面向垂直行業(yè)的5G安全能力與應用研究

邱 勤 冉 鵬 張 峰 王國宇

(中國移動通信集團有限公司 北京 100032)

(qiuqin@chinamobile.com)

1 安全需求

5G即第五代移動通信技術(5th generation mobile networks或5th generation wireless systems, 5th-Generation)，簡稱5G或5G技術，是繼4G(LTE，LTE-A，WiMax)、3G(WCDMA，TDS-CDMA，CDMA2000)和2G(GSM)系統(tǒng)之后的延伸.5G引入了服務化架構(service based architecture, SBA)、軟件定義網(wǎng)絡(SDN)、網(wǎng)絡功能虛擬化(NFV)、網(wǎng)絡切片(network slicing)、多接入邊緣計算(MEC)等新技術，具備高數(shù)據(jù)速率、低傳輸延遲和大規(guī)模設備連接等新特性,使得通信網(wǎng)絡具備更加豐富的應用場景，從傳統(tǒng)的人與人通信延伸覆蓋到人與物、物與物之間的智能互聯(lián)，是支撐數(shù)字經濟發(fā)展和產業(yè)轉型升級的關鍵基礎設施[1].當前，我國已建成5G基站70余萬個,成為全球規(guī)模最大的5G通信網(wǎng)絡[2]，5G在工業(yè)、能源、交通、醫(yī)療等行業(yè)的應用也處于加速發(fā)展階段，為各行業(yè)數(shù)字化轉型、降本增效發(fā)揮重要作用.5G行業(yè)應用面臨空口劫持、邊緣節(jié)點入侵、切片越權訪問、虛擬化網(wǎng)絡設施隔離不當?shù)葟碗s安全風險[3]，僅靠應用方自身開展安全防護往往孤木難支[4]，而且不能充分發(fā)揮5G網(wǎng)絡自身的安全優(yōu)勢.網(wǎng)絡提供方如何基于5G的網(wǎng)絡切片、網(wǎng)絡功能開放等技術為行業(yè)應用提供一站式、高效、靈活的安全服務能力成為業(yè)界關注的焦點[1].

5G行業(yè)應用的安全需求可大致分為網(wǎng)絡通用、行業(yè)特有2類(如表1所示)，前者提供與行業(yè)特點松耦合的網(wǎng)絡通用標準化安全能力，如接入安全認證、切片安全隔離等；后者從行業(yè)監(jiān)管要求、業(yè)務特點出發(fā)，提供與行業(yè)緊耦合的綜合解決方案，如5G智能電網(wǎng)安全解決方案、5G智慧港口安全解決方案等.

表1 典型的5G安全能力需求

2 技術標準

為滿足5G行業(yè)應用差異化、多層次的安全需求，相關標準組織在網(wǎng)絡基礎架構、安全關鍵能力和服務接口等方面積極開展工作，推動5G安全保障和應用服務，保障5G安全的互信互任.其中3GPP[5]主要針對5G網(wǎng)絡(系統(tǒng)、核心網(wǎng)、無線等)、5G業(yè)務安全認證、5G業(yè)務能力開放框架安全等方面規(guī)范了安全流程及機制；ITU針對通信即服務(CaaS)應用程序環(huán)境，提出身份欺詐、協(xié)調安全、多設備安全、反垃圾郵件、隱私保護、基礎設施攻擊、基礎設施攻擊、內部網(wǎng)攻擊等方面的安全要求；GSMA基于網(wǎng)絡切片，提供安全的必選特性和可選特性.

相關標準簡介如表2所示:

表2 5G安全能力相關標準

3 安全服務參考模型

基于標準定義的5G服務化架構，5G網(wǎng)絡在業(yè)務性能上具有動態(tài)按需、定制化、分級服務等級協(xié)議(service-level agreement, SLA)保障的特點.目前業(yè)界普遍認為5G網(wǎng)絡與應用服務提供商應適應5G網(wǎng)絡特點，構建可動態(tài)編排的安全服務架構，以滿足不同行業(yè)差異化的網(wǎng)絡安全需求.

在傳統(tǒng)高中語文作文教學中，教師作為教學主體，學生只能被動接受。學生寫好作文后，由教師一一審閱，教師雖是教學的引導者，但是教師作為一個個體，思想也有局限性，因此站在教師的角度和立場去評判所有學生的作文，未免太過片面，而不同的學生有不同的思想，不同思想的碰撞，會發(fā)出耀眼的光芒，所以應該開展學生之間的互相評審和自評，讓學生在自評和互評的過程中認識自己的不足。通過學生的探討，學習別人的長處，認識自己的短處，做到優(yōu)勢互補，共同進步。最后，教師和學生進行共同總結，為了以后更好地寫作。

本文通過分層解耦5G網(wǎng)絡安全能力，整合通用安全能力，提出基于微服務可動態(tài)編排的5G安全服務參考模型，如圖1所示:

圖1中安全運營模塊完成客戶運營管理、能力編排管理、數(shù)據(jù)統(tǒng)計等功能；5G網(wǎng)絡安全能力模塊包含切片認證、切片隔離、UPF防護、空口加密等網(wǎng)絡原生安全能力，并適配3GPP等國際標準；通用安全能力模塊包含數(shù)據(jù)識別、等保測評、DDoS防護等通用能力，該類能力對照關鍵基礎設施管理要求和等保2.0等標準，重點滿足網(wǎng)絡安全保障、網(wǎng)絡安全事件應急、數(shù)據(jù)安全保護等安全監(jiān)管要求.在部署方式上，該模型采用分布式技術承載安全知識庫、威脅情報庫等知識庫，以熱拔插方式引入通用安全能力，形成5G應用與數(shù)據(jù)安全能力池，并通過API+SaaS靈活擴展微服務化的5G內生安全能力和通用安全能力，為行業(yè)客戶提供可定制化、差異化的安全服務.

3.1 5G網(wǎng)絡安全能力

3.1.1 多層次鑒權認證能力

5G提供雙向鑒權認證機制，既可防止虛假終端或用戶接入網(wǎng)絡，也可防止終端或用戶接入虛假網(wǎng)絡；支持網(wǎng)絡切片認證機制，即在用戶接入網(wǎng)絡并完成認證之后，為接入特定業(yè)務建立數(shù)據(jù)通道而進行的認證；同時支持通過二次認證實現(xiàn)外部數(shù)據(jù)網(wǎng)絡的AAA服務器對與其有簽約關系的終端進行認證，根據(jù)認證是否成功來決定該終端是否被允許接入上述業(yè)務系統(tǒng).

3.1.2 端到端網(wǎng)絡切片隔離能力

基于縱深防御理念，提供從接入網(wǎng)、傳輸網(wǎng)、核心網(wǎng)的端到端網(wǎng)絡切片隔離微服務能力.其中在接入網(wǎng)側，通過物理資源承載(physical resource bearer, PRB)獨享、數(shù)據(jù)資源承載(data resource bearer, DRB)共享等方式提供切片服務；在傳輸網(wǎng)側，通過VLAN/VPN,FlexE等技術提供軟/硬隔離服務；在核心網(wǎng)側，對不同切片提供獨享硬件資源，對切片內不同業(yè)務提供虛擬機區(qū)分的邏輯隔離.

3.1.3 基于MEC的數(shù)據(jù)安全防護能力

針對越來越多的行業(yè)客戶對業(yè)務數(shù)據(jù)不出園區(qū)的安全要求，提供基于MEC的從終端到業(yè)務系統(tǒng)的端到端數(shù)據(jù)安全防護手段，確保僅合法終端接入，建立數(shù)據(jù)加密傳輸安全通道，保障MEP(邊緣計算平臺)自身數(shù)據(jù)安全.

3.2 通用安全能力

基于運營商增值業(yè)務體系，通過網(wǎng)絡切片，MEC為客戶提供安全服務能力，主要包括：

1) 在網(wǎng)絡側部署安全設備或者安全功能模塊.通過流調度的方式讓特定應用流量依次經過這些安全模塊，提供縱深防御.比如，運營商網(wǎng)絡可以為切片應用的入站流量依次提供抗DDoS攻擊、基于防火墻的訪問控制、IPS、WAF等功能.

2) 在資源豐富的MEC側部署安全資源池.通過安全能力資源池與MEC節(jié)點的UPF或網(wǎng)關設備對接以及策略路由或SDN方式實現(xiàn)對MEC本地流量及互聯(lián)網(wǎng)流量的安全檢測.運營商可提供防火墻、WAF、抗DDoS、系統(tǒng)漏掃、Web漏掃、物聯(lián)網(wǎng)卡風險監(jiān)測、不良信息監(jiān)控等開放安全能力.

4 面向垂直行業(yè)的安全實踐

4.1 業(yè)務背景

引入5G對港口進行高速、無線化改造，提供網(wǎng)絡切片、MEC下沉等網(wǎng)絡服務，對作業(yè)區(qū)域內設備信息、物流信息、運轉過程信息等進行數(shù)據(jù)采集、監(jiān)控和智能化分析.該應用安全要求高，需防范網(wǎng)絡攻擊、非法用戶訪問業(yè)務、信息泄露等風險，要求5G網(wǎng)絡運營商同步提供按需定制的安全服務，如圖2所示:

圖2 智慧港口5G安全服務能力集

4.2 安全能力供給

基于5G安全服務參考模型，運營商分別通過API，SaaS微服務方式向智慧港口行業(yè)提供定制化的安全服務.運營商的網(wǎng)絡安全能力(如網(wǎng)絡接入認證、二次認證等)由網(wǎng)絡開放功能NEF(network exposure function)以API方式提供給智慧港口行業(yè)應用開發(fā)者，應用開發(fā)者可在業(yè)務邏輯中按需調用.同時，在MEC側部署安全設備資源池(如：抗DDoS設備、IPS、WAF等)方式，基于軟件定義安全SDSec的理念，通過軟件編程方式調配安全設備資源，實現(xiàn)靈活的通用安全能力微服務化.

4.2.1 無線接入認證

開啟5G CPE和基站之間無線空口的機密性和完整性保護，CPE開啟和配置MAC/IP接入白名單，防止虛假終端接入CPE,支持網(wǎng)絡連接防火墻，使連接CPE的港區(qū)龍門吊、攝像頭等在享受網(wǎng)絡服務同時，控制網(wǎng)絡訪問權限.使用SUPI加密方式進行網(wǎng)絡鑒權，可有效防止終端/用戶標識ID泄露；對網(wǎng)絡切片接入場景，在安全上下文建立后5G可對切片選擇信息進行加密保護，防止切片選擇信息泄露.

4.2.2 MEC安全防護

根據(jù)港口業(yè)務場景，MEC需下沉至園區(qū)機房.針對MEP進行安全加固，加強MEP管理安全、數(shù)據(jù)存儲和傳輸安全，引入可信計算技術，從系統(tǒng)啟動到上層應用逐級驗證，構建可信MEP.MEC同時連接港口業(yè)務網(wǎng)絡、運營商核心網(wǎng)，采用邊界防御、內外部認證、隔離與加密等防護技術做好安全隔離.保障APP安全性，提供APP安全評估服務.通過軟件編程方式調配MEC側部署的安全資源池，并通過資源池與UPF或網(wǎng)關設備對接以及策略路由或SDN方式實現(xiàn)對MEC本地流量及互聯(lián)網(wǎng)流量的安全檢測.

4.2.3 網(wǎng)絡切片隔離

5G可為港口終端或用戶提供接入切片的認證，保障按終端請求及切片選擇輔助信息NSSAI接入授權切片；同時5G可對NSSAI提供隱私保護，保證合法用戶終端接入合法切片，并對非目標終端和網(wǎng)絡設備屏蔽相關信息.可為敏感數(shù)據(jù)開啟數(shù)據(jù)機密性、完整性保護機制，根據(jù)用戶需求，可以在終端與基站間、基站與AMF網(wǎng)元間、基站與UPF間、UPF與電力監(jiān)控系統(tǒng)間開啟IPsec加密機制.

4.2.4 安全運營

基于運營商專業(yè)的安全咨詢服務，協(xié)助港口用戶建立安全應急體系，完善網(wǎng)絡安全應急預案.協(xié)助開展實戰(zhàn)型網(wǎng)絡安全應急演練，提升網(wǎng)絡安全事件應急快速響應能力，降低網(wǎng)絡非正常運行對公共安全、港口業(yè)務的影響.

基于運營商專業(yè)的安全測評服務，針對港口終端、業(yè)務系統(tǒng)，提供安全測評服務，如：等保定級評估、等級保護能力評測、惡意代碼檢測、安全配置核查、安全加固、補丁升級等.

5 總 結

5G網(wǎng)絡在賦能千行百業(yè)的同時，也面臨關鍵基礎設施保護、垂直行業(yè)融合應用安全等新挑戰(zhàn)：一方面，國家主管部門對5G等關鍵信息基礎設施保護提出加快構建網(wǎng)絡安全保障體系[6]、全面加強網(wǎng)絡安全檢查、建立健全網(wǎng)絡安全事件應急工作機制、提高應對網(wǎng)絡安全事件的能力等要求；另一方面，不同行業(yè)對5G應用模式和安全需求差異較大，5G與制造、能源、交通等行業(yè)融合后面臨的安全風險更為復雜，需要運營商和專業(yè)安全機構提供符合5G特點的差異化安全服務保障能力.基于3GPP等標準定義的5G網(wǎng)絡及安全能力開放關鍵技術，不僅可以保障5G安全的互信互任，同時可以將運營商網(wǎng)絡的業(yè)務能力、網(wǎng)絡能力以及安全能力安全可靠地開放給第三方應用，使其按照各自的需求設計定制化的業(yè)務應用[7].

本文從5G安全需求和標準基礎出發(fā)，分析了5G網(wǎng)絡安全能力、通用安全能力，提出了基于微服務可動態(tài)編排的安全服務模型，介紹了該模型在5G智慧港口應用中的實踐情況，具有快速實現(xiàn)、按需定制、分級防護的特點，為發(fā)揮5G安全優(yōu)勢，保障行業(yè)應用健康發(fā)展提供技術、方案和實踐參考.