面向垂直行業(yè)的網(wǎng)絡切片安全隔離研究

林兆驥 游世林 劉宇澤 彭錦 邢真

(中興通訊股份有限公司，南京 210012)

0 引言

網(wǎng)絡切片是5G提供網(wǎng)絡服務的主要形態(tài)。5G可以在相同的網(wǎng)絡基礎設施上同時構(gòu)建多個網(wǎng)絡切片，為多個應用提供差異化網(wǎng)絡服務。網(wǎng)絡切片使得5G組網(wǎng)更加靈活，網(wǎng)絡服務更貼合應用需求；但由于共享網(wǎng)絡基礎資源，如果管理不當就會引發(fā)切片數(shù)據(jù)泄露、切片間資源競爭、非法用戶接入切片等安全威脅[1]。5G公眾網(wǎng)絡要能夠服務于對安全要求非?？量痰拇怪毙袠I(yè)用戶，網(wǎng)絡切片間就要求嚴格的安全隔離[2]。垂直行業(yè)用戶在不同的網(wǎng)絡切片間切換時，當發(fā)現(xiàn)初始切片網(wǎng)絡不能為垂直行業(yè)的用戶終端服務時，由于安全隔離，初始切片網(wǎng)絡無法通過切片間的通道傳遞安全上下文，只能通過5G基站路由到目標切片網(wǎng)絡。同時，考慮到終端的改變將會帶來巨大的開銷，因此如何在盡可能不改變終端的情況下，保證路由過程中安全上下文的隔離和終端的業(yè)務連續(xù)性將是網(wǎng)絡切片安全隔離研究的一個重點和難點。

1 5G公眾網(wǎng)絡下切片隔離面臨的挑戰(zhàn)

5G網(wǎng)絡切片技術為運營商網(wǎng)絡部署增加了多種靈活部署方案，不同的網(wǎng)絡部署能夠滿足不同的垂直行業(yè)用戶安全需求[3]。圖1是切片部署示意圖，垂直行業(yè)網(wǎng)絡的終端用戶首先在切片一(原切片網(wǎng)絡)注冊，切片一可以是基于切片技術部署的公共陸地移動網(wǎng)，也可以是基于切片技術部署的垂直行業(yè)專有網(wǎng)絡。當終端用戶漫游到其他5G小區(qū)，5G基站為終端用戶缺省選擇一個切片為切片二(初始切片網(wǎng)絡)，當用戶終端和初始切片網(wǎng)絡完成主認證后，用戶終端和初始切片網(wǎng)絡就會建立新的安全連接，啟用新的安全上下文，這樣用戶終端和初始切片網(wǎng)絡的安全上下文就是一致的；然后，初始切片網(wǎng)絡向用戶數(shù)據(jù)中心(UDM)獲取簽約數(shù)據(jù)，根據(jù)簽約數(shù)據(jù)的切片相關信息發(fā)現(xiàn)初始切片網(wǎng)絡不能為用戶終端服務，則初始切片網(wǎng)絡通過切片選擇網(wǎng)元(NSSF)和網(wǎng)元發(fā)現(xiàn)功能(NRF)為用戶終端可以服務的切片網(wǎng)絡切片三[9](目標切片網(wǎng)絡)，初始切片網(wǎng)絡就會通過以下兩種場景重路由到目標切片網(wǎng)絡[4,10]。

圖1 切片部署示意圖

場景一：直接模式，即針對絕大多數(shù)的普通垂直行業(yè)的切片網(wǎng)絡，初始切片網(wǎng)絡和目標切片網(wǎng)絡相互認可認證結(jié)果，同時也可以共享安全上下文，即初始切片網(wǎng)絡和目標切片網(wǎng)絡的網(wǎng)絡連通是良好且互信的，因此可以發(fā)送攜帶安全上下文重路由消息。

場景二：間接模式，即針對一些特殊行業(yè)的垂直行業(yè)用戶，對安全要求非?？量?，在公眾網(wǎng)絡的場景下，針對認證和密鑰管理等重要網(wǎng)元(如接入移動管理網(wǎng)元AMF)都是獨立部署，并且要求與其他切片的網(wǎng)元、甚至是公眾網(wǎng)絡的網(wǎng)元都是嚴格隔離的，如物理隔離，即沒有任何連接，因此當發(fā)現(xiàn)初始切片網(wǎng)絡不能為垂直行業(yè)的用戶終端服務時，初始切片網(wǎng)絡會通過5G基站重新路由到目標切片網(wǎng)絡。

針對以上兩種不同安全場景，下面將對安全問題、安全威脅和安全解決方案進行研究。

1.1 問題1：直接模式下安全問題

直接模式場景主要存在兩種安全風險，一種情況是目標切片網(wǎng)絡可以根據(jù)初始切片網(wǎng)絡傳遞過來的中間密鑰推衍出初始切片網(wǎng)絡的接入層(AS)密鑰和非接入層(NAS)密鑰，從而達到可以獲取初始切片網(wǎng)絡的控制信令和用戶數(shù)據(jù)，這種情況一般稱為后向安全；另一種情況是初始切片網(wǎng)絡可以根據(jù)傳輸給目標切片網(wǎng)絡的中間密鑰推衍出目標切片網(wǎng)絡中用戶的AS密鑰和NAS密鑰，從而達到獲取目標切片網(wǎng)絡的控制信令和用戶數(shù)據(jù)，這種情況也被稱為前向安全。在5G系統(tǒng)中，需要為垂直行業(yè)用戶提供靈活和可靠的安全保障，解決前向和后向安全問題。

1.2 問題2：間接模式下的安全問題

在間接模式場景下，初始切片網(wǎng)絡和目標切片網(wǎng)絡之間無直接連接，這種場景下初始切片網(wǎng)絡和目標切片網(wǎng)絡可以通過5G基站進行重路由。當用戶終端接入到初始切片網(wǎng)絡時，發(fā)現(xiàn)初始切片網(wǎng)絡不是用戶終端的切片，不能為該用戶終端提供可靠安全的服務，需要通過5G基站重新路由到一個能夠為該用戶終端提供服務的目標切片網(wǎng)絡?，F(xiàn)有5G系統(tǒng)安全處理可能導致該用戶終端無法注冊到目標切片網(wǎng)絡，從而威脅系統(tǒng)的可用性。具體而言，如果初始切片網(wǎng)絡和該用戶終端之間認證成功，并啟用了新的安全上下文，就會導致目標切片網(wǎng)絡沒有該用戶終端的安全上下文，或者與該用戶終端安全上下文不一致，則該用戶終端將拒絕或者丟棄來自目標切片網(wǎng)絡的NAS消息。另外，如果目標切片網(wǎng)絡需要向該用戶終端從曾經(jīng)注冊的原切片網(wǎng)絡獲取安全上下文時，也會出現(xiàn)安全上下文不一致的情況，這是因為該用戶終端中間密鑰發(fā)生了水平推衍，則會與初始切片網(wǎng)絡建立新的安全上下文，導致該用戶終端使用的新安全上下文與目標切片網(wǎng)絡不一致，這將影響該用戶終端服務的可用性。

該問題在3GPP R16進行研究，但未能達成一致的解決方案，將在3GPP R17繼續(xù)立項進行研究。該問題一直未能標準化，已經(jīng)影響到5G系統(tǒng)在部分安全要求苛刻的垂直行業(yè)的部署，預計在3GPP R17能夠完成標準化解決方案[8]。

2 網(wǎng)絡切片安全隔離的主要安全方案

2.1 直接模式安全方案

針對一般的垂直行業(yè)用戶，這些垂直行業(yè)用戶切片網(wǎng)絡可以和公眾網(wǎng)絡的網(wǎng)絡切片連接，同時也和其他普通切片網(wǎng)絡相連通，為了保證兩個切片網(wǎng)絡后向安全，初始切片網(wǎng)絡可以根據(jù)目標切片網(wǎng)絡的屬性對中間密鑰(KAMF)進行一次水平推衍，這樣目標切片網(wǎng)絡就無法獲取初始切片網(wǎng)絡的中間密鑰，也無法獲取初始切片網(wǎng)絡的AS和NAS密鑰，初始切片網(wǎng)絡的控制信令和數(shù)據(jù)就不會被目標切片網(wǎng)絡非法獲取，保證了初始切片網(wǎng)絡的后向安全。為了保證目標切片網(wǎng)絡的前向安全，目標切片網(wǎng)絡會根據(jù)本地策略，或者初始切片網(wǎng)絡的屬性，忽略初始切片網(wǎng)絡的中間密鑰，而重新進行安全認證，這樣初始切片網(wǎng)絡無法獲取目標切片網(wǎng)絡的中間密鑰，更加不可能獲取目標切片網(wǎng)絡AS和NAS密鑰，從而保障目標切片網(wǎng)絡的前向安全[6]。

本安全解決方案在3GPP R16階段完成標準化，能夠滿足大多數(shù)普通切片網(wǎng)絡的安全，并已在一些切片網(wǎng)絡中得到運用。

2.2 間接模式安全方案

目前，業(yè)界提出了多種解決方案[8]，大致分為兩類：一種是基于終端修改的方案，即需要終端升級，網(wǎng)絡也需要配合升級的方案；另一種基于網(wǎng)絡修改的方案，這種方案只需要對網(wǎng)絡中部分網(wǎng)元進行升級改造即可完成這部分功能。

2.2.1 基于終端修改間接模式安全方案1

該方案主要的思路是[8]：當初始切片網(wǎng)絡根據(jù)本地決策需要重路由到目標切片網(wǎng)絡時，向終端發(fā)送一個NAS消息(該消息可以是安全模式命令)指示終端取消完整性保護，這樣終端就可以接收來自網(wǎng)絡未完整性保護的消息，然后初始切片網(wǎng)絡就通過5G基站重新路由到目標切片網(wǎng)絡，初始切片網(wǎng)絡則通過修改注冊消息中安全索引使得目標切片網(wǎng)絡并未重新發(fā)起主認證過程，保證新的安全連接的建立，從而保障終端和目標切片網(wǎng)絡的通信安全。

2.2.2 基于終端修改間接模式安全方案2

該方案主要的思路是[8]：當初始切片網(wǎng)絡通知終端需要啟動新的安全上下文時，終端保存老的安全上下文，并啟動新的安全上下文。當初始切片網(wǎng)絡根據(jù)本地決策需要重路由到目標切片網(wǎng)絡時，向終端發(fā)送一個重路由指示，指示終端采用老的安全上下文，去激活在用的安全上下文，然后初始切片網(wǎng)絡就通過5G基站重新路由到目標切片網(wǎng)絡，目標切片網(wǎng)絡和終端就可以使用老的安全上下文來保障通信安全或者通過主認證流程重建新的安全連接，從而保障終端和目標切片網(wǎng)絡的通信安全。

2.2.3 基于終端修改間接模式安全方案3

該方案主要的思路是[8]：當初始切片網(wǎng)絡根據(jù)本地決策需要重路由到目標切片網(wǎng)絡時，會選擇一個目標切片網(wǎng)絡，同時為終端分配一個攜帶目標網(wǎng)絡切片標識的臨時標識5G-GUTI，通過注冊接受消息將5G-GUTI和重新注冊指示發(fā)送給終端，終端釋放當前安全連接，同時攜帶5G-GUTI通過5G基站重新向目標切片網(wǎng)絡注冊，5G基站則會通過5G-GUTI包含的目標切片網(wǎng)絡選擇目標切片網(wǎng)絡，終端和目標切片網(wǎng)絡通過新的主認證流程建立新的安全連接，保障終端和目標切片網(wǎng)絡的通信安全。

2.2.4 基于網(wǎng)絡升級改造間接模式安全方案1

該方案主要的思路是[8]：當初始切片網(wǎng)絡根據(jù)本地決策需要重路由到目標切片網(wǎng)絡時，初始切片網(wǎng)絡直接明文攜帶5G NAS安全上下文(KAMF)到目標切片網(wǎng)絡，目標切片網(wǎng)絡使用該5G NAS安全上下文保障終端和目標切片網(wǎng)絡的通信安全，或者通過新的主認證流程建立新的安全連接，從而保障終端和目標切片網(wǎng)絡的通信安全。

2.2.5 基于網(wǎng)絡升級改造間接模式安全方案2

該方案主要的思路是[8]：當初始切片網(wǎng)絡根據(jù)本地決策需要重路由到目標切片網(wǎng)絡時，初始切片網(wǎng)絡會向公共網(wǎng)元的NSSF獲取目標切片網(wǎng)絡的公鑰和訪問令牌，同時使用目標切片網(wǎng)絡的加密5G NAS安全上下文(KAMF)，然后攜帶加密的5G NAS安全上下文和訪問令牌重路由到目標切片網(wǎng)絡，目標切片網(wǎng)絡首先檢查訪問令牌，如果訪問令牌安全，在使用私鑰解密出5G NAS安全上下文，并使用該5G NAS安全上下文保障終端和目標切片網(wǎng)絡的通信安全，或者通過新的主認證流程建立新的安全連接，從而保障終端和目標切片網(wǎng)絡的通信安全。

2.2.6 基于網(wǎng)絡升級改造間接模式安全方案3

該方案主要的思路是[8]：當初始切片網(wǎng)絡根據(jù)本地決策需要重路由到目標切片網(wǎng)絡時，會選擇一個目標切片網(wǎng)絡，同時為終端分配一個攜帶目標網(wǎng)絡切片標識的臨時標識5G-GUTI[7]，通過注冊接受消息將5G-GUTI發(fā)送給終端，同時通過終端配置更新命令消息指示終端在終端釋放當前安全連接后進行重新注冊，終端則會攜帶5G-GUTI通過5G基站重新向目標切片網(wǎng)絡注冊，5G基站則會通過5G-GUTI包含的目標切片網(wǎng)絡選擇目標切片網(wǎng)絡，終端和目標切片網(wǎng)絡通過新的主認證流程建立新的安全連接，保障終端和目標切片網(wǎng)絡的通信安全(見圖2)。

圖2 基于網(wǎng)絡升級改造間接模式安全方案3

3 一種間接模式網(wǎng)絡切片安全隔離方案研究

表1是現(xiàn)有間接模式下網(wǎng)絡切片安全隔離方案比較。

表1 現(xiàn)有間接模式解決方案比較

一般來講，終端升級涉及面最廣，主要是因為市場上已經(jīng)存在很多終端，如果需要升級終端，部分改動可能涉及固件升級，但是一般情況下都會涉及芯片的更換，因此在選擇解決方案時，對終端的升級改造都非常謹慎，涉及終端升級改造的三種方案標準化阻力很大。

針對網(wǎng)絡改造，網(wǎng)絡升級改造間接模式安全方案1將NAS安全上下文傳遞給非安全域的5G基站，從安全的角度是不可取的；網(wǎng)絡升級改造間接模式安全方案2需要公共網(wǎng)元NSSF和目標切片網(wǎng)絡存在公私鑰對，一方面公私鑰算法對網(wǎng)絡計算能力有非常高的要求，另外安全性要求非常高的垂直行業(yè)用戶，也會認為安全隔離性未做到嚴格隔離，可能影響垂直行業(yè)用戶的選擇；網(wǎng)絡升級改造間接模式安全方案3僅僅只影響初始切片網(wǎng)絡，對終端、5G基站、目標切片網(wǎng)絡和公共網(wǎng)元都無影響，同時也能保證垂直行業(yè)用戶的基本安全需求，但是也存在一個缺陷，這個缺陷就是當終端已經(jīng)在原切片網(wǎng)絡注冊和有相關業(yè)務，這種方案就不能保證終端在目標切片網(wǎng)絡和原切片網(wǎng)絡的業(yè)務連續(xù)性。

為了解決上述問題，即不升級改造UE、安全上下文嚴格隔離、保證業(yè)務連續(xù)性，本文提出基于網(wǎng)絡升級改造間接模式安全方案4(見圖3)。

圖3 基于網(wǎng)絡升級改造間接模式安全方案4

基于網(wǎng)絡升級改造間接模式安全方案4的核心思路如下。

(1)當初始切片網(wǎng)絡根據(jù)本地決策需要重路由到目標切片網(wǎng)絡時，同時為終端分配一個臨時標識5G-GUTI。

(2)初始切片網(wǎng)絡將包含在5G-GUTI的5G-S-TMSI、目標切片網(wǎng)絡列表和需要重路由的注冊消息(包含原切片網(wǎng)絡分配的5G-GUTI)發(fā)送給5G基站保存。

(3)初始切片網(wǎng)絡發(fā)送注冊接受消息攜帶新分配的5G-GUTI給終端。

(4)當初始切片網(wǎng)絡(切片二)發(fā)送去注冊請求消息指示終端在釋放當前安全連接后進行重新注冊。

(5)終端攜帶新分配的5G-GUTI向5G基站發(fā)起重新注冊。

(6)5G基站根據(jù)包含在新分配5G-GUTI的5G-S-TMSI[7]查詢到保存在5G基站的目標切片網(wǎng)絡列表和需要重路由的注冊消息(包含原切片網(wǎng)絡分配的5G-GUTI)，5G基站選擇其中一個目標切片網(wǎng)絡，并使用需要重路由的注冊消息向目標切片網(wǎng)絡注冊。

(7)目標切片網(wǎng)絡通過原切片網(wǎng)絡分配的5G-GUTI尋找原切片網(wǎng)絡并獲取業(yè)務信息，之后終端和目標切片網(wǎng)絡通過新的主認證流程建立新的安全連接，保障終端和目標切片網(wǎng)絡的通信安全。

以下分析基于網(wǎng)絡升級改造間接模式安全方案4在三個方面的影響。

(1)對UE的影響。在該方案中，網(wǎng)絡向UE一共發(fā)送兩條消息，分別是第三步的注冊接受消息以及第四步的去注冊消息。注冊接受消息(攜帶5G-GUTI)和去注冊請求(攜帶重注冊指示)都是在R15階段就已經(jīng)定義的消息，現(xiàn)有UE可以正常接受并響應。因此不需要改造升級UE。

(2)安全上下文的隔離情況。在該方案中，初始切片網(wǎng)絡不會向目標切片網(wǎng)絡傳遞任何安全上下文，因此保證了安全上下文的嚴格隔離。

(3)對業(yè)務連續(xù)性的影響。在第六步中，5G基站將保存的需要重路由的注冊請求發(fā)送給目標切片網(wǎng)絡，該需要重路由的注冊請求中攜帶了指向原切片網(wǎng)絡的5G-GUTI；在第七步中，目標切片網(wǎng)絡能夠根據(jù)該5G-GUTI找到原切片網(wǎng)絡并從原切片網(wǎng)絡獲取用戶上下文，用戶上下文中包含了UE的業(yè)務相關信息，從而保證了用戶的業(yè)務連續(xù)性。

綜上所述，該方案解決了以上三個問題，既不需要升級UE，可實現(xiàn)安全上下文嚴格隔離，同時也不會影響終端的業(yè)務連續(xù)性。

4 結(jié)束語

本文分析和研究現(xiàn)有基于公眾網(wǎng)絡面向垂直行業(yè)5G網(wǎng)絡切片安全現(xiàn)狀和問題，并針對當前的問題提出了一種基于網(wǎng)絡升級改造間接模式安全解決方案，有效地解決了對安全要求非常高的垂直行業(yè)用戶的痛點問題，為廣泛部署基于5G公共陸地移動網(wǎng)面向垂直行業(yè)5G網(wǎng)絡提供組網(wǎng)的指導建議。

隨著垂直行業(yè)廣泛采用5G切片技術組網(wǎng)商用，可能會對切片安全提出新的需求，比如端到端切片安全、無線切片安全和切片安全管理都需要更深入研究，這也將促進切片安全技術不斷完善和發(fā)展。