摘 要：5G通信技術(shù)能滿足不同應(yīng)用領(lǐng)域多樣化的業(yè)務(wù)需求，網(wǎng)絡(luò)切片是現(xiàn)階段業(yè)界公認(rèn)的較為理想的網(wǎng)絡(luò)架構(gòu)。但是5G技術(shù)在滿足海量業(yè)務(wù)的同時(shí)，需要密切關(guān)注網(wǎng)絡(luò)安全問(wèn)題。本文結(jié)合5G安全架構(gòu)，重點(diǎn)分析了網(wǎng)絡(luò)切片的安全控制策略，從而引發(fā)更多關(guān)于5G網(wǎng)絡(luò)安全的探索和思考。

關(guān)鍵詞：5G業(yè)務(wù)場(chǎng)景；網(wǎng)絡(luò)切片；安全架構(gòu)；切片安全策略

中圖分類號(hào)：TN929.5 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2018）04-0072-02

Abstract：5G communication technology can meet diverse business needs in different application fields，and network slicing is an ideal network architecture recognized by the industry at this stage. However，5G technology needs to pay close attention to network security while satisfying massive business. Combined with the security architecture of 5G，this paper focuses on analyzing the security control strategy of network slicing，which leads to more exploration and thinking about 5G network security.

Keywords：5G business scenario；network slicing；security architecture；sectioning security policy

0 引 言

隨著移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及各種行業(yè)應(yīng)用的快速增長(zhǎng)，對(duì)互聯(lián)網(wǎng)流量密度、互聯(lián)網(wǎng)連接數(shù)、移動(dòng)性管理均提出了超高要求。第五代移動(dòng)通信技術(shù)（5G）應(yīng)運(yùn)而生。新的技術(shù)在提升移動(dòng)互聯(lián)網(wǎng)用戶體驗(yàn)的同時(shí)，能進(jìn)一步滿足物聯(lián)網(wǎng)應(yīng)用的海量需求。

目前5G業(yè)務(wù)分為三大類業(yè)務(wù)場(chǎng)景，5G技術(shù)需滿足多樣化的業(yè)務(wù)需求，同時(shí)針對(duì)三種不同的業(yè)務(wù)場(chǎng)景以及同一業(yè)務(wù)場(chǎng)景下的不同業(yè)務(wù)提供差異化的安全保護(hù)機(jī)制。5G業(yè)務(wù)場(chǎng)景分類及典型示例如圖1所示。

針對(duì)上述不同的業(yè)務(wù)場(chǎng)景，5G網(wǎng)絡(luò)將建立網(wǎng)絡(luò)切片，并根據(jù)業(yè)務(wù)需求針對(duì)切片定制安全保護(hù)機(jī)制，實(shí)現(xiàn)安全分級(jí)服務(wù)。

1 5G網(wǎng)絡(luò)切片

網(wǎng)絡(luò)切片是將一個(gè)硬件基礎(chǔ)設(shè)施組成的物理網(wǎng)絡(luò)切割成多個(gè)虛擬的端到端的網(wǎng)絡(luò)，每個(gè)虛擬網(wǎng)絡(luò)之間是邏輯獨(dú)立的，包括網(wǎng)絡(luò)內(nèi)的設(shè)備、接入、傳輸和核心網(wǎng)。任何一個(gè)虛擬網(wǎng)絡(luò)發(fā)生故障都不會(huì)影響到其它虛擬網(wǎng)絡(luò)。網(wǎng)絡(luò)切片允許在每個(gè)網(wǎng)絡(luò)切片中容易地配置和重用網(wǎng)絡(luò)元件及功能，以滿足特定的應(yīng)用要求，成為眾多業(yè)界人士公認(rèn)5G時(shí)代理想的網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)切片邏輯架構(gòu)如圖2所示。

2 5G安全架構(gòu)

5G時(shí)代垂直行業(yè)的深度融合帶來(lái)了多種應(yīng)用場(chǎng)景，也要求網(wǎng)絡(luò)架構(gòu)能夠支持各類應(yīng)用場(chǎng)景，5G安全應(yīng)是多種應(yīng)用場(chǎng)景下的通信安全以及網(wǎng)絡(luò)架構(gòu)的安全。5G網(wǎng)絡(luò)安全架構(gòu)示意圖如圖3所示。

由圖3可以看出，5G網(wǎng)絡(luò)安全架構(gòu)由控制面和用戶面組成，同時(shí)保證用戶設(shè)備和接入網(wǎng)絡(luò)之間、用戶設(shè)備與服務(wù)網(wǎng)絡(luò)公共節(jié)點(diǎn)以及用戶設(shè)備與切片之間的保護(hù)。接入網(wǎng)與服務(wù)網(wǎng)絡(luò)公共節(jié)點(diǎn)、服務(wù)網(wǎng)絡(luò)公共節(jié)點(diǎn)與歸屬環(huán)境及切片、歸屬環(huán)境及切片間的安全保護(hù)等。本文重點(diǎn)關(guān)注網(wǎng)絡(luò)切片的安全保護(hù)機(jī)制。

3 5G切片安全保護(hù)

網(wǎng)絡(luò)切片最重要的安全問(wèn)題是網(wǎng)絡(luò)切片需要提供不同切片實(shí)例之間的隔離機(jī)制，防止本切片內(nèi)的資源被其他切片中的網(wǎng)絡(luò)節(jié)點(diǎn)非法訪問(wèn)。網(wǎng)絡(luò)切片的安全，包括切片安全隔離、切片安全管理、UE接入切片的安全和切片之間通信的安全等。切片安全機(jī)制主要包含UE和切片間安全、切片內(nèi)NF（網(wǎng)絡(luò)功能）與切片外NF間安全、切片內(nèi)NF間安全。

3.1 UE和切片間安全管理

UE和切片間安全管理通過(guò)接入策略控制應(yīng)對(duì)訪問(wèn)類風(fēng)險(xiǎn)。接入管理功能（AMF）通過(guò)UE的網(wǎng)絡(luò)切片選擇輔助信息（NSSAI），為UE選擇正確的切片，保證接入網(wǎng)絡(luò)的UE是合法的。UE訪問(wèn)不同切片內(nèi)的業(yè)務(wù)時(shí)，會(huì)建立不同的PDU會(huì)話，不同的網(wǎng)絡(luò)切片不能共享PDU會(huì)話。UE的每一個(gè)切片的PDU會(huì)話都可以根據(jù)切片策略采用不同的安全機(jī)制。

3.2 切片內(nèi)外網(wǎng)絡(luò)功能安全管理

切片內(nèi)外網(wǎng)絡(luò)功能安全管理包含切片內(nèi)NF與切片公用NF間、切片內(nèi)NF與外網(wǎng)設(shè)備間隔離。

3.2.1 切片內(nèi)NF與切片公用NF間安全策略

網(wǎng)管平臺(tái)通過(guò)白名單機(jī)制對(duì)各個(gè)NF進(jìn)行授權(quán)，公用NF可同時(shí)訪問(wèn)多個(gè)切片內(nèi)的NF，切片內(nèi)的NF需要安全機(jī)制控制來(lái)自公用NF的訪問(wèn)，防止公用NF及非法的外部NF訪問(wèn)某個(gè)切片內(nèi)的NF。

切片內(nèi)的會(huì)話管理功能（SMF）需要向網(wǎng)絡(luò)倉(cāng)儲(chǔ)功能（NRF）注冊(cè)。當(dāng)AMF為UE選擇切片時(shí)，詢問(wèn)NRF發(fā)現(xiàn)各個(gè)切片的SMF，在AMF和SMF通信前，先進(jìn)行相互認(rèn)證，實(shí)現(xiàn)切片內(nèi)NF（如SMF）與切片外公共NF（如AMF）之間的相互可信。

同時(shí)，可以在AMF或NRF做頻率監(jiān)控或部署防火墻防止Dos/DDos攻擊，防止惡意用戶將切片公有NF的資源耗盡，進(jìn)而影響切片的正常運(yùn)作。

3.2.2 切片內(nèi)NF與外網(wǎng)設(shè)備間安全策略

確保切片內(nèi)NF與外網(wǎng)設(shè)備間安全可通過(guò)部署虛擬或物理防火墻。切片內(nèi)可以部署虛擬防火墻，不同的切片按需編排。切片外可部署物理防火墻，一個(gè)防火墻可以保障多個(gè)切片的安全。

3.3 切片內(nèi)NF間安全管理

切片內(nèi)的NF之間通信前，可先進(jìn)行認(rèn)證，保證對(duì)方NF是可信NF，然后可以通過(guò)建立安全隧道保證通訊安全。

4 結(jié) 論

5G網(wǎng)絡(luò)支持多種業(yè)務(wù)的多樣性需求，不同的業(yè)務(wù)有不同的安全要求。通過(guò)提供多層次的切片安全保護(hù)機(jī)制，為不同的業(yè)務(wù)提供差異化的安全服務(wù)，保證5G通信的安全可靠。后續(xù)將持續(xù)重點(diǎn)推進(jìn)切片安全的相關(guān)研究工作。

參考文獻(xiàn)：

[1] 月球，肖子玉，楊小樂(lè).未來(lái)5G網(wǎng)絡(luò)切片技術(shù)關(guān)鍵問(wèn)題分析 [J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2017，30（5）：45-50.

[2] 許陽(yáng)，高功應(yīng)，王磊.5G移動(dòng)網(wǎng)絡(luò)切片技術(shù)淺析 [J].郵電設(shè)計(jì)技術(shù)，2016（7）：19-22.

[3] 李金艷，楊峰義，梅承力.網(wǎng)絡(luò)切片將成5G理想架構(gòu)商用部署仍面臨多重挑戰(zhàn) [J].通信世界，2017（15）：40-42.

[4] 錢(qián)昭.淺談5G移動(dòng)網(wǎng)絡(luò)切片技術(shù)及關(guān)鍵問(wèn)題研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（12）：99.

[5] 李暉，付玉龍.5G網(wǎng)絡(luò)安全問(wèn)題分析與展望 [J].無(wú)線電通信技術(shù)，2015，41（4）：1-7.

[6] 周玟秋.5G網(wǎng)絡(luò)安全技術(shù)研究 [J].電子技術(shù)與軟件工程，2016（18）：235.

作者簡(jiǎn)介：李雪永（1989-），女，漢族，廣東廣州人，助理工程師。研究方向：運(yùn)營(yíng)商的核心網(wǎng)、業(yè)務(wù)網(wǎng)、數(shù)據(jù)網(wǎng)的設(shè)計(jì)。