5GeMBB業(yè)務場景下的安全能力開放

殷凡 徐佳偉 靳澤 郭君玉 馬塔娜 李學華

摘要：5G的到來下，垂直行業(yè)，諸如交通、物流、自動駕駛、健康、制造業(yè)、能源行業(yè)和媒體娛樂業(yè)等等，普遍需要對用戶進行安全管理，對業(yè)務內容進行安全保護，如身份管理和認證、防DOS攻擊、加密或完整性保護等。并非所有的垂直行業(yè)都具備安全管理能力和安全保護能力，或者建設強大的安全能力本身就需要較大成本。這時，使用外部安全服務往往是垂直行業(yè)的一種選擇。

關鍵字：5G；embb；安全管理；安全開放

中圖分類號：D815；TP393.08 文獻標識碼：A 文章編號：1672-9129（2018）07-0034-01

Abstract： the arrival of 5 g， vertical industry， such as transportation， logistics， and automatic driving， health， manufacturing industry， energy industry and the media entertainment， etc.， generally need to safety management， user security protection for the business content， such as identity management and authentication， DOS attack， encryption and integrity protection. Not all vertical industries have safety management and protection capabilities， or building strong security capabilities is costly in itself. At this point， using external security services is often an option for the vertical industry.

Key words： 5G； Embb； Safety management； Security open

1 安全能力開放的意義

1.1 對運營商來說

通過安全能力開放，運營商可以盤活網(wǎng)絡資產和基礎設施，開創(chuàng)新的利益增長點。同時打破管道化運營和封閉網(wǎng)絡模式，以電信網(wǎng)絡為中心構建安全生態(tài)系統(tǒng)。運營商還可通過API（應用程序接口）開放5G網(wǎng)絡安全能力，讓運營商的網(wǎng)絡安全能力深入地滲透到第三方業(yè)務生態(tài)環(huán)境中，拓展運營商的業(yè)務收入來源。

1.2 對第三方行業(yè)來說

5G網(wǎng)絡安全能力可以通過API開放給第三方業(yè)務（如業(yè)務提供商、企業(yè)、垂直行業(yè)等），讓第三方業(yè)務能便捷地使用移動網(wǎng)絡的安全能力，從而讓第三方業(yè)務提供商有更多的時間和精力專注于具體應用業(yè)務邏輯的開發(fā)，進而快速、靈活地部署各種新業(yè)務。

2 安全能力開放要注意的問題

2.1 差異化安全保護機制

不同的垂直行業(yè)對安全的需求差異較大。5G系統(tǒng)支持多種業(yè)務并行發(fā)展，以滿足個人用戶、行業(yè)客戶的多樣性需求。5G安全設計也需支持業(yè)務的多樣性，滿足差異化安全需求，以實現(xiàn)不同的利益群體在不同應用場景下的多級別安全保障。

2.2 可擴展的身份管理機制

5G網(wǎng)絡網(wǎng)絡不僅僅服務于個人消費者，還會面向給大量的第三方業(yè)務，其中會有大量新增的物聯(lián)網(wǎng)設備及面向個人的可穿戴設備。而傳統(tǒng)的用戶管理機制在開戶，認證等方面成本高昂，很難完全滿足大量的5G用戶管理的需求，因此需要進一步擴展的身份管理機制，根據(jù)業(yè)務特征進行優(yōu)化。

3 如何實現(xiàn)安全能力開放

3.1 建立基于業(yè)務的差異化的安全保護機制

通過和業(yè)務的交互，5G系統(tǒng)獲取不同業(yè)務的安全需求。根據(jù)業(yè)務、網(wǎng)絡、終端的安全需求和安全能力，運營商網(wǎng)絡可以按需制定不同業(yè)務的差異化數(shù)據(jù)保護策略。基于業(yè)務的差異化的安全保護機制如圖1所示。

圖1中，應用與服務根據(jù)不同的業(yè)務安全需求選擇出相應的切片保護機制。在網(wǎng)絡的底層上我們使用統(tǒng)一的物理層設備，這樣做一是大大減少了運營商對于大量不同類別業(yè)務的建網(wǎng)成本，二是也方便了設備的管理。在網(wǎng)絡統(tǒng)一的底層物理設備的基礎上，利用新的IT技術——NFV（網(wǎng)絡功能虛擬化）技術為每一個特定的業(yè)務生成一個網(wǎng)絡切片，也就是將每一個基礎的物理網(wǎng)絡劃分為多個虛擬網(wǎng)絡，每一個虛擬網(wǎng)絡根據(jù)不同的服務需求，比如時延、帶寬、安全性和可靠性等等需求指標來劃分。

3.2 多元化的身份管理機制

3.2.1 分層身份管理機制

在5G網(wǎng)絡中，運營商對行業(yè)用戶所制造的大量IoT（物聯(lián)網(wǎng)）終端設備可以采用分層的身份管理方式。分層的做法就是將行業(yè)用戶和終端用戶分隔開來，并且分級管理。在實際中，就是讓運營商來管理行業(yè)用戶身份，而行業(yè)用戶來管理終端用戶身份。

3.2.2 以用戶為單位的身份管理機制

在IoT 的應用場景之下，個人用戶可能會擁有多個物聯(lián)網(wǎng)設備。為了方便用戶的不同設備之間能共享信息，可以讓同一個用戶的不同設備所使用的身份相互關聯(lián)，網(wǎng)絡的授權和認證都通過一個用戶的身份標識進行統(tǒng)一管理。以用戶為單位的身份管理不光是方便了用戶本身，更是將用戶作為一個小型物聯(lián)網(wǎng)應用的主體地位，以用戶為中心進行網(wǎng)絡管理與應用。

3.3 多種身份認證方式

身份認證指的是用戶身份的確認技術。它是網(wǎng)絡安全的第一道防線，也是最重要的一道防線。

3.3.1 對稱安全憑證管理

基于SIM卡和USIM卡的數(shù)字身份管理，是一種典型的對稱安全憑證管理，其認證機制己經(jīng)得到業(yè)務提供者和用戶的廣泛信賴，同時也便于運營商對于用戶的集中化管理。基于SIM卡的數(shù)字身份管理的安全機制在于一卡一密，保證用戶身份的唯一性。認證內容可以按需進行加密操作，只有接收方才能解密認證數(shù)據(jù)，保證認證內容的保密性。

3.3.2 非對稱安全憑證管理

在對稱密鑰的身份管理方式中，例如基于SIM卡或者USIM卡的認證方式會存在認證鏈條長、身份管理成本高、不利于對海量物聯(lián)網(wǎng)設備的支持等問題。另一方面，由于5G網(wǎng)絡本身需要支持多種接入技術以及多樣的終端設備，所以也需要多種安全憑證來管理網(wǎng)絡。采用非對稱安全憑證管理可以實現(xiàn)物聯(lián)網(wǎng)場景下的身份管理和接入認證，縮短認證鏈條，實現(xiàn)快速安全接入，降低認證開銷；同時緩解核心網(wǎng)壓力，規(guī)避信令風暴以及認證節(jié)點高度集中帶來的瓶頸風險。

參考文獻：

[1]李俠宇，沈鴻. 5G網(wǎng)絡安全發(fā)展趨勢研究，2016.

[2]曾夢岐，陶建軍，馮中華. 5G通信安全進展研究，2017.

[3]李碩，蔡世杰. 5G網(wǎng)絡安全需求分析.2017