（二）多元信任模型和可擴(kuò)展的身份管理機(jī)制在3G、4G時(shí)代，移動(dòng)通信網(wǎng)主要業(yè)務(wù)是語(yǔ)音、短信和移動(dòng)寬帶，業(yè)務(wù)類(lèi)型相對(duì)比較單一。在傳統(tǒng)移動(dòng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)對(duì)用戶(hù)入網(wǎng)認(rèn)證，并作為管道承載用戶(hù)與服務(wù)間的業(yè)務(wù)認(rèn)證，用戶(hù)與網(wǎng)絡(luò)構(gòu)成二元信任模型。這樣就鏟除了2G時(shí)代無(wú)身份認(rèn)證而造成的偽基站和身份偽冒的種種困擾。

進(jìn)入5G時(shí)代，移動(dòng)通信網(wǎng)絡(luò)不只是服務(wù)于個(gè)人消費(fèi)者，更重要的是將服務(wù)于垂直行業(yè)，衍生出極為豐富的新產(chǎn)品。5G時(shí)代不僅僅是更快的移動(dòng)網(wǎng)絡(luò)或更強(qiáng)大的智能手機(jī)，而是產(chǎn)生諸如mMTC和URLLC這些鏈接世界的新型業(yè)務(wù)。在5G網(wǎng)絡(luò)中，將融合傳統(tǒng)二元信任模型，并構(gòu)建多元信任模型。網(wǎng)絡(luò)和垂直行業(yè)可結(jié)合進(jìn)行業(yè)務(wù)身份管理，使得業(yè)務(wù)運(yùn)行更加高效，用戶(hù)的個(gè)性化需求得以滿(mǎn)足。

4G網(wǎng)絡(luò)身份管理的主要對(duì)象是移動(dòng)寬帶用戶(hù)，采用以設(shè)備為單位的對(duì)稱(chēng)密鑰管理體制，很好的滿(mǎn)足了運(yùn)營(yíng)商的要求。而5G網(wǎng)絡(luò)面臨大量新增的物聯(lián)網(wǎng)設(shè)備和可穿戴設(shè)備，使用傳統(tǒng)的用戶(hù)管理機(jī)制在開(kāi)戶(hù)、認(rèn)證等方面成本過(guò)于高昂，已經(jīng)不能完全滿(mǎn)足5G用戶(hù)管理的需求，因此需要制定靈活可擴(kuò)展的身份管理機(jī)制，根據(jù)業(yè)務(wù)特征及其新的安全威脅進(jìn)行優(yōu)化，在安全和運(yùn)營(yíng)成本之間取得平衡。

5G移動(dòng)網(wǎng)多元信任模型和可擴(kuò)展的身份管理機(jī)制

海量物聯(lián)網(wǎng)設(shè)備對(duì)5G安全帶來(lái)了新的威脅和挑戰(zhàn)，包括大規(guī)模的網(wǎng)絡(luò)攻擊行為，海量設(shè)備認(rèn)證查詢(xún)風(fēng)暴等。為了應(yīng)對(duì)這些新的安全威脅和挑戰(zhàn)，5G安全架構(gòu)需考慮支持分布式安全機(jī)制，即根據(jù)認(rèn)證和防御等需求部署分布式的安全功能。分布式安全功能又包括分布式認(rèn)證和分布式防御兩個(gè)子功能。

分布式認(rèn)證：作為5G重要業(yè)務(wù)場(chǎng)景，海量物聯(lián)網(wǎng)設(shè)備同時(shí)接入認(rèn)證將會(huì)對(duì)網(wǎng)絡(luò)的數(shù)據(jù)處理能力提出太苛刻的要求。而傳統(tǒng)集中式的認(rèn)證機(jī)制中，每次設(shè)備的認(rèn)證都需要調(diào)用核心身份服務(wù)器，從而造成針對(duì)該服務(wù)器的查詢(xún)風(fēng)暴沖擊。因此5G安全架構(gòu)需要分布式的認(rèn)證機(jī)制以應(yīng)對(duì)海量設(shè)備的認(rèn)證需求。分布式認(rèn)證機(jī)制對(duì)于設(shè)備的認(rèn)證可以通過(guò)多個(gè)分布式的認(rèn)證節(jié)點(diǎn)并行處理，從而減少對(duì)于核心身份服務(wù)器的訪(fǎng)問(wèn)，支撐海量設(shè)備的高效認(rèn)證。分布式認(rèn)證節(jié)點(diǎn)的部署可以根據(jù)海量物聯(lián)網(wǎng)設(shè)備的分布情況進(jìn)行靈活化的部署，降低網(wǎng)絡(luò)的認(rèn)證成本和復(fù)雜度。分布式認(rèn)證機(jī)制可以采用基于證書(shū)的安全機(jī)制，也可以采用基于身份的安全機(jī)制。

分布式防御：分布式安全防御技術(shù)的理念是通過(guò)在網(wǎng)絡(luò)邊緣節(jié)點(diǎn)部署安全防御能力，從更靠近源頭的地方扼制攻擊行為，實(shí)現(xiàn)更敏捷的安全防御。具體體現(xiàn)在，為滿(mǎn)足海量物聯(lián)網(wǎng)設(shè)備的接入防御機(jī)制，5G安全可將安全防御能力部署在更靠近物聯(lián)網(wǎng)設(shè)備的接入點(diǎn)。防御能力包括DDoS防御機(jī)制，分布式殺毒防御技術(shù)等。此方式可及時(shí)地應(yīng)對(duì)設(shè)備的攻擊行為，降低海量設(shè)備的接入攻擊威脅。

5G移動(dòng)網(wǎng)敏捷高效的分布式安全部署

（三）智能化(AI)主動(dòng)安全防御機(jī)制5G是個(gè)開(kāi)放的網(wǎng)絡(luò)，海量物聯(lián)網(wǎng)設(shè)備暴露在戶(hù)外、硬件資源受限、無(wú)人值守，易受黑客攻擊和控制，因此將會(huì)面臨大量的網(wǎng)絡(luò)攻擊。如果采用現(xiàn)有的人工防御機(jī)制，不僅響應(yīng)速度慢，還將導(dǎo)致防御成本急劇增加，所以需要考慮采用智能化(AI)防御來(lái)自海量物聯(lián)網(wǎng)設(shè)備的安全威脅。此外，網(wǎng)絡(luò)攻擊日趨自動(dòng)化，0day攻擊的可能性越來(lái)越大，5G網(wǎng)絡(luò)需要考慮由被動(dòng)變主動(dòng)的安全防御機(jī)制。

上面介紹的“網(wǎng)絡(luò)切片”、“多元可擴(kuò)展認(rèn)證”和“智能型主動(dòng)防御”這三種安全機(jī)制至關(guān)重要，但它們并不是保護(hù)5G移動(dòng)網(wǎng)的通信安全和用戶(hù)隱私的全部?jī)?nèi)容，由于篇幅和技術(shù)深度等原因，本文就不作更多的介紹了。

最后，談兩點(diǎn)個(gè)人的看法。

1）在3GPP、IMT-2020、ITU-T等國(guó)際組織的共同努力下，5G網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的建設(shè)取得了重大進(jìn)展。具體來(lái)說(shuō)，5G第一階段的安全框架、接入安全、用戶(hù)數(shù)據(jù)的機(jī)密性和完整性保護(hù)、移動(dòng)性和會(huì)話(huà)管理安全、用戶(hù)身份的隱私保護(hù)及與EPS的互通等相關(guān)工作絕大部分已完成。目前，3GPP已經(jīng)啟動(dòng)256比特密碼算法的研究項(xiàng)目，且確定在第一階段標(biāo)準(zhǔn)的5G安全系統(tǒng)中需要支持256比特密鑰。對(duì)于256比特密碼算法，3GPP確定在2018年3月截止的5G協(xié)議中需要支持算法應(yīng)用協(xié)議標(biāo)準(zhǔn)化，但不選定具體的算法，密碼算法標(biāo)準(zhǔn)化預(yù)計(jì)在5G標(biāo)準(zhǔn)第二階段啟動(dòng)。

從5G的安全標(biāo)準(zhǔn)化進(jìn)程來(lái)看，真正意義上的5G互聯(lián)網(wǎng)離我們還有一段距離。目前各國(guó)正在試建的5G網(wǎng)絡(luò)實(shí)際上只是4G的網(wǎng)速增強(qiáng)版，使用的安全技術(shù)和標(biāo)準(zhǔn)也完全是4G的延續(xù)。關(guān)于目前試建中的5G移動(dòng)網(wǎng)的宣傳存在不少夸張和忽悠的成分。

2）5G網(wǎng)絡(luò)的安全標(biāo)準(zhǔn)的規(guī)劃和討論已經(jīng)有很長(zhǎng)一段時(shí)間了，國(guó)際組織間的認(rèn)識(shí)正在趨于一致，世界通信巨頭中國(guó)華為不久前也發(fā)表了關(guān)于5G網(wǎng)絡(luò)安全的白皮書(shū)。這些有關(guān)未來(lái)一二十年通信安全的公開(kāi)的文件中，未有一言半語(yǔ)提及“量子通信”。這看似意料之外，實(shí)在情理之中，是完全合乎思維邏輯、符合工程建設(shè)規(guī)律的。

所謂的“量子通信”事實(shí)上只是密鑰分發(fā)的一種特殊方式，而這種方式在實(shí)際應(yīng)用中有許多工程上很難克服的障礙，它并不適合互聯(lián)網(wǎng)環(huán)境，更不適合面向未來(lái)的移動(dòng)互聯(lián)網(wǎng)。面向未來(lái)的移動(dòng)互聯(lián)網(wǎng)上應(yīng)該釆用何種安全技術(shù)、怎樣有效地實(shí)施通信安全保護(hù)措施，在這些關(guān)于重大工程的戰(zhàn)略決策上，我們究竟應(yīng)該相信華為等大企業(yè)中成千上萬(wàn)的工程專(zhuān)家還是大學(xué)中少數(shù)幾個(gè)物理學(xué)家的意見(jiàn)呢？我想這個(gè)答案應(yīng)該是不言而喻的。

面向未來(lái)的移動(dòng)互聯(lián)網(wǎng)決定于NFV和SDN這兩項(xiàng)新技術(shù)。NFV(網(wǎng)絡(luò)功能虛擬化)通過(guò)使用x86等通用性硬件以及虛擬化技術(shù)，來(lái)承載很多功能的軟件處理,使網(wǎng)絡(luò)設(shè)備功能不再依賴(lài)于專(zhuān)用硬件，從而降低網(wǎng)絡(luò)昂貴的設(shè)備成本。SDN(軟件定義網(wǎng)絡(luò))的核心技術(shù)OpenFlow通過(guò)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開(kāi)來(lái)，從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，構(gòu)建虛擬網(wǎng)絡(luò)，使得電訊運(yùn)營(yíng)商進(jìn)一步擺脫電訊設(shè)備供應(yīng)商。新一代的網(wǎng)絡(luò)的總趨勢(shì)是：網(wǎng)絡(luò)功能的軟件化；硬件設(shè)備的通用化；和網(wǎng)絡(luò)結(jié)構(gòu)的虛擬化和云化。

面對(duì)移動(dòng)互聯(lián)網(wǎng)的發(fā)展總趨勢(shì)，“量子通信”卻反其道而行之：把傳統(tǒng)軟件化的密碼功能硬件化；增加了量子密鑰生成終端、光量子交換器、可信任中繼站等專(zhuān)用設(shè)備，使得網(wǎng)絡(luò)硬件進(jìn)一步專(zhuān)用化而不是通用化，迫使運(yùn)營(yíng)商更依賴(lài)于設(shè)備供應(yīng)商；同時(shí)又在原有的網(wǎng)絡(luò)環(huán)境中疊床架屋，導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜化和僵硬化，阻礙網(wǎng)絡(luò)應(yīng)用服務(wù)的靈活化、個(gè)性化、和可擴(kuò)展化。

 “量子通信”在5G移動(dòng)互聯(lián)網(wǎng)上的問(wèn)題還涉及到成本價(jià)格、可行性等等許多問(wèn)題，對(duì)此的深入分析將會(huì)放在“量子通信”批評(píng)系列的專(zhuān)文中。

本文系觀察者網(wǎng)獨(dú)家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。