面向垂直行業的5G安全能力與應用研究

邱 勤 冉 鵬 張 峰 王國宇

(中國移動通信集團有限公司 北京 100032)

(qiuqin@chinamobile.com)

1 安全需求

5G即第五代移動通信技術(5th generation mobile networks或5th generation wireless systems, 5th-Generation)，簡稱5G或5G技術，是繼4G(LTE，LTE-A，WiMax)、3G(WCDMA，TDS-CDMA，CDMA2000)和2G(GSM)系統之后的延伸.5G引入了服務化架構(service based architecture, SBA)、軟件定義網絡(SDN)、網絡功能虛擬化(NFV)、網絡切片(network slicing)、多接入邊緣計算(MEC)等新技術，具備高數據速率、低傳輸延遲和大規模設備連接等新特性,使得通信網絡具備更加豐富的應用場景，從傳統的人與人通信延伸覆蓋到人與物、物與物之間的智能互聯，是支撐數字經濟發展和產業轉型升級的關鍵基礎設施[1].當前，我國已建成5G基站70余萬個,成為全球規模最大的5G通信網絡[2]，5G在工業、能源、交通、醫療等行業的應用也處于加速發展階段，為各行業數字化轉型、降本增效發揮重要作用.5G行業應用面臨空口劫持、邊緣節點入侵、切片越權訪問、虛擬化網絡設施隔離不當等復雜安全風險[3]，僅靠應用方自身開展安全防護往往孤木難支[4]，而且不能充分發揮5G網絡自身的安全優勢.網絡提供方如何基于5G的網絡切片、網絡功能開放等技術為行業應用提供一站式、高效、靈活的安全服務能力成為業界關注的焦點[1].

5G行業應用的安全需求可大致分為網絡通用、行業特有2類(如表1所示)，前者提供與行業特點松耦合的網絡通用標準化安全能力，如接入安全認證、切片安全隔離等；后者從行業監管要求、業務特點出發，提供與行業緊耦合的綜合解決方案，如5G智能電網安全解決方案、5G智慧港口安全解決方案等.

表1 典型的5G安全能力需求

2 技術標準

為滿足5G行業應用差異化、多層次的安全需求，相關標準組織在網絡基礎架構、安全關鍵能力和服務接口等方面積極開展工作，推動5G安全保障和應用服務，保障5G安全的互信互任.其中3GPP[5]主要針對5G網絡(系統、核心網、無線等)、5G業務安全認證、5G業務能力開放框架安全等方面規范了安全流程及機制；ITU針對通信即服務(CaaS)應用程序環境，提出身份欺詐、協調安全、多設備安全、反垃圾郵件、隱私保護、基礎設施攻擊、基礎設施攻擊、內部網攻擊等方面的安全要求；GSMA基于網絡切片，提供安全的必選特性和可選特性.

相關標準簡介如表2所示:

表2 5G安全能力相關標準

3 安全服務參考模型

基于標準定義的5G服務化架構，5G網絡在業務性能上具有動態按需、定制化、分級服務等級協議(service-level agreement, SLA)保障的特點.目前業界普遍認為5G網絡與應用服務提供商應適應5G網絡特點，構建可動態編排的安全服務架構，以滿足不同行業差異化的網絡安全需求.

在傳統高中語文作文教學中，教師作為教學主體，學生只能被動接受。學生寫好作文后，由教師一一審閱，教師雖是教學的引導者，但是教師作為一個個體，思想也有局限性，因此站在教師的角度和立場去評判所有學生的作文，未免太過片面，而不同的學生有不同的思想，不同思想的碰撞，會發出耀眼的光芒，所以應該開展學生之間的互相評審和自評，讓學生在自評和互評的過程中認識自己的不足。通過學生的探討，學習別人的長處，認識自己的短處，做到優勢互補，共同進步。最后，教師和學生進行共同總結，為了以后更好地寫作。

本文通過分層解耦5G網絡安全能力，整合通用安全能力，提出基于微服務可動態編排的5G安全服務參考模型，如圖1所示:

圖1中安全運營模塊完成客戶運營管理、能力編排管理、數據統計等功能；5G網絡安全能力模塊包含切片認證、切片隔離、UPF防護、空口加密等網絡原生安全能力，并適配3GPP等國際標準；通用安全能力模塊包含數據識別、等保測評、DDoS防護等通用能力，該類能力對照關鍵基礎設施管理要求和等保2.0等標準，重點滿足網絡安全保障、網絡安全事件應急、數據安全保護等安全監管要求.在部署方式上，該模型采用分布式技術承載安全知識庫、威脅情報庫等知識庫，以熱拔插方式引入通用安全能力，形成5G應用與數據安全能力池，并通過API+SaaS靈活擴展微服務化的5G內生安全能力和通用安全能力，為行業客戶提供可定制化、差異化的安全服務.

3.1 5G網絡安全能力

3.1.1 多層次鑒權認證能力

5G提供雙向鑒權認證機制，既可防止虛假終端或用戶接入網絡，也可防止終端或用戶接入虛假網絡；支持網絡切片認證機制，即在用戶接入網絡并完成認證之后，為接入特定業務建立數據通道而進行的認證；同時支持通過二次認證實現外部數據網絡的AAA服務器對與其有簽約關系的終端進行認證，根據認證是否成功來決定該終端是否被允許接入上述業務系統.

3.1.2 端到端網絡切片隔離能力

基于縱深防御理念，提供從接入網、傳輸網、核心網的端到端網絡切片隔離微服務能力.其中在接入網側，通過物理資源承載(physical resource bearer, PRB)獨享、數據資源承載(data resource bearer, DRB)共享等方式提供切片服務；在傳輸網側，通過VLAN/VPN,FlexE等技術提供軟/硬隔離服務；在核心網側，對不同切片提供獨享硬件資源，對切片內不同業務提供虛擬機區分的邏輯隔離.

3.1.3 基于MEC的數據安全防護能力

針對越來越多的行業客戶對業務數據不出園區的安全要求，提供基于MEC的從終端到業務系統的端到端數據安全防護手段，確保僅合法終端接入，建立數據加密傳輸安全通道，保障MEP(邊緣計算平臺)自身數據安全.

3.2 通用安全能力

基于運營商增值業務體系，通過網絡切片，MEC為客戶提供安全服務能力，主要包括：

1) 在網絡側部署安全設備或者安全功能模塊.通過流調度的方式讓特定應用流量依次經過這些安全模塊，提供縱深防御.比如，運營商網絡可以為切片應用的入站流量依次提供抗DDoS攻擊、基于防火墻的訪問控制、IPS、WAF等功能.

2) 在資源豐富的MEC側部署安全資源池.通過安全能力資源池與MEC節點的UPF或網關設備對接以及策略路由或SDN方式實現對MEC本地流量及互聯網流量的安全檢測.運營商可提供防火墻、WAF、抗DDoS、系統漏掃、Web漏掃、物聯網卡風險監測、不良信息監控等開放安全能力.

4 面向垂直行業的安全實踐

4.1 業務背景

引入5G對港口進行高速、無線化改造，提供網絡切片、MEC下沉等網絡服務，對作業區域內設備信息、物流信息、運轉過程信息等進行數據采集、監控和智能化分析.該應用安全要求高，需防范網絡攻擊、非法用戶訪問業務、信息泄露等風險，要求5G網絡運營商同步提供按需定制的安全服務，如圖2所示:

圖2 智慧港口5G安全服務能力集

4.2 安全能力供給

基于5G安全服務參考模型，運營商分別通過API，SaaS微服務方式向智慧港口行業提供定制化的安全服務.運營商的網絡安全能力(如網絡接入認證、二次認證等)由網絡開放功能NEF(network exposure function)以API方式提供給智慧港口行業應用開發者，應用開發者可在業務邏輯中按需調用.同時，在MEC側部署安全設備資源池(如：抗DDoS設備、IPS、WAF等)方式，基于軟件定義安全SDSec的理念，通過軟件編程方式調配安全設備資源，實現靈活的通用安全能力微服務化.

4.2.1 無線接入認證

開啟5G CPE和基站之間無線空口的機密性和完整性保護，CPE開啟和配置MAC/IP接入白名單，防止虛假終端接入CPE,支持網絡連接防火墻，使連接CPE的港區龍門吊、攝像頭等在享受網絡服務同時，控制網絡訪問權限.使用SUPI加密方式進行網絡鑒權，可有效防止終端/用戶標識ID泄露；對網絡切片接入場景，在安全上下文建立后5G可對切片選擇信息進行加密保護，防止切片選擇信息泄露.

4.2.2 MEC安全防護

根據港口業務場景，MEC需下沉至園區機房.針對MEP進行安全加固，加強MEP管理安全、數據存儲和傳輸安全，引入可信計算技術，從系統啟動到上層應用逐級驗證，構建可信MEP.MEC同時連接港口業務網絡、運營商核心網，采用邊界防御、內外部認證、隔離與加密等防護技術做好安全隔離.保障APP安全性，提供APP安全評估服務.通過軟件編程方式調配MEC側部署的安全資源池，并通過資源池與UPF或網關設備對接以及策略路由或SDN方式實現對MEC本地流量及互聯網流量的安全檢測.

4.2.3 網絡切片隔離

5G可為港口終端或用戶提供接入切片的認證，保障按終端請求及切片選擇輔助信息NSSAI接入授權切片；同時5G可對NSSAI提供隱私保護，保證合法用戶終端接入合法切片，并對非目標終端和網絡設備屏蔽相關信息.可為敏感數據開啟數據機密性、完整性保護機制，根據用戶需求，可以在終端與基站間、基站與AMF網元間、基站與UPF間、UPF與電力監控系統間開啟IPsec加密機制.

4.2.4 安全運營

基于運營商專業的安全咨詢服務，協助港口用戶建立安全應急體系，完善網絡安全應急預案.協助開展實戰型網絡安全應急演練，提升網絡安全事件應急快速響應能力，降低網絡非正常運行對公共安全、港口業務的影響.

基于運營商專業的安全測評服務，針對港口終端、業務系統，提供安全測評服務，如：等保定級評估、等級保護能力評測、惡意代碼檢測、安全配置核查、安全加固、補丁升級等.

5 總 結

5G網絡在賦能千行百業的同時，也面臨關鍵基礎設施保護、垂直行業融合應用安全等新挑戰：一方面，國家主管部門對5G等關鍵信息基礎設施保護提出加快構建網絡安全保障體系[6]、全面加強網絡安全檢查、建立健全網絡安全事件應急工作機制、提高應對網絡安全事件的能力等要求；另一方面，不同行業對5G應用模式和安全需求差異較大，5G與制造、能源、交通等行業融合后面臨的安全風險更為復雜，需要運營商和專業安全機構提供符合5G特點的差異化安全服務保障能力.基于3GPP等標準定義的5G網絡及安全能力開放關鍵技術，不僅可以保障5G安全的互信互任，同時可以將運營商網絡的業務能力、網絡能力以及安全能力安全可靠地開放給第三方應用，使其按照各自的需求設計定制化的業務應用[7].

本文從5G安全需求和標準基礎出發，分析了5G網絡安全能力、通用安全能力，提出了基于微服務可動態編排的安全服務模型，介紹了該模型在5G智慧港口應用中的實踐情況，具有快速實現、按需定制、分級防護的特點，為發揮5G安全優勢，保障行業應用健康發展提供技術、方案和實踐參考.