閆新成 毛玉欣 趙紅勛

摘要：系統(tǒng)地分析了5G 3大應用場景的典型安全需求，以及5G新架構(gòu)的引入所帶來新的安全需求。針對性地提出了安全防護對策，包括虛擬化基礎(chǔ)設(shè)施可信運行及資源隔離、網(wǎng)絡安全功能服務化與按需重構(gòu)、虛擬化網(wǎng)絡切片的安全保障、統(tǒng)一身份管理和多元信任機制、網(wǎng)絡服務接口的安全保障、網(wǎng)絡功能域安全防護等，為5G網(wǎng)絡更好地適應垂直行業(yè)差異化的安全需求提供網(wǎng)絡安全研究、設(shè)計方面的參考。

關(guān)鍵詞：增強移動寬帶;高可靠低時延;大規(guī)模機器連接;安全功能服務化;網(wǎng)絡切片;信任管理

Abstract： The typical security requirements for the main 5G application scenarios and new security challenges which are brought by the new 5G architecture are systematically analyzed. The security protection countermeasures are proposed， including trust operation of virtualization infrastructure and resource isolation， service-oriented and on-demand reconstruction of security network functions， network slicing security， unified identity management and multi-trust mechanisms， service based interface security， and security protection of network function domains， etc. These countermeasures provide network security research and design reference for 5G network to better adapt to the security needs of vertical industry differentiation.

Key words： enhanced mobile broadband; ultra reliable low latency; massive machine connections; security function virtualization; network slicing; trust management

5G作為新一代信息技術(shù)的核心引擎，力圖牽引信息網(wǎng)絡從消費互聯(lián)網(wǎng)向工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)型，實現(xiàn)人與機器信息化互聯(lián)的愿景，打造網(wǎng)絡與業(yè)務融合的服務模式。5G在無線接入、傳輸、核心網(wǎng)絡方面采用了大量先進技術(shù)，例如豐富的接入能力、統(tǒng)一認證框架[1]、靈活的網(wǎng)絡架構(gòu)以及服務化的業(yè)務模式[2]。這些使得5G在技術(shù)、架構(gòu)和業(yè)務等方面與3G、4G或其他無線通信系統(tǒng)存在很大的區(qū)別。全新的網(wǎng)絡設(shè)計在更好地支撐多樣化應用場景的同時，也將會帶來全新的安全風險和需求，對現(xiàn)有的網(wǎng)絡安全提出新的挑戰(zhàn)。

5G的行業(yè)應用仍處于初步階段，不同行業(yè)、不同業(yè)務、不同客戶對于安全的需求也有著一定的差異。但我們?nèi)匀豢梢葬槍Φ湫蛻脠鼍暗墓残园踩枨筮M行分析，重新審視5G網(wǎng)絡中新的防護對象、新的信任體系，以及對新的網(wǎng)絡功能和新業(yè)務模式的防護。

1 5G安全需求和威脅分析

3G、4G移動通信系統(tǒng)重點面向移動互聯(lián)網(wǎng)，滿足個人電話、信息及數(shù)據(jù)訪問等方面的需求。而5G需要同時滿足以移動互聯(lián)網(wǎng)、車聯(lián)網(wǎng)以及物聯(lián)網(wǎng)為典型代表的多種應用，因此為單一接入場景而設(shè)計的安全防護機制將難以應對5G網(wǎng)絡新的安全需求[3]。

不同垂直行業(yè)應用對5G網(wǎng)絡的安全需求是不同的，甚至可能是相悖的，若要以相同的安全機制和策略滿足所有的垂直行業(yè)要求是不現(xiàn)實的;因此需要以服務化思想來構(gòu)建5G網(wǎng)絡安全架構(gòu)和安全基礎(chǔ)設(shè)施，為行業(yè)用戶提供按需可定制的網(wǎng)絡服務以及差異化的安全防護能力等。

1.1 典型應用場景的典型安全

需求

5G有3類主要應用場景：增強移動寬帶（eMBB）、海量機器類通信（mMTC）、高可靠低時延（uRLLC）。

在eMBB應用場景下，5G網(wǎng)絡峰值速率和用戶體驗速率較4G增長10倍以上[4]，這對安全基礎(chǔ)設(shè)施的計算與處理能力提出了挑戰(zhàn)。在網(wǎng)絡入口處通常需要部署安全基礎(chǔ)設(shè)施，來進行網(wǎng)絡或業(yè)務策略的訪問控制。同時，為了保護用戶隱私，對數(shù)據(jù)或信息也要進行訪問控制。傳統(tǒng)安全基礎(chǔ)設(shè)施以單設(shè)備、高性能來提升計算與處理能力，這種模式將很難適應超大流量的5G網(wǎng)絡防護需求。因此，構(gòu)建云化或服務化的安全基礎(chǔ)設(shè)施，通過服務間的配合與協(xié)同機制來實現(xiàn)高性能的安全處理能力，將是未來安全基礎(chǔ)設(shè)施提高其計算與處理能力、應對海量數(shù)據(jù)的主要途徑。

在uRLLC場景下，要求端到端時延從10 ms降到1 ms[4]。典型應用包括車聯(lián)網(wǎng)與自動化輔助駕駛、遠程醫(yī)療以及工業(yè)自動化控制等。由于這類應用本身關(guān)系到人身安全或高額經(jīng)濟利益，因此對安全能力的要求與對網(wǎng)絡自身能力的要求同等重要。針對這類應用的安全防護機制是嚴苛的，在實現(xiàn)高安全防護的同時不能影響到應用體驗，例如傳統(tǒng)網(wǎng)絡架構(gòu)中基于多層隧道等補丁式防護手段很難滿足這類應用的要求。低時延應用需要依賴網(wǎng)絡部署移動邊緣計算（MEC）能力降低網(wǎng)絡時延;但是MEC需要將部分原本位于運營商核心機房的功能下沉至近用戶位置的網(wǎng)絡邊緣進行部署，部署位置甚至完全脫離了運營商控制區(qū)域（例如企業(yè)園區(qū)等），這增加核心設(shè)備遭受攻擊的風險。

在mMTC場景下，連接密度從10萬臺/km2增大到100萬臺/km2[4]。數(shù)量的變化也會帶來新的安全問題：首先，終端設(shè)備數(shù)量巨大，即使正常情況下發(fā)包頻率不高，數(shù)據(jù)包也不大，但其認證過程以及正常的業(yè)務數(shù)據(jù)都有可能帶來極高的瞬時業(yè)務峰值，從而引發(fā)信令風暴;其次，無人值守的終端設(shè)備一旦被劫持，可能會構(gòu)成一個巨型的“僵尸網(wǎng)絡”，進而對其他關(guān)鍵網(wǎng)絡基礎(chǔ)設(shè)施發(fā)起分布式拒絕訪問服務（DDoS）攻擊。因此，需要研究海量終端設(shè)備接入安全機制，加強細粒度的設(shè)備管控。

1.2 適應行業(yè)應用的新網(wǎng)絡架構(gòu)

帶來的安全挑戰(zhàn)

5G在網(wǎng)絡設(shè)計上進行了軟件和硬件解耦、控制與轉(zhuǎn)發(fā)分離，并引入網(wǎng)絡切片和網(wǎng)絡能力開放等新技術(shù)提升網(wǎng)絡靈活性、可擴展性、可重構(gòu)能力。5G服務化架構(gòu)在滿足不同垂直行業(yè)應用需求的同時，也引發(fā)了一些新的安全問題：

（1）安全防護對象發(fā)生變化。

5G網(wǎng)絡基礎(chǔ)設(shè)施云化和虛擬化，使得資源利用率和資源提供方式的靈活性大大提升，但也打破了原有以物理設(shè)備為邊界的資源提供模式。在3G、4G網(wǎng)絡中，以物理實體為核心的安全防護技術(shù)在5G網(wǎng)絡中不再適用，需要建立起以虛擬資源和虛擬網(wǎng)絡功能為目標的安全防護體系。

（2）信任關(guān)系由二元變?yōu)槎嘣?/p>

3G、4G網(wǎng)絡的價值鏈中只有終端用戶和網(wǎng)絡運營商2個角色，并沒有明確而完整地提出信任管理體系。5G網(wǎng)絡與垂直行業(yè)應用的結(jié)合使得一批新的參與者、新的設(shè)備類型加入價值鏈。例如，傳統(tǒng)移動網(wǎng)絡中網(wǎng)絡運營商通常也是基礎(chǔ)設(shè)施供應商，而在5G時代，可能會引入虛擬移動網(wǎng)絡運營商的角色。虛擬移動網(wǎng)絡運營商需要從移動網(wǎng)絡運營商/基礎(chǔ)設(shè)施提供商中購買網(wǎng)絡切片。相比傳統(tǒng)網(wǎng)絡的終端用戶，5G網(wǎng)絡除了手機用戶之外，還有各種物聯(lián)網(wǎng)（IoT）設(shè)備用戶、交通工具等。因此，5G網(wǎng)絡需要構(gòu)建新的信任管理體系、研究身份和信任管理機制以解決各個角色之間的多元信任問題。

（3）集中管理帶來了安全風險。

3G、4G較少地采用集中式管理方式，除了少數(shù)網(wǎng)元外，其他網(wǎng)元之間的管理更多依賴于自主協(xié)商。5G使用不同的網(wǎng)絡切片來滿足不同的行業(yè)應用需求，不同的切片需要分配不同的網(wǎng)絡資源。切片管理以及與切片相關(guān)的網(wǎng)絡資源管理不可能再基于自主協(xié)商方式，因此集中式管理將成為主要方式。5G網(wǎng)絡中使用網(wǎng)絡功能虛擬化管理和編排（MANO）、軟件定義網(wǎng)絡（SDN）控制器等對網(wǎng)絡集中編排和管理。MANO和SDN屬于網(wǎng)絡中樞，一旦被非法控制或遭受攻擊，將對網(wǎng)絡造成嚴重影響，甚至癱瘓。集中式管理網(wǎng)元的安全防護問題迫切需要解決。

（4）新服務交付模式的相關(guān)安全需求。

5G網(wǎng)絡為了更好地應對各種不同的業(yè)務需求，接納了新的參與角色并將其加入網(wǎng)絡價值鏈與生態(tài)系統(tǒng)中，由此產(chǎn)生了新的服務交付模式[5]。5G通過將能力開放，同時配合資源動態(tài)部署與按需組合機制，為垂直行業(yè)提供靈活、可定制的差異化網(wǎng)絡服務。能力開放改變了傳統(tǒng)網(wǎng)絡以能力封閉換取能力提供者自身安全的思路，使得能力使用者通過控制協(xié)議對能力提供者發(fā)起攻擊成為可能。一旦能力使用者被惡意入侵，利用能力開放接口的可編程性，經(jīng)由控制接口對5G網(wǎng)絡進行惡意編排，將會造成嚴重后果，因此新服務交付模式需要解決網(wǎng)絡能力開放的安全防護問題。

2 5G網(wǎng)絡安全防護技術(shù)

2.1 安全防護對策分析

我們將上述提到的威脅和安全需求進行匯總，并列舉了相應的典型安全防護對策，如表1所示。需要說明的是，實際上一個特定場景并非只有一種安全需求或威脅，也絕非一種安全方案就可以解決的。同樣，一類解決方案也不僅限于只解決一類特定需求。這里僅列舉了一些典型而重要的安全功能和方案，以便對問題進行清晰的剖析。

2.2 5G安全關(guān)鍵防護技術(shù)

（1）基礎(chǔ)設(shè)施的虛擬化隔離。

軟件和硬件的解耦，網(wǎng)絡功能虛擬化（NFV）、軟件定義網(wǎng)絡的引入，使得原來私有、封閉的專用網(wǎng)絡設(shè)備變成標準、開放的通用設(shè)備，也使得網(wǎng)絡防護邊界變得模糊。網(wǎng)絡虛擬化、開放化使得網(wǎng)絡更易遭受攻擊，并且集中部署的網(wǎng)絡將導致網(wǎng)絡威脅傳播速度更快，波及更廣。由于網(wǎng)絡功能實體共享基礎(chǔ)設(shè)施資源，因此需要其提供資源的安全隔離技術(shù)來保障上層5G網(wǎng)絡功能系統(tǒng)運行的安全性。可以通過虛擬隔離機制來實現(xiàn)計算、網(wǎng)絡、存儲等資源的隔離，讓承載每個網(wǎng)絡功能實體無法突破虛擬機/容器管理器給出的資源限制。虛擬化網(wǎng)絡的安全防護還需要保證網(wǎng)絡基礎(chǔ)設(shè)施的可信，這一點對于非信任環(huán)境部署的基礎(chǔ)設(shè)施，例如基站云化、邊緣計算等來說更為重要。通過可信計算技術(shù)，在網(wǎng)絡功能實體平臺上植入了硬件可信根，以構(gòu)建從計算環(huán)境、基礎(chǔ)軟件到應用及服務的信任鏈，并依托逐級完整性檢查，來實現(xiàn)網(wǎng)絡功能實體的軟硬件環(huán)境的完整性保護。

（2）網(wǎng)絡安全功能按需重構(gòu)。

5G網(wǎng)絡本質(zhì)是一種按需定制的網(wǎng)絡，其優(yōu)勢在于除了可以為各垂直行業(yè)提供差異性的連接服務之外，還能按需提供差異化的安全防護能力。通過借鑒網(wǎng)絡功能服務化的思想，構(gòu)建安全功能的服務化，如圖1所示，并將虛擬化的安全功能按需編排到網(wǎng)絡切片中，使安全資源、網(wǎng)絡資源、數(shù)據(jù)資源在網(wǎng)絡切片中獨立提供，達到近似于傳統(tǒng)私網(wǎng)的安全保障和用戶體驗。

安全功能虛擬化是按需重構(gòu)的前提。通過對傳統(tǒng)安全功能的虛擬化，可設(shè)計出適應不同應用安全需求的虛擬安全功能單元，例如防火墻、接入認證、互聯(lián)網(wǎng)協(xié)議安全（IPsec）、安全套接層（SSL）虛擬專用網(wǎng)絡（VPN）、入侵檢測、病毒檢測等。各個虛擬安全功能單元通過按需調(diào)用各類基礎(chǔ)安全服務功能集，從而滿足性能可擴展、功能可裁剪等要求，實現(xiàn)安全功能虛擬化。

基礎(chǔ)安全服務功能集由各類基礎(chǔ)服務功能組成?；A(chǔ)服務功能的服務性能可根據(jù)應用程序編程接口（API）進行配置，以滿足上層的差異化服務要求?；A(chǔ)服務功能再通過對基礎(chǔ)資源層提供的虛擬化網(wǎng)絡資源進行按需調(diào)度來實現(xiàn)性能的差異化配置。

行業(yè)應用需求的差異決定了網(wǎng)絡切片功能的差異化。并非所有切片都包含相同的網(wǎng)絡功能，有些網(wǎng)絡功能基于需求可以不用配置。應用需求的差異性決定了切片所提供的安全服務也是差異化的。在實現(xiàn)網(wǎng)絡安全服務功能虛擬化后，可以為服務于不同行業(yè)的網(wǎng)絡切片提供網(wǎng)絡安全功能的按需重構(gòu)。例如，服務于車聯(lián)網(wǎng)（V2X）的低時延網(wǎng)絡切片，需要在網(wǎng)絡邊緣節(jié)點實例化一些必要的網(wǎng)絡功能，選擇適應低時延要求的認證方法、加密算法和密鑰長度，以便在時延約束下提供對應的安全防護，更好地支持第三方的垂直應用;對于服務于mMTC的網(wǎng)絡切片，僅需配置基本的控制面接入認證功能，而諸如移動性相關(guān)的網(wǎng)絡功能則無需配置。我們還可以考慮在切片內(nèi)部署虛擬的物聯(lián)網(wǎng)網(wǎng)關(guān)以及安全態(tài)勢感知系統(tǒng)，來防止DDoS攻擊和威脅橫向擴散。

（3）網(wǎng)絡功能域安全防護。

網(wǎng)絡虛擬化和網(wǎng)絡切片的應用，使得原本用于傳統(tǒng)移動通信網(wǎng)絡域安全防護的架構(gòu)增加了新的元素。在第3代合作伙伴（3GPP）標準中，傳統(tǒng)“域”是指“物理實體組”，即“域”僅限于物理網(wǎng)絡實體的劃分，尤其是地理位置區(qū)域。而5G網(wǎng)絡，尤其是5G核心網(wǎng)構(gòu)建在虛擬化網(wǎng)絡之上，相比傳統(tǒng)網(wǎng)絡又出現(xiàn)了虛擬網(wǎng)絡功能實體。更進一步地，5G引入了網(wǎng)絡切片，不同的切片有著不同運營者，5G網(wǎng)絡的基礎(chǔ)設(shè)施供應商和移動網(wǎng)絡運營商也可能不同，因此我們需要將所有權(quán)屬性也納入考慮范疇。分析5G的安全威脅，需要首先將5G網(wǎng)絡進行合理地分域;而對5G網(wǎng)絡分域，需要將傳統(tǒng)域的概念擴展為“與5G網(wǎng)絡相關(guān)的物理、邏輯和運營等方面的網(wǎng)絡功能實體組”。

根據(jù)5G網(wǎng)絡特征，5G系統(tǒng)可分為基礎(chǔ)設(shè)施域、租戶域以及附加的移動設(shè)備域。每個域根據(jù)不同功能又可進一步劃分為若干子域[6]，各個子域?qū)鄬Ρ容^獨立的功能。5G系統(tǒng)的域劃分情況如圖2所示，其中綠線標記域之間的邏輯或物理通信接口，棱形表示各個域中的切片，同類切片互聯(lián)以后形成切片域，為5G系統(tǒng)提供端到端的網(wǎng)絡服務功能。在確定了域/子域邊界后，可以針對每個域/子域進行威脅分析：針對其業(yè)務屬性給出相應的防護方案，如在域/子域網(wǎng)絡邊界設(shè)置虛擬防火墻等安全防護功能，并結(jié)合防護策略為域/子域內(nèi)網(wǎng)絡功能提供安全防護。對于域/子域間如果存在通信需求，可配置IPsec、SSL VPN等為數(shù)據(jù)交互提供安全通道。

（4）切片隔離與安全保障。

網(wǎng)絡切片是5G提供網(wǎng)絡服務的主要形態(tài)。5G可以在相同的網(wǎng)絡基礎(chǔ)設(shè)施上同時構(gòu)建多個網(wǎng)絡切片，為多個應用提供差異化網(wǎng)絡服務。網(wǎng)絡切片使得5G組網(wǎng)更加靈活，網(wǎng)絡服務更貼合應用需求;但由于共享網(wǎng)絡基礎(chǔ)資源，如果管理不當就會引發(fā)切片數(shù)據(jù)泄露、切片間資源競爭、非法用戶接入切片等安全威脅，因此需要提供切片安全隔離技術(shù)、切片接入控制等技術(shù)。

切片安全隔離可通過切片對應基礎(chǔ)資源層的隔離、網(wǎng)絡層的隔離以及管理層隔離的三級隔離方式實現(xiàn)，如圖3所示。切片在基礎(chǔ)資源層隔離使用基于NFV技術(shù)的資源隔離技術(shù)實現(xiàn)，例如為不同的切片分配不同的虛擬機/容器承載切片網(wǎng)絡功能，通過虛擬機/容器隔離機制實現(xiàn)切片在基礎(chǔ)資源層的隔離，文獻[7]中，作者詳細描述了NFV安全隔離機制。切片在網(wǎng)絡層的隔離分為無線接入控制（RAN）隔離、承載隔離和核心網(wǎng)隔離，根據(jù)切片承載的應用對安全性的要求，可以分為切片完全隔離或者切片部分隔離。例如，對于安全性要求嚴苛的工業(yè)控制應用，需要采取完全隔離方式，即為所述切片分配獨立的網(wǎng)絡功能;對于安全性要求不高的普通應用（如視頻監(jiān)測控制、上網(wǎng)類應用），在建立對應的網(wǎng)絡切片時可以共享部分網(wǎng)絡功能。參考文獻[8]中，作者描述了切片在網(wǎng)絡層的隔離實現(xiàn)。切片在管理層的隔離通過為使用切片的租戶分配不同的賬號和權(quán)限。每個租戶僅能對屬于自己的切片進行管理維護，而無權(quán)對其他租戶的切片實施管理。另外，我們需要通過通道加密等機制保證管理接口的安全。

切片的接入控制用于保證合法用戶接入正確的網(wǎng)絡切片，防止非法用戶接入網(wǎng)絡或合法用戶接入非授權(quán)切片而引發(fā)的網(wǎng)絡攻擊和破壞行為。首先，通過網(wǎng)絡接入認證機制對附著到網(wǎng)絡的用戶進行認證鑒別，只有簽約網(wǎng)絡用戶才能接入網(wǎng)絡。在接入認證過程中，為防止攻擊者仿冒簽約用戶的身份標識，需要對用戶身份等隱私信息進行保護，同時也需要安全機制對認證過程中的信令交互進行安全防護，防止攻擊者竊聽、篡改認證信息。其次，對于用戶訪問切片也需要進行管理和控制，可以通過簽約的方式規(guī)定用戶接入切片類型。在用戶接入切片時，需要進行切片認證，以驗證用戶接入切片的權(quán)限，防止非授權(quán)用戶接入切片，竊取信息或破壞切片正常運行。

（5）多接入MEC安全。

MEC是5G業(yè)務多元化的核心技術(shù)之一。MEC將部分網(wǎng)絡服務能力和業(yè)務應用推進到網(wǎng)絡邊緣，通過業(yè)務靠近用戶處理來縮短業(yè)務時延，提供可靠、極致的業(yè)務體驗。

以縮短業(yè)務時延和提高資源使用效率為原則，MEC服務一般部署在邊緣數(shù)據(jù)中心、基站等近用戶位置，如園區(qū)和一些特定場所內(nèi)。由于其物理位置脫離了運營商核心網(wǎng)，基礎(chǔ)設(shè)施的物理安全不可忽略，例如出于對企業(yè)的安全考慮，要求私有云數(shù)據(jù)不出園區(qū)，因此MEC就要部署在企業(yè)網(wǎng)內(nèi)部區(qū)域。這樣雖然滿足了企業(yè)的數(shù)據(jù)安全需求，但是關(guān)鍵網(wǎng)絡基礎(chǔ)設(shè)施部署脫離了運營商控制范圍，對其造成了安全風險。對此運營商需要進行基礎(chǔ)設(shè)施安全加固，例如引入門禁、環(huán)境監(jiān)測控制等安全措施，對MEC設(shè)備加強自身防盜、防破壞方面的結(jié)構(gòu)設(shè)計，對設(shè)備輸入輸出（I/O）接口、調(diào)試接口進行權(quán)限控制等。

為實現(xiàn)垂直行業(yè)的業(yè)務定制，MEC需要提供開放平臺。但網(wǎng)絡能力開放后，MEC對應用的注冊、安全管理、行為審計等都需要制定完整的保障機制，應用的注冊除了身份的合法性驗證之外，還可以根據(jù)可信評估機構(gòu)簽發(fā)的健康度進行嚴格控制;對第三方業(yè)務的訪問權(quán)限也需要進行嚴格控制，一旦發(fā)現(xiàn)越權(quán)的資源調(diào)度行為應及時阻斷，并需要對所有訪問行為實施日志記錄以便安全審計。

由于MEC實現(xiàn)業(yè)務和內(nèi)容的本地化處理，用戶終端在越區(qū)切換時，MEC應用的低延時通信和服務連續(xù)性所需的信息，例如移動終端的身份和網(wǎng)絡地址，需要從切換前網(wǎng)絡功能實例傳送到目標切換的網(wǎng)絡功能實例。在越區(qū)切換過程中，需要考慮通信安全，例如在網(wǎng)絡功能實例間建立安全隧道以保證切換過程中的信息傳送安全。目標切換的網(wǎng)絡功能實例在完成用戶越區(qū)認證后，需要將切換前網(wǎng)絡實例傳送過來的網(wǎng)絡及業(yè)務信息進行對應綁定和切換，以確保服務的連續(xù)性。

（6）統(tǒng)一身份管理和多元信任機制。

5G面向垂直行業(yè)的半封閉特征，以及眾多不同類型新參與者的加入（例如新行業(yè)、新商業(yè)主體、新業(yè)務類型、新機器連接等），使得基礎(chǔ)設(shè)施提供商、運營商、第三方服務提供商、網(wǎng)絡用戶等參與者之間的信任關(guān)系變得復雜，因而需要構(gòu)建用戶、終端、網(wǎng)絡、服務之間的多元信任模型，以應對不同應用場景的信任需求[9]。

5G支持多樣化及海量的終端接入，不論是對身份管理的能力需求上，還是實現(xiàn)網(wǎng)絡和業(yè)務的深度融合機制上，都需要構(gòu)建新的身份管理體系。另外，5G存在多個虛擬網(wǎng)絡切片，需要支持網(wǎng)元在不同網(wǎng)絡切片、不同網(wǎng)絡域之間的信任關(guān)系和可信身份傳遞。因此，需要充分融合現(xiàn)有的移動通信網(wǎng)、不同的垂直行業(yè)、不同的物聯(lián)網(wǎng)平臺的身份管理體系，實現(xiàn)統(tǒng)一身份管理，構(gòu)建統(tǒng)一信任服務體系。圖4所示為保障5G網(wǎng)絡、業(yè)務和服務健康前行的重要因素。

統(tǒng)一身份管理需要解決5G參與者的身份標識和身份管理問題。通過標識技術(shù)對所有接入5G網(wǎng)絡的實體進行唯一標識映射，實現(xiàn)不同層次身份標識的統(tǒng)一管理、融合，用戶的管理、身份標識生成、簽發(fā)、發(fā)布、驗證等功能，解決現(xiàn)實空間中人、設(shè)備、應用服務等實體向網(wǎng)絡空間的身份可信映射，實現(xiàn)網(wǎng)絡空間與現(xiàn)實空間身份的可信對應。網(wǎng)絡空間活動的主體可以準確地對應到現(xiàn)實空間中的用戶，用戶為其網(wǎng)絡行為負責，解決統(tǒng)一身份管理、身份信息融合、隱私保護等問題。

傳統(tǒng)移動通信網(wǎng)絡中，網(wǎng)絡對用戶入網(wǎng)認證，并作為管道承載用戶與服務間的業(yè)務認證，用戶與網(wǎng)絡、用戶與服務分別構(gòu)成二元信任模型。5G網(wǎng)絡下的統(tǒng)一身份認證服務需要結(jié)合不同業(yè)務應用的特點，以基于eSIM身份為基礎(chǔ)，充分融合垂直行業(yè)標識體系、面向物聯(lián)網(wǎng)的數(shù)字證書體系、5G融合身份認證、跨運營商的切片聯(lián)盟等身份體系，構(gòu)建用戶、終端、網(wǎng)絡、服務之間的多元信任模型。在該信任模型下，根據(jù)不同業(yè)務不同行業(yè)的用戶需求，可采用網(wǎng)絡認證用戶、切片認證用戶（垂直行業(yè)對用戶的認證）、應用認證用戶以及運營商和垂直行業(yè)的認證等多元認證關(guān)系實現(xiàn)多元信任，實現(xiàn)面向5G網(wǎng)絡與垂直行業(yè)的新型數(shù)字關(guān)系。

（7）網(wǎng)絡服務接口的安全保障。

5G網(wǎng)絡開放能力通過運營商向垂直行業(yè)提供API，如圖5所示，以便垂直行業(yè)可以創(chuàng)建和管理服務于自身的網(wǎng)絡切片。網(wǎng)絡開放能力創(chuàng)造了網(wǎng)絡新的營運模式，同時也為攻擊者開放了攻擊網(wǎng)絡的接口。例如，如果非授權(quán)的第三方獲取了訪問接口，會發(fā)起針對網(wǎng)絡的攻擊;每個應用程序能夠訪問的API接口如果缺少限制，則可能導致網(wǎng)絡核心數(shù)據(jù)會被訪問和篡改。

為此，需要對網(wǎng)絡服務接口提供安全防護，實施對垂直行業(yè)應用服務的認證，并提取評估機構(gòu)簽發(fā)的安全可信性的評估結(jié)果。通過審查之后向信任基礎(chǔ)設(shè)施獲取對應服務的訪問權(quán)限，對垂直行業(yè)應用在網(wǎng)絡服務調(diào)用的全過程進行合規(guī)性監(jiān)測控制，對越權(quán)訪問行為進行阻斷。服務接口安全防護具體措施可包括：

·認證授權(quán)。網(wǎng)絡通過向信任服務基礎(chǔ)設(shè)施提交對訪問應用的身份驗證，根據(jù)驗證的結(jié)果進行授權(quán)服務的開放，并且需要根據(jù)可信評估機構(gòu)的評估數(shù)據(jù)，進行綜合決策。

·權(quán)限控制。網(wǎng)絡通過向信任服務基礎(chǔ)設(shè)施提交對訪問應用的權(quán)限獲取，并通過獲取的權(quán)限進行資源的隔離控制，防止帶有攻擊或越權(quán)行為的發(fā)生。

·安全審計。在應用業(yè)務接入網(wǎng)絡后需要進行訪問行為的嚴格安全審計與分析，對應用業(yè)務的行為實時跟蹤監(jiān)測，對發(fā)生的攻擊或越權(quán)行為進行告警，為響應處置的策略決策提供依據(jù)。

（8）DDoS。

網(wǎng)絡DDoS主要通過5G網(wǎng)絡各類感知點進行海量事件的收集，包括路由交換設(shè)備上報的流量統(tǒng)計信息、網(wǎng)絡編排和管理器上報的拓撲信息、安全防護功能上報的安全威脅信息，以及5G功能實體，例如接入和移動性管理功能（AMF）、會話管理功能（SMF）、用戶面功能（UPF）等，上報的日志事件等，通過對搜集的海量信息進行大數(shù)據(jù)關(guān)聯(lián)分析，并通過智能分析引擎完成策略決策，按照決策結(jié)果調(diào)用可重構(gòu)的安全流量清洗資源池完成攻擊阻斷。根據(jù)大數(shù)據(jù)關(guān)聯(lián)分析結(jié)果，我們對網(wǎng)絡攻擊源進行追蹤溯源，并通過安全審計進行安全取證，為DDoS攻擊認定提供依據(jù)。

為實現(xiàn)整個5G網(wǎng)絡抗DDoS攻擊，需要一個完備的動態(tài)防御體系，并建立安全模型和閉環(huán)流程，包括信息采集上報、安全策略決策、安全響應與處置等。

·信息采集上報：需要針對網(wǎng)絡不同域、不同邏輯層部署采集功能，完成全網(wǎng)信息采集。

·威脅分析感知：通過大數(shù)據(jù)智能分析等手段，進行海量信息的綜合處理，并利用安全威脅特征庫來分析識別安全威脅。

·安全策略決策：根據(jù)智能決策的理論、模型、方法，針對發(fā)生的安全威脅做出全面綜合科學的響應決策。

·安全響應與處置：根據(jù)響應決策，研究實施響應處置的方法，包括大容量威脅流量清洗、追蹤溯源等，能夠?qū)崟r完成威脅處置等。

3 結(jié)束語

5G架構(gòu)的革新使得5G網(wǎng)絡為eMBB、mMTC、uRLLC 3個主要應用場景提供網(wǎng)絡服務變?yōu)榭赡?，也使得傳統(tǒng)電信網(wǎng)絡的安全防護體系面臨挑戰(zhàn)。為了滿足5G網(wǎng)絡自身防護需求，適應垂直行業(yè)差異化安全需求，我們需要深度分析研究5G移動通信網(wǎng)絡及垂直行業(yè)帶來的新的網(wǎng)絡架構(gòu)、業(yè)務需求，甚至全新的生態(tài)系統(tǒng)，采用全新安全防護理念構(gòu)建全新的5G安全架構(gòu)，以實現(xiàn)對5G網(wǎng)絡從基礎(chǔ)設(shè)施、網(wǎng)絡功能、業(yè)務服務、信任關(guān)系等多個維度全方位地進行立體防護。

5G的應用和需求也才剛剛展開，我們要緊密地結(jié)合個人用戶和行業(yè)用戶的核心安全訴求，重視產(chǎn)業(yè)互聯(lián)網(wǎng)的網(wǎng)絡業(yè)務和網(wǎng)絡安全建設(shè)，唯有如此，才可能讓5G使能垂直行業(yè)，實現(xiàn)安全可靠萬物互聯(lián)。

參考文獻

[1] 3GPP. Security Architecture and Procedures for 5G System： 3GPP TS 33.501[S]. 2019

[2] 3GPP. System Architecture for the 5G System： 3GPP TS 23.501[S]. 2019

[3] 陸平，李建華，趙維鐸. 5G在垂直行業(yè)中的應用[J]. 中興通訊技術(shù)， 25（1）：67-74. DOI： 10.12142/ZTETJ.20190111

[4] IMT Vision - Framework and Overall Objectives of the Future Development of IMT for 2020 and Beyond[R]. ITU-R， 2015

[5] 5G網(wǎng)絡安全需求與架構(gòu)白皮書[R]. IMT-2020， 2017

[6] 5G-ENSURE_Deliverable D2.7 Security Architecture （Final） [R]. 5GPPP， 2017

[7] 基于SDN/NFV的電信網(wǎng)安全技術(shù)白皮書[R]. SDN/NFV產(chǎn)業(yè)聯(lián)盟， 2018

[8] 5G Security White Paper： Security Makes 5G Go Further[R]. GSMA， 2019

[9] 5G信息安全白皮書[R]. 未來移動通信論壇， 2017