5G網絡切片安全技術研究

周巍

【摘 ?要】根據網絡切片的技術特點給出了網絡切片在安全方面的關鍵需求，并據此提出了兩種解決方案。一種是基于網絡部署方案實現切片安全分級保護，另一種是基于密碼技術對切片內用戶面數據提供保護。最后介紹了3GPP當前支持的網絡切片安全能力。

【關鍵詞】5G安全;網絡切片;通信安全;認證授權

1 ? 引言

網絡切片是5G系統的一個重要新特性。5G網絡充分利用與SDN/NFV虛擬化架構的融合，根據未來業務具體場景和需求提出了“網絡切片”的概念。每個網絡切片是一個相對獨立的網絡域，由支持特定用例的通信服務需求的邏輯網絡功能集合組成，具備各自的網絡資源和業務信息。5G網絡通過網絡切片機制來滿足不同的業務應用場景，實現靈活的資源編排和調度，適應業務快速上線。它使運營商能夠針對市場的各種業務需求創建定制化網絡能力，從而提供優化的通信解決方案。網絡切片能夠實現端到端的邏輯網絡劃分，按需配置網絡資源，有效降低運營商的網絡投資和運營成本，提高經濟效益。

目前5G網絡切片安全研究主要集中在兩個方面：一個是與3GPP網絡切片安全標準相關的研究工作;另一個是針對垂直行業租用運營商網絡切片后，如何滿足垂直行業對網絡安全的更高要求而展開的研究工作。前者主要關注切片隔離安全、切片認證、與切片相關的隱私保護和將切片管理能力開放給第三方時的安全。后者主要是基于垂直行業的實際需求以逐案處理的方式研究滿足具體個案安全需求的解決方案。

大唐移動通信設備有限公司全面參與了3GPP 5G標準化工作，主要是從標準化的角度研究網絡切片安全技術方案，重點是網絡切片隔離技術和切片內端到端數據安全技術，目的是更好地滿足垂直行業對網絡切片安全的需求，減少采用非標準化安全方案。

2 ? 5G網絡切片安全需求分析

網絡切片本質上就是將物理網絡分割成多個虛擬的端到端網絡，每個虛擬網絡在邏輯上都擁有獨立的網絡資源。運營商可以基于不同業務場景對通信服務的需求靈活地為每個切片配置相應的資源。然而，因為網絡切片并不是真正意義上獨立的網絡，切片之間的關聯不能完全避免，因而導致了一些新的安全威脅，例如切片間信息泄露、干擾和攻擊等。為應對網絡切片所面臨的威脅，本節歸納整理了一些與網絡切片相關的安全需求：

（1）網絡切片應提供有效的隔離機制，確保網絡切片內的資源不會互相影響，并將潛在的網絡攻擊限制在單個網絡切片內。

（2）網絡切片應能夠定義不同的安全性機制，以滿足網絡切片對安全的特定要求，例如針對物聯網應用的輕量級安全算法。

（3）網絡切片應能夠提供切片內認證和授權機制，防止非授權用戶訪問切片資源。

（4）網絡切片的管理功能只能提供給授權的第三方訪問，并且開放的管理功能應是在運營商的控制之下執行。

（5）切片認證和管理過程中應保護用戶的隱私。

3 ? 5G網絡切片部署方案

通過5G網絡切片技術，運營商可以靈活地實現各種網絡定制方案，滿足垂直行業在成本、性能和安全上對通信網絡的不同需求。為滿足垂直行業不同等級、不同領域應用對5G移動通信系統的特殊需求，可以通過網絡切片技術實現專用業務的分級和分域管理。基于專用業務切片編排，建設不同QoS和安全等級的網元，并將不同QoS和安全等級的網元設備構建為不同等級的業務鏈，實現各等級業務流在相應等級業務鏈上的承載，從而達到業務流的QoS需求和安全隔離需求。根據不同的成本要求、QoS需求和安全等級需求，運營商可以有如下四種可能的網絡切片部署方案：

（1）方案一：針對成本控制需求較高、QoS需求較低、安全性需求較低、應用靈活性需求較高的應用，可以基于公網業務平臺生成行業定制業務模板，利用公網網元生成專用網絡切片，實現行業定制業務。

（2）方案二：針對成本控制需求較低、QoS需求較高、安全等級需求較高、應用靈活性需求一般的應用，可部署專用應用和業務支撐系統，并基于公網接入平面與轉發平面基礎設施生成行業定制業務模板，與公網應用形成相對獨立的專用網絡切片，實現行業定制業務。

（3）方案三：針對成本控制需求低、QoS需求高、安全等級需求高、應用靈活性需求較低的應用，可部署專用應用和業務支撐系統及專用轉發平面，基于公網接入平面基礎設施生成專用業務模板，與公網應用形成相對獨立的專用物理切片，實現行業定制業務。

（4）方案四：針對成本控制需求更低、QoS需求更高、安全等級需求更高、應用靈活性需求低的應用，可部署專用應用和業務支撐系統及專用轉發平面，基于公網接入平面基礎設施生成專用業務模板，與公網通過安全隔離網關互聯，實現適用于特殊行業的定制業務。

上述四種解決方案，采用網絡切片技術，根據部署成本、QoS、安全等級和網絡拓撲靈活性等需求建設隔離等級不同的面向垂直行業和特殊行業的5G定制化移動通信系統。基于按需重構的設計思路，劃分不同的網絡域和安全域，采取分層、分級的部署和隔離保護措施。以用戶為中心，采用基于SDN、NFV和安全技術來解決現有技術無法適應快速變化的定制業務應用的不足，實現未來5G網絡融合時代靈活多變且安全可控的定制化網絡系統。

4 ? 基于密鑰的網絡切片安全隔離機制

網絡切片是由支持特定用例的通信服務需求的邏輯網絡功能集合組成，這些網絡功能本質上是被各個網絡切片共享的，而且在某些場景下第三方能夠對網絡切片進行管理，因此在與網絡切片相關的安全需求中，網絡切片的隔離尤其重要。

本文提出了一種基于密鑰的網絡切片隔離技術。其基本思想是：針對不同的網絡切片UE可以共享控制面密鑰，但在不同切片內將使用不同的數據面密鑰。切片內的密鑰體系如圖1所示。切片內的主密鑰KNS由KSEAF導出，進而導出用于保護用戶面空口數據的主密鑰KANUP和保護用戶面UE至核心網數據的主密鑰KCNUP。基于KANUP可以進一步導出用于完整性保護和機密性保護的密鑰KRRC-UPSint和KRRC-UPenc。基于KCNUP可以進一步導出用于用戶面從UE至核心網完整性保護和機密性保護的密鑰KCN-UPint和KCN-UPenc。