邱 勤 冉 鵬 張 峰 王國宇
(中國移動通信集團有限公司 北京 100032)
(qiuqin@chinamobile.com)
5G即第五代移動通信技術(5th generation mobile networks或5th generation wireless systems, 5th-Generation),簡稱5G或5G技術,是繼4G(LTE,LTE-A,WiMax)、3G(WCDMA,TDS-CDMA,CDMA2000)和2G(GSM)系統(tǒng)之后的延伸.5G引入了服務化架構(service based architecture, SBA)、軟件定義網(wǎng)絡(SDN)、網(wǎng)絡功能虛擬化(NFV)、網(wǎng)絡切片(network slicing)、多接入邊緣計算(MEC)等新技術,具備高數(shù)據(jù)速率、低傳輸延遲和大規(guī)模設備連接等新特性,使得通信網(wǎng)絡具備更加豐富的應用場景,從傳統(tǒng)的人與人通信延伸覆蓋到人與物、物與物之間的智能互聯(lián),是支撐數(shù)字經濟發(fā)展和產業(yè)轉型升級的關鍵基礎設施[1].當前,我國已建成5G基站70余萬個,成為全球規(guī)模最大的5G通信網(wǎng)絡[2],5G在工業(yè)、能源、交通、醫(yī)療等行業(yè)的應用也處于加速發(fā)展階段,為各行業(yè)數(shù)字化轉型、降本增效發(fā)揮重要作用.5G行業(yè)應用面臨空口劫持、邊緣節(jié)點入侵、切片越權訪問、虛擬化網(wǎng)絡設施隔離不當?shù)葟碗s安全風險[3],僅靠應用方自身開展安全防護往往孤木難支[4],而且不能充分發(fā)揮5G網(wǎng)絡自身的安全優(yōu)勢.網(wǎng)絡提供方如何基于5G的網(wǎng)絡切片、網(wǎng)絡功能開放等技術為行業(yè)應用提供一站式、高效、靈活的安全服務能力成為業(yè)界關注的焦點[1].
5G行業(yè)應用的安全需求可大致分為網(wǎng)絡通用、行業(yè)特有2類(如表1所示),前者提供與行業(yè)特點松耦合的網(wǎng)絡通用標準化安全能力,如接入安全認證、切片安全隔離等;后者從行業(yè)監(jiān)管要求、業(yè)務特點出發(fā),提供與行業(yè)緊耦合的綜合解決方案,如5G智能電網(wǎng)安全解決方案、5G智慧港口安全解決方案等.
表1 典型的5G安全能力需求
為滿足5G行業(yè)應用差異化、多層次的安全需求,相關標準組織在網(wǎng)絡基礎架構、安全關鍵能力和服務接口等方面積極開展工作,推動5G安全保障和應用服務,保障5G安全的互信互任.其中3GPP[5]主要針對5G網(wǎng)絡(系統(tǒng)、核心網(wǎng)、無線等)、5G業(yè)務安全認證、5G業(yè)務能力開放框架安全等方面規(guī)范了安全流程及機制;ITU針對通信即服務(CaaS)應用程序環(huán)境,提出身份欺詐、協(xié)調安全、多設備安全、反垃圾郵件、隱私保護、基礎設施攻擊、基礎設施攻擊、內部網(wǎng)攻擊等方面的安全要求;GSMA基于網(wǎng)絡切片,提供安全的必選特性和可選特性.
相關標準簡介如表2所示:
表2 5G安全能力相關標準
基于標準定義的5G服務化架構,5G網(wǎng)絡在業(yè)務性能上具有動態(tài)按需、定制化、分級服務等級協(xié)議(service-level agreement, SLA)保障的特點.目前業(yè)界普遍認為5G網(wǎng)絡與應用服務提供商應適應5G網(wǎng)絡特點,構建可動態(tài)編排的安全服務架構,以滿足不同行業(yè)差異化的網(wǎng)絡安全需求.
在傳統(tǒng)高中語文作文教學中,教師作為教學主體,學生只能被動接受。學生寫好作文后,由教師一一審閱,教師雖是教學的引導者,但是教師作為一個個體,思想也有局限性,因此站在教師的角度和立場去評判所有學生的作文,未免太過片面,而不同的學生有不同的思想,不同思想的碰撞,會發(fā)出耀眼的光芒,所以應該開展學生之間的互相評審和自評,讓學生在自評和互評的過程中認識自己的不足。通過學生的探討,學習別人的長處,認識自己的短處,做到優(yōu)勢互補,共同進步。最后,教師和學生進行共同總結,為了以后更好地寫作。
本文通過分層解耦5G網(wǎng)絡安全能力,整合通用安全能力,提出基于微服務可動態(tài)編排的5G安全服務參考模型,如圖1所示:
圖1中安全運營模塊完成客戶運營管理、能力編排管理、數(shù)據(jù)統(tǒng)計等功能;5G網(wǎng)絡安全能力模塊包含切片認證、切片隔離、UPF防護、空口加密等網(wǎng)絡原生安全能力,并適配3GPP等國際標準;通用安全能力模塊包含數(shù)據(jù)識別、等保測評、DDoS防護等通用能力,該類能力對照關鍵基礎設施管理要求和等保2.0等標準,重點滿足網(wǎng)絡安全保障、網(wǎng)絡安全事件應急、數(shù)據(jù)安全保護等安全監(jiān)管要求.在部署方式上,該模型采用分布式技術承載安全知識庫、威脅情報庫等知識庫,以熱拔插方式引入通用安全能力,形成5G應用與數(shù)據(jù)安全能力池,并通過API+SaaS靈活擴展微服務化的5G內生安全能力和通用安全能力,為行業(yè)客戶提供可定制化、差異化的安全服務.
3.1.1 多層次鑒權認證能力
5G提供雙向鑒權認證機制,既可防止虛假終端或用戶接入網(wǎng)絡,也可防止終端或用戶接入虛假網(wǎng)絡;支持網(wǎng)絡切片認證機制,即在用戶接入網(wǎng)絡并完成認證之后,為接入特定業(yè)務建立數(shù)據(jù)通道而進行的認證;同時支持通過二次認證實現(xiàn)外部數(shù)據(jù)網(wǎng)絡的AAA服務器對與其有簽約關系的終端進行認證,根據(jù)認證是否成功來決定該終端是否被允許接入上述業(yè)務系統(tǒng).
3.1.2 端到端網(wǎng)絡切片隔離能力
基于縱深防御理念,提供從接入網(wǎng)、傳輸網(wǎng)、核心網(wǎng)的端到端網(wǎng)絡切片隔離微服務能力.其中在接入網(wǎng)側,通過物理資源承載(physical resource bearer, PRB)獨享、數(shù)據(jù)資源承載(data resource bearer, DRB)共享等方式提供切片服務;在傳輸網(wǎng)側,通過VLAN/VPN,FlexE等技術提供軟/硬隔離服務;在核心網(wǎng)側,對不同切片提供獨享硬件資源,對切片內不同業(yè)務提供虛擬機區(qū)分的邏輯隔離.
3.1.3 基于MEC的數(shù)據(jù)安全防護能力
針對越來越多的行業(yè)客戶對業(yè)務數(shù)據(jù)不出園區(qū)的安全要求,提供基于MEC的從終端到業(yè)務系統(tǒng)的端到端數(shù)據(jù)安全防護手段,確保僅合法終端接入,建立數(shù)據(jù)加密傳輸安全通道,保障MEP(邊緣計算平臺)自身數(shù)據(jù)安全.
基于運營商增值業(yè)務體系,通過網(wǎng)絡切片,MEC為客戶提供安全服務能力,主要包括:
1) 在網(wǎng)絡側部署安全設備或者安全功能模塊.通過流調度的方式讓特定應用流量依次經過這些安全模塊,提供縱深防御.比如,運營商網(wǎng)絡可以為切片應用的入站流量依次提供抗DDoS攻擊、基于防火墻的訪問控制、IPS、WAF等功能.
2) 在資源豐富的MEC側部署安全資源池.通過安全能力資源池與MEC節(jié)點的UPF或網(wǎng)關設備對接以及策略路由或SDN方式實現(xiàn)對MEC本地流量及互聯(lián)網(wǎng)流量的安全檢測.運營商可提供防火墻、WAF、抗DDoS、系統(tǒng)漏掃、Web漏掃、物聯(lián)網(wǎng)卡風險監(jiān)測、不良信息監(jiān)控等開放安全能力.
引入5G對港口進行高速、無線化改造,提供網(wǎng)絡切片、MEC下沉等網(wǎng)絡服務,對作業(yè)區(qū)域內設備信息、物流信息、運轉過程信息等進行數(shù)據(jù)采集、監(jiān)控和智能化分析.該應用安全要求高,需防范網(wǎng)絡攻擊、非法用戶訪問業(yè)務、信息泄露等風險,要求5G網(wǎng)絡運營商同步提供按需定制的安全服務,如圖2所示:
圖2 智慧港口5G安全服務能力集
基于5G安全服務參考模型,運營商分別通過API,SaaS微服務方式向智慧港口行業(yè)提供定制化的安全服務.運營商的網(wǎng)絡安全能力(如網(wǎng)絡接入認證、二次認證等)由網(wǎng)絡開放功能NEF(network exposure function)以API方式提供給智慧港口行業(yè)應用開發(fā)者,應用開發(fā)者可在業(yè)務邏輯中按需調用.同時,在MEC側部署安全設備資源池(如:抗DDoS設備、IPS、WAF等)方式,基于軟件定義安全SDSec的理念,通過軟件編程方式調配安全設備資源,實現(xiàn)靈活的通用安全能力微服務化.
4.2.1 無線接入認證
開啟5G CPE和基站之間無線空口的機密性和完整性保護,CPE開啟和配置MAC/IP接入白名單,防止虛假終端接入CPE,支持網(wǎng)絡連接防火墻,使連接CPE的港區(qū)龍門吊、攝像頭等在享受網(wǎng)絡服務同時,控制網(wǎng)絡訪問權限.使用SUPI加密方式進行網(wǎng)絡鑒權,可有效防止終端/用戶標識ID泄露;對網(wǎng)絡切片接入場景,在安全上下文建立后5G可對切片選擇信息進行加密保護,防止切片選擇信息泄露.
4.2.2 MEC安全防護
根據(jù)港口業(yè)務場景,MEC需下沉至園區(qū)機房.針對MEP進行安全加固,加強MEP管理安全、數(shù)據(jù)存儲和傳輸安全,引入可信計算技術,從系統(tǒng)啟動到上層應用逐級驗證,構建可信MEP.MEC同時連接港口業(yè)務網(wǎng)絡、運營商核心網(wǎng),采用邊界防御、內外部認證、隔離與加密等防護技術做好安全隔離.保障APP安全性,提供APP安全評估服務.通過軟件編程方式調配MEC側部署的安全資源池,并通過資源池與UPF或網(wǎng)關設備對接以及策略路由或SDN方式實現(xiàn)對MEC本地流量及互聯(lián)網(wǎng)流量的安全檢測.
4.2.3 網(wǎng)絡切片隔離
5G可為港口終端或用戶提供接入切片的認證,保障按終端請求及切片選擇輔助信息NSSAI接入授權切片;同時5G可對NSSAI提供隱私保護,保證合法用戶終端接入合法切片,并對非目標終端和網(wǎng)絡設備屏蔽相關信息.可為敏感數(shù)據(jù)開啟數(shù)據(jù)機密性、完整性保護機制,根據(jù)用戶需求,可以在終端與基站間、基站與AMF網(wǎng)元間、基站與UPF間、UPF與電力監(jiān)控系統(tǒng)間開啟IPsec加密機制.
4.2.4 安全運營
基于運營商專業(yè)的安全咨詢服務,協(xié)助港口用戶建立安全應急體系,完善網(wǎng)絡安全應急預案.協(xié)助開展實戰(zhàn)型網(wǎng)絡安全應急演練,提升網(wǎng)絡安全事件應急快速響應能力,降低網(wǎng)絡非正常運行對公共安全、港口業(yè)務的影響.
基于運營商專業(yè)的安全測評服務,針對港口終端、業(yè)務系統(tǒng),提供安全測評服務,如:等保定級評估、等級保護能力評測、惡意代碼檢測、安全配置核查、安全加固、補丁升級等.
5G網(wǎng)絡在賦能千行百業(yè)的同時,也面臨關鍵基礎設施保護、垂直行業(yè)融合應用安全等新挑戰(zhàn):一方面,國家主管部門對5G等關鍵信息基礎設施保護提出加快構建網(wǎng)絡安全保障體系[6]、全面加強網(wǎng)絡安全檢查、建立健全網(wǎng)絡安全事件應急工作機制、提高應對網(wǎng)絡安全事件的能力等要求;另一方面,不同行業(yè)對5G應用模式和安全需求差異較大,5G與制造、能源、交通等行業(yè)融合后面臨的安全風險更為復雜,需要運營商和專業(yè)安全機構提供符合5G特點的差異化安全服務保障能力.基于3GPP等標準定義的5G網(wǎng)絡及安全能力開放關鍵技術,不僅可以保障5G安全的互信互任,同時可以將運營商網(wǎng)絡的業(yè)務能力、網(wǎng)絡能力以及安全能力安全可靠地開放給第三方應用,使其按照各自的需求設計定制化的業(yè)務應用[7].
本文從5G安全需求和標準基礎出發(fā),分析了5G網(wǎng)絡安全能力、通用安全能力,提出了基于微服務可動態(tài)編排的安全服務模型,介紹了該模型在5G智慧港口應用中的實踐情況,具有快速實現(xiàn)、按需定制、分級防護的特點,為發(fā)揮5G安全優(yōu)勢,保障行業(yè)應用健康發(fā)展提供技術、方案和實踐參考.