5GeMBB業務場景下的安全能力開放

殷凡 徐佳偉 靳澤 郭君玉 馬塔娜 李學華

摘要：5G的到來下，垂直行業，諸如交通、物流、自動駕駛、健康、制造業、能源行業和媒體娛樂業等等，普遍需要對用戶進行安全管理，對業務內容進行安全保護，如身份管理和認證、防DOS攻擊、加密或完整性保護等。并非所有的垂直行業都具備安全管理能力和安全保護能力，或者建設強大的安全能力本身就需要較大成本。這時，使用外部安全服務往往是垂直行業的一種選擇。

關鍵字：5G；embb；安全管理；安全開放

中圖分類號：D815；TP393.08 文獻標識碼：A 文章編號：1672-9129（2018）07-0034-01

Abstract： the arrival of 5 g， vertical industry， such as transportation， logistics， and automatic driving， health， manufacturing industry， energy industry and the media entertainment， etc.， generally need to safety management， user security protection for the business content， such as identity management and authentication， DOS attack， encryption and integrity protection. Not all vertical industries have safety management and protection capabilities， or building strong security capabilities is costly in itself. At this point， using external security services is often an option for the vertical industry.

Key words： 5G； Embb； Safety management； Security open

1 安全能力開放的意義

1.1 對運營商來說

通過安全能力開放，運營商可以盤活網絡資產和基礎設施，開創新的利益增長點。同時打破管道化運營和封閉網絡模式，以電信網絡為中心構建安全生態系統。運營商還可通過API（應用程序接口）開放5G網絡安全能力，讓運營商的網絡安全能力深入地滲透到第三方業務生態環境中，拓展運營商的業務收入來源。

1.2 對第三方行業來說

5G網絡安全能力可以通過API開放給第三方業務（如業務提供商、企業、垂直行業等），讓第三方業務能便捷地使用移動網絡的安全能力，從而讓第三方業務提供商有更多的時間和精力專注于具體應用業務邏輯的開發，進而快速、靈活地部署各種新業務。

2 安全能力開放要注意的問題

2.1 差異化安全保護機制

不同的垂直行業對安全的需求差異較大。5G系統支持多種業務并行發展，以滿足個人用戶、行業客戶的多樣性需求。5G安全設計也需支持業務的多樣性，滿足差異化安全需求，以實現不同的利益群體在不同應用場景下的多級別安全保障。

2.2 可擴展的身份管理機制

5G網絡網絡不僅僅服務于個人消費者，還會面向給大量的第三方業務，其中會有大量新增的物聯網設備及面向個人的可穿戴設備。而傳統的用戶管理機制在開戶，認證等方面成本高昂，很難完全滿足大量的5G用戶管理的需求，因此需要進一步擴展的身份管理機制，根據業務特征進行優化。

3 如何實現安全能力開放

3.1 建立基于業務的差異化的安全保護機制

通過和業務的交互，5G系統獲取不同業務的安全需求。根據業務、網絡、終端的安全需求和安全能力，運營商網絡可以按需制定不同業務的差異化數據保護策略?；跇I務的差異化的安全保護機制如圖1所示。

圖1中，應用與服務根據不同的業務安全需求選擇出相應的切片保護機制。在網絡的底層上我們使用統一的物理層設備，這樣做一是大大減少了運營商對于大量不同類別業務的建網成本，二是也方便了設備的管理。在網絡統一的底層物理設備的基礎上，利用新的IT技術——NFV（網絡功能虛擬化）技術為每一個特定的業務生成一個網絡切片，也就是將每一個基礎的物理網絡劃分為多個虛擬網絡，每一個虛擬網絡根據不同的服務需求，比如時延、帶寬、安全性和可靠性等等需求指標來劃分。

3.2 多元化的身份管理機制

3.2.1 分層身份管理機制

在5G網絡中，運營商對行業用戶所制造的大量IoT（物聯網）終端設備可以采用分層的身份管理方式。分層的做法就是將行業用戶和終端用戶分隔開來，并且分級管理。在實際中，就是讓運營商來管理行業用戶身份，而行業用戶來管理終端用戶身份。

3.2.2 以用戶為單位的身份管理機制

在IoT 的應用場景之下，個人用戶可能會擁有多個物聯網設備。為了方便用戶的不同設備之間能共享信息，可以讓同一個用戶的不同設備所使用的身份相互關聯，網絡的授權和認證都通過一個用戶的身份標識進行統一管理。以用戶為單位的身份管理不光是方便了用戶本身，更是將用戶作為一個小型物聯網應用的主體地位，以用戶為中心進行網絡管理與應用。

3.3 多種身份認證方式

身份認證指的是用戶身份的確認技術。它是網絡安全的第一道防線，也是最重要的一道防線。

3.3.1 對稱安全憑證管理

基于SIM卡和USIM卡的數字身份管理，是一種典型的對稱安全憑證管理，其認證機制己經得到業務提供者和用戶的廣泛信賴，同時也便于運營商對于用戶的集中化管理?；赟IM卡的數字身份管理的安全機制在于一卡一密，保證用戶身份的唯一性。認證內容可以按需進行加密操作，只有接收方才能解密認證數據，保證認證內容的保密性。

3.3.2 非對稱安全憑證管理

在對稱密鑰的身份管理方式中，例如基于SIM卡或者USIM卡的認證方式會存在認證鏈條長、身份管理成本高、不利于對海量物聯網設備的支持等問題。另一方面，由于5G網絡本身需要支持多種接入技術以及多樣的終端設備，所以也需要多種安全憑證來管理網絡。采用非對稱安全憑證管理可以實現物聯網場景下的身份管理和接入認證，縮短認證鏈條，實現快速安全接入，降低認證開銷；同時緩解核心網壓力，規避信令風暴以及認證節點高度集中帶來的瓶頸風險。

參考文獻：

[1]李俠宇，沈鴻. 5G網絡安全發展趨勢研究，2016.

[2]曾夢岐，陶建軍，馮中華. 5G通信安全進展研究，2017.

[3]李碩，蔡世杰. 5G網絡安全需求分析.2017