淺析5G網絡切片安全

摘 要：5G通信技術能滿足不同應用領域多樣化的業務需求，網絡切片是現階段業界公認的較為理想的網絡架構。但是5G技術在滿足海量業務的同時，需要密切關注網絡安全問題。本文結合5G安全架構，重點分析了網絡切片的安全控制策略，從而引發更多關于5G網絡安全的探索和思考。

關鍵詞：5G業務場景；網絡切片；安全架構；切片安全策略

中圖分類號：TN929.5 文獻標識碼：A 文章編號：2096-4706（2018）04-0072-02

Abstract：5G communication technology can meet diverse business needs in different application fields，and network slicing is an ideal network architecture recognized by the industry at this stage. However，5G technology needs to pay close attention to network security while satisfying massive business. Combined with the security architecture of 5G，this paper focuses on analyzing the security control strategy of network slicing，which leads to more exploration and thinking about 5G network security.

Keywords：5G business scenario；network slicing；security architecture；sectioning security policy

0 引 言

隨著移動互聯網、物聯網及各種行業應用的快速增長，對互聯網流量密度、互聯網連接數、移動性管理均提出了超高要求。第五代移動通信技術（5G）應運而生。新的技術在提升移動互聯網用戶體驗的同時，能進一步滿足物聯網應用的海量需求。

目前5G業務分為三大類業務場景，5G技術需滿足多樣化的業務需求，同時針對三種不同的業務場景以及同一業務場景下的不同業務提供差異化的安全保護機制。5G業務場景分類及典型示例如圖1所示。

針對上述不同的業務場景，5G網絡將建立網絡切片，并根據業務需求針對切片定制安全保護機制，實現安全分級服務。

1 5G網絡切片

網絡切片是將一個硬件基礎設施組成的物理網絡切割成多個虛擬的端到端的網絡，每個虛擬網絡之間是邏輯獨立的，包括網絡內的設備、接入、傳輸和核心網。任何一個虛擬網絡發生故障都不會影響到其它虛擬網絡。網絡切片允許在每個網絡切片中容易地配置和重用網絡元件及功能，以滿足特定的應用要求，成為眾多業界人士公認5G時代理想的網絡架構。網絡切片邏輯架構如圖2所示。

2 5G安全架構

5G時代垂直行業的深度融合帶來了多種應用場景，也要求網絡架構能夠支持各類應用場景，5G安全應是多種應用場景下的通信安全以及網絡架構的安全。5G網絡安全架構示意圖如圖3所示。

由圖3可以看出，5G網絡安全架構由控制面和用戶面組成，同時保證用戶設備和接入網絡之間、用戶設備與服務網絡公共節點以及用戶設備與切片之間的保護。接入網與服務網絡公共節點、服務網絡公共節點與歸屬環境及切片、歸屬環境及切片間的安全保護等。本文重點關注網絡切片的安全保護機制。

3 5G切片安全保護

網絡切片最重要的安全問題是網絡切片需要提供不同切片實例之間的隔離機制，防止本切片內的資源被其他切片中的網絡節點非法訪問。網絡切片的安全，包括切片安全隔離、切片安全管理、UE接入切片的安全和切片之間通信的安全等。切片安全機制主要包含UE和切片間安全、切片內NF（網絡功能）與切片外NF間安全、切片內NF間安全。

3.1 UE和切片間安全管理

UE和切片間安全管理通過接入策略控制應對訪問類風險。接入管理功能（AMF）通過UE的網絡切片選擇輔助信息（NSSAI），為UE選擇正確的切片，保證接入網絡的UE是合法的。UE訪問不同切片內的業務時，會建立不同的PDU會話，不同的網絡切片不能共享PDU會話。UE的每一個切片的PDU會話都可以根據切片策略采用不同的安全機制。

3.2 切片內外網絡功能安全管理

切片內外網絡功能安全管理包含切片內NF與切片公用NF間、切片內NF與外網設備間隔離。

3.2.1 切片內NF與切片公用NF間安全策略

網管平臺通過白名單機制對各個NF進行授權，公用NF可同時訪問多個切片內的NF，切片內的NF需要安全機制控制來自公用NF的訪問，防止公用NF及非法的外部NF訪問某個切片內的NF。

切片內的會話管理功能（SMF）需要向網絡倉儲功能（NRF）注冊。當AMF為UE選擇切片時，詢問NRF發現各個切片的SMF，在AMF和SMF通信前，先進行相互認證，實現切片內NF（如SMF）與切片外公共NF（如AMF）之間的相互可信。

同時，可以在AMF或NRF做頻率監控或部署防火墻防止Dos/DDos攻擊，防止惡意用戶將切片公有NF的資源耗盡，進而影響切片的正常運作。

3.2.2 切片內NF與外網設備間安全策略

確保切片內NF與外網設備間安全可通過部署虛擬或物理防火墻。切片內可以部署虛擬防火墻，不同的切片按需編排。切片外可部署物理防火墻，一個防火墻可以保障多個切片的安全。

3.3 切片內NF間安全管理

切片內的NF之間通信前，可先進行認證，保證對方NF是可信NF，然后可以通過建立安全隧道保證通訊安全。

4 結 論

5G網絡支持多種業務的多樣性需求，不同的業務有不同的安全要求。通過提供多層次的切片安全保護機制，為不同的業務提供差異化的安全服務，保證5G通信的安全可靠。后續將持續重點推進切片安全的相關研究工作。

參考文獻：

[1] 月球，肖子玉，楊小樂.未來5G網絡切片技術關鍵問題分析 [J].電信工程技術與標準化，2017，30（5）：45-50.

[2] 許陽，高功應，王磊.5G移動網絡切片技術淺析 [J].郵電設計技術，2016（7）：19-22.

[3] 李金艷，楊峰義，梅承力.網絡切片將成5G理想架構商用部署仍面臨多重挑戰 [J].通信世界，2017（15）：40-42.

[4] 錢昭.淺談5G移動網絡切片技術及關鍵問題研究 [J].網絡安全技術與應用，2017（12）：99.

[5] 李暉，付玉龍.5G網絡安全問題分析與展望 [J].無線電通信技術，2015，41（4）：1-7.

[6] 周玟秋.5G網絡安全技術研究 [J].電子技術與軟件工程，2016（18）：235.

作者簡介：李雪永（1989-），女，漢族，廣東廣州人，助理工程師。研究方向：運營商的核心網、業務網、數據網的設計。