徐子鈞，劉建偉，李耕,2

面向5G mMTC的網(wǎng)絡(luò)切片安全研究

徐子鈞1，劉建偉1，李耕1,2

（1. 北京航空航天大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100191；2. 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京 100029）

隨著5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)的不斷出現(xiàn)，其中的安全問(wèn)題和潛在安全風(fēng)險(xiǎn)正受到越來(lái)越多研究人員的重視。海量機(jī)器類通信是5G三大應(yīng)用場(chǎng)景之一，在提供“大連接、低功耗”等高性能的同時(shí)，由于MTC設(shè)備資源受限等，可能弱化5G網(wǎng)絡(luò)的安全性。與此同時(shí)，不同場(chǎng)景和應(yīng)用領(lǐng)域?qū)W(wǎng)絡(luò)性能、服務(wù)質(zhì)量、安全等級(jí)均有較為明顯的差異化需求。網(wǎng)絡(luò)切片技術(shù)的引入，適應(yīng)了5G組網(wǎng)的靈活性，滿足了5G網(wǎng)絡(luò)為用戶提供服務(wù)的多樣性、定制化，也帶來(lái)了新的安全威脅。5G商用發(fā)展迅猛，物聯(lián)網(wǎng)設(shè)備數(shù)量成指數(shù)倍增加。為確保5G網(wǎng)絡(luò)提供更加高效安全的按需服務(wù)，針對(duì)5G mMTC應(yīng)用場(chǎng)景，對(duì)網(wǎng)絡(luò)切片安全機(jī)制和安全策略的研究尤為重要。因此，詳細(xì)分析了5G mMTC具有的特點(diǎn)及安全需求，并列舉分析了網(wǎng)絡(luò)切片主要的安全威脅。結(jié)合上述安全需求和安全威脅，圍繞特定網(wǎng)絡(luò)切片認(rèn)證、切片安全隔離、安全管理和編排等方面，總結(jié)并闡述了相關(guān)現(xiàn)有安全策略方案的貢獻(xiàn)和不足，并對(duì)未來(lái)該領(lǐng)域的研究進(jìn)行了展望。提出了一個(gè)基于SM2國(guó)密算法的5G mMTC網(wǎng)絡(luò)切片二次認(rèn)證與安全隔離模型。該模型框架通過(guò)引入批量認(rèn)證和預(yù)認(rèn)證機(jī)制，滿足了5G機(jī)器類用戶大規(guī)模認(rèn)證的高效性；通過(guò)對(duì)不同通信數(shù)據(jù)分級(jí)加密，實(shí)現(xiàn)了5G mMTC網(wǎng)絡(luò)切片間的安全隔離；并對(duì)該模型進(jìn)行了性能分析和安全性分析。

網(wǎng)絡(luò)切片；5G mMTC；安全隔離；接入認(rèn)證

0 引言

第五代（5G）移動(dòng)通信技術(shù)作為新一代移動(dòng)通信技術(shù)，是支撐萬(wàn)物互聯(lián)和大規(guī)模異構(gòu)網(wǎng)絡(luò)通信的關(guān)鍵基礎(chǔ)設(shè)施。第三代合作伙伴計(jì)劃（3GPP，3rd generation partnership project）已經(jīng)推出R15、R16、R17和R18這4個(gè)5G規(guī)范版本，R15、R16版本均已凍結(jié)，R17版本預(yù)計(jì)在2022年9月完成凍結(jié)，在第46次PCG（項(xiàng)目合作組）會(huì)議中3GPP正式將5G演進(jìn)的名稱確定為5G-Advanced，并將從R18版本開始更新[1]。我國(guó)IMT-2020(5G)推進(jìn)組順利完成了第一階段5G網(wǎng)絡(luò)設(shè)備安全測(cè)試，5G毫米波測(cè)試取得新進(jìn)展。我國(guó)5G商用兩年間，建成5G基站85萬(wàn)站，5G終端連接數(shù)2.8億，5G套餐用戶超3.5億，5G專網(wǎng)超1 000個(gè)，5G商用的發(fā)展速度遠(yuǎn)超預(yù)期[2]?！笆奈濉币?guī)劃針對(duì)5G在網(wǎng)絡(luò)建設(shè)、終端數(shù)量和應(yīng)用方面的發(fā)展提出了要求和部署，這意味著移動(dòng)互聯(lián)網(wǎng)將很快完全進(jìn)入5G時(shí)代。

5G聚焦三大應(yīng)用場(chǎng)景[3]，分別為增強(qiáng)移動(dòng)寬帶（eMBB，enhanced mobile broadband）、超高可靠超低時(shí)延通信（uRLLC，ultra reliable and low latency communication）和海量機(jī)器類通信（mMTC，massive machine type communications），這意味著5G可以提供超高速率，滿足低時(shí)延、高可靠性，承載超高密度用戶容量，并支持高移動(dòng)性的需求[4]。此外，5G網(wǎng)絡(luò)呈現(xiàn)終端多樣化、節(jié)點(diǎn)數(shù)量眾多、節(jié)點(diǎn)超高密度部署、多種無(wú)線網(wǎng)絡(luò)技術(shù)和安全機(jī)制共存、端到端通信等特點(diǎn)，并且引入了包括網(wǎng)絡(luò)切片、V2X[5]、邊緣計(jì)算、服務(wù)化架構(gòu)（SBA，service based architecture）、控制與用戶面分離（CUPS，control and user plane separation）、軟件定義網(wǎng)絡(luò)（SDN，software defined network）和網(wǎng)絡(luò)功能虛擬化（NFV，network functions virtualization）等多種新技術(shù)、新架構(gòu)。

隨著5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)、新應(yīng)用場(chǎng)景的不斷發(fā)展，5G安全面臨諸多新挑戰(zhàn)。三大應(yīng)用場(chǎng)景對(duì)網(wǎng)絡(luò)性能、服務(wù)質(zhì)量、安全等級(jí)均有著較為明顯的差異化需求，這為搭建5G網(wǎng)絡(luò)安全架構(gòu)提出了更高要求；5G引入了SDN和NFV技術(shù)，使得控制面和數(shù)據(jù)面分離，業(yè)務(wù)開放性、網(wǎng)絡(luò)資源共享化以及基礎(chǔ)設(shè)施的集中部署，打破了傳統(tǒng)網(wǎng)絡(luò)域的安全邊界，而開源可配置的網(wǎng)絡(luò)架構(gòu)會(huì)引發(fā)更多的安全威脅；為了滿足5G網(wǎng)絡(luò)高帶寬、海量接入、服務(wù)可用性的需求，研究人員提出了新空口理念和包含新編碼技術(shù)、新多址技術(shù)、接入?yún)f(xié)議在內(nèi)的新的支撐技術(shù)[6]。5G網(wǎng)絡(luò)的靈活性、開放性和異構(gòu)性，使用戶接入認(rèn)證和訪問(wèn)控制更加靈活，安全需求更高。

1 5G mMTC的特點(diǎn)及安全需求

1.1 5G mMTC應(yīng)用場(chǎng)景的特點(diǎn)

作為5G三大應(yīng)用場(chǎng)景之一，mMTC具備“大連接、低功耗”網(wǎng)絡(luò)性能，以傳感和數(shù)據(jù)采集為目標(biāo)。mMTC要求支持每平方千米100萬(wàn)個(gè)設(shè)備的高連接密度，這是4G最大連接密度的10倍[7]。

5G mMTC應(yīng)用場(chǎng)景覆蓋政務(wù)與公用事業(yè)、工業(yè)、農(nóng)業(yè)、交通運(yùn)輸、電力等行業(yè)，支持智慧城市、智慧環(huán)保、智能制造、智慧農(nóng)場(chǎng)、智慧交通、智慧物流、智慧用電等應(yīng)用領(lǐng)域服務(wù)，如圖1所示。為應(yīng)對(duì)5G mMTC場(chǎng)景的需求，3GPP提出了兩種關(guān)鍵支撐技術(shù)——窄帶物聯(lián)網(wǎng)（NB-IoT，narrow bandinternert of things）技術(shù)和增強(qiáng)機(jī)器類型通信（eMTC，enhanced MTC）技術(shù)，主要為具有資源受限、低速率、超低成本、低功耗、廣深覆蓋、大連接需求的物聯(lián)網(wǎng)業(yè)務(wù)提供服務(wù)支持。5G mMTC應(yīng)用場(chǎng)景覆蓋領(lǐng)域廣、接入設(shè)備數(shù)量巨大、業(yè)務(wù)種類多，主要有支持小數(shù)據(jù)包收發(fā)、超低功耗和超低成本、海量連接、高效的輕量級(jí)通信等特點(diǎn)。

圖1 5G mMTC應(yīng)用場(chǎng)景 Figure 1 5G mMTC scenario

1.2 5G mMTC應(yīng)用場(chǎng)景下的安全需求

海量終端并發(fā)接入網(wǎng)絡(luò)極有可能產(chǎn)生信令風(fēng)暴，造成網(wǎng)絡(luò)擁塞，大多數(shù)設(shè)備存儲(chǔ)計(jì)算資源有限，拓?fù)浣Y(jié)構(gòu)多樣化，信息交互以數(shù)據(jù)為中心，與應(yīng)用程序緊密關(guān)聯(lián)。海量終端對(duì)各類移動(dòng)應(yīng)用程序的使用所帶來(lái)的如周期性心跳消息、重啟動(dòng)等大規(guī)模小數(shù)據(jù)量的頻繁交互，會(huì)大量消耗信令信道資源，導(dǎo)致信令量的增幅遠(yuǎn)大于業(yè)務(wù)流量的增幅，這就容易同時(shí)造成移動(dòng)基站與核心網(wǎng)的信令過(guò)載，使移動(dòng)網(wǎng)絡(luò)很容易出現(xiàn)服務(wù)嚴(yán)重超時(shí)、降級(jí)或設(shè)備直接宕機(jī)癱瘓的情況。因此，如果沒(méi)有建立小數(shù)據(jù)傳送的安全通道，攻擊者將會(huì)通過(guò)訪問(wèn)小數(shù)據(jù)接口，加速終端設(shè)備的功耗，威脅5G網(wǎng)絡(luò)系統(tǒng)的安全性能。因此，mMTC應(yīng)用場(chǎng)景下的5G網(wǎng)絡(luò)更容易受到威脅和攻擊?，F(xiàn)有的標(biāo)準(zhǔn)和相關(guān)研究主要針對(duì)5G物聯(lián)網(wǎng)系統(tǒng)的架構(gòu)、性能和服務(wù)質(zhì)量方面[8]，對(duì)5G mMTC應(yīng)用場(chǎng)景下安全問(wèn)題的研究仍處于初步階段，本文主要介紹以下幾方面的安全需求。

（1）針對(duì)大規(guī)模設(shè)備的有效認(rèn)證機(jī)制

由于5G網(wǎng)絡(luò)對(duì)物聯(lián)網(wǎng)設(shè)備和MTC設(shè)備的支持，共計(jì)1 000億個(gè)設(shè)備將連接到3GPP 5G網(wǎng)絡(luò)中[9]。一旦這些大規(guī)模的終端設(shè)備受到攻擊者的遠(yuǎn)程控制、木馬挾持、肉機(jī)攻擊等安全攻擊[10-11]，可能會(huì)對(duì)5G網(wǎng)絡(luò)的正常運(yùn)行造成嚴(yán)重的損害。而如果每個(gè)設(shè)備都需要執(zhí)行完整的身份認(rèn)證過(guò)程，將會(huì)導(dǎo)致兩方面問(wèn)題：一是認(rèn)證過(guò)程需要多輪信令交換，如果數(shù)據(jù)包丟失，消息分組必須再次傳輸，這將會(huì)導(dǎo)致資源受限設(shè)備性能下降[12]；二是可能造成大量信令開銷和通信成本，觸發(fā)信令風(fēng)暴，從而導(dǎo)致網(wǎng)絡(luò)服務(wù)乃至整個(gè)移動(dòng)通信系統(tǒng)故障和崩潰。

因此，需要簡(jiǎn)化已有的認(rèn)證機(jī)制，采用如表1所示的128位SNOW 3G加密算法、128位AES算法、祖沖之（ZUC-128、ZUC-256）密碼算法、SM系列算法等標(biāo)準(zhǔn)密碼算法[13]，設(shè)計(jì)更加輕量級(jí)密碼算法和協(xié)議流程，建立支持大規(guī)模設(shè)備的、可靠且靈活的認(rèn)證機(jī)制，在保證接入設(shè)備安全合法的情況下，減少認(rèn)證復(fù)雜度帶來(lái)的網(wǎng)絡(luò)系統(tǒng)安全威脅。

（2）隱私敏感數(shù)據(jù)保護(hù)

在5G mMTC業(yè)務(wù)場(chǎng)景中，網(wǎng)絡(luò)服務(wù)、功能及數(shù)據(jù)的開放共享，增加了對(duì)用戶隱私和敏感數(shù)據(jù)的完整性和機(jī)密性保護(hù)難度。相關(guān)研究人員指出，在傳統(tǒng)接入認(rèn)證協(xié)議中存在可追溯性攻擊[14]、用戶標(biāo)識(shí)符破解攻擊[15]、中間人攻擊[16]等安全威脅，這些攻擊會(huì)導(dǎo)致用戶標(biāo)識(shí)符泄露、用戶傳輸?shù)碾[私信息被泄露或者被篡改。另外，物聯(lián)網(wǎng)設(shè)備的安全存儲(chǔ)能力有限，傳輸數(shù)據(jù)完整性校驗(yàn)大多采用弱哈希算法（如SHA1）。因此，攻擊者很容易惡意修改物聯(lián)網(wǎng)設(shè)備中存儲(chǔ)的數(shù)據(jù)，影響數(shù)據(jù)完整性[17]。

表1 標(biāo)準(zhǔn)密碼算法

（3）防止多種類型的DoS攻擊

5G mMTC應(yīng)用場(chǎng)景中海量多樣化終端和復(fù)雜的拓?fù)浣Y(jié)構(gòu)易遭受拒絕服務(wù)（DoS，denial of service）攻擊，將會(huì)阻礙整個(gè)網(wǎng)絡(luò)正常工作。例如，槽洞攻擊中的攻擊者頻繁引誘區(qū)域中的流量通過(guò)惡意節(jié)點(diǎn)，一旦數(shù)據(jù)經(jīng)過(guò)該節(jié)點(diǎn)，就可以篡改數(shù)據(jù)，并引發(fā)更多其他類型的攻擊。此外，攻擊者可能反復(fù)惡意地發(fā)送有效數(shù)據(jù)，從而導(dǎo)致服務(wù)器崩潰。

2 5G網(wǎng)絡(luò)切片的安全需求

傳統(tǒng)移動(dòng)通信網(wǎng)絡(luò)主要用來(lái)服務(wù)單一的移動(dòng)寬帶業(yè)務(wù)，無(wú)法適應(yīng)未來(lái)5G多樣化應(yīng)用場(chǎng)景的需求，為解決這一問(wèn)題，網(wǎng)絡(luò)切片技術(shù)應(yīng)運(yùn)而生。通過(guò)使用SDN和NFV技術(shù)部署的網(wǎng)絡(luò)切片，在物理網(wǎng)絡(luò)上創(chuàng)建相互隔離的、邏輯上獨(dú)立的端到端虛擬網(wǎng)絡(luò)，可實(shí)現(xiàn)網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)資源共享，用戶可以得到按需定制的差異化網(wǎng)絡(luò)服務(wù)。然而，在實(shí)際應(yīng)用中網(wǎng)絡(luò)切片仍存在一些安全挑戰(zhàn)，NGMN（next generation mobile network）聯(lián)盟分析并列舉了切片安全的十大問(wèn)題[18]，其中包括切片隔離安全、切片鑒權(quán)認(rèn)證、切片間通信安全、虛擬化安全等方面。網(wǎng)絡(luò)切片主要的安全威脅如圖2所示。針對(duì)圖中的安全威脅，本文分析總結(jié)出4部分安全需求。

圖2 網(wǎng)絡(luò)切片安全威脅

Figure 2 Network slicing security threats

2.1 特定于網(wǎng)絡(luò)切片的二次認(rèn)證和訪問(wèn)控制

5G mMTC設(shè)備類型繁多，數(shù)量巨大，而設(shè)備使用者（UE，user equipment）大多為非技術(shù)人員，這使5G mMTC用戶側(cè)成為最易受攻擊的切入點(diǎn)之一。一些已經(jīng)使用3GPP憑據(jù)成功完成5G網(wǎng)絡(luò)主身份認(rèn)證的常規(guī)用戶，未經(jīng)網(wǎng)絡(luò)切片層面授權(quán)，過(guò)度頻繁訪問(wèn)網(wǎng)絡(luò)切片，消耗資源，進(jìn)而導(dǎo)致網(wǎng)絡(luò)性能降低。此外，黑客可以利用頻繁訪問(wèn)的網(wǎng)絡(luò)機(jī)制，制造DoS攻擊。為防止黑客利用UE合法憑證頻繁訪問(wèn)網(wǎng)絡(luò)制造DoS攻擊，需要針對(duì)特定的網(wǎng)絡(luò)切片在完成主認(rèn)證之后，制定切片層面的二次認(rèn)證和訪問(wèn)控制機(jī)制。這樣5G網(wǎng)絡(luò)就能夠有效地滿足垂直行業(yè)定制化、獨(dú)立化服務(wù)的需要，實(shí)現(xiàn)第三方的安全交互。

2.2 網(wǎng)絡(luò)切片通信交互的安全隔離

由于資源共享和支持網(wǎng)絡(luò)可編程性開放接口的存在，不同服務(wù)類型的網(wǎng)絡(luò)切片可能具有不同的安全等級(jí)，如果單一UE具備同時(shí)訪問(wèn)多等級(jí)切片的權(quán)限，就存在敏感數(shù)據(jù)從安全等級(jí)高的切片泄露到安全等級(jí)低的切片中的風(fēng)險(xiǎn)。因此，需要建立一套安全隔離機(jī)制，保障實(shí)際情況中不同等級(jí)切片間的數(shù)據(jù)流轉(zhuǎn)。不同用戶訪問(wèn)同一類型切片服務(wù)時(shí)，可能所需的安全等級(jí)是不同的，需要通過(guò)設(shè)置不同用戶對(duì)切片的訪問(wèn)隔離。例如，使用普通物聯(lián)網(wǎng)設(shè)備（如智能電插座和智能安全鎖）的用戶所需的實(shí)際安全等級(jí)是不同的，接入網(wǎng)絡(luò)時(shí)數(shù)據(jù)要進(jìn)行隔離[14]。這樣既可以滿足用戶差異化安全需求，保證切片資源被合法使用，也可以防止惡意用戶過(guò)度占用切片資源，對(duì)正常用戶使用該類切片帶來(lái)影響。

2.3 網(wǎng)絡(luò)切片管理需要具備安全功能

基于當(dāng)前標(biāo)準(zhǔn)定義，產(chǎn)業(yè)在商用初期產(chǎn)品實(shí)現(xiàn)上的進(jìn)展以及結(jié)合垂直行業(yè)需求經(jīng)驗(yàn)，中國(guó)移動(dòng)聯(lián)合華為等多家產(chǎn)業(yè)伙伴發(fā)布《網(wǎng)絡(luò)切片分級(jí)白皮書》，給出當(dāng)前5G端到端網(wǎng)絡(luò)切片的5個(gè)能力等級(jí)[19]，如表2所示。

表2 網(wǎng)絡(luò)切片能力等級(jí)

網(wǎng)絡(luò)切片具有各自的生命周期，分為4個(gè)階段：準(zhǔn)備階段，安裝、配置和激活階段，運(yùn)行階段，撤銷階段。在整個(gè)生命周期中，用于切片管理的交互接口必須具備機(jī)密性和完整性的保護(hù)能力，并能夠避免重放攻擊[13]。生命周期內(nèi)每個(gè)階段有不同的安全性需求，如準(zhǔn)備階段需要防止對(duì)網(wǎng)絡(luò)切片模板的攻擊，安裝、配置和激活階段以及運(yùn)行階段需要對(duì)API接口進(jìn)行保護(hù)和訪問(wèn)控制，避免對(duì)網(wǎng)絡(luò)切片實(shí)例配置的偽造和篡改，撤銷階段需要對(duì)敏感數(shù)據(jù)和資源進(jìn)行安全處理，避免信息泄露和DoS攻擊。

2.4 網(wǎng)絡(luò)資源及基礎(chǔ)設(shè)施的安全性

支撐網(wǎng)絡(luò)切片服務(wù)的資源和網(wǎng)絡(luò)功能可能受到攻擊，從而給網(wǎng)絡(luò)切片的性能帶來(lái)影響，可能遭受的攻擊包括物理攻擊、軟件攻擊和DoS攻擊等。例如，攻擊者可能在訪問(wèn)切片過(guò)程中篡改代碼，從而導(dǎo)致使用相同代碼的所有切片執(zhí)行過(guò)程也被篡改[18]。

3 面向5G mMTC網(wǎng)絡(luò)切片的安全策略

3.1 現(xiàn)有的安全策略分析

結(jié)合5G mMTC應(yīng)用場(chǎng)景的特點(diǎn)和網(wǎng)絡(luò)切片的安全需求，5G標(biāo)準(zhǔn)組織和研究人員針對(duì)不同方面給出了一些方案，本文針對(duì)上述分析的安全需求，對(duì)現(xiàn)有研究方案進(jìn)行說(shuō)明和分析。

（1）特定網(wǎng)絡(luò)切片鑒權(quán)

3GPP在TR33.813“網(wǎng)絡(luò)切片增強(qiáng)的安全方面研究”中詳細(xì)說(shuō)明了用戶訪問(wèn)特定網(wǎng)絡(luò)切片的接入認(rèn)證和認(rèn)證過(guò)程中的隱私保護(hù)問(wèn)題[20]，針對(duì)特定切片的二次認(rèn)證觸發(fā)條件和認(rèn)證具體流程給出了解決方案。規(guī)定了認(rèn)證管理功能（AMF，authentication management function）通過(guò)存儲(chǔ)在認(rèn)證服務(wù)器功能/統(tǒng)一數(shù)據(jù)管理功能（AUSF/ UDM，authentication server function/unified data management）中的用戶訂閱信息選項(xiàng)是否支持網(wǎng)絡(luò)切片鑒權(quán)來(lái)觸發(fā)認(rèn)證過(guò)程。同時(shí)，對(duì)二次認(rèn)證框架進(jìn)行了標(biāo)準(zhǔn)化說(shuō)明，即認(rèn)證架構(gòu)要基于可擴(kuò)展認(rèn)證協(xié)議（EAP，extensible authentication protocol）框架，如圖3所示。

圖3 5G切片二次認(rèn)證框架

Figure 3 Secondary authentication framework for 5G slicing

核心網(wǎng)中的安全錨功能/認(rèn)證管理功能（SEAF/AMF）被賦予了驗(yàn)證器角色，具體的認(rèn)證方法和細(xì)節(jié)可由認(rèn)證、授權(quán)、計(jì)費(fèi)（AAA，authentication、authorization、accounting）服務(wù)器與用戶進(jìn)行協(xié)商選擇，認(rèn)證架構(gòu)更加靈活，能夠更好地適應(yīng)5G mMTC差異化的接入技術(shù)和安全需求。該標(biāo)準(zhǔn)雖然能夠?qū)崿F(xiàn)用戶對(duì)特定網(wǎng)絡(luò)切片的二次認(rèn)證，但仍存在很多有待研究解決的問(wèn)題。一是認(rèn)證過(guò)程是否能夠保護(hù)用戶隱私[20]；二是標(biāo)準(zhǔn)只適用于一個(gè)或幾個(gè)用戶逐一進(jìn)行認(rèn)證，無(wú)法落實(shí)到5G mMTC應(yīng)用場(chǎng)景下大規(guī)模機(jī)器設(shè)備的認(rèn)證過(guò)程中。

除了5G標(biāo)準(zhǔn)化組織的進(jìn)展外，有研究者提出了一種借助第三方認(rèn)證實(shí)現(xiàn)跨網(wǎng)絡(luò)切片認(rèn)證的機(jī)制，并通過(guò)將認(rèn)證部署到邊緣云中達(dá)到降低時(shí)延的效果[21]。Ren等[22]通過(guò)引入基于區(qū)塊鏈、變色龍哈希和環(huán)簽名的快速且通用的片間（FUIS）切換認(rèn)證框架，來(lái)解決網(wǎng)絡(luò)切片間匿名服務(wù)的身份認(rèn)證問(wèn)題，減少了認(rèn)證過(guò)程中用戶側(cè)的計(jì)算開銷，并保護(hù)了用戶隱私。Behrad等[23]提出了一種5G特定切片的身份驗(yàn)證和訪問(wèn)控制機(jī)制（5G-SSAAC），通過(guò)借助第三方根據(jù)特定用戶的安全需求，給出靈活的訪問(wèn)認(rèn)證機(jī)制，從而降低了核心網(wǎng)絡(luò)負(fù)載。雖然這些研究均對(duì)切片二次認(rèn)證過(guò)程給出了較為合理的方案，但針對(duì)大規(guī)模設(shè)備的二次認(rèn)證問(wèn)題并沒(méi)有在方案中涉及，需要進(jìn)一步的研究和驗(yàn)證。

（2）切片安全隔離

以資源隔離為目的的端到端的網(wǎng)絡(luò)切片隔離機(jī)制主要分為兩種：一種是由FlexE或?qū)Ｓ肨DM時(shí)隙提供的電路交換連接實(shí)現(xiàn)的硬隔離[24]；另一種是通過(guò)使用NVO3、MPLS、VLAN、沙箱以及容器等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)資源復(fù)用和軟隔離。而為避免切片通信時(shí)敏感數(shù)據(jù)泄露，可以基于VPN技術(shù)使用IPSec、SSL/TLS、DTLS、MPPE、SSTP、SSH等協(xié)議，以支持認(rèn)證和機(jī)密性等安全特性，保證網(wǎng)絡(luò)切片間的安全通信，實(shí)現(xiàn)切片安全隔離。

3GPP標(biāo)準(zhǔn)中提出了一種網(wǎng)絡(luò)切片間訪問(wèn)控制的方案，如圖4所示。網(wǎng)絡(luò)存儲(chǔ)功能（NRF）成功認(rèn)證用戶后生成相應(yīng)切片的訪問(wèn)令牌，在用戶請(qǐng)求切片服務(wù)時(shí)，切片管理者通過(guò)檢驗(yàn)訪問(wèn)令牌中的切片信息是否與被請(qǐng)求訪問(wèn)的切片匹配，來(lái)防止用戶在切片間的非法訪問(wèn)，從而達(dá)到切片間安全隔離的目的[20]。

Sattar等[25]使用一種以切片隔離為優(yōu)化約束的安全數(shù)學(xué)模型，來(lái)按需實(shí)現(xiàn)切片硬隔離，緩解5G核心網(wǎng)絡(luò)切片中DDoS攻擊，并使網(wǎng)絡(luò)時(shí)延滿足要求。Sathi等[26]提出了一種新型隱式認(rèn)證和基于組匿名的密鑰協(xié)商協(xié)議，通過(guò)建立安全密鑰實(shí)現(xiàn)了安全切片隔離。還有研究者結(jié)合性能隔離和安全隔離兩方面因素，將網(wǎng)絡(luò)切片的隔離等級(jí)劃分為5個(gè)等級(jí)后再進(jìn)行部署[27]。Liu等[28]提出了一種相互異構(gòu)的簽密方案，實(shí)現(xiàn)了在公鑰基礎(chǔ)設(shè)施和無(wú)證書密碼術(shù)兩種不同的公共密碼系統(tǒng)中5G網(wǎng)絡(luò)切片之間的安全通信，他們提出的這種安全模式可以保護(hù)網(wǎng)絡(luò)切片避免遭受傳統(tǒng)的安全威脅。這些已經(jīng)提出的安全隔離方案雖然可以在一定限度上解決切片的安全隔離問(wèn)題，但必須進(jìn)一步研究網(wǎng)絡(luò)切片中密鑰管理的相關(guān)問(wèn)題[29]。

圖4 網(wǎng)絡(luò)切片間訪問(wèn)控制方案

Figure 4 Access control scheme between network slices

（3）安全管理和編排

網(wǎng)絡(luò)功能虛擬化的管理和編排功能提供網(wǎng)絡(luò)切片的編排和生命周期管理，以在整個(gè)生命周期中自動(dòng)生成對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)并監(jiān)視其完整性和性能，以確保網(wǎng)絡(luò)切片的正確運(yùn)行?？梢酝ㄟ^(guò)安全管理功能的自動(dòng)化來(lái)保證NFV資源和網(wǎng)絡(luò)切片的安全性，使網(wǎng)絡(luò)運(yùn)營(yíng)商能夠適應(yīng)NFV部署的動(dòng)態(tài)性和復(fù)雜性[30]，安全管理功能可通過(guò)虛擬化安全功能的部署來(lái)實(shí)現(xiàn)，如虛擬身份和訪問(wèn)管理系統(tǒng)、虛擬防火墻[31]和虛擬網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[32]。

3.2 未來(lái)研究方向的展望

針對(duì)海量用戶應(yīng)用場(chǎng)景，5G網(wǎng)絡(luò)切片安全仍有許多值得研究的方向。例如，需要研究用戶組認(rèn)證的相關(guān)輕量級(jí)密碼技術(shù)[33-35]，以解決特定切片的認(rèn)證機(jī)制下海量用戶同時(shí)請(qǐng)求接入的問(wèn)題；在切片間安全通信方面，需要解決切片使用自主身份認(rèn)證的密鑰情況下，由密鑰派生函數(shù)引入的密鑰管理問(wèn)題[36]；在切片安全管理方面，由于5G mMTC涵蓋工業(yè)制造、智慧城市等業(yè)務(wù)場(chǎng)景，如在工業(yè)制造場(chǎng)景下，工業(yè)數(shù)據(jù)包括從客戶需求、銷售、研發(fā)、設(shè)計(jì)、制造等各個(gè)環(huán)節(jié)的各類數(shù)據(jù)，這就需要各個(gè)業(yè)務(wù)環(huán)節(jié)的切片協(xié)同交互、數(shù)據(jù)共享，為保證各個(gè)環(huán)節(jié)不同等級(jí)切片的安全協(xié)同，在將切片根據(jù)服務(wù)環(huán)節(jié)類型進(jìn)行分級(jí)分組時(shí)，需要解決切片組身份認(rèn)證、切片組安全管理和組成員更新機(jī)制的問(wèn)題[37-38]。在考慮上述方面時(shí)，用戶的敏感隱私數(shù)據(jù)保護(hù)同樣是一個(gè)關(guān)鍵問(wèn)題。此外，方案在安全性與性能上的平衡協(xié)調(diào)[39]，及如何實(shí)現(xiàn)算法協(xié)議最優(yōu)化，也是值得研究的問(wèn)題之一。

4 5G切片二次認(rèn)證與安全隔離模型

針對(duì)上述安全問(wèn)題，本文提出一個(gè)切片二次認(rèn)證框架，此框架基于對(duì)不同通信數(shù)據(jù)進(jìn)行分級(jí)加密來(lái)保證切片間安全隔離?？蚣苣Ｐ腿鐖D5所示。

4.1 5G mMTC用戶同時(shí)訪問(wèn)同一切片服務(wù)

4.1.1 基于SM2的無(wú)證書批量簽名方案

針對(duì)實(shí)際應(yīng)用場(chǎng)景中5G mMTC用戶對(duì)輕量級(jí)通信的需求，此方案采用基于SM2國(guó)密算法的無(wú)證書批量簽名方案。SM2國(guó)密算法[40]是一種基于橢圓曲線密碼機(jī)制的非對(duì)稱國(guó)產(chǎn)加密算法，主要應(yīng)用于數(shù)字簽名、密鑰交換協(xié)議以及公鑰加密場(chǎng)景。本方案利用SM2國(guó)密算法的簽名機(jī)制，實(shí)現(xiàn)5G mMTC用戶與切片之間的互相認(rèn)證和會(huì)話密鑰協(xié)商。認(rèn)證流程如圖6所示。

圖6 用戶接入切片認(rèn)證流程

Figure 6 User access slice authentication process

圖5 5G切片二次認(rèn)證與切片隔離框架模型

Figure 5 The frame model of 5G slicing secondary authentication and slice isolation

（1）認(rèn)證準(zhǔn)備階段

（2）用戶接入請(qǐng)求階段

（3）切片認(rèn)證階段

（4）用戶認(rèn)證階段

4.1.2 方案分析

（1）性能分析

該方案基于SM2簽名算法，SM2算法具有存儲(chǔ)空間小、簽名速度快等特點(diǎn)[42]，可以滿足mMTC用戶計(jì)算性能受限的需求；本方案引入了批量簽名的思想，將海量用戶進(jìn)行封裝批量認(rèn)證，減少了切片的認(rèn)證次數(shù)；同時(shí)，由于方案中用戶與切片在認(rèn)證與密鑰協(xié)商過(guò)程的交互輪數(shù)僅為一輪，不僅有效地降低了時(shí)延，而且減少了系統(tǒng)中信令的傳輸數(shù)量，可以在一定限度上降低系統(tǒng)產(chǎn)生信令風(fēng)暴的風(fēng)險(xiǎn)。

（2）安全性分析

本方案通過(guò)無(wú)證書的方式生成用戶的公私鑰對(duì)，解決了基于證書和基于身份的簽名方案中證書管理與密鑰托管的問(wèn)題，有利于系統(tǒng)的靈活擴(kuò)展，可適應(yīng)于5G網(wǎng)絡(luò)海量終端和靈活拓?fù)湎碌陌踩枨螅挥捎诓捎秒S機(jī)化簽名方案并引入了新鮮的隨機(jī)數(shù)，用戶接入請(qǐng)求階段的協(xié)議設(shè)計(jì)可有效抵抗以重放攻擊為代表的身份假冒攻擊；在此協(xié)議下，會(huì)話密鑰生成所需的參數(shù)除雙方各自安全存儲(chǔ)的私鑰外，均為系統(tǒng)公開參數(shù)，攻擊者無(wú)法通過(guò)對(duì)協(xié)議傳輸?shù)母北镜谋O(jiān)聽獲取密鑰相關(guān)信息，理論上保證了會(huì)話密鑰的安全產(chǎn)生。

通過(guò)對(duì)方案性能與安全性上的分析，可以看出，本方案可以在保證安全需求的同時(shí)，兼顧性能上的高效和輕量，實(shí)現(xiàn)安全性與性能的平衡。

4.2 5G mMTC用戶同時(shí)訪問(wèn)多個(gè)切片服務(wù)

這一部分主要包括切片預(yù)分組、切片相互認(rèn)證、切片組密鑰更新、用戶切片認(rèn)證和切片隔離通信這5個(gè)階段，最終實(shí)現(xiàn)5G mMTC用戶與網(wǎng)絡(luò)切片間的安全通信，保證網(wǎng)絡(luò)切片間的安全隔離。協(xié)議框架如圖7所示。

4.2.1 方案介紹

（1）切片預(yù)分組階段

這一階段主要將切片按照不同服務(wù)類型進(jìn)行分組形成若干個(gè)網(wǎng)絡(luò)切片組。切片組形成機(jī)制是動(dòng)態(tài)更新的，從而滿足5G網(wǎng)絡(luò)靈活部署的特性。

（2）切片相互認(rèn)證階段

這一階段每個(gè)網(wǎng)絡(luò)切片組中的網(wǎng)絡(luò)切片間通過(guò)借助服務(wù)網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)，實(shí)現(xiàn)組內(nèi)切片的相互認(rèn)證，并分別建立切片組間的會(huì)話密鑰，同時(shí)保證僅網(wǎng)絡(luò)切片組間知悉該會(huì)話密鑰，包括服務(wù)網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)在內(nèi)的第三方無(wú)法獲取該密鑰。

圖7 5G mMTC用戶同時(shí)訪問(wèn)多個(gè)切片服務(wù)的協(xié)議框架

Figure 7 Framework for 5G mMTC users to simultaneously access multiple slicing services

（3）切片組密鑰更新階段

這一階段用于保證切片組的動(dòng)態(tài)管理和切片組間會(huì)話密鑰的新鮮性和安全性。切片組間密鑰更新主要分為兩個(gè)場(chǎng)景：一是組成員未發(fā)生變化，會(huì)話密鑰過(guò)期，需要更新會(huì)話密鑰；二是會(huì)話密鑰未過(guò)期，組成員存在新進(jìn)入與退出的情況，需要更新會(huì)話密鑰。

（4）用戶切片認(rèn)證階段

這一階段分為認(rèn)證階段與密鑰協(xié)商階段。該階段方案用戶首先與網(wǎng)絡(luò)切片組進(jìn)行相互認(rèn)證，認(rèn)證過(guò)程僅需選取網(wǎng)絡(luò)切片組中的任意組員與用戶進(jìn)行認(rèn)證，即可實(shí)現(xiàn)用戶與整個(gè)網(wǎng)絡(luò)切片組的認(rèn)證。認(rèn)證后用戶與切片組內(nèi)各個(gè)網(wǎng)絡(luò)切片建立各自的會(huì)話密鑰。

（5）切片隔離通信階段

這一階段利用在切片相互認(rèn)證階段和用戶切片認(rèn)證階段協(xié)商的密鑰，針對(duì)不同的通信對(duì)象和通信數(shù)據(jù)內(nèi)容，對(duì)通信會(huì)話進(jìn)行分級(jí)加密，從而保證用戶與切片通信過(guò)程各個(gè)階段數(shù)據(jù)的安全與隔離：在用戶與切片間的通信過(guò)程中采用用戶切片認(rèn)證階段協(xié)商的會(huì)話密鑰進(jìn)行加密，保證用戶端數(shù)據(jù)的安全隔離；切片與切片之間交互的共享數(shù)據(jù)和資源采用用戶切片認(rèn)證階段協(xié)商的密鑰進(jìn)行加密傳輸，實(shí)現(xiàn)切片協(xié)同工作過(guò)程中切片的數(shù)據(jù)隔離。

4.2.2 方案分析

（1）性能分析

該方案從系統(tǒng)架構(gòu)層面，考慮了網(wǎng)絡(luò)切片按需服務(wù)的特性，方案具有靈活性、動(dòng)態(tài)性和可擴(kuò)展性；方案通過(guò)切片預(yù)分組和切片組間預(yù)認(rèn)證的設(shè)計(jì)，讓切片的安全動(dòng)態(tài)管理針對(duì)用戶接入是透明的，即認(rèn)證組內(nèi)任意切片可認(rèn)證整個(gè)組內(nèi)切片，節(jié)省了用戶認(rèn)證切片的計(jì)算開銷和時(shí)間開銷。

（2）安全性分析

切片相互認(rèn)證階段和用戶切片認(rèn)證階段，保證各個(gè)實(shí)體間合理的訪問(wèn)權(quán)限和信息知悉范圍，保證網(wǎng)絡(luò)在預(yù)期下運(yùn)行。在切片組密鑰更新階段，當(dāng)有新的組成員加入時(shí)，或者原組成員退出切片組時(shí)，切片組的會(huì)話密鑰均會(huì)更新。這在保證密鑰新鮮性的同時(shí)，保證了前向安全性和后向安全性，使切片隔離方案既滿足靈活性，又具備高安全屬性。

整個(gè)5G切片二次認(rèn)證與安全隔離模型很好地解決了大規(guī)模機(jī)器類用戶與切片間的認(rèn)證問(wèn)題，基于SM2批量認(rèn)證的方式在滿足安全屬性的前提下，提高了認(rèn)證效率；同時(shí)，通過(guò)切片間的預(yù)分組和相互認(rèn)證，解決了切片認(rèn)證和切片隔離的問(wèn)題，為用戶安全接入切片提供了保障。

5 結(jié)束語(yǔ)

本文首先介紹了5G mMTC應(yīng)用場(chǎng)景和5G網(wǎng)絡(luò)切片技術(shù)，分析了其特點(diǎn)、面臨的安全威脅以及安全需求。在以上工作的基礎(chǔ)上，詳細(xì)分析了現(xiàn)有研究的進(jìn)展與不足，并展望了一些未來(lái)可能的研究方向。最后，針對(duì)網(wǎng)絡(luò)切片二次認(rèn)證提出了一個(gè)模型框架，該框架可以滿足5G機(jī)器類用戶大規(guī)模認(rèn)證，使認(rèn)證過(guò)程更加高效且可靠，并且能夠?qū)崿F(xiàn)切片間的安全隔離，為今后的相關(guān)研究提供了一個(gè)較為合理的模型基礎(chǔ)。

[1] LIN X Q. An overview of 5G advanced evolution in 3GPP release 18[J]. arXiv preprint arXiv:2201.01358, 2022.

[2] 網(wǎng)絡(luò)安全管理局. 工業(yè)和信息化部部署推進(jìn)5G安全工作[EB].

China Network Security Administration. Ministry of Industry and Information Technology deployed to promote 5G security work. [EB].

[3] IMT-2020（5G）推進(jìn)組. 5G愿景與需求白皮書[Z]. 2014.

IMT-2020(5G) Promotion Group. White paper on 5G vision and requirements[Z]. 2014.

[4] 3GPP TS 22.261 V18.1.1. 3rd generation partnership project; technical specification group services and system aspects; service requirements for the 5G system; stage 1(release 18)[S]. Valbonne: 3GPP, 2021.

[5] 3GPP TS 22.186 V16.2.0. 3rd generation partnership project; technical specification group services and system aspects; enhancement of 3GPP support for V2X scenarios; stage 1(release 16)[S]. Valbonne: 3GPP, 2019.

[6] 張東. 探秘5G新空口技術(shù)[J]. 華為技術(shù), 2016, 75: 56-60.

ZHANG D. Exploring 5G new air interface technology[J]. Huawei Technology, 2016, 75: 56-60.

[7] O’CONNELL E, MOORE D, NEWE T. Challenges associated with implementing 5G in manufacturing[J]. Telecom, 2020, 1(1): 48-67.

[8] HARWAHYU R, CHENG R G, WEI C H, et al. Optimization of random access channel in NB-IoT[J]. IEEE Internet of Things Journal, 2018, 5(1): 391-402.

[9] KUHLINS, BELA RATHONYI, ALI ZAIDI, et al. Ericsson white paper: cellular networks for massive IoT[Z]. Sweden: Ericsson, 2020.

[10] JAVED M A, KHAN NIAZI S. 5G security artifacts (DoS/DDoS and authentication)[C]//Proceedings of 2019 International Conference on Communication Technologies (ComTech). 2019: 127-133.

[11] RIM K, LIM D.DoS attack control design of IoT system for 5G era[J]. Journal of Information and Communication Convergence Engineering, 2018, 16(2): 93-98.

[12] JANG S, LIM D, KANG J, et al. An efficient device authentication protocol without certification authority for Internet of Things[J]. Wireless Personal Communications, 2016, 91(4): 1681-1695.

[13] 3GPP TS 33.501 V17.0.0. 3rd generation partnership project; technical specification group services and system aspects; security architecture and procedures for 5G system (release 17)[S]. Valbonne: 3GPP, 2020

[14] CAO J, MA M D, LI H, et al. A survey on security aspects for 3GPP 5G networks[J]. IEEE Communications Surveys & Tutorials, 2020, 22(1): 170-195.

[15] HUSSAIN S R, ECHEVERRIA M, CHOWDHURY O, et al. Privacy attacks to the 4G and 5G cellular paging protocols using side channel information[C]//Proceedings of 2019 Network and Distributed System Security Symposium. 2019.

[16] CAO J, MA M D, LI H, et al. A survey on security aspects for LTE and LTE-A networks[J]. IEEE Communications Surveys & Tutorials, 2014, 16(1): 283-302.

[17] KHAN M A, SALAH K. IoT security: Review, blockchain solutions, and open challenges[J]. Future Generation Computer Systems, 2018, 82: 395-411.

[18] NGMN 5G Security-Network Slicing Version 1.0, 5G security Recommendations Package# 2: Network Slicing[S]. UK: ngmn Ltd., 2016.

[19] 網(wǎng)絡(luò)切片分級(jí)白皮書[Z]. 深圳: 中國(guó)移動(dòng), 2021.

White Paper: Network Slice Grading[Z]. Shenzhen: China Mobile, 2021.

[20] 3GPP TR 33.813 V16.0.0. 3rd generation partnership project; technical specification group services and system aspects; security aspects; study on security aspects of network slicing enhancement (release 16)[S]. Valbonne: 3GPP, 2020.

[21] FAN C N, SHIH Y T, HUANG J J, et al. Cross-network-slice authentication scheme for the 5th generation mobilecommunication system[J]. IEEE Transactions on Network and Service Management, 2021, 18(1): 701-712.

[22] REN Z, LI X H, JIANG Q, et al. Fast and universal inter-slice handover authentication with privacy protection in 5G network[J]. Security and Communication Networks, 2021, 2021: 6694058.

[23] BEHRAD S, BERTIN E, TUFFIN S, et al. 5G-SSAAC: slice-specific authentication and access control in 5G[C]//Proceedings of 2019 IEEE Conference on Network Softwarization (NetSoft). 2019: 281-285.

[24] 王睿, 張克落. 5G網(wǎng)絡(luò)切片綜述[J]. 南京郵電大學(xué)學(xué)報(bào)(自然科學(xué)版), 2018, 38(5): 19-27.

WANG R, ZHANG K L. Survey of 5G network slicing[J]. Journal of Nanjing University of Posts and Telecommunications (Natural Science Edition), 2018, 38(5): 19-27.

[25] SATTAR D, MATRAWY A. Towards secure slicing: using slice isolation to mitigate DDoS attacks on 5G core network slices[C]//Proceedings of 2019 IEEE Conference on Communications and Network Security. 2019: 82-90.

[26] SATHI V N, SRINIVASAN M, THIRUVASAGAM P K, et al. A novel protocol for securing network slice component association and slice isolation in 5G networks[C]//Proceedings of MSWIM '18: Proceedings of the 21st ACM International Conference on Modeling, Analysis and Simulation of Wireless and Mobile Systems. 2018: 249-253.

[27] 潘啟潤(rùn), 黃開枝, 游偉. 基于隔離等級(jí)的網(wǎng)絡(luò)切片部署方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2020, 6(2): 96-105.

PAN Q R, HUANG K Z, YOU W. Network slicing deployment method based on isolation level[J]. Chinese Journal of Network and Information Security, 2020, 6(2): 96-105.

[28] LIU J W, ZHANG L H, SUN R, et al. Mutual heterogeneous signcryption schemes for 5G network slicings[J]. IEEE Access, 2018, 6: 7854-7863.

[29] 楊志強(qiáng), 粟栗, 齊旻鵬, 等. 5G安全技術(shù)與標(biāo)準(zhǔn)[J]. 電信科學(xué), 2020, 36(12): 1-19.

YANG Z Q, SU L, QI M P, et al. Overview and prospect of 5G security[J]. Telecommunications Science, 2020, 36(12): 1-19.

[30] GARDIKIS G, TZOULAS K, TRIPOLITIS K, et al. SHIELD: a novel NFV-based cybersecurity framework[C]//Proceedings of 2017 IEEE Conference on Network Softwarization (NetSoft). 2017: 1-6.

[31] LI H D, DENG J, HU H X, et al. Poster: on the safety and efficiency of virtual firewall elasticity control[C]//Proceedings of the 22nd ACM on Symposium on Access Control Models and Technologies. 2017: 129-131.

[32] LI H D, HU H X, GU G F, et al. vNIDS: towards elastic security with safe and efficient virtualization of network intrusion detection systems[C]//Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security. 2018: 17-34.

[33] 馮琦, 何德彪, 羅敏, 等. 移動(dòng)互聯(lián)網(wǎng)環(huán)境下輕量級(jí)SM2兩方協(xié)同簽名[J]. 計(jì)算機(jī)研究與發(fā)展, 2020, 57(10): 2136-2146.

FENG Q, HE D B, LUO M, et al. Efficient two-party SM2 signing protocol for mobile Internet[J]. Journal of Computer Research and Development, 2020, 57(10): 2136-2146.

[34] CAO J, YU P, MA M D, et al. Fast authentication and data transfer scheme for massive NB-IoT devices in 3GPP 5G network[J]. IEEE Internet of Things Journal, 2019, 6(2): 1561-1575.

[35] POTHUMARTI R, JAIN K, KRISHNAN P. A lightweight authentication scheme for 5G mobile communications: a dynamic key approach[J]. Journal of Ambient Intelligence and Humanized Computing, 2021: 1-19.

[36] DE REE M, MANTAS G, RADWAN A, et al. Key management for beyond 5G mobile small cells: a survey[J]. IEEE Access, 2019, 7: 59200-59236.

[37] FAN CHUN-I, SHIH Y T, HUANG J J, et al. Cross-network-slice authentication scheme for the 5 th generation mobile communication system[J]. IEEE Transactions on Network and Service Management, 2021, 18(1): 701-712.

[38] NI J B, LIN X D, SHEN X S. Efficient and secure service-oriented authentication supporting network slicing for 5G-enabled IoT[J]. IEEE Journal on Selected Areas in Communications, 2018, 36(3): 644-657.

[39] SICARI S, RIZZARDI A, COEN-PORISINI A. 5G in the internet of things era: an overview on security and privacy challenges[J]. Computer Networks, 2020, 179: 107345.

[40] ZHOU L, SU C H, HU Z, et al. Lightweight implementations of NIST P-256 and SM2 ECC on 8-bit resource-constraint embedded device[J]. ACM Transactions on Embedded Computing Systems, 2019, 18(3): 1-13.

[41] AL-RIYAMI S S, PATERSON K G. Certificateless public key cryptography[M]//Advances in Cryptology - ASIACRYPT 2003. Berlin, Heidelberg: Springer Berlin Heidelberg, 2003: 452-473.

[42] 谷國(guó)進(jìn). 基于SM2算法的認(rèn)證授權(quán)系統(tǒng)研究與實(shí)現(xiàn)[D]. 濟(jì)南: 山東大學(xué), 2013.

GU G J. Study and implementation of authentication and authorzation system based on SM2Algorithm[D]. Jinan: Shandong University, 2013.

Research on network slicing security for 5G mMTC

XU Zijun1, LIU Jianwei1, LI Geng1,2

1. School of Cyber Science and Technology, Beihang University, Beijing 100191, China 2. National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029, China

With the emergence of new 5G business, architecture and technology, more and more researchers pay attention to security issues and potential security risks. Massive machine type communication is one of the three major application scenarios of 5G. It provides high performance such as large connection and low power consumption. Due to factors such as limited resources of MTC equipment, it may also weaken the security of 5G networks. At the same time, different scenarios and applications have obvious demands for network performance, service quality and security level. The flexibility of 5G networking is realized by network slicing technology. It meets the diversity and customization of 5G network services, but also brings new security threats. 5G commercial rapid development. The number of IoT devices has increased exponentially. In order to ensure that 5G networks provide more efficient and safe on-demand services, it is particularly important to study the security mechanism and strategy of network slicing for 5G mMTC application scenarios. Therefore, the characteristics and security requirements of 5G mMTCwereanalyzed. The main security threats of network slicing were listed. In view of the above security requirements and threats, the contribution and deficiency of existing security schemes around the aspects of specific network slice authentication, slice security isolation, security management and arrangement were summarized and expounded. And the future research in this field was prospected. A SM2-based secondary authentication and security isolation model for 5G mMTC network slicing was proposed. This model framework meeted the efficiency of large-scale authentication for 5G devices and users by introducing batch authentication and pre-authentication mechanisms. By hierarchical encryption of different communication data, the security isolation between 5G mMTC network slices was realized. The performance and security of the model were also analyzed.

network slicing, 5G mMTC, safe isolation, access authentication

s: The National Key R&D Program of China (2017YFB1400702), The Natural Science Foundation of China (61932014, 61972018)

TP393

A

10.11959/j.issn.2096?109x.2022006

徐子鈞（1998?），女，遼寧鞍山人，北京航空航天大學(xué)碩士生，主要研究方向?yàn)?G網(wǎng)絡(luò)安全。

劉建偉（1964?），男，山東萊州人，博士，北京航空航天大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。

李耕（1993?），男，浙江溫州人，主要研究方向?yàn)楣€密碼學(xué)、后斯諾登密碼學(xué)、信息安全。

2021?05?20；

2021?07?08

劉建偉，liujianwei@buaa.edu.cn

國(guó)家重點(diǎn)研發(fā)計(jì)劃（2017YFB1400702）；國(guó)家自然科學(xué)基金（61932014, 61972018）

徐子鈞, 劉建偉, 李耕. 面向5G mMTC的網(wǎng)絡(luò)切片安全研究[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2022, 8(1): 95-105. Citation Format: XU Z J, LIU J W, LI G. Research on network slicing security for 5G mMTC[J]. Chinese Journal of Network and Information Security, 2022, 8(1): 95-105.