5G典型應(yīng)用場景安全需求及安全防護對策

閆新成 毛玉欣 趙紅勛

摘要：系統(tǒng)地分析了5G 3大應(yīng)用場景的典型安全需求，以及5G新架構(gòu)的引入所帶來新的安全需求。針對性地提出了安全防護對策，包括虛擬化基礎(chǔ)設(shè)施可信運行及資源隔離、網(wǎng)絡(luò)安全功能服務(wù)化與按需重構(gòu)、虛擬化網(wǎng)絡(luò)切片的安全保障、統(tǒng)一身份管理和多元信任機制、網(wǎng)絡(luò)服務(wù)接口的安全保障、網(wǎng)絡(luò)功能域安全防護等，為5G網(wǎng)絡(luò)更好地適應(yīng)垂直行業(yè)差異化的安全需求提供網(wǎng)絡(luò)安全研究、設(shè)計方面的參考。

關(guān)鍵詞：增強移動寬帶;高可靠低時延;大規(guī)模機器連接;安全功能服務(wù)化;網(wǎng)絡(luò)切片;信任管理

Abstract： The typical security requirements for the main 5G application scenarios and new security challenges which are brought by the new 5G architecture are systematically analyzed. The security protection countermeasures are proposed， including trust operation of virtualization infrastructure and resource isolation， service-oriented and on-demand reconstruction of security network functions， network slicing security， unified identity management and multi-trust mechanisms， service based interface security， and security protection of network function domains， etc. These countermeasures provide network security research and design reference for 5G network to better adapt to the security needs of vertical industry differentiation.

Key words： enhanced mobile broadband; ultra reliable low latency; massive machine connections; security function virtualization; network slicing; trust management

5G作為新一代信息技術(shù)的核心引擎，力圖牽引信息網(wǎng)絡(luò)從消費互聯(lián)網(wǎng)向工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)型，實現(xiàn)人與機器信息化互聯(lián)的愿景，打造網(wǎng)絡(luò)與業(yè)務(wù)融合的服務(wù)模式。5G在無線接入、傳輸、核心網(wǎng)絡(luò)方面采用了大量先進(jìn)技術(shù)，例如豐富的接入能力、統(tǒng)一認(rèn)證框架[1]、靈活的網(wǎng)絡(luò)架構(gòu)以及服務(wù)化的業(yè)務(wù)模式[2]。這些使得5G在技術(shù)、架構(gòu)和業(yè)務(wù)等方面與3G、4G或其他無線通信系統(tǒng)存在很大的區(qū)別。全新的網(wǎng)絡(luò)設(shè)計在更好地支撐多樣化應(yīng)用場景的同時，也將會帶來全新的安全風(fēng)險和需求，對現(xiàn)有的網(wǎng)絡(luò)安全提出新的挑戰(zhàn)。

5G的行業(yè)應(yīng)用仍處于初步階段，不同行業(yè)、不同業(yè)務(wù)、不同客戶對于安全的需求也有著一定的差異。但我們?nèi)匀豢梢葬槍Φ湫蛻?yīng)用場景的共性安全需求進(jìn)行分析，重新審視5G網(wǎng)絡(luò)中新的防護對象、新的信任體系，以及對新的網(wǎng)絡(luò)功能和新業(yè)務(wù)模式的防護。

1 5G安全需求和威脅分析

3G、4G移動通信系統(tǒng)重點面向移動互聯(lián)網(wǎng)，滿足個人電話、信息及數(shù)據(jù)訪問等方面的需求。而5G需要同時滿足以移動互聯(lián)網(wǎng)、車聯(lián)網(wǎng)以及物聯(lián)網(wǎng)為典型代表的多種應(yīng)用，因此為單一接入場景而設(shè)計的安全防護機制將難以應(yīng)對5G網(wǎng)絡(luò)新的安全需求[3]。

不同垂直行業(yè)應(yīng)用對5G網(wǎng)絡(luò)的安全需求是不同的，甚至可能是相悖的，若要以相同的安全機制和策略滿足所有的垂直行業(yè)要求是不現(xiàn)實的;因此需要以服務(wù)化思想來構(gòu)建5G網(wǎng)絡(luò)安全架構(gòu)和安全基礎(chǔ)設(shè)施，為行業(yè)用戶提供按需可定制的網(wǎng)絡(luò)服務(wù)以及差異化的安全防護能力等。

1.1 典型應(yīng)用場景的典型安全

需求

5G有3類主要應(yīng)用場景：增強移動寬帶（eMBB）、海量機器類通信（mMTC）、高可靠低時延（uRLLC）。

在eMBB應(yīng)用場景下，5G網(wǎng)絡(luò)峰值速率和用戶體驗速率較4G增長10倍以上[4]，這對安全基礎(chǔ)設(shè)施的計算與處理能力提出了挑戰(zhàn)。在網(wǎng)絡(luò)入口處通常需要部署安全基礎(chǔ)設(shè)施，來進(jìn)行網(wǎng)絡(luò)或業(yè)務(wù)策略的訪問控制。同時，為了保護用戶隱私，對數(shù)據(jù)或信息也要進(jìn)行訪問控制。傳統(tǒng)安全基礎(chǔ)設(shè)施以單設(shè)備、高性能來提升計算與處理能力，這種模式將很難適應(yīng)超大流量的5G網(wǎng)絡(luò)防護需求。因此，構(gòu)建云化或服務(wù)化的安全基礎(chǔ)設(shè)施，通過服務(wù)間的配合與協(xié)同機制來實現(xiàn)高性能的安全處理能力，將是未來安全基礎(chǔ)設(shè)施提高其計算與處理能力、應(yīng)對海量數(shù)據(jù)的主要途徑。

在uRLLC場景下，要求端到端時延從10 ms降到1 ms[4]。典型應(yīng)用包括車聯(lián)網(wǎng)與自動化輔助駕駛、遠(yuǎn)程醫(yī)療以及工業(yè)自動化控制等。由于這類應(yīng)用本身關(guān)系到人身安全或高額經(jīng)濟利益，因此對安全能力的要求與對網(wǎng)絡(luò)自身能力的要求同等重要。針對這類應(yīng)用的安全防護機制是嚴(yán)苛的，在實現(xiàn)高安全防護的同時不能影響到應(yīng)用體驗，例如傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中基于多層隧道等補丁式防護手段很難滿足這類應(yīng)用的要求。低時延應(yīng)用需要依賴網(wǎng)絡(luò)部署移動邊緣計算（MEC）能力降低網(wǎng)絡(luò)時延;但是MEC需要將部分原本位于運營商核心機房的功能下沉至近用戶位置的網(wǎng)絡(luò)邊緣進(jìn)行部署，部署位置甚至完全脫離了運營商控制區(qū)域（例如企業(yè)園區(qū)等），這增加核心設(shè)備遭受攻擊的風(fēng)險。

在mMTC場景下，連接密度從10萬臺/km2增大到100萬臺/km2[4]。數(shù)量的變化也會帶來新的安全問題：首先，終端設(shè)備數(shù)量巨大，即使正常情況下發(fā)包頻率不高，數(shù)據(jù)包也不大，但其認(rèn)證過程以及正常的業(yè)務(wù)數(shù)據(jù)都有可能帶來極高的瞬時業(yè)務(wù)峰值，從而引發(fā)信令風(fēng)暴;其次，無人值守的終端設(shè)備一旦被劫持，可能會構(gòu)成一個巨型的“僵尸網(wǎng)絡(luò)”，進(jìn)而對其他關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)起分布式拒絕訪問服務(wù)（DDoS）攻擊。因此，需要研究海量終端設(shè)備接入安全機制，加強細(xì)粒度的設(shè)備管控。

1.2 適應(yīng)行業(yè)應(yīng)用的新網(wǎng)絡(luò)架構(gòu)

帶來的安全挑戰(zhàn)

5G在網(wǎng)絡(luò)設(shè)計上進(jìn)行了軟件和硬件解耦、控制與轉(zhuǎn)發(fā)分離，并引入網(wǎng)絡(luò)切片和網(wǎng)絡(luò)能力開放等新技術(shù)提升網(wǎng)絡(luò)靈活性、可擴展性、可重構(gòu)能力。5G服務(wù)化架構(gòu)在滿足不同垂直行業(yè)應(yīng)用需求的同時，也引發(fā)了一些新的安全問題：

（1）安全防護對象發(fā)生變化。

5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施云化和虛擬化，使得資源利用率和資源提供方式的靈活性大大提升，但也打破了原有以物理設(shè)備為邊界的資源提供模式。在3G、4G網(wǎng)絡(luò)中，以物理實體為核心的安全防護技術(shù)在5G網(wǎng)絡(luò)中不再適用，需要建立起以虛擬資源和虛擬網(wǎng)絡(luò)功能為目標(biāo)的安全防護體系。

（2）信任關(guān)系由二元變?yōu)槎嘣?/p>

3G、4G網(wǎng)絡(luò)的價值鏈中只有終端用戶和網(wǎng)絡(luò)運營商2個角色，并沒有明確而完整地提出信任管理體系。5G網(wǎng)絡(luò)與垂直行業(yè)應(yīng)用的結(jié)合使得一批新的參與者、新的設(shè)備類型加入價值鏈。例如，傳統(tǒng)移動網(wǎng)絡(luò)中網(wǎng)絡(luò)運營商通常也是基礎(chǔ)設(shè)施供應(yīng)商，而在5G時代，可能會引入虛擬移動網(wǎng)絡(luò)運營商的角色。虛擬移動網(wǎng)絡(luò)運營商需要從移動網(wǎng)絡(luò)運營商/基礎(chǔ)設(shè)施提供商中購買網(wǎng)絡(luò)切片。相比傳統(tǒng)網(wǎng)絡(luò)的終端用戶，5G網(wǎng)絡(luò)除了手機用戶之外，還有各種物聯(lián)網(wǎng)（IoT）設(shè)備用戶、交通工具等。因此，5G網(wǎng)絡(luò)需要構(gòu)建新的信任管理體系、研究身份和信任管理機制以解決各個角色之間的多元信任問題。

（3）集中管理帶來了安全風(fēng)險。

3G、4G較少地采用集中式管理方式，除了少數(shù)網(wǎng)元外，其他網(wǎng)元之間的管理更多依賴于自主協(xié)商。5G使用不同的網(wǎng)絡(luò)切片來滿足不同的行業(yè)應(yīng)用需求，不同的切片需要分配不同的網(wǎng)絡(luò)資源。切片管理以及與切片相關(guān)的網(wǎng)絡(luò)資源管理不可能再基于自主協(xié)商方式，因此集中式管理將成為主要方式。5G網(wǎng)絡(luò)中使用網(wǎng)絡(luò)功能虛擬化管理和編排（MANO）、軟件定義網(wǎng)絡(luò)（SDN）控制器等對網(wǎng)絡(luò)集中編排和管理。MANO和SDN屬于網(wǎng)絡(luò)中樞，一旦被非法控制或遭受攻擊，將對網(wǎng)絡(luò)造成嚴(yán)重影響，甚至癱瘓。集中式管理網(wǎng)元的安全防護問題迫切需要解決。

（4）新服務(wù)交付模式的相關(guān)安全需求。

5G網(wǎng)絡(luò)為了更好地應(yīng)對各種不同的業(yè)務(wù)需求，接納了新的參與角色并將其加入網(wǎng)絡(luò)價值鏈與生態(tài)系統(tǒng)中，由此產(chǎn)生了新的服務(wù)交付模式[5]。5G通過將能力開放，同時配合資源動態(tài)部署與按需組合機制，為垂直行業(yè)提供靈活、可定制的差異化網(wǎng)絡(luò)服務(wù)。能力開放改變了傳統(tǒng)網(wǎng)絡(luò)以能力封閉換取能力提供者自身安全的思路，使得能力使用者通過控制協(xié)議對能力提供者發(fā)起攻擊成為可能。一旦能力使用者被惡意入侵，利用能力開放接口的可編程性，經(jīng)由控制接口對5G網(wǎng)絡(luò)進(jìn)行惡意編排，將會造成嚴(yán)重后果，因此新服務(wù)交付模式需要解決網(wǎng)絡(luò)能力開放的安全防護問題。

2 5G網(wǎng)絡(luò)安全防護技術(shù)

2.1 安全防護對策分析

我們將上述提到的威脅和安全需求進(jìn)行匯總，并列舉了相應(yīng)的典型安全防護對策，如表1所示。需要說明的是，實際上一個特定場景并非只有一種安全需求或威脅，也絕非一種安全方案就可以解決的。同樣，一類解決方案也不僅限于只解決一類特定需求。這里僅列舉了一些典型而重要的安全功能和方案，以便對問題進(jìn)行清晰的剖析。

2.2 5G安全關(guān)鍵防護技術(shù)

（1）基礎(chǔ)設(shè)施的虛擬化隔離。

軟件和硬件的解耦，網(wǎng)絡(luò)功能虛擬化（NFV）、軟件定義網(wǎng)絡(luò)的引入，使得原來私有、封閉的專用網(wǎng)絡(luò)設(shè)備變成標(biāo)準(zhǔn)、開放的通用設(shè)備，也使得網(wǎng)絡(luò)防護邊界變得模糊。網(wǎng)絡(luò)虛擬化、開放化使得網(wǎng)絡(luò)更易遭受攻擊，并且集中部署的網(wǎng)絡(luò)將導(dǎo)致網(wǎng)絡(luò)威脅傳播速度更快，波及更廣。由于網(wǎng)絡(luò)功能實體共享基礎(chǔ)設(shè)施資源，因此需要其提供資源的安全隔離技術(shù)來保障上層5G網(wǎng)絡(luò)功能系統(tǒng)運行的安全性?？梢酝ㄟ^虛擬隔離機制來實現(xiàn)計算、網(wǎng)絡(luò)、存儲等資源的隔離，讓承載每個網(wǎng)絡(luò)功能實體無法突破虛擬機/容器管理器給出的資源限制。虛擬化網(wǎng)絡(luò)的安全防護還需要保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可信，這一點對于非信任環(huán)境部署的基礎(chǔ)設(shè)施，例如基站云化、邊緣計算等來說更為重要。通過可信計算技術(shù)，在網(wǎng)絡(luò)功能實體平臺上植入了硬件可信根，以構(gòu)建從計算環(huán)境、基礎(chǔ)軟件到應(yīng)用及服務(wù)的信任鏈，并依托逐級完整性檢查，來實現(xiàn)網(wǎng)絡(luò)功能實體的軟硬件環(huán)境的完整性保護。

（2）網(wǎng)絡(luò)安全功能按需重構(gòu)。

5G網(wǎng)絡(luò)本質(zhì)是一種按需定制的網(wǎng)絡(luò)，其優(yōu)勢在于除了可以為各垂直行業(yè)提供差異性的連接服務(wù)之外，還能按需提供差異化的安全防護能力。通過借鑒網(wǎng)絡(luò)功能服務(wù)化的思想，構(gòu)建安全功能的服務(wù)化，如圖1所示，并將虛擬化的安全功能按需編排到網(wǎng)絡(luò)切片中，使安全資源、網(wǎng)絡(luò)資源、數(shù)據(jù)資源在網(wǎng)絡(luò)切片中獨立提供，達(dá)到近似于傳統(tǒng)私網(wǎng)的安全保障和用戶體驗。

安全功能虛擬化是按需重構(gòu)的前提。通過對傳統(tǒng)安全功能的虛擬化，可設(shè)計出適應(yīng)不同應(yīng)用安全需求的虛擬安全功能單元，例如防火墻、接入認(rèn)證、互聯(lián)網(wǎng)協(xié)議安全（IPsec）、安全套接層（SSL）虛擬專用網(wǎng)絡(luò)（VPN）、入侵檢測、病毒檢測等。各個虛擬安全功能單元通過按需調(diào)用各類基礎(chǔ)安全服務(wù)功能集，從而滿足性能可擴展、功能可裁剪等要求，實現(xiàn)安全功能虛擬化。

基礎(chǔ)安全服務(wù)功能集由各類基礎(chǔ)服務(wù)功能組成?；A(chǔ)服務(wù)功能的服務(wù)性能可根據(jù)應(yīng)用程序編程接口（API）進(jìn)行配置，以滿足上層的差異化服務(wù)要求。基礎(chǔ)服務(wù)功能再通過對基礎(chǔ)資源層提供的虛擬化網(wǎng)絡(luò)資源進(jìn)行按需調(diào)度來實現(xiàn)性能的差異化配置。

行業(yè)應(yīng)用需求的差異決定了網(wǎng)絡(luò)切片功能的差異化。并非所有切片都包含相同的網(wǎng)絡(luò)功能，有些網(wǎng)絡(luò)功能基于需求可以不用配置。應(yīng)用需求的差異性決定了切片所提供的安全服務(wù)也是差異化的。在實現(xiàn)網(wǎng)絡(luò)安全服務(wù)功能虛擬化后，可以為服務(wù)于不同行業(yè)的網(wǎng)絡(luò)切片提供網(wǎng)絡(luò)安全功能的按需重構(gòu)。例如，服務(wù)于車聯(lián)網(wǎng)（V2X）的低時延網(wǎng)絡(luò)切片，需要在網(wǎng)絡(luò)邊緣節(jié)點實例化一些必要的網(wǎng)絡(luò)功能，選擇適應(yīng)低時延要求的認(rèn)證方法、加密算法和密鑰長度，以便在時延約束下提供對應(yīng)的安全防護，更好地支持第三方的垂直應(yīng)用;對于服務(wù)于mMTC的網(wǎng)絡(luò)切片，僅需配置基本的控制面接入認(rèn)證功能，而諸如移動性相關(guān)的網(wǎng)絡(luò)功能則無需配置。我們還可以考慮在切片內(nèi)部署虛擬的物聯(lián)網(wǎng)網(wǎng)關(guān)以及安全態(tài)勢感知系統(tǒng)，來防止DDoS攻擊和威脅橫向擴散。

（3）網(wǎng)絡(luò)功能域安全防護。

網(wǎng)絡(luò)虛擬化和網(wǎng)絡(luò)切片的應(yīng)用，使得原本用于傳統(tǒng)移動通信網(wǎng)絡(luò)域安全防護的架構(gòu)增加了新的元素。在第3代合作伙伴（3GPP）標(biāo)準(zhǔn)中，傳統(tǒng)“域”是指“物理實體組”，即“域”僅限于物理網(wǎng)絡(luò)實體的劃分，尤其是地理位置區(qū)域。而5G網(wǎng)絡(luò)，尤其是5G核心網(wǎng)構(gòu)建在虛擬化網(wǎng)絡(luò)之上，相比傳統(tǒng)網(wǎng)絡(luò)又出現(xiàn)了虛擬網(wǎng)絡(luò)功能實體。更進(jìn)一步地，5G引入了網(wǎng)絡(luò)切片，不同的切片有著不同運營者，5G網(wǎng)絡(luò)的基礎(chǔ)設(shè)施供應(yīng)商和移動網(wǎng)絡(luò)運營商也可能不同，因此我們需要將所有權(quán)屬性也納入考慮范疇。分析5G的安全威脅，需要首先將5G網(wǎng)絡(luò)進(jìn)行合理地分域;而對5G網(wǎng)絡(luò)分域，需要將傳統(tǒng)域的概念擴展為“與5G網(wǎng)絡(luò)相關(guān)的物理、邏輯和運營等方面的網(wǎng)絡(luò)功能實體組”。

根據(jù)5G網(wǎng)絡(luò)特征，5G系統(tǒng)可分為基礎(chǔ)設(shè)施域、租戶域以及附加的移動設(shè)備域。每個域根據(jù)不同功能又可進(jìn)一步劃分為若干子域[6]，各個子域?qū)?yīng)著相對比較獨立的功能。5G系統(tǒng)的域劃分情況如圖2所示，其中綠線標(biāo)記域之間的邏輯或物理通信接口，棱形表示各個域中的切片，同類切片互聯(lián)以后形成切片域，為5G系統(tǒng)提供端到端的網(wǎng)絡(luò)服務(wù)功能。在確定了域/子域邊界后，可以針對每個域/子域進(jìn)行威脅分析：針對其業(yè)務(wù)屬性給出相應(yīng)的防護方案，如在域/子域網(wǎng)絡(luò)邊界設(shè)置虛擬防火墻等安全防護功能，并結(jié)合防護策略為域/子域內(nèi)網(wǎng)絡(luò)功能提供安全防護。對于域/子域間如果存在通信需求，可配置IPsec、SSL VPN等為數(shù)據(jù)交互提供安全通道。

（4）切片隔離與安全保障。

網(wǎng)絡(luò)切片是5G提供網(wǎng)絡(luò)服務(wù)的主要形態(tài)。5G可以在相同的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上同時構(gòu)建多個網(wǎng)絡(luò)切片，為多個應(yīng)用提供差異化網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)切片使得5G組網(wǎng)更加靈活，網(wǎng)絡(luò)服務(wù)更貼合應(yīng)用需求;但由于共享網(wǎng)絡(luò)基礎(chǔ)資源，如果管理不當(dāng)就會引發(fā)切片數(shù)據(jù)泄露、切片間資源競爭、非法用戶接入切片等安全威脅，因此需要提供切片安全隔離技術(shù)、切片接入控制等技術(shù)。

切片安全隔離可通過切片對應(yīng)基礎(chǔ)資源層的隔離、網(wǎng)絡(luò)層的隔離以及管理層隔離的三級隔離方式實現(xiàn)，如圖3所示。切片在基礎(chǔ)資源層隔離使用基于NFV技術(shù)的資源隔離技術(shù)實現(xiàn)，例如為不同的切片分配不同的虛擬機/容器承載切片網(wǎng)絡(luò)功能，通過虛擬機/容器隔離機制實現(xiàn)切片在基礎(chǔ)資源層的隔離，文獻(xiàn)[7]中，作者詳細(xì)描述了NFV安全隔離機制。切片在網(wǎng)絡(luò)層的隔離分為無線接入控制（RAN）隔離、承載隔離和核心網(wǎng)隔離，根據(jù)切片承載的應(yīng)用對安全性的要求，可以分為切片完全隔離或者切片部分隔離。例如，對于安全性要求嚴(yán)苛的工業(yè)控制應(yīng)用，需要采取完全隔離方式，即為所述切片分配獨立的網(wǎng)絡(luò)功能;對于安全性要求不高的普通應(yīng)用（如視頻監(jiān)測控制、上網(wǎng)類應(yīng)用），在建立對應(yīng)的網(wǎng)絡(luò)切片時可以共享部分網(wǎng)絡(luò)功能。參考文獻(xiàn)[8]中，作者描述了切片在網(wǎng)絡(luò)層的隔離實現(xiàn)。切片在管理層的隔離通過為使用切片的租戶分配不同的賬號和權(quán)限。每個租戶僅能對屬于自己的切片進(jìn)行管理維護，而無權(quán)對其他租戶的切片實施管理。另外，我們需要通過通道加密等機制保證管理接口的安全。

切片的接入控制用于保證合法用戶接入正確的網(wǎng)絡(luò)切片，防止非法用戶接入網(wǎng)絡(luò)或合法用戶接入非授權(quán)切片而引發(fā)的網(wǎng)絡(luò)攻擊和破壞行為。首先，通過網(wǎng)絡(luò)接入認(rèn)證機制對附著到網(wǎng)絡(luò)的用戶進(jìn)行認(rèn)證鑒別，只有簽約網(wǎng)絡(luò)用戶才能接入網(wǎng)絡(luò)。在接入認(rèn)證過程中，為防止攻擊者仿冒簽約用戶的身份標(biāo)識，需要對用戶身份等隱私信息進(jìn)行保護，同時也需要安全機制對認(rèn)證過程中的信令交互進(jìn)行安全防護，防止攻擊者竊聽、篡改認(rèn)證信息。其次，對于用戶訪問切片也需要進(jìn)行管理和控制，可以通過簽約的方式規(guī)定用戶接入切片類型。在用戶接入切片時，需要進(jìn)行切片認(rèn)證，以驗證用戶接入切片的權(quán)限，防止非授權(quán)用戶接入切片，竊取信息或破壞切片正常運行。

（5）多接入MEC安全。

MEC是5G業(yè)務(wù)多元化的核心技術(shù)之一。MEC將部分網(wǎng)絡(luò)服務(wù)能力和業(yè)務(wù)應(yīng)用推進(jìn)到網(wǎng)絡(luò)邊緣，通過業(yè)務(wù)靠近用戶處理來縮短業(yè)務(wù)時延，提供可靠、極致的業(yè)務(wù)體驗。

以縮短業(yè)務(wù)時延和提高資源使用效率為原則，MEC服務(wù)一般部署在邊緣數(shù)據(jù)中心、基站等近用戶位置，如園區(qū)和一些特定場所內(nèi)。由于其物理位置脫離了運營商核心網(wǎng)，基礎(chǔ)設(shè)施的物理安全不可忽略，例如出于對企業(yè)的安全考慮，要求私有云數(shù)據(jù)不出園區(qū)，因此MEC就要部署在企業(yè)網(wǎng)內(nèi)部區(qū)域。這樣雖然滿足了企業(yè)的數(shù)據(jù)安全需求，但是關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施部署脫離了運營商控制范圍，對其造成了安全風(fēng)險。對此運營商需要進(jìn)行基礎(chǔ)設(shè)施安全加固，例如引入門禁、環(huán)境監(jiān)測控制等安全措施，對MEC設(shè)備加強自身防盜、防破壞方面的結(jié)構(gòu)設(shè)計，對設(shè)備輸入輸出（I/O）接口、調(diào)試接口進(jìn)行權(quán)限控制等。

為實現(xiàn)垂直行業(yè)的業(yè)務(wù)定制，MEC需要提供開放平臺。但網(wǎng)絡(luò)能力開放后，MEC對應(yīng)用的注冊、安全管理、行為審計等都需要制定完整的保障機制，應(yīng)用的注冊除了身份的合法性驗證之外，還可以根據(jù)可信評估機構(gòu)簽發(fā)的健康度進(jìn)行嚴(yán)格控制;對第三方業(yè)務(wù)的訪問權(quán)限也需要進(jìn)行嚴(yán)格控制，一旦發(fā)現(xiàn)越權(quán)的資源調(diào)度行為應(yīng)及時阻斷，并需要對所有訪問行為實施日志記錄以便安全審計。

由于MEC實現(xiàn)業(yè)務(wù)和內(nèi)容的本地化處理，用戶終端在越區(qū)切換時，MEC應(yīng)用的低延時通信和服務(wù)連續(xù)性所需的信息，例如移動終端的身份和網(wǎng)絡(luò)地址，需要從切換前網(wǎng)絡(luò)功能實例傳送到目標(biāo)切換的網(wǎng)絡(luò)功能實例。在越區(qū)切換過程中，需要考慮通信安全，例如在網(wǎng)絡(luò)功能實例間建立安全隧道以保證切換過程中的信息傳送安全。目標(biāo)切換的網(wǎng)絡(luò)功能實例在完成用戶越區(qū)認(rèn)證后，需要將切換前網(wǎng)絡(luò)實例傳送過來的網(wǎng)絡(luò)及業(yè)務(wù)信息進(jìn)行對應(yīng)綁定和切換，以確保服務(wù)的連續(xù)性。

（6）統(tǒng)一身份管理和多元信任機制。

5G面向垂直行業(yè)的半封閉特征，以及眾多不同類型新參與者的加入（例如新行業(yè)、新商業(yè)主體、新業(yè)務(wù)類型、新機器連接等），使得基礎(chǔ)設(shè)施提供商、運營商、第三方服務(wù)提供商、網(wǎng)絡(luò)用戶等參與者之間的信任關(guān)系變得復(fù)雜，因而需要構(gòu)建用戶、終端、網(wǎng)絡(luò)、服務(wù)之間的多元信任模型，以應(yīng)對不同應(yīng)用場景的信任需求[9]。

5G支持多樣化及海量的終端接入，不論是對身份管理的能力需求上，還是實現(xiàn)網(wǎng)絡(luò)和業(yè)務(wù)的深度融合機制上，都需要構(gòu)建新的身份管理體系。另外，5G存在多個虛擬網(wǎng)絡(luò)切片，需要支持網(wǎng)元在不同網(wǎng)絡(luò)切片、不同網(wǎng)絡(luò)域之間的信任關(guān)系和可信身份傳遞。因此，需要充分融合現(xiàn)有的移動通信網(wǎng)、不同的垂直行業(yè)、不同的物聯(lián)網(wǎng)平臺的身份管理體系，實現(xiàn)統(tǒng)一身份管理，構(gòu)建統(tǒng)一信任服務(wù)體系。圖4所示為保障5G網(wǎng)絡(luò)、業(yè)務(wù)和服務(wù)健康前行的重要因素。

統(tǒng)一身份管理需要解決5G參與者的身份標(biāo)識和身份管理問題。通過標(biāo)識技術(shù)對所有接入5G網(wǎng)絡(luò)的實體進(jìn)行唯一標(biāo)識映射，實現(xiàn)不同層次身份標(biāo)識的統(tǒng)一管理、融合，用戶的管理、身份標(biāo)識生成、簽發(fā)、發(fā)布、驗證等功能，解決現(xiàn)實空間中人、設(shè)備、應(yīng)用服務(wù)等實體向網(wǎng)絡(luò)空間的身份可信映射，實現(xiàn)網(wǎng)絡(luò)空間與現(xiàn)實空間身份的可信對應(yīng)。網(wǎng)絡(luò)空間活動的主體可以準(zhǔn)確地對應(yīng)到現(xiàn)實空間中的用戶，用戶為其網(wǎng)絡(luò)行為負(fù)責(zé)，解決統(tǒng)一身份管理、身份信息融合、隱私保護等問題。

傳統(tǒng)移動通信網(wǎng)絡(luò)中，網(wǎng)絡(luò)對用戶入網(wǎng)認(rèn)證，并作為管道承載用戶與服務(wù)間的業(yè)務(wù)認(rèn)證，用戶與網(wǎng)絡(luò)、用戶與服務(wù)分別構(gòu)成二元信任模型。5G網(wǎng)絡(luò)下的統(tǒng)一身份認(rèn)證服務(wù)需要結(jié)合不同業(yè)務(wù)應(yīng)用的特點，以基于eSIM身份為基礎(chǔ)，充分融合垂直行業(yè)標(biāo)識體系、面向物聯(lián)網(wǎng)的數(shù)字證書體系、5G融合身份認(rèn)證、跨運營商的切片聯(lián)盟等身份體系，構(gòu)建用戶、終端、網(wǎng)絡(luò)、服務(wù)之間的多元信任模型。在該信任模型下，根據(jù)不同業(yè)務(wù)不同行業(yè)的用戶需求，可采用網(wǎng)絡(luò)認(rèn)證用戶、切片認(rèn)證用戶（垂直行業(yè)對用戶的認(rèn)證）、應(yīng)用認(rèn)證用戶以及運營商和垂直行業(yè)的認(rèn)證等多元認(rèn)證關(guān)系實現(xiàn)多元信任，實現(xiàn)面向5G網(wǎng)絡(luò)與垂直行業(yè)的新型數(shù)字關(guān)系。

（7）網(wǎng)絡(luò)服務(wù)接口的安全保障。

5G網(wǎng)絡(luò)開放能力通過運營商向垂直行業(yè)提供API，如圖5所示，以便垂直行業(yè)可以創(chuàng)建和管理服務(wù)于自身的網(wǎng)絡(luò)切片。網(wǎng)絡(luò)開放能力創(chuàng)造了網(wǎng)絡(luò)新的營運模式，同時也為攻擊者開放了攻擊網(wǎng)絡(luò)的接口。例如，如果非授權(quán)的第三方獲取了訪問接口，會發(fā)起針對網(wǎng)絡(luò)的攻擊;每個應(yīng)用程序能夠訪問的API接口如果缺少限制，則可能導(dǎo)致網(wǎng)絡(luò)核心數(shù)據(jù)會被訪問和篡改。

為此，需要對網(wǎng)絡(luò)服務(wù)接口提供安全防護，實施對垂直行業(yè)應(yīng)用服務(wù)的認(rèn)證，并提取評估機構(gòu)簽發(fā)的安全可信性的評估結(jié)果。通過審查之后向信任基礎(chǔ)設(shè)施獲取對應(yīng)服務(wù)的訪問權(quán)限，對垂直行業(yè)應(yīng)用在網(wǎng)絡(luò)服務(wù)調(diào)用的全過程進(jìn)行合規(guī)性監(jiān)測控制，對越權(quán)訪問行為進(jìn)行阻斷。服務(wù)接口安全防護具體措施可包括：

·認(rèn)證授權(quán)。網(wǎng)絡(luò)通過向信任服務(wù)基礎(chǔ)設(shè)施提交對訪問應(yīng)用的身份驗證，根據(jù)驗證的結(jié)果進(jìn)行授權(quán)服務(wù)的開放，并且需要根據(jù)可信評估機構(gòu)的評估數(shù)據(jù)，進(jìn)行綜合決策。

·權(quán)限控制。網(wǎng)絡(luò)通過向信任服務(wù)基礎(chǔ)設(shè)施提交對訪問應(yīng)用的權(quán)限獲取，并通過獲取的權(quán)限進(jìn)行資源的隔離控制，防止帶有攻擊或越權(quán)行為的發(fā)生。

·安全審計。在應(yīng)用業(yè)務(wù)接入網(wǎng)絡(luò)后需要進(jìn)行訪問行為的嚴(yán)格安全審計與分析，對應(yīng)用業(yè)務(wù)的行為實時跟蹤監(jiān)測，對發(fā)生的攻擊或越權(quán)行為進(jìn)行告警，為響應(yīng)處置的策略決策提供依據(jù)。

（8）DDoS。

網(wǎng)絡(luò)DDoS主要通過5G網(wǎng)絡(luò)各類感知點進(jìn)行海量事件的收集，包括路由交換設(shè)備上報的流量統(tǒng)計信息、網(wǎng)絡(luò)編排和管理器上報的拓?fù)湫畔?、安全防護功能上報的安全威脅信息，以及5G功能實體，例如接入和移動性管理功能（AMF）、會話管理功能（SMF）、用戶面功能（UPF）等，上報的日志事件等，通過對搜集的海量信息進(jìn)行大數(shù)據(jù)關(guān)聯(lián)分析，并通過智能分析引擎完成策略決策，按照決策結(jié)果調(diào)用可重構(gòu)的安全流量清洗資源池完成攻擊阻斷。根據(jù)大數(shù)據(jù)關(guān)聯(lián)分析結(jié)果，我們對網(wǎng)絡(luò)攻擊源進(jìn)行追蹤溯源，并通過安全審計進(jìn)行安全取證，為DDoS攻擊認(rèn)定提供依據(jù)。

為實現(xiàn)整個5G網(wǎng)絡(luò)抗DDoS攻擊，需要一個完備的動態(tài)防御體系，并建立安全模型和閉環(huán)流程，包括信息采集上報、安全策略決策、安全響應(yīng)與處置等。

·信息采集上報：需要針對網(wǎng)絡(luò)不同域、不同邏輯層部署采集功能，完成全網(wǎng)信息采集。

·威脅分析感知：通過大數(shù)據(jù)智能分析等手段，進(jìn)行海量信息的綜合處理，并利用安全威脅特征庫來分析識別安全威脅。

·安全策略決策：根據(jù)智能決策的理論、模型、方法，針對發(fā)生的安全威脅做出全面綜合科學(xué)的響應(yīng)決策。

·安全響應(yīng)與處置：根據(jù)響應(yīng)決策，研究實施響應(yīng)處置的方法，包括大容量威脅流量清洗、追蹤溯源等，能夠?qū)崟r完成威脅處置等。

3 結(jié)束語

5G架構(gòu)的革新使得5G網(wǎng)絡(luò)為eMBB、mMTC、uRLLC 3個主要應(yīng)用場景提供網(wǎng)絡(luò)服務(wù)變?yōu)榭赡?，也使得傳統(tǒng)電信網(wǎng)絡(luò)的安全防護體系面臨挑戰(zhàn)。為了滿足5G網(wǎng)絡(luò)自身防護需求，適應(yīng)垂直行業(yè)差異化安全需求，我們需要深度分析研究5G移動通信網(wǎng)絡(luò)及垂直行業(yè)帶來的新的網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)需求，甚至全新的生態(tài)系統(tǒng)，采用全新安全防護理念構(gòu)建全新的5G安全架構(gòu)，以實現(xiàn)對5G網(wǎng)絡(luò)從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)功能、業(yè)務(wù)服務(wù)、信任關(guān)系等多個維度全方位地進(jìn)行立體防護。

5G的應(yīng)用和需求也才剛剛展開，我們要緊密地結(jié)合個人用戶和行業(yè)用戶的核心安全訴求，重視產(chǎn)業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)業(yè)務(wù)和網(wǎng)絡(luò)安全建設(shè)，唯有如此，才可能讓5G使能垂直行業(yè)，實現(xiàn)安全可靠萬物互聯(lián)。

參考文獻(xiàn)

[1] 3GPP. Security Architecture and Procedures for 5G System： 3GPP TS 33.501[S]. 2019

[2] 3GPP. System Architecture for the 5G System： 3GPP TS 23.501[S]. 2019

[3] 陸平，李建華，趙維鐸. 5G在垂直行業(yè)中的應(yīng)用[J]. 中興通訊技術(shù)， 25（1）：67-74. DOI： 10.12142/ZTETJ.20190111

[4] IMT Vision - Framework and Overall Objectives of the Future Development of IMT for 2020 and Beyond[R]. ITU-R， 2015

[5] 5G網(wǎng)絡(luò)安全需求與架構(gòu)白皮書[R]. IMT-2020， 2017

[6] 5G-ENSURE_Deliverable D2.7 Security Architecture （Final） [R]. 5GPPP， 2017

[7] 基于SDN/NFV的電信網(wǎng)安全技術(shù)白皮書[R]. SDN/NFV產(chǎn)業(yè)聯(lián)盟， 2018

[8] 5G Security White Paper： Security Makes 5G Go Further[R]. GSMA， 2019

[9] 5G信息安全白皮書[R]. 未來移動通信論壇， 2017