5G典型應用場景安全需求及安全防護對策

閆新成 毛玉欣 趙紅勛

摘要：系統地分析了5G 3大應用場景的典型安全需求，以及5G新架構的引入所帶來新的安全需求。針對性地提出了安全防護對策，包括虛擬化基礎設施可信運行及資源隔離、網絡安全功能服務化與按需重構、虛擬化網絡切片的安全保障、統一身份管理和多元信任機制、網絡服務接口的安全保障、網絡功能域安全防護等，為5G網絡更好地適應垂直行業差異化的安全需求提供網絡安全研究、設計方面的參考。

關鍵詞：增強移動寬帶;高可靠低時延;大規模機器連接;安全功能服務化;網絡切片;信任管理

Abstract： The typical security requirements for the main 5G application scenarios and new security challenges which are brought by the new 5G architecture are systematically analyzed. The security protection countermeasures are proposed， including trust operation of virtualization infrastructure and resource isolation， service-oriented and on-demand reconstruction of security network functions， network slicing security， unified identity management and multi-trust mechanisms， service based interface security， and security protection of network function domains， etc. These countermeasures provide network security research and design reference for 5G network to better adapt to the security needs of vertical industry differentiation.

Key words： enhanced mobile broadband; ultra reliable low latency; massive machine connections; security function virtualization; network slicing; trust management

5G作為新一代信息技術的核心引擎，力圖牽引信息網絡從消費互聯網向工業互聯網轉型，實現人與機器信息化互聯的愿景，打造網絡與業務融合的服務模式。5G在無線接入、傳輸、核心網絡方面采用了大量先進技術，例如豐富的接入能力、統一認證框架[1]、靈活的網絡架構以及服務化的業務模式[2]。這些使得5G在技術、架構和業務等方面與3G、4G或其他無線通信系統存在很大的區別。全新的網絡設計在更好地支撐多樣化應用場景的同時，也將會帶來全新的安全風險和需求，對現有的網絡安全提出新的挑戰。

5G的行業應用仍處于初步階段，不同行業、不同業務、不同客戶對于安全的需求也有著一定的差異。但我們仍然可以針對典型應用場景的共性安全需求進行分析，重新審視5G網絡中新的防護對象、新的信任體系，以及對新的網絡功能和新業務模式的防護。

1 5G安全需求和威脅分析

3G、4G移動通信系統重點面向移動互聯網，滿足個人電話、信息及數據訪問等方面的需求。而5G需要同時滿足以移動互聯網、車聯網以及物聯網為典型代表的多種應用，因此為單一接入場景而設計的安全防護機制將難以應對5G網絡新的安全需求[3]。

不同垂直行業應用對5G網絡的安全需求是不同的，甚至可能是相悖的，若要以相同的安全機制和策略滿足所有的垂直行業要求是不現實的;因此需要以服務化思想來構建5G網絡安全架構和安全基礎設施，為行業用戶提供按需可定制的網絡服務以及差異化的安全防護能力等。

1.1 典型應用場景的典型安全

需求

5G有3類主要應用場景：增強移動寬帶（eMBB）、海量機器類通信（mMTC）、高可靠低時延（uRLLC）。

在eMBB應用場景下，5G網絡峰值速率和用戶體驗速率較4G增長10倍以上[4]，這對安全基礎設施的計算與處理能力提出了挑戰。在網絡入口處通常需要部署安全基礎設施，來進行網絡或業務策略的訪問控制。同時，為了保護用戶隱私，對數據或信息也要進行訪問控制。傳統安全基礎設施以單設備、高性能來提升計算與處理能力，這種模式將很難適應超大流量的5G網絡防護需求。因此，構建云化或服務化的安全基礎設施，通過服務間的配合與協同機制來實現高性能的安全處理能力，將是未來安全基礎設施提高其計算與處理能力、應對海量數據的主要途徑。

在uRLLC場景下，要求端到端時延從10 ms降到1 ms[4]。典型應用包括車聯網與自動化輔助駕駛、遠程醫療以及工業自動化控制等。由于這類應用本身關系到人身安全或高額經濟利益，因此對安全能力的要求與對網絡自身能力的要求同等重要。針對這類應用的安全防護機制是嚴苛的，在實現高安全防護的同時不能影響到應用體驗，例如傳統網絡架構中基于多層隧道等補丁式防護手段很難滿足這類應用的要求。低時延應用需要依賴網絡部署移動邊緣計算（MEC）能力降低網絡時延;但是MEC需要將部分原本位于運營商核心機房的功能下沉至近用戶位置的網絡邊緣進行部署，部署位置甚至完全脫離了運營商控制區域（例如企業園區等），這增加核心設備遭受攻擊的風險。

在mMTC場景下，連接密度從10萬臺/km2增大到100萬臺/km2[4]。數量的變化也會帶來新的安全問題：首先，終端設備數量巨大，即使正常情況下發包頻率不高，數據包也不大，但其認證過程以及正常的業務數據都有可能帶來極高的瞬時業務峰值，從而引發信令風暴;其次，無人值守的終端設備一旦被劫持，可能會構成一個巨型的“僵尸網絡”，進而對其他關鍵網絡基礎設施發起分布式拒絕訪問服務（DDoS）攻擊。因此，需要研究海量終端設備接入安全機制，加強細粒度的設備管控。

1.2 適應行業應用的新網絡架構

帶來的安全挑戰

5G在網絡設計上進行了軟件和硬件解耦、控制與轉發分離，并引入網絡切片和網絡能力開放等新技術提升網絡靈活性、可擴展性、可重構能力。5G服務化架構在滿足不同垂直行業應用需求的同時，也引發了一些新的安全問題：

（1）安全防護對象發生變化。

5G網絡基礎設施云化和虛擬化，使得資源利用率和資源提供方式的靈活性大大提升，但也打破了原有以物理設備為邊界的資源提供模式。在3G、4G網絡中，以物理實體為核心的安全防護技術在5G網絡中不再適用，需要建立起以虛擬資源和虛擬網絡功能為目標的安全防護體系。

（2）信任關系由二元變為多元。

3G、4G網絡的價值鏈中只有終端用戶和網絡運營商2個角色，并沒有明確而完整地提出信任管理體系。5G網絡與垂直行業應用的結合使得一批新的參與者、新的設備類型加入價值鏈。例如，傳統移動網絡中網絡運營商通常也是基礎設施供應商，而在5G時代，可能會引入虛擬移動網絡運營商的角色。虛擬移動網絡運營商需要從移動網絡運營商/基礎設施提供商中購買網絡切片。相比傳統網絡的終端用戶，5G網絡除了手機用戶之外，還有各種物聯網（IoT）設備用戶、交通工具等。因此，5G網絡需要構建新的信任管理體系、研究身份和信任管理機制以解決各個角色之間的多元信任問題。

（3）集中管理帶來了安全風險。

3G、4G較少地采用集中式管理方式，除了少數網元外，其他網元之間的管理更多依賴于自主協商。5G使用不同的網絡切片來滿足不同的行業應用需求，不同的切片需要分配不同的網絡資源。切片管理以及與切片相關的網絡資源管理不可能再基于自主協商方式，因此集中式管理將成為主要方式。5G網絡中使用網絡功能虛擬化管理和編排（MANO）、軟件定義網絡（SDN）控制器等對網絡集中編排和管理。MANO和SDN屬于網絡中樞，一旦被非法控制或遭受攻擊，將對網絡造成嚴重影響，甚至癱瘓。集中式管理網元的安全防護問題迫切需要解決。

（4）新服務交付模式的相關安全需求。

5G網絡為了更好地應對各種不同的業務需求，接納了新的參與角色并將其加入網絡價值鏈與生態系統中，由此產生了新的服務交付模式[5]。5G通過將能力開放，同時配合資源動態部署與按需組合機制，為垂直行業提供靈活、可定制的差異化網絡服務。能力開放改變了傳統網絡以能力封閉換取能力提供者自身安全的思路，使得能力使用者通過控制協議對能力提供者發起攻擊成為可能。一旦能力使用者被惡意入侵，利用能力開放接口的可編程性，經由控制接口對5G網絡進行惡意編排，將會造成嚴重后果，因此新服務交付模式需要解決網絡能力開放的安全防護問題。

2 5G網絡安全防護技術

2.1 安全防護對策分析

我們將上述提到的威脅和安全需求進行匯總，并列舉了相應的典型安全防護對策，如表1所示。需要說明的是，實際上一個特定場景并非只有一種安全需求或威脅，也絕非一種安全方案就可以解決的。同樣，一類解決方案也不僅限于只解決一類特定需求。這里僅列舉了一些典型而重要的安全功能和方案，以便對問題進行清晰的剖析。

2.2 5G安全關鍵防護技術

（1）基礎設施的虛擬化隔離。

軟件和硬件的解耦，網絡功能虛擬化（NFV）、軟件定義網絡的引入，使得原來私有、封閉的專用網絡設備變成標準、開放的通用設備，也使得網絡防護邊界變得模糊。網絡虛擬化、開放化使得網絡更易遭受攻擊，并且集中部署的網絡將導致網絡威脅傳播速度更快，波及更廣。由于網絡功能實體共享基礎設施資源，因此需要其提供資源的安全隔離技術來保障上層5G網絡功能系統運行的安全性?？梢酝ㄟ^虛擬隔離機制來實現計算、網絡、存儲等資源的隔離，讓承載每個網絡功能實體無法突破虛擬機/容器管理器給出的資源限制。虛擬化網絡的安全防護還需要保證網絡基礎設施的可信，這一點對于非信任環境部署的基礎設施，例如基站云化、邊緣計算等來說更為重要。通過可信計算技術，在網絡功能實體平臺上植入了硬件可信根，以構建從計算環境、基礎軟件到應用及服務的信任鏈，并依托逐級完整性檢查，來實現網絡功能實體的軟硬件環境的完整性保護。

（2）網絡安全功能按需重構。

5G網絡本質是一種按需定制的網絡，其優勢在于除了可以為各垂直行業提供差異性的連接服務之外，還能按需提供差異化的安全防護能力。通過借鑒網絡功能服務化的思想，構建安全功能的服務化，如圖1所示，并將虛擬化的安全功能按需編排到網絡切片中，使安全資源、網絡資源、數據資源在網絡切片中獨立提供，達到近似于傳統私網的安全保障和用戶體驗。

安全功能虛擬化是按需重構的前提。通過對傳統安全功能的虛擬化，可設計出適應不同應用安全需求的虛擬安全功能單元，例如防火墻、接入認證、互聯網協議安全（IPsec）、安全套接層（SSL）虛擬專用網絡（VPN）、入侵檢測、病毒檢測等。各個虛擬安全功能單元通過按需調用各類基礎安全服務功能集，從而滿足性能可擴展、功能可裁剪等要求，實現安全功能虛擬化。

基礎安全服務功能集由各類基礎服務功能組成?；A服務功能的服務性能可根據應用程序編程接口（API）進行配置，以滿足上層的差異化服務要求?；A服務功能再通過對基礎資源層提供的虛擬化網絡資源進行按需調度來實現性能的差異化配置。

行業應用需求的差異決定了網絡切片功能的差異化。并非所有切片都包含相同的網絡功能，有些網絡功能基于需求可以不用配置。應用需求的差異性決定了切片所提供的安全服務也是差異化的。在實現網絡安全服務功能虛擬化后，可以為服務于不同行業的網絡切片提供網絡安全功能的按需重構。例如，服務于車聯網（V2X）的低時延網絡切片，需要在網絡邊緣節點實例化一些必要的網絡功能，選擇適應低時延要求的認證方法、加密算法和密鑰長度，以便在時延約束下提供對應的安全防護，更好地支持第三方的垂直應用;對于服務于mMTC的網絡切片，僅需配置基本的控制面接入認證功能，而諸如移動性相關的網絡功能則無需配置。我們還可以考慮在切片內部署虛擬的物聯網網關以及安全態勢感知系統，來防止DDoS攻擊和威脅橫向擴散。

（3）網絡功能域安全防護。

網絡虛擬化和網絡切片的應用，使得原本用于傳統移動通信網絡域安全防護的架構增加了新的元素。在第3代合作伙伴（3GPP）標準中，傳統“域”是指“物理實體組”，即“域”僅限于物理網絡實體的劃分，尤其是地理位置區域。而5G網絡，尤其是5G核心網構建在虛擬化網絡之上，相比傳統網絡又出現了虛擬網絡功能實體。更進一步地，5G引入了網絡切片，不同的切片有著不同運營者，5G網絡的基礎設施供應商和移動網絡運營商也可能不同，因此我們需要將所有權屬性也納入考慮范疇。分析5G的安全威脅，需要首先將5G網絡進行合理地分域;而對5G網絡分域，需要將傳統域的概念擴展為“與5G網絡相關的物理、邏輯和運營等方面的網絡功能實體組”。

根據5G網絡特征，5G系統可分為基礎設施域、租戶域以及附加的移動設備域。每個域根據不同功能又可進一步劃分為若干子域[6]，各個子域對應著相對比較獨立的功能。5G系統的域劃分情況如圖2所示，其中綠線標記域之間的邏輯或物理通信接口，棱形表示各個域中的切片，同類切片互聯以后形成切片域，為5G系統提供端到端的網絡服務功能。在確定了域/子域邊界后，可以針對每個域/子域進行威脅分析：針對其業務屬性給出相應的防護方案，如在域/子域網絡邊界設置虛擬防火墻等安全防護功能，并結合防護策略為域/子域內網絡功能提供安全防護。對于域/子域間如果存在通信需求，可配置IPsec、SSL VPN等為數據交互提供安全通道。

（4）切片隔離與安全保障。

網絡切片是5G提供網絡服務的主要形態。5G可以在相同的網絡基礎設施上同時構建多個網絡切片，為多個應用提供差異化網絡服務。網絡切片使得5G組網更加靈活，網絡服務更貼合應用需求;但由于共享網絡基礎資源，如果管理不當就會引發切片數據泄露、切片間資源競爭、非法用戶接入切片等安全威脅，因此需要提供切片安全隔離技術、切片接入控制等技術。

切片安全隔離可通過切片對應基礎資源層的隔離、網絡層的隔離以及管理層隔離的三級隔離方式實現，如圖3所示。切片在基礎資源層隔離使用基于NFV技術的資源隔離技術實現，例如為不同的切片分配不同的虛擬機/容器承載切片網絡功能，通過虛擬機/容器隔離機制實現切片在基礎資源層的隔離，文獻[7]中，作者詳細描述了NFV安全隔離機制。切片在網絡層的隔離分為無線接入控制（RAN）隔離、承載隔離和核心網隔離，根據切片承載的應用對安全性的要求，可以分為切片完全隔離或者切片部分隔離。例如，對于安全性要求嚴苛的工業控制應用，需要采取完全隔離方式，即為所述切片分配獨立的網絡功能;對于安全性要求不高的普通應用（如視頻監測控制、上網類應用），在建立對應的網絡切片時可以共享部分網絡功能。參考文獻[8]中，作者描述了切片在網絡層的隔離實現。切片在管理層的隔離通過為使用切片的租戶分配不同的賬號和權限。每個租戶僅能對屬于自己的切片進行管理維護，而無權對其他租戶的切片實施管理。另外，我們需要通過通道加密等機制保證管理接口的安全。

切片的接入控制用于保證合法用戶接入正確的網絡切片，防止非法用戶接入網絡或合法用戶接入非授權切片而引發的網絡攻擊和破壞行為。首先，通過網絡接入認證機制對附著到網絡的用戶進行認證鑒別，只有簽約網絡用戶才能接入網絡。在接入認證過程中，為防止攻擊者仿冒簽約用戶的身份標識，需要對用戶身份等隱私信息進行保護，同時也需要安全機制對認證過程中的信令交互進行安全防護，防止攻擊者竊聽、篡改認證信息。其次，對于用戶訪問切片也需要進行管理和控制，可以通過簽約的方式規定用戶接入切片類型。在用戶接入切片時，需要進行切片認證，以驗證用戶接入切片的權限，防止非授權用戶接入切片，竊取信息或破壞切片正常運行。

（5）多接入MEC安全。

MEC是5G業務多元化的核心技術之一。MEC將部分網絡服務能力和業務應用推進到網絡邊緣，通過業務靠近用戶處理來縮短業務時延，提供可靠、極致的業務體驗。

以縮短業務時延和提高資源使用效率為原則，MEC服務一般部署在邊緣數據中心、基站等近用戶位置，如園區和一些特定場所內。由于其物理位置脫離了運營商核心網，基礎設施的物理安全不可忽略，例如出于對企業的安全考慮，要求私有云數據不出園區，因此MEC就要部署在企業網內部區域。這樣雖然滿足了企業的數據安全需求，但是關鍵網絡基礎設施部署脫離了運營商控制范圍，對其造成了安全風險。對此運營商需要進行基礎設施安全加固，例如引入門禁、環境監測控制等安全措施，對MEC設備加強自身防盜、防破壞方面的結構設計，對設備輸入輸出（I/O）接口、調試接口進行權限控制等。

為實現垂直行業的業務定制，MEC需要提供開放平臺。但網絡能力開放后，MEC對應用的注冊、安全管理、行為審計等都需要制定完整的保障機制，應用的注冊除了身份的合法性驗證之外，還可以根據可信評估機構簽發的健康度進行嚴格控制;對第三方業務的訪問權限也需要進行嚴格控制，一旦發現越權的資源調度行為應及時阻斷，并需要對所有訪問行為實施日志記錄以便安全審計。

由于MEC實現業務和內容的本地化處理，用戶終端在越區切換時，MEC應用的低延時通信和服務連續性所需的信息，例如移動終端的身份和網絡地址，需要從切換前網絡功能實例傳送到目標切換的網絡功能實例。在越區切換過程中，需要考慮通信安全，例如在網絡功能實例間建立安全隧道以保證切換過程中的信息傳送安全。目標切換的網絡功能實例在完成用戶越區認證后，需要將切換前網絡實例傳送過來的網絡及業務信息進行對應綁定和切換，以確保服務的連續性。

（6）統一身份管理和多元信任機制。

5G面向垂直行業的半封閉特征，以及眾多不同類型新參與者的加入（例如新行業、新商業主體、新業務類型、新機器連接等），使得基礎設施提供商、運營商、第三方服務提供商、網絡用戶等參與者之間的信任關系變得復雜，因而需要構建用戶、終端、網絡、服務之間的多元信任模型，以應對不同應用場景的信任需求[9]。

5G支持多樣化及海量的終端接入，不論是對身份管理的能力需求上，還是實現網絡和業務的深度融合機制上，都需要構建新的身份管理體系。另外，5G存在多個虛擬網絡切片，需要支持網元在不同網絡切片、不同網絡域之間的信任關系和可信身份傳遞。因此，需要充分融合現有的移動通信網、不同的垂直行業、不同的物聯網平臺的身份管理體系，實現統一身份管理，構建統一信任服務體系。圖4所示為保障5G網絡、業務和服務健康前行的重要因素。

統一身份管理需要解決5G參與者的身份標識和身份管理問題。通過標識技術對所有接入5G網絡的實體進行唯一標識映射，實現不同層次身份標識的統一管理、融合，用戶的管理、身份標識生成、簽發、發布、驗證等功能，解決現實空間中人、設備、應用服務等實體向網絡空間的身份可信映射，實現網絡空間與現實空間身份的可信對應。網絡空間活動的主體可以準確地對應到現實空間中的用戶，用戶為其網絡行為負責，解決統一身份管理、身份信息融合、隱私保護等問題。

傳統移動通信網絡中，網絡對用戶入網認證，并作為管道承載用戶與服務間的業務認證，用戶與網絡、用戶與服務分別構成二元信任模型。5G網絡下的統一身份認證服務需要結合不同業務應用的特點，以基于eSIM身份為基礎，充分融合垂直行業標識體系、面向物聯網的數字證書體系、5G融合身份認證、跨運營商的切片聯盟等身份體系，構建用戶、終端、網絡、服務之間的多元信任模型。在該信任模型下，根據不同業務不同行業的用戶需求，可采用網絡認證用戶、切片認證用戶（垂直行業對用戶的認證）、應用認證用戶以及運營商和垂直行業的認證等多元認證關系實現多元信任，實現面向5G網絡與垂直行業的新型數字關系。

（7）網絡服務接口的安全保障。

5G網絡開放能力通過運營商向垂直行業提供API，如圖5所示，以便垂直行業可以創建和管理服務于自身的網絡切片。網絡開放能力創造了網絡新的營運模式，同時也為攻擊者開放了攻擊網絡的接口。例如，如果非授權的第三方獲取了訪問接口，會發起針對網絡的攻擊;每個應用程序能夠訪問的API接口如果缺少限制，則可能導致網絡核心數據會被訪問和篡改。

為此，需要對網絡服務接口提供安全防護，實施對垂直行業應用服務的認證，并提取評估機構簽發的安全可信性的評估結果。通過審查之后向信任基礎設施獲取對應服務的訪問權限，對垂直行業應用在網絡服務調用的全過程進行合規性監測控制，對越權訪問行為進行阻斷。服務接口安全防護具體措施可包括：

·認證授權。網絡通過向信任服務基礎設施提交對訪問應用的身份驗證，根據驗證的結果進行授權服務的開放，并且需要根據可信評估機構的評估數據，進行綜合決策。

·權限控制。網絡通過向信任服務基礎設施提交對訪問應用的權限獲取，并通過獲取的權限進行資源的隔離控制，防止帶有攻擊或越權行為的發生。

·安全審計。在應用業務接入網絡后需要進行訪問行為的嚴格安全審計與分析，對應用業務的行為實時跟蹤監測，對發生的攻擊或越權行為進行告警，為響應處置的策略決策提供依據。

（8）DDoS。

網絡DDoS主要通過5G網絡各類感知點進行海量事件的收集，包括路由交換設備上報的流量統計信息、網絡編排和管理器上報的拓撲信息、安全防護功能上報的安全威脅信息，以及5G功能實體，例如接入和移動性管理功能（AMF）、會話管理功能（SMF）、用戶面功能（UPF）等，上報的日志事件等，通過對搜集的海量信息進行大數據關聯分析，并通過智能分析引擎完成策略決策，按照決策結果調用可重構的安全流量清洗資源池完成攻擊阻斷。根據大數據關聯分析結果，我們對網絡攻擊源進行追蹤溯源，并通過安全審計進行安全取證，為DDoS攻擊認定提供依據。

為實現整個5G網絡抗DDoS攻擊，需要一個完備的動態防御體系，并建立安全模型和閉環流程，包括信息采集上報、安全策略決策、安全響應與處置等。

·信息采集上報：需要針對網絡不同域、不同邏輯層部署采集功能，完成全網信息采集。

·威脅分析感知：通過大數據智能分析等手段，進行海量信息的綜合處理，并利用安全威脅特征庫來分析識別安全威脅。

·安全策略決策：根據智能決策的理論、模型、方法，針對發生的安全威脅做出全面綜合科學的響應決策。

·安全響應與處置：根據響應決策，研究實施響應處置的方法，包括大容量威脅流量清洗、追蹤溯源等，能夠實時完成威脅處置等。

3 結束語

5G架構的革新使得5G網絡為eMBB、mMTC、uRLLC 3個主要應用場景提供網絡服務變為可能，也使得傳統電信網絡的安全防護體系面臨挑戰。為了滿足5G網絡自身防護需求，適應垂直行業差異化安全需求，我們需要深度分析研究5G移動通信網絡及垂直行業帶來的新的網絡架構、業務需求，甚至全新的生態系統，采用全新安全防護理念構建全新的5G安全架構，以實現對5G網絡從基礎設施、網絡功能、業務服務、信任關系等多個維度全方位地進行立體防護。

5G的應用和需求也才剛剛展開，我們要緊密地結合個人用戶和行業用戶的核心安全訴求，重視產業互聯網的網絡業務和網絡安全建設，唯有如此，才可能讓5G使能垂直行業，實現安全可靠萬物互聯。

參考文獻

[1] 3GPP. Security Architecture and Procedures for 5G System： 3GPP TS 33.501[S]. 2019

[2] 3GPP. System Architecture for the 5G System： 3GPP TS 23.501[S]. 2019

[3] 陸平，李建華，趙維鐸. 5G在垂直行業中的應用[J]. 中興通訊技術， 25（1）：67-74. DOI： 10.12142/ZTETJ.20190111

[4] IMT Vision - Framework and Overall Objectives of the Future Development of IMT for 2020 and Beyond[R]. ITU-R， 2015

[5] 5G網絡安全需求與架構白皮書[R]. IMT-2020， 2017

[6] 5G-ENSURE_Deliverable D2.7 Security Architecture （Final） [R]. 5GPPP， 2017

[7] 基于SDN/NFV的電信網安全技術白皮書[R]. SDN/NFV產業聯盟， 2018

[8] 5G Security White Paper： Security Makes 5G Go Further[R]. GSMA， 2019

[9] 5G信息安全白皮書[R]. 未來移動通信論壇， 2017