1 5G安全白皮书 安全让5G走得更远 中 中兴通讯股份有限公司 2019年5月 前言 5G遵循网络业务融合和按需服务的核心理念，引入了丰富的接入能力、灵活的网络架 构以及更高的安全性，改变了移动网络单一的管道服务模式，为传统消费互联网提供了增 强的带宽和更高的性价比，同时也为产业互联网提供了高度可定制化的网络服务以及综合 信息服务平台。 垂直行业业务的多元化是产业互联网的一个显著特征。不同的安全等级要求、不同的 网络架构、不同的流量特征、差异化的协议类型等，决定了难以采用统一的策略和架构来 构建5G网络的安全架构，需要面向特定的社会、经济背景与法律框架，结合具体的业务 场景进行专网定制。 产业互联网的稳定与健康发展，决定了互联网的未来。随着标准与应用的推进，5G步 入了规模商用的前夜，为了确保网络安全，让5G走得更远，我们需要做得更多。目录 content 1构建更安全灵活的5G网络 1.1产业互联网优势之选..................................................................3 1.2全新的安全挑战...........................................................................4 2可定制化的切片安全 2.1网络切片和切片安全..................................................................7 2.2网络切片的端到端隔离..............................................................7 2.3面向应用的切片定制................................................................10 3边缘计算安全 3.1MEC在5G中的应用...............................................................12 3.2安全是MEC部署的关键要素................................................12 3.3MEC安全防护...........................................................................14 4安全能力开放 4.1安全能力开放模型....................................................................17 4.2可信数字身份.............................................................................18 4.3智能网络防御.............................................................................19 55G安全治理与评估.......................................................................20 6总结与展望..............................................................................................2221 第一部分 1构建更安全灵活的5G网络31.1产业互联网优势之选 移动通信网作为商业化的电信网络，在标准设计之初，就充分考虑了网络接入的移动 性、可靠性和安全性。通过SIM/USIM等身份标识、认证授权、信道与承载加密、访问控 制等方式，提供了良好的安全通信能力。经过包括运营商、标准组织以及设备商等在内的 电信产业界几十年的锤炼，移动通信网络安全架构日臻完善，成为未来产业互联网安全通 信的优势之选。 5G网络继承了4G的安全特性，同时对认证授权、隐私保护、数据传输安全、网络架 构和互通安全等进行了优化或增强。相对WiFi、企业专网等非3GPP接入机制，5G提供 了更大范围的移动性，也为用户提供了更健壮的业务安全性、更严密的数据保护以及更强 的用户隐私性。 5G提供了基于统一认证框架的双向认证能力，使终端和网络都能够确认对方身份的合 法性。这样不仅能避免非法用户接入网络，也能避免利用伪基站、伪热点进行诈骗或者窃 取用户信息。另外，由于对终端进行认证，可以追溯终端使用者的身份和行为轨迹，增加 了攻击者的法律风险，可以有效降低攻击的概率。 5G网络为终端提供了端到端的安全通道，使终端之间能够有效地隔离，即使某一终端 被攻破，恶意程序也很难在5G网络中横向传播，使得攻击的扩散势头以及导致的损失得 到遏制。 传统消费互联网的设计初衷是开放性，这也是导致网络安全问题频发的一个根源。未 来的产业互联网将会连接金融、能源、工业、交通等重要领域的高价值资产，半封闭甚至 封闭性的网络将是更好的选择。5G网络切片不但能够为不同SLA的业务提供网络架构的 定制，还能够提供安全的网络隔离能力。 目前，3GPP正在进一步对增强的基于服务的架构安全、固定移动融合安全、非公众 网络（NPN）安全以及公众网络（PLMN）与NPN互通安全、增强的蜂窝物联网安全、高 可靠低时延（uRLLC）业务安全、基于3GPP的应用的认证和密钥管理、V2X业务安全等 领域开展标准研究或者标准制订工作，以进一步增强5G网络在面向不同业务场景时的安 全能力，为用户提供更全面、灵活的网络安全选项。 中兴通讯认为，未来的5G将成为整个社会的基石。如果说传统移动网络的安全性主 要影响的是互联网经济的话，5G网络的安全性将会对包括实体经济在内的所有社会、经济 领域的安全带来重大影响。因此，在3GPP标准定义的安全框架之上，我们需要更加全面、 更加系统化的分析5G面临的安全挑战，并作出应对。41.2全新的安全挑战 重新定义5G基础设施 5G商业生态引入了新的监管者、商业主体，也带来了不同的信任模型。为了打造多元 化、可信的5G生态，承载不同业务特征的数字资产，实现ITU-T定义的商业目标，5G 网络基础设施不再局限于纯粹的流量承载，而是在SDN/NFV、MEC等新技术的支撑下， 进行了重新定义，提供基于切片定制的按需网络服务。 5G能力架构及安全保障 安全可靠的5G专网接入 随着互联网从消费领域向产业领域不断演进，并逐步涉及能源、工业、交通等关键基 础设施，其承载的商业价值与社会影响力远远高于传统的消费类业务，因此网络评价指标 不再局限于带宽与流量价格，对于安全性与可靠性的充分考量成为首要的因素以及非常刚 性的约束。未来，5G将深入我们的生活方式，影响全社会的福祉，并与产业创新与经济增 长直接相关，5G网络必须能够提供不低于传统高等级专网的安全性与可靠性，才能够胜任 关键基础设施中高价值资产的承载，这需要在网络切片基础之上提供进一步的安全加固能 力。 在面向重要基础设施的5G专网中，可以按照资产价值及其SLA特征，将业务网络分 割为不同的区域，不同的区域采用具有不同安全属性的网络切片进行承载。 5融贯行业的资产保障 5G连接了物联网和垂直行业的关键基础设施，实现了移动网络从面向人的连接向面向 机器连接的演变，也使得安全威胁在IT域与OT域之间进行双向渗透变得可能。另外，由 于被攻击的目标往往连接物理世界的人或资产，使得攻击导致的后果更为严重，后续的处 置也更为复杂。由于各类基础设施大量分散在网络的边缘，因此边缘计算（MEC）将会是 垂直行业重要的选择与屏障。运营商需要采取必要的安全措施，保护MEC节点自身以及 MEC节点中客户数字资产的安全。 持续创新的安全服务 随着网络与业务融合的深入展开，一方面，5G网络自身需要在充分考虑特定行业的业 务特点与安全态势基础上，引入新型智能化检测技术与防御手段，提供持续创新的安全能 力。另一方面，5G网络可以向垂直行业应用，开放自身的安全能力，降低垂直行业的安全 开发与部署成本，提升创新效率。 多元化的网络安全治理 产业互联网与5G网络融合，同样也会对网络安全治理带来冲击。首先是安全规范的 多元化，如金融、电力、工业互联网等不同行业，对于基础设施有着与电信网络不同的安 全法规和标准、数据保护规范以及安全评测标准；其次是资产主体的多元化，例如MEC 上的设备、平台及应用，往往需要贯穿多个商业主体。5G如何满足这种多元化的网络安全 治理需求，能否构建统一的网络安全治理体系，有待探索。 62 第二部分 2可定制化的切片安全72.1网络切片和切片安全 5G网络切片是基于无线接入网、承载网与核心网基础设施，以及网络虚拟化技术构建 的一个面向不同业务特征的逻辑网络。运营商可以为不同行业应用在共享的网络基础设施 上通过能力开放、智能调度、安全隔离等技术分别构建彼此隔离的5G网络切片，提供差 异化的网络服务。 网络切片技术有利于构建以运营商为中心的开放网络生态，充分发挥网络基础设施的 潜力，拓展新的收入来源。同时，对于垂直行业而言，网络切片也有利于大大降低专网的 建设和运营成本，并且可以借助网络切片灵活的性能弹缩优势，快速满足动态变化的网络 需求。网络切片技术的应用是电信网络的一次重大变革，为电信网络和行业应用的深度融 合奠定了坚实基础。区别于传统物理专网的私有性与封闭性，5G网络切片是建立在共享资 源之上的虚拟化专用网络，切片安