CSS網際網路安全領袖峰會 | 鄔賀銓：網路新技術與安全新挑戰

8月27日 昆泰酒店

中國工程院院士、中國網際網路協會理事長 鄔賀銓：網路新技術與安全新挑戰

    馬洪濤：開場的時候我說過，現場每一位都可以說是網際網路安全的守護者，接下來，要上場的這位特別令人尊敬的網際網路學者，我更願意把他稱作我們網際網路安全的守望者，他就是中國工程院院士，中國網際網路協會理事長鄔賀銓先生，掌聲有請鄔老！

    鄔賀銓：尊敬的來自網信辦、工信部、公安部、網路安全主管部門的領導，騰訊公司的領導，各位領導，各位專家，早上好！我的報告題目是“網路新技術與安全新挑戰”，主要是從5G來看看網路安全。這是5G的技術，底下是各類終端、無線接入網、光纖傳輸承載網、轉發面（包括第一層、第二層、第三層）、網路虛擬化技術、業務網際網路技術；頂端是雲，當然，離不開安全和閘道器技術的支撐。

   5G無線技術

經過了第一代移動通訊，一個蜂窩小區以頻率不同來區分使用者，我們叫分頻多重進接，GSM是個蜂窩小區，以10系來區分使用者，這是十分多址，3G是CDMA馬分多址，4G是近交平分多址，通過空間頻率、碼道等各種方式來實現更好的峰值速率的支援；OFDMA 4G峰值速率可以到100M，5G更進一步，目前明確它是CP-OFDM增強移動寬頻的多子技術。行動通訊的十年一代，峰值速率十年1000倍。

   用什麼辦法支撐5G的技術，（圖）圓圈外圈是5G，紅線是4G，5G和4G比，使用者資料速率提升4倍，移動信提升1倍，支援500公里時速的高鐵，無線介面延遲減少90%，落到1毫秒，連線密度提升10倍，支援1平方公里100萬個感測器聯網，能效提高100倍，流量密度提高100倍，峰值速率提高100倍。它靠什麼手段支撐能力的提升呢？主要根據網路理論“相融理論”，把基站數增加，蜂窩做得越來越密，天線數增加，現在做到64根天線/128根天線，把頻譜展寬，當然還要提高訊雜比。

   通過這種技術，從1G到4G是面向個人通訊的，5G擴充套件到工業網際網路和智慧城市的應用，支撐了三大應用場景，增強移動寬頻，超可靠、低時延，光覆蓋、大連線。當然，這些應用也帶來一些新的安全問題，比如頻率高，把基站功率做得太大，運營成本很高，只能做大量的小站，小站很密，很難優化。所以，現在實現巨集蜂窩和微蜂窩聯合組網。

   使用者面走的是微蜂窩，可是不能來回切換，所以信令走的是巨集蜂窩，上令微蜂窩走的時候信令是沒有變的，巨集蜂窩負責廣覆蓋，微蜂窩負責熱點覆蓋。信令和使用者面分離，所以，控制面和資料面們裡了，這兩者不是一樣的。可以看到，使用者原來是接的一個蜂窩，現在信令接的巨集蜂窩，使用者面不一定是最近的那個蜂窩，也許看哪個蜂窩流量更好，適應性更強。

    上下行會解耦，5G因為頻率高，它是多天線，下行可以比較遠，上行比較近，如果在蜂窩邊緣，可能上行的訊號質量就不好了。怎麼辦呢？在蜂窩邊緣的時候，下行走的是5G，上行走到4G上面去了，也就是上下行是分離的。傳統的小區不論使用者面、控制面，上行、下行都在一個蜂窩小區，而5G控制面走到了巨集蜂窩，使用者面走到微蜂窩，而且使用者面上行下行走的是不同的小區，甚至一個是5G，一個是4G。這種情況，傳統的4G安全機制是沒有考慮到這種密集異構組網的安全威脅下的。

    現在的5G終端既可以接到5G也可以接到4G，甚至可以接到Wi-Fi，甚至終端到終端，不經過網路。剛才說了，信令可能走的另外一個渠道，也就是說接入的技術是多種多樣的，接入的小區也不是僅僅一個，是可以選擇的。按照使用者的行為、偏好、終端、網路狀態及能力，網路要找最好的使用者體驗，實現使用者中心組網。

    這帶來什麼問題，來自不同網路系統，5G、4G、3G、Wi-Fi，不同接入技術，不同型別站點（巨集蜂窩、小蜂窩、微蜂窩）並行接入，這是常態，和原來的4G不一樣，所以採用跨越底層異構多層無線接入網的統一認證框架，來實現適用於不同應用場景的靈活高效的雙向認證。

    通常移動使用者新入網的時候，3G、4G會傳送一個長期身份標識（IMSI）到網路上，這是明文的，所以很容易使用者身份被洩露。現在5G在USIM卡上，首先接收運營商廣播的公鑰，然後系這個公鑰將使用者長期的身份加密，網路方面是用私鑰來解密，雖然公鑰是廣播的，誰都可以收到，但公鑰加密的形式是不能用公鑰來解密，只能用私鑰來解密。所以，使用者的身份不會被竊聽，目前加密方案已經標準化了。

    一個明文是使用者的長期身份，通過從網路獲得的公開金鑰，拿這個公開金鑰來加密，加出個密文來，接收方有個私鑰，它是和公鑰對應的，網路方是可以解密的。這種公鑰的傳輸在網路上，別人是查不到的。實際上，只要把網路獲得了使用者的身份，後續網路就不直接用使用者的身份了，網路會給使用者分配一個臨時的身份，後來的臨時身份，你獲得了也不知道真正使用者的身份是什麼。所以，這次5G和4G比，一個重大的改進。

    認證協議

  因為5G裝置種類已經不再單一，也不見得都是手機，甚至可以是工業網際網路的機器，也可能是高速公路上的汽車，很難為不同的進入5G裝置發統一的身份憑證，而且往往用到垂直行業本身會有特定的認證。

   因此，5G不僅僅是用USIM卡為基礎的單一身份，是用靈活多身份，這種多身份產生、發放、撤銷一直到多身份生命週期的管理都是5G所需要解決的。認證協議要支援3GPP的接入，非3GPP的接入，比如Wi-Fi等等。所以，要使用，除了原有硬體以外，有可能會加上第三方的認證，5G有可能在垂直行業應用，所以垂直行業還有它的驗證。

    傳統的認證是網路和終端是一對一的，可是在物聯網上，5G要支援物聯網，一平方公里要100萬個感測器上網，如果一個一個感測器單獨認證，時間非常耗費，甚至如果同時認證，都是點到點的話，那就會造成整個網路癱瘓。所以，對物聯網5G的認證要使用群主認證，一組一組來做，而不是一個一個來做。

    車聯網可能有V2V，汽車到汽車，兩者直接通訊，沒有通過網際網路的。汽車對汽車之間也要快速的相互認證。

    我們不能完全讓物聯網的認證都上到核心網來做，所以，我們對物聯網的認證，會把認證的節點下沉到網路邊緣上，移動邊緣計算，這樣可以分散，不至於認證都集中在核心網上。

    在話音通訊的時候也可能在5G網沒有全覆蓋的時候回到4G，甚至到5G的資料網路質量不好的時候也會回落到4G，這時候5G儘管把認證提得很高，可是一旦回落，就回到4G了，這個時候，4G的安全不一定能達到5G這麼好。所以，在5G上面要考慮到，當它要回落的時候，怎麼保證不會遭受降維的攻擊。

    使用者面及控制面以及信令的加密，5G應用場景很豐富，比如控制面要保證控制平面的機密性/完整性，所以要加密；使用者面也要進行加密，4G裡是沒有這個情況的。信令，包括空口的信令也都要加密。非3GPP的接入，Wi-Fi這類接入，也要考慮加密。特別是5G網路切片要進行加密，和4G的後向相容。這裡新的金鑰要支援嘗試化的金鑰，也就是說這裡有不同的金鑰，是分層的，要考慮認證機制的變化，切片的引入以及使用者面的完整性。

    5G終端也有安全性的要求，通用的要求，包括使用者和信令資料機密性的保護，簽約憑證的安全儲存處理，使用者隱私保護等等這些4G也有。5G終端特殊的要求是什麼呢？有一類5G終端是高可靠、低時延，就是車聯網這種終端，需要支援高安全、高可靠的安全機制，相對於一般的終端安全更要求高。對於mMTC終端物聯網大連線終端，本身感測器是比較簡單的，需要低功耗，所以認證安全演算法也需要輕量級的安全演算法，否則太費功耗了。對於專用的行業要用專用的晶片，比如汽車要有定製的作業系統等等。

    剛才騰訊的丁總談到發現偽基站，5G也要考慮應對5G基站，它有個特殊功能，基於網路和UE輔助，UE終端裝置負責收集資訊，將相鄰基站以及可能出現的偽基站，需要把基站上面的資訊和訊號強度上報給網路。偽基站通常是通過非常強的訊號把使用者吸引到這裡來，太強的訊號表示網路是異常的。根據網路拓撲配置資訊進行分析，確認這個小區是不是有偽基站，通過GPS、北斗等等定位就可以鎖定偽基站的位置，發現偽基站。所以，5G已經事先考慮好的，怎麼主動地發現和打擊這個偽基站。

    現在很多都用雲端計算，雲端計算是形式化、集約化的理念，但在一些應用上不能什麼東西都上到雲，比如視訊業務如果都上到雲，大量的流量要佔用核心網的頻寬，如果虛擬現實、擴增實境都上到雲端，傳輸的路徑比較長，響應就比較慢。特別是車聯網、遠端醫療都要求快速響應。所以，現在除了雲端計算又提出物計算，比雲矮一些。5G提出了移動邊緣計算，把計算能力下沉到靠近基站甚至就放在基站，這樣路徑很短，響應很快。當然，移動邊緣計算沒有中文的名字，我給它暫時起了一個計算霾計算，比雲霧一點，這樣處理得更快。這是移動邊緣計算的體系，裡面有主機，也有系統。

    移動邊緣系統伺服器可以部署在網路會聚點，也可以部署在基站，流量能夠以更短的路由完成客戶到伺服器的傳遞，可以緩解基站的攻擊，環節少了，基站遭受的攻擊少了。MEC通過對資料包的深度包解析來識別業務和使用者，並進行差異化的無線資源分配和資料包的時延保證，因為它很安全，但散落在底下很多，本身的安全也是特別需要關注的。

    SDN（軟體定義網），傳統路由器是節點控制功能和傳送轉發功能合二為一的，隨著大資料的出現，資料時空不確定性，所以我們把控制功能抽出來成為網路作業系統，把應用功能葉抽出來，這樣由網路作業系統來指揮路由器，每個路由器只有傳送轉發功能，它可以全網優化這個路由，這實際是軟體定義網路。

    傳統的做個交換機專用硬體，專用作業系統、中介軟體，路由器也一樣，閘道器也一樣。研究底層都是通用的，基於X86的硬體通用了，上層只是軟體有所不同，這樣我們叫網路功能虛擬化（NFV），當我們需要網源需要交換機就變成交換機，需要路由器就變成路由器。這樣的方式使整個虛擬化在5G會廣泛運用，它實現控制面和承載面的分離，控制面可以編排重構，使用者面專注資料的轉發。當然，這種虛擬化也帶來問題，過去我們依賴物理邊界的防護，認為物理上隔離了就能安全，而現在它的裝置形態都會發生變化，功能都會變。

    所以，你不能靠整個物理面隔離來解決安全，需要考慮在5G的環境下，怎麼把SDN控制面和轉發面分離，兩者之間的交界能不能安全隔離呢？控制面集中了就成為黑客、木馬攻擊的重點。所以，你怎麼能保證這個控制面能夠安全。SDN還有流表，怎麼保證流表的安全部署正確執行。所以，也是帶來新的挑戰。

   5G裡一個很重要的技術是網路切片，網路物理設施是不變的，但5G網路要支援多種業務，超寬頻能可以做到20G的峰值，超低時延、高可靠，要求空口只有1毫秒，還有1平方公里100萬個連線，它是Kbyte的頻寬。頻寬差了很多，對效能的要求也差很多，我們不能單靠對物理網路的改變來適應，我們物理網是不變的，邏輯上通過切片組成不同的邏輯網路，通過整個雲平臺網路編排使每種業務得到它應有的網路資源，達到它應該能提供的服務質量。

  網路切片是5G一個重要的技術，但是切片與切片之間，是有隔離的，為A使用者提供的切片不能和B使用者互相串有，每個切片都需要有它的身份識別。根據這個身份，通過歸屬伺服器，安全伺服器，分配給它應該有的安全措施，超低時延高可靠需要特別的安全，超寬頻也需要安全，在物聯網裡，一般的物聯網要求不高，車聯網要求特別得安全。所以，在這裡，要通過切片和安全之間有一定的繫結關係。

   切片需要編排，這裡叫編排器，這裡有兩類編排器，底下是先伺（音）編排器，綠色的是服務編排器，5G通過編排器實現支撐不同的接入，使資料中心、核心網、5G接入網、機器、物聯網，通過編排提供相應的服務，編排本身決定了網路特定服務的拓撲，還將決定在什麼地方要加入安全機制和安全策略。

   管理和管理編排過程最基本的安全需求是保證這些服務之間，他們會共享資源，但是有不同的安全保障，還有5G本身也需要在編排中提供足夠的安全保證，4G是沒有這個編排的，編排本身如此重要，會影響到整個網路拓撲和服務質量。因此，編排本身的安全保護就是個非常重點的問題。

    網路安全，傳統運營商只有底層鼓掌管理、配置管理、告警管理、效能管理，對於5G要增加資源管理，包括虛擬網路功能的管理，剛才說到切片，網路功能虛擬化是針對某一個應用，某一個會話提出來的，當應用結束的時候它要斷開重新組織。所以，這些切片本身是有生命週期的。端到端的編排也有生命週期，這本身的管理是非常重要的，這是4G所沒有的。

    其中也包括安全態勢的管理和監測預警，它會應用到各類安全探針，對安全事件進行上報，以深度學習手段發現和檢測攻擊。同時根據威脅程度生成安全策略的調整，這種策略還下發到網路裡每個裝置，包括安全裝置，保證構建起一個安全的防護體系。

   5G和4G有個很重要的不同是業務的生成，4G運營商的業務是運營商來管理的，運營商來生成的。5G，雖然我們說有三大應用場景，但5G本身很多具體化的業務是不知道的，就像3G的時候，我們根本沒有想到會有微信。所以，5G會面對很多可能沒有想到的業務，所以5G把業務改成什麼呢？App，就像現在終端App一樣。

   網路的業務也是不同的App，你需要增加哪種業務就增加一個App，未來5G還可以和廣播做在一起，增加各種各類的App，這種方式非常靈活，帶來很多好處。網路功能在4G是按網元組合的，在5G是按照API、App的功能組合的，業務被定義為自包含、可再用和獨立管理，這種業務的解耦便於快速部署和維護網路，也很好適應了切片的要求，而且它會使用HTTP的API介面，很容易開發和呼叫網路服務。

    這裡有兩個網元是直接服務於網路安全的，一是AUSF（認證服務功能），處理接入的認證服務；二是SEPP（安全邊緣保護代理），主要是運營商之間怎麼保證互相的安全。

    用App的辦法實現網路能力的開放，5G會提供移動性、會話和QoS和計費等功能的介面，運營商會開放介面能力組織網路，5G還會開放管理和編排能力，第三方還可以獨立地利用運營商開放的管理能力和編排能力，實現它的網路部署、更新和擴容。

   這是好的方面。對安全帶來的問題，現在的移動通訊系統是封閉的，5G是開放的，開放過程中，可能出現信源問題，有人惡意地利用5G的開放，惡意的第三方來操控和管理這個網路，並對網路實現攻擊，包括APT、DDoS等等，這樣影響就更大了。使用者裝置種類繁多，網路也是虛擬化的，使用者行動網路運營商，基礎設施提供商之間互相互動很多，彼此之間的信任問題也比以前的網路負責，在網路對外服務方面，服務也需要認證，有沒有可能引起衝突，包括相關許可權的控制和安全審計。

    過去4G、3G、2G通訊協議基本上是行動通訊專用的協議，5G不論是控制面還是使用者面，它都會靠網際網路的協議，傳輸層用的TCP，應用層用的是HTTP/2，上層也是，整個往網際網路靠。5G網路採用網際網路協議，網際網路協議上的漏洞，把它利用漏洞和滲透的測試工具，也也很容易滲透到5G上，所以所有5G新的應用既帶來好處業帶來安全挑戰，它是雙刃劍的。

    剛才說的車聯網，有V2V汽車到車的，還有移動邊緣計算，還有V2I、V2N等各種各樣。車聯網要求空口時延低於1ms（毫秒），而傳統的認證加密流程通常都比1毫秒長，所以，怎麼樣適應車聯網的要求，安全協議也要考慮低時延，所以要簡化和優化原有安全上下文管理流程等。車與車之間可能會不通過網路直接通訊，這靠誰來驗證呢？需要車與車之間相互認證。

    物聯網NB-IOT，在5G裡還會開發多種物聯網，NB-IOT是固定的，在工廠裡，機器人，被加工的工件是移動的，車聯網也是移動的，所以在5G裡開放支援移動的感測器，我們家裡面的掃地機器人，工廠的機器，走路的時候可能碰到障礙，他要發出聲音而傳統的NB-IOT是沒有話音的，5G還會有的中多樣的物聯網標準出現。通常物聯網終端是受限的，海量環節是複雜的，容易受到攻擊，所以，安全問題特別受重視。如果每個裝置每條訊息都要單獨印證的話，上百萬個終端都要到網路認證，可能這種信令的請求就會超過網路處理能力，會引發信令風暴。

    所以，5G要有群主認證機制，必須輕量化，不能增加感測器的能耗。100萬個感測器如果都被木馬控制了，會形成很大的DDoS，所以考慮窄帶物聯網終端被攻擊者劫持以後怎麼利用。

   這是5G安全防護架構，有幾大防護，最左邊一個圓圈（圖）是使用者安全防護，底下是3GPP、非GGPP接入，中間有核心網的防護，上面有介面公共域的防護，在頂上有應用領域的防護，最右側有管理領域的防護，總之有6大防護領域是5G都需要關注的。

    謝謝大家！

以上為會議速記