邱 勤 冉 鵬 張 峰 王國宇

(中國移動通信集團(tuán)有限公司 北京 100032)

(qiuqin@chinamobile.com)

1 安全需求

5G即第五代移動通信技術(shù)(5th generation mobile networks或5th generation wireless systems, 5th-Generation)，簡稱5G或5G技術(shù)，是繼4G(LTE，LTE-A，WiMax)、3G(WCDMA，TDS-CDMA，CDMA2000)和2G(GSM)系統(tǒng)之后的延伸.5G引入了服務(wù)化架構(gòu)(service based architecture, SBA)、軟件定義網(wǎng)絡(luò)(SDN)、網(wǎng)絡(luò)功能虛擬化(NFV)、網(wǎng)絡(luò)切片(network slicing)、多接入邊緣計算(MEC)等新技術(shù)，具備高數(shù)據(jù)速率、低傳輸延遲和大規(guī)模設(shè)備連接等新特性,使得通信網(wǎng)絡(luò)具備更加豐富的應(yīng)用場景，從傳統(tǒng)的人與人通信延伸覆蓋到人與物、物與物之間的智能互聯(lián)，是支撐數(shù)字經(jīng)濟(jì)發(fā)展和產(chǎn)業(yè)轉(zhuǎn)型升級的關(guān)鍵基礎(chǔ)設(shè)施[1].當(dāng)前，我國已建成5G基站70余萬個,成為全球規(guī)模最大的5G通信網(wǎng)絡(luò)[2]，5G在工業(yè)、能源、交通、醫(yī)療等行業(yè)的應(yīng)用也處于加速發(fā)展階段，為各行業(yè)數(shù)字化轉(zhuǎn)型、降本增效發(fā)揮重要作用.5G行業(yè)應(yīng)用面臨空口劫持、邊緣節(jié)點入侵、切片越權(quán)訪問、虛擬化網(wǎng)絡(luò)設(shè)施隔離不當(dāng)?shù)葟?fù)雜安全風(fēng)險[3]，僅靠應(yīng)用方自身開展安全防護(hù)往往孤木難支[4]，而且不能充分發(fā)揮5G網(wǎng)絡(luò)自身的安全優(yōu)勢.網(wǎng)絡(luò)提供方如何基于5G的網(wǎng)絡(luò)切片、網(wǎng)絡(luò)功能開放等技術(shù)為行業(yè)應(yīng)用提供一站式、高效、靈活的安全服務(wù)能力成為業(yè)界關(guān)注的焦點[1].

5G行業(yè)應(yīng)用的安全需求可大致分為網(wǎng)絡(luò)通用、行業(yè)特有2類(如表1所示)，前者提供與行業(yè)特點松耦合的網(wǎng)絡(luò)通用標(biāo)準(zhǔn)化安全能力，如接入安全認(rèn)證、切片安全隔離等；后者從行業(yè)監(jiān)管要求、業(yè)務(wù)特點出發(fā)，提供與行業(yè)緊耦合的綜合解決方案，如5G智能電網(wǎng)安全解決方案、5G智慧港口安全解決方案等.

表1 典型的5G安全能力需求

2 技術(shù)標(biāo)準(zhǔn)

為滿足5G行業(yè)應(yīng)用差異化、多層次的安全需求，相關(guān)標(biāo)準(zhǔn)組織在網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、安全關(guān)鍵能力和服務(wù)接口等方面積極開展工作，推動5G安全保障和應(yīng)用服務(wù)，保障5G安全的互信互任.其中3GPP[5]主要針對5G網(wǎng)絡(luò)(系統(tǒng)、核心網(wǎng)、無線等)、5G業(yè)務(wù)安全認(rèn)證、5G業(yè)務(wù)能力開放框架安全等方面規(guī)范了安全流程及機(jī)制；ITU針對通信即服務(wù)(CaaS)應(yīng)用程序環(huán)境，提出身份欺詐、協(xié)調(diào)安全、多設(shè)備安全、反垃圾郵件、隱私保護(hù)、基礎(chǔ)設(shè)施攻擊、基礎(chǔ)設(shè)施攻擊、內(nèi)部網(wǎng)攻擊等方面的安全要求；GSMA基于網(wǎng)絡(luò)切片，提供安全的必選特性和可選特性.

相關(guān)標(biāo)準(zhǔn)簡介如表2所示:

表2 5G安全能力相關(guān)標(biāo)準(zhǔn)

3 安全服務(wù)參考模型

基于標(biāo)準(zhǔn)定義的5G服務(wù)化架構(gòu)，5G網(wǎng)絡(luò)在業(yè)務(wù)性能上具有動態(tài)按需、定制化、分級服務(wù)等級協(xié)議(service-level agreement, SLA)保障的特點.目前業(yè)界普遍認(rèn)為5G網(wǎng)絡(luò)與應(yīng)用服務(wù)提供商應(yīng)適應(yīng)5G網(wǎng)絡(luò)特點，構(gòu)建可動態(tài)編排的安全服務(wù)架構(gòu)，以滿足不同行業(yè)差異化的網(wǎng)絡(luò)安全需求.

在傳統(tǒng)高中語文作文教學(xué)中，教師作為教學(xué)主體，學(xué)生只能被動接受。學(xué)生寫好作文后，由教師一一審閱，教師雖是教學(xué)的引導(dǎo)者，但是教師作為一個個體，思想也有局限性，因此站在教師的角度和立場去評判所有學(xué)生的作文，未免太過片面，而不同的學(xué)生有不同的思想，不同思想的碰撞，會發(fā)出耀眼的光芒，所以應(yīng)該開展學(xué)生之間的互相評審和自評，讓學(xué)生在自評和互評的過程中認(rèn)識自己的不足。通過學(xué)生的探討，學(xué)習(xí)別人的長處，認(rèn)識自己的短處，做到優(yōu)勢互補(bǔ)，共同進(jìn)步。最后，教師和學(xué)生進(jìn)行共同總結(jié)，為了以后更好地寫作。

本文通過分層解耦5G網(wǎng)絡(luò)安全能力，整合通用安全能力，提出基于微服務(wù)可動態(tài)編排的5G安全服務(wù)參考模型，如圖1所示:

圖1中安全運(yùn)營模塊完成客戶運(yùn)營管理、能力編排管理、數(shù)據(jù)統(tǒng)計等功能；5G網(wǎng)絡(luò)安全能力模塊包含切片認(rèn)證、切片隔離、UPF防護(hù)、空口加密等網(wǎng)絡(luò)原生安全能力，并適配3GPP等國際標(biāo)準(zhǔn)；通用安全能力模塊包含數(shù)據(jù)識別、等保測評、DDoS防護(hù)等通用能力，該類能力對照關(guān)鍵基礎(chǔ)設(shè)施管理要求和等保2.0等標(biāo)準(zhǔn)，重點滿足網(wǎng)絡(luò)安全保障、網(wǎng)絡(luò)安全事件應(yīng)急、數(shù)據(jù)安全保護(hù)等安全監(jiān)管要求.在部署方式上，該模型采用分布式技術(shù)承載安全知識庫、威脅情報庫等知識庫，以熱拔插方式引入通用安全能力，形成5G應(yīng)用與數(shù)據(jù)安全能力池，并通過API+SaaS靈活擴(kuò)展微服務(wù)化的5G內(nèi)生安全能力和通用安全能力，為行業(yè)客戶提供可定制化、差異化的安全服務(wù).

3.1 5G網(wǎng)絡(luò)安全能力

3.1.1 多層次鑒權(quán)認(rèn)證能力

5G提供雙向鑒權(quán)認(rèn)證機(jī)制，既可防止虛假終端或用戶接入網(wǎng)絡(luò)，也可防止終端或用戶接入虛假網(wǎng)絡(luò)；支持網(wǎng)絡(luò)切片認(rèn)證機(jī)制，即在用戶接入網(wǎng)絡(luò)并完成認(rèn)證之后，為接入特定業(yè)務(wù)建立數(shù)據(jù)通道而進(jìn)行的認(rèn)證；同時支持通過二次認(rèn)證實現(xiàn)外部數(shù)據(jù)網(wǎng)絡(luò)的AAA服務(wù)器對與其有簽約關(guān)系的終端進(jìn)行認(rèn)證，根據(jù)認(rèn)證是否成功來決定該終端是否被允許接入上述業(yè)務(wù)系統(tǒng).

3.1.2 端到端網(wǎng)絡(luò)切片隔離能力

基于縱深防御理念，提供從接入網(wǎng)、傳輸網(wǎng)、核心網(wǎng)的端到端網(wǎng)絡(luò)切片隔離微服務(wù)能力.其中在接入網(wǎng)側(cè)，通過物理資源承載(physical resource bearer, PRB)獨(dú)享、數(shù)據(jù)資源承載(data resource bearer, DRB)共享等方式提供切片服務(wù)；在傳輸網(wǎng)側(cè)，通過VLAN/VPN,FlexE等技術(shù)提供軟/硬隔離服務(wù)；在核心網(wǎng)側(cè)，對不同切片提供獨(dú)享硬件資源，對切片內(nèi)不同業(yè)務(wù)提供虛擬機(jī)區(qū)分的邏輯隔離.

3.1.3 基于MEC的數(shù)據(jù)安全防護(hù)能力

針對越來越多的行業(yè)客戶對業(yè)務(wù)數(shù)據(jù)不出園區(qū)的安全要求，提供基于MEC的從終端到業(yè)務(wù)系統(tǒng)的端到端數(shù)據(jù)安全防護(hù)手段，確保僅合法終端接入，建立數(shù)據(jù)加密傳輸安全通道，保障MEP(邊緣計算平臺)自身數(shù)據(jù)安全.

3.2 通用安全能力

基于運(yùn)營商增值業(yè)務(wù)體系，通過網(wǎng)絡(luò)切片，MEC為客戶提供安全服務(wù)能力，主要包括：

1) 在網(wǎng)絡(luò)側(cè)部署安全設(shè)備或者安全功能模塊.通過流調(diào)度的方式讓特定應(yīng)用流量依次經(jīng)過這些安全模塊，提供縱深防御.比如，運(yùn)營商網(wǎng)絡(luò)可以為切片應(yīng)用的入站流量依次提供抗DDoS攻擊、基于防火墻的訪問控制、IPS、WAF等功能.

2) 在資源豐富的MEC側(cè)部署安全資源池.通過安全能力資源池與MEC節(jié)點的UPF或網(wǎng)關(guān)設(shè)備對接以及策略路由或SDN方式實現(xiàn)對MEC本地流量及互聯(lián)網(wǎng)流量的安全檢測.運(yùn)營商可提供防火墻、WAF、抗DDoS、系統(tǒng)漏掃、Web漏掃、物聯(lián)網(wǎng)卡風(fēng)險監(jiān)測、不良信息監(jiān)控等開放安全能力.

4 面向垂直行業(yè)的安全實踐

4.1 業(yè)務(wù)背景

引入5G對港口進(jìn)行高速、無線化改造，提供網(wǎng)絡(luò)切片、MEC下沉等網(wǎng)絡(luò)服務(wù)，對作業(yè)區(qū)域內(nèi)設(shè)備信息、物流信息、運(yùn)轉(zhuǎn)過程信息等進(jìn)行數(shù)據(jù)采集、監(jiān)控和智能化分析.該應(yīng)用安全要求高，需防范網(wǎng)絡(luò)攻擊、非法用戶訪問業(yè)務(wù)、信息泄露等風(fēng)險，要求5G網(wǎng)絡(luò)運(yùn)營商同步提供按需定制的安全服務(wù)，如圖2所示:

圖2 智慧港口5G安全服務(wù)能力集

4.2 安全能力供給

基于5G安全服務(wù)參考模型，運(yùn)營商分別通過API，SaaS微服務(wù)方式向智慧港口行業(yè)提供定制化的安全服務(wù).運(yùn)營商的網(wǎng)絡(luò)安全能力(如網(wǎng)絡(luò)接入認(rèn)證、二次認(rèn)證等)由網(wǎng)絡(luò)開放功能NEF(network exposure function)以API方式提供給智慧港口行業(yè)應(yīng)用開發(fā)者，應(yīng)用開發(fā)者可在業(yè)務(wù)邏輯中按需調(diào)用.同時，在MEC側(cè)部署安全設(shè)備資源池(如：抗DDoS設(shè)備、IPS、WAF等)方式，基于軟件定義安全SDSec的理念，通過軟件編程方式調(diào)配安全設(shè)備資源，實現(xiàn)靈活的通用安全能力微服務(wù)化.

4.2.1 無線接入認(rèn)證

開啟5G CPE和基站之間無線空口的機(jī)密性和完整性保護(hù)，CPE開啟和配置MAC/IP接入白名單，防止虛假終端接入CPE,支持網(wǎng)絡(luò)連接防火墻，使連接CPE的港區(qū)龍門吊、攝像頭等在享受網(wǎng)絡(luò)服務(wù)同時，控制網(wǎng)絡(luò)訪問權(quán)限.使用SUPI加密方式進(jìn)行網(wǎng)絡(luò)鑒權(quán)，可有效防止終端/用戶標(biāo)識ID泄露；對網(wǎng)絡(luò)切片接入場景，在安全上下文建立后5G可對切片選擇信息進(jìn)行加密保護(hù)，防止切片選擇信息泄露.

4.2.2 MEC安全防護(hù)

根據(jù)港口業(yè)務(wù)場景，MEC需下沉至園區(qū)機(jī)房.針對MEP進(jìn)行安全加固，加強(qiáng)MEP管理安全、數(shù)據(jù)存儲和傳輸安全，引入可信計算技術(shù)，從系統(tǒng)啟動到上層應(yīng)用逐級驗證，構(gòu)建可信MEP.MEC同時連接港口業(yè)務(wù)網(wǎng)絡(luò)、運(yùn)營商核心網(wǎng)，采用邊界防御、內(nèi)外部認(rèn)證、隔離與加密等防護(hù)技術(shù)做好安全隔離.保障APP安全性，提供APP安全評估服務(wù).通過軟件編程方式調(diào)配MEC側(cè)部署的安全資源池，并通過資源池與UPF或網(wǎng)關(guān)設(shè)備對接以及策略路由或SDN方式實現(xiàn)對MEC本地流量及互聯(lián)網(wǎng)流量的安全檢測.

4.2.3 網(wǎng)絡(luò)切片隔離

5G可為港口終端或用戶提供接入切片的認(rèn)證，保障按終端請求及切片選擇輔助信息NSSAI接入授權(quán)切片；同時5G可對NSSAI提供隱私保護(hù)，保證合法用戶終端接入合法切片，并對非目標(biāo)終端和網(wǎng)絡(luò)設(shè)備屏蔽相關(guān)信息.可為敏感數(shù)據(jù)開啟數(shù)據(jù)機(jī)密性、完整性保護(hù)機(jī)制，根據(jù)用戶需求，可以在終端與基站間、基站與AMF網(wǎng)元間、基站與UPF間、UPF與電力監(jiān)控系統(tǒng)間開啟IPsec加密機(jī)制.

4.2.4 安全運(yùn)營

基于運(yùn)營商專業(yè)的安全咨詢服務(wù)，協(xié)助港口用戶建立安全應(yīng)急體系，完善網(wǎng)絡(luò)安全應(yīng)急預(yù)案.協(xié)助開展實戰(zhàn)型網(wǎng)絡(luò)安全應(yīng)急演練，提升網(wǎng)絡(luò)安全事件應(yīng)急快速響應(yīng)能力，降低網(wǎng)絡(luò)非正常運(yùn)行對公共安全、港口業(yè)務(wù)的影響.

基于運(yùn)營商專業(yè)的安全測評服務(wù)，針對港口終端、業(yè)務(wù)系統(tǒng)，提供安全測評服務(wù)，如：等保定級評估、等級保護(hù)能力評測、惡意代碼檢測、安全配置核查、安全加固、補(bǔ)丁升級等.

5 總 結(jié)

5G網(wǎng)絡(luò)在賦能千行百業(yè)的同時，也面臨關(guān)鍵基礎(chǔ)設(shè)施保護(hù)、垂直行業(yè)融合應(yīng)用安全等新挑戰(zhàn)：一方面，國家主管部門對5G等關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)提出加快構(gòu)建網(wǎng)絡(luò)安全保障體系[6]、全面加強(qiáng)網(wǎng)絡(luò)安全檢查、建立健全網(wǎng)絡(luò)安全事件應(yīng)急工作機(jī)制、提高應(yīng)對網(wǎng)絡(luò)安全事件的能力等要求；另一方面，不同行業(yè)對5G應(yīng)用模式和安全需求差異較大，5G與制造、能源、交通等行業(yè)融合后面臨的安全風(fēng)險更為復(fù)雜，需要運(yùn)營商和專業(yè)安全機(jī)構(gòu)提供符合5G特點的差異化安全服務(wù)保障能力.基于3GPP等標(biāo)準(zhǔn)定義的5G網(wǎng)絡(luò)及安全能力開放關(guān)鍵技術(shù)，不僅可以保障5G安全的互信互任，同時可以將運(yùn)營商網(wǎng)絡(luò)的業(yè)務(wù)能力、網(wǎng)絡(luò)能力以及安全能力安全可靠地開放給第三方應(yīng)用，使其按照各自的需求設(shè)計定制化的業(yè)務(wù)應(yīng)用[7].

本文從5G安全需求和標(biāo)準(zhǔn)基礎(chǔ)出發(fā)，分析了5G網(wǎng)絡(luò)安全能力、通用安全能力，提出了基于微服務(wù)可動態(tài)編排的安全服務(wù)模型，介紹了該模型在5G智慧港口應(yīng)用中的實踐情況，具有快速實現(xiàn)、按需定制、分級防護(hù)的特點，為發(fā)揮5G安全優(yōu)勢，保障行業(yè)應(yīng)用健康發(fā)展提供技術(shù)、方案和實踐參考.