基于圖數據庫的5G 數據流轉安全防護機制

粟栗，陸黎，張星，劉暢

（中國移動通信有限公司研究院，北京 100032）

1 引言

5G 作為賦能各行業數字化轉型、促進商業模式創新和經濟發展的新型信息化關鍵基礎設施，5G 數據的安全具有重要的意義。首先，隨著網絡數據量的激增、數據應用的蓬勃發展，數據安全已成為個人用戶、行業用戶乃至國家政府共同關注的重要問題，國家發布了系列法律加強數據安全監管，5G 作為我國“新基建”之首，其數據安全不僅關乎運營商數據合規性，更影響著國家的安全。其次，5G 網絡具備高速率、低時延、大連接的特性[1]，為電力能源、交通運輸及工業制造等垂直行業的廣泛接入提供了條件，進一步促進了網絡與業務的融合，也使得5G 數據的安全與經濟安全緊密相關。

5G 網絡采用全新的SBA（service base2 architecture，基于服務的架構），引入了網絡功能虛擬化、網絡切片、邊緣計算等新技術，并將傳統的人與人通信能力擴展到物與物之間[2]，在大幅提升移動通信網業務能力的同時，也讓5G數據安全面臨一些新的挑戰：一是海量數據種類多、保護難度大；二是數據流轉場景復雜加大安全防護復雜度；三是新技術引入帶來潛在安全風險[3]。

參考文獻[4]提出了5G 數據的技術和管理手段，但主要針對用戶數據的隱私安全。參考文獻[5]主要針對電信云自身的安全，提出5G 虛擬化平臺中的數據安全機制。參考文獻[6]主要討論了5G 網絡中可能的漏洞，并針對漏洞提出相應解決辦法。參考文獻[7]根據數據的機密性、完整性及可用性被破壞后產生的影響對數據分類，主要通過不同級別的加密方式保護虛擬化網絡中的重要數據。參考文獻[8]主要描述了5G 安全架構和5G 主要安全問題，以及對應解決方案。

考慮5G 數據的動態流轉特性以及巨大的數據量和復雜的數據安全挑戰，僅對已識別出的5G網絡漏洞和安全問題設計解決方案，不足以維護數據全流程的安全，要對所有數據施加高安全級別的保護并屏蔽所有風險也是不切實際的[9]，所以要更加系統地識別、分析5G 中的各類數據，并制定對應的防護措施。因此，對于5G 網絡涉及的各類數據，需要進行如下分析：一識別數據，確定數據類型與重要性；二識別數據的流轉過程，明確數據流轉場景；三結合數據生命周期制定防護措施。本文提出一種基于圖數據庫的數據安全標記模型，在5G 數據分類分級的基礎上，創新結合數據流轉與操作的特性，形成四維向量模型。基于圖數據庫進行分析，可對網絡數據進行全生命周期管理，并最終形成全程全網的安全防護機制。

2 5G 數據安全需求

為了分析5G 數據安全，必須首先識別5G 數據，即對5G 數據進行分類分級，識別不同數據類型的安全保護需求，確定針對不同級別數據的基本安全防護措施。

2.1 5G 網絡關鍵數據

在5G 網絡中，涉及多種類型的數據，基于ITU-T X.805[10]的定義，可以將其映射到控制平面、用戶平面、管理平面。在本文中，控制平面數據包括實現網元之間的信息通信活動以及為用戶提供適當服務所必需的數據；用戶平面數據包括5G 用戶訪問和使用5G 網絡而產生的實際用戶數據流；管理平面數據包括網元及切片生命周期管理、操作維護管理涉及的數據。3 個平面的主要數據示例見表1[11-20]。

表1 主要數據示例

2.2 5G 數據安全防護需求

3 個平面數據及每個平面細分數據種類因泄露或遭到篡改、破壞后，受到的不良影響程度不同，從而數據的安全需求也不一樣。安全防護級別與防護需求相匹配，可降低安全防護成本，實現安全性與實施成本之間的平衡。《信息安全技術大數據安全管理指南》[21]對電信行業數據分類分級進行了示例，參考標準中的數據分類分級，本文將5G 數據安全防護等級分為4 級、10 個子類；安全防護需求隨級別升高而遞增，每個安全防護等級包含一個或多個子類，每個子類下是屬于3 個平面的細分數據類型，見表2。“√”表示3 個數據平面各包含的數據類型。

表2 5G 數據分類分級

第1 級數據是業務訂購關系，安全防護需求最低，在5G 網絡關鍵數據中業務訂購關系指用戶的簽約數據。第2 級數據一方面是終端的資料和標識，另一方面是用戶的消費數據，分別包含終端標識、終端能力、終端配置等終端的數據，以及計費信息等用戶消費記錄。第3 級數據的4 個子類從上至下分別對應：（1）UE（user equipment，用戶設備）上下文、會話管理數據等與用戶服務緊密相關的控制平面數據及網元生成的操作日志、系統日志等服務記錄和各類日志信息；（2）用戶服務內容和資料數據；（3）用戶位置數據；（4）用戶網絡身份標識數據。第4 級數據包含的3 個子類從上至下分別對應：（1）網元及管理系統的認證、密鑰、賬號數據；（2）用戶的鑒權數據；（3）切片配置、運營狀態監控信息等與5G 設備及系統資源相關數據。由于5G 會接入大量行業用戶，可能涉及安全防護需求極高的用戶數據，安全防護等級會超越目前最高的“第4 級”，本文暫不討論該類型特殊數據。

2.3 5G 數據生命周期安全防護

不同級別數據在生命周期各階段均存在安全需求。根據相關標準[22]定義，本文將5G 數據生命周期分為數據采集、數據傳輸、數據存儲、數據處理、數據銷毀階段。本文綜合數據安全防護等級及通信行業標準等技術要求，定義了4 級5G 數據安全防護等級對應的生命周期基本防護措施，見表3，其中每級安全防護措施均在下一級基礎上增強。

3 5G 數據流轉分析

每個平面的數據根據既定的機制和規則在不同網元、設備或系統間流轉。控制面數據種類多、流轉場景復雜，用戶發起業務或位置變動、網元業務活動等均會觸發數據流轉。根據控制平面數據在流轉過程中傳輸通道兩端設備所屬網絡域不同，5G 控制平面數據流轉可包含多種場景[10]。控制平面數據流轉如圖1 所示。

用戶數據主要在終端、基站、UPF（user plane function，用戶平面功能）與外部數據網絡之間傳遞，對于邊緣計算場景，用戶數據可從分流UPF直接卸載到邊緣計算節點或從基站直接接入邊緣計算平臺。用戶平面數據流轉如圖1 所示。管理數據主要在網元、網管、MANO（management an2 orchestration，管理和編排）[17]和切片管理系統內部及系統間流轉，并可能與第三方平臺及業務支撐系統間交互[17-20]。管理平面數據流轉如圖2 所示。

表3 數據安全防護等級與安全措施對應

圖1 5G 數據流轉（圖中僅畫出主要流轉關系）

圖2 5G 管理數據流轉

4 基于圖數據庫的5G 數據安全模型

5G 數據種類多樣且存在復雜的流轉場景，僅依靠數據防護等級與安全機制的映射無法滿足運營商數據安全保護需求[23]。5G 數據安全防護需要考慮多樣化的數據流動、復雜的數據操作等情況，并最終落地到網絡節點或專門的安全設備。本文提出一種基于圖數據庫的安全模型，基于該安全模型能夠建立細粒度、動態的5G 數據安全體系，為動態流轉的5G 數據提供有效的安全保障。

4.1 基本結構

本文提出的5G 數據安全模型以5G 網絡中的主要網絡功能或系統組件為節點，節點功能名稱作為節點標簽，節點中的數據類型及可對該數據執行的操作作為節點屬性，如 [數據類型，數據操作]。兩兩節點間數據流向及節點之間的操作作為節點間的有向邊，邊屬性分別為傳輸的數據類型以及數據操作與數據類型值對。此安全模型抽象出包括網絡節點、數據種類、數據操作以及數據流向4 種主要元素在內的5G 全網數據流轉圖譜。5G 數據安全模型基本結構如圖3 所示。

圖譜中網絡節點具體包括5G 網元、網管系統各組件、MANO 各組件、切片管理系統各組件。節點對數據的操作包括采集（含導入、配置等）、存儲、處理（包括修改、計算、查詢、導出等）、刪除、轉發。如UDM（unifie2 2ata management，統一數據管理）網元主要涉及用戶標識、用戶鑒權、簽約、UE 上下文數據，對用戶標識、用戶鑒權、簽約數據可執行的操作一般包括采集、存儲、處理、轉發、刪除，對UE 上下文可執行的操作一般包括存儲、轉發、刪除，則UDM 節點屬性包含[用戶標識，（采集、存儲、處理、轉發、刪除）]、[用戶簽約數據，（采集、存儲、處理、轉發、刪除）]、[用戶鑒權，（采集、存儲、處理、轉發、刪除）]及[UE 上下文，（存儲、轉發、刪除）]屬性值。節點之間每傳遞一種數據，節點間就增加一條有向邊，邊屬性即傳遞的數據類型；節點間每進行一種數據操作，節點間同樣增加一條有向邊，邊屬性為數據操作及操作的相應數據類型。

圖3 5G 數據安全模型基本結構

4.2 構建過程

根據已有數據節點備案信息、數據分類分析結果及數據流轉知識可以建立靜態的5G 全網安全模型，該模型不包含屬性為數據操作及數據類型的邊，僅根據5G 數據流轉場景構建節點間靜態數據流轉關系，參考圖1 及圖2 中節點間的連接關系。但是5G 網絡是動態變化的，靜態的模型難以滿足動態網絡安全需求，本文通過對網絡數據的采集及實時分析，形成與網絡當前場景相匹配的，基于圖數據庫的全網動態安全模型。動態安全模型構建過程如下。

（1）網絡節點發現：首先采用資產發現技術對專網中節點進行掃描，自動發現網絡節點，將節點IP 地址及相關信息導入圖數據庫，建立安全模型主體架構。其次，將IP 地址與MANO 中VNF（virtual network function，虛擬化網絡功能）IP 地址及運營商資產備案信息進行比對，獲得IP 地址對應的網絡功能名稱，如UDM、AMF（access an2 mobility function，接入和移動管理功能）等，為節點打上標簽。節點屬性按照自定義的規則自動導入。

（2）網絡數據采集：實時采集5G 網絡中的數據。采集的方式主要包括在網絡功能部署軟采模塊，由軟采模塊主動上報數據；在路由器或交換機部署分光設備或通過鏡像方式外置采集數據。采集的數據內容主要包括網絡節點間的數據流量，至少包含業務觸發后網元間傳遞的信令數據、網元與管理組件間的管理數據以及網絡節點實時生成的操作日志、系統日志。

（3）5G 關鍵數據自動識別：采用數據自動識別技術識別5G 關鍵數據。識別方法主要包括根據5G 各數據類型的特點，構造正則表達式，通過字符串匹配自動識別數據；建立5G 關鍵數據詞庫，將待檢測內容與詞庫中關鍵詞進行比對。

（4）數據流量分析：對采集數據進行實時分析，針對節點間數據流量，自動識別出關鍵數據后，定位傳遞數據的兩個節點，并將數據流向和數據類型作為動態安全模型中節點間的有向邊及邊屬性導入圖數據庫；針對節點間的數據操作指令及節點實時生成的日志信息，分析識別任意兩個節點間的數據操作及操作的數據類型，將兩個節點間的操作關系以及數據操作和數據類型再作為動態安全模型節點間的有向邊及邊屬性導入圖數據庫。

以AMF 與SMF 典型流程為例，節點構建過程包括如下步驟。

步驟1給定IP 專網網段，基于Nmap 或更先進的技術掃描網絡中在線主機的IP 地址，將IP地址導入圖數據庫。

步驟2將IP 地址與運營商資產列表比對，通過不同IP 地址分別映射出AMF 與SMF 節點，并作為節點標簽導入圖數據庫。

步驟3UE 發起PDU 會話建立流程，AMF與SMF 之間傳遞用戶永久身份標識（subscriber permanent i2entifier，SUPI），相關信令被采集至專門設備。

步驟4通過數據識別和分析，確定用戶標識由AMF 傳遞至SMF，形成一條由AMF 至SMF的有向邊，邊屬性為用戶標識，導入圖數據庫。

同樣以AMF與SMF為例說明數據更新過程。當通過對采集的數據做實時分析，發現兩個節點之間傳遞了新的數據類型或數據操作，則在節點間增加一條邊，完成數據的更新。如果傳遞的數據類型或操作已經存在，則不增加新的邊。

4.3 安全架構

基于安全模型，本文將5G 數據安全架構劃分為“節點”的數據安全和“邊”的數據安全兩個部分。

（1）節點數據安全

節點安全由節點自身安全機制保障。需要結合數據操作及數據安全防護等級制定節點安全機制，針對節點中數據的不同安全需求提供細粒度、差異化安全保護。

（2）邊的數據安全

“邊”包含兩個含義，一是節點間的數據流動，二是節點間的數據操作。針對動態的“邊”，需要從兩個維度構建安全能力，分別是對正常狀態的監控以及異常情況發生后的預警和處置。

5 基于安全模型的5G 數據安全防護體系

基于安全模型及模型中定義的5G 數據安全架構，本文從節點自身安全防護、數據流轉的監控預警及數據安全風險處置3個方面構建5G數據安全防護體系。

5.1 節點自身安全防護

本文以滿足數據的不同安全防護需求為目標，設計節點的差異化安全防護框架。首先將表3中的數據生命周期分別映射到安全模型中網絡節點的數據采集、轉發、存儲、處理、刪除操作，然后將不同數據安全防護等級的安全需求對應到節點數據操作中。節點安全即由節點能夠對數據執行的操作以及相應操作涉及的最高數據安全防護等級決定。具體如下。

根據節點屬性，得到節點涉及數據操作，針對每一類操作：（1）獲取操作的數據類型，并根據數據類型映射數據安全防護等級；（2）根據數據安全防護等級與安全措施的對應關系，得到本操作涉及數據類型的最高安全防護等級，將該操作的安全措施作為本節點此類操作的安全措施。節點中不同操作類型的安全措施合集即節點安全措施。例如，某節點涉及的數據操作包括轉發、存儲、刪除，操作涉及的數據最高安全防護等級分別為4、2、4，則該節點轉發、存儲、刪除的安全能力應分別符合第4 級數據的傳輸安全、第2 級數據的存儲安全及第4 級數據的銷毀安全要求。網絡節點中節點屬性變更，即數據類型或數據操作權限變更后，安全需求也會相應變更，節點的安全機制隨之加強或減弱。

5.2 數據流轉監控預警

基于動態的5G 安全模型，能夠對網絡中的數據及數據流轉、操作情況進行實時監控，及時發現數據安全風險并做出反應，主動消除風險。

（1）關鍵數據資產監控

利用數據自動識別技術對5G 全網關鍵數據進行掃描，可獲得每個網絡節點中實際存儲的關鍵數據類型，展現全網關鍵數據分布。將靜態模型節點屬性中的數據類型作為網絡節點數據類型基準，對比實時掃描得到的每個節點中存儲的數據，當發現網絡節點中出現基準范圍外的數據，進行告警，由管理員手動執行或系統按策略自動執行銷毀或數據遷移等操作。

（2）數據異常流轉監控

5G 網絡節點間數據總是按照一定的規則進行傳輸，每兩個節點間可觸發的流程是確定的，流程可攜帶的數據范圍也是確定的。以靜態模型中邊及邊屬性為基準，分析動態模型中網絡節點間傳遞的數據類型，對于不符合基準，即兩節點傳輸不符合規則數據的情況，進行告警。網絡依據策略執行阻斷等操作，及時消除風險。

（3）異常數據操作監控

對網絡節點間數據操作情況進行分析，建立異常數據操作模型，對于偏離模型的行為進行監控預警，并進行風險預判。同時基于聚類分析等機器學習算法，對主要節點行為進行畫像，建立節點特征畫像圖譜，并對節點的實時操作和特征畫像圖譜進行比對，發現異常行為。對于預判的危險行為及發現的異常行為，進行告警。

5.3 數據安全風險處置

5G 安全模型是動態網絡的抽象呈現，展現了數據在網絡中而非單個節點的流轉過程，基于模型的數據安全風險處置能力至少包括以下兩點。

（1）數據泄露節點定位

5G 網絡中數據可能在同一物理服務器內部的幾個節點間流轉，如果數據在服務器內部泄露，則部署在服務器中的節點均為潛在攻擊者。例如用戶位置數據會在多個流程中于多種網元間傳遞，可能的泄露點眾多，難以有效分析識別出數據泄露點。如果發生數據泄露事件，依據動態模型中記錄的邊屬性（節點間傳輸的數據類型），能夠排除網絡中大量無關節點，快速識別數據流轉路徑。通過對流轉路徑中各節點進行風險排查，可快速定位數據泄露點，阻斷數據泄露源。

（2）被攻擊節點定位

當在某個節點發現數據被篡改時，存在兩種情況：（1）數據在當前節點被篡改；（2）數據在流轉到當前節點前已經被篡改。根據動態安全模型還原數據流轉路徑，并結合路徑中每個節點的數據修改操作，能夠定位出發生數據篡改的節點，然后對節點進行修復和安全加固。

6 實驗和評估

本文提出的5G 數據安全防護體系實現的基礎主要是安全模型的構建，其主要部分為數據的獲取和識別分析，本文設計了簡化的原型系統實現該部分功能，并對系統性能進行了測試和評估，以說明系統在實際場景中的可實現性。

6.1 實驗設置和結果

實驗設備均采用配備8CPU Intel 處理器、32 GB RAM 的機器。基于現網模擬數據，在實驗環境下進行分析、實驗與仿真計算。經過測試，平均每臺機器解析數據量的性能如圖4 所示，機器解析效率基本穩定在450 MB/s。

圖4 測試結果

6.2 性能評估

本實驗未包括數據采集部分，并且因為實驗室環境中難以模擬在大型5G 網絡中采集數據的真實環境，實驗室測試結果也難以作為參照。本文選擇以已建設的運營商數據采集網絡為參照，其采集方式包括分光鏡像等方式，采集內容包括運營商網絡中大量控制和管理數據，采集傳輸時延能夠達到百毫秒級，數據完整性可達99%。本文提出的安全模型數據采集過程和采集內容與該系統類似，基于其數據采集的經驗，理論上可保證本文所述數據采集的時延和完整性。

另外，根據實驗結果，本實驗系統解析效率基本保持線性增長，處理性能基本穩定在450 MB/s 即3.5 Gbit/s。由于5G 網絡節點眾多，數據量較大，可采用多進程高并發的方式，為每個節點間數據接口單獨設置處理模塊，首先按接口對數據進行分揀，然后不同接口數據送至不同模塊，并行進行數據分析處理，理論上可實現數據并發處理量隨機器數量線性增長。

依據上述理論分析及實驗室測試結果，按照采集的5G 數據流量為100 Gbit/s 計算，可搭建包含20 余臺處理節點的環境進行數據處理。但依據處理環節進行分析，評估在5G 網絡中實際應用的處理性能可能降為現有實驗室測試性能的80%左右，所需計算資源會同步增長。通過提高機器配置或進一步優化算法的方式能夠減少機器數量。

7 結束語

隨著信息技術水平及社會數字化程度的提升，數據將向著數量快速增長、數據流轉融合更加頻繁的方向發展，《中華人民共和國數據安全法（草案）》的發布也將更加促進數據的安全與發展。在數據保護方面，必須結合數據的發展趨勢及特點，設計針對海量及流轉數據的動態靈活的安全保護措施，才能有效提供數據安全保障能力。5G數據既是典型的動態流轉數據，同時又具備數據量大、數據安全保護需求高的特點，需要結合動態流轉、靜態分類分級兩方面考慮數據安全防護。本文首次提出了5G 數據分類方法與數據流轉圖，并設計了基于圖數據庫的5G 數據安全模型，在安全模型的基礎上提出與數據操作、數據流轉相結合的5G 數據安全解決方法，能夠有效保障動態數據安全性。本文提出的5G 數據安全模型及數據保護思路對動態數據安全保護具有很好的借鑒意義，基于安全模型能夠進一步探索數據安全機制，完善數據流轉安全體系。