謝國(guó)濤，王首媛，管立軍（中訊郵電咨詢(xún)?cè)O(shè)計(jì)院有限公司，北京 100048）

1 概述

網(wǎng)絡(luò)切片是一種按需組網(wǎng)的方式，本質(zhì)上就是將運(yùn)營(yíng)商的物理網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)絡(luò)，每一個(gè)虛擬網(wǎng)絡(luò)根據(jù)不同的服務(wù)需求，比如時(shí)延、帶寬、安全性和可靠性等來(lái)劃分，以靈活地應(yīng)對(duì)不同的網(wǎng)絡(luò)應(yīng)用場(chǎng)景。

CLA 是一種基于SM2、不使用雙線(xiàn)性對(duì)運(yùn)算的無(wú)證書(shū)認(rèn)證體制。在這種體制中，不使用數(shù)字證書(shū)，不存在密鑰托管問(wèn)題和共謀攻擊問(wèn)題。

但基于CLA 的密碼體制只能實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)和邏輯鏈接的安全性，未能結(jié)合信道資源，實(shí)現(xiàn)業(yè)務(wù)差異化信道資源保障；同時(shí)網(wǎng)絡(luò)切片的信道安全性，未能結(jié)合具體業(yè)務(wù)場(chǎng)景，無(wú)法實(shí)現(xiàn)更加靈活的安全策略控制。

本文針對(duì)5G 網(wǎng)絡(luò)切片安全性不足、SLA 保障不具備場(chǎng)景化靈活調(diào)節(jié)能力等問(wèn)題，基于網(wǎng)絡(luò)切片差異化信道資源保障的優(yōu)勢(shì)，和CLA 在物聯(lián)網(wǎng)應(yīng)用中的高效性，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)和邏輯鏈接安全性的同時(shí)，保障業(yè)務(wù)差異化信道資源，最終實(shí)現(xiàn)更加靈活高效的安全策略控制。

2 5G網(wǎng)絡(luò)切片安全與SLA現(xiàn)狀

2.1 5G網(wǎng)絡(luò)切片安全

網(wǎng)絡(luò)切片（Network Slicing，NS）是指5G［1-2］運(yùn)營(yíng)商利用軟件定義網(wǎng)絡(luò)（Software Defifined Network，SDN）和網(wǎng)絡(luò)功能虛擬化（Network Function Virtualization，NFV）技術(shù)，在有限物理網(wǎng)絡(luò)設(shè)備上建立多種相互隔離的虛擬網(wǎng)絡(luò)。不同網(wǎng)絡(luò)切片達(dá)到的網(wǎng)絡(luò)性能指標(biāo)不同，提供的通信方式及安全策略也不同。垂直網(wǎng)絡(luò)切片是指由5G運(yùn)營(yíng)商開(kāi)發(fā)并租賃給第三方服務(wù)商，專(zhuān)門(mén)用來(lái)支持不同業(yè)務(wù)的端到端切片［3-7］。

一張垂直網(wǎng)絡(luò)切片由終端切片、接入網(wǎng)切片、核心網(wǎng)切片和數(shù)據(jù)網(wǎng)切片等水平切片組成；5G網(wǎng)絡(luò)切片終端側(cè)主要包含用戶(hù)移動(dòng)設(shè)備和各種物聯(lián)網(wǎng)終端；接入網(wǎng)切片主要包含由各種接入技術(shù)提供的接入網(wǎng)，幫助用戶(hù)終端接入核心網(wǎng)切片；核心網(wǎng)切片由多種虛擬網(wǎng)元構(gòu)成，將網(wǎng)絡(luò)分為控制層和用戶(hù)數(shù)據(jù)層，控制層負(fù)責(zé)管控用戶(hù)數(shù)據(jù)層的通信和安全，用戶(hù)數(shù)據(jù)層負(fù)責(zé)為用戶(hù)終端和外部服務(wù)器之間創(chuàng)建會(huì)話(huà)；數(shù)據(jù)網(wǎng)切片主要由云服務(wù)器構(gòu)成，其主要作用是提供用戶(hù)所需的服務(wù)數(shù)據(jù)，并存儲(chǔ)大量的用戶(hù)信息。4 種切片在提供不同服務(wù)的同時(shí)，也帶來(lái)許多安全問(wèn)題［8］。

2.2 5G網(wǎng)絡(luò)切片SLA

切片服務(wù)等級(jí)保障（Service Level Assurance，SLA）使得5G 網(wǎng)絡(luò)切片可以給行業(yè)應(yīng)用提供可定制、可感知、可預(yù)期的通信服務(wù)質(zhì)量，并將其作為完整業(yè)務(wù)系統(tǒng)中的一環(huán)，實(shí)現(xiàn)對(duì)業(yè)務(wù)質(zhì)量的端到端管控［9-12］。

網(wǎng)絡(luò)切片SLA 作為提供通信服務(wù)的服務(wù)協(xié)議，需要把運(yùn)營(yíng)商與網(wǎng)絡(luò)切片客戶(hù)簽約的業(yè)務(wù)需求信息傳遞到運(yùn)營(yíng)商的網(wǎng)絡(luò)中。對(duì)于需要新創(chuàng)建一個(gè)切片的場(chǎng)景，切片管理系統(tǒng)根據(jù)租戶(hù)對(duì)切片的SLA 要求（如切片列表、PLMN 列表、最大用戶(hù)數(shù)、切片服務(wù)區(qū)域、切片端到端時(shí)延、切片中終端的移動(dòng)等級(jí)、切片資源共享等級(jí)）進(jìn)行各域（接入網(wǎng)、傳輸網(wǎng)、核心網(wǎng)等）的SLA分解，進(jìn)而進(jìn)行各域資源配置，包括帶寬、時(shí)延等［13］。

2.3 現(xiàn)有基于5G 網(wǎng)絡(luò)切片的系統(tǒng)安全與SLA 保障體系存在的問(wèn)題

當(dāng)前對(duì)于基于5G 網(wǎng)絡(luò)切片的系統(tǒng)安全與SLA 保障體系，主要研究點(diǎn)在于5G網(wǎng)絡(luò)本身的安全和服務(wù)等級(jí)保障；但對(duì)于利用5G 網(wǎng)絡(luò)切片安全和SLA 保障，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)高安全性和差異化服務(wù)保障的研究較少；同時(shí)5G網(wǎng)絡(luò)切片不能實(shí)現(xiàn)非常靈活的調(diào)度，否則將消耗大量的5G網(wǎng)絡(luò)運(yùn)營(yíng)調(diào)度資源；但業(yè)務(wù)系統(tǒng)對(duì)于安全和SLA 保障存在著豐富的需求，主要包括以下3 個(gè)方面。

a）業(yè)務(wù)系統(tǒng)需要具備身份認(rèn)證、數(shù)據(jù)加解密、訪(fǎng)問(wèn)控制等功能，這些功能是多層次的、靈活動(dòng)態(tài)的，不同業(yè)務(wù)系統(tǒng)的策略、實(shí)現(xiàn)機(jī)制也不同。

b）對(duì)于業(yè)務(wù)系統(tǒng)的交互消息，需要具備SLA，SLA參數(shù)受消息載荷、發(fā)送消息的主體、時(shí)空間等因素影響，這些因素存在變化，甚至這些因素與SLA 的關(guān)聯(lián)策略也存在變化，因此需要業(yè)務(wù)系統(tǒng)的SLA 實(shí)現(xiàn)靈活的調(diào)整。

c）業(yè)務(wù)系統(tǒng)的安全和SLA 保障并非獨(dú)立，可能存在關(guān)聯(lián)關(guān)系，比如對(duì)于安全性要求較高的交互消息，可能也需要較高SLA 保障，但這種交互消息對(duì)資源占用較多。

簡(jiǎn)而言之，業(yè)務(wù)系統(tǒng)更加了解自身交互需求，基于本文提供的機(jī)制，能利用5G 網(wǎng)絡(luò)切片的安全性和SLA 保障，實(shí)現(xiàn)更加靈活、高效的安全和SLA 保障體系。

3 PKI/CLA無(wú)證書(shū)密碼技術(shù)

CLA 是一種基于SM2、不使用雙線(xiàn)性對(duì)運(yùn)算的無(wú)證書(shū)認(rèn)證體制，融合自證公鑰密碼體制和無(wú)證書(shū)公鑰密碼體制的密鑰生成和密鑰使用機(jī)制，借鑒PKI/CA 系統(tǒng)的管理體系架構(gòu)而構(gòu)建的一種新型公鑰基礎(chǔ)設(shè)施。采用現(xiàn)有SM2 橢圓曲線(xiàn)密碼算法，不使用數(shù)字證書(shū)，不使用雙線(xiàn)性對(duì)運(yùn)算，兼具PKI/CA、IBC的優(yōu)點(diǎn)。生成短格式的數(shù)字簽名數(shù)據(jù)包，適合于各種簽名應(yīng)用，而驗(yàn)簽時(shí)不需要密鑰管理中心的支持，驗(yàn)簽者可以直接對(duì)簽名進(jìn)行驗(yàn)證，極大地方便了接收者對(duì)簽名的驗(yàn)證。建設(shè)成本低，計(jì)算效率高，占用資源少，可用于對(duì)海量用戶(hù)的密鑰管理，滿(mǎn)足大規(guī)模、大范圍的云計(jì)算、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)環(huán)境下的身份認(rèn)證、數(shù)據(jù)防篡改、防抵賴(lài)等安全應(yīng)用需求［14］。

4 基于網(wǎng)絡(luò)切片和無(wú)證書(shū)公鑰密碼體制的系統(tǒng)安全控制設(shè)計(jì)

4.1 方法設(shè)計(jì)

4.1.1 標(biāo)識(shí)說(shuō)明

首先說(shuō)明3個(gè)標(biāo)識(shí)。

a）應(yīng)用標(biāo)識(shí)：表征具有清晰邊界和業(yè)務(wù)內(nèi)聚性應(yīng)用的標(biāo)識(shí)，應(yīng)用一般以B/S 結(jié)構(gòu)組成，包括客戶(hù)端APP和應(yīng)用系統(tǒng)，稱(chēng)為IDAPP；應(yīng)用集合的子集，稱(chēng)為APP組，其標(biāo)識(shí)記為IDAPP組；下文UE 的安全模塊中涉及的虛擬應(yīng)用，稱(chēng)為虛擬APP，其標(biāo)識(shí)記為ID虛擬APP。

b）切片標(biāo)識(shí)，即網(wǎng)絡(luò)切片選擇輔助信息（Single Network Slice Selection Assistance Information，SNSSAI）標(biāo)識(shí)，該信息進(jìn)一步包括如下2部分信息。

（a）Slice/Service Type（SST），表征對(duì)應(yīng)切片特征和業(yè)務(wù)期待的網(wǎng)絡(luò)切片行為。

（b）Slice Differentiator（SD），該功能可選，它是對(duì)SST的補(bǔ)充，進(jìn)一步區(qū)分相同SST的多個(gè)切片。

c）CLA 用戶(hù)標(biāo)識(shí)，即CLA 系統(tǒng)中用于標(biāo)識(shí)用戶(hù)實(shí)體身份的信息，稱(chēng)為IDCLA。

4.1.2 思路說(shuō)明

本文設(shè)計(jì)方法的主要實(shí)現(xiàn)思路為：CLA 用戶(hù)標(biāo)識(shí)IDCLA可以融合網(wǎng)絡(luò)切片的切片標(biāo)識(shí)（S-NSSAI），以切片標(biāo)識(shí)（S-NSSAI）和應(yīng)用標(biāo)識(shí)（IDAPP）組合形成CLA 用戶(hù)標(biāo)識(shí)（IDCLA），實(shí)現(xiàn)切片識(shí)別及差異化安全認(rèn)證方案；其優(yōu)勢(shì)在于：通過(guò)5G端到端切片SLA實(shí)現(xiàn)底層通信鏈路差異化保障，實(shí)現(xiàn)業(yè)務(wù)識(shí)別適配；以切片S-NSSAI為橋梁，作為用戶(hù)安全標(biāo)識(shí)的一部分，關(guān)聯(lián)多業(yè)務(wù)差異化安全與切片差異化SLA，實(shí)現(xiàn)多切片場(chǎng)景下的自定義差異化安全策略。具體結(jié)構(gòu)及交互示意如圖1所示。

圖1 基于網(wǎng)絡(luò)切片和無(wú)證書(shū)公鑰密碼體制實(shí)現(xiàn)的系統(tǒng)結(jié)構(gòu)與交互圖

4.1.2.1 初始化階段

a）安全策略控制中心對(duì)應(yīng)用（圖1 中為APP1、APP2）進(jìn)行分組，形成多個(gè)應(yīng)用組，這些應(yīng)用組為應(yīng)用集合的子集；應(yīng)用組可為空，即不包含任何應(yīng)用，或包含全部應(yīng)用；UE中的安全模塊基于圖1中接口3，從安全策略控制中心獲取應(yīng)用分組配置信息；該安全策略控制被稱(chēng)為應(yīng)用系統(tǒng)靜態(tài)分組配置。

b）UE 中的安全模塊與網(wǎng)絡(luò)切片選擇策略（Network slice selection policy，NSSP）模塊交互（基于圖1中接口1），獲取UE 支持的S-NSSAI 列表和S-NSSAI 所標(biāo)識(shí)的網(wǎng)絡(luò)切片SLA參數(shù)信息。

c）UE 中的安全模塊基于應(yīng)用分組配置信息和UE 支持的S-NSSAI 列表信息，生成虛擬APP 列表，其生成策略基于圖1 中接口3，從安全策略控制中心獲??；譬如，基于組合策略可形成如表1 所示的虛擬APP。

表1 應(yīng)用組標(biāo)識(shí)與網(wǎng)絡(luò)切片標(biāo)識(shí)組合表

d）UE中的安全模塊以虛擬APP ID（ID虛擬APP）作為CLA用戶(hù)標(biāo)識(shí)（IDCLA）或作為CLA用戶(hù)標(biāo)識(shí)（IDCLA）的一部分（可基于統(tǒng)一規(guī)則加入其他標(biāo)識(shí)，譬如在“IDAPP組1-S-NSSAI1”標(biāo)識(shí)前部或后部加入U(xiǎn)E 特征標(biāo)識(shí)），通過(guò)圖1 中接口2，與CLA 密鑰管理中心交互，最終生成ID虛擬APP對(duì)應(yīng)的公私鑰對(duì)。

e）安全認(rèn)證網(wǎng)關(guān)，采用網(wǎng)關(guān)的CLA 用戶(hù)標(biāo)識(shí)（IDCLA），通過(guò)圖1 中接口4，與CLA 密鑰管理中心交互，最終生成網(wǎng)關(guān)CLA公私鑰對(duì)。

4.1.2.2 系統(tǒng)運(yùn)行階段

a）UE 中的APP，通過(guò)圖1 中接口6、7，將需要發(fā)送到業(yè)務(wù)系統(tǒng)的信息，發(fā)送到安全模塊。

b）UE 中的安全模塊，獲取到APP 發(fā)送的消息，能夠識(shí)別發(fā)送者身份（IDAPP），基于初始化階段從安全策略控制中心獲取的應(yīng)用分組配置信息和系統(tǒng)當(dāng)前運(yùn)行階段，安全策略控制中心配置的應(yīng)用與應(yīng)用組之間的映射偏好策略（稱(chēng)為應(yīng)用系統(tǒng)消息動(dòng)態(tài)分組偏好配置），確定應(yīng)用與應(yīng)用組之間的唯一映射關(guān)系（IDAPP→IDAPP 組），即運(yùn)行時(shí)發(fā)生的消息只能屬于某個(gè)應(yīng)用系統(tǒng)分組。

c）UE 中的安全模塊，通過(guò)圖1 中的接口3，獲取安全策略控制中心配置的應(yīng)用組SLA 參數(shù)，選擇適當(dāng)?shù)奶摂MAPP；選擇過(guò)程為：通過(guò)系統(tǒng)運(yùn)行階段步驟b）確定IDAPP 組，基于從獲取安全策略控制中心配置的應(yīng)用組SLA參數(shù)要求，并結(jié)合網(wǎng)絡(luò)切片SLA參數(shù)信息，確定網(wǎng)絡(luò)切片標(biāo)識(shí)S-NSSAI，基于IDAPP 組和SNSSAI，確定ID 虛擬APP；最后將消息通過(guò)該虛擬APP發(fā)出。

d）UE 中的安全模塊，通過(guò)圖1 中的接口8，將虛擬APP 的消息發(fā)送給NSSP，NSSP 基于切片選擇策略將消息通過(guò)網(wǎng)絡(luò)切片（圖1中的接口9）發(fā)送到5G網(wǎng)絡(luò)中。

e）5G網(wǎng)絡(luò)將消息路由至安全認(rèn)證網(wǎng)關(guān)（圖1中的接口10）。

f）安全認(rèn)證網(wǎng)關(guān)基于從安全策略控制中心獲取的身份認(rèn)證與訪(fǎng)問(wèn)控制策略（通過(guò)圖1 中的接口5），對(duì)接收到的消息進(jìn)行認(rèn)證；可能包括如下情形。

（a）消息無(wú)需認(rèn)證，直接轉(zhuǎn)發(fā)。

（b）消息僅需要身份認(rèn)證；基于CLA 認(rèn)證算法，對(duì)消息進(jìn)行身份認(rèn)證；如果身份認(rèn)證通過(guò)，則轉(zhuǎn)發(fā)該消息；如果身份認(rèn)證不通過(guò)，則返回認(rèn)證失敗信息。

（c）消息需要身份認(rèn)證，且需要驗(yàn)證消息發(fā)送者的合法性（譬如，消息發(fā)送者是否在白名單且不屬于黑名單）；身份認(rèn)證通過(guò)后，驗(yàn)證消息發(fā)送者是否合法（譬如，消息發(fā)送者IDAPP或IDAPP組屬于白名單且消息發(fā)送者IDAPP或IDAPP組不屬于黑名單），如果發(fā)送者身份合法性驗(yàn)證成功，則轉(zhuǎn)發(fā)消息；如果發(fā)送者身份驗(yàn)證失敗，則返回身份合法性失敗信息；身份認(rèn)證不通過(guò)，返回認(rèn)證失敗信息。

其中，需要說(shuō)明的是，基于CLA 的身份認(rèn)證能夠識(shí)別消息發(fā)送者（IDAPP）所在的應(yīng)用組（IDAPP組）是否為系統(tǒng)中已經(jīng)注冊(cè)的應(yīng)用組；身份合法性判定則是基于身份認(rèn)證通過(guò)后的細(xì)粒度訪(fǎng)問(wèn)控制策略。

g）安全認(rèn)證網(wǎng)關(guān)將通過(guò)身份認(rèn)證與訪(fǎng)問(wèn)控制的消息，通過(guò)圖1 中接口11 和12，轉(zhuǎn)發(fā)給相應(yīng)的業(yè)務(wù)系統(tǒng)。

4.2 一種實(shí)現(xiàn)說(shuō)明

為方便說(shuō)明，一種實(shí)現(xiàn)方式如圖2所示。

圖2 本方法的一種實(shí)現(xiàn)

其中，系統(tǒng)包括2個(gè)應(yīng)用軟件，其客戶(hù)端軟件分別為APP1、APP2。

安全與路由策略控制中心對(duì)應(yīng)用軟件進(jìn)行分組，分為2 個(gè)組：APP 分組1（包括APP1、APP2）和APP 分組2（包括APP1）。

安全模塊獲取UE 支持的網(wǎng)絡(luò)切片為切片1（SNSSAI1）和切片2（S-NSSAI2），形成4 個(gè)虛擬APP，分別為虛擬APP1、虛擬APP2、虛擬APP3、虛擬APP4，虛擬APP ID 在本例中包括APP 組ID 和切片ID 各種組合（本例中有2 個(gè)APP 組、2 個(gè)切片，因此為4 個(gè)組合）。安全模塊，基于虛擬APP ID，與CLA 系統(tǒng)合作生成對(duì)應(yīng)密鑰對(duì)。

系統(tǒng)運(yùn)行時(shí)，UE上的安全模塊，發(fā)現(xiàn)“APP分組1”和“APP 分組2”中均包括“APP1”，同時(shí)基于安全與路由策略控制中心的“應(yīng)用系統(tǒng)消息動(dòng)態(tài)分組偏好配置”，判斷來(lái)源于APP1 的“消息1”，應(yīng)該歸入哪個(gè)APP分組，不失一般性的假設(shè)，將“消息1”歸入“APP 分組2”；同時(shí)UE 上的安全模塊，基于安全與路由策略控制中心的“應(yīng)用系統(tǒng)消息動(dòng)態(tài)SLA 策略”，根據(jù)切片1 和切片2 的SLA 與消息SLA 的符合程度，最終選擇使用“虛擬APP1”或“虛擬APP2”中的一個(gè)進(jìn)行消息處理；UE 上的安全模塊，基于安全與路由策略控制中心的“消息簽名與加密策略”，對(duì)消息進(jìn)行簽名、加密，經(jīng)由通信模組將消息發(fā)出。

4.3 本方法的優(yōu)點(diǎn)

本方法關(guān)注切片SLA 與消息SLA 的動(dòng)態(tài)符合程度，通過(guò)“虛擬APP”的適配策略，選擇適當(dāng)?shù)木邆渚W(wǎng)絡(luò)SLA 屬性的虛擬APP（該虛擬APP 的網(wǎng)絡(luò)SLA 屬性預(yù)計(jì)與承載該虛擬APP 的切片SLA 屬性一致或接近），滿(mǎn)足消息的動(dòng)態(tài)SLA需求；消息SLA動(dòng)態(tài)變化的頻率，明顯大于運(yùn)營(yíng)商能夠承載的切片SLA變化頻率。

本文關(guān)注應(yīng)用系統(tǒng)層面的邏輯安全，并不關(guān)注網(wǎng)絡(luò)傳輸管道本身是否安全，或者說(shuō)對(duì)傳輸數(shù)據(jù)進(jìn)行了簽名/加密處理；其次本文通過(guò)安全策略中心，實(shí)現(xiàn)對(duì)消息動(dòng)態(tài)的安全策略控制；再次，本文基于安全與路由策略控制中心的“安全認(rèn)證網(wǎng)關(guān)的身份認(rèn)證與訪(fǎng)問(wèn)控制策略”，通過(guò)安全認(rèn)證網(wǎng)關(guān)進(jìn)行消息身份認(rèn)證、消息發(fā)送者合法性驗(yàn)證；即本方法不僅可以實(shí)現(xiàn)消息簽名/驗(yàn)簽、加密/解密，還能夠?qū)οl(fā)送者合法性驗(yàn)證；同時(shí)通過(guò)安全與路由策略控制中心動(dòng)態(tài)的安全策略控制，實(shí)現(xiàn)消息級(jí)別的靈活的安全策略。

總體而言，本方法通過(guò)APP靜態(tài)分組、APP動(dòng)態(tài)分組適配、虛擬APP 抽象、安全認(rèn)證網(wǎng)關(guān)的身份認(rèn)證與訪(fǎng)問(wèn)控制等技術(shù)，在應(yīng)用系統(tǒng)層面，以消息為粒度，實(shí)現(xiàn)動(dòng)態(tài)、豐富的安全控制與網(wǎng)絡(luò)服務(wù)。

5 結(jié)束語(yǔ)

基于網(wǎng)絡(luò)切片差異化信道資源保障的優(yōu)勢(shì)和CLA在物聯(lián)網(wǎng)應(yīng)用中的高效性，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)和邏輯鏈接安全性的同時(shí)，保障業(yè)務(wù)差異化信道資源，最終實(shí)現(xiàn)更加靈活高效的安全策略控制。