5G網(wǎng)絡(luò)借助于NFV(網(wǎng)絡(luò)功能虛擬化)和SDN(軟件定義網(wǎng)絡(luò))技術(shù),在相同的物理基礎(chǔ)網(wǎng)絡(luò)設(shè)施上構(gòu)建多個邏輯網(wǎng)絡(luò)切片,以滿足針對不同垂直行業(yè)對網(wǎng)絡(luò)時延、傳輸速率、連接數(shù)、移動性等指標(biāo)差異化需求。
然而由于網(wǎng)絡(luò)切片共享相同的網(wǎng)絡(luò)資源,且貫穿整個通信網(wǎng)絡(luò)協(xié)議棧,對于切片的接入認(rèn)證和數(shù)據(jù)安全都帶來了全新的挑戰(zhàn)。
一、5G網(wǎng)絡(luò)切片及實(shí)現(xiàn)機(jī)制
網(wǎng)絡(luò)切片是一組運(yùn)行在通用物理硬件上的多個 NF(網(wǎng)絡(luò)功能)的編排組合,具備獨(dú)立提供網(wǎng)絡(luò)服務(wù)能力的端到端虛擬網(wǎng)絡(luò)。運(yùn)營商通過能力開放接口和切片編排設(shè)計(jì)將5G網(wǎng)絡(luò)開放給垂直行業(yè)應(yīng)用。
根據(jù)具體應(yīng)用的不同需求,5G網(wǎng)絡(luò)對切片所需的功能、配置及實(shí)例化等進(jìn)行描述和定義,并通過網(wǎng)絡(luò)編排和管理系統(tǒng)根據(jù)切片藍(lán)圖完成網(wǎng)絡(luò)資源(計(jì)算、存儲、網(wǎng)絡(luò))的分配和激活,完成網(wǎng)絡(luò)切片部署。
5G網(wǎng)絡(luò)采用服務(wù)化網(wǎng)絡(luò)架構(gòu),確保了網(wǎng)絡(luò)能力對不同垂直行業(yè)用戶全面開放,并可靈活對網(wǎng)絡(luò)容量進(jìn)行彈性伸縮,以應(yīng)對不同應(yīng)用場景的動態(tài)需求。
二、5G切片的數(shù)據(jù)安全挑戰(zhàn)
5G網(wǎng)絡(luò)切片從UE(用戶設(shè)備)申請網(wǎng)絡(luò)切片管理到切片接入、切片間的數(shù)據(jù)交互,以及切片資源編排策略等方面,存在著以下安全風(fēng)險(xiǎn):
切片認(rèn)證和權(quán)限管理:
如果UE對于網(wǎng)絡(luò)切片缺乏認(rèn)證和授權(quán),一方面數(shù)據(jù)或服務(wù)很可能被篡改或偽造,導(dǎo)致切片選擇錯誤,使UE不能從正確的切片獲得服務(wù)或者使未申請服務(wù)的UE被接入切片;另一方面非授權(quán)的UE可能會進(jìn)入到網(wǎng)絡(luò)切片中消耗切片資源,甚至導(dǎo)致不同類型的攻擊行為。
終端接入切片的安全:
如果終端接入過程沒有受到足夠保護(hù),攻擊者或可通過重放竊聽到的報(bào)文,導(dǎo)致系統(tǒng)不必要的運(yùn)行超載,影響系統(tǒng)可用性和服務(wù)質(zhì)量;同時竊聽接入鏈路的攻擊者將可能獲得一些敏感服務(wù)權(quán)限,甚至得到相關(guān)的信息并劫持正在進(jìn)行的會話注入自己的數(shù)據(jù)報(bào)文,將為5G服務(wù)以及相關(guān)垂直行業(yè)帶來極大的安全隱患。
切片通信安全:
當(dāng)網(wǎng)絡(luò)切片完成專用網(wǎng)絡(luò)功能的時候,不同網(wǎng)絡(luò)切片之間、 RAN(無線接入網(wǎng))切片和核心網(wǎng)絡(luò)切片之間都可能需要進(jìn)行通信。由于網(wǎng)絡(luò)切片基于SDN和NFV技術(shù),網(wǎng)絡(luò)基礎(chǔ)設(shè)施層各網(wǎng)元間資源共用和調(diào)度將非常頻繁,對底層安全隔離要求提出極大挑戰(zhàn)。在所有網(wǎng)間切片通信中,網(wǎng)絡(luò)切片之間的接口極易受到攻擊,對切片數(shù)據(jù)的機(jī)密性和完整性造成嚴(yán)重威脅。
三、海泰切片數(shù)據(jù)安全加固方案
針對垂直行業(yè)客戶特定需求,海泰方圓從以下幾個方面開展了基于國產(chǎn)密碼技術(shù)的5G切片數(shù)據(jù)安全防護(hù)研究:
(一)多級應(yīng)用安全切片架構(gòu)設(shè)計(jì)
提出了一種多級應(yīng)用安全切片架構(gòu),實(shí)現(xiàn)基于NFV/SDN的多級密碼安全保障機(jī)制,建立切片內(nèi)的安全通道,確保數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性以及防重放攻擊等。一方面解決了垂直行業(yè)的差異化需求對5G網(wǎng)絡(luò)切片資源調(diào)度和安全策略的影響;另一方面也將第三方安全能力編排到5G網(wǎng)絡(luò)切片中,解決垂直行業(yè)的第三方安全服務(wù)與網(wǎng)絡(luò)切片緊密結(jié)合的問題。
(二)多元組合切片認(rèn)證策略
在網(wǎng)絡(luò)切片傳統(tǒng)身份管理技術(shù)的增強(qiáng)機(jī)制基礎(chǔ)上,重點(diǎn)對切片接入可信身份管理、多元信任模式下的切片組合認(rèn)證策略等技術(shù)進(jìn)行研究,建立了基于國產(chǎn)密碼技術(shù)的統(tǒng)一身份認(rèn)證機(jī)制,對5G網(wǎng)絡(luò)切片應(yīng)用中的各種應(yīng)用場景進(jìn)行統(tǒng)一的身份標(biāo)識管理,兼容支持多種認(rèn)證協(xié)議,實(shí)現(xiàn)多種認(rèn)證機(jī)制的統(tǒng)一融合。既可避免非授權(quán)UE消耗切片資源,又能有效防止切片數(shù)據(jù)泄露等安全威脅。
(三)差異化切片密鑰分發(fā)技術(shù)
結(jié)合垂直行業(yè)的典型應(yīng)用場景,設(shè)計(jì)了在切片接入、切片內(nèi)部、不同切片間等情況下的密鑰管理體制與模型,制定適用于各種應(yīng)用場景下的切片密鑰管理協(xié)議、機(jī)制、方式、方法等,包括計(jì)算能力較弱或者低能耗終端設(shè)備,以及低時延等場景(mIoT、uRLLC),實(shí)現(xiàn)差異化切片安全能力的密鑰管理和密鑰分發(fā)。
(四)網(wǎng)絡(luò)切片安全態(tài)勢感知和預(yù)警技術(shù)
通過研究虛擬資源隔離、網(wǎng)絡(luò)切片下的安全態(tài)勢感知技術(shù),結(jié)合垂直行業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施特點(diǎn)、網(wǎng)絡(luò)行為規(guī)律,用戶行為分析和預(yù)測技術(shù)以及密碼服務(wù)管理技術(shù)等,提出了涉及多樣化的網(wǎng)絡(luò)設(shè)備、運(yùn)營服務(wù)、數(shù)據(jù)交互、第三方擴(kuò)展等全方面技術(shù)方案,解決了5G網(wǎng)絡(luò)切片的數(shù)據(jù)安全態(tài)勢感知和預(yù)警問題。
四、未來展望
目前,對5G網(wǎng)絡(luò)切片的應(yīng)用安全以及5G網(wǎng)絡(luò)與垂直行業(yè)應(yīng)用的充分融合仍處于研究探索過程,對于網(wǎng)絡(luò)切片安全認(rèn)證機(jī)制和網(wǎng)絡(luò)切片數(shù)據(jù)安全面臨的其他潛在問題還需要深入分析和論證,海泰方圓也將持續(xù)加大對國產(chǎn)密碼與5G切片技術(shù)相結(jié)合的研究和探索,為廣大垂直行業(yè)客戶提供更有針對性的數(shù)據(jù)安全保障。
