邱 勤 冉 鹏 张 峰 王国宇

(中国移动通信集团有限公司 北京 100032)

(qiuqin@chinamobile.com)

1 安全需求

5G即第五代移动通信技术(5th generation mobile networks或5th generation wireless systems, 5th-Generation)，简称5G或5G技术，是继4G(LTE，LTE-A，WiMax)、3G(WCDMA，TDS-CDMA，CDMA2000)和2G(GSM)系统之后的延伸.5G引入了服务化架构(service based architecture, SBA)、软件定义网络(SDN)、网络功能虚拟化(NFV)、网络切片(network slicing)、多接入边缘计算(MEC)等新技术，具备高数据速率、低传输延迟和大规模设备连接等新特性,使得通信网络具备更加丰富的应用场景，从传统的人与人通信延伸覆盖到人与物、物与物之间的智能互联，是支撑数字经济发展和产业转型升级的关键基础设施[1].当前，我国已建成5G基站70余万个,成为全球规模最大的5G通信网络[2]，5G在工业、能源、交通、医疗等行业的应用也处于加速发展阶段，为各行业数字化转型、降本增效发挥重要作用.5G行业应用面临空口劫持、边缘节点入侵、切片越权访问、虚拟化网络设施隔离不当等复杂安全风险[3]，仅靠应用方自身开展安全防护往往孤木难支[4]，而且不能充分发挥5G网络自身的安全优势.网络提供方如何基于5G的网络切片、网络功能开放等技术为行业应用提供一站式、高效、灵活的安全服务能力成为业界关注的焦点[1].

5G行业应用的安全需求可大致分为网络通用、行业特有2类(如表1所示)，前者提供与行业特点松耦合的网络通用标准化安全能力，如接入安全认证、切片安全隔离等；后者从行业监管要求、业务特点出发，提供与行业紧耦合的综合解决方案，如5G智能电网安全解决方案、5G智慧港口安全解决方案等.

表1 典型的5G安全能力需求

2 技术标准

为满足5G行业应用差异化、多层次的安全需求，相关标准组织在网络基础架构、安全关键能力和服务接口等方面积极开展工作，推动5G安全保障和应用服务，保障5G安全的互信互任.其中3GPP[5]主要针对5G网络(系统、核心网、无线等)、5G业务安全认证、5G业务能力开放框架安全等方面规范了安全流程及机制；ITU针对通信即服务(CaaS)应用程序环境，提出身份欺诈、协调安全、多设备安全、反垃圾邮件、隐私保护、基础设施攻击、基础设施攻击、内部网攻击等方面的安全要求；GSMA基于网络切片，提供安全的必选特性和可选特性.

相关标准简介如表2所示:

表2 5G安全能力相关标准

3 安全服务参考模型

基于标准定义的5G服务化架构，5G网络在业务性能上具有动态按需、定制化、分级服务等级协议(service-level agreement, SLA)保障的特点.目前业界普遍认为5G网络与应用服务提供商应适应5G网络特点，构建可动态编排的安全服务架构，以满足不同行业差异化的网络安全需求.

在传统高中语文作文教学中，教师作为教学主体，学生只能被动接受。学生写好作文后，由教师一一审阅，教师虽是教学的引导者，但是教师作为一个个体，思想也有局限性，因此站在教师的角度和立场去评判所有学生的作文，未免太过片面，而不同的学生有不同的思想，不同思想的碰撞，会发出耀眼的光芒，所以应该开展学生之间的互相评审和自评，让学生在自评和互评的过程中认识自己的不足。通过学生的探讨，学习别人的长处，认识自己的短处，做到优势互补，共同进步。最后，教师和学生进行共同总结，为了以后更好地写作。

本文通过分层解耦5G网络安全能力，整合通用安全能力，提出基于微服务可动态编排的5G安全服务参考模型，如图1所示:

图1中安全运营模块完成客户运营管理、能力编排管理、数据统计等功能；5G网络安全能力模块包含切片认证、切片隔离、UPF防护、空口加密等网络原生安全能力，并适配3GPP等国际标准；通用安全能力模块包含数据识别、等保测评、DDoS防护等通用能力，该类能力对照关键基础设施管理要求和等保2.0等标准，重点满足网络安全保障、网络安全事件应急、数据安全保护等安全监管要求.在部署方式上，该模型采用分布式技术承载安全知识库、威胁情报库等知识库，以热拔插方式引入通用安全能力，形成5G应用与数据安全能力池，并通过API+SaaS灵活扩展微服务化的5G内生安全能力和通用安全能力，为行业客户提供可定制化、差异化的安全服务.

3.1 5G网络安全能力

3.1.1 多层次鉴权认证能力

5G提供双向鉴权认证机制，既可防止虚假终端或用户接入网络，也可防止终端或用户接入虚假网络；支持网络切片认证机制，即在用户接入网络并完成认证之后，为接入特定业务建立数据通道而进行的认证；同时支持通过二次认证实现外部数据网络的AAA服务器对与其有签约关系的终端进行认证，根据认证是否成功来决定该终端是否被允许接入上述业务系统.

3.1.2 端到端网络切片隔离能力

基于纵深防御理念，提供从接入网、传输网、核心网的端到端网络切片隔离微服务能力.其中在接入网侧，通过物理资源承载(physical resource bearer, PRB)独享、数据资源承载(data resource bearer, DRB)共享等方式提供切片服务；在传输网侧，通过VLAN/VPN,FlexE等技术提供软/硬隔离服务；在核心网侧，对不同切片提供独享硬件资源，对切片内不同业务提供虚拟机区分的逻辑隔离.

3.1.3 基于MEC的数据安全防护能力

针对越来越多的行业客户对业务数据不出园区的安全要求，提供基于MEC的从终端到业务系统的端到端数据安全防护手段，确保仅合法终端接入，建立数据加密传输安全通道，保障MEP(边缘计算平台)自身数据安全.

3.2 通用安全能力

基于运营商增值业务体系，通过网络切片，MEC为客户提供安全服务能力，主要包括：

1) 在网络侧部署安全设备或者安全功能模块.通过流调度的方式让特定应用流量依次经过这些安全模块，提供纵深防御.比如，运营商网络可以为切片应用的入站流量依次提供抗DDoS攻击、基于防火墙的访问控制、IPS、WAF等功能.

2) 在资源丰富的MEC侧部署安全资源池.通过安全能力资源池与MEC节点的UPF或网关设备对接以及策略路由或SDN方式实现对MEC本地流量及互联网流量的安全检测.运营商可提供防火墙、WAF、抗DDoS、系统漏扫、Web漏扫、物联网卡风险监测、不良信息监控等开放安全能力.

4 面向垂直行业的安全实践

4.1 业务背景

引入5G对港口进行高速、无线化改造，提供网络切片、MEC下沉等网络服务，对作业区域内设备信息、物流信息、运转过程信息等进行数据采集、监控和智能化分析.该应用安全要求高，需防范网络攻击、非法用户访问业务、信息泄露等风险，要求5G网络运营商同步提供按需定制的安全服务，如图2所示:

图2 智慧港口5G安全服务能力集

4.2 安全能力供给

基于5G安全服务参考模型，运营商分别通过API，SaaS微服务方式向智慧港口行业提供定制化的安全服务.运营商的网络安全能力(如网络接入认证、二次认证等)由网络开放功能NEF(network exposure function)以API方式提供给智慧港口行业应用开发者，应用开发者可在业务逻辑中按需调用.同时，在MEC侧部署安全设备资源池(如：抗DDoS设备、IPS、WAF等)方式，基于软件定义安全SDSec的理念，通过软件编程方式调配安全设备资源，实现灵活的通用安全能力微服务化.

4.2.1 无线接入认证

开启5G CPE和基站之间无线空口的机密性和完整性保护，CPE开启和配置MAC/IP接入白名单，防止虚假终端接入CPE,支持网络连接防火墙，使连接CPE的港区龙门吊、摄像头等在享受网络服务同时，控制网络访问权限.使用SUPI加密方式进行网络鉴权，可有效防止终端/用户标识ID泄露；对网络切片接入场景，在安全上下文建立后5G可对切片选择信息进行加密保护，防止切片选择信息泄露.

4.2.2 MEC安全防护

根据港口业务场景，MEC需下沉至园区机房.针对MEP进行安全加固，加强MEP管理安全、数据存储和传输安全，引入可信计算技术，从系统启动到上层应用逐级验证，构建可信MEP.MEC同时连接港口业务网络、运营商核心网，采用边界防御、内外部认证、隔离与加密等防护技术做好安全隔离.保障APP安全性，提供APP安全评估服务.通过软件编程方式调配MEC侧部署的安全资源池，并通过资源池与UPF或网关设备对接以及策略路由或SDN方式实现对MEC本地流量及互联网流量的安全检测.

4.2.3 网络切片隔离

5G可为港口终端或用户提供接入切片的认证，保障按终端请求及切片选择辅助信息NSSAI接入授权切片；同时5G可对NSSAI提供隐私保护，保证合法用户终端接入合法切片，并对非目标终端和网络设备屏蔽相关信息.可为敏感数据开启数据机密性、完整性保护机制，根据用户需求，可以在终端与基站间、基站与AMF网元间、基站与UPF间、UPF与电力监控系统间开启IPsec加密机制.

4.2.4 安全运营

基于运营商专业的安全咨询服务，协助港口用户建立安全应急体系，完善网络安全应急预案.协助开展实战型网络安全应急演练，提升网络安全事件应急快速响应能力，降低网络非正常运行对公共安全、港口业务的影响.

基于运营商专业的安全测评服务，针对港口终端、业务系统，提供安全测评服务，如：等保定级评估、等级保护能力评测、恶意代码检测、安全配置核查、安全加固、补丁升级等.

5 总 结

5G网络在赋能千行百业的同时，也面临关键基础设施保护、垂直行业融合应用安全等新挑战：一方面，国家主管部门对5G等关键信息基础设施保护提出加快构建网络安全保障体系[6]、全面加强网络安全检查、建立健全网络安全事件应急工作机制、提高应对网络安全事件的能力等要求；另一方面，不同行业对5G应用模式和安全需求差异较大，5G与制造、能源、交通等行业融合后面临的安全风险更为复杂，需要运营商和专业安全机构提供符合5G特点的差异化安全服务保障能力.基于3GPP等标准定义的5G网络及安全能力开放关键技术，不仅可以保障5G安全的互信互任，同时可以将运营商网络的业务能力、网络能力以及安全能力安全可靠地开放给第三方应用，使其按照各自的需求设计定制化的业务应用[7].

本文从5G安全需求和标准基础出发，分析了5G网络安全能力、通用安全能力，提出了基于微服务可动态编排的安全服务模型，介绍了该模型在5G智慧港口应用中的实践情况，具有快速实现、按需定制、分级防护的特点，为发挥5G安全优势，保障行业应用健康发展提供技术、方案和实践参考.