楊紅梅 林美玉

【摘? 要】首先介紹了5G網(wǎng)絡(luò)能力開放架構(gòu)，分析了基于網(wǎng)絡(luò)切片、多接入邊緣計算（MEC）技術(shù)實現(xiàn)能力開放的原理，提出了5G安全能力開放的需求及架構(gòu)，然后給出了5G網(wǎng)絡(luò)及安全能力開放的接口安全實現(xiàn)方案，最后展望了5G安全增強技術(shù)的發(fā)展趨勢。

【關(guān)鍵詞】5G安全;能力開放;網(wǎng)絡(luò)切片;邊緣計算;安全增強

doi：10.3969/j.issn.1006-1010.2020.04.014? ? ? 中圖分類號：TN929.5

文獻標(biāo)志碼：A? ? ? 文章編號：1006-1010（2020）04-0065-04

引用格式：楊紅梅，林美玉. 5G網(wǎng)絡(luò)及安全能力開放技術(shù)研究[J]. 移動通信， 2020，44（4）： 65-68.

Research on Open Technologies of 5G Network and Security Capability

YANG Hongmei， LIN Meiyu

（China Academy of Information and Communications Technology， Beijing 100191， China）

[Abstract]

This paper introduces 5G network capability open architecture， analyzes the implementation principle of the capability openness based on network slicing and multi access edge computing （MEC） technologies， and proposes 5G security capability open requirement and architecture. Then， the implementation solution of interface security is given for 5G network and security capability openness. Finally， the development trend of 5G security enhancement is described.

[Key words] 5G security; capability openness; network slicing; MEC; security enhancement

0? ?引言

5G網(wǎng)絡(luò)是實現(xiàn)萬物互聯(lián)的關(guān)鍵基礎(chǔ)設(shè)施，其將在經(jīng)濟和社會的數(shù)字化轉(zhuǎn)型中發(fā)揮重要作用。我國積極推動5G建設(shè)和發(fā)展，做出了加快5G商用步伐的戰(zhàn)略部署，并于2019年6月正式發(fā)放了5G商用牌照。

5G時代提出了增強移動寬帶（eMBB）、超高可靠低時延（URLLC）和海量機器類通信（mMTC）三大典型應(yīng)用場景，這些應(yīng)用對網(wǎng)絡(luò)能力的需求差異化明顯，為了更好地滿足各行業(yè)的個性化需求，迫切需要將運營商的網(wǎng)絡(luò)能力及安全能力開放給第三方應(yīng)用。5G網(wǎng)絡(luò)及安全能力開放帶來諸多好處：一方面可以及時響應(yīng)第三方業(yè)務(wù)需求，保障用戶的業(yè)務(wù)體驗，提供個性化的服務(wù)及安全保障;另一方面，也有利于第三方業(yè)務(wù)提供商開發(fā)業(yè)務(wù)時充分利用運營商的網(wǎng)絡(luò)及業(yè)務(wù)能力，比如，身份認證、接入控制、業(yè)務(wù)策略、路由和流量控制、網(wǎng)絡(luò)切片的生命周期管理、安全能力等;同時，還可以滿足運營商一體化的5G網(wǎng)絡(luò)能力開放產(chǎn)品研發(fā)、運營維護以及支撐體系發(fā)展的需求。

1? ?5G網(wǎng)絡(luò)能力開放

5G網(wǎng)絡(luò)能力開放指的是5G網(wǎng)絡(luò)和第三方應(yīng)用之間相互開放能力，5G網(wǎng)絡(luò)開放給第三方應(yīng)用的能力通常包括：網(wǎng)絡(luò)/終端監(jiān)控能力（網(wǎng)絡(luò)擁塞狀態(tài)、終端移動狀態(tài)等）、基礎(chǔ)服務(wù)能力（語音、短消息、計費、安全能力）、控制能力（鑒權(quán)和授權(quán)、接入控制、策略、QoS保障能力、網(wǎng)絡(luò)切片生命周期管理能力、MEC能力）、網(wǎng)絡(luò)信息能力（終端連接狀態(tài)、終端位置信息、大數(shù)據(jù)分析信息等）。反之，第三方應(yīng)用也可以向5G網(wǎng)絡(luò)開放終端的能力、移動性信息、業(yè)務(wù)相關(guān)信息等，以便運營商根據(jù)業(yè)務(wù)需求對網(wǎng)絡(luò)進行優(yōu)化和管理。

5G網(wǎng)絡(luò)架構(gòu)下，能力開放與終端管理、流量管理、網(wǎng)絡(luò)切片以及MEC技術(shù)相結(jié)合，使得運營商在網(wǎng)絡(luò)規(guī)劃和管理時兼顧第三方業(yè)務(wù)和安全需求成為可能，從而可以更好地為其提供服務(wù)，有利于形成更合理的商業(yè)合作模式，達到雙贏的目的。

1.1? 5G網(wǎng)絡(luò)能力開放架構(gòu)

5G網(wǎng)絡(luò)能力開放涵蓋外部開放和內(nèi)部開放兩大類，外部開放指的是通過能力開放平臺對5G網(wǎng)絡(luò)架構(gòu)中的應(yīng)用功能（AF）開放運營商的網(wǎng)絡(luò)能力，能力開放平臺主要負責(zé)內(nèi)外部信息的傳遞和協(xié)議轉(zhuǎn)換，根據(jù)AF的請求調(diào)用運營商的網(wǎng)絡(luò)資源;內(nèi)部開放指的是運營商內(nèi)部網(wǎng)絡(luò)功能（NF）之間相互開放信息，借助統(tǒng)一數(shù)據(jù)存儲（UDR）實現(xiàn)不同NF之間相關(guān)信息的存儲和訪問。

圖1中，NEF（網(wǎng)絡(luò)能力開放功能）是運營商內(nèi)部網(wǎng)絡(luò)資源和外部AF應(yīng)用之間的橋梁，主要負責(zé)能力開放相關(guān)的功能。NEF通過標(biāo)準(zhǔn)接口連接NF獲取網(wǎng)絡(luò)基礎(chǔ)能力并安全地提供給AF，其主要的功能如下：身份驗證和授權(quán)、API（應(yīng)用程序接口）消費者的身份識別、檔案管理、接入控制、策略增強、基礎(chǔ)設(shè)施策略、業(yè)務(wù)策略、安全、路由和流量控制、協(xié)議轉(zhuǎn)換及API到網(wǎng)絡(luò)接口的映射等。NEF與網(wǎng)絡(luò)的接口成為Nnef接口，該接口協(xié)議采用Diameter協(xié)議和HTTP Restful協(xié)議（JSON），主要負責(zé)群組信息傳遞、監(jiān)控、高延遲通信、網(wǎng)絡(luò)狀態(tài)查詢、后臺數(shù)據(jù)傳輸資源管理、通信模式、非IP數(shù)據(jù)傳輸、背景流量、覆蓋增強、網(wǎng)絡(luò)參數(shù)配置等API調(diào)用功能。

5G網(wǎng)絡(luò)開放的能力主要包括：網(wǎng)絡(luò)基礎(chǔ)能力（音視頻通話能力、鑒權(quán)認證、授權(quán)等）、網(wǎng)絡(luò)控制能力（流量策略、切片管理等）、數(shù)據(jù)服務(wù)及管理能力（主要包括終端信息、接入信息以及業(yè)務(wù)配置等）、安全防護管理能力（主要包括網(wǎng)絡(luò)安全防護能力、信息安全及抗攻擊等）。

1.2? 5G網(wǎng)絡(luò)切片能力開放

5G網(wǎng)絡(luò)切片技術(shù)使得運營商可以將同一張物理網(wǎng)絡(luò)切分成多個網(wǎng)絡(luò)切片，為不同的應(yīng)用場景提供專用服務(wù)。為了方便第三方應(yīng)用更好地利用運營商的網(wǎng)絡(luò)切片資源，5G網(wǎng)絡(luò)支持向應(yīng)用層開放網(wǎng)絡(luò)切片管理能力，如切片的生命周期管理能力等。網(wǎng)絡(luò)切片能力開放架構(gòu)示意如圖2所示。

每個切片中都可能存在NEF，同時，同一個切片也可能覆蓋多個不同的區(qū)域，這些區(qū)域?qū)?yīng)的控制面會部署單獨的NEF，因?qū)嶋H部署中通常采用NEF級聯(lián)的方式接入統(tǒng)一的能力開放平臺。

圖2中，能力開放平臺與切片管理系統(tǒng)、多個切片子網(wǎng)的NEF、策略控制功能（PCF）進行互聯(lián)，實現(xiàn)網(wǎng)絡(luò)切片能力開放。開放的能力主要包括底層網(wǎng)絡(luò)資源控制、切片的創(chuàng)建、管理、銷毀等等。能力開放平臺中的“切片管理能力”模塊，通過API管理模塊向第三方提供開放接口，可供被授權(quán)的第三方調(diào)用，其在接到第三方調(diào)用請求后，將應(yīng)用的服務(wù)請求映射成網(wǎng)絡(luò)切片需求，選擇合適的子切片組件，映射為網(wǎng)絡(luò)服務(wù)實例和配置要求，并將指令下達給網(wǎng)絡(luò)中的“切片管理系統(tǒng)”，切片管理系統(tǒng)進一步完成子切片及其網(wǎng)絡(luò)、計算、存儲資源的部署。

1.3? 5G邊緣計算能力開放

多接入邊緣計算本質(zhì)上是在靠近用戶的位置，在網(wǎng)絡(luò)的邊緣提供計算和數(shù)據(jù)處理能力，以提升網(wǎng)絡(luò)數(shù)據(jù)處理效率。MEC平臺可以向第三方應(yīng)用開放網(wǎng)絡(luò)能力，提高精準(zhǔn)信息及資源控制能力，提供高價值智能服務(wù)能力。MEC平臺開放的信息和能力主要包括：無線負載信息、網(wǎng)絡(luò)擁塞和吞吐量信息、鏈路質(zhì)量信息、本地分流能力、位置信息、QoS（服務(wù)質(zhì)量）能力、計費能力以及短消息業(yè)務(wù)能力、QCI（QoS等級標(biāo)識）及路由優(yōu)化等。5G邊緣計算能力開放架構(gòu)示意如圖3所示：

MEC系統(tǒng)通常由MEC主機、MEC系統(tǒng)虛擬化管理（邊緣編排器（MEO）、虛擬化基礎(chǔ)設(shè)施管理（VIM）、邊緣計算平臺管理（MEPM））、MEC運營管理等組成。其中，MEPM可以和主機一起部署在邊緣，也可以和MEO以及MEC運營管理等系統(tǒng)級網(wǎng)元一起部署在相對集中的位置。

MEC主要實現(xiàn)業(yè)務(wù)流的本地轉(zhuǎn)發(fā)、分流策略控制、本地流量計費和QoS保證等功能。MEC應(yīng)用經(jīng)由NEF與5G網(wǎng)絡(luò)互聯(lián)：一方面，NEF將UE和業(yè)務(wù)流相關(guān)的信息，例如UE的位置信息、無線鏈路質(zhì)量、漫游狀態(tài)等開放給MEC平臺，MEC平臺基于此對MEC應(yīng)用進行優(yōu)化;另一方面，MEC應(yīng)用可以通過NEF將應(yīng)用的相關(guān)信息，例如業(yè)務(wù)時長、業(yè)務(wù)周期、移動模式等共享給網(wǎng)絡(luò)，網(wǎng)絡(luò)據(jù)此進一步優(yōu)化網(wǎng)絡(luò)資源配置。

2? ?5G安全能力開放

為了幫助第三方應(yīng)用提供商更好地構(gòu)建業(yè)務(wù)安全能力，5G網(wǎng)絡(luò)除了可以提供開放的業(yè)務(wù)能力之外，還可以提供開放的安全服務(wù)能力。具體應(yīng)用場景包括：運營商向第三方應(yīng)用提供安全服務(wù)，如接入認證、授權(quán)控制、網(wǎng)絡(luò)防御等服務(wù)，或者第三方應(yīng)用通過對被授權(quán)的切片進行管理從而實現(xiàn)對網(wǎng)絡(luò)安全能力的配置與調(diào)整。典型的5G安全能力開放架構(gòu)如圖4所示：

圖4中，5G網(wǎng)絡(luò)基于計算資源和虛擬化能力，可以建立獨立于設(shè)備和應(yīng)用的安全資源，如特征匹配、深度檢測、認證協(xié)議、密碼算法、密鑰協(xié)商以及數(shù)據(jù)加解密等?；诎踩Y源，可建立可信認證、數(shù)字身份、通道加密、數(shù)據(jù)保護、網(wǎng)絡(luò)防御、運維管理等安全體系能力。行業(yè)應(yīng)用可根據(jù)各自的安全需求（比如接入認證、授權(quán)控制、傳輸安全、網(wǎng)絡(luò)放與、運維管理、切片安全等），通過能力開放平臺，靈活使用運營商網(wǎng)絡(luò)的安全能力和安全資源，實現(xiàn)訂制化的安全防護。

3? ?5G能力開放接口安全

5G網(wǎng)絡(luò)能力開放架構(gòu)基于能力開放平臺，通過開放的API將網(wǎng)絡(luò)能力及安全能力開放給第三方應(yīng)用。目前通?；贑APIF（公共API接口功能）架構(gòu)來實現(xiàn)，架構(gòu)示意如圖5所示。CAPIF架構(gòu)主要由核心功能、API開放功能以及API調(diào)用功能組成。其中，核心功能是控制中樞，對API調(diào)用功能進行認證和授權(quán)并對API開放功能進行管理和配置;API調(diào)用功能在核心功能的控制下調(diào)用API開放功能提供的服務(wù)。通常，核心功能通常與API開放功能合設(shè)，由NEF實現(xiàn)，API調(diào)用功能由第三方行業(yè)應(yīng)用實現(xiàn)。

為了保障能力開放接口的安全可靠，公共接口采用基于應(yīng)用層的認證授權(quán)以及傳輸層的TLS安全通道，在行業(yè)應(yīng)用和運營商網(wǎng)絡(luò)之間安全可靠地傳遞能力開放信息，如UE監(jiān)控能力、策略和計費能力、流量引導(dǎo)能力、數(shù)據(jù)能力、切片能力、外部輸入能力等。

4? ?5G安全增強技術(shù)

5G安全技術(shù)增強路線與網(wǎng)絡(luò)技術(shù)增強基本保持一致，3GPP 5G安全相關(guān)標(biāo)準(zhǔn)中，R15版本聚焦安全基礎(chǔ)架構(gòu)定義，重點解決eMBB場景的安全問題。R16版本基于R15安全基礎(chǔ)架構(gòu)，面向URLLC和mMTC場景進行安全優(yōu)化，并在eLCS（增強的位置業(yè)務(wù)）安全、NPN（非公共網(wǎng)絡(luò)）安全、MEC安全、IAB（無線接入和回傳集成）安全、AKMA（5G物聯(lián)網(wǎng)應(yīng)用中認證和密鑰協(xié)商）安全、偽基站防護、LTE用戶面完整性保護、認證增強、256比特密碼算法等方面進行安全增強。R17將進一步研究5G系統(tǒng)如何兼容GBA（通用認證機制）、SBA（基于服務(wù)的架構(gòu)）的TLS（安全傳輸協(xié)議）證書認證、同一個PLMN（公共陸地移動網(wǎng)絡(luò)）中的UPF（用戶面功能）間接口的安全等增強技術(shù)。

5? ? 結(jié)束語

基于5G網(wǎng)絡(luò)及安全能力開放關(guān)鍵技術(shù)，可以將運營商網(wǎng)絡(luò)的業(yè)務(wù)能力、網(wǎng)絡(luò)能力以及安全能力安全可靠地開放給第三方應(yīng)用，以便第三方業(yè)務(wù)提供商按照各自的需求設(shè)計定制化的業(yè)務(wù)應(yīng)用。這將有利于垂直行業(yè)加速推出新型業(yè)務(wù)，也有利于運營商提升網(wǎng)絡(luò)附加值，還有利于提升用戶的業(yè)務(wù)體驗，有利于建立新的5G商業(yè)模式和產(chǎn)業(yè)生態(tài)，從而推動5G網(wǎng)絡(luò)與垂直行業(yè)深度融合，早日實現(xiàn)萬物互聯(lián)的美好愿景。

參考文獻：

[1]? ? 朱斌，符剛. 5G網(wǎng)絡(luò)能力開放發(fā)展策略研究[J]. 郵電設(shè)計技術(shù)， 2018（9）： 1-5.

[2]? ? 謝振華. 5G移動網(wǎng)絡(luò)安全技術(shù)分析[J]. 郵電設(shè)計技術(shù)， 2019（4）： 49-52.

[3]? ? ?3GPP. 3GPP TS 23.501 V15.8.0： 5G系統(tǒng)架構(gòu)[S]. 2019.

[4]? ? 3GPP. 3GPP TS 33.501 V15.7.0： 5G系統(tǒng)安全架構(gòu)和流程[S]. 2019.

[5]? ? 3GPP. 3GPP TS 29.522 V15.5.0： 5G系統(tǒng)網(wǎng)絡(luò)能力開放北向API接口[S]. 2019.★

作者簡介

楊紅梅（orcid.org/0000-0003-4216-9704）：高級工程師，碩士畢業(yè)于北京郵電大學(xué)，現(xiàn)任中國信息通信研究院安全研究所部門副主任，IMT-2020（5G）推進組安全工作組組長，中國通信標(biāo)準(zhǔn)化協(xié)會TC5 WG12副組長，長期從事移動通信核心網(wǎng)、網(wǎng)絡(luò)安全技術(shù)研究的相關(guān)工作，多次獲得中國通信標(biāo)準(zhǔn)化協(xié)會科學(xué)技術(shù)一等獎、三等獎，牽頭完成多項國家重大專項。

林美玉：高級工程師，碩士畢業(yè)于信息產(chǎn)業(yè)部電信科學(xué)技術(shù)研究院，現(xiàn)任中國信息通信研究院安全研究所部門主任，中國通信標(biāo)準(zhǔn)化協(xié)會ST6組長，長期從事網(wǎng)絡(luò)交換、網(wǎng)絡(luò)與信息安全方面的研究工作，曾獲得中國通信標(biāo)準(zhǔn)化協(xié)會科技進步獎一等獎、二等獎、三等獎，獲中國通信學(xué)會二等獎、三等獎以及安全部科技進步獎二等獎等獎項。