軟件定義5G通信網(wǎng)絡(luò)的虛擬化與切片安全

羅榕　曹進(jìn)　李暉

摘要：軟件定義網(wǎng)絡(luò)（SDN）的虛擬化與網(wǎng)絡(luò)切片能支持5G網(wǎng)絡(luò)多元服務(wù)及業(yè)務(wù)模型，并在功能、性能和安全保護(hù)方面提供差異化的技術(shù)方案。第3代合作伙伴計(jì)劃（3GPP）組織已經(jīng)深入研究了網(wǎng)絡(luò)切片并在各個(gè)方面對(duì)其進(jìn)行標(biāo)準(zhǔn)化。介紹了軟件定義5G網(wǎng)絡(luò)的虛擬化與切片的發(fā)展情況，分析了其中潛在的安全問(wèn)題與相應(yīng)的解決方案，并對(duì)網(wǎng)絡(luò)切片的安全研究方向和未來(lái)的技術(shù)發(fā)展進(jìn)行了展望。

關(guān)鍵詞：5G安全;網(wǎng)絡(luò)切片;SDN;網(wǎng)絡(luò)功能虛擬化

Abstract： Software-defined network （SDN） virtualization and network slicing can support 5G network multiple services and business models， and provide differentiated technical solutions in terms of functionality， performance and security. The 3rd Generation Partnership Project （3GPP） organization has delved into network slicing and standardized it in all aspects. In this paper， the development of virtualization and slicing of software-defined 5G networks are introduced， and the potential security issues and solutions are analyzed. Finally， the security research directions and future technology development of network slicing are put forward.

Key words： 5G security; network slice; SDN; network function virtualization

1 5G面臨的挑戰(zhàn)及網(wǎng)絡(luò)

切片技術(shù)簡(jiǎn)介

1.1 5G的發(fā)展與挑戰(zhàn)

2016年3月，第3代合作伙伴計(jì)劃（3GPP）組織啟動(dòng)R14 5G標(biāo)準(zhǔn)研究項(xiàng)目，5G技術(shù)標(biāo)準(zhǔn)研究全面啟動(dòng);2017年12月完成非獨(dú)立組網(wǎng)（NR）標(biāo)準(zhǔn);至2018年6月，3GPP組織確定了5G獨(dú)立組網(wǎng)（SR）功能凍結(jié)，標(biāo)志著5G的首個(gè)正式標(biāo)準(zhǔn)R15誕生。目前，5G已經(jīng)完成全功能標(biāo)準(zhǔn)化工作的第1階段。一些機(jī)構(gòu)已經(jīng)完成5G關(guān)鍵技術(shù)、R15技術(shù)標(biāo)準(zhǔn)和核心頻段等方面的技術(shù)驗(yàn)證，實(shí)驗(yàn)性商業(yè)網(wǎng)絡(luò)也已進(jìn)入實(shí)用測(cè)試階段，預(yù)計(jì)2020年正式推出商用服務(wù)。5G網(wǎng)絡(luò)可實(shí)現(xiàn)2G、3G、4G、WiFi等接入的無(wú)縫集成，提供超過(guò)10 Gbit/s的速度、低延遲、高可靠性、超高密度用戶容量、高移動(dòng)性等功能支持。

3GPP組織定義了5G服務(wù)描述及需求[1]，超過(guò)74項(xiàng)服務(wù)和技術(shù)要求被分為3大類：即增強(qiáng)移動(dòng)寬帶（eMBB）、海量機(jī)器類通信（mMTC）、高可靠低時(shí)延通信（uRLLC）。5G核心網(wǎng)能同時(shí)支持這些應(yīng)用場(chǎng)景，靈活性和適應(yīng)性是其關(guān)鍵特征。在5G時(shí)代，數(shù)千億臺(tái)設(shè)備將連接到網(wǎng)絡(luò)，但不同類型的設(shè)備和應(yīng)用場(chǎng)景具有不同的網(wǎng)絡(luò)要求，如何滿足同一網(wǎng)絡(luò)物理設(shè)施上的不同業(yè)務(wù)的服務(wù)質(zhì)量（QoS）要求是5G技術(shù)關(guān)鍵點(diǎn)。3GPP已經(jīng)為運(yùn)營(yíng)商定義了專用核心網(wǎng)絡(luò)功能，以部署支持高數(shù)據(jù)速率移動(dòng)寬帶和低數(shù)據(jù)速率窄帶（NB）物聯(lián)網(wǎng)等服務(wù)的網(wǎng)絡(luò);但靈活性的進(jìn)一步提高，需要通過(guò)網(wǎng)絡(luò)切片及相關(guān)技術(shù)來(lái)進(jìn)一步實(shí)現(xiàn)。

1.2 網(wǎng)絡(luò)切片技術(shù)簡(jiǎn)介

網(wǎng)絡(luò)切片指將底層公共物理網(wǎng)絡(luò)分成多個(gè)端到端（E2E）的邏輯網(wǎng)絡(luò)。這些邏輯網(wǎng)絡(luò)是相互隔離，獨(dú)立管理并且按照需求創(chuàng)建，即在邏輯上將物理基礎(chǔ)架構(gòu)內(nèi)的一組虛擬化網(wǎng)絡(luò)功能（VNF）分開(kāi)，以構(gòu)建專用和定制的虛擬邏輯網(wǎng)絡(luò)。網(wǎng)絡(luò)切片根據(jù)用戶需求調(diào)用不同的功能模塊，實(shí)現(xiàn)定制化的服務(wù)。目前網(wǎng)絡(luò)切片在物聯(lián)網(wǎng)、關(guān)鍵通信網(wǎng)、eMBB等場(chǎng)景下已得到廣泛運(yùn)用。

在切片之前，各類網(wǎng)絡(luò)資源需形成整體統(tǒng)一管理，再進(jìn)一步分割實(shí)現(xiàn)網(wǎng)絡(luò)切片。資源的統(tǒng)一和網(wǎng)絡(luò)的分割是基于軟件定義網(wǎng)絡(luò)（SDN）和網(wǎng)絡(luò)功能虛擬化（NFV）實(shí)現(xiàn)的。網(wǎng)絡(luò)切片包括橫向切片和縱向切片，首先橫向分為不同的虛擬網(wǎng)絡(luò)功能，然后根據(jù)服務(wù)需求對(duì)這些虛擬網(wǎng)絡(luò)功能進(jìn)行縱向切片以得到不同的網(wǎng)絡(luò)子切片[2]。網(wǎng)絡(luò)切片在5G網(wǎng)絡(luò)中部署示例如圖1所示，其中控制平面（CP）是傳送控制信令的通道，用戶平面（UP）是傳送用戶數(shù)據(jù)的通道。網(wǎng)絡(luò)切片由服務(wù)實(shí)例層、網(wǎng)絡(luò)實(shí)例層及資源層組成，每種服務(wù)由一個(gè)服務(wù)實(shí)例表示。服務(wù)運(yùn)營(yíng)商利用切片規(guī)劃生成網(wǎng)絡(luò)切片實(shí)例，切片實(shí)例則可以被多個(gè)服務(wù)實(shí)例所共享。網(wǎng)絡(luò)切片可以為5G環(huán)境下差異化需求的應(yīng)用場(chǎng)景提供靈活的適應(yīng)方案，但網(wǎng)絡(luò)切片實(shí)例的選擇/部署、切片資源的管理、隔離與切片的移動(dòng)性都存在一些安全問(wèn)題亟待解決。

2 網(wǎng)絡(luò)切片技術(shù)

2.1 SDN技術(shù)簡(jiǎn)介

作為網(wǎng)絡(luò)切片的支撐技術(shù)之一，SDN技術(shù)可實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)與控制分層，并設(shè)計(jì)了2個(gè)平面之間的開(kāi)放接口，實(shí)現(xiàn)網(wǎng)絡(luò)的靈活定義。SDN的概念最早由斯坦福大學(xué)的N. MCKEOWN教授所定義，它通過(guò)解耦網(wǎng)絡(luò)控制及網(wǎng)絡(luò)轉(zhuǎn)發(fā)，構(gòu)建開(kāi)放、易修改、可編程的網(wǎng)絡(luò)架構(gòu)體系，使網(wǎng)絡(luò)功能軟件化，為用戶提供開(kāi)放的網(wǎng)絡(luò)環(huán)境。其原理是將緊密綁定在單個(gè)網(wǎng)絡(luò)設(shè)備中的控制權(quán)遷移到可訪問(wèn)的計(jì)算設(shè)備，使底層基礎(chǔ)設(shè)施能夠?qū)?yīng)用程序和網(wǎng)絡(luò)服務(wù)進(jìn)行抽象，從而將網(wǎng)絡(luò)視為邏輯或虛擬實(shí)體。首次建立SDN邏輯架構(gòu)的、為負(fù)責(zé)定制SDN接口標(biāo)準(zhǔn)的開(kāi)放網(wǎng)絡(luò)基金會(huì)（ONF），在其發(fā)布SDN白皮書[3]中提出的SDN架構(gòu)被目前學(xué)術(shù)界和產(chǎn)業(yè)界普遍認(rèn)可。

如圖2所示，SDN架構(gòu)由3個(gè)平面組成，由下至上分別為基礎(chǔ)設(shè)施層、控制層及應(yīng)用層?；A(chǔ)設(shè)施層是由各類網(wǎng)絡(luò)設(shè)備構(gòu)成的底層網(wǎng)絡(luò)，可以是一組用于轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量的數(shù)據(jù)中心交換機(jī)和路由器，網(wǎng)絡(luò)虛擬化功能通過(guò)控制層的SDN控制器在該層進(jìn)行部署?？刂茖邮荢DN的控制平面，智能邏輯單元將部署于網(wǎng)絡(luò)控制設(shè)施上，業(yè)務(wù)邏輯在控制器中獲取和維護(hù)不同類型的網(wǎng)絡(luò)、狀態(tài)、拓?fù)洹⒔y(tǒng)計(jì)信息等。SDN控制器用于管理網(wǎng)絡(luò)，因此它必須具備現(xiàn)實(shí)網(wǎng)絡(luò)使用環(huán)境的控制單元，如交換機(jī)、路由器、2層虛擬專用網(wǎng)絡(luò)（VPN）、3層VPN、防火墻安全規(guī)則、域名系統(tǒng)（DNS）、動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）和群集等。控制層位于中間，開(kāi)放了北向和南向2種接口。北向接口用于與應(yīng)用層通信，通常通過(guò)SDN控制器的REST 應(yīng)用程序編程接口（API）實(shí)現(xiàn);南向接口用于與底層基礎(chǔ)設(shè)施層的網(wǎng)絡(luò)單元通信，通常通過(guò)南向協(xié)議，如OpenFlow、NetConf、開(kāi)放虛擬交換機(jī)數(shù)據(jù)庫(kù)（OVSDB）等實(shí)現(xiàn)。應(yīng)用層是利用網(wǎng)絡(luò)拓?fù)?、狀態(tài)、統(tǒng)計(jì)等網(wǎng)絡(luò)信息，開(kāi)發(fā)創(chuàng)新應(yīng)用程序的開(kāi)放區(qū)域。服務(wù)提供商可以開(kāi)發(fā)與網(wǎng)絡(luò)自動(dòng)化、網(wǎng)配置和管理、策略和安全等相關(guān)的應(yīng)用程序，并為實(shí)用企業(yè)和數(shù)據(jù)中心網(wǎng)絡(luò)提供各種端到端的解決方案。

SDN的目標(biāo)是集中網(wǎng)絡(luò)控制，提供更高的可視性和靈活性來(lái)管理網(wǎng)絡(luò)并優(yōu)化其性能[4]。與覆蓋網(wǎng)絡(luò)方案相比，SDN不僅能夠控制選定的一組節(jié)點(diǎn)，還能夠使用公共網(wǎng)絡(luò)傳輸數(shù)據(jù)。此外，SDN不需要網(wǎng)絡(luò)運(yùn)營(yíng)商暫時(shí)為特定的用例創(chuàng)建適當(dāng)?shù)母采w網(wǎng)絡(luò)。相反，它提供了一個(gè)固有的程序框架，用于托管集中開(kāi)發(fā)的控制和安全應(yīng)用程序，同時(shí)考慮到物聯(lián)網(wǎng)要求，確保用戶的體驗(yàn)質(zhì)量（QoE）。但正因?yàn)镾DN采用集中式控制機(jī)制，需由控制器集中完成路由設(shè)計(jì)。該機(jī)制適用于小規(guī)模網(wǎng)絡(luò)，大規(guī)模網(wǎng)絡(luò)下需要由多個(gè)控制器控制，因此SDN集中控制架構(gòu)在擴(kuò)展性、穩(wěn)定性方面仍存在較大的挑戰(zhàn)。此外，由于SDN的控制器開(kāi)源和開(kāi)放的特性，亟待建立一套隔離、防護(hù)機(jī)制來(lái)確保架構(gòu)安全穩(wěn)定的運(yùn)行，其中包括控制器自身的安全管控問(wèn)題，以及控制器與應(yīng)用層之間以及控制器和轉(zhuǎn)發(fā)設(shè)備之間安全通信問(wèn)題。

2.2 NFV技術(shù)簡(jiǎn)介

當(dāng)前的網(wǎng)絡(luò)服務(wù)依賴于專用設(shè)備和網(wǎng)絡(luò)設(shè)備，這會(huì)導(dǎo)致網(wǎng)絡(luò)骨化問(wèn)題[5]，阻礙服務(wù)添加、更新和網(wǎng)絡(luò)升級(jí)。為解決該問(wèn)題并降低資本支出和運(yùn)營(yíng)成本，歐洲電信標(biāo)準(zhǔn)化組織（ETSI）提出了NFV [6]來(lái)虛擬化由某些專有、專用硬件設(shè)施執(zhí)行的網(wǎng)絡(luò)功能，旨在提高部署靈活性和新網(wǎng)絡(luò)服務(wù)的集成度，提高運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)的靈活性。

NFV本質(zhì)是將網(wǎng)絡(luò)功能從基于專用硬件的獨(dú)立空間定位到在云環(huán)境中運(yùn)行的軟件設(shè)備或通用商用服務(wù)器上。通過(guò)使用NFV，每個(gè)傳統(tǒng)網(wǎng)絡(luò)功能（NF）生成1：1映射模型在虛擬機(jī)（VM）上運(yùn)行，或者被分解為虛擬網(wǎng)絡(luò)功能組件（VNFC）在多個(gè)VM上運(yùn)行，如1：N映射模型。NFV邏輯架構(gòu)如圖3所示，VNF為NF的實(shí)現(xiàn)，在NFV設(shè)施上部署和執(zhí)行。NFV設(shè)施由虛擬資源組成，虛擬資源通過(guò)虛擬化層從底層硬件資源（計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)）抽象和邏輯分區(qū)形成。NFV管理和協(xié)調(diào)器負(fù)責(zé)編排和管理VNF。NFV協(xié)調(diào)器負(fù)責(zé)網(wǎng)絡(luò)服務(wù)生命周期管理及新網(wǎng)絡(luò)服務(wù)的加入等。此外，NFV管理和協(xié)調(diào)器還允許與外部運(yùn)營(yíng)和業(yè)務(wù)支持系統(tǒng)集成。

SDN和NFV由不同的社區(qū)和組織推廣，它們有許多共同屬性并高度互補(bǔ)。NFV可以通過(guò)虛擬化SDN元素在云中運(yùn)行來(lái)服務(wù)SDN，從而允許這些組件動(dòng)態(tài)遷移到它們的最佳位置。SDN則通過(guò)在VNF之間提供可編程網(wǎng)絡(luò)連接從而服務(wù)NFV，以實(shí)現(xiàn)優(yōu)化的流量工程和轉(zhuǎn)向[5]。SDN和NFV框架并不相互依賴，NFV可以在沒(méi)有SDN的情況下完成虛擬化和部署網(wǎng)絡(luò)功能，反之亦然。圖3中也給出了將SDN元素映射到NFV架構(gòu)框架的示例，SDN元素可以位于NFV框架中的不同位置。SDN和NFV的結(jié)合實(shí)現(xiàn)了網(wǎng)絡(luò)功能的動(dòng)態(tài)、靈活部署和按需擴(kuò)展，這是未來(lái)移動(dòng)分組核心向5G系統(tǒng)發(fā)展所必需的。這些特征也促進(jìn)了網(wǎng)絡(luò)切片和服務(wù)功能鏈的進(jìn)一步發(fā)展。

3 5G網(wǎng)絡(luò)切片安全問(wèn)題及

解決方案

3.1 安全問(wèn)題概述

由于網(wǎng)絡(luò)切片之間的資源共享性和網(wǎng)絡(luò)可編程性的接口的開(kāi)放性，網(wǎng)絡(luò)切片安全給5G發(fā)展帶來(lái)挑戰(zhàn)。各類服務(wù)的網(wǎng)絡(luò)切片可能具有不同的安全需求并采用差異化的安全協(xié)議和機(jī)制。此外，當(dāng)在不同管理域的基礎(chǔ)設(shè)施上執(zhí)行網(wǎng)絡(luò)切片時(shí)，網(wǎng)絡(luò)切片安全協(xié)議和方案的設(shè)計(jì)變得更加復(fù)雜[7]。3GPP已經(jīng)對(duì)5G中的網(wǎng)絡(luò)切片及虛擬化技術(shù)的安全問(wèn)題進(jìn)行分析[8-9]，并提出各類問(wèn)題的解決方案建議，例如3GPP組織提出了5G二次認(rèn)證機(jī)制以實(shí)現(xiàn)切片特定的認(rèn)證和授權(quán)[10]。在網(wǎng)絡(luò)切片及虛擬化方面存在以下關(guān)鍵安全問(wèn)題需要研究。

（1）管理接口的訪問(wèn)授權(quán)保護(hù)方案。網(wǎng)絡(luò)切片支持運(yùn)營(yíng)商為客戶提供定制服務(wù)，通信服務(wù)運(yùn)營(yíng)商/通信服務(wù)管理功能（CSP/CSMF）將服務(wù)需求轉(zhuǎn)換為與網(wǎng)絡(luò)切片需求，并通過(guò)切片管理接口通知運(yùn)營(yíng)商網(wǎng)絡(luò)的網(wǎng)絡(luò)切片管理功能（NSMF）。由于切片管理接口傳輸了大量的切片管理消息，例如激活、停止、修改、刪除網(wǎng)絡(luò)片實(shí)例產(chǎn)生的消息，因此需要對(duì)切片管理接口進(jìn)行安全保護(hù)。保證只有授權(quán)對(duì)象才能創(chuàng)建、更改和刪除網(wǎng)絡(luò)切片實(shí)例，通信服務(wù)用戶（CSC）和接入網(wǎng)絡(luò)之間的相互認(rèn)證和密鑰協(xié)商也需要設(shè)置在連接到切片管理接口之前。運(yùn)營(yíng)商可以為用戶提供切片即服務(wù)（NSaaS）中描述的定制服務(wù)[11]，CSC可能需要指定網(wǎng)絡(luò)切片特征，并且希望管理網(wǎng)絡(luò)片，故CSC與CSP之間需要安全的協(xié)商通道。此外，應(yīng)設(shè)計(jì)數(shù)據(jù)完整性和機(jī)密性保護(hù)機(jī)制以保障切片管理消息的安全性。

（2）切片實(shí)例管理及反饋消息的安全保護(hù)。在網(wǎng)絡(luò)切片實(shí)例（NSI）的管理操作期間，監(jiān)管和性能報(bào)告可以觸發(fā)修改NSI[12]，篡改的結(jié)果可能導(dǎo)致危害性或不適當(dāng)?shù)腘SI修改，例如NSI成分的創(chuàng)建或修改，因此保護(hù)監(jiān)管報(bào)告數(shù)據(jù)的完整性非常重要。此外，還需要保護(hù)監(jiān)督和報(bào)告數(shù)據(jù)的機(jī)密性，因?yàn)槿绻畔⒁悦魑男问桨l(fā)送，則攻擊者能夠提取如切片拓?fù)浣Y(jié)構(gòu)等敏感信息。

（3）網(wǎng)絡(luò)切片子網(wǎng)模板（NSST）的安全保護(hù)。在創(chuàng)建切片實(shí)例期間將使用NSST[8]，模板描述了該切片的組成、連接結(jié)構(gòu)和網(wǎng)絡(luò)切片子網(wǎng)的配置，以及基于模板的配置實(shí)例所需的網(wǎng)絡(luò)能力和其他有效信息。應(yīng)保障NSST的保密性并檢測(cè)可能創(chuàng)建受損NSI的篡改模板，以防攻擊者獲取有關(guān)正在運(yùn)行的NSI的拓?fù)浜团渲玫让舾行畔ⅰ＿€應(yīng)驗(yàn)證模板的來(lái)源及保護(hù)模板的正確性、完整性，以防非法成員提供偽造或篡改的NSST，導(dǎo)致切片實(shí)例的創(chuàng)建錯(cuò)誤或失敗。

3.2 網(wǎng)絡(luò)切片安全保護(hù)方案

針對(duì)以上潛在威脅，3GPP提出了5G網(wǎng)絡(luò)切片及虛擬化中管理、部署、接口通信和安全程序方案[8-12]。在CSMF和NSMF的相互認(rèn)證建議采用基于安全傳輸層協(xié)議（TLS）的客戶端和服務(wù)器證書，或基于TLS-相移鍵控（PSK）的預(yù)共享密鑰，其中PSK的密鑰分發(fā)方案取決于運(yùn)營(yíng)商的安全策略。訪問(wèn)管理功能（MF）的授權(quán)是基于OAuth架構(gòu)實(shí)現(xiàn)的，該方案能提供適用于關(guān)鍵問(wèn)題（1）、（2）和（3）的一般授權(quán)過(guò)程，實(shí)現(xiàn)了NSI中監(jiān)管和性能報(bào)告、NSST及切片特征協(xié)商過(guò)程的安全保護(hù)。

同時(shí)，也有許多學(xué)者提出一些新技術(shù)支撐的切片安全保護(hù)方案。為在多運(yùn)營(yíng)商切片創(chuàng)建過(guò)程中相互建立運(yùn)營(yíng)商之間的信任關(guān)系，J. BACKMAN等人[13]提出了區(qū)塊鏈切片租賃的概念，在區(qū)塊鏈中使用5G網(wǎng)絡(luò)切片代理來(lái)簡(jiǎn)化服務(wù)創(chuàng)建過(guò)程，并幫助制造設(shè)備自主獲取相關(guān)切片。HAN B.[14]等人基于遺傳算法，將切片管理策略轉(zhuǎn)為二進(jìn)制序列以適應(yīng)切片請(qǐng)求及決策方案，提出了一種長(zhǎng)期在線切片安全管理方案。為明確定義5G網(wǎng)絡(luò)切片服務(wù)的安全性差異，NIU B.等人[15]給出了網(wǎng)絡(luò)切片信任度方案，并提供了信任度計(jì)算模型，其中網(wǎng)絡(luò)切片信任值可以分為：網(wǎng)絡(luò)切片主觀信任值、網(wǎng)絡(luò)切片歷史信任值和獎(jiǎng)懲值，由網(wǎng)絡(luò)切片管理器根據(jù)不同的安全要求計(jì)算得到。P. SCHNEIDER等人[16]為高敏感的第三方服務(wù)提供了5G移動(dòng)網(wǎng)絡(luò)切片安全隔離模型。ZHANG Y.等人[17-19]分別利用消息認(rèn)證碼、同態(tài)簽名以及聚合簽名提出了適用于5G智能電網(wǎng)及車聯(lián)網(wǎng)切片隱私感知功率注入方案。NI J.等人[20]基于組簽名技術(shù)提出了一個(gè)網(wǎng)絡(luò)切片和面向服務(wù)的認(rèn)證框架，通過(guò)集成網(wǎng)絡(luò)切片，用戶可以與5G運(yùn)營(yíng)商和物聯(lián)網(wǎng)服務(wù)提供商建立信任，在切片上發(fā)送服務(wù)數(shù)據(jù)。目前中國(guó)缺乏切片安全保護(hù)相關(guān)機(jī)制的研究，仍有很多安全問(wèn)題亟待解決。

3.3 5G網(wǎng)絡(luò)切片安全研究趨勢(shì)

盡管3GPP組織及行業(yè)研究者提出了以上的網(wǎng)絡(luò)切片安全解決方案，但在網(wǎng)絡(luò)切片安全中還有一些關(guān)鍵問(wèn)題需要后續(xù)研究，以下為部分關(guān)鍵問(wèn)題：

（1）針對(duì)不同類型的網(wǎng)絡(luò)切片的差異化安全保護(hù)機(jī)制。不同類型服務(wù)的切片可能具有不同的安全需求，并且需要為網(wǎng)絡(luò)切片之間提供安全隔離，以防攻擊擴(kuò)散至多個(gè)切片，因此同時(shí)為差異化網(wǎng)絡(luò)切片提供不同級(jí)別的安全保護(hù)是一個(gè)關(guān)鍵問(wèn)題。此外，用戶可以通過(guò)無(wú)線網(wǎng)絡(luò)同時(shí)訪問(wèn)多個(gè)核心網(wǎng)絡(luò)切片;但某些切片可能是矛盾的，應(yīng)設(shè)計(jì)訪問(wèn)控制機(jī)制能夠限制2種矛盾服務(wù)的并行提供。此外，有必要采用差異化的切片認(rèn)證機(jī)制來(lái)滿足特定的安全級(jí)別和QoS要求。由二次認(rèn)證機(jī)制提供的可擴(kuò)展的身份驗(yàn)證協(xié)議（EAP）框架可以兼容各種不同的認(rèn)證方法。但若在EAP架構(gòu)中的不同切片服務(wù)中采用多種獨(dú)立的認(rèn)證機(jī)制，會(huì)增加系統(tǒng)的復(fù)雜性，并可能導(dǎo)致計(jì)算存儲(chǔ)資源有限的終端的大量能量消耗。因此，需要通用、安全且可靈活解構(gòu)組合的身份認(rèn)證框架，以便為5G網(wǎng)絡(luò)中的切片服務(wù)提供全面和細(xì)粒度的支持。

（2）針對(duì)大規(guī)模切片安全管理機(jī)制。隨著5G服務(wù)種類的多樣化與細(xì)粒度劃分，網(wǎng)絡(luò)切片的數(shù)量也將急劇增長(zhǎng)，甚至將加入大量的“微切片”，因此需要設(shè)計(jì)適合大規(guī)模網(wǎng)絡(luò)切片的高效安全管理機(jī)制。網(wǎng)絡(luò)切片可以根據(jù)提供服務(wù)的特征進(jìn)行劃分，在提供相同特征的前提下，還可以進(jìn)一步通過(guò)切片對(duì)用戶進(jìn)行分組。在同一組切片內(nèi)，網(wǎng)絡(luò)切片可以協(xié)同服務(wù)于用戶，以實(shí)現(xiàn)信令和服務(wù)優(yōu)化，設(shè)計(jì)相應(yīng)的組認(rèn)證、組安全管理和組成員更新機(jī)制可以提高管理效率。其中，3GPP組織所提出的切片認(rèn)證即二次認(rèn)證方案只能適用于單用戶的一或多切片的認(rèn)證，并需要較多的信令傳輸開(kāi)銷。當(dāng)大規(guī)模用戶并發(fā)請(qǐng)求切片認(rèn)證或授權(quán)時(shí)，可能會(huì)造成信令擁塞，因此也需研究針對(duì)大規(guī)模切片群認(rèn)證方案。

（3）適應(yīng)于演進(jìn)分組核心網(wǎng)（EPC）和5G核心網(wǎng)（5GC）之間安全切換及安全互連機(jī)制。如果用戶已經(jīng)在EPC中建立了一組活動(dòng)的分組數(shù)據(jù)網(wǎng)絡(luò)（PDN）連接時(shí)，用戶已經(jīng)由核心網(wǎng)分配相應(yīng)的單切片選擇輔助信息（S-NSSAI），那么當(dāng)用戶從EPC移動(dòng)到5GC時(shí)，與PDN連接有關(guān)的所有切片仍然需要在用戶和接入/移動(dòng)管理功能（AMF）之間服務(wù)，反之亦然。因此，應(yīng)在EPC中的移動(dòng)管理實(shí)體（MME）和5GC中的AMF之間設(shè)計(jì)相應(yīng)的安全切換認(rèn)證及通信保護(hù)機(jī)制，以確保切片實(shí)現(xiàn)無(wú)縫移動(dòng)性。

4 結(jié)束語(yǔ)

5G移動(dòng)網(wǎng)絡(luò)即將啟動(dòng)商用，網(wǎng)絡(luò)虛擬化及軟件定義的網(wǎng)絡(luò)切片可以很好地提高5G差異化服務(wù)部署的靈活性和開(kāi)放性。3GPP組織一直致力于對(duì)網(wǎng)絡(luò)切片管理及應(yīng)用進(jìn)行全面的標(biāo)準(zhǔn)化，強(qiáng)調(diào)、分析了其中潛在的安全威脅，研究者也在積極參與5G網(wǎng)絡(luò)切片安全問(wèn)題的研究，并提出一些建議的解決方案;但是目前仍存在大量的安全問(wèn)題需要進(jìn)一步關(guān)注、研究和解決。

參考文獻(xiàn)

[1] 3GPP. Technical Specification Group Services and System Aspects; Feasibility Study on New Services and Markets Technology Enablers for Critical Communications; Stage 1 （Rel 14）： 3GPP TR 22.862 V14.1.0[S]. 2016

[2] GUAN W Q， WEN X M， WANG L H， et al. A Service-Oriented Deployment Policy of End-To-End Network Slicing Based on Complex Network Theory[J]. IEEE Access， 2018， （6）： 19691. DOI：10.1109/access.2018.2822398

[3] Open Networking Foundation. Software-Defined Networking： The New Norm for Networks. ONF White Paper [EB/OL].（ 2012-10-15）[2019-05-20]. https：//www.opennetworking.org/images/stories/downloads/sdn-resources/white-papers/wp-sdn-newnorm.pdf

[4] BANNOUR F， SOUIHI S， MELLOUK A. Distributed SDN Control： Survey， Taxonomy， and Challenges[J]. IEEE Communications Surveys & Tutorials， 2018， 20（1）： 333. DOI：10.1109/comst.2017.2782482

[5] LI Y， CHEN M. Software-Defined Network Function Virtualization： A Survey[J]. IEEE Access， 2015， （3）： 2542. DOI： 10.1109/ACCESS.2015.2499271

[6] ETSI. Network functions virtualisation. NFV White Paper [EB/OL]. （2012-11）[2019-05-20]. http：//portal.etsi.org/NFV/NFV_White_Paper.pdf

[7] LI X， SAMAKA M， CHAN H A， et al. Network Slicing for 5G： Challenges and Opportunities[J]. IEEE Internet Computing， 2017， 21（5）： 20. DOI：10.1109/mic.2017.3481355

[8] 3GPP. Technical Specification Group Services and System Aspects; Telecommunication Management; Study on Management and Orchestration of Network Slicing for Next Generation Network （Rel 15）： 3GPP TR 28.801 V15.1.0[S]. 2018

[9] 3GPP. Technical Specification Group Services and System Aspects; Study on Security Aspects of 5G Network Slicing Management （Rel 15）： 3GPP TR 33.811 V15.0.0[S]. 2018

[10] 3GPP. Technical Specification Group Services and System Aspects; Study on Enhancement of Network Slicing （Rel 16）： 3GPP TR 23.740 V0.5.0[S]. 2018

[11] 3GPP. Technical Specification Group Services and System Aspects; Management and Orchestration; Concepts， Use Cases and Requirements （Rel 15）： 3GPP TS 28.530 V15.1.0[S]. 2018

[12] 3GPP. Technical Specification Group Services and System Aspects; Management and Orchestration; Provisioning （Rel 16）： 3GPP TS 28.531 V16.1.0[S]. 2019

[13] BACKMAN J， YRJOLA S， VALTANEN K， et al. Blockchain Network Slice Broker in 5G： Slice Leasing in Factory of the Future Use Case[C]//2017 Internet of Things Business Models， Users， and Networks. USA： IEEE， 2017. DOI：10.1109/ctte.2017.8260929

[14] HAN B， JI L H， SCHOTTEN H D. Slice as an Evolutionary Service： Genetic Optimization for Inter-Slice Resource Management in 5G Networks[J]. IEEE Access， 2018， （6）： 33137. DOI：10.1109/access.2018.2846543

[15] NIU B， YOU W， TANG H B， et al. 5G Network Slice Security Trust Degree Calculation Model[C]//2017 3rd IEEE International Conference on Computer and Communications （ICCC）. USA： IEEE， 2017. DOI：10.1109/compcomm.2017.8322724

[16] SCHNEIDER P， MANNWEILER C， KERBOEUF S. Providing Strong 5G Mobile Network Slice Isolation for Highly Sensitive Third-Party Services[C]//2018 IEEE Wireless Communications and Networking Conference （WCNC） 2018. USA： IEEE， 2018. DOI：10.1109/wcnc.2018.8377166

[17] ZHANG Y， ZHAO J， ZHENG D. Efficient and Privacy-Aware Power Injection over AMI and Smart Grid Slice in Future 5G Networks[J]. Mobile Information Systems， 2017： 1-11. DOI： 10.1155/2017/3680671

[18] ZHANG Y H， ZHENG D， ZHAO Q L， et al. PADA： Privacy-Aware Data Aggregation with Efficient Communication for Power Injection in 5G Smart Grid Slice[C]//2017 International Conference on Networking and Network Applications （NaNA）. USA： IEEE， 2017. DOI：10.1109/nana.2017.26

[19] ZHANG Y H， LI J， ZHENG D， et al. Privacy-Preserving Communication and Power Injection over Vehicle Networks and 5G Smart Grid Slice[J]. Journal of Network and Computer Applications， 2018， （122）： 50. DOI：10.1016/j.jnca.2018.07.017

[20] NI J， LIN X.， SHEN X S. Efficient and Secure Service-Oriented Authentication Supporting Network Slicing for 5G-Enabled IoT[J]. IEEE Journal on Selected Areas in Communications， 2018， 36（3）， 644-657. DOI： 10.1109/JSAC.2018.2815418