5G網(wǎng)絡安全需求與架構

1、目 錄引言網(wǎng)絡安全挑戰(zhàn)和需求安全總體目標網(wǎng)絡安全架構網(wǎng)絡新的安全能力安全標準化建議總結和展望網(wǎng)絡安全需求與架構1 引言經(jīng)過三十多年的飛速發(fā)展， 移動通信已成為應用最為普及的信息通信技術。 當前， 全球新一輪科技革命和產(chǎn)業(yè)變革正孕育興起，跨行業(yè)、跨領域的融合創(chuàng)新不斷深入，對移動通信技術也提出了更高的要求。隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及行業(yè)應用的爆發(fā)式增長，未來移動通信將面臨千倍數(shù)據(jù)流量增長和千億設備聯(lián)網(wǎng)需求。 5G 作為新一代移動通信技術發(fā)展的方向，將在提升移動互聯(lián)網(wǎng)用戶業(yè)務體驗的基礎上，進一步滿足未來物聯(lián)網(wǎng)應用的海量需求，與工業(yè)、醫(yī)療、交通等行業(yè)深度融合，實現(xiàn)真正的“萬物互聯(lián)”。5G 網(wǎng)絡新的發(fā)展趨

2、勢，尤其是 5G 新業(yè)務、新架構、新技術，對安全和用戶隱私保護都提出了新的挑戰(zhàn)。 5G 安全機制除了要滿足基本通信安全要求之外，還需要為不同業(yè)務場景提供差異化安全服務，能夠適應多種網(wǎng)絡接入方式及新型網(wǎng)絡架構，保護用戶隱私， 并支持提供開放的安全能力。 當前， 5G 國際標準化工作已全面展開， 5G 安全也成為業(yè)界關注的焦點。本白皮書基于 5G 需求與愿景研究進展，分析 5G 網(wǎng)絡面臨的安全問題和發(fā)展趨勢，提出5G 網(wǎng)絡安全需求和架構，為后續(xù) 5G 網(wǎng)絡安全技術的研究和設計奠定基礎。當前業(yè)界需要盡快形成 5G 網(wǎng)絡安全框架并推動達成產(chǎn)業(yè)共識，從而指導 5G 安全國際標準及后續(xù)產(chǎn)業(yè)發(fā)展。2 5G

3、網(wǎng)絡安全挑戰(zhàn)和需求2.1 新的業(yè)務場景5G 網(wǎng)絡將來不僅用于人與人之間的通信，還會用于人與物以及物與物之間的通信。目前， 5G 業(yè)務大致可以分為 3 種場景： eMBB （增強移動寬帶）、mMTC （海量機器類通信）、和 uRLLC （超可靠低時延通信），5G 網(wǎng)絡需要針對這三種業(yè)務場景的不同安全需求提供差異化安全保護機制。eMBB 聚焦對帶寬有極高需求的業(yè)務，例如高清視頻， VR （虛擬現(xiàn)實） / AR （增強 1 現(xiàn)實） 等， 滿足人們對于數(shù)字化生活的需求。 eMBB 廣泛的應用場景將帶來不同的安全需求，同一個應用場景中的不同業(yè)務其安全需求也有所不同，例如， VR/AR 等個人業(yè)務可能只要

4、求對關鍵信息的傳輸進行加密，而對于行業(yè)應用可能要求對所有環(huán)境信息的傳輸進行加密。 5G 網(wǎng)絡可以通過擴展 LTE安全機制來滿足 eMBB 場景所需的安全需求。mMTC 覆蓋對于連接密度要求較高的場景，例如智慧城市，智能農(nóng)業(yè)等，能滿足人們對于數(shù)字化社會的需求。 mMTC 場景中存在多種多樣的物聯(lián)網(wǎng)設備，如處于惡劣環(huán)境之中的物聯(lián)網(wǎng)設備，以及技術能力低且電池壽命長（如超過 10 年）的物聯(lián)網(wǎng)設備等。面向物聯(lián)網(wǎng)繁雜的應用種類和成百上千億的連接， 5G 網(wǎng)絡需要考慮其安全需求的多樣性。如果采用單用戶認證方案則成本高昂，而且容易造成信令風暴問題，因此在 5G 網(wǎng)絡中，需降低物聯(lián)網(wǎng)設備在認證和身份管理方面的

5、成本，支撐物聯(lián)網(wǎng)設備的低成本和高效率海量部署（如采用群組認證等）。針對計算能力低且電池壽命需求高的物聯(lián)網(wǎng)設備， 5G 網(wǎng)絡應該通過一些安全保護措施（如輕量級的安全算法、簡單高效的安全協(xié)議等）來保證能源高效性。uRLLC 聚焦對時延極其敏感的業(yè)務， 例如自動駕駛/輔助駕駛、 遠程控制等， 滿足人們對于數(shù)字化工業(yè)的需求。 低時延和高可靠性是 uRLLC 業(yè)務的基本要求， 如車聯(lián)網(wǎng)業(yè)務在通信中如果受到安全威脅則可能會涉及到生命安全，因此要求高級別的安全保護措施且不能額外增加通信時延。 5G 超低時延的實現(xiàn)需要在端到端傳輸?shù)母鱾€環(huán)節(jié)進行一系列機制優(yōu)化。從安全角度來看，降低時延需要優(yōu)化業(yè)務接入過程身份認

6、證的時延、數(shù)據(jù)傳輸安全保護帶來的時延，終端移動過程由于安全上下文切換帶來的時延、以及數(shù)據(jù)在網(wǎng)絡節(jié)點中加解密處理帶來的時延。因此，面對多種應用場景和業(yè)務需求， 5G 網(wǎng)絡需要一個統(tǒng)一的、靈活的、可伸縮的5G 網(wǎng)絡安全架構來滿足不同應用的不同安全級別的安全需求，即 5G 網(wǎng)絡需要一個統(tǒng)一的認證框架，用以支持多種應用場景的網(wǎng)絡接入認證（即支持終端設備的認證、支持簽約用戶的認證、支持多種接入方式的認證、支持多種認證機制等）；同時 5G 網(wǎng)絡應支持伸縮性需求，如網(wǎng)絡橫向擴展時需要及時啟動安全功能實例來滿足增加的安全需求、網(wǎng)絡收斂時需要及時終止部分安全功能實例來達到節(jié)能的目的。另外， 5G 網(wǎng)絡應支持按需

7、 2 的用戶面數(shù)據(jù)保護，如根據(jù)三大業(yè)務類型的不同，或根據(jù)具體業(yè)務的安全需求，部署相應的安全保護機制，此類安全機制的選擇，包括加密終結點的不同，或者加密算法的不同，或者密鑰長度的不同等。2.2 新技術和新特征為提高系統(tǒng)的靈活性和效率，并降低成本， 5G 網(wǎng)絡架構將引入新的 IT 技術，如軟件定義網(wǎng)絡 SDN （軟件定義網(wǎng)絡）和 NFV （網(wǎng)絡功能虛擬化）。新技術的引入，也為 5G網(wǎng)絡安全帶來了新的挑戰(zhàn)。5G 網(wǎng)絡通過引入虛擬化技術實現(xiàn)了軟件與硬件的解耦，通過 NFV 技術的部署，使得部分功能網(wǎng)元以虛擬功能網(wǎng)元的形式部署在云化的基礎設施上， 網(wǎng)絡功能由軟件實現(xiàn)，不再依賴于專有通信硬件平臺。 由于

8、5G 網(wǎng)絡的這種虛擬化特點， 改變了傳統(tǒng)網(wǎng)絡中功能網(wǎng)元的保護很大程度上依賴于對物理設備的安全隔離的現(xiàn)狀，原先認為安全的物理環(huán)境已經(jīng)變得不安全，實現(xiàn)虛擬化平臺的可管可控的安全性要求成為 5G 安全的一個重要組成部分， 例如安全認證的功能也可能放到物理環(huán)境安全當中， 因此， 5G 安全需要考慮 5G基礎設施的安全， 從而保障 5G 業(yè)務在 NFV 環(huán)境下能夠安全運行。 另外， 5G 網(wǎng)絡中通過引入 SDN 技術提高了 5G 網(wǎng)絡中的數(shù)據(jù)傳輸效率，實現(xiàn)了更好的資源配置，但同時也帶來了新的安全需求，即需要考慮在 5G 環(huán)境下，虛擬 SDN 控制網(wǎng)元和轉發(fā)節(jié)點的安全隔離和管理，以及 SDN 流表的安全部

9、署和正確執(zhí)行。為了更好地支持上述 3 個業(yè)務場景， 5G 網(wǎng)絡將建立網(wǎng)絡切片，為不同業(yè)務提供差異化的安全服務，根據(jù)業(yè)務需求針對切片定制其安全保護機制，實現(xiàn)客戶化的安全分級服務，同時網(wǎng)絡切片也對安全提出了新的挑戰(zhàn)，如切片之間的安全隔離，以及虛擬網(wǎng)絡的安全部署和安全管理。面向低時延業(yè)務場景， 5G 核心網(wǎng)控制功能需要部署在接入網(wǎng)邊緣或者與基站融合部署。數(shù)據(jù)網(wǎng)關和業(yè)務使能設備可以根據(jù)業(yè)務需要在全網(wǎng)中靈活部署，以減少對回傳網(wǎng)絡的壓力，降低時延和提高用戶體驗速率，隨著核心網(wǎng)功能下沉到接入網(wǎng)， 5G 網(wǎng)絡提供的安全保障能力也將隨之下沉。5G 網(wǎng)絡的能力開放功能可以部署于網(wǎng)絡控制功能之上， 以便網(wǎng)絡服務和管

10、理功能向第三方開放。 在 5G 網(wǎng)絡中， 能力開放不僅體現(xiàn)在整個網(wǎng)絡能力的開放上， 還體現(xiàn)在網(wǎng)絡 3 內(nèi)部網(wǎng)元之間的能力開放，與 4G 網(wǎng)絡的點對點流程定義不同， 5G 網(wǎng)絡的各個網(wǎng)元都提供了服務的開放，不同網(wǎng)元之間通過 API （應用程序接口）調(diào)用其開放的能力。因此 5G網(wǎng)絡安全需要核心網(wǎng)與外部第三方網(wǎng)元以及核心網(wǎng)內(nèi)部網(wǎng)元之間支持更高更靈活的安全能力，實現(xiàn)業(yè)務簽約、發(fā)布，及每用戶每服務都有安全通道。2.3 多種接入方式和多種設備形態(tài)由于未來應用場景的多元化， 5G 網(wǎng)絡需要支持多種接入技術， 如 WLAN （無線局域網(wǎng)絡）、LTE （長期演進）、固定網(wǎng)絡、 5G 新無線接入技術，而不同的接入

11、技術有不同的安全需求和接入認證機制；再者，一個用戶可能持有多個終端，而一個終端可能同時支持多種接入方式，同一個終端在不同接入方式之間進行切換時或用戶在使用不同終端進行同一個業(yè)務時，要求能進行快速認證以保持業(yè)務的延續(xù)性從而獲得更好的用戶體驗。因此， 5G 網(wǎng)絡需要構建一個統(tǒng)一的認證框架來融合不同的接入認證方式，并優(yōu)化現(xiàn)有的安全認證協(xié)議（如安全上下文的傳輸、密鑰更新管理等），以提高終端在異構網(wǎng)絡間進行切換時的安全認證效率，同時還能確保同一業(yè)務在更換終端或更換接入方式時連續(xù)的業(yè)務安全保護。在 5G 應用場景中， 有些終端設備能力強， 可能配有 SIM（用戶身份識別模塊）/USIM（通用用戶身份識別模

12、塊）卡，并具有一定的計算和存儲能力，有些終端設備沒有SIM/USIM 卡，其身份標識可能是 IP 地址、 MAC （介質訪問控制）地址、數(shù)字證書等；而有些能力低的終端設備， 甚至沒有特定的硬件來安全存儲身份標識及認證憑證， 因此，5G 網(wǎng)絡需要構建一個融合的統(tǒng)一的身份管理系統(tǒng)，并能支持不同的認證方式、不同的身份標識及認證憑證。2.4 新的商業(yè)模式5G 網(wǎng)絡不僅要滿足人們超高流量密度、超高連接數(shù)密度、超高移動性的需求，還要為垂直行業(yè)提供通信服務。在 5G 時代將會出現(xiàn)全新的網(wǎng)絡模式與通信服務模式。同樣地，終端和網(wǎng)絡設備的概念也將會發(fā)生改變，各類新型終端設備的出現(xiàn)將會產(chǎn)生多種具有不同態(tài)勢的安全需求

13、，在大連接物聯(lián)網(wǎng)場景中，大量的無人管理的機器與無線傳感器 4 將會接入到 5G 網(wǎng)絡之中，由成千上萬個獨立終端組成的諸多小的網(wǎng)絡將會同時連接至5G 網(wǎng)絡中，在這種情況下，現(xiàn)有的移動通信系統(tǒng)的簡單的可信模式（即一個用戶及其通信終端和運營商） 可能不能滿足 5G 支撐的各類新興的商業(yè)模式， 需要對可信模式進行變革，以應對相關領域的擴展型需求。為了確保 5G 網(wǎng)絡能夠支撐各類新興商業(yè)模式的需求，并確保足夠的安全性，需要對安全架構進行全新的設計。同時 5G 網(wǎng)絡是能力開放的網(wǎng)絡， 可以向第三方或者垂直行業(yè)開放網(wǎng)絡安全能力， 如認證和授權能力， 第三方或者垂直行業(yè)與運營商建立了信任關系， 當用戶允許接入

14、 5G 網(wǎng)絡時，也同時允許接入第三方業(yè)務。 5G 網(wǎng)絡的能力開放有利于構建以運營商為核心的開放業(yè)務生態(tài)， 增強用戶黏性， 拓展新的業(yè)務收入來源。 對于第三方業(yè)務來說， 可以借助被廣泛使用的運營商數(shù)字身份來推廣業(yè)務，快速拓展用戶。2.5 更高的隱私保護需求5G 網(wǎng)絡中業(yè)務和場景的多樣性，以及網(wǎng)絡的開放性，使用戶隱私信息從封閉的平臺轉移到開放的平臺上，接觸狀態(tài)從線下變成線上，泄露的風險也因此增加。例如在智能醫(yī)療系統(tǒng)中，病人病歷、處方和治療方案等隱私性信息在采集、存儲和傳輸過程中存在被泄漏、篡改的風險，而在智能交通中，車輛的位置和行駛軌跡等隱私信息也存在暴露和被非法跟蹤使用的風險，因此 5G 網(wǎng)絡有

15、了更高的用戶隱私保護需求。5G 網(wǎng)絡是一個異構的網(wǎng)絡，使用多種接入技術，各種接入技術對隱私信息的保護程度不同。同時， 5G 網(wǎng)絡中的用戶數(shù)據(jù)可能會穿越各種接入網(wǎng)絡及不同廠商提供的網(wǎng)絡功能實體，從而導致用戶隱私數(shù)據(jù)散布在網(wǎng)絡的各個角落，而數(shù)據(jù)挖掘技術還能夠讓第三方從散布的隱私數(shù)據(jù)中分析出更多的用戶隱私信息。 因此， 在 5G 網(wǎng)絡中， 必須全面考慮數(shù)據(jù)在各種接入技術以及不同運營網(wǎng)絡中穿越時所面臨的隱私暴露風險，并制定周全的隱私保護策略，包括用戶的各種身份，位置，接入的服務等。4G 網(wǎng)絡已經(jīng)暴露出泄露用戶身份標識（如 IMSI （國際移動用戶標識） 暴露問題） 的漏洞，因此在 5G 網(wǎng)絡中需要對

16、4G 網(wǎng)絡的機制進行優(yōu)化和補充，通過加強的安全機制對用戶身份標識進行隱私保護， 杜絕出現(xiàn)泄露用戶身份標識的情況， 解決已有的 4G 網(wǎng)絡的漏洞。另外，由于 5G 接入網(wǎng)絡包括 LTE 接入網(wǎng)絡，因此用戶身份標識的保護需要兼容LTE 的認證信令，防御攻擊者引導用戶至 LTE接入方式，從而執(zhí)行針對隱私性的降維攻 5 擊。 同時， 攻擊者也可能會利用UE 位置信息或者空口數(shù)據(jù)包的連續(xù)性等特點進行 UE 追蹤的攻擊，因此 5G 隱私保護也需要應對此類位置隱私的安全威脅。3 5G 安全總體目標5G 時代，一方面，垂直行業(yè)與移動網(wǎng)絡的深度融合，帶來了多種應用場景，包括海量資源受限的物聯(lián)網(wǎng)設備同時接入、無人

17、值守的物聯(lián)網(wǎng)終端、車聯(lián)網(wǎng)與自動駕駛、云端機器人、多種接入技術并存等；另一方面， IT 技術與通信技術的深度融合，帶來了網(wǎng)絡架構的變革，使得網(wǎng)絡能夠靈活地支撐多種應用場景。 5G 安全應保護多種應用場景下的通信安全以及 5G 網(wǎng)絡架構的安全。5G 網(wǎng)絡的多種應用場景中涉及不同類型的終端設備、多種接入方式和接入憑證、多種時延要求、隱私保護要求等，所以 5G 網(wǎng)絡安全應保證： 提供統(tǒng)一的認證框架，支持多種接入方式和接入憑證，從而保證所有終端設備安全地接入網(wǎng)絡。 提供按需的安全保護，滿足多種應用場景中的終端設備的生命周期要求、業(yè)務的時延要求。 提供隱私保護，滿足用戶隱私保護以及相關法規(guī)的要求。5G 網(wǎng)

18、絡架構中的重要特征包括 NFV/SDN、切片以及能力開放，所以 5G 安全應保證： NFV/SDN 引入移動網(wǎng)絡的安全， 包括虛擬機相關的安全、 軟件安全、 數(shù)據(jù)安全、SDN 控制器安全等。 切片的安全，包括切片安全隔離、切片的安全管理、 UE 接入切片的安全、切片之間通信的安全等。 能力開放的安全，既能保證開放的網(wǎng)絡能力安全地提供給第三方，也能夠保證網(wǎng)絡的安全能力（如加密、認證等）能夠開放給第三方使用。4 5G 網(wǎng)絡安全架構5G 網(wǎng)絡安全架構的設計需滿足上述新的安全需求和挑戰(zhàn)，包括新業(yè)務、新技術新特 6 征、接入方式和設備形態(tài)等。 5G 網(wǎng)絡安全架構的設計原則包括，支持數(shù)據(jù)安全保護，體現(xiàn)統(tǒng)一

19、認證框架和業(yè)務認證，滿足能力開放，以及支持切片安全和應用安全保護機制。5G 網(wǎng)絡安全架構如圖 1 所示。用戶應用用戶設備(1)(1)(4)(1)(3)(1)(1)(6)(2)（無線）接入網(wǎng)(2)業(yè)務提供方(5) (4)網(wǎng)絡切片(2)(2) 服務網(wǎng)絡服務網(wǎng)絡公共節(jié)點(3) 歸屬環(huán)境 制 控(2)面戶用面圖 1 5G 網(wǎng)絡安全架構示意圖根據(jù) 5G 安全設計原則，將 5G 網(wǎng)絡安全架構分為以下八個安全域：1）網(wǎng)絡接入安全：保障用戶接入網(wǎng)絡的數(shù)據(jù)安全。 控制面： 用戶設備（UE）與網(wǎng)絡之間信令的機密性和完整性安全保護， 包括無線和核心網(wǎng)信令保護。其中核心網(wǎng)信令包括 UE 到服務網(wǎng)絡公共節(jié)點的信令保護，

20、以及根據(jù)切片安全需求部署的 UE 到網(wǎng)絡切片（NS）內(nèi)實體的信令保護。 用戶面： UE 和網(wǎng)絡之間用戶數(shù)據(jù)的機密性和/或完整性安全保護，包括 UE 與（無線）接入網(wǎng)之間的空口數(shù)據(jù)保護，以及 UE 與核心網(wǎng)中用戶安全終結點之間的數(shù)據(jù)保護。2）網(wǎng)絡域安全：保障網(wǎng)元之間信令和用戶數(shù)據(jù)的安全交換，包括（無線）接入網(wǎng)與服務網(wǎng)絡共同節(jié)點之間，服務網(wǎng)絡共同節(jié)點與歸屬環(huán)境（HE）之間，服務網(wǎng)絡共同節(jié)點與 NS 之間， HE 與 NS 之間的交互。3）首次認證和密鑰管理：包括認證和密鑰管理的各種機制，體現(xiàn)統(tǒng)一的認證框架。具體為： UE 與 3GPP 網(wǎng)絡之間基于運營商安全憑證的認證，以及認證成功后用戶數(shù)據(jù)保護的

21、密鑰管理。根據(jù)不同場景中設備形式的不同， UE 中認證安全憑證可以存儲在 UE 上 7 基于硬件的防篡改的安全環(huán)境中，如 UICC （通用集成電路卡）。4）二次認證和密鑰管理： UE 與外部數(shù)據(jù)網(wǎng)絡（如，業(yè)務提供方）之間的業(yè)務認證以及相關密鑰管理。體現(xiàn)部分業(yè)務接入 5G 網(wǎng)絡時， 5G 網(wǎng)絡對于業(yè)務的授權。5）安全能力開放：體現(xiàn) 5G 網(wǎng)元與外部業(yè)務提供方的安全能力開放，包括開放數(shù)字身份管理與認證能力。 另外通過安全開放能力， 也可以實現(xiàn) 5G 網(wǎng)絡獲取業(yè)務對于數(shù)據(jù)保護的安全需求，完成按需的用戶面保護。6）應用安全：此安全域保證用戶和業(yè)務提供方之間的安全通信。7）切片安全：體現(xiàn)切片的安全保護，

22、例如 UE 接入切片的授權安全，切片隔離安全等。8）安全可視化和可配置：體現(xiàn)用戶可以感知安全特性是否被執(zhí)行，這些安全特性是否可以保障業(yè)務的安全使用和提供。5 5G 網(wǎng)絡新的安全能力5.1 統(tǒng)一的認證框架5G 支持多種接入技術（如 4G 接入、 WLAN 接入以及 5G 接入），由于目前不同的接入網(wǎng)絡使用不同的接入認證技術， 并且， 為了更好地支持物聯(lián)網(wǎng)設備接入 5G 網(wǎng)絡， 3GPP還將允許垂直行業(yè)的設備和網(wǎng)絡使用其特有的接入技術。為了使用戶可以在不同接入網(wǎng)間實現(xiàn)無縫切換， 5G 網(wǎng)絡將采用一種統(tǒng)一的認證框架，實現(xiàn)靈活并且高效地支持各種應用場景下的雙向身份鑒權，進而建立統(tǒng)一的密鑰體系。EAP

23、（可擴展認證協(xié)議）認證框架是能滿足 5G 統(tǒng)一認證需求的備選方案之一。它是一個能封裝各種認證協(xié)議的統(tǒng)一框架，框架本身并不提供安全功能，認證期望取得的安全目標， 由所封裝的認證協(xié)議來實現(xiàn)， 它支持多種認證協(xié)議， 如EAP-PSK（預共享密鑰），EAP-TLS （傳輸層安全），EAP-AKA （鑒權和密鑰協(xié)商）等。在 3GPP 目前所定義的 5G 網(wǎng)絡架構中，認證服務器功能 /認證憑證庫和處理功能（AUSF/ARPF）網(wǎng)元可完成傳統(tǒng) EAP 框架下的認證服務器功能， 接入管理功能（AMF）網(wǎng)元可完成接入控制和移動性管理功能， 5G 統(tǒng)一認證框架示意如圖2 所示： 8 圖 2 5G 統(tǒng)一認證框架示意

24、在 5G 統(tǒng)一認證框架里，各種接入方式均可在 EAP 框架下接入 5G 核心網(wǎng)：用戶通過 WLAN 接入時可使用 EAP-AKA認證，有線接入時可采用IEEE 802.1x 認證， 5G 新空口接入時可使用 EAP-AKA 認證。不同的接入網(wǎng)使用在邏輯功能上統(tǒng)一的 AMF 和AUSF/ARPF 提供認證服務，基于此，用戶在不同接入網(wǎng)間進行無縫切換成為可能。5G 網(wǎng)絡的安全架構明顯有別于以前移動網(wǎng)絡的安全架構。 統(tǒng)一認證框架的引入不僅能降低運營商的投資和運營成本，也為將來 5G 網(wǎng)絡提供新業(yè)務時對用戶的認證打下堅實的基礎。5.2 多層次的切片安全切片安全機制主要包含三個方面： UE 和切片間安全

25、、切片內(nèi) NF （網(wǎng)絡功能）與切片外 NF 間安全、切片內(nèi) NF 間安全。切片安全機制如圖 3 所示。 9 UE和切片間安全域切片內(nèi)NF與切片外NF間安全域切片內(nèi)NF間安全域UE和切片間安全鏈路切片內(nèi)NF與切片外NF間安全鏈路切片內(nèi)NF間安全鏈路圖 3 切片安全機制5.2.1 UE 和切片間安全UE 和切片間安全通過接入策略控制來應對訪問類的風險， 由 AMF 對UE 進行鑒權， 從而保證接入網(wǎng)絡的 UE 是合法的。另外，可以通過 PDU （分組數(shù)據(jù)單元）會話機制來 防止 UE 的未授權訪問，具體方式是： AMF 通過 UE 的 NSSAI （網(wǎng)絡切片選擇輔助信 息）為 UE 選擇正確的切片，

26、 當 UE 訪問不同切片內(nèi)的業(yè)務時， 會建立不同的 PDU 會話， 不同的網(wǎng)絡切片不能共享 PDU 會話，同時，建立 PDU 會話的信令流程可以增加鑒權和加密過程。 UE 的每一個切片的 PDU 會話都可以根據(jù)切片策略采用不同的安全機制。當外部數(shù)據(jù)網(wǎng)絡需要對 UE 進行第三方認證時，可以由切片內(nèi)的會話管理功能（SMF） 作為 EAP 認證器，為 UE 進行第三方認證。5.2.2 切片內(nèi) NF 與切片外 NF 間安全由于安全風險等級不同，切片內(nèi)NF 與切片外 NF 間通信安全可以分為三種情況：A 、 切片內(nèi)NF 與切片公用 NF 間的安全公用 NF 可以訪問多個切片內(nèi)的NF，因此切片內(nèi)的 NF

27、需要安全的機制控制來自公 10 用 NF 的訪問，防止公用 NF 非法訪問某個切片內(nèi)的 NF，以及防止非法的外部 NF 訪問某個切片內(nèi)的 NF。網(wǎng)管平臺通過白名單機制對各個 NF 進行授權，包括每個 NF 可以被哪些 NF 訪問，每個 NF 可以訪問哪些 NF。切片內(nèi)的 SMF 需要向網(wǎng)絡倉儲功能（NRF）注冊，當 AMF 為 UE 選擇切片時，詢問 NRF，發(fā)現(xiàn)各個切片的 SMF，在 AMF 和 SMF 通信前，可以先進行相互認證，實現(xiàn)切片內(nèi) NF （如 SMF）與切片外公共 NF （如 AMF）之間的相互可信。同時，可以在 AMF 或 NRF 做頻率監(jiān)控或者部署防火墻防止 Dos/DDos

28、 攻擊，防止惡意用戶將切片公有 NF 的資源耗盡，而影響切片的正常運作。比如，在 AMF 做防御，進行頻率監(jiān)控， 當檢測到同一 UE 向同一 NRF 發(fā)消息的頻率過高， 則將強制該 UE 下線，并限制其再次上線，進行接入控制，防止UE 的 Dos 攻擊；或者在 NRF 做頻率監(jiān)控，當發(fā)現(xiàn)大量 UE 同時上線，向同一 NRF 發(fā)送消息的頻率過高，則將強制這些 UE 下線，并限制其再次上線，進行接入控制，防止大范圍的 DDos 攻擊。B、切片內(nèi) NF 與外網(wǎng)設備間安全在切片內(nèi) NF 與外網(wǎng)設備間， 部署虛擬防火墻或物理防火墻， 保護切片內(nèi)網(wǎng)與外網(wǎng)的安全。如果在切片內(nèi)部署防火墻則可以使用虛擬防火墻，

29、不同的切片按需編排；如果在切片外部署防火墻則可以使用物理防火墻，一個防火墻可以保障多個切片的安全。C、不同切片間 NF 的隔離不同的切片要盡可能保證隔離， 各個切片內(nèi)的 NF 之間也需要進行安全隔離， 比如，部署時可以通過 VLAN （虛擬局域網(wǎng)） /VxLAN （虛擬擴展局域網(wǎng)）劃分切片，基于NFV的隔離來實現(xiàn)切片的物理隔離和控制，保證每個切片都能獲得相對獨立的物理資源，保證一個切片異常后不會影響到其他切片。5.2.3 切片內(nèi) NF 間安全切片內(nèi)的 NF 之間通信前，可以先進行認證，保證對方 NF 是可信 NF，然后可以通過建立安全隧道保證通訊安全，如 IPSec。5.3 差異化安全保護不同

30、的業(yè)務會有不同的安全需求， 例如， 遠程醫(yī)療需要高可靠性安全保護， 而部分物 11 聯(lián)網(wǎng)業(yè)務需要輕量級的安全解決方案（算法或安全協(xié)議）來進行安全保護。 5G 網(wǎng)絡支持多種業(yè)務并行發(fā)展， 以滿足個人用戶、 行業(yè)客戶的多樣性需求。 從網(wǎng)絡架構來看， 基于原生云化架構的端到端切片可以滿足這樣的多樣性需求。同樣的， 5G 安全設計也需支持業(yè)務多樣性的差異化安全需求，即用戶面的按需保護需求。用戶面的按需保護本質上是根據(jù)不同的業(yè)務對于安全保護的不同需求，部署不同的用戶面保護機制。按需的保護主要有以下兩類策略：1）用戶面數(shù)據(jù)保護的終結點。終結點可以為（無線）接入網(wǎng)或者核心網(wǎng)，即 UE 到（無線）接入網(wǎng)之間的

31、用戶面數(shù)據(jù)保護，或者 UE 至核心網(wǎng)的用戶面數(shù)據(jù)保護。2）業(yè)務數(shù)據(jù)的加密和/或完整性保護方式。如，不同的安全保護算法、密鑰長度、密鑰更新周期等。通過和業(yè)務的交互， 5G 系統(tǒng)獲取不同業(yè)務的安全需求，并根據(jù)業(yè)務、網(wǎng)絡、終端的安全需求和安全能力，運營商網(wǎng)絡可以按需制定不同業(yè)務的差異化數(shù)據(jù)保護策略?；跇I(yè)務的差異化用戶面安全保護機制如圖 4 所示。圖 4 基于業(yè)務的差異化用戶面安全保護機制示例圖 4 中，根據(jù)應用與服務側的業(yè)務安全需求，確定相應切片的安全保護機制，并部署相關切片的用戶面安全防護。例如考慮mMTC 中設備的輕量級特征，此切片內(nèi)數(shù)據(jù)可以根據(jù) mMTC 業(yè)務需求部署輕量級的用戶面安全保護機

32、制。另外，切片內(nèi)還包含 UE 至核心網(wǎng)的會話傳輸模式，因此基于不同的會話做用戶面數(shù)據(jù)保護，可以增加安全保護的靈活度。對于同一個用戶終端，不同的業(yè)務有不同的會話數(shù)據(jù)傳輸， 5G 網(wǎng)絡也可以對不 12 同的會話數(shù)據(jù)傳輸進行差異化的安全保護。5.4 開放的安全能力5G 網(wǎng)絡安全能力可以通過 API 接口開放給第三方業(yè)務（如業(yè)務提供商、企業(yè)、垂直行業(yè)等），讓第三方業(yè)務能便捷地使用移動網(wǎng)絡的安全能力，從而讓第三方業(yè)務提供商有更多的時間和精力專注于具體應用業(yè)務邏輯的開發(fā)， 進而快速、靈活地部署各種新業(yè)務，以滿足用戶不斷變化的需求；同時運營商通過 API 接口開放 5G 網(wǎng)絡安全能力，讓運營商的網(wǎng)絡安全能力

33、深入地滲透到第三方業(yè)務生態(tài)環(huán)境中，進而增強用戶黏性，拓展運營商的業(yè)務收入來源。開放的 5G 網(wǎng)絡安全能力主要包括（但不限于）：基于網(wǎng)絡接入認證向第三方提供業(yè)務層的訪問認證，即如果業(yè)務層與網(wǎng)絡層互信時用戶在通過網(wǎng)絡接入認證后可以直接訪問第三方業(yè)務，簡化用戶訪問業(yè)務認證的同時也提高了業(yè)務訪問效率；基于終端智能卡（如 UICC/eUICC/ iUICC）的安全能力，拓展業(yè)務層的認證維度，增強業(yè)務認證的安全性。5.5 靈活多樣的安全憑證管理由于 5G 網(wǎng)絡需要支持多種接入技術（如 WLAN 、LTE、固定網(wǎng)絡、 5G 新無線接入技術），以及支持多樣的終端設備， 如部分設備能力強， 支持(U)SIM 卡

34、安全機制； 部分設備能力較弱， 僅支持輕量級的安全功能， 于是， 存在多種安全憑證， 如對稱安全憑證和非對稱安全憑證。因此， 5G 網(wǎng)絡安全需要支持多種安全憑證的管理，包括對稱安全憑證管理和非對稱安全憑證管理。 對稱安全憑證管理對稱安全憑證管理機制，便于運營商對于用戶的集中化管理。如，基于(U)SIM 卡的數(shù)字身份管理，是一種典型的對稱安全憑證管理，其認證機制已得到業(yè)務提供者和用戶廣泛的信賴。 非對稱安全憑證管理采用非對稱安全憑證管理可以實現(xiàn)物聯(lián)網(wǎng)場景下的身份管理和接入認證，縮短認證鏈條， 實現(xiàn)快速安全接入， 降低認證開銷； 同時緩解核心網(wǎng)壓力， 規(guī)避信令風暴以及認證 13 節(jié)點高度集中帶來的

35、瓶頸風險。面向物聯(lián)網(wǎng)成百上千億的連接，基于(U)SIM 卡的單用戶認證方案成本高昂，為了降低物聯(lián)網(wǎng)設備在認證和身份管理方面的成本，可采用非對稱安全憑證管理機制。非對稱安全憑證管理主要包括以下兩類分支：證書機制和基于身份安全 IBC （基于身份密碼學） 機制。 其中證書機制是應用較為成熟的非對稱安全憑證管理機制，已廣泛應用于金融和CA （證書中心）等業(yè)務，不過證書復雜度較高； 而基于 IBC 的身份管理， 設備 ID 可以作為其公鑰， 在認證時不需要發(fā)送證書， 具有傳輸效率高的優(yōu)勢。 IBC 所對應的身份管理與網(wǎng)絡/應用 ID 易于關聯(lián)， 可以靈活制定或修改身份管理策略。非對稱密鑰體制具有天然的

36、去中心化特點， 無需在網(wǎng)絡側保存所有終端設備的密鑰，無需部署永久在線的集中式身份管理節(jié)點。網(wǎng)絡認證節(jié)點可以采用去中心化部署方式，如下移至網(wǎng)絡邊緣，終端和網(wǎng)絡的認證無需訪問網(wǎng)絡中心的用戶身份數(shù)據(jù)庫。去中心化部署方式示意如圖 5 所示。運營商密鑰管理中心密鑰生成中心行業(yè)用戶身份管理中心行業(yè)行業(yè)行業(yè)身份管理服 務器網(wǎng)元身份管理中心終端設備 終端設備行業(yè)行業(yè)身份管理服 務器認證節(jié)點 認證節(jié)點 認證節(jié)點密鑰分發(fā)（離線）認證交互（在線）終端設備 終端設備圖 5 去中心化安全管理部署示意圖5.6 按需的用戶隱私保護5G 網(wǎng)絡涉及多種網(wǎng)絡接入類型并兼容垂直行業(yè)應用，用戶隱私信息在多種網(wǎng)絡、服務、應用及網(wǎng)絡設備

37、中存儲使用，因此， 5G 網(wǎng)絡需要支持安全、靈活、按需的隱私保護機制。 14 隱私保護類型5G 網(wǎng)絡對用戶隱私的保護可以分為以下幾類： 身份標識保護用戶身份是用戶隱私的重要組成部分， 5G 網(wǎng)絡使用加密技術、匿名化技術等為臨時身份標識、永久身份標識、設備身份標識、網(wǎng)絡切片標識等身份標識提供保護。 位置信息保護5G 網(wǎng)絡中海量的用戶設備及其應用，產(chǎn)生大量用戶位置相關的信息，如定位信息、軌跡信息等， 5G 網(wǎng)絡使用加密等技術提供對位置信息的保護，并可防止通過位置信息分析和預測用戶軌跡。 服務信息保護相比 4G 網(wǎng)絡， 5G 網(wǎng)絡中的服務將更加多樣化，用戶對使用服務產(chǎn)生的信息保護需求增強， 用戶服務

38、信息主要包括用戶使用的服務類型、服務內(nèi)容等， 5G 網(wǎng)絡使用機密性、完整性保護等技術對服務信息提供保護。 隱私保護能力在服務和網(wǎng)絡應用中， 不同的用戶隱私類型保護需求不盡相同， 存在差異性， 因此需要網(wǎng)絡提供靈活、按需的隱私保護能力。 提供差異化隱私保護能力5G 網(wǎng)絡能夠針對不同的應用、不同的服務，靈活設定隱私保護范圍和保護強度（如提供機密性保護、提供機密性和完整性保護等），提供差異化隱私保護能力。 提供用戶偏好保護能力5G 網(wǎng)絡能夠根據(jù)用戶需求，為用戶提供設置隱私保護偏好的能力，同時具備隱私保護的可配置、可視化能力。 提供用戶行為保護能力5G 網(wǎng)絡中業(yè)務和場景的多樣性，以及網(wǎng)絡的開放性，使得

39、用戶隱私信息可能從封閉的平臺轉移到開放的平臺上，因此需要對用戶行為相關的數(shù)據(jù)分析提供保護，防止從公開信息中挖掘和分析出用戶隱私信息。 隱私保護技術 15 5G 網(wǎng)絡可提供多樣化的技術手段對用戶隱私進行保護， 使用基于密碼學的機密性保護、完整性保護、 匿名化技術等對用戶身份進行保護，使用基于密碼學的機密性保護、完整性保護對位置信息、服務信息進行保護。為提供差異化隱私保護能力，網(wǎng)絡通過安全策略可配置和可視化技術，以及可配置的隱私保護偏好技術，實現(xiàn)對隱私信息保護范圍和保護強度的靈活選擇；采用大數(shù)據(jù)分析相關的保護技術，實現(xiàn)對用戶行為相關數(shù)據(jù)的安全保護。6 5G 安全標準化建議6.1 總體目標IMT-2020(5G)推進組全力支持在 ITU 和 3GPP 框架下研制全球統(tǒng)一