G安全架構(gòu)白皮書

1、刃？ ? ?20171-版權(quán)所有©華為按術(shù)有瞑扯司201入 保留一切權(quán)利。非翌華為授術(shù)有限公司書面間JS.任何單位和個人不礙11自摘抄、篡制本手冊內(nèi)容的部分咸金部井不需以任何形式傳播。商標(biāo)宜明單縱HUAW曰、華為、翦是華為技術(shù)有限公司的商標(biāo)或者注冊商標(biāo)"H.WWCI在本手冊中描述的產(chǎn)品申.出現(xiàn)的其他商標(biāo)、產(chǎn)品老稱、辰務(wù)容稀冷圧公司老稱"由曲各自的斷有人擁有。免奮聲明車文檔可能含有預(yù)測信息”包招但不限干有黃未來的財務(wù)、運營* 產(chǎn)品系列、新技術(shù)等1s.&.由于實玆中存在很多不fit定囚靠" 可能導(dǎo)致實際結(jié)果與預(yù)測佶恿有很犬的差別“因此本文扌當(dāng)信息 僅

2、俱畚考，不構(gòu)成任何娶約或承諾"華為可能不經(jīng)運知耦菽上迷 信息.恕乘另行通知.華為技術(shù)有限2司深圳市龍崗區(qū)坂田華為基址電詣：(0755) 2E 780808郵編；518129HUAWGI目錄刖言Q 5G安全挑戰(zhàn)和需求 1.1 5G多樣化商業(yè)需求1.2 5G網(wǎng)絡(luò)支撐廣連接、高覆蓋的物聯(lián)網(wǎng)接入1.3 5G引入IT新技術(shù)、新架構(gòu)帶來的安全挑戰(zhàn)O 業(yè)務(wù)和網(wǎng)絡(luò)架構(gòu)的變化驅(qū)動5G安全架構(gòu)變革2.1 5G安全新特性22對4G安全特性的延續(xù)和增強2.3面向業(yè)務(wù)構(gòu)建可擴展、可編排的智能5G安全架構(gòu)框架華為積極推動5G安全標(biāo)準(zhǔn)化，共建3.1端到端安全評估體系總結(jié)5G安全生態(tài)145G安全架構(gòu)白皮書5 G術(shù)5

3、G安全挑戰(zhàn)和需求Gigabytes in a second3D video and UHD screensAugmented realityIndustry automationSmart CityFuture IMTMassive Mach ine TypeCommu nicatio nsITU-定義的5G用例廣泛的支持垂直行業(yè)（如交通、物流、自動駕駛、健康、制造業(yè)、能源行業(yè)、媒體及娛樂業(yè)）的數(shù)字化，以及公共事業(yè)（智慧城市、公共安全和教育產(chǎn)業(yè)）的發(fā)展。隨著高帶寬、低時延、多連接的5G網(wǎng)絡(luò)逐漸普及，將會形成一個普適性的網(wǎng)絡(luò)平臺，催化各行各業(yè)的技術(shù)與服務(wù)的發(fā)展。移動網(wǎng)絡(luò)業(yè)務(wù)范疇的擴展，豐富了電信

4、網(wǎng)絡(luò)的生態(tài)環(huán)境，也對移動網(wǎng)絡(luò)的安全帶來了新的需求和挑戰(zhàn)。1.1 5G多樣化商業(yè)需求5G不僅是下一代移動通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施，而且是未來數(shù)字世界的使能者。5G并不是一個單一的無線接入技術(shù)，也不是幾個全新的無線接入技術(shù)，5G是一個真正意義上的融合網(wǎng)絡(luò)，無縫支持各種新的網(wǎng)絡(luò)部署。Enhan ced Mobile Broadba ndWork and play in the cloudSmart Home/BuildingVoiceMission-critical applicationsSelf-driving carsUltra-Reliable and Low-Late ncy Commu ni c

5、ati ons?eMB聚焦對帶寬有極高需求的業(yè)務(wù)，例如高清視頻，虛擬現(xiàn)實/增強現(xiàn)實等，滿足人們對于數(shù)字化生活的需求?mMT則覆蓋對于聯(lián)接密度要求較高的場景例如智能交通、智能電網(wǎng)、智能制造，滿足人們對于數(shù)字化社會的需求?uRLL聚焦對時延極其敏感的業(yè)務(wù)，例如自動駕駛/輔助駕駛、遠程控制等，滿足人們對于數(shù)字化工業(yè)的需求1G安全架構(gòu)白皮書5G安全架構(gòu)白皮書5 GSmart EnergySmart HomeSmart VehicleSmart Industry業(yè)務(wù)多樣化需要差異化安全保護機制為了用一張物理網(wǎng)絡(luò)滿足不同的業(yè)務(wù)需求，網(wǎng)絡(luò)在統(tǒng)一的底層物理設(shè)施基礎(chǔ)上通過虛擬化技術(shù)生成相應(yīng)的網(wǎng)絡(luò)拓撲以及網(wǎng)絡(luò)功能

6、，為每一個特定業(yè)務(wù)類型生成一個網(wǎng)絡(luò)切片。每一個網(wǎng)絡(luò)切片在物理上是源自統(tǒng)一的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，這樣大大降低 了運營商運營多個不同業(yè)務(wù)類型的建網(wǎng)成本；而在邏輯上切片又是隔離的，邏輯的獨立性滿足了每一類業(yè)務(wù)功能定制、獨 立運維的需求。不同的業(yè)務(wù)會有差異化的安全需求。5G系統(tǒng)支持多種業(yè)務(wù)并行發(fā)展，以滿足個人用戶、行業(yè)客戶的多樣性需求。從網(wǎng)絡(luò)架構(gòu)來看，基于原生云化架構(gòu)的端到端切片滿足這樣的多樣性需求。同樣的，5G安全設(shè)計也需支持業(yè)務(wù)的多樣性，滿足差異化安全需求。網(wǎng)絡(luò)切片本身也需要安全機制，保證切片的安全運營，用戶的正常接入。多元信任模型和可擴展的身份管理機制3G和4G時代，主要業(yè)務(wù)是語音，短信和移動寬帶，業(yè)

7、務(wù)類型相對比較單一。在傳統(tǒng)移動通信網(wǎng)絡(luò)中，網(wǎng)絡(luò)對用戶入網(wǎng)認 證，并作為管道承載用戶與服務(wù)間的業(yè)務(wù)認證，用戶與網(wǎng)絡(luò)構(gòu)成二元信任模型。5G時代，移動通信網(wǎng)絡(luò)不僅僅服務(wù)于個人消費者，更重要的是將服務(wù)于垂直行業(yè)，衍生岀豐富的業(yè)務(wù)。5G時代不僅僅是更快的移動網(wǎng)絡(luò)或更強大的智能手機，而是鏈接世界的新型業(yè)務(wù)，如mMT和URLLC在5G網(wǎng)絡(luò)中，將融合傳統(tǒng)二元信任模型，構(gòu)建多元信任模型。網(wǎng)絡(luò)和垂直行業(yè)可結(jié)合進行業(yè)務(wù)身份管理，使得業(yè)務(wù)運行更加高效，用戶的個性化需求得 以滿足。4G網(wǎng)絡(luò)身份管理的主要對象是移動寬帶用戶，采用以設(shè)備為單位的對稱密鑰管理體制，很好的滿足了運營商的要求。而5G網(wǎng)絡(luò)面臨大量新增的10段備及其

8、可穿戴設(shè)備，傳統(tǒng)的用戶管理機制在開戶，認證等方面成本高昂，已經(jīng)不能完全滿足5Gi戶管理的需求，因此需要進一步擴展的身份管理機制，根據(jù)業(yè)務(wù)特征及其新的安全威脅進行優(yōu)化。安全能力開放業(yè)務(wù)開放帶來安全挑戰(zhàn)的同時，也給運營商安全業(yè)務(wù)帶來了更廣泛的機會。作為5G連接基礎(chǔ)設(shè)施平臺的提供者和運營者，電信運營商是業(yè)務(wù)提供商的最佳使能者，是行業(yè)客戶可信任的商業(yè)伙伴。垂直行業(yè)可以直接使用運營商開放的安全能力，降低了一些新型垂直行業(yè)的業(yè)務(wù)門檻和成本，并縮短上市時間。通過安全 能力開放，運營商可以盤活網(wǎng)絡(luò)資產(chǎn)和基礎(chǔ)設(shè)施，開創(chuàng)新的利益增長點；可以打破管道化運營和封閉網(wǎng)絡(luò)模式，以電信網(wǎng) 絡(luò)為中心構(gòu)建安全生態(tài)系統(tǒng)；提升差異

9、化競爭力，并形成運營商、垂直行業(yè)、安全廠商、個人用戶的生態(tài)鏈，合作共贏共 創(chuàng)商業(yè)價值。1.2 5G網(wǎng)絡(luò)支撐廣連接、高覆蓋的物聯(lián)網(wǎng)接入5G網(wǎng)絡(luò)需要為物聯(lián)網(wǎng)提供可靠的網(wǎng)絡(luò)通信服務(wù)，海量的物聯(lián)網(wǎng)設(shè)備傳感器對連接管理提岀了很高要求。例如車聯(lián)網(wǎng)系統(tǒng) 中的車車通信、車人通信、車路通信和車網(wǎng)通信涉及上億傳感設(shè)備的連接，對于保障交通安全、提高城市交通運行效率、 降低污染排放都具有重要意義。大型城市的智能電表裝機量過千萬，每天從大量電表向電網(wǎng)數(shù)據(jù)中心上傳大量的計量數(shù)據(jù)。 智能制造要求永久在線、廣覆蓋、大連接，為連續(xù)運轉(zhuǎn)的機器、數(shù)量龐大的產(chǎn)品和工人提供隨時隨地、無處不在的連接， 保證生產(chǎn)各個環(huán)節(jié)任何位置間的物的連

10、接。Smart Wearable物聯(lián)網(wǎng)設(shè)備數(shù)量龐大，無人值守，對網(wǎng)絡(luò)安全管理和安全防御都帶來新的挑戰(zhàn)。因此，5G網(wǎng)絡(luò)需要為海量的物聯(lián)網(wǎng)設(shè)備提供安全可靠、成本可控的網(wǎng)絡(luò)接入模式。統(tǒng)一安全管理5G系統(tǒng)中存在不同的接入技術(shù)和終端，從安全管理的角度考慮，一個包含通用安全核心功能的統(tǒng)一安全框架能夠更好的 覆蓋5G網(wǎng)絡(luò)的整體安全需求。異構(gòu)接入網(wǎng)絡(luò)將是下一代接入網(wǎng)絡(luò)的主要技術(shù)特征之一。多制式、多接入、多站點的接入網(wǎng)絡(luò)，需要協(xié)同5G LTE WiFi共存的多制式接入，以及宏站、小站、微站的不同站點形態(tài)的并發(fā)連接。安全管理需要具備靈活處理異構(gòu)接入技術(shù)的安全能力。24G安全架構(gòu)白皮書5G安全架構(gòu)白皮書8 G67?

11、 ?3U? ? ? ? -3? ? ?智能化的安全防御5G是個開放的網(wǎng)絡(luò)，海量物聯(lián)網(wǎng)設(shè)備暴露在戶外、硬件資源受限、無人值守，易受黑客攻擊和控制，因此網(wǎng)絡(luò)將會面臨大 量的網(wǎng)絡(luò)攻擊。如果采用現(xiàn)有的人工防御機制，不僅響應(yīng)速度慢，還將導(dǎo)致防御成本急劇增加，所以需要考慮采用智能化 的手段防御海量物聯(lián)網(wǎng)設(shè)備的安全威脅。此外，網(wǎng)絡(luò)攻擊日趨自動化，Oda攻擊的可能性越來越大，5G中需要考慮被動變主動的安全防御機制。垂直行業(yè)的loT設(shè)備，和傳統(tǒng)終端相比存在數(shù)量眾多的特點。在5G中需考慮如何應(yīng)對海量終端被劫持并對網(wǎng)絡(luò)發(fā)起（D）DoS攻擊。和單個終端發(fā)起 DoS攻擊相比，聯(lián)合海量終端向單一網(wǎng)絡(luò)節(jié)點發(fā)起（D）DoS攻

12、擊危害性更大。例如目前3GP正在討論引入公鑰驗證終端的永久標(biāo)識，目的是增強隱私保護，但同時增加了網(wǎng)絡(luò)節(jié)點的運算負荷，如果攻擊者濫 用這個功能，利用海量終端同時對網(wǎng)絡(luò)發(fā)起驗證請求，（D）Do飆險將急劇增加1.3 5G引入IT新技術(shù)、新架構(gòu)帶來的安全挑戰(zhàn)為提高通信系統(tǒng)的靈活性、可擴展性和部署速度，5G網(wǎng)絡(luò)將引入IT新技術(shù)、新架構(gòu)，包括 NFV/SD以及服務(wù)化架構(gòu)。IT新技術(shù)、新架構(gòu)在使能網(wǎng)絡(luò)功能的靈活性、可擴展性和快速部署的基礎(chǔ)上，也給5G安全帶來了新的挑戰(zhàn)。系統(tǒng)級的安全保護和訪問授權(quán)機制5G網(wǎng)絡(luò)中NF噓擬化技術(shù)的應(yīng)用，可進一步簡化網(wǎng)絡(luò)功能的部署和更新，使得部分功能網(wǎng)元以虛擬功能的形式部署在云 化

13、的基礎(chǔ)設(shè)施上。5G需要考慮基礎(chǔ)設(shè)施的安全機制，從而保障5G業(yè)務(wù)在虛擬化環(huán)境下能夠安全運行；同時定義更好的安全隔離手段，增強虛擬功能網(wǎng)元之間的安全管理?；谔摂M網(wǎng)絡(luò)的切片也需要安全機制，保證切片的安全運營，用戶的正 常接入。5G服務(wù)化架構(gòu)將網(wǎng)絡(luò)功能進行解耦，并定義通用的服務(wù)化接口，支持各網(wǎng)絡(luò)獨立擴容、獨立演進、按需部署，支持在被授 權(quán)的情況下靈活調(diào)用各服務(wù)化網(wǎng)絡(luò)功能。因此5G需從整體安全架構(gòu)的角度考慮網(wǎng)絡(luò)功能發(fā)現(xiàn)、授權(quán)和調(diào)用的安全。全新的端到端安全評估考慮到運營商網(wǎng)絡(luò)的系統(tǒng)開放性和設(shè)備的多樣性需，在軟硬件解耦、虛擬化的環(huán)境中部署網(wǎng)絡(luò)功能，要進行謹慎的安全評估。 雖然4G也提出了端到端安全評估的概

14、念，但是 4G安全評估標(biāo)準(zhǔn)不適用虛擬化網(wǎng)絡(luò)功能設(shè)施，以及系統(tǒng)級的評估。因此， 5G安全需要全新的端到端安全評估機制，來保障引入 IT新技術(shù)后5G網(wǎng)絡(luò)的安全部署。業(yè)務(wù)和網(wǎng)絡(luò)架構(gòu)的變化驅(qū)動5G安全架構(gòu)變革5G安全架構(gòu)需進行以下變革，來支持5G拓展行業(yè)用戶，應(yīng)對 5GS量物聯(lián)網(wǎng)終端帶來的安全挑戰(zhàn)，在網(wǎng)絡(luò) IT化環(huán)境中提供端到端的安全保護和防御手段。2.1 5G安全新特性2.1可擴展的身份管理機制5G需要多元化的身份管理機制和可擴展的身份管理框架，來應(yīng)對垂直行業(yè)和海量物聯(lián)網(wǎng)終端帶來的的安全管理需求。多元化的身份管理機制為行業(yè)用戶提供分層身份管理機制未來運營商可以對行業(yè)用戶的大量 loT終端采用分層的身

15、份管理方式，即運營商管理行業(yè)用戶身份，而行業(yè)用戶管理終端用戶身份，行業(yè)用戶與運營商協(xié)作共擔(dān)用戶管理責(zé)任。這樣，對于同一個行業(yè)用戶的海量終端，網(wǎng)絡(luò)的認證和授權(quán)都可以 關(guān)聯(lián)到同一個行業(yè)用戶，從而方便的進行計費管理。行業(yè)用戶可以在運營商許可的范圍內(nèi)，靈活的增加、減少終端，滿足 自身行業(yè)拓展的需要。為個人用戶提供以用戶為單位的身份管理機制? ? )XKJKTZOGR? ? ? ?未來個人用戶可能同時擁有多個 loT設(shè)備，允許用戶對自身的多個設(shè)備（如可穿戴設(shè)備）在一定范圍內(nèi)進行靈活的管理， 包括設(shè)備的入網(wǎng)和服務(wù)屬性等，如允許流量以在線和離線的方式在用戶的不同設(shè)備之間共享。同一個用戶的不同設(shè)備所使 用的身

16、份應(yīng)該是相互關(guān)聯(lián)的，他們的認證和授權(quán)也可以通過這個用戶的身份標(biāo)識進行關(guān)聯(lián)，統(tǒng)一管理?；冢║）SI的可擴展身份管理框架面向傳統(tǒng)eMB設(shè)備，基于對稱鑰的身份管理機制將得以延續(xù)5G中eMB業(yè)務(wù)的主要服務(wù)對象仍然是移動寬帶用戶，4G中采用的基于對稱鑰的身份管理方式可以滿足這種業(yè)務(wù)需求。對稱鑰身份也可以幫助運營商管理設(shè)備，以及進行其他類型的身份信任狀的發(fā)放。因此，即使5G需要多元化的身份信任狀和身份管理，基于（U）SI卡以及對稱鑰的身份管理方式在5G寸代將得以延續(xù)并將發(fā)揮重要作用。面向海量物聯(lián)網(wǎng)設(shè)備，需要支持基于非對稱鑰的身份管理機制物聯(lián)網(wǎng)是5G網(wǎng)絡(luò)最重要的場景，包括 mMT和uRLLC基于對稱密鑰的

17、身份管理方式，存在認證鏈條長，身份管理成本高等問題，不利于運營商網(wǎng)絡(luò)與垂直行業(yè)的融合，也不利于對海量物聯(lián)網(wǎng)設(shè)備時有效支持。因此，面對5G物聯(lián)網(wǎng)海量設(shè)備，我們需要引入基于非對稱鑰的身份管理機制，讓運營商能夠靈活高效的管理行業(yè)用戶的loT終端和可穿戴設(shè)備，縮短認證鏈條，提高海量設(shè)備網(wǎng)絡(luò)接入認證效率。對稱鑰和非對稱鑰的身份管理功能在網(wǎng)絡(luò)側(cè)可能會根據(jù)不同的業(yè)務(wù)切片進行部署，但運營商需要建立統(tǒng)一的身份管理體系。2.1.2安全功能的靈活調(diào)用和編排如果5G網(wǎng)絡(luò)具備保證各項業(yè)務(wù)安全的安全機制，并將其分解為模塊化的、可調(diào)用的、可組合的安全能力，則在創(chuàng)建新業(yè)務(wù)時可以通過部署編排相應(yīng)的安全能力，構(gòu)建滿足該業(yè)務(wù)安全需

18、求的安全機制和防護措施。在網(wǎng)絡(luò)安全能力模塊化的、可調(diào)用的、可組合的基礎(chǔ)之上，垂直行業(yè)也可以靈活的調(diào)用所需的安全功能，滿足特殊的安全需求。安全功能的快速部署和調(diào)用基于服務(wù)化架構(gòu)，可以將網(wǎng)絡(luò)具體安全功能或者能力進行獨立的服務(wù)化定義，使得其他功能在授權(quán)的基礎(chǔ)上，可以調(diào)用此 安全功能或能力。這里安全功能或能力可以包括用戶身份管理、認證鑒權(quán)，密鑰管理及安全上下文的管理等等。安全功能 的服務(wù)化定義增強了安全功能的精細靈活化管理，支持靈活調(diào)用，同時支持對調(diào)用安全功能的授權(quán)。5G業(yè)務(wù)安全需求的多樣性也使得安全配置和管理變得復(fù)雜，如果還依靠人工來配置、管理和響應(yīng)，會導(dǎo)致低效率和高成本。 所以，在網(wǎng)絡(luò)功能自動化管

19、理的基礎(chǔ)上，也需要安全能力管理自動化，包括安全功能的部署、編排、配置、調(diào)用等。安全能力開放作為普適性的全連接網(wǎng)絡(luò)，5G將比上一代網(wǎng)絡(luò)更加開放，而網(wǎng)絡(luò)能力開放需要相應(yīng)安全保障。更進一步，可以將安全能力 同網(wǎng)絡(luò)能力一樣開放給垂直行業(yè)使用。安全能力開放要求5制絡(luò)內(nèi)的安全功能以模塊化的方式部署，并能夠通過相應(yīng)接口方便調(diào)用。通過組合不同的安全功能，可以快速提供安全能力以滿足多種業(yè)務(wù)的端到端安全需求。通過安全能力開放，垂直行業(yè)可以直接安全地部署業(yè)務(wù)，從而 降低了業(yè)務(wù)門檻并縮短部署時間。運營商則可以充分利用網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，豐富業(yè)務(wù)體驗，與垂直行業(yè)一起共同創(chuàng)造和 分享價值。這里安全功能或能力可以包括用戶身份

20、管理、認證鑒權(quán)，密鑰管理及安全上下文的管理等等。2.1.3敏捷高效的分布式安全部署海量物聯(lián)網(wǎng)設(shè)備對 5G安全帶來了新的威脅和挑戰(zhàn)，包括大規(guī)模的網(wǎng)絡(luò)攻擊行為，海量設(shè)備認證信令風(fēng)暴等。為了應(yīng)對上述安全威脅和挑戰(zhàn)，5G安全架構(gòu)需考慮支持分布式安全機制，即根據(jù)防御、安全管理等需求部署分布式安全功能。分布式安全功能包括分布式認證和分布式防御。分布式認證機制作為5G1要業(yè)務(wù)場景，海量物聯(lián)網(wǎng)設(shè)備同時接入認證將會對網(wǎng)絡(luò)的數(shù)據(jù)處理提岀更高的要求。而傳統(tǒng)集中式的認證機制中，每次設(shè)備的認證都需要調(diào)用核心身份管理節(jié)點，從而造成針對此節(jié)點的信令沖擊。因此，5G安全架構(gòu)需要分布式的認證機制，應(yīng)對海量設(shè)備的認證需求。分布式

21、認證機制具體體現(xiàn)在，對于設(shè)備的認證可以通過多個分布式的認證節(jié)點并行執(zhí)行，從而減少對于核心身份管理節(jié)點的訪問，支撐海量設(shè)備的高效認證。分布式認證節(jié)點的部署可以根據(jù)海量物聯(lián)網(wǎng)設(shè)備的分布情況進行靈活化的部署，降低網(wǎng)絡(luò)的認證成本和復(fù)雜度。分布式認證機制可以采用基于證書的安全機制，也可以采用基 于身份的安全機制。分布式安全防御分布式安全防御技術(shù)的理念是通過在網(wǎng)絡(luò)邊緣節(jié)點部署安全防御能力，從更靠近源頭的地方扼制攻擊行為，實現(xiàn)更敏捷的安全防御。具體體現(xiàn)在，為滿足海量物聯(lián)網(wǎng)設(shè)備的接入防御機制，5戔全可將安全防御能力部署在更靠近 0T設(shè)備的接入點,如RA威者Edge DC防御能力包括 DDo防御機制，分布式殺毒

22、防御技術(shù)等。此方式可及時的應(yīng)對設(shè)備的攻擊行為， 降低海量設(shè)備的接入攻擊威脅。G安全架構(gòu)白皮書5G安全架構(gòu)白皮書5 G? ?SwitchRANRegional DC (Back End)Application ServerCentralQfe DC (Edge DC)? ? ? ? U9 ?Local DC (Front End)終端訪冋切片控制端到端切片的主要目的之一是支持多樣化的商業(yè)模式、滿足不同行業(yè)、不同應(yīng)用的需求。由于切片以及終端的多樣性，終 端訪問切片的控制方式也將是多種多樣的，保證用戶設(shè)備能適時接入切片，同時得到應(yīng)有的訪問安全防護，防止受到外界 的攻擊。切片管理面安全切片管理面安全主

23、要是保護切片在整個生命周期的安全。切片的生命周期包括四個階段：準(zhǔn)備、配置與激活、運行、撤銷。 在切片生命周期每個階段都存在安全風(fēng)險。比如，攻擊者可以通過惡意軟件攻陷切片模板，從而威脅到其生成的所有網(wǎng)絡(luò) 切片實例；攻擊者也可以通過配置接口在配置或運行階段攻擊切片；切片在撤銷階段，如果不恰當(dāng)處理，攻擊者可以獲得 機密數(shù)據(jù)。因此，管理面的安全對整個切片網(wǎng)絡(luò)至關(guān)重要。在面向垂直行業(yè)的切片中，一些垂直行業(yè)有自行管理切片及切片安全能力的訴求。切片網(wǎng)絡(luò)需要具備為不同切片提供不同 安全特性的能力并對管理接口提供有效的安全保護。2.1.切片安全機制網(wǎng)絡(luò)切片是5G及未來通信網(wǎng)絡(luò)中的一項重要使能技術(shù)，其面向業(yè)務(wù)配置

24、網(wǎng)絡(luò)的特性可以有效地助力垂直行業(yè)進行數(shù)字化 轉(zhuǎn)型。切片安全同樣是可配置、可裁剪的。切片安全本身可以為網(wǎng)絡(luò)提供快速、差異化的、可裁剪的安全功能、性能、安 全保護機制，從而用一套網(wǎng)絡(luò)設(shè)施滿足千差萬別的應(yīng)用、行業(yè)的需求，使能垂直行業(yè)快速推岀安全新業(yè)務(wù)、使能客戶簡化 安全運維、降低運營成本。2.1主動智能的聯(lián)動安全防御機制5G網(wǎng)絡(luò)的復(fù)雜性和開放性、海量物聯(lián)網(wǎng)設(shè)備的接入、行業(yè)用戶安全需求的多樣性使得安全管理的復(fù)雜度和工作量大增。依 賴人工進行安全管理可能會導(dǎo)致響應(yīng)慢、成本高等問題。因此，我們建議5G網(wǎng)絡(luò)需要考慮引入基于智能化的主動防御技術(shù)結(jié)合IT網(wǎng)絡(luò)防御機制，形成一個基于統(tǒng)一情報威脅分析的，支持ICT聯(lián)

25、動的網(wǎng)絡(luò)智能防御系統(tǒng)。切片網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施是共享的，除了共享帶來的巨大 優(yōu)越性以外，同時帶來一些潛在安全風(fēng)險，網(wǎng)絡(luò)切片是 一個打通了各個子域的一組網(wǎng)絡(luò)功能，資源，及連接關(guān)系構(gòu)成的有 機整體。各個子域都會有各自的安全風(fēng)險及防護需要考 量，如切片的終端部分安全、接入網(wǎng)安全、核心網(wǎng)切片安全和承載 傳輸網(wǎng)切片安全等。端到端切片安全更重要的也應(yīng)該是 橫向整體的智能的異常檢測、綜合的威脅分析5G網(wǎng)絡(luò)的復(fù)雜性和開放性使得安全威脅的種類大大增加，引入人工智能來檢測未知攻擊、復(fù)雜攻擊的需求更為強烈。在網(wǎng) 絡(luò)的軟件化、虛擬化背景下，復(fù)雜攻擊的檢測溯源需要使用機器學(xué)習(xí)的方法將虛擬機異常監(jiān)控、惡意代碼檢測與核心網(wǎng)流量

26、異常檢測結(jié)合起來。智能的檢測、綜合的分析系統(tǒng)、代碼、流量的異常。ICT安全情報協(xié)同為了快速應(yīng)對安全威脅，運營商之間、運營商與廠商之間、運營商與行業(yè)用戶之間需要聯(lián)動，實時交換安全情報，實現(xiàn)安考慮切片安全的差異化機制不同終端的安全功能、性能、安全保護的需求在不同的應(yīng)用場景可以是完全不同的。例如，用于視頻播放的eMB終端，對終端認證、加解密的安全需求同LT類似；而傳感器式的終端，由于計算能力有限、安全需求不高及成本敏感，需要有輕量級的認證、加解密算法；對于可靠安全通信，終端則需要快速接入認證、強加密算法的支持。因此，切片安全首先需要提供不同終端的安全差異化保護。切片的安全隔離切片的特征是切片和切片之

27、間在邏輯功能上是分離的，但在物理資源上是共享的。因而切片安全的首要問題是如何做到網(wǎng) 絡(luò)切片之間的安全隔離。如果沒有隔離，擁有某個切片訪問權(quán)限的攻擊者，可以以此切片為跳板，攻擊其他的目標(biāo)切片。比如，攻擊者可以利用其合法接入的某個切片來非法占用目標(biāo)切片的資源，導(dǎo)致目標(biāo)切片不能正常對其合法用戶提供服務(wù)。 另外，在一個終端同時接入不同切片的場景，沒有切片的隔離可能導(dǎo)致數(shù)據(jù)機密性（數(shù)據(jù)泄露）和完整性遭到攻擊。切片的隔離最先要考慮的是在切片的生成階段。一個切片可以橫跨多個子域：如終端、接入網(wǎng)、核心網(wǎng)、承載網(wǎng)等，各個 子域的隔離都需要考慮，并進行資源的統(tǒng)籌安排，以達到一致的、端到端的隔離要求。其次，在實際業(yè)

28、務(wù)運行時，終端與全協(xié)同的自動化、智能化。例如，在運營商網(wǎng)絡(luò)檢測到異常終端時，可以將終端異常狀態(tài)及時通知行業(yè)用戶，行業(yè)用戶來 打補丁或清除惡意代碼；運營商和行業(yè)用戶之間通過人工智能直接交換異常信息，聯(lián)合分析異常，定位攻擊，可以提高效率， 減少人工介入操作帶來的響應(yīng)時延。建立自動化防御網(wǎng)絡(luò)的各層各域?qū)渴鹇┒磼呙琛踩庸?、防火墻、惡意代碼檢測、流量異常檢測等多種安全功能。多種安全功能之 間的協(xié)同會變得異常復(fù)雜，人工智能的引入可以大大提高效率，提高從安全監(jiān)控，到安全檢測分析、攻擊阻止、攻擊隔離、 攻擊預(yù)防等各環(huán)節(jié)的自動化程度，實現(xiàn)敏捷的安全管理。2.2對4G安全特性的延續(xù)和增強eMB是 5G網(wǎng)絡(luò)

29、的主要形態(tài)之一。 它也是4G網(wǎng)絡(luò)的直接擴展。 因此，基于4G安全特性，可以構(gòu)建 eMB的安全功能 是很自然的。5G的標(biāo)準(zhǔn)分階段開發(fā)，eMB在第一階段占主導(dǎo)地位。 因此，eMB安全性在第一版5G安全標(biāo)準(zhǔn)中起著重要作用。綜上所述，一種構(gòu)建 5G安全性的自然方式是從 4G安全性開始，并根據(jù)新的5G安全需求進行擴展。9切片網(wǎng)絡(luò)的網(wǎng)元交互、安全協(xié)議、流程，都需要考慮到相應(yīng)的隔離。8G安全架構(gòu)白皮書5G安全架構(gòu)白皮書5 G基于（U）SI卡的可信根可在eMB場景下繼續(xù)沿用即為一組獨立的安全功能，這些安全功能在運營商網(wǎng)絡(luò)中可以進行單獨部署、配置或定制。同時從安全視 角考慮風(fēng)險級別，用戶永久身份ID和根密鑰是身

30、份管理和認證的基礎(chǔ)。針對4G的終端應(yīng)用，基于（U）SI的身份管理機制可提供根密鑰安全存儲保護和互操作的安全環(huán)境。同時基于（U）SI的認證機制，可建立設(shè)備與網(wǎng)絡(luò)的雙向認證。因此，針對等業(yè)務(wù)類型，4G （U）S身份管理和認證機制可以延續(xù)使用。在設(shè)計上應(yīng)進行安全邊界防護設(shè)計，并將防護措施部署在靠近潛在攻擊點的位置，提高反應(yīng)速度、縮小 影響范圍。5G中 eMBB 可擴展、可編排的安全架構(gòu)。不同的業(yè)務(wù)場景和用戶對安全的期望不同，同時不同的時間和事件也可能觸發(fā)安全功能的提升或降低、安全能力的增多或減少，彈性可伸縮、可編排與可擴展的安全架構(gòu)才能夠支撐業(yè)務(wù)的靈活和快速部署。需要考慮新的終端形態(tài)原子化、服務(wù)化的

31、安全接口，安全能力對外開放?；?G服務(wù)化架構(gòu)，安全作為 5G中的邏輯能力，同樣需要提供可以4G 用戶終端在密鑰存儲、安全參數(shù)傳遞和安全運算等都支持在安全保護的狀態(tài)下執(zhí)行，用戶終端的成熟安全機制。同時，可預(yù)見5G各引入各種硬件資源受限、低成本、低功耗的IO終端，繼續(xù)沿用傳統(tǒng)移動被調(diào)用的接口，并可以面向垂直行業(yè)提供安全能力的開放。5G用戶終端可延續(xù)這些已有 4G端到端全業(yè)務(wù)安全管理體系。管理面對單點網(wǎng)絡(luò)設(shè)備的安全和全網(wǎng)安全進行管理，建立一套完善和安全級別高的端到端管終端的安全機制已不可取，需要設(shè)計岀更輕量化的數(shù)據(jù)保護和安全傳輸機制。理體系是全網(wǎng)安全基礎(chǔ)和必要的條件。mMTC3GPP5安全建議增強

32、網(wǎng)絡(luò)設(shè)備安全4G網(wǎng)絡(luò)環(huán)境下基站處在相對不安全的位置，要求基站支持在安全的環(huán)境下進行設(shè)備啟動、密鑰存儲、安全運算，以應(yīng)對 來5G安全架構(gòu)框架圖本文中的5G安全架構(gòu)框架，在 eMB場景下的基礎(chǔ)安全功能上進行擴充以支持切片安全和安全能力開放，應(yīng)對場景及uRLL場景的安全需求和挑戰(zhàn)，使網(wǎng)絡(luò)的安全管理更加智能化。藍色虛線框內(nèi)的基礎(chǔ)安全功能對應(yīng)TR33.899 version中.的0 Overview of 5G secccttyectute節(jié)?；疑珜嵕€框表示垂直行業(yè)業(yè)務(wù)提供商相關(guān) 的安全功能和接口，其他的功能和接口屬于移動運營商的范疇。自網(wǎng)絡(luò)的攻擊。5G需延續(xù)4G!站設(shè)備安全環(huán)境的能力。另外，5鐘也包括

33、其他海量網(wǎng)絡(luò)設(shè)備的參與，以及NFV勺部署。因此對于網(wǎng)絡(luò)設(shè)備的基礎(chǔ)安全能力，5G需延續(xù)并根據(jù)網(wǎng)絡(luò)設(shè)備部署方式的不同進一步增強。需考慮應(yīng)對未來的密碼算法攻擊網(wǎng)絡(luò)接入安全，可應(yīng)對來自空口的攻擊包括UE到AN的空口信令和用戶數(shù)據(jù)的安全保護，UE到 CN勺信令保護，以及UE的移動性管理安全。此類保護屬于移動通信的基本安全需求，5G安全需繼續(xù)延續(xù)。同時針對未來更強的安全算法攻擊?92? ? 7? ? ?方法，5G 可以考慮采用更長的安全密鑰或采用更強的安全保護算法。需考慮服務(wù)化架構(gòu)下的新協(xié)議作為回傳網(wǎng)絡(luò)和核心網(wǎng)數(shù)據(jù)通信的底層保護方法，網(wǎng)絡(luò)域安全提供了安全端到端的隧道建立機制，以及信任關(guān)系建立機制。5G核心

34、網(wǎng)需同樣支持網(wǎng)元與網(wǎng)元之間，以及安全域與安全域之間的數(shù)據(jù)傳輸，因此成熟的網(wǎng)絡(luò)域安全機制仍舊可延續(xù)。另外,5G安全也需考慮基于服務(wù)化架構(gòu)下網(wǎng)絡(luò)域的安全機制，以及不同運營商網(wǎng)元之間安全通信的方法。2.3面向業(yè)務(wù)構(gòu)建可擴展、可編排的智能5G安全架構(gòu)應(yīng)該以早期的 eMB場景下的核心安全功能為基礎(chǔ)，擴展到對 可擴展、可編排的智能 5G安全架構(gòu)，5G安全架構(gòu)框架mMT和 uRLL場景的支持，面向業(yè)務(wù)構(gòu)建 實現(xiàn)差異化安全能力的快速部署和安全能力開放。?)7? 7 7 3?777 7 7 '7 7 777 7 777 777h 77 71 ¥7 77 7 77 77 7 777 777 77

35、77u ?廠7 77777 7 777 7777 7 77 77777777 777JJ|'77777777 7 7777 7777 777 7777 7 75G安全架構(gòu)設(shè)計原則77 7 77 7 7在5G網(wǎng)絡(luò)架構(gòu)之上疊加邏輯安全架構(gòu)。 解耦于其他網(wǎng)絡(luò)特征或功能，在不影響安全架構(gòu)應(yīng)以通信網(wǎng)為基礎(chǔ)，針對5G整體特征進行安全防護設(shè)計。5G功能相對5G整體的情況下具有一定的自我更新和擴展能力。77 7 77 77 77 77?4*-7 7 77777 7 7分域、分面設(shè)計安全架構(gòu)。遵循通信網(wǎng)分域、分面的協(xié)議設(shè)計原則，將安全特征嵌套其中，這樣可以高效調(diào)用安全功能; 在5G架構(gòu)中，越來越呈現(xiàn)這樣

36、一個趨勢，邏輯安全功能往往獨立于其他網(wǎng)絡(luò)功能。因此我們可以這樣解釋7 777h 77 7?77 7 77 7 75G網(wǎng)絡(luò)安全面,1011三個安全面，兩個安全機制：在5G架構(gòu)中，越來越呈現(xiàn)這樣一個趨勢，邏輯安全功能往往獨立于其他網(wǎng)絡(luò)功能。因此我們可以這樣解釋5G網(wǎng)絡(luò)安全面,即為一組獨立的安全功能，這些安全功能在運營商網(wǎng)絡(luò)中可以進行單獨部署、配置或定制。管理系統(tǒng)安全面在傳統(tǒng)的管理面安全基礎(chǔ)能力（如賬號口令、安全日志等）之上，5G安全架構(gòu)中的管理面安全需要具有以下能力。面向業(yè)務(wù)的安全功能編排在生成網(wǎng)絡(luò)及網(wǎng)絡(luò)切片的生命周期管理過程中，管理面的安全功能編排功能根據(jù)業(yè)務(wù)提供商的安全 SLA差異化剪裁安全功

37、能和安全保護機制，在相應(yīng)的業(yè)務(wù)切片內(nèi)對網(wǎng)絡(luò)的安全功能進行編排，高效的部署切片所需的安全功能。安全功能編排功能從北向接口獲取安全SLA根據(jù)安全SLA生成安全策略，進行相應(yīng)切片的安全功能的組建，并且通過對應(yīng)的網(wǎng)絡(luò)安全功能編排接口分別在運營商歸屬網(wǎng)絡(luò)、服務(wù)網(wǎng)絡(luò)、接入網(wǎng)絡(luò)進行安全功能的編排策略下發(fā)。網(wǎng)絡(luò)控制面安全 根據(jù)業(yè)務(wù)安全策略、網(wǎng)絡(luò)策略、終端策略，來決策、協(xié)商、用戶設(shè)備和網(wǎng)絡(luò)之間的數(shù)據(jù)保護機制，如，用戶面保護的密鑰長度、 密碼算法等。面向物聯(lián)網(wǎng)設(shè)備，支持可擴展的認證機制和遠程身份管理基于多元化的身份管理機制，進行物聯(lián)網(wǎng)設(shè)備/可穿戴設(shè)備的遠程身份管理，并提供基于對稱鑰、可擴展支持非對稱的認證機制。切

38、片管理安全機制切片管理面安全廣義上講主要包含三個方面：1）切片安全即服務(wù)（Slicing Security as-a-Service OrSSd切片生命周期的安全3切片的智能安全運維。SSaa可以使能運營商為垂直行業(yè)提供差異化、可定制的安全套餐；監(jiān)測安全套餐性能；根據(jù)需求或監(jiān)測結(jié)果，及時調(diào)整增強套餐或刪除部分配套、調(diào)整資源配置。安全套餐可以包括加密算 法、參數(shù)、配置黑白名單、認證方法、隔離強度等等。SSaa是通過管理面的專門接口為垂直行業(yè)提供服務(wù)，這個接口必須 有充分的安全保證，只有經(jīng)過認證、授權(quán)的簽約客戶才能使用。根據(jù)安全編排策略配置切片內(nèi)相應(yīng)的安全保護機制。安全SLA勺獲取過程應(yīng)該依附垂直行業(yè)SLA勺獲取過程，同時，安全功能編排和的過程應(yīng)該依附切片中其他網(wǎng)絡(luò)功能的編排過程?？蓴U展的身份管理切片生命周期的 安全是保障切片 在設(shè)計、生成、 激活、運行、終 止等狀態(tài)的安全 并防止?jié)撛诘能?件漏洞造成的影 響、安全存儲、 安全釋放資源。切片的智能安全 運維主要是通過 安全感知及監(jiān)測 等技術(shù)手段，對 切片進行自動化 的安全功能編 排、安全策略控 制、告警。可擴展的身份管理機制繼續(xù)沿用基于（U）