5G 牌照的發(fā)放標志著我國正式進入了 5G 發(fā)展元年，經(jīng)過兩年多的發(fā)展，我國已基本建成了覆蓋全國的商用 5G 網(wǎng)絡。隨著 5G 業(yè)務的深入應用，5G 與垂直行業(yè)的融合創(chuàng)新不斷涌現(xiàn)。針對商用 5G 網(wǎng)絡在滿足高安全垂直行業(yè)用戶敏感業(yè)務方面存在的安全保障能力不足的問題，結合第三代合作伙伴計劃(3rd Generation Partnership Project，3GPP) R15 標準中提出的安全機制和安全能力現(xiàn)狀，描述了商用 5G 網(wǎng)絡在滿足高安全垂直行業(yè)應用時需要注意的安全需求，并針對這些需求提出了一些可能的解決途徑和方法。該研究可以為構建基于商用 5G 網(wǎng)絡的垂直行業(yè)專用切片提供安全指導。

　　內容目錄：

　　1　3GPP 提出的垂直行業(yè)用戶安全需求

　　2　相關標準提出的安全性保障方法

　　3　高安全垂直行業(yè)特殊安全問題

　　3.1　網(wǎng)絡虛擬資源的安全

　　3.2　網(wǎng)絡切片安全隔離

　　3.3　網(wǎng)絡切片安全能力定制

　　3.4　網(wǎng)絡切片接入的安全

　　3.5　業(yè)務傳輸安全增強

　　3.6　切片安全運營管理

　　3.7　用戶隱私保護

　　4　解決途徑及思路

　　4.1　解決思路

　　4.2　技術途徑

　　4.2.1　需求定制

　　4.2.2　服務嵌入

　　5　結　語

　　5G 通過在統(tǒng)一的網(wǎng)絡基礎設施之上構建多個虛擬化邏輯網(wǎng)絡切片的方式，來滿足工業(yè)控制、健康及智慧醫(yī)療等垂直行業(yè)的差異化需求。通過研究智慧交通、智能電網(wǎng)、智能家居、智能醫(yī)療、信息消費等不同的垂直行業(yè)，發(fā)現(xiàn)不同行業(yè)對 5G 網(wǎng)絡的安全需求是不同的，甚至可能是相悖的。因此，5G 網(wǎng)絡需要根據(jù)不同的安全需求提供可定制和差異性的安全能力，并針對特殊安全要求，采用專用的安全增強措施，滿足不同行業(yè)應用的差異化安全需求。

　　本 文 從 第 三 代 合 作 伙 伴 計 劃(3rd Generation Partnership Project，3GPP)的國際標準 R15 TS 33.501《5G 系統(tǒng)安全架構和過程》中對普通垂直行業(yè)的安全需求的研究出發(fā)，首先分析和研究該標準對其提出的安全需求的滿足程度和安全性保障方法，其次總結針對高安全垂直行業(yè)需要提高關注的安全需求及問題，最后提出相應的解決辦法和途徑。

　　1

　　3GPP 提出的垂直行業(yè)用戶安全需求

　　3GPP 作為全球范圍內主導商用 5G 網(wǎng)絡標準化工作的組織，自 5G 網(wǎng)絡概念提出之日起，就認識到：隨著跨行業(yè)、跨領域的融合創(chuàng)新的不斷深入，垂直行業(yè)用戶將是 5G 網(wǎng)絡的重要服務對象。如果說長期演進(Long Term Evolution，LTE)是針對個人用戶(2C)的話，那么 5G 更像是在 2C 的基礎上擴展到針對行業(yè)用戶(2B)的領域，因而對 5G 移動通信技術也提出了更高的要求。

　　3GPP 定義了 5G 網(wǎng) 絡 的3種典型應用場景 ：增強移動寬帶(enhanced Mobile Broadband，eMBB)、海量機器類通信(massive Machine Type Communication，mMTC)和超可靠低時延通信(ultra-Reliable and Low Latency Communications，uRLLC)。eMBB 聚焦對帶寬有極高需求的業(yè)務，滿足人們對于數(shù)字化生活的需求，例如高清視頻(High Definition Video，HDV)、虛擬現(xiàn)實(Virtual Reality，VR) 和 增 強 現(xiàn) 實(Augmented Reality，AR)等領域。mMTC 覆蓋對于連接密度要求較高的場景，滿足人們對于數(shù)字化社會的需求，例如智慧城市、智能農業(yè)、環(huán)境監(jiān)測等領域。uRLLC 聚焦對時延極其敏感的業(yè)務，滿足人們對于數(shù)字化工業(yè)的需求，例如自動駕駛 / 輔助駕駛、工業(yè)控制、遠程醫(yī)療等。同時，在 5G 網(wǎng)絡的定義和規(guī)范建立過程中，需要針對這 3 種業(yè)務場景的不同安全需求提供差異化的安全保護機制，否則不安全的 5G 網(wǎng)絡將不能被全球所接受。

　　我國的 IMT2020 推進組作為 3GPP 組織的主要成員，深度參與了 5G 標準化方面的工作，近年發(fā)布了多篇 5G 網(wǎng)絡安全和 5G 與垂直行業(yè)應用相關的技術白皮書，他們認為上述 3 種應用場景中存在安全需求上的差異：(1)eMBB 在不同的應用場景有不同的安全需求，同一個應用場景中不同業(yè)務的安全需求也有所不同。例如，VR、AR 等個人業(yè)務只要求對關鍵信息的傳輸進行加密，而對于行業(yè)應用可能需要對所有環(huán)境信息的傳輸進行加密。5G 網(wǎng)絡可以通過擴展 LTE 安全機制來滿足 eMBB 場景所需的安全需求。(2)mMTC 場景中存在多種多樣的物聯(lián)網(wǎng)設備，其中有面向物聯(lián)網(wǎng)種類繁雜的應用和成百上千億的連接，因此 5G 網(wǎng)絡需要考慮其安全需求的多樣性。在 5G 網(wǎng)絡中，需要降低認證和身份管理方面的成本(如采用群組認證 等)，以支撐物聯(lián)網(wǎng)設備的低成本和高效率海量部署。同時，5G 網(wǎng)絡還需要通過一些安全保護措施，如輕量級的安全算法、簡單高效的安全協(xié)議等，來保證計算能力低且電池壽命需求高的物聯(lián)網(wǎng)設備的能源高效性。(3)uRLLC 場景要求業(yè)務在做到低時延和高可靠的同時要保證安全。例如，車聯(lián)網(wǎng)業(yè)務中既要保證高安全的通信，又要保證高級別的安全保護措施不能額外增加通信時延。

　　因此，高安全的 5G 網(wǎng)絡如果要實現(xiàn)超低時延，需要在端到端傳輸?shù)母鱾€環(huán)節(jié)進行一系列安全機制優(yōu)化，如優(yōu)化接入過程身份認證時延、優(yōu)化數(shù)據(jù)傳輸安全保護帶來的時延等。因此，IMT2020 認為：面對不同應用場景，5G網(wǎng)絡需要一個統(tǒng)一的、靈活的、可伸縮的網(wǎng)絡安全架構，來滿足不同應用的不同安全級別的需求，即5G 網(wǎng)絡需要一個統(tǒng)一的認證框架，以支持多種應用場景的網(wǎng)絡接入認證，如終端設備認證、簽約用戶認證、多種接入方式認證以及多種認證機制等。同時，5G 網(wǎng)絡應支持伸縮性需求，即在網(wǎng)絡橫向擴展時，需要及時啟動安全功能實例來滿足增加的安全需求，并且在網(wǎng)絡收斂時需要及時終止部分安全功能實例來達到節(jié)能的目的。另外，5G 網(wǎng)絡應支持按需部署的用戶面數(shù)據(jù)保護，即根據(jù) 3 大業(yè)務類型的不同，部署相應的安全保護機制。

　　以上各種安全需求經(jīng)過 3GPP 的 SA3 工作組歷 時 數(shù) 年 的 持 續(xù) 性 討 論 后， 于 2018 年 6 月 推 出了第一個正式涵蓋 5G 獨立組網(wǎng)模式的安全規(guī)范TS33.501，并一直持續(xù)更新。

　　2

　　相關標準提出的安全性保障方法

　　與 LTE 偏向 2C 領域不同，5G 移動通信技術的適用范圍從 2C 演進拓展至 2B 領域。3GPP 針對已知的 LTE 協(xié)議漏洞付出了大量的努力，如在防范國際移動用戶標識符(International Mobile Subscriber Identity，IMSI)捕獲器 Stingrays 這一方面。因此，3GPP TS33.501[6] 一方面在 5G 標 準中新引入了用戶 永 久 標 識 符(Subscriber Permanent Identifier，SUPI) 和 用 戶 隱 藏 標 識 符(Subscriber ConcealedIdentifier，SUCI)的概念，并且在 5G 規(guī)范中引入了 基 于 公 鑰 基 礎 設 施(Public Key Infrastructure，PKI)的安全體系結構，允許驗證和鑒別源自 5G 核心網(wǎng)的控制面消息(Control Plane Messages)。另一方面，5G 畢竟有不同于 LTE 的架構和技術特征，為此，TS33.501 重新描述了商用 5G 網(wǎng)絡的安全架構，涵蓋了對終端、基站、關鍵網(wǎng)元的用戶面和控制面的機密性及完整性的要求，對密鑰派生結構的要求，對密碼算法及算法選擇的要求，對安全相關的服務接口(Service Based Interface，SBI)的要求，還有對終端與 5G 網(wǎng)絡之間的各種關鍵流程的安全性規(guī)定，如主認證、二次認證、非接入層(Non Access Stratum，NAS)握手等關鍵流程中的安全性機制，以及對安全可視化的要求等。這些要求囊括了商用 5G 網(wǎng)絡的方方面面。

　　總的來說，TS33.501 認為 5G 網(wǎng)絡應提供的安全性保障可以概括如下：(1)5G 移動網(wǎng)絡需要實現(xiàn)類似于 LTE 系統(tǒng)的安全架構，但需要解決一些 LTE 系統(tǒng)遺留的安全問題 ;(2)5G 移動網(wǎng)絡需要在建立信任和安全性方面較 LTE 系統(tǒng)有明顯的提升，以應對 5G 靈活、豐富的應用場景和急劇增多的參與角色，包括滿足垂直行業(yè)應用場景的要求。

　　但是，3GPP 對 5G 系統(tǒng)提出的安全性考慮是針對其提出的 3 種典型應用場景進行分析，能夠滿足一般商業(yè)主體的垂直行業(yè)用戶的安全需求，但對于某些安全性要求較高的垂直行業(yè)乃至特殊行業(yè)用戶的安全需求考慮仍不夠細致。

　　3

　　高安全垂直行業(yè)特殊安全問題

　　一些具有重要經(jīng)濟、社會和國家利益的垂直行業(yè)，例如關系國計民生的黨政軍組織機構，金融、能源、電力等行業(yè)，對安全性要求較高。在使用商用 5G 網(wǎng)絡承載自身敏感業(yè)務時，3GPP 標準所提供的安全機制就無法滿足上述領域或行業(yè)較高的安全需求，而且如果沿用 3GPP 標準不做改進，這些高安全需求用戶使用 5G 網(wǎng)絡的場景將大為受限。因此，這些領域對5G 網(wǎng)絡有新的安全性需求，具體如下文所述 。

　　3.1　網(wǎng)絡虛擬資源的安全

　　傳統(tǒng)網(wǎng)絡網(wǎng)元的保護很大程度上依賴于對物理設備的安全隔離，而 5G 將實現(xiàn)接入網(wǎng)與核心網(wǎng)的虛擬化，因此在網(wǎng)絡虛擬化基礎設施可信運行的前提下，還需要確保高安全垂直行業(yè)切片虛擬資源的受控使用與合規(guī)監(jiān)控。

　　3.2　網(wǎng)絡切片安全隔離

　　虛擬化環(huán)境下，攻擊者可以利用切片資源容量的彈性特性從一個切片發(fā)起向另一個切片的攻擊，消耗其他切片的資源，從而導致這些切片資源不足，也可以在非法接入一個切片之后，竊取該切片的信息。因此對于高安全垂直行業(yè)切片，在網(wǎng)絡資源隔離的基礎上還需要保證切片之間的安全隔離。

　　3.3　網(wǎng)絡切片安全能力定制

　　網(wǎng)絡切片需要為不同業(yè)務提供差異化的安全服務，需要解決切片內虛擬安全能力部署、切片安全管理、切片資源的受控合法使用等難題。

　　3.4　網(wǎng)絡切片接入的安全

　　用戶在網(wǎng)絡切片選擇過程中使用的隱私信息可能被攔截或監(jiān)聽，非授權的終端可能會進入網(wǎng)絡切片中消耗切片資源或竊取信息，不安全的接入可能導致不同類型的攻擊行為，因此必須保證終端與服務接入切片的安全性。

　　3.5　業(yè)務傳輸安全增強

　　基于對傳統(tǒng)移動公網(wǎng)的不信任，當前特殊行業(yè)采用了構建移動專網(wǎng)的方式滿足高安全業(yè)務的保障需求，這造成了大量重復建設和資源的浪費，因此急需在 5G 網(wǎng)絡開放環(huán)境和共享資源的條件下，從物理資源的分配和隔離、網(wǎng)絡切片安全防護、接入認證和授權、用戶行為監(jiān)控與審計等方面采取安全增強措施，為特殊行業(yè)高安全業(yè)務提供符合需要的安全保障。

　　3.6　切片安全運營管理

　　高安全行業(yè)用戶更希望能夠自己管理和維護高安全業(yè)務及其依賴的網(wǎng)絡資源，除了能夠更好地管理使用業(yè)務的用戶和業(yè)務產(chǎn)生的數(shù)據(jù)，更重要的是發(fā)生攻擊事件時，能夠迅速掌握情況，采取措施降低業(yè)務運行的風險。

　　3.7　用戶隱私保護

　　高安全行業(yè)移動業(yè)務將產(chǎn)生大量的敏感信息，傳統(tǒng) 2G、3G、4G 移動網(wǎng)絡分段式的安全機制存在信息泄露風險，再加上 5G 引入的虛擬化技術打破了原有通信實體的物理安全隔離優(yōu)勢，需要在 5G開放網(wǎng)絡環(huán)境之上，采取措施保證特殊行業(yè)用戶的隱私安全。

　　4

　　解決途徑及思路

　　為解決高安全行業(yè)的特殊需求，需要從網(wǎng)絡切片安全構建、安全隔離、安全訪問、安全資源服務化、業(yè)務安全傳輸、切片管理以及用戶隱私保護等角度進行針對性設計。

　　4.1　解決思路

　　本文提出一種通用的解決思路，針對具體的問題，可以在該思路下增加具體的技術途徑來進行安全增強，滿足高安全垂直行業(yè)特殊安全需求，解決思路如圖 1 所示。

　　通過利用 5G 網(wǎng)絡提供的服務編排接口和能力開放機制，高安全垂直行業(yè)可以將自己的需求，包括建設部署和運營管理要求、安全保密需求和要求、功能性能需求等，通過與運營商簽約，形成 一 系 列 強 制 性 約 束， 例 如 資 源 分 配 和 使 用 規(guī)范、安全保密協(xié)議和算法、建設部署模式和運營管理方式等。通過運營商的網(wǎng)絡功能虛擬化管理和編排器(Management and Network Orchestration，MANO)，形成專用切片模板。

　　利用 5G 網(wǎng)絡提供的服務編排接口和能力開放機制，高安全垂直行業(yè)還可以對模板的安全性進行深入的檢查：檢查是否使用指定的網(wǎng)絡計算存儲資源、物理基礎設施、轉發(fā)路徑，以及是否在需要的位置通過能力開放接口使用專用的安全保密服務等;通過切片實例化過程，將專用切片的資源進行實例化，高安全垂直行業(yè)對切片的實例化過程進行安全性檢查;在切片實例化并運行后，高安全垂直行業(yè)對切片使用的資源、安全服務等進行全面的符合性審查，確保專用切片滿足行業(yè)應用的相關需求和要求。

　　在專用切片的生成中，安全保密服務發(fā)揮著至關重要的作用：提供高安全垂直行業(yè)專用的安全服務，用以替換通用 5G 網(wǎng)絡中存在安全威脅或攻擊的協(xié)議、算法或基礎設施;在切片生成和編排過程中，提出對安全的要求和架構設計約束，對切片編排和實例化過程進行安全監(jiān)管和審計;在專用切片運行過程中，對切片的安全狀態(tài)進行監(jiān)控，并對切片的安全策略進行動態(tài)調整，及時發(fā)現(xiàn)各種威脅，確保專用切片全生命周期的安全。

　　4.2　技術途徑

　　針對前面提出的具體需求，在技術途徑上可以從兩個大的方面來實現(xiàn)：針對那些通過運營商提供的安全策略就可以滿足的特殊需求，主要通過切片的需求定制來形成專用的切片安全策略，從而形成與普通切片不一樣的差異化安全機制;對于運營商無法滿足的特殊需求，則可以通過能力開放平臺提供的服務嵌入，將垂直行業(yè)的專用安全服務通過第三方服務嵌入或服務編排的方式，將垂直行業(yè)的專用安全服務嵌入切片的運行邏輯和實例化中，從而利用行業(yè)的專用安全協(xié)議、算法或安全服務替換運營商提供的通用安全組件，解決行業(yè)的特殊安全問題。

　　4.2.1　需求定制

　　需求定制為垂直行業(yè)的差異化安全能力的定制提供了技術支撐，其目的在于使垂直行業(yè)的需求影響運營商的能力提供策略，主要是指特殊行業(yè)和一般的垂直行業(yè)用戶，以差異化需求(包括網(wǎng)絡能力需求、安全性需求)作為牽引，針對網(wǎng)絡資源編排與管理，特別是針對特殊行業(yè)用戶的安全能力需求，對運營商提要求，同時指導運營商為垂直行業(yè)和特殊行業(yè)用戶切割出特定邏輯資源，即劃分出專門網(wǎng)絡切片，為垂直行業(yè)提供差異化能力。

　　4.2.2　服務嵌入

　　服務嵌入的目的在于，運營商通過能力開放機制，以更靈活的方式讓垂直行業(yè)的第三方能力能夠嵌入5G 網(wǎng)絡切片的整體能力中。參與 5G 網(wǎng)絡切片的第三方能力主要包括第三方認證和專用安全服務嵌入等。

　　(1)第三方認證與授權服務功能

　　在傳統(tǒng)移動通信網(wǎng)絡中，運營商會采用基于認證和密鑰協(xié)商(Authentication and Key Agreement，AKA)的雙向認證和密鑰協(xié)商機制，實現(xiàn)對用戶設備附著網(wǎng)絡的第一次雙向認證以及密鑰分發(fā)。為了支持垂直行業(yè)的差異化需求，5G 為垂直行業(yè)提供基于 AKA 的普適性以及切片內基于第三方定制性的兩種靈活組合機制的認證與授權服務功能：一是，用戶設備的認證與授權都基于運營商，而第三方進行二次認證，并提供額外的授權信息;二是，用戶設備的認證與授權都基于第三方完成。這兩種模式可以作為高安全垂直行業(yè)自己控制的認證和授權方法，實現(xiàn)對接入用戶和用戶行為的強控制，滿足行業(yè)特殊的用戶接入安全要求。

　　(2)第三方專用安全服務嵌入

　　Architecture5G 以服務為核心的服務化架構(Service Based ，SBA[10])為第三方服務參與 5G 網(wǎng)絡切片的功能定制帶來了契機，因此特殊行業(yè)安全功能也能夠通過這種模式加入 5G 網(wǎng)絡切片的功能集成中。在 SBA 架構下，作為第三方能力的安全服務功能可以通過標準的總線接口掛接到服務總線上，也可以開發(fā)包含專用算法或協(xié)議的第三方專用標準網(wǎng)元，例如專用鑒權服務器功能(Authentication Server Function，AUSF)。此外，通過服務編排，可以實現(xiàn)第三方安全服務的透明融入，還可以通過合理設計編排，增加行業(yè)專用的安全服務功能，例如隱私保護、切片安全接入、切片安全能力定制等，從而達到專用安全的目的。

　　5

　　結　語

　　5G 移動通信系統(tǒng)需要滿足千倍流量增長、降低時延、海量設備連接的網(wǎng)絡發(fā)展需要，需要支持異構網(wǎng)絡融合和增強移動寬帶、高可靠低時延以及低功耗大連接等應用場景，需要為物聯(lián)網(wǎng)(Internet of Things，IoT)、垂直行業(yè)應用提供差異化的服務。服務于垂直行業(yè)的需要是 5G 標準開發(fā)的最重要目標之一，為此 5G 在無線傳輸和網(wǎng)絡方面進行大量創(chuàng)新，引入了 SBA 架構、網(wǎng)絡切片、能力開放等大量新技術或新特性，最大限度滿足垂直行業(yè)的差異化要求。本文對垂直行業(yè)安全性的差異化要求進行了研究，在利用 5G 自身提供的能力基礎上，提出了滿足行業(yè)專用安全性要求的一般性解決途徑，可以為垂直行業(yè) 5G 專用切片的構建提供參考借鑒。