周巍

【摘 ?要】根據(jù)網(wǎng)絡(luò)切片的技術(shù)特點給出了網(wǎng)絡(luò)切片在安全方面的關(guān)鍵需求，并據(jù)此提出了兩種解決方案。一種是基于網(wǎng)絡(luò)部署方案實現(xiàn)切片安全分級保護，另一種是基于密碼技術(shù)對切片內(nèi)用戶面數(shù)據(jù)提供保護。最后介紹了3GPP當(dāng)前支持的網(wǎng)絡(luò)切片安全能力。

【關(guān)鍵詞】5G安全;網(wǎng)絡(luò)切片;通信安全;認證授權(quán)

1 ? 引言

網(wǎng)絡(luò)切片是5G系統(tǒng)的一個重要新特性。5G網(wǎng)絡(luò)充分利用與SDN/NFV虛擬化架構(gòu)的融合，根據(jù)未來業(yè)務(wù)具體場景和需求提出了“網(wǎng)絡(luò)切片”的概念。每個網(wǎng)絡(luò)切片是一個相對獨立的網(wǎng)絡(luò)域，由支持特定用例的通信服務(wù)需求的邏輯網(wǎng)絡(luò)功能集合組成，具備各自的網(wǎng)絡(luò)資源和業(yè)務(wù)信息。5G網(wǎng)絡(luò)通過網(wǎng)絡(luò)切片機制來滿足不同的業(yè)務(wù)應(yīng)用場景，實現(xiàn)靈活的資源編排和調(diào)度，適應(yīng)業(yè)務(wù)快速上線。它使運營商能夠針對市場的各種業(yè)務(wù)需求創(chuàng)建定制化網(wǎng)絡(luò)能力，從而提供優(yōu)化的通信解決方案。網(wǎng)絡(luò)切片能夠?qū)崿F(xiàn)端到端的邏輯網(wǎng)絡(luò)劃分，按需配置網(wǎng)絡(luò)資源，有效降低運營商的網(wǎng)絡(luò)投資和運營成本，提高經(jīng)濟效益。

目前5G網(wǎng)絡(luò)切片安全研究主要集中在兩個方面：一個是與3GPP網(wǎng)絡(luò)切片安全標(biāo)準(zhǔn)相關(guān)的研究工作;另一個是針對垂直行業(yè)租用運營商網(wǎng)絡(luò)切片后，如何滿足垂直行業(yè)對網(wǎng)絡(luò)安全的更高要求而展開的研究工作。前者主要關(guān)注切片隔離安全、切片認證、與切片相關(guān)的隱私保護和將切片管理能力開放給第三方時的安全。后者主要是基于垂直行業(yè)的實際需求以逐案處理的方式研究滿足具體個案安全需求的解決方案。

大唐移動通信設(shè)備有限公司全面參與了3GPP 5G標(biāo)準(zhǔn)化工作，主要是從標(biāo)準(zhǔn)化的角度研究網(wǎng)絡(luò)切片安全技術(shù)方案，重點是網(wǎng)絡(luò)切片隔離技術(shù)和切片內(nèi)端到端數(shù)據(jù)安全技術(shù)，目的是更好地滿足垂直行業(yè)對網(wǎng)絡(luò)切片安全的需求，減少采用非標(biāo)準(zhǔn)化安全方案。

2 ? 5G網(wǎng)絡(luò)切片安全需求分析

網(wǎng)絡(luò)切片本質(zhì)上就是將物理網(wǎng)絡(luò)分割成多個虛擬的端到端網(wǎng)絡(luò)，每個虛擬網(wǎng)絡(luò)在邏輯上都擁有獨立的網(wǎng)絡(luò)資源。運營商可以基于不同業(yè)務(wù)場景對通信服務(wù)的需求靈活地為每個切片配置相應(yīng)的資源。然而，因為網(wǎng)絡(luò)切片并不是真正意義上獨立的網(wǎng)絡(luò)，切片之間的關(guān)聯(lián)不能完全避免，因而導(dǎo)致了一些新的安全威脅，例如切片間信息泄露、干擾和攻擊等。為應(yīng)對網(wǎng)絡(luò)切片所面臨的威脅，本節(jié)歸納整理了一些與網(wǎng)絡(luò)切片相關(guān)的安全需求：

（1）網(wǎng)絡(luò)切片應(yīng)提供有效的隔離機制，確保網(wǎng)絡(luò)切片內(nèi)的資源不會互相影響，并將潛在的網(wǎng)絡(luò)攻擊限制在單個網(wǎng)絡(luò)切片內(nèi)。

（2）網(wǎng)絡(luò)切片應(yīng)能夠定義不同的安全性機制，以滿足網(wǎng)絡(luò)切片對安全的特定要求，例如針對物聯(lián)網(wǎng)應(yīng)用的輕量級安全算法。

（3）網(wǎng)絡(luò)切片應(yīng)能夠提供切片內(nèi)認證和授權(quán)機制，防止非授權(quán)用戶訪問切片資源。

（4）網(wǎng)絡(luò)切片的管理功能只能提供給授權(quán)的第三方訪問，并且開放的管理功能應(yīng)是在運營商的控制之下執(zhí)行。

（5）切片認證和管理過程中應(yīng)保護用戶的隱私。

3 ? 5G網(wǎng)絡(luò)切片部署方案

通過5G網(wǎng)絡(luò)切片技術(shù)，運營商可以靈活地實現(xiàn)各種網(wǎng)絡(luò)定制方案，滿足垂直行業(yè)在成本、性能和安全上對通信網(wǎng)絡(luò)的不同需求。為滿足垂直行業(yè)不同等級、不同領(lǐng)域應(yīng)用對5G移動通信系統(tǒng)的特殊需求，可以通過網(wǎng)絡(luò)切片技術(shù)實現(xiàn)專用業(yè)務(wù)的分級和分域管理?；趯Ｓ脴I(yè)務(wù)切片編排，建設(shè)不同QoS和安全等級的網(wǎng)元，并將不同QoS和安全等級的網(wǎng)元設(shè)備構(gòu)建為不同等級的業(yè)務(wù)鏈，實現(xiàn)各等級業(yè)務(wù)流在相應(yīng)等級業(yè)務(wù)鏈上的承載，從而達到業(yè)務(wù)流的QoS需求和安全隔離需求。根據(jù)不同的成本要求、QoS需求和安全等級需求，運營商可以有如下四種可能的網(wǎng)絡(luò)切片部署方案：

（1）方案一：針對成本控制需求較高、QoS需求較低、安全性需求較低、應(yīng)用靈活性需求較高的應(yīng)用，可以基于公網(wǎng)業(yè)務(wù)平臺生成行業(yè)定制業(yè)務(wù)模板，利用公網(wǎng)網(wǎng)元生成專用網(wǎng)絡(luò)切片，實現(xiàn)行業(yè)定制業(yè)務(wù)。

（2）方案二：針對成本控制需求較低、QoS需求較高、安全等級需求較高、應(yīng)用靈活性需求一般的應(yīng)用，可部署專用應(yīng)用和業(yè)務(wù)支撐系統(tǒng)，并基于公網(wǎng)接入平面與轉(zhuǎn)發(fā)平面基礎(chǔ)設(shè)施生成行業(yè)定制業(yè)務(wù)模板，與公網(wǎng)應(yīng)用形成相對獨立的專用網(wǎng)絡(luò)切片，實現(xiàn)行業(yè)定制業(yè)務(wù)。

（3）方案三：針對成本控制需求低、QoS需求高、安全等級需求高、應(yīng)用靈活性需求較低的應(yīng)用，可部署專用應(yīng)用和業(yè)務(wù)支撐系統(tǒng)及專用轉(zhuǎn)發(fā)平面，基于公網(wǎng)接入平面基礎(chǔ)設(shè)施生成專用業(yè)務(wù)模板，與公網(wǎng)應(yīng)用形成相對獨立的專用物理切片，實現(xiàn)行業(yè)定制業(yè)務(wù)。

（4）方案四：針對成本控制需求更低、QoS需求更高、安全等級需求更高、應(yīng)用靈活性需求低的應(yīng)用，可部署專用應(yīng)用和業(yè)務(wù)支撐系統(tǒng)及專用轉(zhuǎn)發(fā)平面，基于公網(wǎng)接入平面基礎(chǔ)設(shè)施生成專用業(yè)務(wù)模板，與公網(wǎng)通過安全隔離網(wǎng)關(guān)互聯(lián)，實現(xiàn)適用于特殊行業(yè)的定制業(yè)務(wù)。

上述四種解決方案，采用網(wǎng)絡(luò)切片技術(shù)，根據(jù)部署成本、QoS、安全等級和網(wǎng)絡(luò)拓撲靈活性等需求建設(shè)隔離等級不同的面向垂直行業(yè)和特殊行業(yè)的5G定制化移動通信系統(tǒng)?；诎葱柚貥?gòu)的設(shè)計思路，劃分不同的網(wǎng)絡(luò)域和安全域，采取分層、分級的部署和隔離保護措施。以用戶為中心，采用基于SDN、NFV和安全技術(shù)來解決現(xiàn)有技術(shù)無法適應(yīng)快速變化的定制業(yè)務(wù)應(yīng)用的不足，實現(xiàn)未來5G網(wǎng)絡(luò)融合時代靈活多變且安全可控的定制化網(wǎng)絡(luò)系統(tǒng)。

4 ? 基于密鑰的網(wǎng)絡(luò)切片安全隔離機制

網(wǎng)絡(luò)切片是由支持特定用例的通信服務(wù)需求的邏輯網(wǎng)絡(luò)功能集合組成，這些網(wǎng)絡(luò)功能本質(zhì)上是被各個網(wǎng)絡(luò)切片共享的，而且在某些場景下第三方能夠?qū)W(wǎng)絡(luò)切片進行管理，因此在與網(wǎng)絡(luò)切片相關(guān)的安全需求中，網(wǎng)絡(luò)切片的隔離尤其重要。

本文提出了一種基于密鑰的網(wǎng)絡(luò)切片隔離技術(shù)。其基本思想是：針對不同的網(wǎng)絡(luò)切片UE可以共享控制面密鑰，但在不同切片內(nèi)將使用不同的數(shù)據(jù)面密鑰。切片內(nèi)的密鑰體系如圖1所示。切片內(nèi)的主密鑰KNS由KSEAF導(dǎo)出，進而導(dǎo)出用于保護用戶面空口數(shù)據(jù)的主密鑰KANUP和保護用戶面UE至核心網(wǎng)數(shù)據(jù)的主密鑰KCNUP?；贙ANUP可以進一步導(dǎo)出用于完整性保護和機密性保護的密鑰KRRC-UPSint和KRRC-UPenc?；贙CNUP可以進一步導(dǎo)出用于用戶面從UE至核心網(wǎng)完整性保護和機密性保護的密鑰KCN-UPint和KCN-UPenc。