5G 網(wǎng)絡(luò)切片技術(shù)在密碼系統(tǒng)中的應(yīng)用研究

本文針對虛擬化切片技術(shù)在密碼系統(tǒng)中的應(yīng)用展開研究，首先總述了“網(wǎng)絡(luò)切片”技術(shù)的基本思想，并在“網(wǎng)絡(luò)切片”的基礎(chǔ)上抽象出廣義的“虛擬化切片”概念，隨后提出了“密碼系統(tǒng)虛擬化切片”概念，并給出基于虛擬化切片構(gòu)建虛擬密碼系統(tǒng)的思路，然后針對以同一套密碼基礎(chǔ)設(shè)施提供面向多級多域應(yīng)用場景的問題給出系統(tǒng)性解決方案，最后給出了在密碼系統(tǒng)虛擬化切片間的安全隔離、控制面差異化安全防護(hù)、用戶面差異化安全防護(hù)以及管理面差異化安全管理等方面各種試驗(yàn)驗(yàn)證的結(jié)果，證明了方案的優(yōu)勢，為5G網(wǎng)絡(luò)切片技術(shù)在密碼系統(tǒng)中的應(yīng)用提供了理論支撐。1網(wǎng)絡(luò)切片技術(shù)的內(nèi)涵與外延眾所周知，5G網(wǎng)絡(luò)與3G/4G網(wǎng)絡(luò)最大的不同之處在于其將面向3種不同的典型應(yīng)用場景，即增強(qiáng)移動(dòng)寬帶（EnhancedMobileBroadband，eMBB）場景、海量機(jī)器類通信（MassiveMachineTypeCommunication，mMTC）場景以及高可靠低時(shí)延（Ultra-ReliableLow-LatencyCommunications，uRLLC）場景。其中，eMBB場景是對傳統(tǒng)4G應(yīng)用場景的增強(qiáng)，而mMTC和uRLLC場景則是全新的應(yīng)用場景。從指標(biāo)角度來看，eMBB場景要求網(wǎng)絡(luò)峰值速率和用戶體驗(yàn)速率較4G增長10倍以上；mMTC場景要求連接密度從10萬臺(tái)/平方千米增大到100萬臺(tái)/平方千米，網(wǎng)絡(luò)能量效率從1Xbit/J增大到100Xbit/J。uRLLC場景要求端到端時(shí)延從10ms下降到1ms。基于同一種技術(shù)體制來滿足這3種存在矛盾和沖突的指標(biāo)要求幾乎是不可能的，那么5G網(wǎng)絡(luò)又是如何以同一套網(wǎng)絡(luò)物理基礎(chǔ)設(shè)施提供差異化網(wǎng)絡(luò)通信能力的呢？正是得益于“網(wǎng)絡(luò)切片”技術(shù)的引入和應(yīng)用?！熬W(wǎng)絡(luò)切片”技術(shù)是5G網(wǎng)絡(luò)所引入的諸多新技術(shù)中最重要的關(guān)鍵技術(shù)?！熬W(wǎng)絡(luò)切片”是一組帶有特定無線配置和傳輸配置的網(wǎng)絡(luò)功能的集合，可為運(yùn)營商在同一套物理設(shè)備上提供多個(gè)端到端的虛擬網(wǎng)絡(luò)，這些網(wǎng)絡(luò)功能可以靈活部署在網(wǎng)絡(luò)的任何節(jié)點(diǎn)（接入、邊緣、核心），以便適配運(yùn)營商期望的任何商業(yè)模式。5G系統(tǒng)用不同的網(wǎng)絡(luò)切片來應(yīng)對不同的需求?！熬W(wǎng)絡(luò)切片”概念引入后，傳統(tǒng)移動(dòng)通信系統(tǒng)的域架構(gòu)模型中添加了豐富的新元素，同時(shí)將邏輯網(wǎng)絡(luò)功能與物理基礎(chǔ)設(shè)施進(jìn)行了解耦合，使網(wǎng)絡(luò)的物理和邏輯組成變得更加豐富，功能實(shí)體之間的交互關(guān)系也變得更加復(fù)雜。在第三代合作伙伴計(jì)劃（3rdGeneration

PartnershipProject，3GPP）中，傳統(tǒng)的“域”概念是指“最高級別的物理實(shí)體組”，這個(gè)“域”概念僅局限于物理網(wǎng)絡(luò)實(shí)體的劃分，并未考慮將在5G網(wǎng)絡(luò)中起主導(dǎo)作用的虛擬網(wǎng)絡(luò)實(shí)體，因此，在5G網(wǎng)絡(luò)中將傳統(tǒng)域的概念擴(kuò)展為“與5G網(wǎng)絡(luò)相關(guān)的物理或邏輯方面的網(wǎng)絡(luò)實(shí)體組”，5G網(wǎng)絡(luò)“域”架構(gòu)如圖1所示

。圖15G網(wǎng)絡(luò)“域”架構(gòu)從5G網(wǎng)絡(luò)的“域”架構(gòu)中可以看出，一個(gè)網(wǎng)絡(luò)切片相當(dāng)于一張端到端的邏輯網(wǎng)絡(luò)，不同的網(wǎng)絡(luò)切片相當(dāng)于不同的邏輯網(wǎng)絡(luò)，而這些不同的邏輯網(wǎng)絡(luò)共享了同一套物理基礎(chǔ)設(shè)施?；诖?，我們可以這樣理解：第一，傳統(tǒng)的通信網(wǎng)絡(luò)是一套端到端物理設(shè)備所組成的物理網(wǎng)絡(luò)，包括基站、交換機(jī)以及物理網(wǎng)元設(shè)備等。第二，軟件定義網(wǎng)絡(luò)（SoftwareDefined

Network，SDN）技術(shù)將交換機(jī)的控制與承載功能分離，從而能夠?qū)崿F(xiàn)在交換機(jī)上基于集中控制策略構(gòu)建出本地的多個(gè)邏輯轉(zhuǎn)發(fā)通道效果，這些邏輯轉(zhuǎn)發(fā)通道彼此間的資源是相互隔離的。這與傳統(tǒng)基于路由協(xié)議自治運(yùn)算生成路由通道的效果是截然不同的。第三，網(wǎng)絡(luò)功能虛擬化（NetworkFunctions

Virtualization，NFV）技術(shù)將物理網(wǎng)元設(shè)備（Physics

NetworkFunctions，PNF）上的邏輯功能抽象成虛擬網(wǎng)絡(luò)功能（VirtualNetworkFunctions，VNF），同時(shí)還能夠?qū)崿F(xiàn)基于同一個(gè)物理網(wǎng)元設(shè)備虛擬化出多個(gè)不同的VNF，這些VNF彼此間也是資源相互隔離的。第四，不同交換機(jī)、物理網(wǎng)元設(shè)備上各自抽象出的邏輯通道、邏輯網(wǎng)絡(luò)功能之間按照一定的邏輯關(guān)系關(guān)聯(lián)起來，形成一張邏輯網(wǎng)絡(luò)，網(wǎng)絡(luò)切片模板結(jié)構(gòu)如圖2所示。圖2網(wǎng)絡(luò)切片模板結(jié)構(gòu)可見，網(wǎng)絡(luò)切片本質(zhì)上是一組邏輯上獨(dú)占特定資源的網(wǎng)絡(luò)功能集合。按照此邏輯，我們可以把網(wǎng)絡(luò)切片的模型在本質(zhì)上從狹義上的網(wǎng)絡(luò)系統(tǒng)推廣到廣義上的信息系統(tǒng)，定義虛擬化信息功能（Virtual

informationFunctions，VIF）概念。從而得出“虛擬化切片”概念，其本質(zhì)是一組邏輯上獨(dú)占特定資源的信息功能集合，虛擬化切片模板結(jié)構(gòu)如圖3所示。圖3虛擬化切片模板結(jié)構(gòu)由此，我們可以定義“虛擬化切片”為一組帶有特定計(jì)算、存儲(chǔ)以及傳輸配置的邏輯功能的集合，可為系統(tǒng)使用者或運(yùn)營者在同一套物理設(shè)備上提供多個(gè)虛擬信息系統(tǒng)，這些邏輯功能可以部署在信息系統(tǒng)中的任何節(jié)點(diǎn)（不限入口、邊緣或核心位置，不限于硬件平臺(tái)或操作系統(tǒng)，不限于嵌入式設(shè)備或數(shù)據(jù)中心），以便適配使用者/運(yùn)營者期望的任何應(yīng)用模式，并應(yīng)對不同的場景和應(yīng)用需求。2密碼系統(tǒng)虛擬化切片及技術(shù)途徑在密碼系統(tǒng)領(lǐng)域，“虛擬化切片”這個(gè)理念同樣適用，可以按照不同用途的密碼應(yīng)用對密碼系統(tǒng)的物理基礎(chǔ)設(shè)施進(jìn)行邏輯上的資源劃分，形成獨(dú)占特定密碼設(shè)備資源的密碼功能合集（包括密碼物理設(shè)備、密碼服務(wù)功能、密碼算法及協(xié)議、密碼管理功能等），這些密碼功能合集可能體現(xiàn)為針對不同場景、不同安全等級或不同管理域等因素的密碼配置、密碼算法與協(xié)議的區(qū)別，也可能體現(xiàn)為針對不同用戶群體的區(qū)別?？梢钥闯觯@個(gè)理念具體化到密碼應(yīng)用領(lǐng)域，與要求密碼對外提供服務(wù)模式上進(jìn)行革新的需求高度一致。借鑒虛擬化切片的定義，在密碼系統(tǒng)領(lǐng)域可以推導(dǎo)出“密碼系統(tǒng)虛擬化切片”的概念，即密碼系統(tǒng)虛擬化切片是一組帶有特定計(jì)算、存儲(chǔ)以及密碼資源配置的密碼功能的集合，可為使用者/運(yùn)營者在同一套物理密碼設(shè)備上提供多個(gè)虛擬密碼系統(tǒng)，這些密碼功能可以靈活部署在密碼系統(tǒng)所屬數(shù)據(jù)中心的任何節(jié)點(diǎn)（入口、核心、邊緣），以便適配使用者/運(yùn)營者期望的任何密碼應(yīng)用模式和場景。密碼系統(tǒng)虛擬化切片還將涉及以下幾個(gè)概念和技術(shù)途徑作為技術(shù)基礎(chǔ)。2.1密碼設(shè)備虛擬化機(jī)制該機(jī)制主要是借鑒以傳統(tǒng)云計(jì)算等為代表的成熟虛擬化技術(shù)思想，將門衛(wèi)式或調(diào)用式密碼設(shè)備虛擬化成多個(gè)門衛(wèi)式或調(diào)用式虛擬密碼設(shè)備

。密碼設(shè)備虛擬化概念如圖4所示。圖4密碼設(shè)備虛擬化概念2.2密碼功能服務(wù)化機(jī)制該機(jī)制主要是借鑒服務(wù)化

和NFV思想，將本地化的密碼功能封裝成網(wǎng)絡(luò)化的密碼功能服務(wù)，密碼功能服務(wù)化概念如圖5所示。圖5密碼功能服務(wù)化概念這樣設(shè)計(jì)便于密碼功能服務(wù)自身的集成以及密碼功能服務(wù)與宿主系統(tǒng)其他服務(wù)功能的集成，同時(shí)也能夠?qū)⒚艽a技術(shù)與通信、計(jì)算及存儲(chǔ)等密碼宿主功能相關(guān)的信息技術(shù)解耦合，確保各自技術(shù)的獨(dú)立發(fā)展演進(jìn)?；诿艽a功能服務(wù)的系統(tǒng)集成如圖6所示。圖6基于密碼功能服務(wù)的系統(tǒng)集成2.3密碼功能服務(wù)編排機(jī)制該機(jī)制主要是借鑒網(wǎng)絡(luò)切片及NFV管理與編排（ManagementandNFVOrchestration，MANO）思想，將不同的虛擬密碼功能服務(wù)按照一定的規(guī)則關(guān)聯(lián)和編排起來，形成面向不同用途密碼應(yīng)用的密碼系統(tǒng)虛擬化切片模板。該模板包含一系列虛擬密碼功能實(shí)體，這些虛擬密碼功能實(shí)體之間的邏輯聯(lián)系以及這些虛擬密碼功能實(shí)體間信息流轉(zhuǎn)發(fā)的方向圖。在編排和生成密碼系統(tǒng)虛擬化切片（CipherSystemSlice，CSS）時(shí)，需要定義編排CSS的模板結(jié)構(gòu)，定義提供特定服務(wù)的虛擬密碼系統(tǒng)拓?fù)?，包括組成CSS的虛擬化密碼功能（VirtualCipherFunctions，VCF）、VCF與VCF之間的虛擬鏈路（Virtual

Link，VL）、VCF之間的VCF轉(zhuǎn)發(fā)圖（VCF

ForwardGraph，VCFFG），以及密碼系統(tǒng)所需要的參數(shù)等元素。密碼系統(tǒng)虛擬化切片模板結(jié)構(gòu)如圖7所示。圖7密碼系統(tǒng)虛擬化切片模板結(jié)構(gòu)基于以上的技術(shù)途徑，運(yùn)用和借鑒其他領(lǐng)域成熟的虛擬化、服務(wù)化以及虛擬化切片等技術(shù)思想，在密碼系統(tǒng)領(lǐng)域提出“密碼系統(tǒng)虛擬化切片”的全新概念，以便使用同一套物理密碼基礎(chǔ)設(shè)施構(gòu)建面向不同用途的各種邏輯密碼系統(tǒng)。3密碼系統(tǒng)虛擬化切片應(yīng)用方案密碼系統(tǒng)虛擬化切片從自身以及從作為配套功能兩個(gè)角度都具有廣泛的應(yīng)用前景。3.1從自身功能角度密碼系統(tǒng)虛擬化切片一方面能夠解決密碼系統(tǒng)自身能力上的“不足”，確保密碼技術(shù)能夠跟上信息技術(shù)的發(fā)展；另一方面又能夠基于一套物理密碼基礎(chǔ)設(shè)施形成多個(gè)不同用途的虛擬密碼系統(tǒng)，在提高靈活度的同時(shí)又能夠大幅度降低密碼系統(tǒng)的建設(shè)成本。這種應(yīng)用方式的典型應(yīng)用場景是基于密碼系統(tǒng)虛擬化切片提供多等級多管理域密碼系統(tǒng)，假設(shè)包括門衛(wèi)式密碼設(shè)備、調(diào)用式密碼設(shè)備、密碼管理設(shè)備、密碼應(yīng)用數(shù)據(jù)中心、密碼網(wǎng)關(guān)設(shè)備以及各種邏輯密碼功能服務(wù)，各物理設(shè)備和密碼服務(wù)功能之間通過密碼協(xié)議交互和協(xié)作密碼資源。在用途方面，假設(shè)構(gòu)建4個(gè)密碼系統(tǒng)虛擬化切片，“級”分為等級1和等級2，“域”分為用戶域1和用戶域2?；诿艽a系統(tǒng)化切片用于解決多用途密碼應(yīng)用的典型系統(tǒng)如圖8所示。圖8基于密碼系統(tǒng)化切片用于解決多用途密碼應(yīng)用的典型系統(tǒng)圖8中，在門衛(wèi)式密碼設(shè)備上虛擬出4個(gè)邏輯門衛(wèi)式密碼功能（IP密碼機(jī)），在密碼管理設(shè)備上虛擬出4個(gè)邏輯密碼管理功能，在保密業(yè)務(wù)數(shù)據(jù)中心上的調(diào)用式密碼設(shè)備上虛擬出4個(gè)邏輯調(diào)用式密碼設(shè)備與4個(gè)業(yè)務(wù)服務(wù)功能共同形成4個(gè)邏輯業(yè)務(wù)服務(wù)功能，在互通網(wǎng)關(guān)基礎(chǔ)設(shè)施上虛擬出4個(gè)邏輯密碼網(wǎng)關(guān)功能，分別與其他4個(gè)虛擬涉密信息系統(tǒng)互聯(lián)互通。相同等級、相同域的邏輯門衛(wèi)式密碼功能（虛擬IP密碼機(jī)）、邏輯密碼管理功能、邏輯業(yè)務(wù)服務(wù)功能（含邏輯調(diào)用式密碼功能）以及邏輯密碼網(wǎng)關(guān)功能共同形成一個(gè)密碼系統(tǒng)虛擬化切片，共有等級1域1、等級1域2、等級2域1以及等級2域2共計(jì)4個(gè)密碼系統(tǒng)虛擬化切片，它們共享同一套密碼系統(tǒng)物理基礎(chǔ)設(shè)施。邏輯門衛(wèi)式密碼功能在邏輯密碼系統(tǒng)中提供民用非密網(wǎng)絡(luò)與特殊行業(yè)涉密網(wǎng)絡(luò)之間基于密碼的門衛(wèi)式紅黑隔離功能。邏輯密碼管理功能在邏輯密碼系統(tǒng)中提供身份鑒別、密碼服務(wù)策略在線下載、密碼資源在線分發(fā)和更換等功能。邏輯業(yè)務(wù)服務(wù)功能在邏輯密碼系統(tǒng)中提供特定用途的保密業(yè)務(wù)與應(yīng)用功能。邏輯密碼網(wǎng)關(guān)功能在邏輯密碼系統(tǒng)中提供與其他密碼系統(tǒng)的互聯(lián)互通功能?？梢钥闯?，密碼系統(tǒng)虛擬化切片從自身角度，能夠?qū)⒉煌艽a物理設(shè)備上虛擬出來的邏輯密碼功能關(guān)聯(lián)和編排起來，形成一個(gè)完整的邏輯密碼系統(tǒng)，從而確保密碼系統(tǒng)的持續(xù)靈活可擴(kuò)展性，同時(shí)也極大幅度地降低了傳統(tǒng)密碼系統(tǒng)在研發(fā)、建設(shè)以及管理上的投入。3.2從作為配套功能角度密碼系統(tǒng)虛擬化切片作為配套功能可以為宿主系統(tǒng)提供差異化的信息安全能力。5G網(wǎng)絡(luò)就是一個(gè)絕佳的典型宿主系統(tǒng)，基于密碼系統(tǒng)虛擬化切片提供具有差異化信息安全能力的虛擬密碼功能服務(wù)，通過將其編排進(jìn)相應(yīng)的網(wǎng)絡(luò)切片中，形成具有差異化信息安全能力的網(wǎng)絡(luò)切片，以支持垂直行業(yè)的差異化信息安全需求，如圖9所示。圖9差異化網(wǎng)絡(luò)切片定制原理傳統(tǒng)的網(wǎng)絡(luò)切片是為不同應(yīng)用場景提供具有差異化網(wǎng)絡(luò)通信能力的虛擬邏輯網(wǎng)絡(luò)，而密碼系統(tǒng)虛擬化切片的引入能夠?qū)⒕W(wǎng)絡(luò)切片的內(nèi)涵擴(kuò)大，將差異化能力的范疇從網(wǎng)絡(luò)通信能力擴(kuò)充到信息安全能力，最終為垂直行業(yè)提供一系列具有差異化安全能力的定制網(wǎng)絡(luò)切片，如圖10所示。圖10面向垂直行業(yè)差異化需求的網(wǎng)絡(luò)切片可以看出，密碼系統(tǒng)虛擬化切片從作為配套功能角度，在降低自身建設(shè)成本的同時(shí)，還能夠消除密碼系統(tǒng)的功能提供者與消費(fèi)者之間的耦合關(guān)系，從而實(shí)現(xiàn)密碼技術(shù)與計(jì)算、存儲(chǔ)以及網(wǎng)絡(luò)通信技術(shù)之間的獨(dú)立發(fā)展演進(jìn)效果。4密碼系統(tǒng)虛擬化切片試驗(yàn)驗(yàn)證依托從運(yùn)營商租賃的標(biāo)準(zhǔn)商用5G移動(dòng)通信基礎(chǔ)設(shè)施（含虛擬化網(wǎng)元和編排系統(tǒng)）和自研的安全基礎(chǔ)設(shè)施（含虛擬化安全功能和編排系統(tǒng)），構(gòu)建3個(gè)典型的端到端網(wǎng)絡(luò)切片和3個(gè)密碼系統(tǒng)虛擬化切片，并基于該系統(tǒng)進(jìn)行試驗(yàn)驗(yàn)證，網(wǎng)絡(luò)拓?fù)淙鐖D11所示。圖11試驗(yàn)驗(yàn)證環(huán)境網(wǎng)絡(luò)拓?fù)湔麄€(gè)試驗(yàn)驗(yàn)證環(huán)境包括用戶終端、基站、核心網(wǎng)基礎(chǔ)設(shè)施、安全基礎(chǔ)設(shè)施、信息基礎(chǔ)設(shè)施，具體設(shè)備組成清單如表1所示。表1試驗(yàn)驗(yàn)證設(shè)備組成清單需要說明的是，安全增強(qiáng)SIM卡中嵌入了國產(chǎn)/專用的認(rèn)證算法模塊。專用UDM網(wǎng)元除了具備標(biāo)準(zhǔn)UDM的全部功能，還開放與控制面專用認(rèn)證服務(wù)之間交互的接口，用于嵌入并調(diào)用基于國產(chǎn)/專用認(rèn)證算法的專用身份認(rèn)證能力。安全組件和VPN網(wǎng)關(guān)提供終端側(cè)高速業(yè)務(wù)信源和傳輸加密防護(hù)功能，虛擬化VPN網(wǎng)關(guān)提供網(wǎng)絡(luò)側(cè)高速傳輸加密防護(hù)功能，應(yīng)用安全增強(qiáng)服務(wù)提供應(yīng)用側(cè)信源加密防護(hù)功能。低功耗安全組件提供終端側(cè)信源和輕量級傳輸加密防護(hù)功能，輕量級安全網(wǎng)關(guān)服務(wù)提供網(wǎng)絡(luò)側(cè)輕量級傳輸加密防護(hù)功能，應(yīng)用安全增強(qiáng)服務(wù)提供應(yīng)用側(cè)信源加密防護(hù)功能。安全管理服務(wù)對所有網(wǎng)絡(luò)側(cè)和應(yīng)用側(cè)虛擬化安全功能服務(wù)提供密鑰管理和安全策略管理功能。通過網(wǎng)絡(luò)功能編排系統(tǒng)，將核心網(wǎng)拜訪域網(wǎng)絡(luò)基礎(chǔ)設(shè)施、核心網(wǎng)歸屬域網(wǎng)絡(luò)基礎(chǔ)設(shè)施以及網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施中的虛擬化網(wǎng)絡(luò)功能、虛擬化安全功能進(jìn)行編排，形成具有差異化能力的網(wǎng)絡(luò)切片，分別是普通安全等級寬帶網(wǎng)絡(luò)切片、高安全等級寬帶網(wǎng)絡(luò)切片以及高安全等級物聯(lián)網(wǎng)切片。通過密碼功能編排系統(tǒng)，將網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、應(yīng)用安全基礎(chǔ)設(shè)施中的控制面專用認(rèn)證服務(wù)、虛擬化VPN網(wǎng)關(guān)、輕量化安全網(wǎng)關(guān)服務(wù)、應(yīng)用安全增強(qiáng)服務(wù)以及安全管理服務(wù)等虛擬化安全功能進(jìn)行編排，形成具有差異化能力的密碼系統(tǒng)虛擬化切片，分別是密碼系統(tǒng)虛擬化切片1、2、3，分別對應(yīng)普通安全等級寬帶網(wǎng)絡(luò)切片、高安全等級寬帶網(wǎng)絡(luò)切片以及高安全等級物聯(lián)網(wǎng)切片，及其各自應(yīng)用所對應(yīng)的密碼系統(tǒng)。本文從多個(gè)維度對安全增強(qiáng)機(jī)制進(jìn)行了驗(yàn)證，具體包括以下內(nèi)容。4.1密碼系統(tǒng)虛擬化切片間的安全隔離普通安全等級寬帶網(wǎng)絡(luò)切片以及密碼系統(tǒng)虛擬化切片1采用傳統(tǒng)虛擬化容器技術(shù)手段提供資源隔離，高安全等級寬帶網(wǎng)絡(luò)切片、高安全等級物聯(lián)網(wǎng)切片及密碼系統(tǒng)虛擬化切片2和3采用基于密碼的虛擬化容器安全加固技術(shù)手段提供強(qiáng)隔離。分別在虛擬化容器外部，嘗試獲取各自操作系統(tǒng)的內(nèi)核版本。從密碼系統(tǒng)虛擬化切片外部獲取內(nèi)核信息試驗(yàn)如圖12所示。圖12從密碼系統(tǒng)虛擬化切片外部獲取內(nèi)核信息試驗(yàn)可見，從普通安全等級網(wǎng)絡(luò)切片及密碼系統(tǒng)虛擬化切片1的虛擬化容器外部可獲得操作系統(tǒng)內(nèi)核版本，而從高安全等級網(wǎng)絡(luò)切片及密碼系統(tǒng)虛擬化切片2、3的虛擬化容器外部無法獲取操作系統(tǒng)內(nèi)核版本。分別在虛擬化容器外部，嘗試獲取和打開一個(gè)相同的文件。從密碼系統(tǒng)虛擬化切片外部打開文件試驗(yàn)如圖13所示?？梢?，從普通安全等級網(wǎng)絡(luò)切片及密碼系統(tǒng)虛擬化切片1的虛擬化容器外部可獲得并正常打開一個(gè)文件，而從高安全等級網(wǎng)絡(luò)切片及密碼系統(tǒng)虛擬化切片2、3的虛擬化容器外部無法獲取并正常打開一個(gè)相同的文件。證明可通過將網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施進(jìn)行聯(lián)合編排，形成高安全等級網(wǎng)絡(luò)切片，其虛擬化容器具有安全加固功能，可防止攻擊者從容器外部獲取容器內(nèi)部信息；通過密碼系統(tǒng)虛擬化切片技術(shù)可基于同一套安全基礎(chǔ)設(shè)施同時(shí)實(shí)現(xiàn)面向普通安全等級、高安全等級系統(tǒng)的虛擬化容器差異化安全防護(hù)能力。圖13從密碼系統(tǒng)虛擬化切片外部打開文件試驗(yàn)4.2控制面差異化安全機(jī)制驗(yàn)證普通安全等級寬帶網(wǎng)絡(luò)切片以及密碼系統(tǒng)虛擬化切片1采用3GPP規(guī)定的AES算法提供接入認(rèn)證，由核心網(wǎng)歸屬域UDM管理包括長期密鑰在內(nèi)的所有用戶簽約信息；高安全等級寬帶網(wǎng)絡(luò)切片、高安全等級物聯(lián)網(wǎng)切片及密碼系統(tǒng)虛擬化切片2和3采用基于國產(chǎn)/專用認(rèn)證算法提供的專用接入認(rèn)證，由核心網(wǎng)歸屬域定制UDM管理用戶簽約信息，由控制面專用認(rèn)證服務(wù)管理用戶的長期密鑰信息。為安全增強(qiáng)SIM卡和標(biāo)準(zhǔn)SIM卡同時(shí)寫入相同的、高安全等級寬帶網(wǎng)絡(luò)切片的相關(guān)參數(shù)，包括相同的IMSI、OPc以及根密鑰K等。將寫入了相同參數(shù)的安全增強(qiáng)SIM卡和標(biāo)準(zhǔn)SIM卡插入相同的移動(dòng)智能終端，經(jīng)過試驗(yàn)驗(yàn)證發(fā)現(xiàn)，只有插入了安全增強(qiáng)SIM卡的手機(jī)能夠通過高安全等級寬帶網(wǎng)絡(luò)切片的接入認(rèn)證。證明可以實(shí)現(xiàn)不同安全等級網(wǎng)絡(luò)切片之間用戶簽約信息的隔離管理，達(dá)到由行業(yè)用戶自主管理的效果，對拜訪域透明無感；同時(shí)可通過編排控制面專用認(rèn)證服務(wù)提供專用的接入認(rèn)證算法，依托密碼系統(tǒng)虛擬化切片自身提供的差異化安全能力，實(shí)現(xiàn)普通安全等級網(wǎng)絡(luò)切片與高安全等級網(wǎng)絡(luò)切片之間的密碼隔離效果，其安全強(qiáng)度高于傳統(tǒng)基于資源隔離的效果；通過密碼系統(tǒng)虛擬化切片技術(shù)可基于同一套安全基礎(chǔ)設(shè)施同時(shí)實(shí)現(xiàn)面向普通安全等級、面向高安全等級系統(tǒng)的差異化控制面安全防護(hù)能力。4.3用戶面差異化安全機(jī)制驗(yàn)證普通安全等級寬帶網(wǎng)絡(luò)切片以及密碼系統(tǒng)虛擬化切片1采用虛擬化VPN網(wǎng)關(guān)提供傳輸加密防護(hù)，采用應(yīng)用安全增強(qiáng)服務(wù)提供信源加密防護(hù)功能；高安全等級寬帶網(wǎng)絡(luò)切片以及密碼系統(tǒng)虛擬化切片2采用虛擬化VPN網(wǎng)關(guān)提供傳輸加密防護(hù)，采用應(yīng)用安全增強(qiáng)服務(wù)提供信源加密防護(hù)功能，采用異網(wǎng)互通網(wǎng)關(guān)服務(wù)提供與安全PSTN系統(tǒng)之間通信互通和密碼互通功能；高安全等級物聯(lián)網(wǎng)切片以及密碼系統(tǒng)虛擬化切片3采用輕量化安全網(wǎng)關(guān)服務(wù)提供輕量化傳輸加密防護(hù)，采用應(yīng)用安全增強(qiáng)服務(wù)提供信源加密防護(hù)功能。在5G智能手機(jī)上部署安全組件，5GCPE與測試計(jì)算機(jī)之間串接VPN網(wǎng)關(guān)，與寬帶網(wǎng)絡(luò)切片及密碼系統(tǒng)虛擬化切片1或2中虛擬化VPN網(wǎng)關(guān)及應(yīng)用安全增強(qiáng)服務(wù)配合，提供端到端業(yè)務(wù)傳輸加密防護(hù)和信源加密防護(hù)能力；在物聯(lián)網(wǎng)終端上部署低功耗安全組件，與物聯(lián)網(wǎng)切片及密碼系統(tǒng)虛擬化切片3中的輕量化安全網(wǎng)關(guān)服務(wù)及應(yīng)用安全增強(qiáng)服務(wù)配合，提供端到端業(yè)務(wù)輕量化加密防護(hù)和信源加密防護(hù)能力。用5G智能手機(jī)1分別與5G智能手機(jī)2、5GCPE1和2嘗試建立高清視頻業(yè)務(wù)；用5G智能手機(jī)2分別與5G智能手機(jī)1、5GCPE1和2嘗試建立高清視頻業(yè)務(wù)；用物聯(lián)網(wǎng)終端向物聯(lián)網(wǎng)應(yīng)用環(huán)境上傳感知信息。經(jīng)過測試驗(yàn)證發(fā)現(xiàn)，5G智能手機(jī)1只能與5GCPE1成功建立高清視頻業(yè)務(wù)；5G智能手機(jī)2只能與5GCPE2成功建立高清視頻業(yè)務(wù)；物聯(lián)網(wǎng)應(yīng)用能夠獲取物聯(lián)網(wǎng)終端采集到的環(huán)境感知數(shù)據(jù)。通過從傳輸線路上捕獲3個(gè)網(wǎng)絡(luò)切片和3個(gè)密碼系統(tǒng)虛擬化切片的業(yè)務(wù)數(shù)據(jù)，與其各自網(wǎng)絡(luò)切片和虛擬化切片的虛擬化VPN網(wǎng)關(guān)或輕量化安全網(wǎng)關(guān)服務(wù)進(jìn)行明密對比，驗(yàn)證了用戶面差異化安全機(jī)制的機(jī)密性保護(hù)效果。通過在傳輸線路上修改業(yè)務(wù)數(shù)據(jù)驗(yàn)證了虛擬化VPN網(wǎng)關(guān)或輕量化安全網(wǎng)關(guān)服務(wù)