摘 要：5G通信技術(shù)能滿足不同應(yīng)用領(lǐng)域多樣化的業(yè)務(wù)需求，網(wǎng)絡(luò)切片是現(xiàn)階段業(yè)界公認的較為理想的網(wǎng)絡(luò)架構(gòu)。但是5G技術(shù)在滿足海量業(yè)務(wù)的同時，需要密切關(guān)注網(wǎng)絡(luò)安全問題。本文結(jié)合5G安全架構(gòu)，重點分析了網(wǎng)絡(luò)切片的安全控制策略，從而引發(fā)更多關(guān)于5G網(wǎng)絡(luò)安全的探索和思考。

關(guān)鍵詞：5G業(yè)務(wù)場景；網(wǎng)絡(luò)切片；安全架構(gòu)；切片安全策略

中圖分類號：TN929.5 文獻標識碼：A 文章編號：2096-4706（2018）04-0072-02

Abstract：5G communication technology can meet diverse business needs in different application fields，and network slicing is an ideal network architecture recognized by the industry at this stage. However，5G technology needs to pay close attention to network security while satisfying massive business. Combined with the security architecture of 5G，this paper focuses on analyzing the security control strategy of network slicing，which leads to more exploration and thinking about 5G network security.

Keywords：5G business scenario；network slicing；security architecture；sectioning security policy

0 引 言

隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及各種行業(yè)應(yīng)用的快速增長，對互聯(lián)網(wǎng)流量密度、互聯(lián)網(wǎng)連接數(shù)、移動性管理均提出了超高要求。第五代移動通信技術(shù)（5G）應(yīng)運而生。新的技術(shù)在提升移動互聯(lián)網(wǎng)用戶體驗的同時，能進一步滿足物聯(lián)網(wǎng)應(yīng)用的海量需求。

目前5G業(yè)務(wù)分為三大類業(yè)務(wù)場景，5G技術(shù)需滿足多樣化的業(yè)務(wù)需求，同時針對三種不同的業(yè)務(wù)場景以及同一業(yè)務(wù)場景下的不同業(yè)務(wù)提供差異化的安全保護機制。5G業(yè)務(wù)場景分類及典型示例如圖1所示。

針對上述不同的業(yè)務(wù)場景，5G網(wǎng)絡(luò)將建立網(wǎng)絡(luò)切片，并根據(jù)業(yè)務(wù)需求針對切片定制安全保護機制，實現(xiàn)安全分級服務(wù)。

1 5G網(wǎng)絡(luò)切片

網(wǎng)絡(luò)切片是將一個硬件基礎(chǔ)設(shè)施組成的物理網(wǎng)絡(luò)切割成多個虛擬的端到端的網(wǎng)絡(luò)，每個虛擬網(wǎng)絡(luò)之間是邏輯獨立的，包括網(wǎng)絡(luò)內(nèi)的設(shè)備、接入、傳輸和核心網(wǎng)。任何一個虛擬網(wǎng)絡(luò)發(fā)生故障都不會影響到其它虛擬網(wǎng)絡(luò)。網(wǎng)絡(luò)切片允許在每個網(wǎng)絡(luò)切片中容易地配置和重用網(wǎng)絡(luò)元件及功能，以滿足特定的應(yīng)用要求，成為眾多業(yè)界人士公認5G時代理想的網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)切片邏輯架構(gòu)如圖2所示。

2 5G安全架構(gòu)

5G時代垂直行業(yè)的深度融合帶來了多種應(yīng)用場景，也要求網(wǎng)絡(luò)架構(gòu)能夠支持各類應(yīng)用場景，5G安全應(yīng)是多種應(yīng)用場景下的通信安全以及網(wǎng)絡(luò)架構(gòu)的安全。5G網(wǎng)絡(luò)安全架構(gòu)示意圖如圖3所示。

由圖3可以看出，5G網(wǎng)絡(luò)安全架構(gòu)由控制面和用戶面組成，同時保證用戶設(shè)備和接入網(wǎng)絡(luò)之間、用戶設(shè)備與服務(wù)網(wǎng)絡(luò)公共節(jié)點以及用戶設(shè)備與切片之間的保護。接入網(wǎng)與服務(wù)網(wǎng)絡(luò)公共節(jié)點、服務(wù)網(wǎng)絡(luò)公共節(jié)點與歸屬環(huán)境及切片、歸屬環(huán)境及切片間的安全保護等。本文重點關(guān)注網(wǎng)絡(luò)切片的安全保護機制。

3 5G切片安全保護

網(wǎng)絡(luò)切片最重要的安全問題是網(wǎng)絡(luò)切片需要提供不同切片實例之間的隔離機制，防止本切片內(nèi)的資源被其他切片中的網(wǎng)絡(luò)節(jié)點非法訪問。網(wǎng)絡(luò)切片的安全，包括切片安全隔離、切片安全管理、UE接入切片的安全和切片之間通信的安全等。切片安全機制主要包含UE和切片間安全、切片內(nèi)NF（網(wǎng)絡(luò)功能）與切片外NF間安全、切片內(nèi)NF間安全。

3.1 UE和切片間安全管理

UE和切片間安全管理通過接入策略控制應(yīng)對訪問類風(fēng)險。接入管理功能（AMF）通過UE的網(wǎng)絡(luò)切片選擇輔助信息（NSSAI），為UE選擇正確的切片，保證接入網(wǎng)絡(luò)的UE是合法的。UE訪問不同切片內(nèi)的業(yè)務(wù)時，會建立不同的PDU會話，不同的網(wǎng)絡(luò)切片不能共享PDU會話。UE的每一個切片的PDU會話都可以根據(jù)切片策略采用不同的安全機制。

3.2 切片內(nèi)外網(wǎng)絡(luò)功能安全管理

切片內(nèi)外網(wǎng)絡(luò)功能安全管理包含切片內(nèi)NF與切片公用NF間、切片內(nèi)NF與外網(wǎng)設(shè)備間隔離。

3.2.1 切片內(nèi)NF與切片公用NF間安全策略

網(wǎng)管平臺通過白名單機制對各個NF進行授權(quán)，公用NF可同時訪問多個切片內(nèi)的NF，切片內(nèi)的NF需要安全機制控制來自公用NF的訪問，防止公用NF及非法的外部NF訪問某個切片內(nèi)的NF。

切片內(nèi)的會話管理功能（SMF）需要向網(wǎng)絡(luò)倉儲功能（NRF）注冊。當AMF為UE選擇切片時，詢問NRF發(fā)現(xiàn)各個切片的SMF，在AMF和SMF通信前，先進行相互認證，實現(xiàn)切片內(nèi)NF（如SMF）與切片外公共NF（如AMF）之間的相互可信。

同時，可以在AMF或NRF做頻率監(jiān)控或部署防火墻防止Dos/DDos攻擊，防止惡意用戶將切片公有NF的資源耗盡，進而影響切片的正常運作。

3.2.2 切片內(nèi)NF與外網(wǎng)設(shè)備間安全策略

確保切片內(nèi)NF與外網(wǎng)設(shè)備間安全可通過部署虛擬或物理防火墻。切片內(nèi)可以部署虛擬防火墻，不同的切片按需編排。切片外可部署物理防火墻，一個防火墻可以保障多個切片的安全。

3.3 切片內(nèi)NF間安全管理

切片內(nèi)的NF之間通信前，可先進行認證，保證對方NF是可信NF，然后可以通過建立安全隧道保證通訊安全。

4 結(jié) 論

5G網(wǎng)絡(luò)支持多種業(yè)務(wù)的多樣性需求，不同的業(yè)務(wù)有不同的安全要求。通過提供多層次的切片安全保護機制，為不同的業(yè)務(wù)提供差異化的安全服務(wù)，保證5G通信的安全可靠。后續(xù)將持續(xù)重點推進切片安全的相關(guān)研究工作。

參考文獻：

[1] 月球，肖子玉，楊小樂.未來5G網(wǎng)絡(luò)切片技術(shù)關(guān)鍵問題分析 [J].電信工程技術(shù)與標準化，2017，30（5）：45-50.

[2] 許陽，高功應(yīng)，王磊.5G移動網(wǎng)絡(luò)切片技術(shù)淺析 [J].郵電設(shè)計技術(shù)，2016（7）：19-22.

[3] 李金艷，楊峰義，梅承力.網(wǎng)絡(luò)切片將成5G理想架構(gòu)商用部署仍面臨多重挑戰(zhàn) [J].通信世界，2017（15）：40-42.

[4] 錢昭.淺談5G移動網(wǎng)絡(luò)切片技術(shù)及關(guān)鍵問題研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（12）：99.

[5] 李暉，付玉龍.5G網(wǎng)絡(luò)安全問題分析與展望 [J].無線電通信技術(shù)，2015，41（4）：1-7.

[6] 周玟秋.5G網(wǎng)絡(luò)安全技術(shù)研究 [J].電子技術(shù)與軟件工程，2016（18）：235.

作者簡介：李雪永（1989-），女，漢族，廣東廣州人，助理工程師。研究方向：運營商的核心網(wǎng)、業(yè)務(wù)網(wǎng)、數(shù)據(jù)網(wǎng)的設(shè)計。