月，歐盟國(guó)家網(wǎng)絡(luò)安全協(xié)作組（NIS

CorporationGroup）發(fā)布《5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)消減措施工具箱》，包括8條戰(zhàn)略措施和11條技術(shù)措施。其中，技術(shù)措施從安全網(wǎng)絡(luò)架構(gòu)、訪問(wèn)控制、虛擬化網(wǎng)絡(luò)功能安全、安全5G網(wǎng)絡(luò)管理運(yùn)維等方面提出相關(guān)建議，以保護(hù)5G網(wǎng)絡(luò)的機(jī)密性、完整性和可用性等為安全目標(biāo)。1.2國(guó)內(nèi)5G安全發(fā)展現(xiàn)狀2019—2020年是我國(guó)5G元年，各部委針對(duì)5G均單獨(dú)發(fā)文且要求加強(qiáng)5G安全保障，體現(xiàn)了國(guó)家對(duì)5G安全技術(shù)研究方面的重視。2020年8月25日，國(guó)家發(fā)展和改革委員會(huì)發(fā)布了《推動(dòng)5G安全體系建設(shè)》。該指導(dǎo)方案要求加大5G安全技術(shù)研發(fā)投入，推動(dòng)5G漏洞挖掘、入侵防御以及數(shù)據(jù)挖掘等方面的安全技術(shù)研發(fā)，構(gòu)建全局感知、預(yù)警防護(hù)、威脅監(jiān)測(cè)以及聯(lián)動(dòng)處置的5G安全保障框架。2020年2月4日，中國(guó)信息通信研究院和IMT-2020（5G）推進(jìn)組聯(lián)合發(fā)布了《5G安全報(bào)告》。該報(bào)告系統(tǒng)性分析了5G關(guān)鍵技術(shù)、典型應(yīng)用場(chǎng)景及產(chǎn)業(yè)生態(tài)的安全風(fēng)險(xiǎn)，并提出了相應(yīng)的安全理念及應(yīng)對(duì)思路。重點(diǎn)關(guān)注了5G新技術(shù)對(duì)移動(dòng)互聯(lián)網(wǎng)帶來(lái)的巨大挑戰(zhàn)，包括物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)以及車聯(lián)網(wǎng)等，詳細(xì)討論了5G安全特性、需求以及漏洞，給出現(xiàn)有的解決方案，以及有關(guān)第三代合作伙伴計(jì)劃（3rdGenerationPartnershipProject，3GPP）5G網(wǎng)絡(luò)中新功能和新技術(shù)的一些開(kāi)放研究問(wèn)題。同時(shí)，該報(bào)告從安全性和隱私性的角度介紹了5G安全模型的核心技術(shù)和支持技術(shù)，包括網(wǎng)絡(luò)軟件化、物理層和5G隱私安全，指出了符合未來(lái)5G高安全要求的研究方向。2020年底，中國(guó)5G網(wǎng)絡(luò)用戶數(shù)超過(guò)1.6億，約占全球5G總用戶數(shù)的89%，已建成5G基站91.6萬(wàn)個(gè)，占全球70%，5G連接數(shù)已超過(guò)3.65億，占全球80%。因此，5G安全是保障所有基礎(chǔ)業(yè)務(wù)安全的重要一環(huán)，中國(guó)在5G安全技術(shù)研究及應(yīng)用方面正在不斷推進(jìn)，且具有一定的領(lǐng)先優(yōu)勢(shì)。在推進(jìn)過(guò)程中，中國(guó)有望保持并率先實(shí)現(xiàn)5G安全技術(shù)方面的研發(fā)突破。２5G網(wǎng)絡(luò)安全現(xiàn)狀分析面對(duì)當(dāng)前信息化發(fā)展趨勢(shì)，各類應(yīng)用場(chǎng)景、業(yè)務(wù)能力對(duì)5G網(wǎng)絡(luò)的技術(shù)安全及隱私保護(hù)提出了更高的要求。因此，5G整體安全架構(gòu)及能力在滿足基本通信需求外，相較于3G、4G時(shí)代，進(jìn)一步提出了差異化安全服務(wù)、多種網(wǎng)絡(luò)設(shè)備接入方式以及新型安全架構(gòu)等安全需求，從而更好地提供開(kāi)放安全能力。2.15G網(wǎng)絡(luò)現(xiàn)有安全架構(gòu)為了更好地突出5G高速率、低時(shí)延、海量終端接入等優(yōu)勢(shì)，當(dāng)前5G網(wǎng)絡(luò)安全架構(gòu)主要從密鑰認(rèn)證接入、節(jié)點(diǎn)安全保護(hù)研究等方面進(jìn)行實(shí)現(xiàn)。5G網(wǎng)絡(luò)架構(gòu)如圖1所示，包括8個(gè)安全能力領(lǐng)域。圖15G網(wǎng)絡(luò)（1）網(wǎng)絡(luò)接入安全。保障用戶接入網(wǎng)絡(luò)的數(shù)據(jù)安全。（2）網(wǎng)絡(luò)域安全。保障信令面和用戶面的信令數(shù)據(jù)安全交互，包括無(wú)線接入網(wǎng)節(jié)點(diǎn)、服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)與歸屬環(huán)境間的信息交互。（3）首次認(rèn)證和密鑰管理。包括認(rèn)證和密鑰管理的各種機(jī)制，體現(xiàn)統(tǒng)一的認(rèn)證框架。（4）二次認(rèn)證和密鑰管理。通過(guò)設(shè)備二次認(rèn)證及相關(guān)密鑰管理，進(jìn)一步提升終端用戶與外部數(shù)據(jù)網(wǎng)絡(luò)間業(yè)務(wù)認(rèn)證的安全性。體現(xiàn)部分業(yè)務(wù)接入5G網(wǎng)絡(luò)時(shí)，5G網(wǎng)絡(luò)對(duì)于業(yè)務(wù)的授權(quán)。（5）安全能力開(kāi)放。5G網(wǎng)元可對(duì)外部業(yè)務(wù)提供方開(kāi)放安全能力，從而實(shí)現(xiàn)基于業(yè)務(wù)需求的按需用戶保障。（6）應(yīng)用安全。保障終端用戶與業(yè)務(wù)應(yīng)用方之間的安全通信。（7）切片安全。體現(xiàn)切片的安全保護(hù)。例如，用戶設(shè)備（UserEquipment，UE）接入切片的授權(quán)安全、切片隔離安全等。（8）安全可視化和可配置。體現(xiàn)用戶可以感知安全特性是否被執(zhí)行，這些安全特性是否可以保障業(yè)務(wù)的安全使用和提供。2.25G網(wǎng)絡(luò)現(xiàn)有安全能力2.2.1網(wǎng)絡(luò)切片安全5G網(wǎng)絡(luò)采用了服務(wù)化網(wǎng)絡(luò)架構(gòu)，引入了網(wǎng)絡(luò)切片技術(shù)，通過(guò)引入網(wǎng)絡(luò)功能虛擬化（NetworkFunctionVirtualization，NFV）技術(shù)和軟件定義網(wǎng)絡(luò)（SoftwareDefinedNetwork，SDN）架構(gòu)實(shí)現(xiàn)了切片化。網(wǎng)絡(luò)切片技術(shù)即通過(guò)不同網(wǎng)元的編排組合使得網(wǎng)絡(luò)具有不同的功能，具備較高的靈活性和可定制性。在傳統(tǒng)移動(dòng)網(wǎng)絡(luò)的安全機(jī)制下，切片安全可以提供接入認(rèn)證、信令及數(shù)據(jù)加密保護(hù)等在內(nèi)的安全能力。在當(dāng)前5G網(wǎng)絡(luò)安全架構(gòu)下，切片安全可以結(jié)合物理隔離等隔離機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)切片間端到端的安全隔離防護(hù)，包括核心網(wǎng)隔離、承載隔離以及無(wú)線接入網(wǎng)（RadioAccessNetwork，RAN）隔離等。因此，切片安全能夠滿足垂直行業(yè)應(yīng)用差異化需求，并提供了更健壯的數(shù)據(jù)安全保護(hù)、更豐富的認(rèn)證機(jī)制支持和更嚴(yán)密的用戶隱私保護(hù)。2.2.2認(rèn)證和授權(quán)安全5G在4G安全特性的基礎(chǔ)上對(duì)部分安全特性進(jìn)行了增強(qiáng)，并且針對(duì)不同業(yè)務(wù)場(chǎng)景拓展了安全能力，其中更完善的認(rèn)證機(jī)制是5G網(wǎng)絡(luò)的重要安全特性。5G網(wǎng)絡(luò)針對(duì)不同的認(rèn)證場(chǎng)景考慮了更多有效的認(rèn)證選擇，包括處于間接3GPP連接模式下的終端設(shè)備有效利用資源的認(rèn)證機(jī)制，以及針對(duì)物聯(lián)網(wǎng)群組的有效認(rèn)證機(jī)制。當(dāng)前5G系統(tǒng)還支持服務(wù)網(wǎng)絡(luò)認(rèn)證、接入網(wǎng)授權(quán)、UE授權(quán)以及未認(rèn)證緊急服務(wù)等多種認(rèn)證機(jī)制能力。5G認(rèn)證和授權(quán)機(jī)制為網(wǎng)絡(luò)接入和業(yè)務(wù)接入提供了統(tǒng)一的認(rèn)證框架，支持多種網(wǎng)絡(luò)接入和認(rèn)證機(jī)制。5G網(wǎng)絡(luò)認(rèn)證繼承了4G網(wǎng)絡(luò)安全性較高的認(rèn)證與密鑰協(xié)商協(xié)議（AuthenticationandKeyAgreement，AKA）認(rèn)證機(jī)制，并進(jìn)一步增強(qiáng)了AKA的機(jī)制和能力，稱作5G-AKA。另外，5G引入了擴(kuò)展認(rèn)證協(xié)議（ExtensiveAuthenticationProtocol，EAP）認(rèn)證框架，將EAP-AKA作為5G網(wǎng)絡(luò)的基本認(rèn)證方法予以支持。2.2.3MEC安全防護(hù)采用邊緣計(jì)算技術(shù)（MobileEdgeComputing，MEC）打造用戶內(nèi)部5G網(wǎng)絡(luò)，可保證用戶業(yè)務(wù)數(shù)據(jù)不傳送到外網(wǎng)，保證數(shù)據(jù)私密性。同時(shí)，MEC不會(huì)對(duì)傳輸?shù)臄?shù)據(jù)內(nèi)容做存儲(chǔ)，從而不會(huì)出現(xiàn)MEC節(jié)點(diǎn)數(shù)據(jù)泄露現(xiàn)象。此外，MEC與用戶本地服務(wù)器之間部署防火墻進(jìn)行數(shù)據(jù)隔離，從物理層面上有效提升了5G網(wǎng)絡(luò)數(shù)據(jù)的安全性。2.2.4安全能力開(kāi)放5G網(wǎng)絡(luò)安全能力可通過(guò)能力開(kāi)放接口提供給用戶，以便用戶按照自身需求編排定制化網(wǎng)絡(luò)安全服務(wù)。5G網(wǎng)絡(luò)可通過(guò)將安全能力進(jìn)行抽象、封裝，配合其他網(wǎng)絡(luò)能力及資源，動(dòng)態(tài)按需組合部署，為用戶提供靈活、可定制的差異化安全能力。2.3當(dāng)前5G網(wǎng)絡(luò)安全防護(hù)挑戰(zhàn)5G網(wǎng)絡(luò)技術(shù)得益于其通用化平臺(tái)部署能力以及靈活的部署形式，改變了無(wú)線網(wǎng)絡(luò)傳統(tǒng)語(yǔ)音+用戶的運(yùn)營(yíng)模式，豐富了蜂窩網(wǎng)絡(luò)通信技術(shù)的應(yīng)用場(chǎng)景，但也對(duì)其安全防護(hù)能力帶來(lái)了一定挑戰(zhàn)。2.3.1多場(chǎng)景下網(wǎng)絡(luò)安全防護(hù)體系挑戰(zhàn)5G網(wǎng)絡(luò)技術(shù)所提出的增強(qiáng)移動(dòng)寬帶（Enhanced

MobileBroadband，eMBB）、高可靠低時(shí)延（UltraReliableLow-LatencyCommunications，uRLLC）、海量機(jī)器類通信（MassiveMachineTypeCommunication，mMTC）3大核心網(wǎng)絡(luò)能力，可以衍生出大量的差異化網(wǎng)絡(luò)需求場(chǎng)景。因此，為單一場(chǎng)景設(shè)計(jì)的網(wǎng)絡(luò)安全防護(hù)體系不再能夠適用于具有多樣化應(yīng)用場(chǎng)景的5G網(wǎng)絡(luò)。針對(duì)行業(yè)應(yīng)用差異化的網(wǎng)絡(luò)能力需求，5G網(wǎng)絡(luò)安全防護(hù)體系也需要匹配相應(yīng)的場(chǎng)景需求，避免安全網(wǎng)絡(luò)策略成為關(guān)鍵網(wǎng)絡(luò)指標(biāo)的能力短板。因此，需要建立創(chuàng)新安全防護(hù)體系，滿足物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市等實(shí)際場(chǎng)景需求，從而成為數(shù)字化社會(huì)建設(shè)網(wǎng)絡(luò)能力底座。2.3.2行業(yè)專用5G網(wǎng)絡(luò)安全信任體系挑戰(zhàn)5G網(wǎng)絡(luò)峰值數(shù)據(jù)傳輸速率相比于4G網(wǎng)絡(luò)增長(zhǎng)超過(guò)10倍，可滿足4K超高清視頻、虛擬現(xiàn)實(shí)及增強(qiáng)現(xiàn)實(shí)等數(shù)據(jù)業(yè)務(wù)的大帶寬需求，且5G網(wǎng)絡(luò)的鏈接密度相比于4G網(wǎng)絡(luò)有了質(zhì)的提升。相較于之前的傳統(tǒng)移動(dòng)通信，5G網(wǎng)絡(luò)行業(yè)應(yīng)用需求逐漸增多。針對(duì)5G網(wǎng)絡(luò)“一網(wǎng)賦能萬(wàn)業(yè)”的開(kāi)放性特點(diǎn)，如何構(gòu)建一個(gè)運(yùn)營(yíng)商+行業(yè)客戶+網(wǎng)絡(luò)的多元信任關(guān)系是當(dāng)前5G網(wǎng)絡(luò)安全面臨的主要挑戰(zhàn)之一。需要充分融合可靈活下沉部署的行業(yè)5G移動(dòng)通信網(wǎng)絡(luò)、不同的垂直行業(yè)及多運(yùn)營(yíng)管理模式，構(gòu)建完善的統(tǒng)一信任網(wǎng)絡(luò)服務(wù)體系。2.3.3創(chuàng)新技術(shù)下5G網(wǎng)絡(luò)安全快速發(fā)展挑戰(zhàn)作為新一輪科技革命和產(chǎn)業(yè)變革中的關(guān)鍵技術(shù)之一，5G網(wǎng)絡(luò)當(dāng)前已成為支撐社會(huì)數(shù)智化、網(wǎng)絡(luò)化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)設(shè)施，也是促進(jìn)各行業(yè)經(jīng)濟(jì)發(fā)展的重要手段。當(dāng)前，大數(shù)據(jù)、人工智能及區(qū)塊鏈等新興技術(shù)迅速發(fā)展，為經(jīng)濟(jì)社會(huì)各領(lǐng)域發(fā)展賦能。但是新興技術(shù)的發(fā)展也會(huì)帶來(lái)新的挑戰(zhàn)，如何將挑戰(zhàn)轉(zhuǎn)化為5G快速發(fā)展的機(jī)遇至關(guān)重要。因此，需要將5G網(wǎng)絡(luò)安全與其他新興技術(shù)深度融合，成為共生共進(jìn)、相互促進(jìn)的共同體，通過(guò)融合創(chuàng)新探索5G網(wǎng)絡(luò)安全的新可能性，進(jìn)一步促進(jìn)5G網(wǎng)絡(luò)安全的快速發(fā)展。３5G網(wǎng)絡(luò)安全創(chuàng)新體系及技術(shù)探索針對(duì)上述5G網(wǎng)絡(luò)安全現(xiàn)狀的分析，為了更好地解決5G網(wǎng)絡(luò)安全所面臨的挑戰(zhàn)，并讓5G技術(shù)更廣泛地運(yùn)用于多行業(yè)領(lǐng)域，5G網(wǎng)絡(luò)安全創(chuàng)新體系及技術(shù)發(fā)展可從立體5G網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)、行業(yè)5G專網(wǎng)多元信任體系建立以及新型技術(shù)融合創(chuàng)新等方面展開(kāi)探索。3.1立體5G網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)為滿足5G網(wǎng)絡(luò)eMBB、uRLLC、mMTC等場(chǎng)景需求，可通過(guò)構(gòu)建立體的5G網(wǎng)絡(luò)安全防護(hù)體系以應(yīng)對(duì)不同場(chǎng)景下所面臨的風(fēng)險(xiǎn)。5G網(wǎng)絡(luò)的安全防護(hù)體系以構(gòu)建形式為標(biāo)準(zhǔn)，大致可分為兩類，如圖2所示：一類是基于3GPP協(xié)議規(guī)定的標(biāo)準(zhǔn)框架下增量疊加安全技術(shù)所形成的5G增量安全防護(hù)體系；另一類是基于3GPP協(xié)議框架下針對(duì)原生實(shí)現(xiàn)流程的定制化修改而實(shí)現(xiàn)的5G內(nèi)生安全防護(hù)體系。圖25G網(wǎng)絡(luò)安全防護(hù)體系3.1.15G增量安全防護(hù)體系設(shè)計(jì)5G增量安全防護(hù)技術(shù)是基于已有的標(biāo)準(zhǔn)化5G網(wǎng)絡(luò)的安全能力，在應(yīng)用層面疊加安全技術(shù)，實(shí)現(xiàn)定制化的5G網(wǎng)絡(luò)安全功能。通過(guò)引入SDN概念以及NFV技術(shù)，5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施實(shí)現(xiàn)了硬件設(shè)備與網(wǎng)絡(luò)功能的解耦，從而形成了一個(gè)通用化、虛擬化、開(kāi)放化的網(wǎng)絡(luò)。然而，這樣的網(wǎng)絡(luò)構(gòu)建模式也會(huì)帶來(lái)新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，需要在網(wǎng)絡(luò)功能實(shí)體共享硬件設(shè)備資源的同時(shí)，構(gòu)建一個(gè)網(wǎng)絡(luò)功能之間的運(yùn)算、存儲(chǔ)和交互的數(shù)據(jù)隔離機(jī)制，嚴(yán)格規(guī)范網(wǎng)絡(luò)功能實(shí)體的硬件資源限制，避免5G網(wǎng)絡(luò)在硬件設(shè)備集中部署的情況下，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在基礎(chǔ)設(shè)施中快速傳播的情況發(fā)生。MEC是5G網(wǎng)絡(luò)的核心設(shè)備之一，通過(guò)在靠近網(wǎng)絡(luò)邊緣的客戶/基站機(jī)房處部署部分網(wǎng)絡(luò)服務(wù)能力和業(yè)務(wù)訪問(wèn)服務(wù)端，從而顯著降低在數(shù)據(jù)傳輸過(guò)程中產(chǎn)生的時(shí)延，提升網(wǎng)絡(luò)帶寬利用率，從而為時(shí)延敏感性網(wǎng)絡(luò)業(yè)務(wù)提供可靠的網(wǎng)絡(luò)能力支持。由于其物理部署位置的特殊性，硬件設(shè)備長(zhǎng)期處于無(wú)人看管的環(huán)境下。因此，對(duì)于整個(gè)5G網(wǎng)絡(luò)，MEC的物理防護(hù)及接口管控是網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的一大重點(diǎn)研究方向。3.1.25G內(nèi)生安全防護(hù)體系設(shè)計(jì)5G內(nèi)生安全防護(hù)技術(shù)是通過(guò)對(duì)標(biāo)準(zhǔn)化5G網(wǎng)絡(luò)進(jìn)行定制化流程改造，滿足行業(yè)應(yīng)用的實(shí)際安全能力要求。通過(guò)對(duì)3GPP組織定義的標(biāo)準(zhǔn)化5G網(wǎng)絡(luò)架構(gòu)以及信令交互流程的定制化改造，在不影響標(biāo)準(zhǔn)化5G網(wǎng)絡(luò)組件的完整功能的前提下，實(shí)現(xiàn)5G網(wǎng)絡(luò)架構(gòu)內(nèi)部的安全能力疊加。這種定制化的內(nèi)生網(wǎng)絡(luò)安全防護(hù)體系可以滿足對(duì)5G網(wǎng)絡(luò)安全有定制化需求的特殊行業(yè)用戶的安全標(biāo)準(zhǔn)。然而，此類定制化專用5G網(wǎng)絡(luò)配套設(shè)備與部分標(biāo)準(zhǔn)化的5G網(wǎng)絡(luò)設(shè)施之間的兼容性問(wèn)題難以避免，模塊化部署能力較差。3.25G網(wǎng)絡(luò)在行業(yè)專用網(wǎng)絡(luò)領(lǐng)域的多元信任體系建立5G網(wǎng)絡(luò)高帶寬、低時(shí)延、大連接的技術(shù)優(yōu)勢(shì)使其在行業(yè)專用網(wǎng)絡(luò)領(lǐng)域具有非常廣闊的應(yīng)用場(chǎng)景，行業(yè)專用網(wǎng)絡(luò)也是5G網(wǎng)絡(luò)建設(shè)的重要方向之一。不同于傳統(tǒng)網(wǎng)絡(luò)的運(yùn)營(yíng)商+用戶的商業(yè)模式，5G行業(yè)專網(wǎng)建設(shè)需要構(gòu)建一個(gè)運(yùn)營(yíng)商+行業(yè)客戶+網(wǎng)絡(luò)用戶的全新的多元信任關(guān)系。根據(jù)不同行業(yè)應(yīng)用對(duì)于網(wǎng)絡(luò)能力的差異化需求，5G行業(yè)專網(wǎng)的部分甚至全部網(wǎng)絡(luò)設(shè)施都需要下沉部署至用戶內(nèi)部機(jī)房。差異化的部署模式勢(shì)必需要在各方設(shè)備之間構(gòu)建一個(gè)完善的安全信任體系，以面對(duì)各個(gè)場(chǎng)景下的安全威脅。因此，運(yùn)營(yíng)商和行業(yè)用戶需要明確相關(guān)設(shè)備維護(hù)與數(shù)據(jù)安全能力的責(zé)任劃分，共同面對(duì)全新網(wǎng)絡(luò)建設(shè)模式所帶來(lái)的安全挑戰(zhàn)。5G行業(yè)專用網(wǎng)絡(luò)部分或全部網(wǎng)絡(luò)設(shè)施下沉部署的建設(shè)模式勢(shì)必造成專用網(wǎng)絡(luò)的相關(guān)網(wǎng)絡(luò)接口處于運(yùn)營(yíng)商的安全管控防護(hù)能力之外，從而造成網(wǎng)絡(luò)設(shè)施下沉部署的安全風(fēng)險(xiǎn)。同時(shí)，部分網(wǎng)絡(luò)設(shè)施的下沉部署也會(huì)間接造成網(wǎng)絡(luò)設(shè)施之間的信令交互需要依賴5G公用網(wǎng)絡(luò)的傳輸承載網(wǎng)絡(luò)，因此，需要構(gòu)建一種遠(yuǎn)程信令傳輸?shù)脑O(shè)備信任機(jī)制，完善新型網(wǎng)絡(luò)部署架構(gòu)的安全能力。同時(shí)，運(yùn)營(yíng)商與行業(yè)客戶需要詳細(xì)評(píng)估部分網(wǎng)絡(luò)設(shè)施下沉部署可能造成的網(wǎng)絡(luò)安全隱患，協(xié)商明確網(wǎng)絡(luò)設(shè)施安全責(zé)任劃分，盡可能地規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。通過(guò)利用5G網(wǎng)絡(luò)的SDN和NFV技術(shù)優(yōu)勢(shì)，基于已有5G公用網(wǎng)絡(luò)設(shè)施內(nèi)建立獨(dú)立的網(wǎng)絡(luò)切片，以實(shí)現(xiàn)公網(wǎng)專用的網(wǎng)絡(luò)建設(shè)模式。在這種網(wǎng)絡(luò)構(gòu)建模式下，存在用戶是否具備公網(wǎng)接入能力、用戶行為與業(yè)務(wù)的管控主體劃分、應(yīng)用層面數(shù)據(jù)的歸屬、應(yīng)用層面的安全防護(hù)責(zé)任劃分等一系列網(wǎng)絡(luò)安全相關(guān)問(wèn)題，需要運(yùn)營(yíng)商和行業(yè)客戶根據(jù)實(shí)際網(wǎng)絡(luò)建設(shè)需求進(jìn)行規(guī)劃協(xié)商，構(gòu)建一個(gè)公網(wǎng)專用建設(shè)模式的運(yùn)營(yíng)管控體系，盡可能地規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。針對(duì)部分特殊行業(yè)應(yīng)用在地理跨域的多園區(qū)網(wǎng)絡(luò)互聯(lián)的5G專用網(wǎng)絡(luò)建設(shè)需求，將采取5G網(wǎng)絡(luò)設(shè)施的多園區(qū)分布式部署的形式，以構(gòu)建一個(gè)小型化的跨域5G網(wǎng)絡(luò)。該類型網(wǎng)絡(luò)中存在網(wǎng)絡(luò)接口防護(hù)、用戶簽約信息的安全傳輸、用戶面數(shù)據(jù)的傳輸加密、網(wǎng)絡(luò)路由的安全策略等網(wǎng)絡(luò)安全問(wèn)題。這些問(wèn)題需要運(yùn)營(yíng)商和行業(yè)用戶明確相關(guān)的硬件設(shè)備與網(wǎng)絡(luò)運(yùn)營(yíng)的責(zé)任劃分，構(gòu)建一個(gè)跨域?qū)Ｓ镁W(wǎng)絡(luò)建設(shè)的多元組網(wǎng)架構(gòu)的運(yùn)營(yíng)管控模式，形成一個(gè)雙方認(rèn)可的網(wǎng)絡(luò)安全運(yùn)維技術(shù)規(guī)范，盡可能地規(guī)避相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。3.3新型技術(shù)與5G網(wǎng)絡(luò)安全融合創(chuàng)新隨著量子計(jì)算、人工智能等尖端技術(shù)的快速發(fā)展，新的網(wǎng)絡(luò)攻擊技術(shù)和新的網(wǎng)絡(luò)攻擊模式將會(huì)為傳統(tǒng)的網(wǎng)絡(luò)通信架構(gòu)帶來(lái)新的挑戰(zhàn)。為應(yīng)對(duì)尖端技術(shù)在網(wǎng)絡(luò)攻擊中的應(yīng)用，通過(guò)在網(wǎng)絡(luò)中引入例如基于機(jī)器學(xué)習(xí)的多模態(tài)分析模型以及區(qū)塊鏈技術(shù)的去中心化密鑰體系等其他領(lǐng)域的新型尖端技術(shù)，實(shí)現(xiàn)5G網(wǎng)絡(luò)技術(shù)與新興技術(shù)的融合，構(gòu)建一個(gè)具備演進(jìn)能力的5G網(wǎng)絡(luò)安全體系。3.3.15G安全+多模態(tài)智慧網(wǎng)絡(luò)安全創(chuàng)新體系融合模態(tài)是指一種信息的來(lái)源形式，其定義非常廣泛，可以是一種聲音、一類圖像、一種語(yǔ)言或者一種無(wú)線電波信號(hào)。多模態(tài)機(jī)器學(xué)習(xí)（MultiModalMachineLearning，MMML）是通過(guò)機(jī)器學(xué)習(xí)的技術(shù)基礎(chǔ)，實(shí)現(xiàn)同時(shí)感知并處理來(lái)自多種類、多源、多模態(tài)不同類型的信息。多模態(tài)機(jī)器學(xué)習(xí)是目前人工智能領(lǐng)域較為熱門的研究方向，在新一代蜂窩網(wǎng)絡(luò)技術(shù)演進(jìn)過(guò)程中有很大的發(fā)展前景。多模態(tài)網(wǎng)絡(luò)技術(shù)研究的目的是在先進(jìn)無(wú)線通信網(wǎng)絡(luò)環(huán)境下，應(yīng)用多模態(tài)機(jī)器學(xué)習(xí)技術(shù)，以提升網(wǎng)絡(luò)整體的運(yùn)行效率，改善網(wǎng)絡(luò)業(yè)務(wù)體驗(yàn)，是5G網(wǎng)絡(luò)技術(shù)演進(jìn)的一個(gè)重要方向。通過(guò)在5G網(wǎng)絡(luò)的基礎(chǔ)設(shè)施中引入多模態(tài)機(jī)器學(xué)習(xí)技術(shù)，賦予網(wǎng)絡(luò)集通信、感知、計(jì)算于一體的能力，構(gòu)建一個(gè)具備核心網(wǎng)、承載網(wǎng)、無(wú)線網(wǎng)及終端4個(gè)維度的智慧網(wǎng)絡(luò)安全防護(hù)體系，如圖3所示，以滿足5G網(wǎng)絡(luò)多樣化部署形式及差異化部署場(chǎng)景的安全防護(hù)能力需求。圖35G智慧網(wǎng)絡(luò)安全防護(hù)體系（1）無(wú)線信號(hào)環(huán)境模型構(gòu)建與智能波束管理。傳統(tǒng)網(wǎng)絡(luò)的無(wú)線信號(hào)覆蓋完全依賴運(yùn)營(yíng)商進(jìn)行網(wǎng)絡(luò)規(guī)劃，然而5G網(wǎng)絡(luò)高帶寬、低時(shí)延、大連接的技術(shù)優(yōu)勢(shì)賦予其濃重的行業(yè)應(yīng)用承載屬性，傳統(tǒng)的網(wǎng)絡(luò)覆蓋模型勢(shì)必難以在兼顧公網(wǎng)覆蓋的基礎(chǔ)上滿足行業(yè)用戶的無(wú)線覆蓋需求。針對(duì)行業(yè)用戶無(wú)線覆蓋需求單獨(dú)建設(shè)基站，則存在網(wǎng)絡(luò)建設(shè)成本過(guò)高、基站覆蓋邊界難以確定、站間信號(hào)干擾及終端接入不穩(wěn)定等問(wèn)題。通過(guò)在無(wú)線網(wǎng)絡(luò)建設(shè)中引入多模態(tài)機(jī)器學(xué)習(xí)技術(shù)，構(gòu)建區(qū)域內(nèi)的無(wú)線信號(hào)環(huán)境模型，形成區(qū)域內(nèi)的用戶接入狀態(tài)的態(tài)勢(shì)感知，實(shí)現(xiàn)區(qū)域內(nèi)的無(wú)線信號(hào)環(huán)境的多維度呈現(xiàn)。基于無(wú)線信號(hào)環(huán)境模型，充分利用5G無(wú)線網(wǎng)網(wǎng)絡(luò)空分復(fù)用技術(shù)優(yōu)勢(shì)及基站的智能波束管理系統(tǒng)，根據(jù)實(shí)際用戶需求，實(shí)時(shí)調(diào)整無(wú)線信號(hào)覆蓋區(qū)域，從而達(dá)到優(yōu)化行業(yè)用戶接入體驗(yàn)，降低站間信號(hào)干擾的目的。（2）智能路由與網(wǎng)絡(luò)態(tài)勢(shì)感知。傳統(tǒng)網(wǎng)絡(luò)基于IP的單一化尋址路由機(jī)制已經(jīng)難以適應(yīng)目前5G網(wǎng)絡(luò)承載的多樣化業(yè)務(wù)需求，缺乏數(shù)據(jù)傳輸安全能力以及對(duì)終端行為的感知能力。多模態(tài)網(wǎng)絡(luò)的智能路由技術(shù)以SDN和NFV技術(shù)為基礎(chǔ)，實(shí)現(xiàn)控制層面與傳輸層面的能力解耦。通過(guò)構(gòu)建一個(gè)以IP路由為基礎(chǔ)，配合內(nèi)容標(biāo)識(shí)、身份標(biāo)識(shí)、空間標(biāo)識(shí)等多模態(tài)信息的智能化路由尋址模型，從根本上突破傳統(tǒng)網(wǎng)絡(luò)的尋址機(jī)制瓶頸，滿足5G網(wǎng)絡(luò)差異化的業(yè)務(wù)需求?；趯?shí)時(shí)更新優(yōu)化的智能路由模型，可實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)整體態(tài)勢(shì)的實(shí)時(shí)感知，配部署網(wǎng)絡(luò)安全傳輸設(shè)備，建立智能化安全防護(hù)模型，形成針對(duì)用戶的惡意訪問(wèn)行為的精確感知，從而構(gòu)建一個(gè)集網(wǎng)絡(luò)安全態(tài)勢(shì)感知、數(shù)據(jù)安全智能路由、惡意行為告警及網(wǎng)絡(luò)安全防護(hù)功能于一體的傳輸網(wǎng)絡(luò)安全體系，從根源上杜絕如分布式拒絕服務(wù)攻擊（DistributedDenialofService，DDoS）等惡意行為對(duì)5G網(wǎng)絡(luò)造成的安全隱患。（3）終端行為感知與管控。相比于傳統(tǒng)網(wǎng)絡(luò)，為滿足物聯(lián)網(wǎng)、車聯(lián)網(wǎng)以及智慧城市等應(yīng)用環(huán)節(jié)的網(wǎng)絡(luò)能力需求，3GPP組織預(yù)計(jì)5G網(wǎng)絡(luò)在mMTC場(chǎng)景下需支持每平方千米100萬(wàn)用戶的接入數(shù)量，假定終端僅以正常頻率發(fā)起用戶接入，高并發(fā)的信令傳輸依舊會(huì)對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系帶來(lái)不小的壓力。超大規(guī)模的終端接入能力必定伴隨著由挾持終端發(fā)起的DDoS攻擊的風(fēng)險(xiǎn)。因此，終端行為的感知與管控能力是5G網(wǎng)絡(luò)mMTC場(chǎng)景下必不可少的安全防護(hù)能力。通過(guò)在網(wǎng)絡(luò)側(cè)收集終端用戶的行為信息，充分利用多模態(tài)機(jī)器學(xué)習(xí)技術(shù)針對(duì)多源數(shù)據(jù)的辨識(shí)能力，訓(xùn)練一個(gè)具備識(shí)別用戶實(shí)時(shí)狀態(tài)的終端行為的管控模型，從而在網(wǎng)絡(luò)側(cè)形成針對(duì)終端異常或惡意行為的感知、識(shí)別、管控的一體化能力，進(jìn)一步提升5G網(wǎng)絡(luò)的運(yùn)行效率，增強(qiáng)網(wǎng)絡(luò)的可靠性。（4）網(wǎng)絡(luò)的智慧化運(yùn)營(yíng)管理。通過(guò)充分利用多模態(tài)網(wǎng)絡(luò)通信、感知、計(jì)算一體化的能力，可在5G網(wǎng)絡(luò)的各個(gè)層面構(gòu)建完善的安全防護(hù)體系。以上述安全防護(hù)能力為基礎(chǔ)，進(jìn)一步利用多模態(tài)機(jī)器學(xué)習(xí)技術(shù)的多源感知辨識(shí)能力，構(gòu)建一個(gè)網(wǎng)絡(luò)的智慧化運(yùn)營(yíng)管理系統(tǒng)。通過(guò)對(duì)各個(gè)維度網(wǎng)絡(luò)安全態(tài)勢(shì)的總體感知，統(tǒng)籌協(xié)調(diào)各個(gè)維度的安全防護(hù)策略，最終實(shí)現(xiàn)終端業(yè)務(wù)權(quán)限管控、無(wú)線網(wǎng)絡(luò)信號(hào)覆蓋智能化補(bǔ)盲、傳輸線路智能化路由的一體化智慧運(yùn)營(yíng)管理系統(tǒng)。在最大化各維度的安全防護(hù)能力的同時(shí)，顯著提升網(wǎng)絡(luò)的運(yùn)行效率、安全能力及可靠性。3.3.25G安全+區(qū)塊鏈創(chuàng)新技術(shù)融合5G網(wǎng)絡(luò)空間中存在大量的設(shè)備，且類型及網(wǎng)絡(luò)環(huán)境均很復(fù)雜，虛擬狀態(tài)和物理狀態(tài)同時(shí)存在。因此，5G移動(dòng)通信網(wǎng)絡(luò)中各網(wǎng)絡(luò)元素在復(fù)