摘 要：

　　2019 年 6 月，5G 牌照的發放標志著我國正式進入了 5G 發展元年，經過兩年多的發展，我國已基本建成了覆蓋全國的商用 5G 網絡。隨著 5G 業務的深入應用，5G 與垂直行業的融合創新不斷涌現。針對商用 5G 網絡在滿足高安全垂直行業用戶敏感業務方面存在的安全保障能力不足的問題，結合第三代合作伙伴計劃（3rd Generation Partnership Project，3GPP） R15 標準中提出的安全機制和安全能力現狀，描述了商用 5G 網絡在滿足高安全垂直行業應用時需要注意的安全需求，并針對這些需求提出了一些可能的解決途徑和方法。該研究可以為構建基于商用 5G 網絡的垂直行業專用切片提供安全指導。

　　內容目錄：

　　1　3GPP 提出的垂直行業用戶安全需求

　　2　相關標準提出的安全性保障方法

　　3　高安全垂直行業特殊安全問題

　　3.1　網絡虛擬資源的安全

　　3.2　網絡切片安全隔離

　　3.3　網絡切片安全能力定制

　　3.4　網絡切片接入的安全

　　3.5　業務傳輸安全增強

　　3.6　切片安全運營管理

　　3.7　用戶隱私保護

　　4　解決途徑及思路

　　4.1　解決思路

　　4.2　技術途徑

　　4.2.1　需求定制

　　4.2.2　服務嵌入

　　5　結　語

　　5G 通過在統一的網絡基礎設施之上構建多個虛擬化邏輯網絡切片的方式，來滿足工業控制、健康及智慧醫療等垂直行業的差異化需求。通過研究智慧交通、智能電網、智能家居、智能醫療、信息消費等不同的垂直行業，發現不同行業對 5G 網絡的安全需求是不同的，甚至可能是相悖的。因此，5G 網絡需要根據不同的安全需求提供可定制和差異性的安全能力，并針對特殊安全要求，采用專用的安全增強措施，滿足不同行業應用的差異化安全需求。

　　本 文 從 第 三 代 合 作 伙 伴 計 劃（3rd Generation Partnership Project，3GPP）的國際標準 R15 TS 33.501《5G 系統安全架構和過程》中對普通垂直行業的安全需求的研究出發，首先分析和研究該標準對其提出的安全需求的滿足程度和安全性保障方法，其次總結針對高安全垂直行業需要提高關注的安全需求及問題，最后提出相應的解決辦法和途徑。

　　１

　　3GPP 提出的垂直行業用戶安全需求

　　3GPP 作為全球范圍內主導商用 5G 網絡標準化工作的組織，自 5G 網絡概念提出之日起，就認識到：隨著跨行業、跨領域的融合創新的不斷深入，垂直行業用戶將是 5G 網絡的重要服務對象。如果說長期演進（Long Term Evolution，LTE）是針對個人用戶（2C）的話，那么 5G 更像是在 2C 的基礎上擴展到針對行業用戶（2B）的領域，因而對 5G 移動通信技術也提出了更高的要求。

　　3GPP 定義了 5G 網 絡 的3種典型應用場景 ：增強移動寬帶（enhanced Mobile Broadband，eMBB）、海量機器類通信（massive Machine Type Communication，mMTC）和超可靠低時延通信（ultra-Reliable and Low Latency Communications，uRLLC）。eMBB 聚焦對帶寬有極高需求的業務，滿足人們對于數字化生活的需求，例如高清視頻（High Definition Video，HDV）、虛擬現實（Virtual Reality，VR） 和 增 強 現 實（Augmented Reality，AR）等領域。mMTC 覆蓋對于連接密度要求較高的場景，滿足人們對于數字化社會的需求，例如智慧城市、智能農業、環境監測等領域。uRLLC 聚焦對時延極其敏感的業務，滿足人們對于數字化工業的需求，例如自動駕駛 / 輔助駕駛、工業控制、遠程醫療等。同時，在 5G 網絡的定義和規范建立過程中，需要針對這 3 種業務場景的不同安全需求提供差異化的安全保護機制，否則不安全的 5G 網絡將不能被全球所接受。

　　我國的 IMT2020 推進組作為 3GPP 組織的主要成員，深度參與了 5G 標準化方面的工作，近年發布了多篇 5G 網絡安全和 5G 與垂直行業應用相關的技術白皮書，他們認為上述 3 種應用場景中存在安全需求上的差異：（1）eMBB 在不同的應用場景有不同的安全需求，同一個應用場景中不同業務的安全需求也有所不同。例如，VR、AR 等個人業務只要求對關鍵信息的傳輸進行加密，而對于行業應用可能需要對所有環境信息的傳輸進行加密。5G 網絡可以通過擴展 LTE 安全機制來滿足 eMBB 場景所需的安全需求。（2）mMTC 場景中存在多種多樣的物聯網設備，其中有面向物聯網種類繁雜的應用和成百上千億的連接，因此 5G 網絡需要考慮其安全需求的多樣性。在 5G 網絡中，需要降低認證和身份管理方面的成本（如采用群組認證 等），以支撐物聯網設備的低成本和高效率海量部署。同時，5G 網絡還需要通過一些安全保護措施，如輕量級的安全算法、簡單高效的安全協議等，來保證計算能力低且電池壽命需求高的物聯網設備的能源高效性。（3）uRLLC 場景要求業務在做到低時延和高可靠的同時要保證安全。例如，車聯網業務中既要保證高安全的通信，又要保證高級別的安全保護措施不能額外增加通信時延。

　　因此，高安全的 5G 網絡如果要實現超低時延，需要在端到端傳輸的各個環節進行一系列安全機制優化，如優化接入過程身份認證時延、優化數據傳輸安全保護帶來的時延等。因此，IMT2020 認為：面對不同應用場景，5G網絡需要一個統一的、靈活的、可伸縮的網絡安全架構，來滿足不同應用的不同安全級別的需求，即5G 網絡需要一個統一的認證框架，以支持多種應用場景的網絡接入認證，如終端設備認證、簽約用戶認證、多種接入方式認證以及多種認證機制等。同時，5G 網絡應支持伸縮性需求，即在網絡橫向擴展時，需要及時啟動安全功能實例來滿足增加的安全需求，并且在網絡收斂時需要及時終止部分安全功能實例來達到節能的目的。另外，5G 網絡應支持按需部署的用戶面數據保護，即根據 3 大業務類型的不同，部署相應的安全保護機制。

　　以上各種安全需求經過 3GPP 的 SA3 工作組歷 時 數 年 的 持 續 性 討 論 后， 于 2018 年 6 月 推 出了第一個正式涵蓋 5G 獨立組網模式的安全規范TS33.501，并一直持續更新。

　　２

　　相關標準提出的安全性保障方法

　　與 LTE 偏向 2C 領域不同，5G 移動通信技術的適用范圍從 2C 演進拓展至 2B 領域。3GPP 針對已知的 LTE 協議漏洞付出了大量的努力，如在防范國際移動用戶標識符（International Mobile Subscriber Identity，IMSI）捕獲器 Stingrays 這一方面。因此，3GPP TS33.501[6] 一方面在 5G 標 準中新引入了用戶 永 久 標 識 符（Subscriber Permanent Identifier，SUPI） 和 用 戶 隱 藏 標 識 符（Subscriber ConcealedIdentifier，SUCI）的概念，并且在 5G 規范中引入了 基 于 公 鑰 基 礎 設 施（Public Key Infrastructure，PKI）的安全體系結構，允許驗證和鑒別源自 5G 核心網的控制面消息（Control Plane Messages）。另一方面，5G 畢竟有不同于 LTE 的架構和技術特征，為此，TS33.501 重新描述了商用 5G 網絡的安全架構，涵蓋了對終端、基站、關鍵網元的用戶面和控制面的機密性及完整性的要求，對密鑰派生結構的要求，對密碼算法及算法選擇的要求，對安全相關的服務接口（Service Based Interface，SBI）的要求，還有對終端與 5G 網絡之間的各種關鍵流程的安全性規定，如主認證、二次認證、非接入層（Non Access Stratum，NAS）握手等關鍵流程中的安全性機制，以及對安全可視化的要求等。這些要求囊括了商用 5G 網絡的方方面面。

　　總的來說，TS33.501 認為 5G 網絡應提供的安全性保障可以概括如下：（1）5G 移動網絡需要實現類似于 LTE 系統的安全架構，但需要解決一些 LTE 系統遺留的安全問題 ；（2）5G 移動網絡需要在建立信任和安全性方面較 LTE 系統有明顯的提升，以應對 5G 靈活、豐富的應用場景和急劇增多的參與角色，包括滿足垂直行業應用場景的要求。

　　但是，3GPP 對 5G 系統提出的安全性考慮是針對其提出的 3 種典型應用場景進行分析，能夠滿足一般商業主體的垂直行業用戶的安全需求，但對于某些安全性要求較高的垂直行業乃至特殊行業用戶的安全需求考慮仍不夠細致。

　　３

　　高安全垂直行業特殊安全問題

　　一些具有重要經濟、社會和國家利益的垂直行業，例如關系國計民生的黨政軍組織機構，金融、能源、電力等行業，對安全性要求較高。在使用商用 5G 網絡承載自身敏感業務時，3GPP 標準所提供的安全機制就無法滿足上述領域或行業較高的安全需求，而且如果沿用 3GPP 標準不做改進，這些高安全需求用戶使用 5G 網絡的場景將大為受限。因此，這些領域對5G 網絡有新的安全性需求，具體如下文所述 。

　　3.1　網絡虛擬資源的安全

　　傳統網絡網元的保護很大程度上依賴于對物理設備的安全隔離，而 5G 將實現接入網與核心網的虛擬化，因此在網絡虛擬化基礎設施可信運行的前提下，還需要確保高安全垂直行業切片虛擬資源的受控使用與合規監控。

　　3.2　網絡切片安全隔離

　　虛擬化環境下，攻擊者可以利用切片資源容量的彈性特性從一個切片發起向另一個切片的攻擊，消耗其他切片的資源，從而導致這些切片資源不足，也可以在非法接入一個切片之后，竊取該切片的信息。因此對于高安全垂直行業切片，在網絡資源隔離的基礎上還需要保證切片之間的安全隔離。

　　3.3　網絡切片安全能力定制

　　網絡切片需要為不同業務提供差異化的安全服務，需要解決切片內虛擬安全能力部署、切片安全管理、切片資源的受控合法使用等難題。

　　3.4　網絡切片接入的安全

　　用戶在網絡切片選擇過程中使用的隱私信息可能被攔截或監聽，非授權的終端可能會進入網絡切片中消耗切片資源或竊取信息，不安全的接入可能導致不同類型的攻擊行為，因此必須保證終端與服務接入切片的安全性。

　　3.5　業務傳輸安全增強

　　基于對傳統移動公網的不信任，當前特殊行業采用了構建移動專網的方式滿足高安全業務的保障需求，這造成了大量重復建設和資源的浪費，因此急需在 5G 網絡開放環境和共享資源的條件下，從物理資源的分配和隔離、網絡切片安全防護、接入認證和授權、用戶行為監控與審計等方面采取安全增強措施，為特殊行業高安全業務提供符合需要的安全保障。

　　3.6　切片安全運營管理

　　高安全行業用戶更希望能夠自己管理和維護高安全業務及其依賴的網絡資源，除了能夠更好地管理使用業務的用戶和業務產生的數據，更重要的是發生攻擊事件時，能夠迅速掌握情況，采取措施降低業務運行的風險。

　　3.7　用戶隱私保護

　　高安全行業移動業務將產生大量的敏感信息，傳統 2G、3G、4G 移動網絡分段式的安全機制存在信息泄露風險，再加上 5G 引入的虛擬化技術打破了原有通信實體的物理安全隔離優勢，需要在 5G開放網絡環境之上，采取措施保證特殊行業用戶的隱私安全。

　　４

　　解決途徑及思路

　　為解決高安全行業的特殊需求，需要從網絡切片安全構建、安全隔離、安全訪問、安全資源服務化、業務安全傳輸、切片管理以及用戶隱私保護等角度進行針對性設計。

　　4.1　解決思路

　　本文提出一種通用的解決思路，針對具體的問題，可以在該思路下增加具體的技術途徑來進行安全增強，滿足高安全垂直行業特殊安全需求，解決思路如圖 1 所示。

　　通過利用 5G 網絡提供的服務編排接口和能力開放機制，高安全垂直行業可以將自己的需求，包括建設部署和運營管理要求、安全保密需求和要求、功能性能需求等，通過與運營商簽約，形成 一 系 列 強 制 性 約 束， 例 如 資 源 分 配 和 使 用 規范、安全保密協議和算法、建設部署模式和運營管理方式等。通過運營商的網絡功能虛擬化管理和編排器（Management and Network Orchestration，MANO），形成專用切片模板。

　　利用 5G 網絡提供的服務編排接口和能力開放機制，高安全垂直行業還可以對模板的安全性進行深入的檢查：檢查是否使用指定的網絡計算存儲資源、物理基礎設施、轉發路徑，以及是否在需要的位置通過能力開放接口使用專用的安全保密服務等；通過切片實例化過程，將專用切片的資源進行實例化，高安全垂直行業對切片的實例化過程進行安全性檢查；在切片實例化并運行后，高安全垂直行業對切片使用的資源、安全服務等進行全面的符合性審查，確保專用切片滿足行業應用的相關需求和要求。

　　在專用切片的生成中，安全保密服務發揮著至關重要的作用：提供高安全垂直行業專用的安全服務，用以替換通用 5G 網絡中存在安全威脅或攻擊的協議、算法或基礎設施；在切片生成和編排過程中，提出對安全的要求和架構設計約束，對切片編排和實例化過程進行安全監管和審計；在專用切片運行過程中，對切片的安全狀態進行監控，并對切片的安全策略進行動態調整，及時發現各種威脅，確保專用切片全生命周期的安全。

　　4.2　技術途徑

　　針對前面提出的具體需求，在技術途徑上可以從兩個大的方面來實現：針對那些通過運營商提供的安全策略就可以滿足的特殊需求，主要通過切片的需求定制來形成專用的切片安全策略，從而形成與普通切片不一樣的差異化安全機制；對于運營商無法滿足的特殊需求，則可以通過能力開放平臺提供的服務嵌入，將垂直行業的專用安全服務通過第三方服務嵌入或服務編排的方式，將垂直行業的專用安全服務嵌入切片的運行邏輯和實例化中，從而利用行業的專用安全協議、算法或安全服務替換運營商提供的通用安全組件，解決行業的特殊安全問題。

　　4.2.1　需求定制

　　需求定制為垂直行業的差異化安全能力的定制提供了技術支撐，其目的在于使垂直行業的需求影響運營商的能力提供策略，主要是指特殊行業和一般的垂直行業用戶，以差異化需求（包括網絡能力需求、安全性需求）作為牽引，針對網絡資源編排與管理，特別是針對特殊行業用戶的安全能力需求，對運營商提要求，同時指導運營商為垂直行業和特殊行業用戶切割出特定邏輯資源，即劃分出專門網絡切片，為垂直行業提供差異化能力。

　　4.2.2　服務嵌入

　　服務嵌入的目的在于，運營商通過能力開放機制，以更靈活的方式讓垂直行業的第三方能力能夠嵌入5G 網絡切片的整體能力中。參與 5G 網絡切片的第三方能力主要包括第三方認證和專用安全服務嵌入等。

　　（1）第三方認證與授權服務功能

　　在傳統移動通信網絡中，運營商會采用基于認證和密鑰協商（Authentication and Key Agreement，AKA）的雙向認證和密鑰協商機制，實現對用戶設備附著網絡的第一次雙向認證以及密鑰分發。為了支持垂直行業的差異化需求，5G 為垂直行業提供基于 AKA 的普適性以及切片內基于第三方定制性的兩種靈活組合機制的認證與授權服務功能：一是，用戶設備的認證與授權都基于運營商，而第三方進行二次認證，并提供額外的授權信息；二是，用戶設備的認證與授權都基于第三方完成。這兩種模式可以作為高安全垂直行業自己控制的認證和授權方法，實現對接入用戶和用戶行為的強控制，滿足行業特殊的用戶接入安全要求。

　　（2）第三方專用安全服務嵌入

　　Architecture5G 以服務為核心的服務化架構（Service Based ，SBA[10]）為第三方服務參與 5G 網絡切片的功能定制帶來了契機，因此特殊行業安全功能也能夠通過這種模式加入 5G 網絡切片的功能集成中。在 SBA 架構下，作為第三方能力的安全服務功能可以通過標準的總線接口掛接到服務總線上，也可以開發包含專用算法或協議的第三方專用標準網元，例如專用鑒權服務器功能（Authentication Server Function，AUSF）。此外，通過服務編排，可以實現第三方安全服務的透明融入，還可以通過合理設計編排，增加行業專用的安全服務功能，例如隱私保護、切片安全接入、切片安全能力定制等，從而達到專用安全的目的。

　　５

　　結　語

　　5G 移動通信系統需要滿足千倍流量增長、降低時延、海量設備連接的網絡發展需要，需要支持異構網絡融合和增強移動寬帶、高可靠低時延以及低功耗大連接等應用場景，需要為物聯網（Internet of Things，IoT）、垂直行業應用提供差異化的服務。服務于垂直行業的需要是 5G 標準開發的最重要目標之一，為此 5G 在無線傳輸和網絡方面進行大量創新，引入了 SBA 架構、網絡切片、能力開放等大量新技術或新特性，最大限度滿足垂直行業的差異化要求。本文對垂直行業安全性的差異化要求進行了研究，在利用 5G 自身提供的能力基礎上，提出了滿足行業專用安全性要求的一般性解決途徑，可以為垂直行業 5G 專用切片的構建提供參考借鑒。