趙亮

移動(dòng)通信網(wǎng)作為商業(yè)化的電信網(wǎng)絡(luò)，在標(biāo)準(zhǔn)設(shè)計(jì)之初，就充分考慮了網(wǎng)絡(luò)接入的移動(dòng)性、可靠性和安全性。通過(guò)SIM/USIM 等身份標(biāo)識(shí)、認(rèn)證授權(quán)、信道與承載加密、訪(fǎng)問(wèn)控制等方式，提供了良好的安全通信能力。經(jīng)過(guò)包括運(yùn)營(yíng)商、標(biāo)準(zhǔn)組織以及設(shè)備商等在內(nèi)的電信產(chǎn)業(yè)界幾十年的錘煉，移動(dòng)通信網(wǎng)絡(luò)安全架構(gòu)日臻完善。

5G 提供了基于統(tǒng)一認(rèn)證框架的雙向認(rèn)證能力，使終端和網(wǎng)絡(luò)都能夠確認(rèn)對(duì)方身份的合法性。這樣不僅能避免非法用戶(hù)接入網(wǎng)絡(luò)，也能避免利用偽基站、偽熱點(diǎn)進(jìn)行詐騙或者竊取用戶(hù)信息。另外，由于對(duì)終端進(jìn)行認(rèn)證，可以追溯終端使用者的身份和行為軌跡，增加了攻擊者的法律風(fēng)險(xiǎn)，可以有效降低攻擊的概率。

電信5G網(wǎng)絡(luò)的標(biāo)準(zhǔn)建設(shè)模式，核心網(wǎng)的集中式部署已不能滿(mǎn)足新業(yè)務(wù)的需求。當(dāng)前工業(yè)企業(yè)對(duì)“技術(shù)和應(yīng)用下沉，應(yīng)用本地化，內(nèi)容分布化，計(jì)算邊緣化”的需求特點(diǎn)，采取純5G網(wǎng)絡(luò)邏輯切片、公網(wǎng)&私網(wǎng)共用基站設(shè)施、所有網(wǎng)絡(luò)本地獨(dú)立部署三種組網(wǎng)模式，保證不同的安全等級(jí)需求。通過(guò)配置不同的網(wǎng)絡(luò)切片安全適用于對(duì)數(shù)據(jù)安全性不是特別敏感用戶(hù);通過(guò)本地邊緣云計(jì)算，在企業(yè)本地化部署相應(yīng)的MEC邊緣計(jì)算硬件設(shè)備滿(mǎn)足企業(yè)響應(yīng)服務(wù)需求;對(duì)安全需求等級(jí)高的企業(yè)，對(duì)企業(yè)部署單獨(dú)的網(wǎng)絡(luò)，開(kāi)放安全能力，按需組合，提供靈活、可定制的差異化安全能力。

一、網(wǎng)絡(luò)切片安全

切片技術(shù)提供了端到端、多種靈活手段、“邏輯+物理”的QoS保障能力，端到端網(wǎng)絡(luò)切換可以完全專(zhuān)用、也可以共享組成部分（無(wú)線(xiàn)、傳輸、核心網(wǎng)等），在SLA層面滿(mǎn)足垂直行業(yè)應(yīng)用差異化的需求，提供更健壯的數(shù)據(jù)安全保護(hù)、更豐富的認(rèn)證機(jī)制支持和更嚴(yán)密的用戶(hù)隱私。

區(qū)別于傳統(tǒng)物理專(zhuān)網(wǎng)的私有性與封閉性，5G 網(wǎng)絡(luò)切片是建立在共享資源之上的虛擬化專(zhuān)用網(wǎng)絡(luò)，切片安全除了提供傳統(tǒng)移動(dòng)網(wǎng)絡(luò)安全機(jī)制之外（例如接入認(rèn)證、接入層和非接入層信令和數(shù)據(jù)的加密與完整性保護(hù)等），還需要提供網(wǎng)絡(luò)切片之間端到端安全隔離機(jī)制。

為了滿(mǎn)足不同業(yè)務(wù)的安全等級(jí)需求，網(wǎng)絡(luò)切片結(jié)合了各種物理隔離和邏輯隔離機(jī)制，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)切片間的隔離防護(hù)。5G 網(wǎng)絡(luò)切片端到端隔離可分為RAN 隔離、承載隔離和核心網(wǎng)隔離。

1.1 RAN 隔離

網(wǎng)絡(luò)切片在RAN 側(cè)的隔離主要面向無(wú)線(xiàn)頻譜資源以及基站處理資源。5G OFDMA 系統(tǒng)中，無(wú)線(xiàn)頻譜從時(shí)域、頻域、空域維度被劃分為不同的資源塊，用于承載終端和基站之間數(shù)據(jù)傳輸。頻譜資源的隔離可以分為物理隔離和邏輯隔離。物理隔離是給網(wǎng)絡(luò)切片分配專(zhuān)用頻譜帶寬，這時(shí)分配給切片的資源塊是連續(xù)的。邏輯隔離是資源塊按照不同切片的要求按需分配，分配給每個(gè)切片的資源塊是不連續(xù)的，多個(gè)切片共享總的頻譜資源。

無(wú)論是物理隔離還是邏輯隔離，由于資源塊的正交性，兩者的隔離能力基本相當(dāng)。但是專(zhuān)用頻譜的覆蓋范圍和覆蓋效果通常不如共享頻譜，當(dāng)數(shù)據(jù)文件較大，或者用戶(hù)處于小區(qū)邊緣時(shí)，由于無(wú)法使用更寬的頻譜傳輸，使用物理隔離的切片往往無(wú)法達(dá)到更高的傳輸速率。另外，由于物理隔離方式實(shí)現(xiàn)成本較高，資源分配不夠靈活，因此頻譜租賃代價(jià)高昂。

邏輯隔離可以實(shí)現(xiàn)基站調(diào)度器根據(jù)不同切片的傳輸要求，對(duì)資源塊動(dòng)態(tài)調(diào)配，提高了頻譜資源利用率，因此，行業(yè)應(yīng)用在無(wú)特殊要求的情況下，應(yīng)首選邏輯隔離方案。

1.2承載隔離

5G 網(wǎng)絡(luò)依托數(shù)據(jù)中心部署，跨越數(shù)據(jù)中心的物理通信鏈路需要承載多個(gè)切片的業(yè)務(wù)數(shù)據(jù)。網(wǎng)絡(luò)切片在承載側(cè)的隔離可通過(guò)軟隔離和硬隔離兩種方案實(shí)現(xiàn)。

軟隔離方案基于現(xiàn)有網(wǎng)絡(luò)機(jī)制，通過(guò)VLAN 標(biāo)簽與網(wǎng)絡(luò)切片標(biāo)識(shí)的映射實(shí)現(xiàn)。網(wǎng)絡(luò)切片具備唯一的切片標(biāo)識(shí)，根據(jù)切片標(biāo)識(shí)為不同的切片數(shù)據(jù)映射封裝不同的VLAN 標(biāo)簽，通過(guò)VLAN 隔離實(shí)現(xiàn)切片的承載隔離。

軟隔離方案雖然將不同切片的數(shù)據(jù)進(jìn)行了VLAN 區(qū)分，但是標(biāo)記有VLAN 標(biāo)簽的所有切片數(shù)據(jù)仍然混雜在一起進(jìn)行調(diào)度轉(zhuǎn)發(fā)。硬隔離方案則引入FlexE 技術(shù)，基于以太網(wǎng)協(xié)議，在L1（PHY）和L2（MAC）層之間創(chuàng)造另一“墊層”，實(shí)現(xiàn)FlexE 分片。

FlexE 分片是基于時(shí)隙調(diào)度將一個(gè)物理以太網(wǎng)端口劃分為多個(gè)以太網(wǎng)彈性管道，使得承載網(wǎng)絡(luò)既具備類(lèi)似于TDM（時(shí)分復(fù)用）獨(dú)占時(shí)隙、隔離性好的特性，又具備以太網(wǎng)統(tǒng)計(jì)復(fù)用、網(wǎng)絡(luò)效率高的特點(diǎn)。

網(wǎng)絡(luò)切片的承載隔離可以同時(shí)使用軟隔離和硬隔離的方案，在對(duì)網(wǎng)絡(luò)切片使用VLAN實(shí)現(xiàn)邏輯隔離的情況下，進(jìn)一步利用FlexE 分片技術(shù)，實(shí)現(xiàn)在時(shí)隙層面的物理隔離。

1.3核心網(wǎng)隔離

5G 核心網(wǎng)基于虛擬化基礎(chǔ)設(shè)施構(gòu)建，并且由很多種不同的網(wǎng)絡(luò)功能構(gòu)成，有些網(wǎng)絡(luò)功能為切片專(zhuān)用，有些則在多個(gè)切片之間共享，因此在核心網(wǎng)側(cè)的隔離需要采用多重隔離機(jī)制，包括網(wǎng)絡(luò)切片間隔離、網(wǎng)絡(luò)功能隔離和網(wǎng)絡(luò)切片與用戶(hù)隔離。

由于網(wǎng)絡(luò)切片共享統(tǒng)一的核心網(wǎng)基礎(chǔ)設(shè)施，為了確保一個(gè)切片的異常不會(huì)影響到其他切片，一方面，核心網(wǎng)可以采用物理隔離的方案，為安全性要求較高的切片分配相對(duì)獨(dú)立的物理資源，另一方面，還可以采用邏輯隔離方案，借助成熟的虛擬化技術(shù)，在網(wǎng)絡(luò)層通過(guò)劃分VLAN/VXLAN 子網(wǎng)進(jìn)行隔離，在管理層通過(guò)分權(quán)分域?qū)崿F(xiàn)切片管理和編排的隔離。相對(duì)于物理隔離方案，邏輯隔離對(duì)資源分配更加靈活，更為經(jīng)濟(jì)。

不同網(wǎng)絡(luò)功能（NF）需要根據(jù)自身的安全級(jí)別要求與信任關(guān)系，進(jìn)行安全域劃分，以提供網(wǎng)絡(luò)功能之間的相互隔離。隨著MEC 應(yīng)用的普及，大量UPF 等網(wǎng)絡(luò)功能需要從核心網(wǎng)絡(luò)域下沉至網(wǎng)絡(luò)邊緣，與基站或DU/CU 共址部署，這會(huì)使得下沉的NF 與其他核心網(wǎng)NF 被進(jìn)一步劃分到不同的安全子域。切片共享的網(wǎng)絡(luò)功能與切片內(nèi)的網(wǎng)絡(luò)功能互訪(fǎng)時(shí)，需要設(shè)置安全防護(hù)機(jī)制（例如白名單）進(jìn)行控制，限制非法訪(fǎng)問(wèn)。

為了避免CN 網(wǎng)絡(luò)切片遭受來(lái)自外部的攻擊進(jìn)而威脅到切片安全、可靠的運(yùn)行，可以在切片網(wǎng)絡(luò)和終端用戶(hù)之間、以及切片網(wǎng)絡(luò)和行業(yè)應(yīng)用之間部署安全隔離機(jī)制。切片網(wǎng)絡(luò)和終端用戶(hù)之間的隔離可采用基于切片的接入認(rèn)證和訪(fǎng)問(wèn)控制等機(jī)制。切片網(wǎng)絡(luò)和行業(yè)應(yīng)用的隔離，可以通過(guò)部署虛擬或者物理防火墻，并設(shè)置訪(fǎng)問(wèn)策略來(lái)進(jìn)行。

二、MEC安全防護(hù)

MEC提供3個(gè)對(duì)外接口，分別對(duì)接5G基站，核心網(wǎng)和企業(yè)本地?cái)?shù)據(jù)中心。采用MEC打造企業(yè)內(nèi)5G網(wǎng)絡(luò)，企業(yè)業(yè)務(wù)數(shù)據(jù)不傳送到互聯(lián)網(wǎng)上，保障數(shù)據(jù)的私密。MEC不對(duì)傳輸?shù)臄?shù)據(jù)內(nèi)容做存儲(chǔ)，不會(huì)在MEC節(jié)點(diǎn)導(dǎo)致數(shù)據(jù)泄露。MEC和工業(yè)企業(yè)本地服務(wù)器之間部署防火墻進(jìn)行數(shù)據(jù)隔離。

工業(yè)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)對(duì)于可靠性的要求較高，因此MEC自身的硬件配置也需要具有容災(zāi)保護(hù)，MEC采用虛擬化技術(shù)，也考慮的系統(tǒng)的保護(hù)，MEC 的安全防護(hù)繼承了電信云數(shù)據(jù)中心的安全防護(hù)手段，包括云化的基礎(chǔ)設(shè)施加固，以及虛擬化的網(wǎng)絡(luò)安全服務(wù)等。同時(shí)，針對(duì)MEC 面臨的全新安全挑戰(zhàn)，還需要從多個(gè)方面進(jìn)行針對(duì)性的加固。

2.1基礎(chǔ)設(shè)施加固

物理安全：根據(jù)不同業(yè)務(wù)場(chǎng)景，MEC 節(jié)點(diǎn)可部署在邊緣數(shù)據(jù)中心、無(wú)人值守的站點(diǎn)機(jī)房，甚至靠近用戶(hù)的現(xiàn)場(chǎng)。由于處于相對(duì)開(kāi)放的環(huán)境中，MEC 設(shè)備更易遭受物理性破壞，需要與場(chǎng)所的提供方一起，共同評(píng)估和保障基礎(chǔ)設(shè)施的物理安全，引入門(mén)禁、環(huán)境監(jiān)控等安全措施;對(duì)于MEC 設(shè)備，還需要加強(qiáng)自身防盜、防破壞方面的結(jié)構(gòu)設(shè)計(jì)，對(duì)設(shè)備的I/O接口、調(diào)試接口進(jìn)行控制。此外MEC 節(jié)點(diǎn)還必須具備在嚴(yán)苛、惡劣物理環(huán)境下的持續(xù)工作能力。

平臺(tái)安全：針對(duì)部署在運(yùn)營(yíng)商控制較弱區(qū)域的MEC 節(jié)點(diǎn)，需要引入安全加固措施，加強(qiáng)平臺(tái)管理安全、數(shù)據(jù)存儲(chǔ)和傳輸安全，在需要時(shí)引入可信計(jì)算等技術(shù)，從系統(tǒng)啟動(dòng)到上層應(yīng)用，逐級(jí)驗(yàn)證，構(gòu)建可信的MEC 平臺(tái)。為保證更高的可用性，同質(zhì)化的MEC 之間可以建立起“MEC 資源池”，相互之間提供異地災(zāi)備能力，當(dāng)遇到不可抗的外部事件時(shí)，可以快速切換到其他MEC，保證業(yè)務(wù)的連續(xù)性。

網(wǎng)絡(luò)安全：MEC 連接了多重外部網(wǎng)絡(luò)，傳統(tǒng)的邊界防御、內(nèi)外部認(rèn)證、隔離與加密等防護(hù)技術(shù)，需要繼續(xù)在MEC 中使用。從MEC 平臺(tái)內(nèi)部來(lái)看，MEC 被劃為不同的功能域，如管理域、核心網(wǎng)域、基礎(chǔ)服務(wù)域（位置業(yè)務(wù)/CDN 等）、第三方應(yīng)用域等，彼此之間需要?jiǎng)澐值讲煌踩?，引入各種虛擬安全能力，實(shí)現(xiàn)隔離和訪(fǎng)問(wèn)控制。同時(shí)需要部署入侵檢測(cè)技術(shù)、異常流量分析、反APT 等系統(tǒng)，對(duì)惡意軟件、惡意攻擊等行為進(jìn)行檢測(cè)，防止威脅橫向擴(kuò)展。此外，基于邊緣分布式的特點(diǎn)，可以在多個(gè)MEC 節(jié)點(diǎn)部署檢測(cè)點(diǎn)，相互協(xié)作實(shí)現(xiàn)對(duì)惡意攻擊的檢測(cè)。

2.2運(yùn)維管理安全增強(qiáng)

MEC 上運(yùn)行和存儲(chǔ)著運(yùn)營(yíng)商和行業(yè)客戶(hù)的各種數(shù)據(jù)資產(chǎn)，同時(shí)，5G 核心網(wǎng)用戶(hù)面的下沉也帶來(lái)了非法竊聽(tīng)、欺騙性計(jì)費(fèi)等威脅。為了確保MEC 節(jié)點(diǎn)中資產(chǎn)與數(shù)據(jù)的安全，需要對(duì)使用MEC 的各方的行為執(zhí)行認(rèn)證（Authentication）、授權(quán)（Authorization）、審計(jì)（Audit），此外，還需要在平臺(tái)層面、網(wǎng)絡(luò)層面、業(yè)務(wù)層面等多個(gè)維度，對(duì)數(shù)據(jù)資產(chǎn)的所有權(quán)、使用權(quán)和運(yùn)維權(quán)進(jìn)行分權(quán)分域的管理。當(dāng)邊緣域與核心域之間涉及到管理、計(jì)費(fèi)等關(guān)鍵性通訊時(shí)，需要充分利用PKI 以及TLS/IPSec 等協(xié)議，實(shí)施認(rèn)證授權(quán)與傳輸加密。

為了確保運(yùn)行版本的安全，防止帶毒運(yùn)行，MEC 需要支持針對(duì)VNF 版本包在不同交付環(huán)節(jié)之間的簽名（發(fā)布方）與驗(yàn)簽（接收方），同時(shí)需要對(duì)發(fā)布的版本包做簽名校驗(yàn)。

為了避免安全漏洞影響到MEC 節(jié)點(diǎn)上其它功能域的安全，在第三方應(yīng)用引入之前，需要執(zhí)行嚴(yán)格的管控流程，對(duì)其進(jìn)行全面的安全評(píng)估和檢測(cè)。同時(shí)通過(guò)應(yīng)用注冊(cè)過(guò)程對(duì)應(yīng)用權(quán)限進(jìn)行控制，通過(guò)審計(jì)手段對(duì)應(yīng)用行為進(jìn)行問(wèn)責(zé)，以規(guī)范第三方應(yīng)用的運(yùn)行。

2.3數(shù)據(jù)資產(chǎn)保護(hù)

MEC 節(jié)點(diǎn)位于網(wǎng)絡(luò)邊緣，處于運(yùn)營(yíng)商控制較弱的開(kāi)放網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)竊取、泄露的風(fēng)險(xiǎn)相對(duì)較高。企業(yè)對(duì)數(shù)據(jù)管控有更嚴(yán)格的要求，要求企業(yè)數(shù)據(jù)不出園區(qū)。這對(duì)MEC 中數(shù)據(jù)存儲(chǔ)、傳輸、處理的安全性提出了較高的要求。

在MEC 部署、業(yè)務(wù)運(yùn)行過(guò)程中，必須對(duì)MEC 應(yīng)用可能涉及的數(shù)據(jù)進(jìn)行識(shí)別，包括用戶(hù)的標(biāo)識(shí)、接入位置等。對(duì)安全要求高的數(shù)據(jù)需要采用加密方式存儲(chǔ);對(duì)行業(yè)高價(jià)值資產(chǎn)數(shù)據(jù)，應(yīng)盡量使用IPSec/TLS 等安全傳輸方式，避免傳輸過(guò)程中數(shù)據(jù)泄露或被篡改。

對(duì)數(shù)據(jù)處理、分析和使用，需要服從當(dāng)?shù)氐臄?shù)據(jù)隱私法律法規(guī)，結(jié)合數(shù)據(jù)操作對(duì)象的認(rèn)證、授權(quán)等方式規(guī)范數(shù)據(jù)的處理使用，并對(duì)操作過(guò)程進(jìn)行記錄。如果涉及數(shù)據(jù)隱私，在使用之前需要對(duì)數(shù)據(jù)進(jìn)行脫敏處理。

三、安全能力開(kāi)放

5G 網(wǎng)絡(luò)能夠通過(guò)能力開(kāi)放接口將網(wǎng)絡(luò)能力對(duì)外開(kāi)放，以便工業(yè)企業(yè)按照各自的需求編排定制化的網(wǎng)絡(luò)服務(wù)。為了滿(mǎn)足不同企業(yè)的安全需求，5G 網(wǎng)絡(luò)通過(guò)將安全能力進(jìn)行抽象、封裝，與其他網(wǎng)絡(luò)能力一起開(kāi)放給行業(yè)應(yīng)用，配合資源動(dòng)態(tài)部署與按需組合，提供靈活、可定制的差異化安全能力。