基于軟件定義的5G網(wǎng)絡(luò)安全能力架構(gòu)

張鑒　唐洪玉　侯云曉

摘要：基于5G網(wǎng)絡(luò)“云化”和“軟件定義化”的特點(diǎn)，提出了基于軟件定義的安全能力架構(gòu)。認(rèn)為該架構(gòu)能夠?qū)崿F(xiàn)5G網(wǎng)絡(luò)模塊化的、可調(diào)用的、快速部署的內(nèi)生安全能力，能夠更好地滿足5G業(yè)務(wù)多樣化和5G系統(tǒng)架構(gòu)變遷所帶來的安全新需求。

關(guān)鍵詞：5G網(wǎng)絡(luò);軟件定義;安全架構(gòu)

Abstract： Based on the characteristics of "cloudification" and "software definition" of 5G network， a security capability architecture based on software-defined network is proposed. This architecture can realize the modular， invoked and rapidly deployed endogenous security capability of 5G network， which can better meet the new security requirements brought by the diversification of 5G service and the change of 5G system architecture.

Key words： 5G network; software defined; security architecture

5G 不僅是下一代移動(dòng)通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施，而且是未來數(shù)字世界的使能者。5G網(wǎng)絡(luò)全新業(yè)務(wù)場景的出現(xiàn)和5G網(wǎng)絡(luò)架構(gòu)的變遷，均對(duì)5G網(wǎng)絡(luò)的安全能力提出了全新挑戰(zhàn)。5G網(wǎng)絡(luò)需要具備模塊化、可編排、可靈活調(diào)度的安全防御能力，滿足不同應(yīng)用場景的動(dòng)態(tài)、差異化的安全要求，從而構(gòu)建安全可信的網(wǎng)絡(luò)空間。

軟件定義的理念為建設(shè)5G安全能力提供了全新的思路，隨著5G網(wǎng)絡(luò)系統(tǒng)架構(gòu)“云化”和“軟件定義化”的變革，建設(shè)基于軟件定義的安全能力體系成為可能。本文中，我們基于軟件定義的理念，提出了全新的5G網(wǎng)絡(luò)安全能力架構(gòu)，并對(duì)該架構(gòu)的部署方式、主要模塊和接口功能，以及帶來的價(jià)值賦能進(jìn)行了全面的闡述和分析，為5G網(wǎng)絡(luò)安全建設(shè)提供有借鑒性的參考。

1 5G網(wǎng)絡(luò)總體架構(gòu)

未來的5G網(wǎng)絡(luò)將更加靈活、智能、融合和開放。5G目標(biāo)網(wǎng)絡(luò)邏輯架構(gòu)簡稱“三朵云”架構(gòu)，包括接入云、控制云和轉(zhuǎn)發(fā)云3個(gè)邏輯域，如圖1所示。

總體架構(gòu)基于軟件定義網(wǎng)絡(luò)（SDN）、網(wǎng)絡(luò)功能虛擬化（NFV）、云計(jì)算等關(guān)鍵技術(shù)推動(dòng)網(wǎng)絡(luò)架構(gòu)重構(gòu)，構(gòu)建簡潔、敏捷、集約、開放的網(wǎng)絡(luò)新架構(gòu)[1]。

（1）接入云：支持接入控制和承載分離、接入資源的協(xié)同管理，滿足未來多種部署場景（例如集中、分布、無線Mesh），并實(shí)現(xiàn)基站的即插即用。

（2）控制云：實(shí)現(xiàn)網(wǎng)絡(luò)控制功能集中，網(wǎng)元功能具備虛擬化、軟件化以及重構(gòu)性，支持第三方的網(wǎng)絡(luò)能力開放。

（3）轉(zhuǎn)發(fā)云：將控制功能剝離，使轉(zhuǎn)發(fā)的功能靠近各個(gè)基站，將不同的業(yè)務(wù)能力與轉(zhuǎn)發(fā)能力融合。

在上述5G網(wǎng)絡(luò)架構(gòu)中，SDN技術(shù)是連接控制云和轉(zhuǎn)發(fā)云的關(guān)鍵;NFV將轉(zhuǎn)發(fā)云中的轉(zhuǎn)發(fā)設(shè)備和多個(gè)控制云中的網(wǎng)元用通用設(shè)備來替代，從而節(jié)省成本;三朵云中的資源調(diào)度、彈性擴(kuò)展和自動(dòng)化管理都是依賴基礎(chǔ)的云計(jì)算平臺(tái)。

2 5G網(wǎng)絡(luò)安全需求分析

2.1 業(yè)務(wù)多樣化需要差異化的

安全能力

國際電信聯(lián)盟（ITU）定義了5G的3大應(yīng)用場景：增強(qiáng)移動(dòng)寬帶（eMBB）、海量機(jī)器類通信（mMTC）、高可靠低時(shí)延（uRLLC）。不同的業(yè)務(wù)會(huì)有差異化的需求，5G需要針對(duì)eMBB、mMTC和uRLLC 3種應(yīng)用場景提供不同安全需求的保護(hù)機(jī)制。eMBB聚焦對(duì)帶寬和用戶體驗(yàn)有極高需求的業(yè)務(wù)，不同業(yè)務(wù)的安全保護(hù)強(qiáng)度需求是有差異的，因此需要針對(duì)客戶提供的安全能力具備可編排性和模塊化;mMTC聚焦連接密度較高的場景，終端具有資源能耗受限、網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變化、以數(shù)據(jù)為中心等特點(diǎn)，因此需要輕量級(jí)的安全算法、簡單高效的安全協(xié)議;uRLLC側(cè)重于高安全低時(shí)延性的通信業(yè)務(wù)，需要既保證高級(jí)別的安全保護(hù)措施又不能額外增加通信時(shí)延，因此需要安全能力的敏捷快速部署[2]。

2.2 新技術(shù)、新架構(gòu)帶來的安全

挑戰(zhàn)

5G新的網(wǎng)絡(luò)架構(gòu)引入了SDN、NFV技術(shù)，解耦了設(shè)備的控制面和數(shù)據(jù)面。這為基于多廠家通用信息技術(shù)（IT）硬件平臺(tái)建立新型的設(shè)備信任關(guān)系創(chuàng)造了有利條件，但是也給安全方面帶來很多挑戰(zhàn)。

首先是傳統(tǒng)封閉管理模式下的安全邊界和保障模式都在發(fā)生深刻的變化，業(yè)務(wù)的開放性、用戶的自定義和資源的可視化應(yīng)用給云平臺(tái)的安全可信帶來前所未有的挑戰(zhàn);其次，計(jì)算、存儲(chǔ)及網(wǎng)絡(luò)資源共享化，會(huì)引入虛擬機(jī)安全、虛擬化軟件安全、數(shù)據(jù)安全等問題。5G網(wǎng)絡(luò)中 NFV虛擬化技術(shù)的應(yīng)用，可進(jìn)一步簡化網(wǎng)絡(luò)功能的部署和更新，使得部分功能網(wǎng)元以虛擬功能的形式部署在云化的基礎(chǔ)設(shè)施上。5G需要考慮虛擬化基礎(chǔ)設(shè)施的安全機(jī)制，從而保障其業(yè)務(wù)在虛擬化環(huán)境下能夠安全運(yùn)行;還需要定義更好的安全隔離手段，增強(qiáng)虛擬功能網(wǎng)元之間的安全管理?；谔摂M網(wǎng)絡(luò)的切片也需要安全機(jī)制，以保證切片的安全運(yùn)營和用戶的正常接入。

因此，傳統(tǒng)的安全防護(hù)模式已不再適用，5G的發(fā)展迫切需要利用5G網(wǎng)絡(luò)架構(gòu)的有利條件，挖掘出5G網(wǎng)絡(luò)的內(nèi)生安全屬性，建立基于軟件定義的新型安全能力架構(gòu)，實(shí)現(xiàn)構(gòu)建高可信、高安全的5G網(wǎng)絡(luò)的目標(biāo)[3]。

3 基于軟件定義構(gòu)建5G

網(wǎng)絡(luò)安全能力框架

3.1 軟件定義安全邏輯架構(gòu)

借鑒軟件定義的理念和SDN架構(gòu)，軟件定義安全（SDS）邏輯架構(gòu)包括3個(gè)層面，從下向上依次是：基礎(chǔ)設(shè)施層、控制層、應(yīng)用層，具體如圖2所示。

（1）應(yīng)用層：包括各種各樣的安全應(yīng)用及服務(wù)，實(shí)現(xiàn)安全業(yè)務(wù)的封裝、編排和對(duì)外提供。

（2）控制層：核心是安全控制器，南向通過應(yīng)用程序編程（API）接口和安全資源池進(jìn)行互動(dòng)，對(duì)安全資源池進(jìn)行管理和調(diào)度;北向通過API對(duì)外提供封裝后的安全能力甚至是安全業(yè)務(wù);東西向和網(wǎng)絡(luò)控制器、云等互通，實(shí)現(xiàn)安全流量的檢測和安全策略的下發(fā)和控制。

（3）基礎(chǔ)設(shè)施層： 包括各種硬件、軟件形態(tài)的安全設(shè)備、安全引擎，提供安全的原子功能，形成云化的安全資源池。

軟件定義安全架構(gòu)相應(yīng)的接口包括北向接口（控制層與應(yīng)用層接口）和南向接口（控制層與基礎(chǔ)設(shè)施層接口），具體如圖3所示。

（1）北向接口：控制層與應(yīng)用層接口（NBI）。

·連接SDS控制器和用戶應(yīng)用之間的重要紐帶;

·為應(yīng)用平面提供安全能力，可用于上層應(yīng)用開發(fā)和資源編排;

·具有多樣化的特征。

（2）南向接口：控制層與基礎(chǔ)設(shè)施層接口（SBI）。

·控制平面與基礎(chǔ)設(shè)施平面交互安全策略以及設(shè)備信息等數(shù)據(jù)的信息;

·將差異化的安全設(shè)備抽象成統(tǒng)一的安全資源池，集中管理，統(tǒng)一部署;

·打破傳統(tǒng)硬件資源的封閉性，為不同設(shè)備廠商、不同功能的安全設(shè)備提供了管理和部署方面的便利條件。

3.2 5G網(wǎng)絡(luò)軟件定義安全防護(hù)

框架

5G網(wǎng)絡(luò)增強(qiáng)了開放服務(wù)能力，基于SDN/NFV的編排能力是5G網(wǎng)絡(luò)的重要能力集;因此，基于SDN/NFV的統(tǒng)一編排能力，可以將軟件定義安全的架構(gòu)應(yīng)用到5G網(wǎng)絡(luò)安全防護(hù)體系中，從而保障5G網(wǎng)絡(luò)具備保證各項(xiàng)業(yè)務(wù)安全的安全機(jī)制。基于軟件定義的5G安全防護(hù)框架具體如圖4所示[4-5]。

基于軟件定義的5G安全防護(hù)框架的主要有6個(gè)模塊。

（1）安全服務(wù)層：向5G垂直行業(yè)和5G用戶提供可定制化、可編程的安全服務(wù)。

（2）安全控制及編排層：根據(jù)來自安全服務(wù)層或安全數(shù)據(jù)分析層的安全需求，將安全策略下發(fā)給相應(yīng)的安全設(shè)備實(shí)現(xiàn)安全防護(hù)。

（3）安全分析器：使用大數(shù)據(jù)、人工智能等技術(shù)，將安全分析的結(jié)果轉(zhuǎn)化為安全需求再發(fā)送給安全編排器。

（4）網(wǎng)絡(luò)控制及資源編排層：包含SDN控制器和MANO系統(tǒng)。SDN控制器根據(jù)來自安全控制層的策略，實(shí)現(xiàn)流量的編排、管理。MANO系統(tǒng)實(shí)現(xiàn)對(duì)安全功能需要的虛擬化資源的編排、管理，以及虛擬安全網(wǎng)元的生命周期管理。

（5）資源池：包含硬件資源、安全資源池以及業(yè)務(wù)資源池。

（6）安全管控系統(tǒng)：包含統(tǒng)一賬號(hào)管理、認(rèn)證管理、授權(quán)管理以及審計(jì)管理，可將安全控制器、智能分析與可視化工具等統(tǒng)一納入至安全管控體系。

3.3 軟件定義的5G網(wǎng)絡(luò)安全

能力架構(gòu)優(yōu)勢

通過構(gòu)建基于軟件定義的5G安全能力架構(gòu)，能夠?qū)崿F(xiàn)5G網(wǎng)絡(luò)模塊化的、可調(diào)用的、快速部署的內(nèi)生安全能力，能夠更好地滿足5G業(yè)務(wù)多樣化和5G系統(tǒng)架構(gòu)變遷所帶來的安全新需求。

（1）安全能力模塊化管理，實(shí)現(xiàn)架構(gòu)的可擴(kuò)展和可編排。

基于軟件定義的架構(gòu)，可以將網(wǎng)絡(luò)安全能力進(jìn)行獨(dú)立的服務(wù)化定義，封裝為安全能力模塊。其他功能在授權(quán)的基礎(chǔ)上，可以調(diào)用此安全能力模塊。這里安全能力包括用戶身份管理、認(rèn)證鑒權(quán)、密鑰管理及安全上下文的管理等。安全能力的模塊化增強(qiáng)了安全能力的精細(xì)靈活化管理，支持基于安全編排的彈性靈活調(diào)用，同時(shí)支持對(duì)調(diào)用安全能力的授權(quán)。5G網(wǎng)絡(luò)內(nèi)的安全能力以模塊化的方式部署，并能夠通過相應(yīng)接口方便調(diào)用。通過組合不同的安全功能，可以靈活地提供安全能力以滿足多種業(yè)務(wù)的安全需求。

（2）安全功能的快速部署以及調(diào)用。

基于軟件定義的架構(gòu)，在安全能力模塊化的、可調(diào)用的、可組合的基礎(chǔ)之上，可實(shí)現(xiàn)安全功能自動(dòng)化管理，包括安全功能的部署、編排、配置、調(diào)用等。相對(duì)于傳統(tǒng)的人工配置的方式，該架構(gòu)可以極大地提高效率，節(jié)省成本，使垂直行業(yè)可以直接安全地部署業(yè)務(wù)，從而降低了業(yè)務(wù)門檻并縮短部署時(shí)間。

（3）安全能力開放，實(shí)現(xiàn)價(jià)值的共贏。

基于軟件定義的架構(gòu)，垂直行業(yè)可以直接使用運(yùn)營商開放的安全能力，降低了一些新型垂直行業(yè)的業(yè)務(wù)門檻和成本，縮短上市時(shí)間。通過安全能力開放，運(yùn)營商可以盤活網(wǎng)絡(luò)資產(chǎn)和基礎(chǔ)設(shè)施，開創(chuàng)新的利益增長點(diǎn);可以打破管道化運(yùn)營和封閉網(wǎng)絡(luò)模式，以電信網(wǎng)絡(luò)為中心構(gòu)建安全生態(tài)系統(tǒng);可以提升差異化競爭力，形成運(yùn)營商、垂直行業(yè)、安全廠商、個(gè)人用戶的生態(tài)鏈，合作共贏共創(chuàng)商業(yè)價(jià)值。

4 結(jié)束語

5G安全需要針對(duì)更加多樣化的應(yīng)用場景、差異化的網(wǎng)絡(luò)服務(wù)方式以及新型網(wǎng)絡(luò)架構(gòu)，提供全方位的安全保障。目前，5G試商用化工作正在全面啟動(dòng)，因此盡早明確5G網(wǎng)絡(luò)安全需求，建設(shè)符合5G安全需求和網(wǎng)絡(luò)特性的安全能力架構(gòu)，是當(dāng)前一項(xiàng)緊迫的重要工作。本文中我們基于軟件定義的理念，提出了全新的5G網(wǎng)絡(luò)安全能力架構(gòu)，希望能為5G網(wǎng)絡(luò)安全建設(shè)提供有借鑒性的參考。

參考文獻(xiàn)

[1] 中國電信.中國電信5G技術(shù)白皮書[R].2018

[2] 3GPP.5GSecurity Architecture and Procedures for 5G System：3GPP TS 33.501 version 15.4.0 Release 15[S].2019

[3] 3GPP.System Architecture for the 5G System：3GPP TS 23.501 V16.0.2[S].2019

[4] Open Networking Foundation. Software Defined Networking：the New Norm for Networks[EB/OL].（2013-11-16）[2019-05-22].https：//www.techylib.com/en/view/shapecart/software-defined_networking_the_new_

norm_for_networks

[5] 華為.華為5G安全架構(gòu)白皮書[R].2017

[6] ETSI.Network Functions Virtualization （NFV）Security and Trust Guidance： ETSI GR NFV-SEC 003 V1.2.1[S].2016