1 概述

1.1 5G網(wǎng)絡(luò)安全概述

2010 年國(guó)際電聯(lián)定義了5G 的三大應(yīng)用場(chǎng)景：eMBB、mMTC、uRLLC。2019 年部署商用的為5G 的第1 個(gè)版本，主要滿足eMBB 的需求，隨著2020 年5G 網(wǎng)絡(luò)的推進(jìn)，滿足SA 能力的5G 網(wǎng)絡(luò)蓄勢(shì)待發(fā)。SA 的強(qiáng)大能力，帶來(lái)了越來(lái)越多的垂直行業(yè)的支撐能力，5G網(wǎng)絡(luò)在醫(yī)療、教育、港口、工業(yè)園區(qū)、銀行、電廠、鋼廠、礦山等行業(yè)得到了示范性的應(yīng)用，隨著越來(lái)越多的行業(yè)對(duì)5G網(wǎng)絡(luò)的應(yīng)用，面向安全的訴求也隨之而來(lái)。

5G 安全既包括由終端和網(wǎng)絡(luò)組成的5G 網(wǎng)絡(luò)本身通信安全，也包括5G 網(wǎng)絡(luò)承載的上層應(yīng)用安全?！?G 系統(tǒng)安全架構(gòu)和流程》（3GPP TS 33.501）中規(guī)定：在安全分層方面，5G 與4G 完全一樣，分為傳送層、歸屬層/服務(wù)層和應(yīng)用層，各層間相互隔離；在安全分域方面，5G 安全框架分為接入域安全、網(wǎng)絡(luò)域安全、用戶域安全、應(yīng)用域安全、服務(wù)域安全、安全可視化和配置安全等6個(gè)域。

1.2 企業(yè)ToB網(wǎng)絡(luò)安全需求分析

隨著5G 深入千行百業(yè)，5G 與垂直行業(yè)深度融合，行業(yè)應(yīng)用服務(wù)提供商與網(wǎng)絡(luò)運(yùn)營(yíng)商、設(shè)備供應(yīng)商一起形成了新的網(wǎng)絡(luò)格局，網(wǎng)絡(luò)從網(wǎng)與人拓展到網(wǎng)與物、網(wǎng)與系統(tǒng)（人和物協(xié)同的群體），網(wǎng)絡(luò)安全呈現(xiàn)出2 個(gè)方向：一是5G 網(wǎng)絡(luò)安全、應(yīng)用安全、終端安全問(wèn)題相互交織，互相影響，行業(yè)應(yīng)用服務(wù)提供商由于直接面對(duì)用戶提供服務(wù)，在確保應(yīng)用安全和終端安全方面承擔(dān)主體責(zé)任，需要與網(wǎng)絡(luò)運(yùn)營(yíng)商明確安全責(zé)任邊界，強(qiáng)化協(xié)同配合，從整體上解決安全問(wèn)題，移動(dòng)通信網(wǎng)絡(luò)從傳統(tǒng)的IT 封閉性引入了開放性，對(duì)于網(wǎng)絡(luò)的開放，對(duì)于接入外部網(wǎng)絡(luò)接入點(diǎn)的安全管控是需要在網(wǎng)絡(luò)部署時(shí)務(wù)必考慮的工作內(nèi)容；二是不同垂直行業(yè)應(yīng)用存在較大差別，安全訴求存在差異，安全能力水平不一，難以采用單一化、通用化的安全解決方案來(lái)確保各垂直行業(yè)安全應(yīng)用。企業(yè)對(duì)數(shù)據(jù)接入安全管控需求包含區(qū)域類數(shù)據(jù)安全（如整體園區(qū)數(shù)據(jù)本地化、區(qū)域的接入用戶安全管控問(wèn)題，園區(qū)/非園區(qū)用戶的識(shí)別）和特殊區(qū)域的接入保密問(wèn)題（如核心生產(chǎn)區(qū)域各類別的UE 接入的管控、控制面安全問(wèn)題等）。本文重點(diǎn)分析不同垂直行業(yè)在接入網(wǎng)數(shù)據(jù)及管控在安全方面的需求及解決策略方案（見表1）。

表1 企業(yè)5G接入網(wǎng)絡(luò)安全需求

2 5G網(wǎng)絡(luò)部署架構(gòu)與接入安全分析

2.1 5G網(wǎng)絡(luò)部署架構(gòu)

5G 網(wǎng)絡(luò)采用SBA 架構(gòu)，SBA 架構(gòu)適用于5G 核心網(wǎng)信令面，傳統(tǒng)網(wǎng)元間點(diǎn)對(duì)點(diǎn)雙向接口被單向服務(wù)接口取代，一個(gè)網(wǎng)元提供的服務(wù)理論上可以被任何其他網(wǎng)元（甚至非網(wǎng)元）調(diào)用。信令面管控由SBA 架構(gòu)實(shí)施；5G 網(wǎng)絡(luò)的數(shù)據(jù)面5G 核心網(wǎng)的會(huì)話管理功能主要由SMF（Service Management Function）負(fù)責(zé)，主要和AMF、PCF、UDM、CHF 以及終端、基站進(jìn)行信令交互，并和UPF（User Plane Function）共同完成用戶面管理和執(zhí)行的功能。圖1給出了5G網(wǎng)絡(luò)架構(gòu)示意圖。

服務(wù)化接口包括N11、N7、N10 和N40。N11 負(fù)責(zé)基本會(huì)話管理、位置訂閱等；N7 負(fù)責(zé)會(huì)話級(jí)的策略管理；N10 負(fù)責(zé)5G 新增的連接關(guān)系、會(huì)話級(jí)的用戶數(shù)據(jù)管理；N40負(fù)責(zé)會(huì)話級(jí)的計(jì)費(fèi)信息傳遞。

圖1 5G網(wǎng)絡(luò)架構(gòu)圖

非服務(wù)化接口包括N4、N1、N2 和N3。N4 負(fù)責(zé)和UPF交互，采用PFCP協(xié)議，傳遞會(huì)話的策略、流量等相關(guān)信息；N1 負(fù)責(zé)和終端交互，傳遞5G 會(huì)話相關(guān)的NAS消息，通過(guò)N11 接口透?jìng)?；N2 負(fù)責(zé)和基站交互，傳遞5G會(huì)話相關(guān)的NG-AP消息，通過(guò)N11接口透?jìng)鳎籒3負(fù)責(zé)和基站交互，采用GTP-U協(xié)議，傳遞數(shù)據(jù)。

5G 核心網(wǎng)中SMF 對(duì)應(yīng)4G 核心網(wǎng)的MME 會(huì)話管理相關(guān)功能和SGW-C、PGW-C 的功能，除支持IPv4、IPv6和IPv4v6會(huì)話類型外，還可支持非IP類型（Ethernet和Unstructured）的PDU 會(huì)話，用戶注冊(cè)時(shí)可不建立PDU 會(huì)話，只有業(yè)務(wù)開始時(shí)才建立，PDU 會(huì)話屬性在生命周期內(nèi)均不能改變。

眾所周知，5G 引入了3 種業(yè)務(wù)分流方式：上行分流（Uplink Classifier）、多歸屬（Multi-homing）和本地?cái)?shù)據(jù)網(wǎng)絡(luò)（LADN）。

a）Uplink Classifier 的分流方式通過(guò)為目的地址不同的業(yè)務(wù)流選擇不同的UPF，以實(shí)現(xiàn)就近接入，卸載本地流量。此功能支持單IP，UE 對(duì)分流無(wú)感知，SMF根據(jù)需要插入或刪除ULCL 的UPF，ULCL 的UPF 解析上行數(shù)據(jù)包的5 元組，根據(jù)SMF 提供的上行分流規(guī)則向不同的PDU 會(huì)話錨點(diǎn)UPF 轉(zhuǎn)發(fā)上行業(yè)務(wù)流，并將來(lái)自鏈路上的不同PDU 會(huì)話錨點(diǎn)UPF 的下行業(yè)務(wù)流合并到UE，一個(gè)PDU 會(huì)話可以有多個(gè)ULCL，但是只有1個(gè)ULCL可以通過(guò)N3接口連接AN（接入網(wǎng)）。

b）Multi-homing 的分流方式主要為單PDU 會(huì)話中不同IPv6 地址前綴的業(yè)務(wù)選擇不同的UPF。僅支持IPv6，UE有感知（涉及到UE能力，需要UE支持），在上行包中攜帶不同的IPv6 前綴，SMF 根據(jù)需要插入或刪除分流點(diǎn)UPF（BP UPF——Branching Point UPF）。BP UPF 將不同IPv6 前綴的上行業(yè)務(wù)流轉(zhuǎn)發(fā)至不同的PDU 會(huì)話錨點(diǎn)UPF，并將來(lái)自鏈路上的不同PDU 會(huì)話錨點(diǎn)UPF的下行業(yè)務(wù)合并到UE。

c）LADN的分流方式主要針對(duì)訪問(wèn)固定的本地?cái)?shù)據(jù)網(wǎng)絡(luò)的業(yè)務(wù)，為其選擇就近的UPF 以卸載流量。LADN 的業(yè)務(wù)區(qū)是TA 的集合，LADN 的信息（如LADN業(yè)務(wù)區(qū)、LADN DNN）配置在AMF 上，SMF 配置DNN是否為L(zhǎng)ADN DNN，UE 需支持配置DNN 是否為L(zhǎng)ADN DNN。

從5G的架構(gòu)和基本功能上可以看出，在用戶接入和用戶面的數(shù)據(jù)管理上，5G網(wǎng)絡(luò)對(duì)業(yè)務(wù)的安全存在多種靈活的方式。

2.2 從傳統(tǒng)移動(dòng)通信網(wǎng)角度分析接入安全

2.2.1 PLMN

PLMN 是由政府或其所批準(zhǔn)的經(jīng)營(yíng)者為公眾提供陸地移動(dòng)通信業(yè)務(wù)而建立和經(jīng)營(yíng)的網(wǎng)絡(luò)。該網(wǎng)絡(luò)必須與公眾交換電話網(wǎng)（PSTN）互連，形成整個(gè)地區(qū)或國(guó)家規(guī)模的通信網(wǎng)。PLMN=MCC+MNC，例如中國(guó)移動(dòng)的PLMN 為46000，中國(guó)聯(lián)通的PLMN 為46001。對(duì)于一個(gè)特定的終端來(lái)說(shuō)，通常需要維護(hù)幾種不同類型的PLMN 列表，每個(gè)列表中會(huì)有多個(gè)PLMN。不同類型的PLMN 的優(yōu)先級(jí)不同，終端在進(jìn)行PLMN 選擇時(shí)將按照以下順序：RPLMN、EPLMN、HPLMN、EHPLMN、UPLMN、OPLMN，其他的PLMN。一般來(lái)講，UE 開機(jī)，進(jìn)行全頻段掃頻，解調(diào)PSS/SSS，接收MIB/SIB，在SIB消息中可以獲知當(dāng)前小區(qū)的PLMN，然后與SIM 卡中的PLMN 做匹配。一致則駐留，不一致則進(jìn)行新一輪的掃描，直到一致為止。理論上可以對(duì)限制接入的小區(qū)配置專用的PLMN，普通的UE 就無(wú)法接入，從而實(shí)現(xiàn)用戶的接入安全限制，但實(shí)際上PLMN數(shù)量有限，無(wú)法進(jìn)行全面宏觀地針對(duì)全行業(yè)分類，在現(xiàn)階段的實(shí)踐中不能落地。

2.2.2 CELL BAR

無(wú)線接入控制是一種針對(duì)話務(wù)擁塞的處理機(jī)制。通過(guò)限制移動(dòng)設(shè)備向基站的連接請(qǐng)求，保護(hù)和保證緊急呼叫等關(guān)鍵通信的成功接入。

在5G（NR）中MIB 消息中包含“小區(qū)禁止”和IE cellBarred 小區(qū)限制信息，這些信息通過(guò)“禁止”或“不禁止”值廣播。這個(gè)標(biāo)識(shí)允許終端提早檢測(cè)狀態(tài)，而不需要接收和解碼SIB1。如果一個(gè)小區(qū)被禁止，那么UE就不允許選擇或重選該小區(qū)。小區(qū)頻率限制：如果MIB表示某個(gè)小區(qū)被禁止，那么UE還將檢查同樣包含在MIB 中的（同頻重選）intraFreqReselection 標(biāo)志。如果此標(biāo)志設(shè)置為“notAllowed”，則不允許重選到同頻的另一個(gè)小區(qū)。否則，如果此標(biāo)志設(shè)置為“允許”，則允許UE 進(jìn)行同頻（小區(qū)）重選。5G（NR）SIB1 中有一個(gè)“保留給操作員使用”的字段取值為“保留”或“不保留”。如果一個(gè)小區(qū)被”保留”，那么一個(gè)接入等級(jí)為11（PLMN Use）或接入等級(jí)15（PLMN Staff）的用戶可以在該小區(qū)接入和重選，該類用戶一般位于HPLMN或EPLMN 的小區(qū)內(nèi)或相同小區(qū)內(nèi)。如果一個(gè)小區(qū)被“保留”，那么接入等級(jí)為0、1、2、12、13 或14 的UE 將該小區(qū)視為“禁止”，不允許接入或重選。

在無(wú)線側(cè)，CELL BAR 功能可以做一定的接入限制，主要是禁止小區(qū)選擇和重選接入U(xiǎn)E，但是UE可以從別的小區(qū)切換過(guò)來(lái)。CELL BAR 暫無(wú)法實(shí)現(xiàn)特定用戶的接入限制。

2.2.3 TAC

跟蹤區(qū)（TA）被定義為UE 不需要更新服務(wù)的自由移動(dòng)區(qū)域。TA 功能為實(shí)現(xiàn)對(duì)UE 位置的管理，可分為尋呼管理和位置更新管理。UE 通過(guò)跟蹤區(qū)注冊(cè)告知核心網(wǎng)自己的跟蹤區(qū)TA，當(dāng)UE處于空閑狀態(tài)時(shí)，核心網(wǎng)絡(luò)能夠知道UE 所在的跟蹤區(qū)，同時(shí)當(dāng)處于空閑狀態(tài)的UE 需要被尋呼時(shí)，必須在UE 所注冊(cè)的跟蹤區(qū)的所有小區(qū)進(jìn)行尋呼。TA是小區(qū)級(jí)的配置，多個(gè)小區(qū)可以配置相同的TA，且一個(gè)小區(qū)只能屬于一個(gè)TA。針對(duì)不同區(qū)域可以設(shè)置不同的TAC，在核心網(wǎng)側(cè)做接入限制（核心網(wǎng)側(cè)白名單設(shè)置，可在MME、AMF上做白名單設(shè)置），實(shí)現(xiàn)不同區(qū)域的用戶接入限制。也可以使用切片ID（NSSAI）+TAC 做區(qū)域白名單限制，管控區(qū)域內(nèi)的用戶接入。

3 基于R16的NPN網(wǎng)絡(luò)接入安全能力分析

3GPP 將5G 專網(wǎng)分為3 類，分別是非公共網(wǎng)絡(luò)（NPN——Non-Public Network）、5GLAN 和時(shí)間敏感網(wǎng)絡(luò)（TSN），本文主要針對(duì)NPN網(wǎng)絡(luò)進(jìn)行分析和闡述。

NPN 是區(qū)別于電信運(yùn)營(yíng)商公網(wǎng)，為特定用戶/組織提供服務(wù)的網(wǎng)絡(luò)，在3GPP TS 23.501的定義中，非公共網(wǎng)絡(luò)有以下2種類型。

a）獨(dú)立組網(wǎng)的NPN 網(wǎng)絡(luò)（SNPN——Stand-alone NPN），即獨(dú)立專網(wǎng)，該網(wǎng)絡(luò)不依賴于公網(wǎng)（PLMN 網(wǎng)絡(luò)），由SNPN 運(yùn)營(yíng)商運(yùn)營(yíng)（非運(yùn)營(yíng)商的網(wǎng)絡(luò)，例如政府專網(wǎng)、企業(yè)專網(wǎng)）。

b）非獨(dú)立組網(wǎng)的NPN 網(wǎng)絡(luò)（PNI-NPN——Public network integrated NPN），集成于公網(wǎng)的專網(wǎng)，該網(wǎng)絡(luò)依賴于公網(wǎng)（比如5G網(wǎng)絡(luò)），由傳統(tǒng)運(yùn)營(yíng)商運(yùn)營(yíng)。

對(duì)于PNI-NPN，如果只使用3GPP R15 中定義的網(wǎng)絡(luò)切片，則無(wú)法進(jìn)行訪問(wèn)控制，需要啟用受限訪問(wèn)組（CAG——Closed Access Group）去阻止未授權(quán)終端接入。

不論是SNPN 還是PNI-NPN，NPN 都可以實(shí)現(xiàn)端到端的資源隔離，為垂直行業(yè)或特定群體用戶提供專屬接入，限制非授權(quán)終端接入專屬基站或頻段，保障客戶通信資源獨(dú)享。

5G NPN 是利用5G技術(shù)構(gòu)建的獨(dú)立于服務(wù)大眾的PLMN 網(wǎng)絡(luò)的專網(wǎng)。5G NPN 支持2 種部署模式，即NPN 獨(dú)立部署（實(shí)現(xiàn)上不依賴于PLMN 的任何網(wǎng)絡(luò)功能）和公網(wǎng)集成部署（依賴于公網(wǎng)的實(shí)現(xiàn)）。

3.1 PNI-NPN網(wǎng)絡(luò)接入流程分析

首先，可以由PLMN ID 和CAG ID 來(lái)確定一個(gè)CAG，用戶和CAG 的關(guān)系與簽約類似，啟用了CAG 的小區(qū)只允許簽約用戶接入。用戶在簽約CAG 時(shí)會(huì)在訂閱信息中配置2 個(gè)信息，一個(gè)是該用戶支持的CAG列表（Allowed CAG list），該列表存儲(chǔ)當(dāng)前用戶所能接入的全部CAG 小區(qū)的ID，另一個(gè)是該用戶是否只能通過(guò)CAG 小區(qū)接入網(wǎng)絡(luò)的標(biāo)識(shí)（CAG-only indication），配置了該標(biāo)識(shí)的用戶只能通過(guò)CAG小區(qū)接入網(wǎng)絡(luò)。

初始接入和小區(qū)重選過(guò)程中，NG-RAN node 需要廣播自身支持的CAG ID 和相應(yīng)的PLMN ID 信息（每個(gè)NG-RAN node 最多廣播12 個(gè)CAG ID），未配置CAG-only indication 的CAG 用戶可以根據(jù)自己的Allowed CAG list 選擇可接入的CAG 小區(qū)，也可以選擇訂閱的公共PLMN 小區(qū)接入網(wǎng)絡(luò)。配置了CAG-only indication 的CAG 用戶只能根據(jù)自己的Allowed CAG list選擇可接入的CAG 小區(qū)接入網(wǎng)絡(luò)。核心網(wǎng)可以根據(jù)用戶的訂閱信息對(duì)用戶的身份進(jìn)行鑒權(quán)。

由于PNI-NPN 依賴于PLMN 的網(wǎng)絡(luò)功能，因此對(duì)于未配置CAG-only indication 的用戶應(yīng)支持PNI-NPN和PLMN 網(wǎng)絡(luò)間的切換。其中從CAG 小區(qū)到PLMN 小區(qū)的切換需要基站或者核心網(wǎng)確認(rèn)用戶是否配置了CAG-only indication。從PLMN 小區(qū)到CAG 小區(qū)的切換需要基站或者核心網(wǎng)判斷目標(biāo)基站的CAG ID 是否在用戶的Allowed CAG list中。

未配置在相應(yīng)Allowed CAG list 中的用戶無(wú)法進(jìn)行網(wǎng)絡(luò)訪問(wèn)。

PNI-NPN 依賴于PLMN，結(jié)合CAG ID 實(shí)現(xiàn)對(duì)PLMN 的拓展，可以實(shí)現(xiàn)不同用戶訪問(wèn)的隔離，但應(yīng)對(duì)CAG的劃分做充分的分析。

3.2 SNPN網(wǎng)絡(luò)接入流程分析

獨(dú)立部署的NPN，用PLMN ID 和NID（Network identifier）的組合標(biāo)識(shí)，PLMN 運(yùn)營(yíng)商可以重用其PLMN ID，同時(shí)使用NID 區(qū)分各個(gè)專網(wǎng)，或者使用為專網(wǎng)預(yù)留的PLMN ID。SNPN 的RAN 將廣播PLMN+NPN ID。SNPN 的UE 用SUPI 標(biāo)識(shí)，如果UE 設(shè)置為SNPN接入模式，則該UE只能通過(guò)Uu接口接入并注冊(cè)到SNPN。UE 初始注冊(cè)時(shí)，會(huì)帶上PLMN ID 和NID，NG-RAN 將這些信息帶給AMF。用戶在NPN 中的簽約信息包括了統(tǒng)一接入控制（UAC——Unified Access Control）信息，在網(wǎng)絡(luò)擁塞時(shí)，SNPN可以阻止UE接入。

已在SNPN 注冊(cè)的UE 可以通過(guò)SNPN 接入PLMN的非3GPP 互通功能（N3IWF——Non-3GPP Interworking Function），從而訪問(wèn)PLMN 的服務(wù)。這時(shí)，UE 需要同時(shí)向PLMN 注冊(cè)。SNPN 對(duì)于PLMN 來(lái)說(shuō)，相當(dāng)于非可信non-3GPP 接入的角色。對(duì)于網(wǎng)絡(luò)觸發(fā)的QoS 保障請(qǐng)求，SNPN 根據(jù)SLA 合約從NWu 接口的DSCP（Differentiated Services Code Point）字段中映射SNPN 所要求的QCI并予以執(zhí)行，同時(shí)使用NWu接口的N3IWF IP地址和DSCP 字段標(biāo)識(shí)設(shè)置其包檢測(cè)過(guò)濾器。對(duì)于UE 請(qǐng)求的QoS，UE 使用與SNPN 同樣的5QI（non-3GPP 接入請(qǐng)求IPSEC SA 的5QI）。此種接入方式，類似于網(wǎng)絡(luò)下發(fā)私有的PLMN 廣播，普通公網(wǎng)用戶無(wú)法接入網(wǎng)絡(luò)。

4 網(wǎng)絡(luò)接入安全部署策略分析

面向企業(yè)角度的數(shù)據(jù)和用戶安全需求，通過(guò)對(duì)5種網(wǎng)絡(luò)接入安全管理技術(shù)分析，從實(shí)現(xiàn)效果、成本及部署場(chǎng)景上做如表2和表3所示的策略總結(jié)。

現(xiàn)階段，整體上針對(duì)有數(shù)據(jù)本地安全訴求的需求建議部署下沉式的本地UPF，針對(duì)用戶接入安全管控，建議初期采用成本較低的切片+TAC 的方式，即NSSAI-ID+TAC，同時(shí)結(jié)合核心網(wǎng)的白名單進(jìn)行網(wǎng)絡(luò)接入的整體控制，而面向更加嚴(yán)格的數(shù)據(jù)管控要求，在未來(lái)可以考慮NPN 網(wǎng)絡(luò)的部署，實(shí)現(xiàn)高度定制化的能力來(lái)實(shí)現(xiàn)用戶的接入管控。

5 總結(jié)展望

5G 在各類垂直行業(yè)中的融合應(yīng)用將會(huì)越來(lái)越豐富，其特點(diǎn)與垂直領(lǐng)域高度相關(guān)，安全風(fēng)險(xiǎn)也呈現(xiàn)持續(xù)動(dòng)態(tài)變化的特點(diǎn)，5G 網(wǎng)絡(luò)通過(guò)靈活的設(shè)計(jì)和安全方面的增強(qiáng)，對(duì)垂直行業(yè)的安全需求有一定的支撐能力，隨著3GPP R16 的新技術(shù)陸續(xù)在現(xiàn)網(wǎng)部署，可以進(jìn)一步地滿足企業(yè)對(duì)安全管控的訴求，本文分析了企業(yè)視角下的安全需求，并對(duì)現(xiàn)有的網(wǎng)絡(luò)技術(shù)以及3GPP R16中的NPN網(wǎng)絡(luò)等新技術(shù)的接入安全滿足情況進(jìn)行了分析，5G 網(wǎng)絡(luò)必須結(jié)合垂直行業(yè)各自特點(diǎn)和訴求，充分考慮需求的不同后，進(jìn)行網(wǎng)絡(luò)組網(wǎng)架構(gòu)及技術(shù)的選擇。

表2 企業(yè)5G接入網(wǎng)絡(luò)管控部署策略

表3 企業(yè)5G接入網(wǎng)數(shù)據(jù)安全部署策略