杨红梅 谢君
(中国信息通信研究院安全研究所,北京 100191)
摘要:网络切片是5G网络架构的重要特征之一,运营商可通过5G网络切片为不同的行业应用提供服务,实现灵活高效的网络资源编排和调度n o c @,满足差异化的业务特征及安全性需求。介绍了5G网络切片的基本概念及实现方案,阐述了5G网络切片应用场景及安全需求,分析了5G网络切片面临的安全风险及应对方法,并梳理M % 7 g g q了5G网络切片国e h % o D j X [际国内标准化进展情况,最M 2 V E后对5G网络切片及行业应用安全的总体发展方向进行了展望。
关键词:5G网络切片;应用;安全;标准
1 引言
5G作为当前最具代表性的网络信息技术,已成为经济社会数字化转型的重要驱动力量。与4G相比,5G可提供至少10倍于4G的峰值速率、毫秒级的传输时延和每平方公里百万级的连接能力,关键性能指标得到了巨大的提升。5G实r H K 0 Z 6 5 ~现了全新的核心网网络架构、灵活的无线系统设计、新型信道编码和大规模天线技术等技? s @ { / #术创新,可满足移动互联网和物联网的多样化业务需求,应用场景更加广泛。2019年被称为5G商用元年,总体来看,全球5G商用进程加快,美国和韩国抢先开展5G商用,欧洲积极跟进,据全球移动P F [ o P供应商协会(GSA)统计,截止到2019年10月,共有109个国家的328家运营商正在投资建设5G网络,69家运营商宣布已部署5G网络。
5G商用初期,各运营商推出的业务主要以固定无线接入和增强移动宽带为主,比如4K/8K超高清视频、VR/AR等,同时5G在工业互联网、医疗等领域的应用也广受关注,这些应用对网络的服务质量要求和安全性要求具有明显差异。因此,运营商迫切需要基于同一张物理网络同时支持差异化需求的垂直行业应用,网络切片w h s Q x技术应运而生。基于网络切片技术,5G网络可为工业、交通、医疗等千5 y O 6 ^ + 8 N 8行百业提供端到端、可定制的智能化通信信息服务,将3 y = } F 1 8成为万物互联的纽带,从而对科技、经济、社会、民生e R 4各领域带来全方位、深层次的影. { E 1 2 J [ g f响。
2 5G网络切H e d @ + L C片简介
2.1 网络切片概述
网络切/ ( | R q片是指为服务某个行业或某种应用场景,从网络中选取特定的特性和功能,定制出一个逻辑上独立的虚拟专用网络。一个虚拟M c O专用网络就W z 7 I P是一个切片,不同切片之间相互隔离。也就是说,在同一个物理网络上切分出多个功能、特性各不相同的逻辑网络,同时支持多种业务场景,相当于为每一个% ` # = * 6场景专门搭建一个网络。每个5G端到端网络切片都可以提6 } 8 K 6 u c !供一套完整网络的功能,包括9 5 ? v接入网功能和核心网功能。
网络切片技术使得网络运营商能够在统一的基础设施上为多个行业用户提供满足其定制化需求的多个专用虚拟网络,典3 p o型的网络切片架构@ / & m n如图1所示。网络切片具有的特点:一是可根据业务需求对网络功能K 0 7 t进行定制裁剪和灵活组网,L ~ N j +从而优化业务流程和数据路由;二是切片生命周期结束之后可以将资源释放给其他虚拟网络,实现网络资源的动态分配和灵活调整,提高网络资源利用率;三是可以隔离不同业务场景所需的网络资源,提供网络资源保障,从而增强整体网络的健壮性和可靠性;四是可提供差异化、端到端的安全机制,满足各应用场景不同的安全需求;同时,良好的切片间隔离还可以保障任何一个切片发生故障都不会影响到其他切片,增强网络的安全性| n 0 Y ,。
图1 网络切片架构示意图
传统网络通常是一种架构满足所N ? C _ ! 3 k (有业务需求,而5G时代,利用网络切片技术,可以做到为每种l W a :有特定需求的业务量身定做专用虚拟网络(切片),其中特定需求包括功能需求(如优先级W R C ?、计费、_ = m M $ Q ^ = j策略控制、安全、移动性等)、性能需求(如时延、移动性、可靠性、速率等)、服务对象(如所有用户、漫游用户、虚拟运营商等)等。因此,网络切片技术将从根本上改d P B h ) M w O变传统的^ k d G V Y v A移动通信j ~ S 9 ; ]网络架构、网络规划及部署模式,同时也给运营商开拓商业模式带来新的契机,如给垂直行业提供网络切片服务,使其可在给定的权限范围内控制运营商的网络切片,实现定制化服务。
2.2 网络切片实现方案
一个UE(用户设备)通过5G接入网可以同时连接到一个或多个网络切片(最多8个)。服务于UE的AMF(接( E X r # z & F入管理功能)在逻辑上属于为UE服务的每个网络q u p =切片,即该AMF对于服务于UE的网络切片来说属于共享网络功能。同时,由于切片隔离,AMF可能只为部分切片服务,因此终端发L R z N - A起注册请求时,接入网需要先进行初始Ai i s i L 7 ] cMF选择,然后AMF进一步进行切片选择,某些场景下可能会触发AMF的重选流程来适配终^ } | [ i = S端希望连接的切片。注册完成后,AMF会通知UE其可以接入的切片信息。当AMF接收到来自UE的N 0 4 $ * 7PDU会话建立请求消息时,该AMF会进一步发起网络切片中的SMF发现和选择过程。
3 5G网络切片应用场景及安全需求
5G网络切片应用场景主要包括eL K hMBB(增强移动宽带)、uRLLC(超可靠低时延通信)和mMTC(E D G s _ E A Q J海量机器类通信)。
3.1 eMB/ , V D 4 ? AB应用场景及安全需求
eMBBA ~ u # ^典j M 9 B z h型应用场景主要包括高清视频、AR/VR、海量实时数据交互等移动互联网业务,以及视频监控、移动c 4 o _ o & ` T s医疗等物联网业务,5G时代,人们希望在体育赛事、演唱会等人员超密集场景下以及在高铁上等高速移动环境下也能! 2 + ( @ - B s获得连续的A c b Q优质业务体验。这些业务对5G= N G p J : E网络的流量、传输速率都提出了很高的要求,包括s T ~ 3高用户体验速率、高用户峰值速率、高清视频流的流畅播放、高速移动时大流量密度、高用户密度场景下的高数据速率、业务连续性、根据用户数自动扩缩容、优化用户面数据传输路# Y ; 1 P x , A径等。
eMBB应用场景的大流量、高速率对现有网络安全防护手段提出了挑战:大流量、高速率带来网络边缘数据流量的大幅提升,现有网络中部署的防火墙、入侵检测系统、数据及信息保护系统等安全设备在流量检测、链路覆盖、数据; o c q a 2 B存储、计算与处理能力等方面将面临较大挑战。因此,需要对安全防护技术和设t % S % O备进行演进和升级,如在现有防护手段中引入虚拟化、服务化技术等,以适应和应对大流量、高速率带来的冲击。
3.2 uRLLC应用场景及安全需求j 0 K a g C 2 i n
uRLLC典型应用场景主要包括工业控制、远程医疗、自动驾驶、智能电网以及公共安全等。这些业务对端到端时延、安全性和可靠性提出了很高的要求z 6 G 7 .,包括@ ^ ; O / R毫秒级时延、高可靠性、低丢包率、低抖动、多样性安全机制以及业务隔离等。
uRLLC应用场景的低时延需求造成复杂的安全机制部署受限。安全机制的部署,例如接入认证、数据传输安全保护、终端移动过程中切换、数据加解密等均会增加时延,过于复杂的安全机制不能满足低时延业务的要求。另外,uRLLC应用场景通常需要借助部署多接入边缘u y Q k W计算(MEC)系统来实现超可靠、低时延指标,而MEC的部署特点是将边缘计算节点下沉到核心网边缘,边缘环境受到物理攻击的可能性增大。因此,需要建立面向低时延需求的安全机制,优化业务接入认证、数据加解密等环节带来的时延;同时,对边缘计算设施予以物理保护和网络防护,充分利用已有的安全技术进行平台加固并增强边缘设施自身的防盗防破坏措施,尽力提升低时延条件下安全防护能力。
3.3 mMTC应用场景及安全需求
mMTC典型应用场景主要包括智能家居、智慧城市、环境监测、智慧农_ C 7 F ~ u 3 B {业、智能抄表和智能穿戴等K z i @ G N Z物联网业务。这些应用覆盖领域广,接入设备数H 5 A量巨大,应用地域和设备供应商标准分散,业务种类多,业务x ) Z x : Q 5 Q在低功耗、大: i G连接方面有突出需求,包括高密度的海量设备连接、多样化连接模式、高效的轻量级通信、低频率数据传输下的高资源使用率、轻量级的设备配置和管理、低能耗、通信安全性、在线和离线计费等。
mMTC应用场景的海量多样化终端易被攻击利用,对网络运行安全造成威胁。预计到2025年全球物联网设备联网数量将达到252亿,其中大量S ^ 0 V j l功耗低、计算和存储资源有限的终端难以部署复杂的安全N # ]策略,一旦被攻击利用形成设备s q ! | |僵尸网络,将会成为攻击源,进而引发对用户应用和后台系统等的网络攻击,带来网络中断、系统瘫痪等安全风险。因此,需要构建基于海量机器类通信场景的安全模型,优化终端设备接入安全机制,建立智能动态防御体系应对网络攻击,防止网络安全威胁横向扩散。
4 5G网络切片安全? v = n F分析
4.1 网j % I A O S络切片的安全需求
5G网络除了需要支持移动互联网业务场景之外,还需要支持工业互联网D ! X W & 2 G )、车联网以及物联网为典型代表的垂直行业应用场景,因此传统的安全防护机制将难以满足5G时代新的安全需求。5G网络切片是在统一的基础设施上,为不同用户按需提供专用服务,不同~ Y K 2专用服务对安全的需求也不尽相同。因此,网络g w a f [ ` P切片为不同业务提供定制化服务的同时,也需要提供量身定做的安全防护能力。
网络切片需要满足的安全需求主要包括授权用户才能接入网络切片、保证网络切片中重要网元的安全、保l Z h s l O d Z U障网络切片敏感信息的存1 [ U W储及传输安全、网络切片之间的安全隔离等。
4.2 网络切片面临的安全风险及应对
不同的网络切片承载不同的5G业务,但网络切片共享网络基础设施,因此对切片的安全隔离能力带来挑战;若网络切片m 9 T的认证和授权能力不足,则可能造成敏感信息和/或隐私信息泄漏,并且被攻击者所利用;另外,在5G新业务场景下,运营商可能会以网络切片的模式向第三方企业、用户提供网络服务,对于此种服务中X ! . K涉及的运营商、虚拟运营商、用户等不同层和不同] Q 4 3域的安全责任主体划分问题U I 7 6面临挑战。下面具体介绍几种典型的安全风险。
(1)网络切片安全隔离风险
如果网络切片之间的隔离出现问题,则攻击者将可能借助某m g ! f 8 7一个切片访问其他g @ 4 G i ? T H E切片,然后利用该访问发起攻击。例如,一个切片的扩缩容操作可能消耗其他切片的资源,导致资源不足,不e Y L Q 4 k I &能支持其他服务;攻击者可以通过非法访问其他切片中的功能或通过隐蔽通道攻击来窃取数据等[ R ) m $ ; #。因此,每个切片都应该具有独立的安全6 Z j { f策略,不同的网络S X Z k v 3切片的资源不应相互影响,当单个UE通过多个网络切片访问服务时,应该可以将切片彼此隔离,以尽量减少对数据机密性和完整性的攻击。
(2)网络切片安全机制差异化
网络切片对不同应用提供按需的安全能力n S J m U l e k,意味着每个切片需要配置特定于服务的安全机制(包括策略、协议和功能等),如果网络切片安全级别水平不够,访) & , + [ _ # D [问和会话将面临安全风险。因此,不同的网络切片应6 K # ; o J Q支持不同的安全机制,包括在认证方法、凭证类O s ) m型、用户存储库、控制策略和安全策略等方面,其中q U y ) L * ( n b安 R 8 Q } O b G S全策略可能包z h , V - ] 0 L z括隔离策略、加密算法、完整性保护算法、密钥长度以及密钥到期策略等。
(3)UE的接入安全
UE可以同时访问多个网络切片,可以通过不同方式接入网络,比如3GPP和非3GPP等;另外,在物联网场景下,传感器和可穿戴设备的连接设备(UE)的类型和数量巨大,因此确保将合适的网络切片正确分配给相应的签约用户至关重要,否则将面临在网络切片选择过程中用户隐私信息泄漏风险。因此,需要提高交互消息的完整/ S S a性和+ V : 4 ~ a [ )机密性保护能力。
(4)能力开放接口H ~ ; ] H Z安全
5G网络通过网络能力开放接口为授权的第三方提供创建和管理网络切片配置的能力,未授权的第三方可能利用这些接口来发起攻击,如非法访问其他应7 a x G ( 0 `用的API(应用程序接口)、访问和: e 0 = X 篡改网络核心数据等。可通过基于6 } I公共接口功能的能力开放架构(CAPIF架构)来应对风险,CAPIF架构对能力开放进行认证和授权并采用TLS(传输层)机制,保护传输信息h T F v }的安全性。
(5| ~ ^ = d H s 4 e)切片间通信安全
网络切片之间的接口面临安全风险。如果切片间通信不受保护,网络切片的功能可能受到阻碍。攻击c & p切片间接口的控制面可以劫持一个或多个UE的通信,可以破坏整个网络切G j ! k Q s n y Z片的功能或恶意操纵切片的行为方 $ i 9 . X Q式,因此如果接口不受保护,则可能会对服务造成严重影响;另外,攻击g N : / % Q用户面可以破坏或恶意转移用户数据,进而影响一个或多个UE。需要加强切片间的通信安全保护机制来应对此类风险。
5 5G网络S 8 c (切片标准进展
5.1 国际标准
5G网络切片相关的国际标准主要在第三代合作伙伴(3GPP)研究制定,目前重点研究网络切片架构、流程以及管理和编排等方面的内容,后续研究的热点包括智能切片及无线接入网切片等。其中,智能切片主要研究切片管理系统如何依据用户体验信息灵活、动态地调整资源配置;无线接入网切片主要研究切片空口资源保障及资源隔离等。
在网络切片安全方面,重点研究5G网络切片安全需求、认证架构及流程、隐私@ z } v C ~ [保护、切片安全管理、切片服务安全能力开放等。3GPP分阶段研究不同的关键问题:R14阶段,主要研究切片隔离、网络切片安全机制差异化、接入安全等内容;R15阶段,重点研究用( g r } g ! E X户X H h q N B } :接入数据网络中的切片认证流程;R16阶u a 1 % ( Y { t段,聚焦接入特定网络切片的认证、密钥隔离、网络切片即服务(NSaas)安全功能以及安全隐私等方面。
3GPP在网络切v + f t J片方面的主要研究成果有:系统架构(3GPP TS 23.501)、5G系统流程(3GPP TS 23.502)、下一代系统安全研究(3GPP TR 33.899)、5G系统安全架构和流程(3GPP TS 33.501)、网络切片增X + W #强研究(3GPP TR 23.740)、网络和网络切片的管理h x 4 I k q T和编排(3GPP TS 28.531)、网络切片增强安全研究(3GPP TR 33.813)、网络切片管理的基本概念、相关角色和管理需求(3GPP TS 28.530)、网络切片管理和编排:切片提供(3GPP TS 28.53U k j | k1)、管理服务(3GP~ X , ^P TS 28.532)、架构框架(3GPP TSQ ] H 28.533)、性能保障(3GPP TS 28.550)、性能测量和保障(3GPP TS 28.552)、端到端KPI指标(u o F 8 D S p3GPP TS 28.554)、网络资源模型(3GPP TS 28.540、3GPP TS 28& ? ; p J ..541)等。
5.2 国内标准
我国5Y $ ` t eG网络切片相关标准主要在E S z * L中国通信标准化协会(CCSA)研究制定,目前在研项目Z x W ) D g d主要包括移动Q y 9通信网网络切片管理技术要求、5G核心网络切片场景及关键技术研究、5G核心网智能切A , e C f片的应用研究、5G网络切片安全技术研究、支持5G承载的IP网络切片技术研究、传送网网络切片技术研究等行业标准和研究课题。
为了更好地支撑切片. t =的商用部署,加快制定端到端切片配套的标准,CCSA专门成立了“5G网络端到端切片特设项目组”,2019年12月3P I F0日,项目组召开了第一次会议。会议提出建立5G网W v *络切片标准体系,该标准体系主要包括切片基础能力和切片SLA(服务等级协议)保障两T . { & , I k K大部分。V ; M随着研究工作的进展,后续还会对该体系进行进一步修改完善。后续将加紧制定以下行业标准及研究课题:
●《5G网络切片 端到端总体W H # C : W技术要求》
●《5G网络切片 基于切片分组网络(SPN)承载的端到端+ 7 {切片对接技术要求》
●《5G网络B G ( n a ^ E f E切片 基于IP承载的端到端切片对接技术要求》
●《5G网络切片 服务等级协议(SLA)保障技术要求》
●《5G网络端到端切片标识研究》
6 结束语
随Q 2 S B 2 + [ @着5G商用进程的A ; p G ^ L K快速推进,5G发展已进入落地应用阶段,加快5G应用部署,赋能垂直行业,培育应用生态,成为当前业界关注的焦点;同时,由于5G应用涉及到人们生产生活的方方面面,其安全问题也受到高度重视。5G网络切片是实现不同行业应用场景、差异化业务要求以及用户极致体验需求的关键技术,其带来便利性的同时也面临着Y s 1 z # l #新的安全风险和挑战。5G网络切片及行业应用安全相关国际国内标准尚未完全成熟,需要产业链各环节(包P & 1括网络设备商、运营商、行业应用提供商、安全设备商、研究机构)共同探索建立满足* i U G c5G多样化需求的安e &全体系,在标准推进、产业研发、网络运营等各个环节加大投入,共同应对5G网络安全风F U f H险,以便部署满足行业发展需求的安全可靠@ G -的5G网络,从而推动5h n u d + ; ! R SG安全和5G产业同步规划、同步建设、同步发展。
参考文献
[1] 闫新成, 毛玉欣, 赵红勋. 5G典型应用场景安全 需求及安全防护对策[J]. 中兴通讯技术, 2019(8):6-13.
[2] 宋熠, 杜诗雨. 5G网络切片对业务场景的支持与发展现状[J]. 软件, 2018(8):156-161.
[3] IMG e t . m b I AT-2020(5G)推进组. 基于AI的智能切片管理和协同白皮书[R], 2020.
[4] CCSA. 5G网络切片安全技术研究[EB/OL]. (2019-09-04)[$ s ; V2019-12-30]. http://www.cP S o ` Vcsa.org.cn/worknews/contM . ?ent.php3?id=3421.
[5] CCSA. 5G核心网络切片场景及关键技术研究[EB/OL]. (2019-09-04)[2019-12-30].http://} : z 2 Q { ~ Rwww.ccsa.org.cn/worknews/content.php3?id=3421.
Application and security analysis of 5G Netwo2 L E X rk slice
YANb k z X yG Hongz U fmei,W D } d v d @XIE Jun
(China Aca; ~ p o ^ { ) @demy o| r ( G Gf Information a9 * bnd Communications Technology, Beijing 100191H V ^ R V # ` q,A x :Cc ~ (hina)
Abstract::Network sliH s ] 8 } P /cing is one of the important characteristi^ C ` Z b Ccs of 5G network aJ & _rchitecture. Operators can sY S 5 Bupport different vertical industry applications by 5G Network slicing, realize flexible and efficienK l dt network res` _ g m # Oource arrangem^ 6 G Qent and scheduling, and meet the differentiated business characteristn d Z - U *ics and security requirements. This article introduces the concept andn { Q E M i [ implementatio} I 1 _ B B # r %n scheme of 5G network sliciy o { fng, describes the application scenario and security requirements of 5G Networkn F O a sliciv g j } V I / F Ing, analyzes the security riskl G i } = ) l Ys and the countermeasures, iy F . o ~ntroduces the related inteE ( | [ ~ 9 {rnational and doF c B f rmestic specifications, Finally, the development trend of 5G Network slV . D - ) e icing is prospected.
Key words:5G Network slic= k % *ing; application; se0 s }curn Y % u ( ^ @ity; specification
作者简介
杨红梅:中国信息通信研究院安全研究所重要通信研究部副主任,高级工程师,IMT-2020(5G)推进组安全工作组组长,中国通信标准化协会TC5 WG12副组长,长期从事移? a L w / F I M动通信K { % E Q Q v核心网、网络安全技M ^ , K 3术研究的相关工作,多次获得中国通信标准化协会科学技术一等奖、三等奖,牵头完成多项国家重大专项
谢君r v r J Q / J:中国信息通信研究院安全研% , 4 K ( m / }究所重要通信研究部助理工程师,从事移动通信核心网相关技术的研究工作
论文引用格式:
杨红梅,谢君. 5G网络切片应用及安全研究[J]. 信息通信技术与政策, 2020(20 & . v 5 a h * h):25-29.
本文刊S b C ; C _ V d y于《信息通信技术与政策》2020年第2期
《信息通信技术与政策》是工业和信息化部主管、中国信息通信研究院主办的专业) V `学术% N k e d { C期刊。本刊定位于“信息通信技术前沿的风向标,^ M 3 k信息社会政策探究的思想库”,聚焦信息通信领域技术趋势、& H , _公共政策、 国家/产业/企业战略,发布前沿研究成果、焦点问题分析、热点政策解读等,推动5G、工业互联网、数字经{ ; 3 6 h V T u济、人工智能、区块链、大数据、云计算等技术产业的创新与发展,引导国家技术战略选择与产5 x x业政/ h ? S P . { $ ~策制定,搭建产、学、研、用的高端学术交流平台。