據微信號“每日經濟新聞”8月29日消息，華住酒店集團被爆旗下漢庭、桔子、全季等酒店開房信息遭泄露售賣。數據泄露范圍包括：官網注冊資料約1.23億條記錄；入住登記身份信息約1.3億條；酒店開房記錄約2.4億條。

據悉，總計近5億條的信息在暗網上以打包價8個比特幣售出，約合人民幣38萬元。每10條信息的出售價不到一分人民幣，一個活生生的人的尊嚴連一分錢也不值。網上黑客的作為就像偷竊他人的文物放在地攤上賤賣，是可忍，孰不可忍！

同一天還有一條新聞：運營商流量在源頭遭劫持，接連導致百度、騰訊、阿里巴巴、今日頭條等全國96家互聯網公司用戶數據被竊取。該犯罪團伙利用非法竊取的30億條用戶數據，操控用戶賬號進行微博、微信、QQ、抖音等社交平臺的加粉、刷量、加群、違規推廣，非法獲利，旗下一家公司一年營收就超過3000萬元。

網上的世界很精采，網上的世界真的很無奈。“人在網上飄，處處都是刀。”正在向我們走來的新一代5G移動互聯網，使得網絡安全和隱私保護的形勢更為嚴峻。

5G網絡將覆蓋手機、智能家居、自動駕駛汽車、遠程醫療服務、智能城市服務體系等領域，真可謂一網打盡。試想你坐在高速公路上的自動駕駛汽車里，黑客侵入系統控制了你坐的汽車，或者你的智能家居的視頻和數據被盜取，你不僅會失去尊嚴甚至命在旦夕。加強網絡安全、保護用戶隱私已經到了刻不容緩的地步。

5G移動網的安全標準的規劃和制定正在緊鑼密鼓地推進中。本文將展示5G如何實現兩個不同的安全目標。第一個目標是保護5G網絡本身，沒有穩定可靠的網絡運營一切通信安全無從說起。第二個同樣重要的目標，是提供方法和機制來保護那些建立在5G平臺之上的各種服務。

5G網絡對于eMBB(增強移動寬帶)、mMTC(海量機器類通信)、uRLLC(超可靠、低時延通信)這三大應用場景和相關的安全要求都有明確的規劃，參見圖1。

5G移動網的三大應用場景和相關安全要求

為了提高通信安全和保護用戶隱私，在繼承3G、4G網絡安全技術的基礎上，5G網絡又開發了多種全新的網絡安全機制，其中的“網絡切片”、“多元可擴展認證”和“智能型主動防御”這三種安全機制最值得關注和期待。

（一）構建網絡切片安全機制為提高通信系統的靈活性、可擴展性和部署速度，5G網絡將引入IT新技術、新架構，這其中包括了NFV/SDN（網絡功能虛擬化/軟件定義網絡）以及服務導向型架構。

為了用一張物理網絡滿足不同的業務需求，5G在網絡統一的底層物理基礎設施上通過NFV和SDN這些虛擬化技術生成相應的網絡拓撲以及網絡功能，為每一個特定業務類型生成一個網絡切片(Slice)。每一個網絡切片在物理上源自統一的網絡基礎設施，這樣大大降低了運營商運營多個不同業務類型的建網成本;而在邏輯上切片之間又是隔離的，邏輯的獨立性為每一類業務對功能的個性化定制和系統的獨立運行維護提供了基礎。邏輯隔離的網絡安全切片，又可用來支持各種應用場景對安全的差異化需求。

網絡切片是5G及未來通信網絡中的一項關鍵技術，其面向業務配置網絡的特性可以有效地助力垂直行業進行數字化轉型。不同移動終端的安全性能和對安全的需求在不同的應用場景可以是完全不同的。例如，用于手機之類視頻播放的eMBB終端，對終端認證、加解密的安全需求同LTE類似；而傳感器式的終端，由于計算能力有限、安全需求不高、又對成本敏感，它僅需輕量級的認證、加解密算法；對于高可靠安全通信，終端則需要快速接入認證、強加密算法的支持。因此，網絡切片安全首先需要為不同終端提供差異化安全保護。

構建網絡切片安全機制

但這些技術的引入也對網絡安全帶來了巨大的挑戰，由于它使網絡物理邊界變得十分模糊，以前依賴物理邊界防護的各種安全機制難以發揮作用。所以，新的安全機制必須適應虛擬化、云化的需要。

網絡切片的特征是切片和切片之間在邏輯功能上是分離的，但在物理資源上是共享的。因而切片安全的首要問題是如何做到網絡切片之間徹底的安全隔離。如果沒有隔離，擁有某個切片訪問權限的攻擊者，會以此切片為跳板，攻擊其他的目標切片。一個切片可以橫跨多個子域:如終端、接入網、核心網、承載網等，各個子域的隔離都需要考慮，并進行資源的統籌安排，以達到一致的、端到端的隔離要求。其次，在實際業務運行時，終端切片網絡的網元交互、安全協議、流程，都需要考慮到相應的隔離。

（二）多元信任模型和可擴展的身份管理機制在3G、4G時代，移動通信網主要業務是語音、短信和移動寬帶，業務類型相對比較單一。在傳統移動網絡中，網絡對用戶入網認證，并作為管道承載用戶與服務間的業務認證，用戶與網絡構成二元信任模型。這樣就鏟除了2G時代無身份認證而造成的偽基站和身份偽冒的種種困擾。

進入5G時代，移動通信網絡不只是服務于個人消費者，更重要的是將服務于垂直行業，衍生出極為豐富的新產品。5G時代不僅僅是更快的移動網絡或更強大的智能手機，而是產生諸如mMTC和URLLC這些鏈接世界的新型業務。在5G網絡中，將融合傳統二元信任模型，并構建多元信任模型。網絡和垂直行業可結合進行業務身份管理，使得業務運行更加高效，用戶的個性化需求得以滿足。

4G網絡身份管理的主要對象是移動寬帶用戶，采用以設備為單位的對稱密鑰管理體制，很好的滿足了運營商的要求。而5G網絡面臨大量新增的物聯網設備和可穿戴設備，使用傳統的用戶管理機制在開戶、認證等方面成本過于高昂，已經不能完全滿足5G用戶管理的需求，因此需要制定靈活可擴展的身份管理機制，根據業務特征及其新的安全威脅進行優化，在安全和運營成本之間取得平衡。

5G移動網多元信任模型和可擴展的身份管理機制

海量物聯網設備對5G安全帶來了新的威脅和挑戰，包括大規模的網絡攻擊行為，海量設備認證查詢風暴等。為了應對這些新的安全威脅和挑戰，5G安全架構需考慮支持分布式安全機制，即根據認證和防御等需求部署分布式的安全功能。分布式安全功能又包括分布式認證和分布式防御兩個子功能。

分布式認證：作為5G重要業務場景，海量物聯網設備同時接入認證將會對網絡的數據處理能力提出太苛刻的要求。而傳統集中式的認證機制中，每次設備的認證都需要調用核心身份服務器，從而造成針對該服務器的查詢風暴沖擊。因此5G安全架構需要分布式的認證機制以應對海量設備的認證需求。分布式認證機制對于設備的認證可以通過多個分布式的認證節點并行處理，從而減少對于核心身份服務器的訪問，支撐海量設備的高效認證。分布式認證節點的部署可以根據海量物聯網設備的分布情況進行靈活化的部署，降低網絡的認證成本和復雜度。分布式認證機制可以采用基于證書的安全機制，也可以采用基于身份的安全機制。

分布式防御：分布式安全防御技術的理念是通過在網絡邊緣節點部署安全防御能力，從更靠近源頭的地方扼制攻擊行為，實現更敏捷的安全防御。具體體現在，為滿足海量物聯網設備的接入防御機制，5G安全可將安全防御能力部署在更靠近物聯網設備的接入點。防御能力包括DDoS防御機制，分布式殺毒防御技術等。此方式可及時地應對設備的攻擊行為，降低海量設備的接入攻擊威脅。

5G移動網敏捷高效的分布式安全部署

（三）智能化(AI)主動安全防御機制5G是個開放的網絡，海量物聯網設備暴露在戶外、硬件資源受限、無人值守，易受黑客攻擊和控制，因此將會面臨大量的網絡攻擊。如果采用現有的人工防御機制，不僅響應速度慢，還將導致防御成本急劇增加，所以需要考慮采用智能化(AI)防御來自海量物聯網設備的安全威脅。此外，網絡攻擊日趨自動化，0day攻擊的可能性越來越大，5G網絡需要考慮由被動變主動的安全防御機制。

上面介紹的“網絡切片”、“多元可擴展認證”和“智能型主動防御”這三種安全機制至關重要，但它們并不是保護5G移動網的通信安全和用戶隱私的全部內容，由于篇幅和技術深度等原因，本文就不作更多的介紹了。

最后，談兩點個人的看法。

1）在3GPP、IMT-2020、ITU-T等國際組織的共同努力下，5G網絡安全標準的建設取得了重大進展。具體來說，5G第一階段的安全框架、接入安全、用戶數據的機密性和完整性保護、移動性和會話管理安全、用戶身份的隱私保護及與EPS的互通等相關工作絕大部分已完成。目前，3GPP已經啟動256比特密碼算法的研究項目，且確定在第一階段標準的5G安全系統中需要支持256比特密鑰。對于256比特密碼算法，3GPP確定在2018年3月截止的5G協議中需要支持算法應用協議標準化，但不選定具體的算法，密碼算法標準化預計在5G標準第二階段啟動。

從5G的安全標準化進程來看，真正意義上的5G互聯網離開我們還有一段距離。目前各國正在試建的5G網絡實際上只是4G的網速增強版，使用的安全技術和標準也完全是4G的延續。關于目前試建中的5G移動網的宣傳存在不少夸張和忽悠的成分。

2）5G網絡的安全標準的規劃和討論已經有很長一段時間了，國際組織間的認識正在趨于一致，世界通信巨頭中國華為不久前也發表了關于5G網絡安全的白皮書。這些有關未來一二十年通信安全的公開的文件中，未有一言半語提及“量子通信”。這看似意料之外，實在情理之中，是完全合乎思維邏輯、符合工程建設規律的。

所謂的“量子通信”事實上只是密鑰分發的一種特殊方式，而這種方式在實際應用中有許多工程上很難克服的障礙，它并不適合互聯網環境，更不適合面向未來的移動互聯網。面向未來的移動互聯網上應該釆用何種安全技術、怎樣有效地實施通信安全保護措施，在這些關于重大工程的戰略決策上，我們究竟應該相信華為等大企業中成千上萬的工程專家還是大學中少數幾個物理學家的意見呢？我想這個答案應該是不言而喻的。

面向未來的移動互聯網決定于NFV和SDN這兩項新技術。NFV(網絡功能虛擬化)通過使用x86等通用性硬件以及虛擬化技術，來承載很多功能的軟件處理,使網絡設備功能不再依賴于專用硬件，從而降低網絡昂貴的設備成本。SDN(軟件定義網絡)的核心技術OpenFlow通過將網絡設備控制面與數據面分離開來，從而實現了網絡流量的靈活控制，構建虛擬網絡，使得電訊運營商進一步擺脫電訊設備供應商。新一代的網絡的總趨勢是：網絡功能的軟件化；硬件設備的通用化；和網絡結構的虛擬化和云化。

面對移動互聯網的發展總趨勢，“量子通信”卻反其道而行之：把傳統軟件化的密碼功能硬件化；增加了量子密鑰生成終端、光量子交換器、可信任中繼站等專用設備，使得網絡硬件進一步專用化而不是通用化，迫使運營商更依賴于設備供應商；同時又在原有的網絡環境中疊床架屋，導致網絡結構的復雜化和僵硬化，阻礙網絡應用服務的靈活化、個性化、和可擴展化。

“量子通信”在5G移動互聯網上的問題還涉及到成本價格、可行性等等許多問題，對此的深入分析將會放在“量子通信”批評系列的專文中。