趙亮

移動通信網(wǎng)作為商業(yè)化的電信網(wǎng)絡，在標準設計之初，就充分考慮了網(wǎng)絡接入的移動性、可靠性和安全性。通過SIM/USIM 等身份標識、認證授權(quán)、信道與承載加密、訪問控制等方式，提供了良好的安全通信能力。經(jīng)過包括運營商、標準組織以及設備商等在內(nèi)的電信產(chǎn)業(yè)界幾十年的錘煉，移動通信網(wǎng)絡安全架構(gòu)日臻完善。

5G 提供了基于統(tǒng)一認證框架的雙向認證能力，使終端和網(wǎng)絡都能夠確認對方身份的合法性。這樣不僅能避免非法用戶接入網(wǎng)絡，也能避免利用偽基站、偽熱點進行詐騙或者竊取用戶信息。另外，由于對終端進行認證，可以追溯終端使用者的身份和行為軌跡，增加了攻擊者的法律風險，可以有效降低攻擊的概率。

電信5G網(wǎng)絡的標準建設模式，核心網(wǎng)的集中式部署已不能滿足新業(yè)務的需求。當前工業(yè)企業(yè)對“技術(shù)和應用下沉，應用本地化，內(nèi)容分布化，計算邊緣化”的需求特點，采取純5G網(wǎng)絡邏輯切片、公網(wǎng)&私網(wǎng)共用基站設施、所有網(wǎng)絡本地獨立部署三種組網(wǎng)模式，保證不同的安全等級需求。通過配置不同的網(wǎng)絡切片安全適用于對數(shù)據(jù)安全性不是特別敏感用戶;通過本地邊緣云計算，在企業(yè)本地化部署相應的MEC邊緣計算硬件設備滿足企業(yè)響應服務需求;對安全需求等級高的企業(yè)，對企業(yè)部署單獨的網(wǎng)絡，開放安全能力，按需組合，提供靈活、可定制的差異化安全能力。

一、網(wǎng)絡切片安全

切片技術(shù)提供了端到端、多種靈活手段、“邏輯+物理”的QoS保障能力，端到端網(wǎng)絡切換可以完全專用、也可以共享組成部分（無線、傳輸、核心網(wǎng)等），在SLA層面滿足垂直行業(yè)應用差異化的需求，提供更健壯的數(shù)據(jù)安全保護、更豐富的認證機制支持和更嚴密的用戶隱私。

區(qū)別于傳統(tǒng)物理專網(wǎng)的私有性與封閉性，5G 網(wǎng)絡切片是建立在共享資源之上的虛擬化專用網(wǎng)絡，切片安全除了提供傳統(tǒng)移動網(wǎng)絡安全機制之外（例如接入認證、接入層和非接入層信令和數(shù)據(jù)的加密與完整性保護等），還需要提供網(wǎng)絡切片之間端到端安全隔離機制。

為了滿足不同業(yè)務的安全等級需求，網(wǎng)絡切片結(jié)合了各種物理隔離和邏輯隔離機制，來實現(xiàn)網(wǎng)絡切片間的隔離防護。5G 網(wǎng)絡切片端到端隔離可分為RAN 隔離、承載隔離和核心網(wǎng)隔離。

1.1 RAN 隔離

網(wǎng)絡切片在RAN 側(cè)的隔離主要面向無線頻譜資源以及基站處理資源。5G OFDMA 系統(tǒng)中，無線頻譜從時域、頻域、空域維度被劃分為不同的資源塊，用于承載終端和基站之間數(shù)據(jù)傳輸。頻譜資源的隔離可以分為物理隔離和邏輯隔離。物理隔離是給網(wǎng)絡切片分配專用頻譜帶寬，這時分配給切片的資源塊是連續(xù)的。邏輯隔離是資源塊按照不同切片的要求按需分配，分配給每個切片的資源塊是不連續(xù)的，多個切片共享總的頻譜資源。

無論是物理隔離還是邏輯隔離，由于資源塊的正交性，兩者的隔離能力基本相當。但是專用頻譜的覆蓋范圍和覆蓋效果通常不如共享頻譜，當數(shù)據(jù)文件較大，或者用戶處于小區(qū)邊緣時，由于無法使用更寬的頻譜傳輸，使用物理隔離的切片往往無法達到更高的傳輸速率。另外，由于物理隔離方式實現(xiàn)成本較高，資源分配不夠靈活，因此頻譜租賃代價高昂。

邏輯隔離可以實現(xiàn)基站調(diào)度器根據(jù)不同切片的傳輸要求，對資源塊動態(tài)調(diào)配，提高了頻譜資源利用率，因此，行業(yè)應用在無特殊要求的情況下，應首選邏輯隔離方案。

1.2承載隔離

5G 網(wǎng)絡依托數(shù)據(jù)中心部署，跨越數(shù)據(jù)中心的物理通信鏈路需要承載多個切片的業(yè)務數(shù)據(jù)。網(wǎng)絡切片在承載側(cè)的隔離可通過軟隔離和硬隔離兩種方案實現(xiàn)。

軟隔離方案基于現(xiàn)有網(wǎng)絡機制，通過VLAN 標簽與網(wǎng)絡切片標識的映射實現(xiàn)。網(wǎng)絡切片具備唯一的切片標識，根據(jù)切片標識為不同的切片數(shù)據(jù)映射封裝不同的VLAN 標簽，通過VLAN 隔離實現(xiàn)切片的承載隔離。

軟隔離方案雖然將不同切片的數(shù)據(jù)進行了VLAN 區(qū)分，但是標記有VLAN 標簽的所有切片數(shù)據(jù)仍然混雜在一起進行調(diào)度轉(zhuǎn)發(fā)。硬隔離方案則引入FlexE 技術(shù)，基于以太網(wǎng)協(xié)議，在L1（PHY）和L2（MAC）層之間創(chuàng)造另一“墊層”，實現(xiàn)FlexE 分片。

FlexE 分片是基于時隙調(diào)度將一個物理以太網(wǎng)端口劃分為多個以太網(wǎng)彈性管道，使得承載網(wǎng)絡既具備類似于TDM（時分復用）獨占時隙、隔離性好的特性，又具備以太網(wǎng)統(tǒng)計復用、網(wǎng)絡效率高的特點。

網(wǎng)絡切片的承載隔離可以同時使用軟隔離和硬隔離的方案，在對網(wǎng)絡切片使用VLAN實現(xiàn)邏輯隔離的情況下，進一步利用FlexE 分片技術(shù)，實現(xiàn)在時隙層面的物理隔離。

1.3核心網(wǎng)隔離

5G 核心網(wǎng)基于虛擬化基礎設施構(gòu)建，并且由很多種不同的網(wǎng)絡功能構(gòu)成，有些網(wǎng)絡功能為切片專用，有些則在多個切片之間共享，因此在核心網(wǎng)側(cè)的隔離需要采用多重隔離機制，包括網(wǎng)絡切片間隔離、網(wǎng)絡功能隔離和網(wǎng)絡切片與用戶隔離。

由于網(wǎng)絡切片共享統(tǒng)一的核心網(wǎng)基礎設施，為了確保一個切片的異常不會影響到其他切片，一方面，核心網(wǎng)可以采用物理隔離的方案，為安全性要求較高的切片分配相對獨立的物理資源，另一方面，還可以采用邏輯隔離方案，借助成熟的虛擬化技術(shù)，在網(wǎng)絡層通過劃分VLAN/VXLAN 子網(wǎng)進行隔離，在管理層通過分權(quán)分域?qū)崿F(xiàn)切片管理和編排的隔離。相對于物理隔離方案，邏輯隔離對資源分配更加靈活，更為經(jīng)濟。

不同網(wǎng)絡功能（NF）需要根據(jù)自身的安全級別要求與信任關(guān)系，進行安全域劃分，以提供網(wǎng)絡功能之間的相互隔離。隨著MEC 應用的普及，大量UPF 等網(wǎng)絡功能需要從核心網(wǎng)絡域下沉至網(wǎng)絡邊緣，與基站或DU/CU 共址部署，這會使得下沉的NF 與其他核心網(wǎng)NF 被進一步劃分到不同的安全子域。切片共享的網(wǎng)絡功能與切片內(nèi)的網(wǎng)絡功能互訪時，需要設置安全防護機制（例如白名單）進行控制，限制非法訪問。

為了避免CN 網(wǎng)絡切片遭受來自外部的攻擊進而威脅到切片安全、可靠的運行，可以在切片網(wǎng)絡和終端用戶之間、以及切片網(wǎng)絡和行業(yè)應用之間部署安全隔離機制。切片網(wǎng)絡和終端用戶之間的隔離可采用基于切片的接入認證和訪問控制等機制。切片網(wǎng)絡和行業(yè)應用的隔離，可以通過部署虛擬或者物理防火墻，并設置訪問策略來進行。

二、MEC安全防護

MEC提供3個對外接口，分別對接5G基站，核心網(wǎng)和企業(yè)本地數(shù)據(jù)中心。采用MEC打造企業(yè)內(nèi)5G網(wǎng)絡，企業(yè)業(yè)務數(shù)據(jù)不傳送到互聯(lián)網(wǎng)上，保障數(shù)據(jù)的私密。MEC不對傳輸?shù)臄?shù)據(jù)內(nèi)容做存儲，不會在MEC節(jié)點導致數(shù)據(jù)泄露。MEC和工業(yè)企業(yè)本地服務器之間部署防火墻進行數(shù)據(jù)隔離。

工業(yè)互聯(lián)網(wǎng)應用系統(tǒng)對于可靠性的要求較高，因此MEC自身的硬件配置也需要具有容災保護，MEC采用虛擬化技術(shù)，也考慮的系統(tǒng)的保護，MEC 的安全防護繼承了電信云數(shù)據(jù)中心的安全防護手段，包括云化的基礎設施加固，以及虛擬化的網(wǎng)絡安全服務等。同時，針對MEC 面臨的全新安全挑戰(zhàn)，還需要從多個方面進行針對性的加固。

2.1基礎設施加固

物理安全：根據(jù)不同業(yè)務場景，MEC 節(jié)點可部署在邊緣數(shù)據(jù)中心、無人值守的站點機房，甚至靠近用戶的現(xiàn)場。由于處于相對開放的環(huán)境中，MEC 設備更易遭受物理性破壞，需要與場所的提供方一起，共同評估和保障基礎設施的物理安全，引入門禁、環(huán)境監(jiān)控等安全措施;對于MEC 設備，還需要加強自身防盜、防破壞方面的結(jié)構(gòu)設計，對設備的I/O接口、調(diào)試接口進行控制。此外MEC 節(jié)點還必須具備在嚴苛、惡劣物理環(huán)境下的持續(xù)工作能力。

平臺安全：針對部署在運營商控制較弱區(qū)域的MEC 節(jié)點，需要引入安全加固措施，加強平臺管理安全、數(shù)據(jù)存儲和傳輸安全，在需要時引入可信計算等技術(shù)，從系統(tǒng)啟動到上層應用，逐級驗證，構(gòu)建可信的MEC 平臺。為保證更高的可用性，同質(zhì)化的MEC 之間可以建立起“MEC 資源池”，相互之間提供異地災備能力，當遇到不可抗的外部事件時，可以快速切換到其他MEC，保證業(yè)務的連續(xù)性。

網(wǎng)絡安全：MEC 連接了多重外部網(wǎng)絡，傳統(tǒng)的邊界防御、內(nèi)外部認證、隔離與加密等防護技術(shù)，需要繼續(xù)在MEC 中使用。從MEC 平臺內(nèi)部來看，MEC 被劃為不同的功能域，如管理域、核心網(wǎng)域、基礎服務域（位置業(yè)務/CDN 等）、第三方應用域等，彼此之間需要劃分到不同安全域，引入各種虛擬安全能力，實現(xiàn)隔離和訪問控制。同時需要部署入侵檢測技術(shù)、異常流量分析、反APT 等系統(tǒng)，對惡意軟件、惡意攻擊等行為進行檢測，防止威脅橫向擴展。此外，基于邊緣分布式的特點，可以在多個MEC 節(jié)點部署檢測點，相互協(xié)作實現(xiàn)對惡意攻擊的檢測。

2.2運維管理安全增強

MEC 上運行和存儲著運營商和行業(yè)客戶的各種數(shù)據(jù)資產(chǎn)，同時，5G 核心網(wǎng)用戶面的下沉也帶來了非法竊聽、欺騙性計費等威脅。為了確保MEC 節(jié)點中資產(chǎn)與數(shù)據(jù)的安全，需要對使用MEC 的各方的行為執(zhí)行認證（Authentication）、授權(quán)（Authorization）、審計（Audit），此外，還需要在平臺層面、網(wǎng)絡層面、業(yè)務層面等多個維度，對數(shù)據(jù)資產(chǎn)的所有權(quán)、使用權(quán)和運維權(quán)進行分權(quán)分域的管理。當邊緣域與核心域之間涉及到管理、計費等關(guān)鍵性通訊時，需要充分利用PKI 以及TLS/IPSec 等協(xié)議，實施認證授權(quán)與傳輸加密。

為了確保運行版本的安全，防止帶毒運行，MEC 需要支持針對VNF 版本包在不同交付環(huán)節(jié)之間的簽名（發(fā)布方）與驗簽（接收方），同時需要對發(fā)布的版本包做簽名校驗。

為了避免安全漏洞影響到MEC 節(jié)點上其它功能域的安全，在第三方應用引入之前，需要執(zhí)行嚴格的管控流程，對其進行全面的安全評估和檢測。同時通過應用注冊過程對應用權(quán)限進行控制，通過審計手段對應用行為進行問責，以規(guī)范第三方應用的運行。

2.3數(shù)據(jù)資產(chǎn)保護

MEC 節(jié)點位于網(wǎng)絡邊緣，處于運營商控制較弱的開放網(wǎng)絡環(huán)境中，數(shù)據(jù)竊取、泄露的風險相對較高。企業(yè)對數(shù)據(jù)管控有更嚴格的要求，要求企業(yè)數(shù)據(jù)不出園區(qū)。這對MEC 中數(shù)據(jù)存儲、傳輸、處理的安全性提出了較高的要求。

在MEC 部署、業(yè)務運行過程中，必須對MEC 應用可能涉及的數(shù)據(jù)進行識別，包括用戶的標識、接入位置等。對安全要求高的數(shù)據(jù)需要采用加密方式存儲;對行業(yè)高價值資產(chǎn)數(shù)據(jù)，應盡量使用IPSec/TLS 等安全傳輸方式，避免傳輸過程中數(shù)據(jù)泄露或被篡改。

對數(shù)據(jù)處理、分析和使用，需要服從當?shù)氐臄?shù)據(jù)隱私法律法規(guī)，結(jié)合數(shù)據(jù)操作對象的認證、授權(quán)等方式規(guī)范數(shù)據(jù)的處理使用，并對操作過程進行記錄。如果涉及數(shù)據(jù)隱私，在使用之前需要對數(shù)據(jù)進行脫敏處理。

三、安全能力開放

5G 網(wǎng)絡能夠通過能力開放接口將網(wǎng)絡能力對外開放，以便工業(yè)企業(yè)按照各自的需求編排定制化的網(wǎng)絡服務。為了滿足不同企業(yè)的安全需求，5G 網(wǎng)絡通過將安全能力進行抽象、封裝，與其他網(wǎng)絡能力一起開放給行業(yè)應用，配合資源動態(tài)部署與按需組合，提供靈活、可定制的差異化安全能力。