5G網(wǎng)絡(luò)切片安全技術(shù)與發(fā)展分析

袁琦

【摘 ?要】介紹了5G網(wǎng)絡(luò)切片的概念和技術(shù)架構(gòu)，然后分析了5G網(wǎng)絡(luò)切片面臨的安全威脅，研究了5G網(wǎng)絡(luò)在自身切片安全、虛擬化安全方面的安全技術(shù)，探討了5G網(wǎng)絡(luò)切片安全的標(biāo)準(zhǔn)化進(jìn)展，最后提出了5G網(wǎng)絡(luò)切片安全的發(fā)展建議。

【關(guān)鍵詞】5G網(wǎng)絡(luò)切片;切片安全;虛擬化安全

1 ? 引言

隨著5G商用時代的到來，5G支持的新業(yè)務(wù)將進(jìn)入人們的生活和社會活動中。5G支持的三大應(yīng)用場景為：eMBB，例如VR業(yè)務(wù);uRLLC，例如無人駕駛等業(yè)務(wù);mMTC則針對大規(guī)模物聯(lián)網(wǎng)業(yè)務(wù)。5G網(wǎng)絡(luò)切片技術(shù)為5G應(yīng)用的開展提供了良好的網(wǎng)絡(luò)基礎(chǔ)和資源，它能將5G物理網(wǎng)絡(luò)劃分為多個虛擬網(wǎng)絡(luò)，每一個虛擬網(wǎng)絡(luò)根據(jù)不同的服務(wù)需求（如時延、帶寬、安全性和可靠性等）來劃分，靈活地應(yīng)對不同的網(wǎng)絡(luò)應(yīng)用場景，使能不同垂直行業(yè)的業(yè)務(wù)發(fā)展。

5G新技術(shù)將進(jìn)一步促進(jìn)產(chǎn)業(yè)型互聯(lián)網(wǎng)的發(fā)展，未來將更多地應(yīng)用在物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域中，這些領(lǐng)域都對網(wǎng)絡(luò)和信息安全提出了很高的需求，要求底層的5G網(wǎng)絡(luò)能夠提供良好的安全支持和保障，其中的5G網(wǎng)絡(luò)切片安全顯得尤為重要。

目前5G網(wǎng)絡(luò)切片安全是業(yè)界研究的熱點，國內(nèi)外設(shè)備制造商都在研究5G網(wǎng)絡(luò)切片安全技術(shù)解決方案，運營商在積極進(jìn)行5G網(wǎng)絡(luò)切片安全的試點試驗，國際標(biāo)準(zhǔn)組織3GPP和國內(nèi)標(biāo)準(zhǔn)組織CCSA也正在制定相關(guān)標(biāo)準(zhǔn)。本文將對5G網(wǎng)絡(luò)切片面臨的安全威脅、采用的安全技術(shù)以及安全發(fā)展情況進(jìn)行研究。

2 ? 5G網(wǎng)絡(luò)切片技術(shù)架構(gòu)

5G網(wǎng)絡(luò)切片允許運營商為特定用戶提供定制網(wǎng)絡(luò)，根據(jù)優(yōu)先級、計費、策略控制、安全和移動性等提供不同的功能要求，根據(jù)時延、移動性、可靠性和速率等提供不同的性能要求。一個5G網(wǎng)絡(luò)切片需要提供一個完整網(wǎng)絡(luò)的功能，包括接入網(wǎng)功能和核心網(wǎng)功能。一個網(wǎng)絡(luò)可能支持一個或多個網(wǎng)絡(luò)切片。

5G網(wǎng)絡(luò)通過引入網(wǎng)絡(luò)功能虛擬化（NFV）技術(shù)和軟件定義網(wǎng)絡(luò)（SDN）架構(gòu)，實現(xiàn)了切片化，5G網(wǎng)絡(luò)切片技術(shù)架構(gòu)如圖1所示。在5G網(wǎng)絡(luò)切片管理架構(gòu)中，網(wǎng)絡(luò)功能以虛擬化網(wǎng)絡(luò)功能VNF的方式運行在基礎(chǔ)設(shè)施平臺NFVI上，NFVI中虛擬機之間的連接使用SDN進(jìn)行配置。虛擬網(wǎng)絡(luò)功能（VNF）構(gòu)成了網(wǎng)絡(luò)切片的重要組成部分，使用NFV MANO提供的管理界面進(jìn)行網(wǎng)絡(luò)服務(wù)的生命周期管理、VNF的生命周期管理、支撐VNF虛擬資源的性能管理、故障管理和配置管理。

5G網(wǎng)絡(luò)切片的引入給網(wǎng)絡(luò)帶來了極大的靈活性，主要體現(xiàn)在切片可按需定制、實時部署、動態(tài)保障。為了實現(xiàn)這些功能，對于上層業(yè)務(wù)由VNF形成的每個切片實例，需要引入專門的管理網(wǎng)元CSMF/NSMF/NSSMF來實現(xiàn)切片實例的全生命周期管理，包含設(shè)計、實例化、配置、激活、運行、終結(jié)（去激活）階段。端到端切片的實現(xiàn)不僅需要端對端的管理，還需要從物理層到資源層到切片層到應(yīng)用層跨各層次的關(guān)聯(lián)管理。

3 ? 5G網(wǎng)絡(luò)切片安全威脅

根據(jù)5G網(wǎng)絡(luò)切片架構(gòu)，5G網(wǎng)絡(luò)切片依靠底層的虛擬化網(wǎng)絡(luò)功能設(shè)施，為特定用戶按需提供網(wǎng)絡(luò)切片服務(wù)，因此5G網(wǎng)絡(luò)切片安全威脅主要在于網(wǎng)絡(luò)切片自身以及網(wǎng)絡(luò)虛擬化帶來的安全威脅。

3.1 ?5G網(wǎng)絡(luò)切片自身的安全威脅

5G網(wǎng)絡(luò)切片是5G網(wǎng)絡(luò)最重要的特性之一，提供靈活快速的按需定制網(wǎng)絡(luò)能力，5G靈活的網(wǎng)絡(luò)切片機制會帶來新的安全威脅。

（1）切片間的信息泄露、干擾和攻擊

當(dāng)用戶訪問多個網(wǎng)絡(luò)切片時，切片間的數(shù)據(jù)信息機密性和完整性可能受到攻擊，如果網(wǎng)絡(luò)切片間出現(xiàn)了信息泄露，則會造成網(wǎng)絡(luò)數(shù)據(jù)和用戶數(shù)據(jù)的泄露。另外，攻擊者在訪問一個切片時，可能消耗其他切片的資源，導(dǎo)致資源不足，可能會對其他切片發(fā)起DoS攻擊。切片間的信息泄露、干擾和攻擊等就要求為網(wǎng)絡(luò)切片配置相應(yīng)的安全機制，以限制數(shù)據(jù)信息在切片間的流動。

（2）切片的非授權(quán)訪問

非法用戶對切片進(jìn)行違法操作或者合法用戶以未授權(quán)的方式對切片進(jìn)行操作，都會造成對切片的非授權(quán)訪問，從而影響切片的合法接入，用戶無法正常進(jìn)行通信，或者數(shù)據(jù)信息被攔截、竊聽等。

（3）切片間的通信安全

當(dāng)網(wǎng)絡(luò)切片實現(xiàn)專用網(wǎng)絡(luò)功能時，切片間通信是不可避免的。不同網(wǎng)絡(luò)切片之間、RAN網(wǎng)絡(luò)切片和核心網(wǎng)絡(luò)切片之間都需要進(jìn)行通信。在所有網(wǎng)間切片通信中，網(wǎng)絡(luò)切片之間的接口可能受到攻擊，破壞了網(wǎng)絡(luò)切片的機密性和完整性，導(dǎo)致網(wǎng)絡(luò)切片無法正常工作。

（4）與第三方交互的安全

網(wǎng)絡(luò)切片為授權(quán)的第三方提供通過合適的API創(chuàng)建和管理網(wǎng)絡(luò)切片配置的能力，通過API可以獲取切片信息，并通過API請求對切片的管理，攻擊者可能利用第三方的API對切片發(fā)起攻擊，非法獲取切片的數(shù)據(jù)信息或者影響切片的正常通信功能。

3.2 ?5G網(wǎng)絡(luò)虛擬化安全威脅

5G網(wǎng)絡(luò)的虛擬化為5G網(wǎng)絡(luò)切片實施提供了技術(shù)基礎(chǔ)，實現(xiàn)了5G網(wǎng)絡(luò)靈活性和彈性等特點，5G網(wǎng)絡(luò)切片部署由于引進(jìn)虛擬化技術(shù)而產(chǎn)生了安全問題。

（1）VNF安全威脅

在5G虛擬網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理和編排系統(tǒng)會根據(jù)業(yè)務(wù)需要創(chuàng)建、刪除和更新虛擬化網(wǎng)元功能（VNF），實現(xiàn)對VNF的生命周期的管理。在VNF生命周期各個階段存在不同的安全威脅。在VNF軟件包管理中，非法訪問、篡改、刪除VNF軟件包及相關(guān)模板。在VNF實例初始化時，篡改VNF軟件包及相關(guān)模板導(dǎo)致實例化一個非法的VNF，或者非法執(zhí)行VNF實例。在VNF實例管理時非法獲取VNF實例狀態(tài)、資源使用情況。VNF彈性伸縮，會篡改VNF彈性伸縮閾值條件，消耗業(yè)務(wù)運行需要的資源。在VNF實例更新時，非法發(fā)起VNF更新流程，篡改更新軟件包。在VNF實例終止時，非法終止VNF實例，獲取VNF實例敏感數(shù)據(jù)信息。

（2）NFVI安全威脅

NFVI的安全威脅可以分為虛擬機、硬件資源、基礎(chǔ)網(wǎng)絡(luò)安全威脅三個方面。虛擬機面臨的安全威脅來自于虛擬機逃逸、虛擬機間嗅探、虛擬機被濫用、虛擬機鏡像文件或自身防護不足、Hypervisor軟件漏洞等方面。硬件資源的安全威脅主要存在于網(wǎng)絡(luò)使用的高性能服務(wù)器和大容量存儲的硬件資源集合帶來的安全威脅，例如遭受DoS/DDoS、蠕蟲、病毒、物理設(shè)備被偷竊等。基礎(chǔ)網(wǎng)絡(luò)的安全威脅主要由于SDN的引入導(dǎo)致的網(wǎng)絡(luò)動態(tài)化產(chǎn)生的新的安全威脅，例如安全漏洞、向節(jié)點或控制器發(fā)起Dos攻擊、開放接口濫用等。

（3）MANO安全威脅

◆MANO實體共有的安全威脅。利用MANO實體的自身漏洞進(jìn)行攻擊，或者遭受外界的病毒蠕蟲攻擊，對MANO存儲內(nèi)容進(jìn)行篡改或非法訪問等。

◆MANO實體獨有的安全威脅。NFVO遭受DDoS攻擊，例如攻擊者控制多個VNF，不停地向NFVO上報告警信息，導(dǎo)致NFVO處理能力下降等。由虛擬機安全引發(fā)的虛擬機逃逸、虛擬機隔離失敗等安全威脅。

◆MANO實體間交互安全威脅。通信內(nèi)容被篡改、竊聽或攔截，例如攻擊者以獲取資源調(diào)度優(yōu)先級為目的，通過篡改VNF上報給NFVO/VNFM的網(wǎng)絡(luò)動態(tài)監(jiān)測和統(tǒng)計數(shù)據(jù)，以獲取非授權(quán)/高質(zhì)量的虛擬化資源。還有MANO實體間交互可能存在中間人攻擊。

◆MANO管理的安全威脅。MANO管理在權(quán)限、日志、賬號口令等方面存在冒用、越權(quán)、非法操作等問題。

4 ? 5G網(wǎng)絡(luò)切片安全技術(shù)

為了防范5G網(wǎng)絡(luò)切片的安全威脅，5G網(wǎng)絡(luò)切片應(yīng)在5G網(wǎng)絡(luò)切片自身安全和5G網(wǎng)絡(luò)虛擬化安全兩方面強化技術(shù)手段，保障5G網(wǎng)絡(luò)切片安全。

4.1 ?5G網(wǎng)絡(luò)切片自身安全技術(shù)

（1）切片隔離

根據(jù)網(wǎng)絡(luò)切片要求的定義功能，基于簽約數(shù)據(jù)、網(wǎng)絡(luò)策略和能力用戶分配到網(wǎng)絡(luò)切片的不同實例中，每個切片應(yīng)該具有獨立的安全策略，以穩(wěn)固的方式相互隔離。當(dāng)單個用戶通過多個網(wǎng)絡(luò)切片訪問服務(wù)時，要提供切片間的安全隔離。網(wǎng)絡(luò)切片安全隔離需要考慮網(wǎng)絡(luò)切片實例的標(biāo)識、切片選擇和漫游場景，應(yīng)確保網(wǎng)絡(luò)切片實例資源不會相互影響。

（2）切片接入認(rèn)證

為了確保能夠為用戶正確選擇和訪問切片，將合適的網(wǎng)絡(luò)切片分配給適當(dāng)?shù)暮灱s用戶，要保證切片的接入認(rèn)證安全。當(dāng)用戶接入切片時，對切片進(jìn)行注冊，通過切片訪問控制保證用戶接入正確切片，通過會話機制防止用戶的未授權(quán)訪問。在切片選擇過程中，提供交互消息的真實性、完整性和機密性的能力。

（3）安全機制的差異化

5G網(wǎng)絡(luò)切片應(yīng)支持在認(rèn)證方法、憑證類型、用戶存儲庫、控制策略和安全策略方面的安全機制差異化。安全策略可能包括隔離策略、加密算法、完整性保護算法、密鑰長度以及密鑰到期策略。應(yīng)為每個網(wǎng)絡(luò)切片定義不同的訪問安全機制以及會話安全機制。

（4）切片的通信安全

根據(jù)網(wǎng)絡(luò)切片功能的敏感級別和網(wǎng)絡(luò)租戶的需求，對網(wǎng)間切片接口和通信進(jìn)行保護。在切片和外部網(wǎng)絡(luò)進(jìn)行通信時，切片內(nèi)VNF與外部網(wǎng)絡(luò)VNF之間相互進(jìn)行認(rèn)證，設(shè)置允許VNF之間訪問的白名單防止非法通信，且設(shè)置訪問頻率監(jiān)控，防止DoS/DDoS攻擊。在不同切片間通信時，切片間在管理層通過分權(quán)分域?qū)崿F(xiàn)切片管理和編排隔離，通過在網(wǎng)絡(luò)層劃分VLAN實現(xiàn)切片之間的邏輯安全隔離，通過硬件資源的物理隔離保證一個切片的異常不會影響其他切片功能，切片之間通過加密隧道保證通信安全。在切片內(nèi)VNF之間進(jìn)行通信時，VNF之間進(jìn)行相互認(rèn)證保證通信雙方可信，VNF之間建立加密隧道保證通信安全。

（5）與第三方用戶交互的安全

第三方垂直行業(yè)用戶應(yīng)通過標(biāo)準(zhǔn)化服務(wù)接口訪問網(wǎng)絡(luò)切片服務(wù)，必須對用戶使用TLS執(zhí)行雙向認(rèn)證，在雙向認(rèn)證之后采用OAuth的授權(quán)機制對發(fā)送的服務(wù)請求進(jìn)行授權(quán)，并通過TLS方式提供接口之間的完整性保護、抗重放保護和機密性保護。

4.2 ?5G網(wǎng)絡(luò)虛擬化安全技術(shù)

（1）VNF安全

在VNF生命周期各個階段對VNF提出了安全技術(shù)要求。在對VNF軟件包進(jìn)行安全管理時，例如上載前、實例化以及更新時進(jìn)行完整性驗證;在VNF實例化、實例管理、VNF彈性伸縮、實例終止過程中對VNF進(jìn)行訪問控制，例如認(rèn)證和權(quán)限驗證;VNF實例終止時需徹底清除VNF實例所占用的虛擬內(nèi)存以及存儲資源上的信息。

（2）NFVI安全

虛擬機的安全要求主要包括虛擬機系統(tǒng)安全加固和防護、系統(tǒng)訪問控制和完整性驗證、Hypervisor安全等方面。硬件資源安全要求包括通用服務(wù)器和存儲硬件資源的安全，物理主機應(yīng)具備防病毒、防入侵的要求，硬件資源所處的環(huán)境需要具備物理安全要求，如機房環(huán)境安全、防盜等。基礎(chǔ)網(wǎng)絡(luò)安全要求包括SDN控制器安全、轉(zhuǎn)發(fā)層安全、南北向API安全等，SDN控制器安全要具備防DDOS攻擊、訪問控制、日志分析、安全加固等，轉(zhuǎn)發(fā)層安全保證路由協(xié)議安全、抑制DDOS攻擊等，南北向API安全要采用雙向認(rèn)證、啟動SSL等安全傳輸協(xié)議保證加密和完整性保護。

（3）MANO安全

MANO實體在安全方面應(yīng)防止非法訪問、敏感信息泄露;安裝防病毒軟件，定期檢查查殺病毒以及升級病毒庫;進(jìn)行安全加固，實現(xiàn)安全服務(wù)最小化原則、最小影響原則。MANO實體（如NFVO）需防DDoS攻擊，當(dāng)實體運行在虛擬機上時，需要保證虛擬機的安全隔離。MANO實體間交互時通信內(nèi)容需受到機密性和完整性保護，實體間雙向認(rèn)證。MANO的安全管理在權(quán)限、日志、賬號口令等方面提出授權(quán)、審計和合理設(shè)置的要求。

5 ? 5G網(wǎng)絡(luò)切片安全標(biāo)準(zhǔn)進(jìn)展

5.1 ?國際標(biāo)準(zhǔn)進(jìn)展

5G網(wǎng)絡(luò)切片安全標(biāo)準(zhǔn)化工作主要在3GPP SA3開展。在Rel-14階段，3GPP SA3在TR 33.899中對網(wǎng)絡(luò)切片進(jìn)行了研究，主要集中在切片隔離、網(wǎng)絡(luò)切片安全機制差異化、接入安全、切片通信安全等方面。

在Rel-15階段，2017年3月3GPP SA3開始進(jìn)行TS 33.501標(biāo)準(zhǔn)制定工作，其中對網(wǎng)絡(luò)切片管理提出了技術(shù)要求，規(guī)定了TLS執(zhí)行雙向認(rèn)證，采用OAuth的授權(quán)機制進(jìn)行授權(quán)，采用TLS方式提供接口之間的安全等。

在Rel-16階段，2018年10月3GPP SA3開始TR 33.813的研究工作，增強的網(wǎng)絡(luò)切片安全主要對前階段遺留的開放性問題進(jìn)行了研究，包括接入特定網(wǎng)絡(luò)切片的認(rèn)證、密鑰隔離、NSaas安全功能以及安全隱私。

ETSI在NFV下專門成立了安全子組對NFV安全進(jìn)行深入研究，目前已經(jīng)在敏感NFV組件的執(zhí)行架構(gòu)、NFV安全管理和監(jiān)視、MANO組件和接口安全、NFV安全增強架構(gòu)等方面進(jìn)行了標(biāo)準(zhǔn)規(guī)定。ONF和ITU-T在SDN安全方面也進(jìn)行了相關(guān)的標(biāo)準(zhǔn)化工作。

5.2 ?國內(nèi)標(biāo)準(zhǔn)進(jìn)展

5G安全國內(nèi)標(biāo)準(zhǔn)推進(jìn)主要由中國通信標(biāo)準(zhǔn)化協(xié)會TC5 WG5組織開展。2019年4月開始開展5G網(wǎng)絡(luò)切片安全項目的研究。2019年8月完成了5G移動通信網(wǎng)安全技術(shù)要求標(biāo)準(zhǔn)制定工作，其中對網(wǎng)絡(luò)切片安全管理要求進(jìn)行了規(guī)定，包括雙向認(rèn)證、管理服務(wù)生產(chǎn)者與使用者之間管理交互的安全保護、管理服務(wù)請求消息的授權(quán)驗證等。同時2019年8月啟動了5G網(wǎng)絡(luò)切片安全技術(shù)要求的立項，計劃2020年底完成。

6 ? 5G網(wǎng)絡(luò)切片安全發(fā)展

5G網(wǎng)絡(luò)切片作為5G網(wǎng)絡(luò)的關(guān)鍵技術(shù)，目前5G端到端網(wǎng)絡(luò)切片及安全技術(shù)還在試驗驗證和應(yīng)用示范過程中，中國移動、中國電信、中國聯(lián)通都未進(jìn)入商用階段。5G網(wǎng)絡(luò)切片及安全技術(shù)標(biāo)準(zhǔn)還不夠完善，切片安全增強的方案還在研究當(dāng)中，還需要進(jìn)一步標(biāo)準(zhǔn)化。另外，面對垂直行業(yè)的不同應(yīng)用場景和需求，例如工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、遠(yuǎn)程醫(yī)療等，要制定合理的5G網(wǎng)絡(luò)切片安全解決方案。針對上述問題對5G網(wǎng)絡(luò)切片安全的發(fā)展提出了以下建議：

（1）推動5G網(wǎng)絡(luò)切片安全的標(biāo)準(zhǔn)制定工作，包括安全功能、安全級別、安全測評等，建立一套有約束力和公信力的安全標(biāo)準(zhǔn)，推動5G網(wǎng)絡(luò)切片安全的技術(shù)研發(fā)、設(shè)備研制，為垂直行業(yè)的應(yīng)用提供參考。

（2）加強5G網(wǎng)絡(luò)切片安全建設(shè)，加大相關(guān)5G安全建設(shè)的投入。在5G網(wǎng)絡(luò)設(shè)計、部署過程中要充分考慮5G切片安全技術(shù)，例如認(rèn)證、隔離等，建設(shè)相關(guān)動態(tài)感知、風(fēng)險監(jiān)測和預(yù)警的技術(shù)手段，提高5G網(wǎng)絡(luò)切片安全防護水平。

（3）開展5G網(wǎng)絡(luò)切片安全的試點示范，并逐步擴大在垂直行業(yè)的應(yīng)用，促進(jìn)技術(shù)產(chǎn)業(yè)成熟。通過試點示范，進(jìn)一步明確5G網(wǎng)絡(luò)切片安全技術(shù)的適用場景，推動5G網(wǎng)絡(luò)切片安全技術(shù)的發(fā)展。

7 ? 結(jié)束語

本文主要分析了5G網(wǎng)絡(luò)切片面臨的安全威脅，研究了5G網(wǎng)絡(luò)切片安全技術(shù)，闡述了5G網(wǎng)絡(luò)切片安全標(biāo)準(zhǔn)進(jìn)展，針對5G網(wǎng)絡(luò)切片存在的問題提出了相關(guān)發(fā)展建議。隨著5G網(wǎng)絡(luò)切片安全標(biāo)準(zhǔn)的完善、5G網(wǎng)絡(luò)切片安全試點示范的深入推進(jìn)，5G端到端網(wǎng)絡(luò)切片及安全技術(shù)將逐步成熟，5G網(wǎng)絡(luò)切片安全將更好地為垂直行業(yè)服務(wù)，為構(gòu)建安全的5G應(yīng)用生態(tài)奠定良好的基礎(chǔ)。

參考文獻(xiàn)：

[1] IMT-2020. 5G網(wǎng)絡(luò)安全需求與架構(gòu)（白皮書）[EB/OL]. （2017-06-12）[2019-09-19]. http：//www.caict.ac.cn/kxyj/qwfb/bps/index_6.htm.

[2] 3GPP. 3GPP TR 33.899： Study on the security aspects of the next generation system[R/OL]. [2019-01-13]. https：//portal.3gpp.org.

[3] 3GPP. 3GPP TS 33.501： Security architecture and procedures for 5G system[S/OL]. [2019-06-13]. https：//portal.3gpp.org.

[4] 3GPP. 3GPP TR 33.813： Study on security aspects of network slicing enhancement[R/OL]. [2019-07-09]. https：//portal.3gpp.org.