基于5G垂直行業應用的安全能力體系研究

張小強 賴材棟 謝崇斌

【摘要】 ? ?隨著5G新基建工作的持續深入推進，給工業互聯網、智能制造等垂直行業應用帶來了新的機遇，同時5G網絡架構也給垂直行業應用安全造成網絡攻擊擴大化、攻擊方式泛在化、安全邊界模糊等新的影響和挑戰。5G垂直行業安全防護是一項涉及終端、網絡、行業應用等眾多環節的復雜系統工程，其中明確的安全需求以及科學的安全技術體系是實現這項復雜系統工程的基礎。鑒于此，本文參考國內外相關標準從終端側、網絡側、應用側、管理側四個視角梳理了5G垂直行業應用的主要安全需求，設計提出5G垂直行業應用系統安全技術體系。該技術體系涵蓋“需求驅動”，“端、網、應用安全”和“安全管理”3個平面以及32項安全能力，可有效指導5G垂直行業安全能力建設，并為5G垂直行業應用安全技術發展與標準化提供有益參考。

【關鍵詞】 ? ?5G ?工業互聯網 ? ?垂直行業 ? ?安全需求 ? ?安全能力體系

引言

隨著5G通信的大規模商用推廣，作為新一代通信網絡基礎設施，在垂直行業應用中的引領地位持續凸顯，而傳統垂直行業應用系統往往專用性強，體系架構相對固定，但隨著5G網絡與垂直行業應用的深度融合，將給垂直行業應用提供靈活、動態的網絡基礎設施。但是在5G帶來了新價值與機遇的同時，5G垂直行業解決方案的靈活性與動態性特性。也給垂直行業應用帶來攻擊面擴大、攻擊方式泛在化、安全邊界模糊等安全挑戰。因此構建安全可信的5G+安全能力體系成為當前的一項重要課題。

為5G垂直行業安全的保駕護航是一項涉及物聯網終端、5G網絡、行業應用等環節的復雜系統工程，其中明確的安全需求、科學的安全技術體系是推動具體安全技術實現這項復雜系統工程的基礎[2]。因此，本文將聚焦以下兩個問題開展5G垂直行業應用安全研究。

問題1：探索分析5G與垂直行業融合的安全需求

問題2：設計構建滿足5G垂直行業安全需求的安全能力體系

一、5G垂直行業應用系統安全需求分析

針對問題1，本節針對5G與垂直行業應用的融合特點，從終端側、網絡側、應用側、管理側四個視角進行探索分析、梳理5G垂直行業應用的主要安全需求。

1.1 5G與垂直行業應用的融合特征

由于5G與垂直行業應用深度融合中，主要是通過網絡高速率、低時延、大連接的特性，主要是通過云化架構、新無線接入、網絡切片、邊緣計算等新技術的綜合使用，從而將相對固定、封閉的垂直行業應用的系統架構，改變為面向服務的動態編排的新型系統架構（如圖1所示），其新特點可概括為[3]：

終端側：呈現異構化、海量化、開放化等特點。具體而言，5G終端形式不再以智能手機為主導，與行業應用各環節深度融合的海量物聯網（IoT）終端將成為終端主流形式之一。

網絡側：引入軟件定義網絡（SDN）和網絡功能虛擬化（NFV）等信息技術，解耦網絡控制面與數據面，實現控制和轉發分離;進一步通過網絡切片技術，使5G網絡能夠為不同垂直行業應用提供靈活的、差異化的服務需求。

應用側： 5G應用將涉及醫療、交通、制造、環保、建筑等行業應用的各個環節，垂直行業應用種類和數量將出現井噴式的增長。

1.2 安全需求分析

針對5G新的安全風險與安全需求。我們主要從終端側、網絡側、應用側、管理側四個視角進行分析。

1.2.1 終端安全需求分析

5G終端的異構化、海量化、開放化等特點將導致5G網絡攻擊向量增大。為了有效抵御5G終端的安全風險，應在終端基礎安全能力的基礎上，從以下兩個方面增強其安全防護與管控能力。

終端可信運行環境構建需求：由于終端的泛在部署和使用，攻擊者更易于針對設備發起物理接口非授權訪問、側信道攻擊等，導致安全威脅向終端硬件層次轉移。因此，需要依托硬件信任根構建終端設備的信任鏈，保證終端運行環境可信，以此建立終端與業務服務之間的信任，實現終端對業務服務的可信訪問。

終端全方位管控需求：如果海量5G終端被攻擊者控制并發起規模化的攻擊，將對關鍵行業應用基礎設施的可靠運行造成巨大威脅。因此，需要對終端設備硬件層、內核層、系統層、應用層等各層行為進行全方位的監測與智能化的分析，從而及時發現并處置相應安全事件。

1.2.2網絡安全需求分析

SDN、NFV以及網絡切片等新技術的使用也帶來了新的安全風險，例如虛擬化技術導致傳統網絡邊界模糊，并引發了虛擬機及虛擬化軟件安全問題。針對上述安全威脅，需要從基礎設施安全防護、虛擬化安全與切片隔離等方面增強對于5G網絡的安全防護，具體而言：

基礎設施安全保障需求：不同于傳統通信系統，網元設備物理上相互獨立，而5G網絡中虛擬網絡功能將集中運行在云化的基礎設施平臺上，不同的網元可能共享相同的物理基礎設備資源。因此，一旦物理基礎設施本身漏洞被利用，所影響的網絡范圍以及損失都將遠超以往。因此，保障基礎設施安全對5G網絡至關重要。

虛擬化安全與切片隔離需求：由于NFV、網絡切片等功能都將通過軟件和虛擬化的方式實現，它們的安全與軟件本身設計的安全性息息相關。為了防止網絡切片間的非法訪問，需要具備網絡切片間的有效隔離。例如，對于遠程醫療服務所在的切片資源，不應能被任何智能汽車從其所使用的車聯網切片直接訪問。

1.2.3應用安全需求分析

為了對5G應用系統提供有效的安全保障，需要從業務訪問控制與應用數據安全保護兩個方面進行安全加固。

行業應用全流程安全防護需求：由于5G網絡在一定程度上延展了由于行業應用訪問的時空限制，增加了對于行業應用非授權訪問的安全威脅。因此，為了確保對特定環境的合規用戶提供特定的權限，需要綜合多因素對用戶狀態進行可信分析，并根據當前可信狀態對用戶的業務訪問權限、數據訪問權限進行控制。

全生命數據安全保護需求：數據安全對于行業用戶的重要程度是不言而喻的，但是，數據在產生、傳輸、存儲以及分析計算等環節均存在數據泄漏風險，因此，需要對數據安全進行全生命周期保護。

1.2.4系統性安全需求分析

考慮到5G垂直行業應用安全防護的復雜性，在增強終端、網絡、應用各個層次的獨立安全防護能力的同時，需要進一步引入系統性安全防御手段，以控制系統殘余風險，并有效應對APT攻擊等安全威脅。

統一身份管理與鑒權需求：由于物聯網設備種類眾多，并且應用場景多元化，需要統一的端到端身份管理與認證機制，提供不同等級的安全訪問服務。

統一安全按需配置需求：由于垂直行業應用具有“千人千面”的安全與性能保障需求，并且具有差異化的終端能力、網絡接入方式和數據類型，而傳統的安全防御措施與機制無法避免降低系統的可靠性、傳輸帶寬，增加時延，難以滿足垂直行業應用對于大連接、高可靠、低時延、大帶寬等性能的要求，因此，5G垂直行業應用的安全防護技術需要按需配置。例如，對于時延敏感應用場景，通過簡化、優化認證機制減少網絡交互時延。

統一安全態勢感知、管理與運維需求：傳統安全防護手段通常是基于先驗知識的靜態防護，并且與物理設備緊耦合。面對震網、Black Energy等日益多樣化、集團式的攻擊，僅依靠傳統安全防護手段難以真正有效的應對。因此，需要引入統一的安全態勢感知、智能安全監測、管理與運維等技術，即結合最新安全態勢知識，采用人工智能、大數據分析等技術，主動檢測并識別系統的易受攻擊點、安全漏洞、異常行為，并且能夠根據所下發的動態安全防護策略實現動態預警、實時響應與處置。

二、 基于5G垂直行業應用的安全能力體系

本節將以ISO/IEC/IEEE 42010：2011系統與軟件架構為指導，在覆蓋本文第二節所梳理的9大安全需求基礎上，提出了如圖2所示的5G垂直行業應用安全能力體系，該體系共包含“需求驅動”，“安全管理”和“端、網、應用安全”3個平面以及32項安全能力。

2.1需求驅動平面

不同垂直行業應用對于安全與性能的需求是“端、網、應用安全”和“安全管理”兩個平面設計的基礎。結合2.2節分析得到的應用安全需求，以及國際電信聯盟（ITU）對于5G應用場景分類方法，我們可以給出“需求驅動平面”的安全與性能關鍵性能指標（KPI）集R={安全需求1， ……， 安全需求9， 帶寬， 吞吐量， 延遲， 抖動， 連接數， 可靠性， 移動速度}。集合R各項指標的具體定義可以針對不同的垂直行業應用具體給出，限于篇幅，這里不再贅述。

2.2端、網、應用安全平面

端、網、應用安全平面包含終端、網絡與應用三個安全子平面。

2.2.1 終端安全子平面

針對構建終端可信運行環境需求，首先終端應具備基于SoC芯片和密碼芯片建立終端硬件信任根的能力;然后，能夠基于硬件度量根及靜動態度量技術建立終端完整性保護鏈，從而建立終端在啟動、運行時信任鏈;同時，能夠在基于系統內核完整性與動態度量及時發現系統受損事件，為信任鏈恢復與重構提供支持。另外，終端可信隔離環境可以為敏感行業應用提供獨立的安全運行環境，為了降低主系統對隔離環境（TEE）的安全威脅，加強對可信執行環境的實時監控能力保障其隔離性。

針對終端全方位管控需求，設計了終端行為感知與分析、主/被動終端管控以及管控行為可信證明三方面的能力。其中，終端行為感知與分析是指獲取終端型號、標識、運行狀態、位置等信息，并綜合使用人工智能、關聯分析等實現終端安全態勢分析;主/被動終端管控則指通過地理圍欄等環境因素自動觸發或通過管控服務器指令下發被動觸發終端軟硬件安全管控策略（包括外設管控、數據訪問管控、應用選通等）執行;管控行為可信證明是通過實時對比分析真實終端操作事件序列和安全管控策略語義，及時發現由內核級的劫持、欺騙、繞過等管控對抗手段導致的管控行為異常，支撐管控策略可信實施。

2.2.2 網絡安全子平面

針對基礎設施安全防護需求，設計了完整性證實、虛擬化安全和物理安全三項能力。完整性證實是指采用基于軟/硬結合的高實時可信計算、設備安全啟動與運行、可信度量等技術，實現對設備固件、OS、虛擬機操作系統等啟動過程、運行過程的完整性證實，以及數據傳輸、存儲與處理的可信驗證。虛擬化安全需要采用hypervisor加固、操作系統隔離、操作系統安全增強、虛擬機監控等技術，實現虛擬化與操作系統的全方位安全防護，應對面向虛擬機逃逸、鏡像篡改等安全風險。物理安全需要對通信機房或網絡云中心提供物理訪問控制、智慧門禁和機房、防盜防破壞、防水防潮、溫度濕度控制、防雷防火防靜電、配電供應、電磁防護和紅黑電源隔離等功能，并結合具體的領域和安全級別要求實施安全管控。

針對虛擬化安全與切片隔離防護需求，設計了虛擬網絡功能軟件安全、網絡協議安全、網絡切片隔離三項能力。虛擬網絡功能軟件安全是指通過對虛擬網絡功能軟件進行靜態、動態檢測，預先發現風險點并進行有效加固;網絡協議安全則指采用協議安全測試、協議安全開發、協議形式化建模與證明等技術，減少協議漏洞;網絡切片隔離采用切片和虛擬網絡功能資源訪問控制機制加強網絡切片間的隔離。

2.2.3 應用安全子平面

針對行業應用全流程安全防護需求，設計了行業應用安全檢測與防護以及多因素可信的業務訪問控制兩項能力。行業應用安全檢測與防護是面向對不同行業應用所使用協議和功能特點，定制化研發行業應用安全防護技術，檢測異常請求、信息泄露、木馬植入等異常行為，對異常行為及時警告、阻斷;多因素可信的業務訪問控制是指基于人員、設備、賬號、時間、位置等因素對用戶狀態進行可信分析，并根據當前可信狀態對用戶的業務訪問權限、數據訪問權限進行控制。

全生命周期數據保護需求應能夠保障數據產生、采集、流轉、存儲、處理、使用、分享、銷毀全生命周期安全，其包含輕量級數據加密、數據安全存儲、敏感數據處理、敏感數據監管四項能力。定制化數據加密是指針對不同應用場景提供定制化的密碼解決方案;數據安全存儲則指采用加密存儲和存儲數據訪問控制等技術應對數據非法訪問、濫用、外泄、篡改等風險;對于關鍵數據采用本地數據備份應對數據意外丟失、污損等風險;對于敏感數據處理，則采用邊緣計算同態加密、安全多方計算、差分隱私等技術，實現對敏感數據處理同時，有效應對敏感數據泄露、篡改等安全風險;同時，采用敏感數據溯源、數據標簽、數據水印等技術，形成對敏感數據的追蹤溯源、敏感數據的流動審計、敏感數據的訪問告警等能力，實現對敏感數據的實時監測。

2.3安全管理平面

安全管理平面是通過端、網、云協同、安全態勢感知、安全編排等技術手段，提升5G垂直行業應用系統安全事件發現、響應與處置能力，其包含統一安全按需配置、統一身份管理與認證、統一安全態勢感知、統一安全管理與運維四項能力。

針對統一身份管理與認證需求，首先構建多維統一身份標識體系，為不同的用戶身份、設備ID、網絡IP、業務賬號分配統一的網絡標識，支持動態標識歷史映射關系檢索，為實現統一認證、威脅發現與追蹤溯源提供重要基礎。進一步，基于多維統一身份標識體系，為海量不同接入方式的終端提供統一認證，并為物聯網節點提供成組認證服務，即一次完成對按照一定原則（如，同屬一個應用、在同一個區域、有相同的行為特征等）組織在一起的大量物聯網節點的認證，同時對時延敏感類的業務提供快速認證服務等。

針對統一安全按需配置需求，建立安全策略與計算、存儲、通信等各種資源的量化關系模型，突破固定的安全防護機制，根據垂直行業應用對于安全、隱私、延遲、抖動、吞吐量、帶寬等KPI的要求，借助SDN、微分段、NFV等技術優化資源配置與分配，動態部署所需的安全機制，并動態配置、升級安全策略，實現系統安全防護體系的動態重構。

針對統一安全態勢感知、管理與運維需求，首先構建細顆粒度的5G垂直行業應用威脅情報庫，支撐5G垂直行業應用安全事件分析與識別能力;然后，基于智能計算、安全大數據、關聯分析、綜合研判等技術主動識別，分析5G垂直行業應用安全事件之間的相關性，預測安全事件的發展趨勢;進一步，利用社團發現方法重構攻擊場景，發現不同主體安全事件之間的關聯關系，采用機器學習方法對攻擊圖中的因果關系和頻繁模式進行挖掘，實現攻擊擴散路徑可視化以及安全事件追蹤溯源;最后，為了有效應對安全事件，建立安全事件應急響應策略庫，針對安全事件下發相應安全策略進行聯動處置。

三、5G垂直行業應用安全技術體系實施方案探討

本節將結合5G+工業制造應用場景，對5G垂直行業安全技術體系從理論到應用的方案進行探討。具體方案如圖3所示。縱向上，該方案體現了系統性安全平面和端、網、應用安全平面的安全能力如何映射到實際部署系統;橫向上，該方案體現了5G垂直行業從終端到應用端到端的安全防護。

由于在5G+工業制造系統中，海量IoT終端將內嵌于機械臂、流水線等工業制造系統，因此，針對終端安全子平面，我們將2.2.1小節提出的終端安全能力集中體現在圖3中的“安全可信IoT終端架構”中。首先，該架構以SoC芯片和密碼芯片等硬件為可信根建立安全啟動機制，構建從硬件可信根到hypervisor，再到內核、系統的安全信任鏈;其次，在內核、系統以及應用層引入了漏洞掃描、權限控制、動態度量、APP加固等功能模塊提升終端全棧的安全防護能力;最后，引入可信隔離環境構建及監測模塊保證可信執行環境的安全性，并在該環境引入管控行為可信證明模塊保證終端管控行為的可信實施。

對于網絡安全子平面的落地實施，首先基于5G網絡自身安全能力為需要相互隔離的IoT終端分配不同的網絡切片標識（NSSAI）;當IoT終端附著注冊時，5G網絡根據請求所攜帶 NSSAI選擇對應的網絡切片。其次，在5G網絡切片中的關鍵虛擬網絡功能上部署軟件探針，實時采集并上報切片訪問行為及使用情況;同時，引入網絡切片隔離管理系統，基于監測信息，結合協議還原識別、靜態特征匹配、動態行為分析、異常行為挖掘等層次化檢測方法及時發現切片安全威脅。最后，使用信令防護系統識別并過濾畸形或異常信令。

對于行業應用安全子平面的落地實施，首先，在企業云中心部署多因素可信的業務訪問控制系統，當IoT終端對發起對企業資源或行業應用發起訪問時，該系統根據IoT終端的訪問時間、所歸屬生產制造設備、賬號/口令信息等因素對IoT終端的狀態進行可信評估，并根據當前可信狀態控制IoT終端的業務訪問權限、數據訪問權限等。其次，為了對工業制造業務系統的邊界提供安全防護，部署面向具體生產制造業務系統的應用安全檢測與防護網關，對工業應用流量進行協議解析，識別并過濾異常訪問、異常流量。部署高安全數據庫，通過數據訪問控制、數據加密等手段保障數據的訪問與存儲安全。

對于安全管理平面的落地實施需要端、網、云相互協同。具體而言，所部屬統一安全按需配置、統一安全態勢感知以及統一安全管理與運維等系統均可基于PDR主動防護模型（包括保護、檢測、響應）工作運行：首先，周期性的采集端、網、云的安全事件與運行狀態，結合最新安全態勢知識，采用人工智能、關聯分析等方法發現端、網、云無法獨立發現的安全事件;然后，針對安全事件確定所需的安全防護策略;最后，通過端、網、云聯動的安全功能編排或安全策略更新實現對安全事件的處置與響應。

四、結束語

安全是5G賦能垂直行業應用健康、有序發展的重要基石。本文針對5G垂直行業應用的“安全需求”與“安全能力體系”開展了以下三方面工作：首先，從終端側、網絡側、應用側、管理側四個視角梳理了5G垂直行業應用的9個主要安全需求;然后，面向安全需求，提出了基于5G垂直行業應用的安全能力體系（共包含“需求驅動”，“安全管理”和“端、網、應用安全”3個平面），并給出了該體系所具備的32項安全能力;最后，結合5G+工業制造應用場景，探討了安全能力體系的實施方案。本文希望為5G垂直行業應用安全技術的發展與標準化提供有益的參考。

參 ?考 ?文 ?獻

[1] 3GPP 33.501， Security architecture and procedures for 5G system （Release 16） [S]. 2020.6

[2]李宏佳，5G 安全：通信與計算融合演進中的需求分析與架構設計 [J]. 信息安全學報，2018.

[3] 3GPP 23.501， System architecture for the 5G System （5GS） （Release 16） [S]. 2020.7

[4] 5G ACIA， 5G for Connected Industries and Automation （2nd Edition）.2019

張小強（1987年—），男，漢族，陜西西安，中國移動通信集團陜西有限公司，通信工程師，互聯網/CDN運營、邊緣計算、安全防護等

賴材棟（1986—），男，漢族，陜西省鎮安縣，中國移動通信集團陜西有限公司，通信工程師，研究方向：互聯網電視、CDN等：

謝崇斌（1978年—），男，漢族，陜西西安，中國移動通信集團陜西有限公司，通信工程師，數通運維、內容網絡運維運營