徐國榮

（南京中興軟件有限責(zé)任公司，江蘇 南京 210000）

現(xiàn)階段，5G網(wǎng)絡(luò)已經(jīng)正式投入使用，同時(shí)發(fā)揮著引領(lǐng)作用，促進(jìn)信息技術(shù)進(jìn)一步發(fā)展，它在信息化網(wǎng)絡(luò)中占據(jù)主導(dǎo)地位，在給廣大用戶帶來更多便利的同時(shí)也大幅度改善人們通信效果。當(dāng)前，5G網(wǎng)商用和專用正在不斷擴(kuò)大應(yīng)用范圍。但是，在其快速發(fā)展背景條件下，需要注意其安全性，最好是建立完善機(jī)制全面系統(tǒng)監(jiān)測(cè)5G網(wǎng)絡(luò)安全。在監(jiān)測(cè)預(yù)警移動(dòng)通信安全性方面，4G時(shí)代還不能對(duì)其進(jìn)行很好監(jiān)測(cè)，主要是因?yàn)楸O(jiān)測(cè)更多集中于應(yīng)用層中。對(duì)于5G時(shí)代安全預(yù)警監(jiān)測(cè)本文提出建立一種機(jī)制，以實(shí)現(xiàn)全面監(jiān)測(cè)目標(biāo)。

1 研究5G網(wǎng)絡(luò)發(fā)展及經(jīng)濟(jì)價(jià)值

當(dāng)前，國內(nèi)5G技術(shù)正應(yīng)用于商業(yè)化之中。專家預(yù)測(cè)，到21世紀(jì)30年代，5G技術(shù)會(huì)有巨大直接產(chǎn)出和間接產(chǎn)出，不僅能夠創(chuàng)造直接經(jīng)濟(jì)價(jià)值，還能帶動(dòng)GDP發(fā)展，同時(shí)為廣大群眾提供就業(yè)機(jī)會(huì)。具體來說，表現(xiàn)在以下方面：第一，發(fā)展5G技術(shù)，對(duì)數(shù)字化投資非常有利，可以加速ICT資本進(jìn)一步發(fā)展，實(shí)現(xiàn)規(guī)?；⑹袌?chǎng)化應(yīng)用5G技術(shù)目標(biāo)，當(dāng)然前提條件是運(yùn)營商需要做一些預(yù)先投入。對(duì)于5G網(wǎng)絡(luò)及其設(shè)備而言，如果運(yùn)營商加大投資力度，不僅可以滿足網(wǎng)絡(luò)設(shè)備發(fā)展需求，還能帶動(dòng)相關(guān)行業(yè)發(fā)展。第二，發(fā)展5G技術(shù)，有利于創(chuàng)新應(yīng)用，使5G網(wǎng)絡(luò)消費(fèi)總量得到大幅度增加，同時(shí)作為基礎(chǔ)設(shè)施可以連接萬物，更有利于發(fā)展經(jīng)濟(jì)，為其提供源源不斷力量。應(yīng)用5G技術(shù)之后，可以創(chuàng)新產(chǎn)品和服務(wù)，從而創(chuàng)造出各種新型產(chǎn)品，使得生活中廣泛應(yīng)用各種信息服務(wù)，通過刺激消費(fèi)，增加內(nèi)需，實(shí)現(xiàn)增長經(jīng)濟(jì)目標(biāo)。第三，普及應(yīng)用5G技術(shù)之后，可以將更多就業(yè)機(jī)會(huì)提供出來，使得5G技術(shù)得到廣泛應(yīng)用，從而使企業(yè)產(chǎn)出效率得到大幅度提升。關(guān)聯(lián)產(chǎn)業(yè)之后，還能夠間接創(chuàng)造出更多就業(yè)機(jī)會(huì)，帶動(dòng)與5G相關(guān)產(chǎn)業(yè)的發(fā)展。

2 3GPP中5G安全監(jiān)測(cè)方案

對(duì)于3GPP而言，已存在的網(wǎng)絡(luò)切片想要促進(jìn)監(jiān)測(cè)安全功能的實(shí)現(xiàn)，需用應(yīng)用一個(gè)網(wǎng)元，即NWDAF，該網(wǎng)元具有典型特征，為運(yùn)營商所利用，功能強(qiáng)大，能夠進(jìn)行分析、管理。NWDAF具有的多種功能可以服務(wù)于NF，例如分析網(wǎng)絡(luò)數(shù)據(jù)信息功能，基于網(wǎng)絡(luò)切片實(shí)例級(jí)別將網(wǎng)絡(luò)分析信息提供出來，同時(shí)對(duì)于該片當(dāng)前使用者NWDAF并不知曉。NWDAF可以通知用戶特定切片網(wǎng)絡(luò)狀態(tài)分析信息，使用戶對(duì)其NF知曉，同時(shí)NF能夠從NWDAF中將特定網(wǎng)絡(luò)狀態(tài)分析信息收集出來。網(wǎng)絡(luò)分析消費(fèi)者中PCF和NSSF都有各自功能，如PCF能夠?yàn)闆Q策策略提供數(shù)據(jù)支持，NSSF能夠?qū)⒇?fù)載信息提供出來，有利于開展切片工作選擇。

NWDAF功能優(yōu)勢(shì)非常明顯，能夠?qū)⑿畔⒎治鼋Y(jié)果提供給5G核心網(wǎng)中NF和OAM，這個(gè)信息既可以是對(duì)過去信息進(jìn)行統(tǒng)計(jì)，也可以是對(duì)未來信息進(jìn)行預(yù)測(cè)。NWDAF能夠以AMF、PCE、OAM、AF等提供的事件為依據(jù)，對(duì)數(shù)據(jù)進(jìn)行收集，檢索存儲(chǔ)于數(shù)據(jù)庫中信息。對(duì)與NF有關(guān)的信息進(jìn)行檢索，然后將分析服務(wù)提供給使用者。對(duì)于NWDAF而言，它可以對(duì)網(wǎng)絡(luò)通信中信令級(jí)信息進(jìn)行收集，進(jìn)而促進(jìn)對(duì)信令級(jí)別監(jiān)測(cè)的實(shí)現(xiàn)。

NF服務(wù)能力具有公開性特征，針對(duì)NF，NWDAF主要提供兩種功能模式，包括訂閱模式和請(qǐng)求模式。消費(fèi)者在訂閱模式中能夠借助調(diào)用服務(wù)操作對(duì)分析進(jìn)行訂閱或者取消。請(qǐng)求模式中，消費(fèi)者能夠?qū)嵤┱?qǐng)求操作，NWDAF接收到相應(yīng)指令后，就會(huì)應(yīng)用相關(guān)功能進(jìn)行研究，判斷是否需要進(jìn)行相關(guān)操作來開展采集工作，如果需要，就會(huì)分析信息對(duì)消費(fèi)者進(jìn)行回應(yīng)。

3 5G網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制

第一，對(duì)于5G核心網(wǎng)絡(luò)而言，其適用范圍比較狹窄，僅僅可以進(jìn)行一般監(jiān)測(cè)，對(duì)擴(kuò)展功能沒有好處，如果將一些5GPPP模塊增加其中，就會(huì)混亂系統(tǒng)結(jié)構(gòu)，對(duì)管理造成不利影響；第二，輸出比較簡單的信息，沒有集成復(fù)雜算法，依靠一個(gè)網(wǎng)元不能實(shí)現(xiàn)目標(biāo)，由此看來，需要對(duì)5G網(wǎng)絡(luò)SDN架構(gòu)進(jìn)行借鑒與參考，將全新5G安全網(wǎng)絡(luò)預(yù)警機(jī)制提出來。

針對(duì)現(xiàn)有網(wǎng)絡(luò)功能中缺陷，如較差擴(kuò)展性、較高基礎(chǔ)設(shè)施成本、難以實(shí)現(xiàn)個(gè)性化定制等，在5G網(wǎng)絡(luò)中將SDN增加進(jìn)來，同時(shí)將其作為根基，建立起5G網(wǎng)，考慮到SDN是一種新型網(wǎng)絡(luò)結(jié)構(gòu)，因而具有分離并控制數(shù)據(jù)作用，可以對(duì)軟件實(shí)行編程操作。SDN轉(zhuǎn)發(fā)平面中有機(jī)結(jié)合分布和集中兩種形式，借助控制-轉(zhuǎn)發(fā)通信接口，控制平面能夠集中控制轉(zhuǎn)發(fā)平面上網(wǎng)絡(luò)設(shè)備，并且促進(jìn)編程能力靈活度的提升。

應(yīng)用層、控制層和網(wǎng)絡(luò)基礎(chǔ)設(shè)施層是5G典型體系架構(gòu)中三個(gè)層面?；A(chǔ)網(wǎng)絡(luò)設(shè)施層也被稱為數(shù)據(jù)轉(zhuǎn)發(fā)層，由很多具有轉(zhuǎn)發(fā)性能的儀器設(shè)備構(gòu)成，具有的功能十分強(qiáng)大，有利于開展各種與網(wǎng)絡(luò)相關(guān)的工作。三個(gè)層面關(guān)系非常緊密，不可分割，三個(gè)層面功能和作用各不相同，例如基礎(chǔ)控制層能夠?qū)嵤┺D(zhuǎn)換操作，進(jìn)而將網(wǎng)絡(luò)狀態(tài)情況通過報(bào)告顯示出來，再應(yīng)用API與應(yīng)用層建立關(guān)系，使多種形式訪問服務(wù)得到實(shí)現(xiàn)。應(yīng)用層實(shí)際是一種商業(yè)應(yīng)用，其功能是對(duì)各種用戶服務(wù)需求進(jìn)行滿足，在控制器的幫助和支持下，這些應(yīng)用程序還能實(shí)現(xiàn)多種功能。

通過上述研究可知，通常情況下會(huì)將各個(gè)具有分散性質(zhì)且不相聯(lián)系的模塊添加到核心網(wǎng)絡(luò)中，從而使安全監(jiān)測(cè)預(yù)警功能得到實(shí)現(xiàn)，這就導(dǎo)致系統(tǒng)的安全監(jiān)測(cè)預(yù)警系統(tǒng)并沒有形成。由此看來，需要以5G網(wǎng)絡(luò)為基礎(chǔ)，擴(kuò)充SDN架構(gòu)，提出一種新型系統(tǒng)，實(shí)際是融合安全監(jiān)測(cè)和網(wǎng)絡(luò)通信功能，同時(shí)開展嘗試工作，即獨(dú)立應(yīng)用安全監(jiān)測(cè)預(yù)警機(jī)制，有機(jī)統(tǒng)一安全監(jiān)測(cè)和5G架構(gòu)，充分利用三個(gè)層面，擴(kuò)大使用范圍，同時(shí)可以進(jìn)行商用和專用。此機(jī)制能夠消除掉傳統(tǒng)應(yīng)用層弊端，實(shí)現(xiàn)更高級(jí)別監(jiān)測(cè)目標(biāo)。

5G安全監(jiān)測(cè)網(wǎng)絡(luò)預(yù)警架構(gòu)包括兩個(gè)層面，分別是網(wǎng)絡(luò)普通域、安全監(jiān)測(cè)域，網(wǎng)絡(luò)普通域類似于經(jīng)典SDN架構(gòu)，安全監(jiān)測(cè)域完全等同于SDN架構(gòu)，共有三層，具體分析是：

3.1 應(yīng)用層

基礎(chǔ)和前提是5G網(wǎng)絡(luò)監(jiān)測(cè)安全預(yù)警，同時(shí)滿足其要求，將一種具有安全性的應(yīng)用SAPP開發(fā)出來，采用簡單直接方式，將網(wǎng)絡(luò)實(shí)時(shí)狀態(tài)向用戶展示出來，并且進(jìn)行預(yù)警。另外，利用4G中各種安全技術(shù)優(yōu)勢(shì)不斷發(fā)展和壯大，以應(yīng)用層為根本點(diǎn)，實(shí)施監(jiān)控和檢測(cè)操作。通過具有安全性能的接口，能夠全面監(jiān)測(cè)應(yīng)用層、控制層，促進(jìn)通信功能的實(shí)現(xiàn)，最終完成接收控制層數(shù)據(jù)信息的任務(wù)。

3.2 控制層

控制監(jiān)測(cè)層的組成部分包括監(jiān)測(cè)單元、擴(kuò)展單元、預(yù)警單元等，它與普通網(wǎng)絡(luò)域控制層處于同等級(jí)別，借助監(jiān)測(cè)單元，能夠?qū)ζ胀ňW(wǎng)絡(luò)域控制層中狀態(tài)數(shù)據(jù)信息進(jìn)行采集，再充分利用預(yù)警單元，開展預(yù)測(cè)工作，運(yùn)用適合的概率算法等，將安全網(wǎng)絡(luò)狀態(tài)預(yù)測(cè)出來，從而在應(yīng)用層中呈現(xiàn)出來。安全監(jiān)測(cè)新功能的添加是擴(kuò)展單元主要功能，比如安全監(jiān)測(cè)特殊情景、計(jì)算安全攻擊線路等，為擴(kuò)展提供便利，優(yōu)勢(shì)比較明顯，包括成本比價(jià)低等。

3.3 設(shè)備層

其功能是對(duì)安全監(jiān)測(cè)所需設(shè)備進(jìn)行部署，對(duì)控制層發(fā)出的相關(guān)指令實(shí)施接受操作，同時(shí)將其作為基礎(chǔ)依據(jù)，完成與之相關(guān)的所有任務(wù)。

該5G網(wǎng)絡(luò)安全預(yù)警機(jī)制適用范圍非常廣闊，同時(shí)可以應(yīng)用于規(guī)模較大的商用5G網(wǎng)絡(luò)和小范圍專用5G網(wǎng)絡(luò)中。商用網(wǎng)絡(luò)中能夠以實(shí)際求為根據(jù)，合理布置，為了進(jìn)行系統(tǒng)化動(dòng)態(tài)化監(jiān)測(cè)，能夠以某一層或幾層為根本點(diǎn)開展相關(guān)工作，或者對(duì)其進(jìn)行不斷拓寬，同樣能對(duì)某一小段網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，或者能夠擴(kuò)展到上層大網(wǎng)中。安全監(jiān)測(cè)對(duì)5G專用網(wǎng)絡(luò)提出極高要求，對(duì)于融合軍民專用網(wǎng)要求就更高，可以將其分為兩個(gè)部分，包括普通域和高安全域。

該系統(tǒng)需要將安全監(jiān)測(cè)探針植入到終端側(cè)，從而發(fā)揮監(jiān)測(cè)底層作用，對(duì)SAPP進(jìn)行安全應(yīng)用，從而對(duì)應(yīng)用層進(jìn)行監(jiān)測(cè)和預(yù)警；充分利用防火墻，網(wǎng)絡(luò)側(cè)可以隔離過濾普通域和高安全域，對(duì)于監(jiān)測(cè)預(yù)警單元而言，能夠發(fā)揮控制層監(jiān)測(cè)作用，并且將IDS、IPS、WAF等安全監(jiān)測(cè)功能增加到DN側(cè)。此種機(jī)制從多個(gè)層面、多個(gè)系統(tǒng)出發(fā)，促進(jìn)5G網(wǎng)絡(luò)監(jiān)測(cè)預(yù)警功能的實(shí)現(xiàn)。

4 結(jié)束語

綜上所述，這篇文章主要分成三個(gè)部分，首先介紹5G網(wǎng)絡(luò)發(fā)展及經(jīng)濟(jì)價(jià)值，其次對(duì)3GPP標(biāo)準(zhǔn)中監(jiān)測(cè)網(wǎng)元的NWDAF進(jìn)行闡述，最后通過研究現(xiàn)階段5G安全監(jiān)測(cè)預(yù)警機(jī)制中問題，提出一種新型網(wǎng)絡(luò)架構(gòu)，即有機(jī)結(jié)合普通網(wǎng)絡(luò)域和安全監(jiān)測(cè)域，并將其優(yōu)勢(shì)表示出來，如較低成本、更新?lián)Q代速度快，開放性件等，因此，其適用性非常廣闊。