楊紅梅 林美玉

【摘? 要】首先介紹了5G網(wǎng)絡(luò)能力開(kāi)放架構(gòu)，分析了基于網(wǎng)絡(luò)切片、多接入邊緣計(jì)算（MEC）技術(shù)實(shí)現(xiàn)能力開(kāi)放的原理，提出了5G安全能力開(kāi)放的需求及架構(gòu)，然后給出了5G網(wǎng)絡(luò)及安全能力開(kāi)放的接口安全實(shí)現(xiàn)方案，最后展望了5G安全增強(qiáng)技術(shù)的發(fā)展趨勢(shì)。

【關(guān)鍵詞】5G安全;能力開(kāi)放;網(wǎng)絡(luò)切片;邊緣計(jì)算;安全增強(qiáng)

doi：10.3969/j.issn.1006-1010.2020.04.014? ? ? 中圖分類(lèi)號(hào)：TN929.5

文獻(xiàn)標(biāo)志碼：A? ? ? 文章編號(hào)：1006-1010（2020）04-0065-04

引用格式：楊紅梅，林美玉. 5G網(wǎng)絡(luò)及安全能力開(kāi)放技術(shù)研究[J]. 移動(dòng)通信， 2020，44（4）： 65-68.

Research on Open Technologies of 5G Network and Security Capability

YANG Hongmei， LIN Meiyu

（China Academy of Information and Communications Technology， Beijing 100191， China）

[Abstract]

This paper introduces 5G network capability open architecture， analyzes the implementation principle of the capability openness based on network slicing and multi access edge computing （MEC） technologies， and proposes 5G security capability open requirement and architecture. Then， the implementation solution of interface security is given for 5G network and security capability openness. Finally， the development trend of 5G security enhancement is described.

[Key words] 5G security; capability openness; network slicing; MEC; security enhancement

0? ?引言

5G網(wǎng)絡(luò)是實(shí)現(xiàn)萬(wàn)物互聯(lián)的關(guān)鍵基礎(chǔ)設(shè)施，其將在經(jīng)濟(jì)和社會(huì)的數(shù)字化轉(zhuǎn)型中發(fā)揮重要作用。我國(guó)積極推動(dòng)5G建設(shè)和發(fā)展，做出了加快5G商用步伐的戰(zhàn)略部署，并于2019年6月正式發(fā)放了5G商用牌照。

5G時(shí)代提出了增強(qiáng)移動(dòng)寬帶（eMBB）、超高可靠低時(shí)延（URLLC）和海量機(jī)器類(lèi)通信（mMTC）三大典型應(yīng)用場(chǎng)景，這些應(yīng)用對(duì)網(wǎng)絡(luò)能力的需求差異化明顯，為了更好地滿(mǎn)足各行業(yè)的個(gè)性化需求，迫切需要將運(yùn)營(yíng)商的網(wǎng)絡(luò)能力及安全能力開(kāi)放給第三方應(yīng)用。5G網(wǎng)絡(luò)及安全能力開(kāi)放帶來(lái)諸多好處：一方面可以及時(shí)響應(yīng)第三方業(yè)務(wù)需求，保障用戶(hù)的業(yè)務(wù)體驗(yàn)，提供個(gè)性化的服務(wù)及安全保障;另一方面，也有利于第三方業(yè)務(wù)提供商開(kāi)發(fā)業(yè)務(wù)時(shí)充分利用運(yùn)營(yíng)商的網(wǎng)絡(luò)及業(yè)務(wù)能力，比如，身份認(rèn)證、接入控制、業(yè)務(wù)策略、路由和流量控制、網(wǎng)絡(luò)切片的生命周期管理、安全能力等;同時(shí)，還可以滿(mǎn)足運(yùn)營(yíng)商一體化的5G網(wǎng)絡(luò)能力開(kāi)放產(chǎn)品研發(fā)、運(yùn)營(yíng)維護(hù)以及支撐體系發(fā)展的需求。

1? ?5G網(wǎng)絡(luò)能力開(kāi)放

5G網(wǎng)絡(luò)能力開(kāi)放指的是5G網(wǎng)絡(luò)和第三方應(yīng)用之間相互開(kāi)放能力，5G網(wǎng)絡(luò)開(kāi)放給第三方應(yīng)用的能力通常包括：網(wǎng)絡(luò)/終端監(jiān)控能力（網(wǎng)絡(luò)擁塞狀態(tài)、終端移動(dòng)狀態(tài)等）、基礎(chǔ)服務(wù)能力（語(yǔ)音、短消息、計(jì)費(fèi)、安全能力）、控制能力（鑒權(quán)和授權(quán)、接入控制、策略、QoS保障能力、網(wǎng)絡(luò)切片生命周期管理能力、MEC能力）、網(wǎng)絡(luò)信息能力（終端連接狀態(tài)、終端位置信息、大數(shù)據(jù)分析信息等）。反之，第三方應(yīng)用也可以向5G網(wǎng)絡(luò)開(kāi)放終端的能力、移動(dòng)性信息、業(yè)務(wù)相關(guān)信息等，以便運(yùn)營(yíng)商根據(jù)業(yè)務(wù)需求對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化和管理。

5G網(wǎng)絡(luò)架構(gòu)下，能力開(kāi)放與終端管理、流量管理、網(wǎng)絡(luò)切片以及MEC技術(shù)相結(jié)合，使得運(yùn)營(yíng)商在網(wǎng)絡(luò)規(guī)劃和管理時(shí)兼顧第三方業(yè)務(wù)和安全需求成為可能，從而可以更好地為其提供服務(wù)，有利于形成更合理的商業(yè)合作模式，達(dá)到雙贏的目的。

1.1? 5G網(wǎng)絡(luò)能力開(kāi)放架構(gòu)

5G網(wǎng)絡(luò)能力開(kāi)放涵蓋外部開(kāi)放和內(nèi)部開(kāi)放兩大類(lèi)，外部開(kāi)放指的是通過(guò)能力開(kāi)放平臺(tái)對(duì)5G網(wǎng)絡(luò)架構(gòu)中的應(yīng)用功能（AF）開(kāi)放運(yùn)營(yíng)商的網(wǎng)絡(luò)能力，能力開(kāi)放平臺(tái)主要負(fù)責(zé)內(nèi)外部信息的傳遞和協(xié)議轉(zhuǎn)換，根據(jù)AF的請(qǐng)求調(diào)用運(yùn)營(yíng)商的網(wǎng)絡(luò)資源;內(nèi)部開(kāi)放指的是運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)功能（NF）之間相互開(kāi)放信息，借助統(tǒng)一數(shù)據(jù)存儲(chǔ)（UDR）實(shí)現(xiàn)不同NF之間相關(guān)信息的存儲(chǔ)和訪問(wèn)。

圖1中，NEF（網(wǎng)絡(luò)能力開(kāi)放功能）是運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)資源和外部AF應(yīng)用之間的橋梁，主要負(fù)責(zé)能力開(kāi)放相關(guān)的功能。NEF通過(guò)標(biāo)準(zhǔn)接口連接NF獲取網(wǎng)絡(luò)基礎(chǔ)能力并安全地提供給AF，其主要的功能如下：身份驗(yàn)證和授權(quán)、API（應(yīng)用程序接口）消費(fèi)者的身份識(shí)別、檔案管理、接入控制、策略增強(qiáng)、基礎(chǔ)設(shè)施策略、業(yè)務(wù)策略、安全、路由和流量控制、協(xié)議轉(zhuǎn)換及API到網(wǎng)絡(luò)接口的映射等。NEF與網(wǎng)絡(luò)的接口成為Nnef接口，該接口協(xié)議采用Diameter協(xié)議和HTTP Restful協(xié)議（JSON），主要負(fù)責(zé)群組信息傳遞、監(jiān)控、高延遲通信、網(wǎng)絡(luò)狀態(tài)查詢(xún)、后臺(tái)數(shù)據(jù)傳輸資源管理、通信模式、非IP數(shù)據(jù)傳輸、背景流量、覆蓋增強(qiáng)、網(wǎng)絡(luò)參數(shù)配置等API調(diào)用功能。

5G網(wǎng)絡(luò)開(kāi)放的能力主要包括：網(wǎng)絡(luò)基礎(chǔ)能力（音視頻通話能力、鑒權(quán)認(rèn)證、授權(quán)等）、網(wǎng)絡(luò)控制能力（流量策略、切片管理等）、數(shù)據(jù)服務(wù)及管理能力（主要包括終端信息、接入信息以及業(yè)務(wù)配置等）、安全防護(hù)管理能力（主要包括網(wǎng)絡(luò)安全防護(hù)能力、信息安全及抗攻擊等）。

1.2? 5G網(wǎng)絡(luò)切片能力開(kāi)放

5G網(wǎng)絡(luò)切片技術(shù)使得運(yùn)營(yíng)商可以將同一張物理網(wǎng)絡(luò)切分成多個(gè)網(wǎng)絡(luò)切片，為不同的應(yīng)用場(chǎng)景提供專(zhuān)用服務(wù)。為了方便第三方應(yīng)用更好地利用運(yùn)營(yíng)商的網(wǎng)絡(luò)切片資源，5G網(wǎng)絡(luò)支持向應(yīng)用層開(kāi)放網(wǎng)絡(luò)切片管理能力，如切片的生命周期管理能力等。網(wǎng)絡(luò)切片能力開(kāi)放架構(gòu)示意如圖2所示。

每個(gè)切片中都可能存在NEF，同時(shí)，同一個(gè)切片也可能覆蓋多個(gè)不同的區(qū)域，這些區(qū)域?qū)?yīng)的控制面會(huì)部署單獨(dú)的NEF，因?qū)嶋H部署中通常采用NEF級(jí)聯(lián)的方式接入統(tǒng)一的能力開(kāi)放平臺(tái)。

圖2中，能力開(kāi)放平臺(tái)與切片管理系統(tǒng)、多個(gè)切片子網(wǎng)的NEF、策略控制功能（PCF）進(jìn)行互聯(lián)，實(shí)現(xiàn)網(wǎng)絡(luò)切片能力開(kāi)放。開(kāi)放的能力主要包括底層網(wǎng)絡(luò)資源控制、切片的創(chuàng)建、管理、銷(xiāo)毀等等。能力開(kāi)放平臺(tái)中的“切片管理能力”模塊，通過(guò)API管理模塊向第三方提供開(kāi)放接口，可供被授權(quán)的第三方調(diào)用，其在接到第三方調(diào)用請(qǐng)求后，將應(yīng)用的服務(wù)請(qǐng)求映射成網(wǎng)絡(luò)切片需求，選擇合適的子切片組件，映射為網(wǎng)絡(luò)服務(wù)實(shí)例和配置要求，并將指令下達(dá)給網(wǎng)絡(luò)中的“切片管理系統(tǒng)”，切片管理系統(tǒng)進(jìn)一步完成子切片及其網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)資源的部署。

1.3? 5G邊緣計(jì)算能力開(kāi)放

多接入邊緣計(jì)算本質(zhì)上是在靠近用戶(hù)的位置，在網(wǎng)絡(luò)的邊緣提供計(jì)算和數(shù)據(jù)處理能力，以提升網(wǎng)絡(luò)數(shù)據(jù)處理效率。MEC平臺(tái)可以向第三方應(yīng)用開(kāi)放網(wǎng)絡(luò)能力，提高精準(zhǔn)信息及資源控制能力，提供高價(jià)值智能服務(wù)能力。MEC平臺(tái)開(kāi)放的信息和能力主要包括：無(wú)線負(fù)載信息、網(wǎng)絡(luò)擁塞和吞吐量信息、鏈路質(zhì)量信息、本地分流能力、位置信息、QoS（服務(wù)質(zhì)量）能力、計(jì)費(fèi)能力以及短消息業(yè)務(wù)能力、QCI（QoS等級(jí)標(biāo)識(shí)）及路由優(yōu)化等。5G邊緣計(jì)算能力開(kāi)放架構(gòu)示意如圖3所示：

MEC系統(tǒng)通常由MEC主機(jī)、MEC系統(tǒng)虛擬化管理（邊緣編排器（MEO）、虛擬化基礎(chǔ)設(shè)施管理（VIM）、邊緣計(jì)算平臺(tái)管理（MEPM））、MEC運(yùn)營(yíng)管理等組成。其中，MEPM可以和主機(jī)一起部署在邊緣，也可以和MEO以及MEC運(yùn)營(yíng)管理等系統(tǒng)級(jí)網(wǎng)元一起部署在相對(duì)集中的位置。

MEC主要實(shí)現(xiàn)業(yè)務(wù)流的本地轉(zhuǎn)發(fā)、分流策略控制、本地流量計(jì)費(fèi)和QoS保證等功能。MEC應(yīng)用經(jīng)由NEF與5G網(wǎng)絡(luò)互聯(lián)：一方面，NEF將UE和業(yè)務(wù)流相關(guān)的信息，例如UE的位置信息、無(wú)線鏈路質(zhì)量、漫游狀態(tài)等開(kāi)放給MEC平臺(tái)，MEC平臺(tái)基于此對(duì)MEC應(yīng)用進(jìn)行優(yōu)化;另一方面，MEC應(yīng)用可以通過(guò)NEF將應(yīng)用的相關(guān)信息，例如業(yè)務(wù)時(shí)長(zhǎng)、業(yè)務(wù)周期、移動(dòng)模式等共享給網(wǎng)絡(luò)，網(wǎng)絡(luò)據(jù)此進(jìn)一步優(yōu)化網(wǎng)絡(luò)資源配置。

2? ?5G安全能力開(kāi)放

為了幫助第三方應(yīng)用提供商更好地構(gòu)建業(yè)務(wù)安全能力，5G網(wǎng)絡(luò)除了可以提供開(kāi)放的業(yè)務(wù)能力之外，還可以提供開(kāi)放的安全服務(wù)能力。具體應(yīng)用場(chǎng)景包括：運(yùn)營(yíng)商向第三方應(yīng)用提供安全服務(wù)，如接入認(rèn)證、授權(quán)控制、網(wǎng)絡(luò)防御等服務(wù)，或者第三方應(yīng)用通過(guò)對(duì)被授權(quán)的切片進(jìn)行管理從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全能力的配置與調(diào)整。典型的5G安全能力開(kāi)放架構(gòu)如圖4所示：

圖4中，5G網(wǎng)絡(luò)基于計(jì)算資源和虛擬化能力，可以建立獨(dú)立于設(shè)備和應(yīng)用的安全資源，如特征匹配、深度檢測(cè)、認(rèn)證協(xié)議、密碼算法、密鑰協(xié)商以及數(shù)據(jù)加解密等?；诎踩Y源，可建立可信認(rèn)證、數(shù)字身份、通道加密、數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)防御、運(yùn)維管理等安全體系能力。行業(yè)應(yīng)用可根據(jù)各自的安全需求（比如接入認(rèn)證、授權(quán)控制、傳輸安全、網(wǎng)絡(luò)放與、運(yùn)維管理、切片安全等），通過(guò)能力開(kāi)放平臺(tái)，靈活使用運(yùn)營(yíng)商網(wǎng)絡(luò)的安全能力和安全資源，實(shí)現(xiàn)訂制化的安全防護(hù)。

3? ?5G能力開(kāi)放接口安全

5G網(wǎng)絡(luò)能力開(kāi)放架構(gòu)基于能力開(kāi)放平臺(tái)，通過(guò)開(kāi)放的API將網(wǎng)絡(luò)能力及安全能力開(kāi)放給第三方應(yīng)用。目前通?；贑APIF（公共API接口功能）架構(gòu)來(lái)實(shí)現(xiàn)，架構(gòu)示意如圖5所示。CAPIF架構(gòu)主要由核心功能、API開(kāi)放功能以及API調(diào)用功能組成。其中，核心功能是控制中樞，對(duì)API調(diào)用功能進(jìn)行認(rèn)證和授權(quán)并對(duì)API開(kāi)放功能進(jìn)行管理和配置;API調(diào)用功能在核心功能的控制下調(diào)用API開(kāi)放功能提供的服務(wù)。通常，核心功能通常與API開(kāi)放功能合設(shè)，由NEF實(shí)現(xiàn)，API調(diào)用功能由第三方行業(yè)應(yīng)用實(shí)現(xiàn)。

為了保障能力開(kāi)放接口的安全可靠，公共接口采用基于應(yīng)用層的認(rèn)證授權(quán)以及傳輸層的TLS安全通道，在行業(yè)應(yīng)用和運(yùn)營(yíng)商網(wǎng)絡(luò)之間安全可靠地傳遞能力開(kāi)放信息，如UE監(jiān)控能力、策略和計(jì)費(fèi)能力、流量引導(dǎo)能力、數(shù)據(jù)能力、切片能力、外部輸入能力等。

4? ?5G安全增強(qiáng)技術(shù)

5G安全技術(shù)增強(qiáng)路線與網(wǎng)絡(luò)技術(shù)增強(qiáng)基本保持一致，3GPP 5G安全相關(guān)標(biāo)準(zhǔn)中，R15版本聚焦安全基礎(chǔ)架構(gòu)定義，重點(diǎn)解決eMBB場(chǎng)景的安全問(wèn)題。R16版本基于R15安全基礎(chǔ)架構(gòu)，面向URLLC和mMTC場(chǎng)景進(jìn)行安全優(yōu)化，并在eLCS（增強(qiáng)的位置業(yè)務(wù)）安全、NPN（非公共網(wǎng)絡(luò)）安全、MEC安全、IAB（無(wú)線接入和回傳集成）安全、AKMA（5G物聯(lián)網(wǎng)應(yīng)用中認(rèn)證和密鑰協(xié)商）安全、偽基站防護(hù)、LTE用戶(hù)面完整性保護(hù)、認(rèn)證增強(qiáng)、256比特密碼算法等方面進(jìn)行安全增強(qiáng)。R17將進(jìn)一步研究5G系統(tǒng)如何兼容GBA（通用認(rèn)證機(jī)制）、SBA（基于服務(wù)的架構(gòu)）的TLS（安全傳輸協(xié)議）證書(shū)認(rèn)證、同一個(gè)PLMN（公共陸地移動(dòng)網(wǎng)絡(luò)）中的UPF（用戶(hù)面功能）間接口的安全等增強(qiáng)技術(shù)。

5? ? 結(jié)束語(yǔ)

基于5G網(wǎng)絡(luò)及安全能力開(kāi)放關(guān)鍵技術(shù)，可以將運(yùn)營(yíng)商網(wǎng)絡(luò)的業(yè)務(wù)能力、網(wǎng)絡(luò)能力以及安全能力安全可靠地開(kāi)放給第三方應(yīng)用，以便第三方業(yè)務(wù)提供商按照各自的需求設(shè)計(jì)定制化的業(yè)務(wù)應(yīng)用。這將有利于垂直行業(yè)加速推出新型業(yè)務(wù)，也有利于運(yùn)營(yíng)商提升網(wǎng)絡(luò)附加值，還有利于提升用戶(hù)的業(yè)務(wù)體驗(yàn)，有利于建立新的5G商業(yè)模式和產(chǎn)業(yè)生態(tài)，從而推動(dòng)5G網(wǎng)絡(luò)與垂直行業(yè)深度融合，早日實(shí)現(xiàn)萬(wàn)物互聯(lián)的美好愿景。

參考文獻(xiàn)：

[1]? ? 朱斌，符剛. 5G網(wǎng)絡(luò)能力開(kāi)放發(fā)展策略研究[J]. 郵電設(shè)計(jì)技術(shù)， 2018（9）： 1-5.

[2]? ? 謝振華. 5G移動(dòng)網(wǎng)絡(luò)安全技術(shù)分析[J]. 郵電設(shè)計(jì)技術(shù)， 2019（4）： 49-52.

[3]? ? ?3GPP. 3GPP TS 23.501 V15.8.0： 5G系統(tǒng)架構(gòu)[S]. 2019.

[4]? ? 3GPP. 3GPP TS 33.501 V15.7.0： 5G系統(tǒng)安全架構(gòu)和流程[S]. 2019.

[5]? ? 3GPP. 3GPP TS 29.522 V15.5.0： 5G系統(tǒng)網(wǎng)絡(luò)能力開(kāi)放北向API接口[S]. 2019.★

作者簡(jiǎn)介

楊紅梅（orcid.org/0000-0003-4216-9704）：高級(jí)工程師，碩士畢業(yè)于北京郵電大學(xué)，現(xiàn)任中國(guó)信息通信研究院安全研究所部門(mén)副主任，IMT-2020（5G）推進(jìn)組安全工作組組長(zhǎng)，中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)TC5 WG12副組長(zhǎng)，長(zhǎng)期從事移動(dòng)通信核心網(wǎng)、網(wǎng)絡(luò)安全技術(shù)研究的相關(guān)工作，多次獲得中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)科學(xué)技術(shù)一等獎(jiǎng)、三等獎(jiǎng)，牽頭完成多項(xiàng)國(guó)家重大專(zhuān)項(xiàng)。

林美玉：高級(jí)工程師，碩士畢業(yè)于信息產(chǎn)業(yè)部電信科學(xué)技術(shù)研究院，現(xiàn)任中國(guó)信息通信研究院安全研究所部門(mén)主任，中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)ST6組長(zhǎng)，長(zhǎng)期從事網(wǎng)絡(luò)交換、網(wǎng)絡(luò)與信息安全方面的研究工作，曾獲得中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)科技進(jìn)步獎(jiǎng)一等獎(jiǎng)、二等獎(jiǎng)、三等獎(jiǎng)，獲中國(guó)通信學(xué)會(huì)二等獎(jiǎng)、三等獎(jiǎng)以及安全部科技進(jìn)步獎(jiǎng)二等獎(jiǎng)等獎(jiǎng)項(xiàng)。