5G將為未來社會帶來新興通訊技術、新型態(tài)行動網路架構、涉及各式各樣垂直產業(yè)的應用服務，卻也為網路資訊安全與用戶隱私保護帶來了新的挑戰(zhàn)。因此，為了要滿足基本的通訊安全要求，并且可適應5G世代多元網路接取模式與新式網路架構，同時針對不同應用服務情境打造差異化的安全服務，5G安全技術架構與執(zhí)行機制的設計將不可或缺。而現(xiàn)階段無論是國際標準組織或5G推動機構及設備大廠等，都積極地針對5G資訊安全進行研究，期在未來5G軟硬體發(fā)展上建構更完備的安全機制。

5G應用場景vs.資安問題

根據(jù)TIA向營運商調查對於各5G應用場景面臨資安問題的影響程度，可以發(fā)現(xiàn)大部分業(yè)者都認為資安問題對5G各應用場景都有很大的影響與挑戰(zhàn)。尤其在V2x領域，無論是無人車或是智慧交通相關應用，涉及最即時性安全考量、最直接地與民眾生命安全相關連，因此當遇上資訊安全上的疑慮，將有可能引起極大的危害。

在uRLLC相關應用亦然，例如智慧醫(yī)療中執(zhí)行遠距手術等需要高度精細、低延遲的活動，若因遭受資安攻擊，導致網路訊號的中斷，將有可能引發(fā)不可逆轉的疏失。

再者，除了關注資安導致的網路斷線、攻擊相關問題，用戶隱私保護在現(xiàn)階段網際網路世界更不容忽視。尤其5G世代的應用多元，各類新服務、新架構、新技術更對安全和用戶隱私保護也都帶來新的挑戰(zhàn)。

圖1 : 不同的應用場景所要對應的5G網路應該注意的資安面向也不盡相同。( source:The New Economy)

如何設計更完備的5G安全機制，在維護基本通訊安全要求的同時，還能夠因應不同應用場景以適應多種網路接取方式與新型網路架構，進而提供差異化安全服務、保護用戶隱私，將是標準制定者、技術設備與應用開發(fā)者的第一要務。而不同的應用場景所要對應的5G網路應該注意的資安面向也不盡相同。

NGMN P1 5G Architecture group為主責5G安全研究，該組織逾2016年5月出發(fā)表的5G資安白皮書中提出，5G資安發(fā)展的主要目標是找出5G網路中的新資安威脅，旨在提醒5G用戶可能遭遇的資安危機。NGMN認為未來的5G安全應該打造更強而有力的用戶認證方法，必須提供能保護各種訊息的安全機制，承載如高層（high layer）獨立的安全性（端對端安全）、安全的網路設計、彈性與高可用性（能提供99.999%的網路可用性），以及可靠性。

5G網路設計的發(fā)展面向

因此，在5G網路設計上必須確保兩面向的發(fā)展：

改善接取網路安全

包含時刻掌握Flash網路流量、確保不同營運商之間的無線網路密鑰安全，確保用戶平面完整性（User plane integrity），確保網路中的各種安全措施需求能滿足；以及解決在營運商網路內部與跨營運商網路中，部署一致且有效的用戶/設備及安全策略所面臨的挑戰(zhàn)。

針對上述各項議題，NGMN也提出相關建議，包含需保護不同營運商之間的信令通道，設計5G密鑰管理機制；透過網路切片、SDN、NFV等實現(xiàn)有效且具一致性的網路資安策略部署等。

防止網路基礎設施遭受DOS攻擊

圖2 : 5G NORMA計畫主要是打造5G世代新型無線多業(yè)務自適應網路架構。( source: TechDaring)

DOS攻擊旨在耗盡網路的物理層與邏輯層資源為目標。因此攻擊模式大致有兩種，一為網絡基礎設施DOS攻擊，在這種情況下，攻擊的原始目標是營運商網路基礎設施，會間接影響被攻擊的網絡基礎設施服務相關設備和用戶；另一則為設備／用戶DOS攻擊，在此情況下，攻擊的目標是設備和／或用戶，對大量用戶或設備的攻擊可以間接影響大部分營運商的基礎設施。換句話說，針對網絡基礎設施的DOS攻擊會將目標放在資源與網路連接穩(wěn)定性、頻寬等服務。

NGMN認為為防止網路基礎設施遭受DOS攻擊，應從解決四大關鍵議題著手進行研究：

1.大量受感染的物聯(lián)網設備透過試圖接入網路使得信令平面過載。

2.大量受感染的物聯(lián)網設備間歇性與同時的傳輸使得信令平面過載。

3.故意觸發(fā)網路過載機制。

4.典型的連結終端之5G場景中受到新型態(tài)DOS針對5G服務開通與配置系統(tǒng)進行攻擊。

5G-PPP安全工作組（Security Work Group）實際上在許多專案計畫中都有涉及針對5G資訊安全保護的研究，包含5G-ENSURE（initiator）、5G NORMA、5G-SPEED、5GEX、CHARISMA、COGNET、SELFNET、SESAME、VIRTUWIND等。

其中，5G NORMA計畫主要是打造5G世代新型無線多業(yè)務自適應網路架構（A Novel Radio Multiservice adaptive network Architecture for the 5G era），而其中一項任務就是要結合5G網路架構與安全工作。

從5G NORMA針對無線介面終端功能架構中，可發(fā)現(xiàn)用戶終端與接取設備連結之間已有安全無線介面做一層防護，在無線網路設備野營造了針對無線介面的安全終端功能環(huán)境，形成第二層防護；進一步與云端、核網串連的情境下，各無線接取設備間彼此也有具備安全防護的回傳與通訊機制，確保網路通訊傳輸之間的安全保障完整。

5G安全八大范疇

2017年6月12日5G-PPP發(fā)表〈5G第一階段安全白皮書（5G PPP Phase1 Security Landscape）〉，內容概述5G安全將面臨的風險與挑戰(zhàn)，并具有兩個主要發(fā)展目標，分別是：提供5G安全性的見解，并提出將要解決的問題與解決的原因；為第二階段的5G安全發(fā)展計畫做好準備，并使用第一階段的成果達成目標。

因此，在白皮書中，5G-PPP針對5G安全八大范疇進行討論：

1.新興5G關鍵安全風險與需求

針對5G安全風險，主要針對諸如未經授權接取訪問或資產使用、弱切片（Weak slices）隔離與連接、難以管理垂直SLA與遵從規(guī)范、切片與中立性、信任管理復雜性等面向進行研究；而在安全需求上，則討論安全層級、安全自動化、安全管理與監(jiān)控、啟用End to End加密增值服務、5G租戶/切片隔離（Inter-tenant/Slice Isolation）等相關研究項目。

2.與3GPP標準匹配的5G安全架構

面對5G世代新型態(tài)的服務、網路架構與價值鏈，在營運商、服務商、垂直產業(yè)間的網路更需要有新的信任模型。，加上任務關鍵性的服務對於資訊安全威脅之考量。5G-PPP對於5G安全架構提出了幾點設計原則，包含應打造一邏輯凌駕於實體的安全架構，設計一分布式、分級與遞??（recursive）的方法，藉由工業(yè)網路級的SDN與NFV支持內部與外部領域垂直產業(yè)服務商與營運商之間的協(xié)調，打造「安全即服務（Security-as-a-Service）」概念之網路架構。同時，該網路架構必須能靈活且具擴展性、支持大規(guī)模與任務關鍵性物聯(lián)網服務。

3.5G接取控制

認證、授權與會計（Authentication, Authorization and Accounting，AAA）服務在5G安全相關技術發(fā)展中至關重要，至少必須做到在接取過程中，保護頻率與無線通訊資源之功能，并且能按需提供5G網路服務，遵守不同的約束規(guī)則。

在5G未來在物聯(lián)網應用接取安全的需求上，輕量認證與密鑰協(xié)議群組（Lightweight authentication and key agreement protocol family）相關技術的發(fā)展，將協(xié)助驗證未來在5G網路上持續(xù)增加的物聯(lián)網設備安全的重要解決方案之一；而基於團體的認證與密鑰協(xié)議群組（Group-based Authentication and Key Agreement protocol family）則允許服務網路對一組設備進行認證，并降低家庭網路信令與通訊的延遲。

4.5G隱私議題

針對利益相關者，如用戶、服務供應商、執(zhí)法機關所需網路架構進行設計；此外，針對潛在的推動力和未來的發(fā)展方向之需求也提供客制化設定。

5.5G信任模型

5G現(xiàn)階段發(fā)展的兩個級別的信任模型并嵌入到5G架構中，其一為針對利益關系者的信任模型，主要需評估利益關系者在網路的可信度，必須衡量利益關系者的網路與服務的安全能力，且量化網路中利益關系者的行為，并自動地透過利益關系者之間的互動降低風險或移除可能的弱點。

其二，則是與網路實體有關，包含SDN控制器、協(xié)調器、實體與虛擬網路功能等。針對網路實體特徵的信任模型主要是，評估網路實體可信度，透過網路實體的使用機制衡量其安全能力等級，量化網路實體在網路中的行為，以及自主移除網路實體間運作互動產生的風險與漏洞。

6.安全監(jiān)控管理

針對5G進行的各種安全性威脅需要持續(xù)被監(jiān)測。尤其在未來虛擬化網路架構下，針對SDN’NFV等通訊關鍵基礎建設的新型態(tài)安全風險更要被關注。尤其在SDN/NFV環(huán)境中會使用越來越多的軟體，這將帶來額外的安全風險，如數(shù)據(jù)偽造、API的濫用等。因此，控制器與管理開發(fā)需要有更適當?shù)臋C制，諸如強化正任、訪問控制、應用程式隔離與沙盒，串流完整性與沖突解決方案，以及加密介面等。

7.網路切片/虛擬化和強制隔離

5G網路包含許多異質網路設備與多元化的服務，這無疑地對行動網路帶來極大的安全性挑戰(zhàn)。而網路切片所面臨的安全問題在於，當提供不同切片應用當下，應有一隔離機制，以防止各切片內的資源被其他類型的網路切片的網路節(jié)點非法瀏覽、接取。而即便是同一應用領域的網路切片之間也有隔離的需求。因此，5G-PPP從各切片層級，含無線接取網路的切片（RAN network slicing）、核心網路的切片（Core Slicing）、應用級的切片（Application-level Slicing）的安全性需求進行研究。

8.5G安全的標準化

現(xiàn)階段除了5G-PPP正持續(xù)進行5G安全相關的研究外，還有諸多國際組織同時進行研究，主要針對安全架構、AAA、隱私保護、網路切片安全等面向著手，最後期??能統(tǒng)一形成標準。確保5G世代的網路不受網路攻擊威脅或在隱私保障上有所缺失。

而5G-PPP安全工作組在5G安全標準化上的貢獻，主要有四個面向:（1）期影響5G包含無線接取、核心網、應用服務等各方面的安全要求發(fā)展；（2）透過識別5G所需要的安全功能與機制，設定基於一致性技術和程序的最小安全基準；（3）提供基於安全基準的安全架構設計；（4）增加可根據(jù)特定服務或應用稽核的安全功能。

圖3 : 資安防護措施的升級與革新必須要加速進行，以因應未來5G世代到來時更多樣性資安威脅的挑戰(zhàn)。(source: Akuaroworld)

中國IMT-2020（5G）推進組於2017年6月發(fā)表了〈5G網路安全需求與架構〉白皮書，內容主要針對5G發(fā)展需求與愿景研究進展，剖析了未來5G將面臨的安全問題與發(fā)展趨勢，同時在報告中也提出了5G網路安全需求和架構。中國IMT-2020（5G）推進組發(fā)表此一白皮書主要目的是為了後續(xù)5G網路安全相關技術的研究和研發(fā)設計奠定基礎；并藉此敦促產業(yè)各界加速形成5G網路安全框架，達成共識，進而曾為5G安全國際標準的叁考依據(jù)，同時促進相關產業(yè)的發(fā)展。

隨著5G技術逐步成形，在既有行動通訊環(huán)境中的資訊安全威脅也同步進化，因此，資安防護措施的升級與革新更要加速進行，以因應未來5G世代到來時更多樣性資安威脅的挑戰(zhàn)。在5G網路安全設計上，由於SDN與NFV是未來5G網路建構的關鍵要素，營運商或服務供應商將利用此兩項技術結合網路切片，以降低網路布建與服務提供的成本，且在不影響用戶端服務品質的情況下，提供快速、彈性且客制化的服務。

此時各類虛擬化的元件、開放原始碼軟體需求大增，相關資安問題也隨之而來，例如被駭客已具漏洞的介面進行入侵攻擊，導致網路被監(jiān)控；或未來各式各樣API介面難免存在著資安漏洞與缺囗，也造成了資安與隱私保護的隱??；再者，惡意程式的入侵且在網路上感染傳播，都促使資安風險持續(xù)提高。

有監(jiān)於此，標準化機構與5G推動組織，如3GPP、NGMN、中國IMT-2020推進組及5G-PPP等機構已經開始研究5G資安相關問題，同時包含主要的設備供應大廠也著手進行5G安全架構與相關技術的研發(fā)。例如，強化設備終端與云端連接的信任關系，藉由對所有的傳輸資料數(shù)據(jù)進行加密處理，并根據(jù)正在傳輸?shù)馁Y料價值，智慧化地選擇各節(jié)點間的安全架構；或是針對物聯(lián)網的信令安全要求，透過多種協(xié)定組合方案作簡化管理，并藉由即時數(shù)據(jù)分析進行檢測與保護等方式。未來，大廠們也思考著將機器學習納入網路安全架構設計的一環(huán)，藉由更先進的訊號監(jiān)控機制，主動過濾且更為強大的分析功能，確保5G網路安全不受侵犯，同時保護用戶隱私與資訊安全。

面對物聯(lián)網、工業(yè)4.0與更多的應用服務產生，都是5G發(fā)展的主要驅動力，而在以任務關鍵性與大規(guī)模物聯(lián)網為主軸的應用領域上，除低延遲需求外，高度可靠性更是重要一環(huán)，所謂的可靠不僅僅在低延遲即時性的面向，也意指安全連線、資訊安全落實，因此更需要盡快探討安全框架的制定與所有涉及安全組態(tài)與管理、安全監(jiān)控和分析、通訊接取保護，以及終端與云端保護相關的議題。

當然，除了標準組織與設備大廠外，電信營運商、學研機構，甚至通訊監(jiān)理單位也應共同叁與，以確保未來5G網路都能在軟硬體上擁有堅固的安全機制、提供用戶不容侵犯的隱私保護。

而5G網路安全不單單只是解決資安危機的議題，亦可將之視為未來可發(fā)展的商機之一。當掌握了終端用戶（無論大眾或垂直產業(yè)）對網路安全與隱私保護的需求與期待，能夠提供5G安全解決方案的軟硬體業(yè)者，藉由協(xié)助開發(fā)網路安全防護措施，或將謀得新的合作夥伴并拓展新的商機來源。

（本文作者為資策會MIC資深產業(yè)分析師）

*刊頭圖片（source:nterprise IoT Insights）