5G網絡及安全能力開放技術研究

1、    5g網絡及安全能力開放技術研究    楊紅梅 林美玉【摘  要】首先介紹了5g網絡能力開放架構，分析了基于網絡切片、多接入邊緣計算（mec）技術實現(xiàn)能力開放的原理，提出了5g安全能力開放的需求及架構，然后給出了5g網絡及安全能力開放的接口安全實現(xiàn)方案，最后展望了5g安全增強技術的發(fā)展趨勢。【關鍵詞】5g安全;能力開放;網絡切片;邊緣計算;安全增強doi：10.3969/j.issn.1006-1010.2020.04.014      ：tn929.5文獻標志碼：a     

2、：1006-1010（2020）04-0065-04引用格式：楊紅梅，林美玉. 5g網絡及安全能力開放技術研究j. 移動通信， 2020，44（4）： 65-68.research on open technologies of 5g network and security capabilityyang hongmei， lin meiyu（china academy of information and communications technology， beijing 100191， china）abstractthis paper introduces 5g network capa

3、bility open architecture， analyzes the implementation principle of the capability openness based on network slicing and multi access edge computing （mec） technologies， and proposes 5g security capability open requirement and architecture. then， the implementation solution of interface security is gi

4、ven for 5g network and security capability openness. finally， the development trend of 5g security enhancement is described.key words 5g security; capability openness; network slicing; mec; security enhancement0   引言5g網絡是實現(xiàn)萬物互聯(lián)的關鍵基礎設施，其將在經濟和社會的數(shù)字化轉型中發(fā)揮重要作用。我國積極推動5g建設和發(fā)展，做出了加快5g商用步伐的戰(zhàn)略部署，并于

5、2019年6月正式發(fā)放了5g商用牌照。5g時代提出了增強移動寬帶（embb）、超高可靠低時延（urllc）和海量機器類通信（mmtc）三大典型應用場景，這些應用對網絡能力的需求差異化明顯，為了更好地滿足各行業(yè)的個性化需求，迫切需要將運營商的網絡能力及安全能力開放給第三方應用。5g網絡及安全能力開放帶來諸多好處：一方面可以及時響應第三方業(yè)務需求，保障用戶的業(yè)務體驗，提供個性化的服務及安全保障;另一方面，也有利于第三方業(yè)務提供商開發(fā)業(yè)務時充分利用運營商的網絡及業(yè)務能力，比如，身份認證、接入控制、業(yè)務策略、路由和流量控制、網絡切片的生命周期管理、安全能力等;同時，還可以滿足運營商一體化的5g網絡能力

6、開放產品研發(fā)、運營維護以及支撐體系發(fā)展的需求。1   5g網絡能力開放5g網絡能力開放指的是5g網絡和第三方應用之間相互開放能力，5g網絡開放給第三方應用的能力通常包括：網絡/終端監(jiān)控能力（網絡擁塞狀態(tài)、終端移動狀態(tài)等）、基礎服務能力（語音、短消息、計費、安全能力）、控制能力（鑒權和授權、接入控制、策略、qos保障能力、網絡切片生命周期管理能力、mec能力）、網絡信息能力（終端連接狀態(tài)、終端位置信息、大數(shù)據(jù)分析信息等）。反之，第三方應用也可以向5g網絡開放終端的能力、移動性信息、業(yè)務相關信息等，以便運營商根據(jù)業(yè)務需求對網絡進行優(yōu)化和管理。5g網絡架構下，能力開放與終端管理、

7、流量管理、網絡切片以及mec技術相結合，使得運營商在網絡規(guī)劃和管理時兼顧第三方業(yè)務和安全需求成為可能，從而可以更好地為其提供服務，有利于形成更合理的商業(yè)合作模式，達到雙贏的目的。1.1  5g網絡能力開放架構5g網絡能力開放涵蓋外部開放和內部開放兩大類，外部開放指的是通過能力開放平臺對5g網絡架構中的應用功能（af）開放運營商的網絡能力，能力開放平臺主要負責內外部信息的傳遞和協(xié)議轉換，根據(jù)af的請求調用運營商的網絡資源;內部開放指的是運營商內部網絡功能（nf）之間相互開放信息，借助統(tǒng)一數(shù)據(jù)存儲（udr）實現(xiàn)不同nf之間相關信息的存儲和訪問。圖1中，nef（網絡能力開放功能）是運營商內

8、部網絡資源和外部af應用之間的橋梁，主要負責能力開放相關的功能。nef通過標準接口連接nf獲取網絡基礎能力并安全地提供給af，其主要的功能如下：身份驗證和授權、api（應用程序接口）消費者的身份識別、檔案管理、接入控制、策略增強、基礎設施策略、業(yè)務策略、安全、路由和流量控制、協(xié)議轉換及api到網絡接口的映射等。nef與網絡的接口成為nnef接口，該接口協(xié)議采用diameter協(xié)議和http restful協(xié)議（json），主要負責群組信息傳遞、監(jiān)控、高延遲通信、網絡狀態(tài)查詢、后臺數(shù)據(jù)傳輸資源管理、通信模式、非ip數(shù)據(jù)傳輸、背景流量、覆蓋增強、網絡參數(shù)配置等api調用功能。5g網絡開放的能力主要

9、包括：網絡基礎能力（音視頻通話能力、鑒權認證、授權等）、網絡控制能力（流量策略、切片管理等）、數(shù)據(jù)服務及管理能力（主要包括終端信息、接入信息以及業(yè)務配置等）、安全防護管理能力（主要包括網絡安全防護能力、信息安全及抗攻擊等）。1.2  5g網絡切片能力開放5g網絡切片技術使得運營商可以將同一張物理網絡切分成多個網絡切片，為不同的應用場景提供專用服務。為了方便第三方應用更好地利用運營商的網絡切片資源，5g網絡支持向應用層開放網絡切片管理能力，如切片的生命周期管理能力等。網絡切片能力開放架構示意如圖2所示。每個切片中都可能存在nef，同時，同一個切片也可能覆蓋多個不同的區(qū)域，這些區(qū)域對應的

10、控制面會部署單獨的nef，因實際部署中通常采用nef級聯(lián)的方式接入統(tǒng)一的能力開放平臺。圖2中，能力開放平臺與切片管理系統(tǒng)、多個切片子網的nef、策略控制功能（pcf）進行互聯(lián)，實現(xiàn)網絡切片能力開放。開放的能力主要包括底層網絡資源控制、切片的創(chuàng)建、管理、銷毀等等。能力開放平臺中的“切片管理能力”模塊，通過api管理模塊向第三方提供開放接口，可供被授權的第三方調用，其在接到第三方調用請求后，將應用的服務請求映射成網絡切片需求，選擇合適的子切片組件，映射為網絡服務實例和配置要求，并將指令下達給網絡中的“切片管理系統(tǒng)”，切片管理系統(tǒng)進一步完成子切片及其網絡、計算、存儲資源的部署。1.3  5

11、g邊緣計算能力開放多接入邊緣計算本質上是在靠近用戶的位置，在網絡的邊緣提供計算和數(shù)據(jù)處理能力，以提升網絡數(shù)據(jù)處理效率。mec平臺可以向第三方應用開放網絡能力，提高精準信息及資源控制能力，提供高價值智能服務能力。mec平臺開放的信息和能力主要包括：無線負載信息、網絡擁塞和吞吐量信息、鏈路質量信息、本地分流能力、位置信息、qos（服務質量）能力、計費能力以及短消息業(yè)務能力、qci（qos等級標識）及路由優(yōu)化等。5g邊緣計算能力開放架構示意如圖3所示：mec系統(tǒng)通常由mec主機、mec系統(tǒng)虛擬化管理（邊緣編排器（meo）、虛擬化基礎設施管理（vim）、邊緣計算平臺管理（mepm）、mec運營管理等組

12、成。其中，mepm可以和主機一起部署在邊緣，也可以和meo以及mec運營管理等系統(tǒng)級網元一起部署在相對集中的位置。mec主要實現(xiàn)業(yè)務流的本地轉發(fā)、分流策略控制、本地流量計費和qos保證等功能。mec應用經由nef與5g網絡互聯(lián)：一方面，nef將ue和業(yè)務流相關的信息，例如ue的位置信息、無線鏈路質量、漫游狀態(tài)等開放給mec平臺，mec平臺基于此對mec應用進行優(yōu)化;另一方面，mec應用可以通過nef將應用的相關信息，例如業(yè)務時長、業(yè)務周期、移動模式等共享給網絡，網絡據(jù)此進一步優(yōu)化網絡資源配置。2   5g安全能力開放為了幫助第三方應用提供商更好地構建業(yè)務安全能力，5g網絡除

13、了可以提供開放的業(yè)務能力之外，還可以提供開放的安全服務能力。具體應用場景包括：運營商向第三方應用提供安全服務，如接入認證、授權控制、網絡防御等服務，或者第三方應用通過對被授權的切片進行管理從而實現(xiàn)對網絡安全能力的配置與調整。典型的5g安全能力開放架構如圖4所示：圖4中，5g網絡基于計算資源和虛擬化能力，可以建立獨立于設備和應用的安全資源，如特征匹配、深度檢測、認證協(xié)議、密碼算法、密鑰協(xié)商以及數(shù)據(jù)加解密等。基于安全資源，可建立可信認證、數(shù)字身份、通道加密、數(shù)據(jù)保護、網絡防御、運維管理等安全體系能力。行業(yè)應用可根據(jù)各自的安全需求（比如接入認證、授權控制、傳輸安全、網絡放與、運維管理、切片安全等），

14、通過能力開放平臺，靈活使用運營商網絡的安全能力和安全資源，實現(xiàn)訂制化的安全防護。3   5g能力開放接口安全5g網絡能力開放架構基于能力開放平臺，通過開放的api將網絡能力及安全能力開放給第三方應用。目前通常基于capif（公共api接口功能）架構來實現(xiàn)，架構示意如圖5所示。capif架構主要由核心功能、api開放功能以及api調用功能組成。其中，核心功能是控制中樞，對api調用功能進行認證和授權并對api開放功能進行管理和配置;api調用功能在核心功能的控制下調用api開放功能提供的服務。通常，核心功能通常與api開放功能合設，由nef實現(xiàn)，api調用功能由第三方行業(yè)應用

15、實現(xiàn)。為了保障能力開放接口的安全可靠，公共接口采用基于應用層的認證授權以及傳輸層的tls安全通道，在行業(yè)應用和運營商網絡之間安全可靠地傳遞能力開放信息，如ue監(jiān)控能力、策略和計費能力、流量引導能力、數(shù)據(jù)能力、切片能力、外部輸入能力等。4   5g安全增強技術5g安全技術增強路線與網絡技術增強基本保持一致，3gpp 5g安全相關標準中，r15版本聚焦安全基礎架構定義，重點解決embb場景的安全問題。r16版本基于r15安全基礎架構，面向urllc和mmtc場景進行安全優(yōu)化，并在elcs（增強的位置業(yè)務）安全、npn（非公共網絡）安全、mec安全、iab（無線接入和回傳集成）安

16、全、akma（5g物聯(lián)網應用中認證和密鑰協(xié)商）安全、偽基站防護、lte用戶面完整性保護、認證增強、256比特密碼算法等方面進行安全增強。r17將進一步研究5g系統(tǒng)如何兼容gba（通用認證機制）、sba（基于服務的架構）的tls（安全傳輸協(xié)議）證書認證、同一個plmn（公共陸地移動網絡）中的upf（用戶面功能）間接口的安全等增強技術。5    結束語基于5g網絡及安全能力開放關鍵技術，可以將運營商網絡的業(yè)務能力、網絡能力以及安全能力安全可靠地開放給第三方應用，以便第三方業(yè)務提供商按照各自的需求設計定制化的業(yè)務應用。這將有利于垂直行業(yè)加速推出新型業(yè)務，也有利于運營商提升網絡附加

17、值，還有利于提升用戶的業(yè)務體驗，有利于建立新的5g商業(yè)模式和產業(yè)生態(tài)，從而推動5g網絡與垂直行業(yè)深度融合，早日實現(xiàn)萬物互聯(lián)的美好愿景。參考文獻：1    朱斌，符剛. 5g網絡能力開放發(fā)展策略研究j. 郵電設計技術， 2018（9）： 1-5.2    謝振華. 5g移動網絡安全技術分析j. 郵電設計技術， 2019（4）： 49-52.3     3gpp. 3gpp ts 23.501 v15.8.0： 5g系統(tǒng)架構s. 2019.4    3gpp. 3gpp ts 33.501 v15.7.0： 5g系統(tǒng)安全架構和流程s. 2019.5    3gpp. 3gpp ts 29.522 v15.5.0： 5g系統(tǒng)網絡能力開放北向api接口s. 2019.作者簡介楊紅梅（/0000-0003-4216-9704）：高級工程師，碩士畢業(yè)于北京郵電大學，現(xiàn)任中國信息通信研究院安全研究所