5G 環(huán)境下網(wǎng)絡(luò)等級(jí)保護(hù)工作策略研究

馬 遙

（黑龍江省網(wǎng)絡(luò)空間研究中心，黑龍江 哈爾濱 150090）

1 5G 技術(shù)及其網(wǎng)絡(luò)等級(jí)保護(hù)的難點(diǎn)

作為新一代蜂窩移動(dòng)通信技術(shù)，5G 技術(shù)的應(yīng)用場(chǎng)景包括增強(qiáng)型移動(dòng)寬帶、大規(guī)模機(jī)器類型通信、超低延遲和超高可靠性通信[1]。5G 網(wǎng)絡(luò)環(huán)境支持網(wǎng)絡(luò)虛擬化、軟件自定義以及差異化服務(wù)的網(wǎng)絡(luò)切片技術(shù)，以高效、低延遲為特征的移動(dòng)邊緣計(jì)算技術(shù)等。5G 技術(shù)的商用目標(biāo)是在超高流量密度和連接數(shù)密度的環(huán)境下，為垂直行業(yè)提供通信、連接和計(jì)算服務(wù)。與5G 網(wǎng)絡(luò)全新的網(wǎng)絡(luò)模式和通信服務(wù)相對(duì)應(yīng)的，各運(yùn)營(yíng)商也要為第三方或垂直行業(yè)提供開(kāi)放的網(wǎng)絡(luò)等級(jí)保護(hù)服務(wù)，如接入認(rèn)證、用戶授權(quán)等。5G 環(huán)境下網(wǎng)絡(luò)等級(jí)保護(hù)的難點(diǎn)在于如下2 點(diǎn)。

（1）技術(shù)融合使得安全防護(hù)難度增大。5G 技術(shù)網(wǎng)絡(luò)等級(jí)保護(hù)對(duì)象不僅要面臨以往的網(wǎng)絡(luò)安全威脅，在防護(hù)工作中還要應(yīng)對(duì)5G 技術(shù)本身融入的多種技術(shù)所帶來(lái)的安全風(fēng)險(xiǎn)。5G 技術(shù)涉及的新技術(shù)包括超密集異構(gòu)網(wǎng)絡(luò)、自組織網(wǎng)絡(luò)、內(nèi)容分發(fā)網(wǎng)絡(luò)、M2M 通信等，這些技術(shù)所涉獵的網(wǎng)絡(luò)防護(hù)技術(shù)又是千頭萬(wàn)緒，這些技術(shù)融合在一起必然會(huì)使得安全防護(hù)的難度系數(shù)大大提高[2]。

（2）等級(jí)保護(hù)對(duì)象的安全職責(zé)界定困難。5G 網(wǎng)絡(luò)除了原有的通信功能外，借助高效、低延遲的技術(shù)特征可以為運(yùn)營(yíng)商和第三方垂直業(yè)務(wù)用戶提供更加豐富的網(wǎng)絡(luò)服務(wù)，同時(shí)也大大增加了網(wǎng)絡(luò)保護(hù)對(duì)象的安全職責(zé)劃分界定難度。在原有的安全防護(hù)策略中，安全區(qū)域的設(shè)置是根據(jù)等級(jí)保護(hù)對(duì)象劃分的，但在5G 網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)虛擬資源是切片化使用的，不同業(yè)務(wù)的用戶是按照邏輯邊界來(lái)申請(qǐng)的，而不是物理邊界。例如，云計(jì)算服務(wù)可以為自動(dòng)駕駛提供服務(wù)，也可以為氣象預(yù)報(bào)提供服務(wù)，但是提供的運(yùn)算服務(wù)是并行的，無(wú)法為每個(gè)類型或每個(gè)特定的用戶流量進(jìn)行安全策略的部署，只有運(yùn)營(yíng)商能夠提供網(wǎng)絡(luò)環(huán)境下的安全等級(jí)防護(hù)服務(wù)。因此，在5G 網(wǎng)絡(luò)的等級(jí)保護(hù)工作中，如何界定運(yùn)營(yíng)商、第三方垂直用戶之間的安全職責(zé)是要根據(jù)實(shí)際情況來(lái)分析和確定的，這也使得防護(hù)工作更加復(fù)雜和困難[3]。

2 5G 技術(shù)的安全目標(biāo)

不同于4G 技術(shù)及之前版本的單一傳輸管道和控制模型，5G 技術(shù)實(shí)現(xiàn)了以業(yè)務(wù)為中心、功能模塊化以及可編程網(wǎng)絡(luò)為核心的業(yè)務(wù)模型。借助通用的通信基礎(chǔ)設(shè)施，5G 技術(shù)為不同的業(yè)務(wù)對(duì)象提供定制化的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)了網(wǎng)絡(luò)資源和軟件系統(tǒng)的重構(gòu)化管理。因此，5G 技術(shù)的安全需求也不僅限于網(wǎng)絡(luò)安全本身，還要為虛擬網(wǎng)絡(luò)和業(yè)務(wù)對(duì)象設(shè)計(jì)不同的安全架構(gòu)來(lái)支持多種認(rèn)證模式和業(yè)務(wù)場(chǎng)景。

5G 系統(tǒng)的安全目標(biāo)是在4G 網(wǎng)絡(luò)安全機(jī)制的基礎(chǔ)之上，建立以用戶為中心的滿足服務(wù)化安全需求的安全體系架構(gòu)，為用戶空口接入提供統(tǒng)一的認(rèn)證機(jī)制，為用戶與網(wǎng)絡(luò)之間的空口傳輸?shù)男帕詈陀脩魯?shù)據(jù)提供機(jī)密性、完整性和抗重放保護(hù)，提供用戶身份隱私的保護(hù)、密鑰的協(xié)商、安全保護(hù)同步等機(jī)制，確保5G 網(wǎng)絡(luò)能夠防范未授權(quán)用戶訪問(wèn)、中間人攻擊、用戶身份及隱私竊取、服務(wù)網(wǎng)絡(luò)的假冒以及拒絕服務(wù)攻擊等。

3 5G 環(huán)境下等級(jí)保護(hù)工作開(kāi)展策略

3.1 等級(jí)保護(hù)對(duì)象識(shí)別的新標(biāo)準(zhǔn)

3.1.1 切片網(wǎng)絡(luò)服務(wù)的等級(jí)保護(hù)對(duì)象

網(wǎng)絡(luò)切片服務(wù)平臺(tái)及應(yīng)用是5G 網(wǎng)絡(luò)商用部署后產(chǎn)生的一類新型等級(jí)保護(hù)對(duì)象。網(wǎng)絡(luò)切片服務(wù)平臺(tái)及應(yīng)用涉及的責(zé)任主體包括網(wǎng)絡(luò)運(yùn)營(yíng)商和提供垂直通信服務(wù)的業(yè)務(wù)供應(yīng)商。不同于原有的移動(dòng)通信網(wǎng)絡(luò)等級(jí)保護(hù)對(duì)象劃分規(guī)則，網(wǎng)絡(luò)切片服務(wù)平臺(tái)及應(yīng)用要與通信網(wǎng)絡(luò)、供應(yīng)商、垂直業(yè)務(wù)供應(yīng)商進(jìn)行交叉等級(jí)劃分。一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商管理的通信網(wǎng)絡(luò)除了要考慮網(wǎng)絡(luò)物理區(qū)域外，還要對(duì)網(wǎng)絡(luò)切片服務(wù)領(lǐng)域、租用方的安全保護(hù)等級(jí)進(jìn)行多維度劃分。

3.1.2 MEC 平臺(tái)及應(yīng)用的等級(jí)保護(hù)對(duì)象

MEC 邊緣計(jì)算節(jié)點(diǎn)也是5G 網(wǎng)絡(luò)商用部署后新引入的等級(jí)保護(hù)對(duì)象，具備云計(jì)算的部分特征。MEC 平臺(tái)的業(yè)務(wù)系統(tǒng)包括服務(wù)器、應(yīng)用程序、客戶終端、業(yè)務(wù)數(shù)據(jù)等，這些具備等級(jí)保護(hù)對(duì)象特征的終端節(jié)點(diǎn)具有臨時(shí)性和移動(dòng)性的特點(diǎn)，會(huì)根據(jù)業(yè)務(wù)類型的不同而不斷發(fā)生變化，不能按照業(yè)務(wù)系統(tǒng)來(lái)劃分等級(jí)保護(hù)對(duì)象。現(xiàn)在針對(duì)MEC 平臺(tái)等級(jí)保護(hù)對(duì)象劃分的討論主要圍繞2 個(gè)問(wèn)題展開(kāi)，第一是是否將終端考慮在劃分定級(jí)對(duì)象的策略中，第二是MEC 平臺(tái)的業(yè)務(wù)系統(tǒng)都是分布式部署，等級(jí)保護(hù)對(duì)象劃分是按照邏輯劃分還是按照物理劃分[4]。

3.2 等級(jí)保護(hù)對(duì)象的測(cè)評(píng)難點(diǎn)

3.2.1 新技術(shù)的可靠性驗(yàn)證

5G 網(wǎng)絡(luò)引入了很多新的技術(shù)，如網(wǎng)絡(luò)切片、MEC、NFV 和SDN 等，這些技術(shù)的原理和實(shí)現(xiàn)機(jī)制是否能再應(yīng)用過(guò)程中保證有效性和安全性是目前5G 等級(jí)保護(hù)對(duì)象測(cè)評(píng)的一大難點(diǎn)。網(wǎng)絡(luò)切片的生成、切片之間的有效隔離、切片內(nèi)部的業(yè)務(wù)系統(tǒng)安全隔離等可靠性技術(shù)都存在驗(yàn)證的困難。MEC 業(yè)務(wù)系統(tǒng)中的節(jié)點(diǎn)、控制器交互可靠性，MEC 內(nèi)多個(gè)終端的授權(quán)、鑒別和一致性驗(yàn)證方法也存在較大困難。

3.2.2 數(shù)據(jù)傳輸安全

5G 網(wǎng)絡(luò)的高效通行涉及很多遠(yuǎn)程傳輸場(chǎng)景，如服務(wù)器與終端、基站與終端、基站與核心網(wǎng)之間、MEC系統(tǒng)與核心網(wǎng)之間均要進(jìn)行遠(yuǎn)程傳輸。這些傳輸過(guò)程中的身份鑒別和有效性驗(yàn)證方法也是5G 網(wǎng)絡(luò)等級(jí)保護(hù)對(duì)象測(cè)評(píng)的一大難點(diǎn)。

3.2.3 新型終端的抽樣評(píng)測(cè)

5G 網(wǎng)絡(luò)支持多種移動(dòng)互聯(lián)設(shè)備，如可穿戴設(shè)備、智能交通工具等，這些智能終端普遍具有泛在化特征。對(duì)于這些大量存在的泛在化終端，如何進(jìn)行有效抽樣測(cè)評(píng)來(lái)保證等級(jí)保護(hù)對(duì)象的可靠性也是測(cè)評(píng)的一大難題。

4 結(jié) 論

針對(duì)5G 新技術(shù)特征和業(yè)務(wù)模式，原有的網(wǎng)絡(luò)安全等級(jí)保護(hù)體系必須在計(jì)算機(jī)、通信、云計(jì)算等領(lǐng)域進(jìn)行策略變更。有關(guān)部門也要抓緊制定符合5G 網(wǎng)絡(luò)環(huán)境實(shí)際情況的等級(jí)保護(hù)對(duì)象定級(jí)制度，完善定級(jí)、保護(hù)、測(cè)評(píng)和管理的工作內(nèi)容，為5G 的商用部署應(yīng)用提供有效的政策保障和技術(shù)保障。