摘要:随着5G网络逐步商业化落地,通信运营商面对的业务切片安全管理责任与需求与日俱增。本文主要对5G网络安全构架和业务切片特征的安全要求进行了分析,对5G网络安全管理的新挑战与新机遇进行了阐述,并对5G网络业务切片的安全布局和策略提出了建议。
关键词:5G;业务切片;网络构架;安全策略;安全布局
随着5G网络开始商用落地,趋于融合、虚拟分布、水平分裂、垂直下沉与互联网模式的5G网络特征逐渐显现,也对通信运营商的网络结构、建设模式和运营管理提出了新挑战。通信运营商在制定5G网络安全机制时,除了确保基本的通信安全要求之外,还需要为不同业务切片提供差异化的安全构架、机制与策略,能够灵活的适应多种网络接入方式、业务特性需求及新型网络架构。在具备可靠的5G网络安全和用户隐私保护外,同时还应具备向业务切片与新兴应用提供开放安全的能力。
一、5G网络安全的新挑战与新机遇
5G网络业务呈现多样化与差异化特性,网络架构趋于云化、虚拟分布与下沉的新态势。这些网络结构变革导致5G网络面临安全管控机制的新挑战,同时为通信运营商的业务增值点提供了新机遇。
1、5G网络安全管理的新挑战
个人用户及垂直行业用户差异化的业务及应用需求正在突显,5G网络可承载多类上层业务与应用的能力也逐渐形成。而5G网络安全管理中通信运营商的新挑战也将集中在以下3个方面。第一,通信运营商在基于5G网络云构架端到端网络业务切片模式下,将面对不同类型业务切片要求提供差异化安全管控策略的挑战。第二,5G网络中各大垂直行业存在使用海量物联网设备的特征,大量的物联网设备集中将呈现突发性和量级性的网络瞬时接入,通信运营商将面对需专门研发更高效的接入认证机制并具备预防网络发起拒绝服务等网络攻击能力的挑战。第三,5G网络需对用户隐私信息进行更强力度的保护,由于5G网络业务交互行为更为开放,用户数据及个人隐私信息将会从封闭平台转移至开放平台,这将带来更为严重的隐私问题,通信运营商将面对保护在线与离线用户数据,同时设立用户数据、信息金库的挑战。
2、5G网络安全管理的新机遇
通信运营商可释放5G网络安全能力以助力垂直行业发展其业务服务,开放式业务支撑给5G网络带来了诸多安全挑战,但同时也创造出了丰富的安全服务需求和增值点。作为5G网络基础设施平台提供方,通信运营商既是面向服务提供个性化网络安全管理机制的提供者,又是各个垂直行业所必须信任的商业合作伙伴。通过对外开放安全能力,通信运营商可发展各种5G网络安全技术至实体业务和商业范畴,把安全能力释放出来作为面向各类垂直行业应用的合作资源,同时作为通信运营商的创新收入来源。
二、通信运营商的5G网络安全责任
5G网络的应用场景中存在着不同类型的终端设备,多种接入方式、多种接入认证共存。而通信运营商在其中肩负着主要安全责任:提供统一的认证框架,支持多种接入方式、接入凭证,提供个性化的网络安全接入服务,保证所有终端设备安全地接入网络;提供按需的安全保护,满足多种应用场景中终端设备的生命周期要求和业务的时延要求;提供隐私保护,满足用户隐私保护并符合相关法规的要求。同时,5G网络主要特征包括网络功能虚拟化(NFV)、软件定义网络(SDN)、业务切片以及能力开放。通信运营商应能够确保NFV和SDN引入移动网络的安全,包括虚拟机相关的安全、软件安全、数据安全、SDN控制器安全等。业务切片相关的安全包括切片安全隔离、切片的安全管理、UE接入切片的安全、切片之间通信的安全等。
三、5G网络新业务场景安全
现阶段,通信运营商的业务场景划分多采用较为直观的场景功能特色进行划分,例如高校、交通枢纽、商业区及居民区等场景,按照场景的业务容量导向进行差异化无线设备布局和频段使用,网络安全管理和控制模式均采用统一安全管理模式,在用户交互面采用的是互联网安全模式进行管理。在5G网络海量设备交互、流程操作体验、有效感知体验和丰富个性化服务需求的驱动下,网络通信场景支撑需求也变得更为严苛,网络安全在统一集中管理的基础上也更加倾向网络安全管理细分和业务安全个性化,网络结构的变化导致网络安全的管理和控制变得更加复杂,促使通信运营商需要从高带宽、高密度和低时延3个5G网络基础业务分类角度差异化的构建网络安全框架。
增强移动宽带业务主要体现为高带宽需求,终端与网络进行大量数据交互,例如VR、AR和高清视频等。通信运营商可主要对用户和业务的关键信息进行重点加密,对于环境信息的传输采用统一加密的方式进行安全管理。MMTC连接密度要求较高业务主要体现为终端设备多样化、设备数量海量化、接入方式多元化,例如智慧城市、智慧农业、共享经济等。这类业务安全价值略低,通信运营商仅需采用统一的加密方式进行安全管理,重点关注平衡安全管理与海量接入之间的关系,着重提升设备接入使用的高效性。URLLC时延敏感度极高业务主要体现为业务对低时延和高可靠性的业务需求,例如车联网的自动驾驶和辅助驾驶等远程控制的业务。因为这类业务涉及生命财产,在保证高级别的安全保护措施下,不能增加额外的通信时延。这类业务中需重点优化业务接入过程身份认证的时延、数据传输安全保护带来的时延,尤其是业务在网络节点交换数据传输过程中的加密解密处理时延。
四、5G网络构架安全布局
为了应对5G网络的业务需求,5G网络构架引入了NFV和SDN,网络呈现集中化控制与虚拟分布下沉相互结合的结构,控制界面仍集中在核心网,为降低用户面的处理时延和回传成本,按照业务特征需求呈现分布下沉态势,便于更贴近用户所在区块,提升用户感知。随着网络结构的变化,通信运营商需由原来关注的4G核心网、传输网络和无线接入等安全管理重心向虚拟下沉后的5G网络用户面安全管控进行迁移。在5G网络结构中,业务切片承载了大量业务处理信息,保证适应业务特征的安全管控就变得尤为重要,用户面切片安全将成为通信运营商网络安全的重要关注点。同时,将4G与5G网络结构对比可见,4G网络的重要节点位于核心网,安全管理级别较高,采用专用的电信设备和专用的内部网管网进行管控。而5G网络的部分核心网功能采用虚拟下沉的方式进行功能分裂,用户面功能更贴近用户,虚拟核心网络逐步走向半开放的网络结构,通信运营商的网络安全管理布局也将在大量交互数据开放的环境下,从中心化安全管控走向更为灵活的分布式安全管控。
五、业务切片安全策略
在4G向5G网络结构演进中,业务切片的出现主要为了应对丰富的终端类型及场景特征需求,5G网络中的业务切片安全是通信运营商的关注重点。通信运营商在用户界面内可将共享类低价值公共信息采用统一加密方式,适用统一的安全管理框架。涉及用户隐私、安全等高价值信息仍采用核心网到无线节点可靠的加密方式,或增加采用生物识别技术与关键鉴权相互结合的独立加密方式。在综合考虑网络信令、时延、容量及安全策略基础要求外,通信运营商也需更多考虑业务切片后的网络安全架构及策略应用。
如图1所示,5G业务切片主要可归纳为高清视频、语音业务、海量业务及低时延物联网业务切片。通信运营商将共享信息较多的低价值业务采用统一鉴权安全管理方式在边缘云处运行,仅将少量的客户关键信息到核心云进行关键信息鉴权。对人身财产相关性较大的低时延切片业务,建立个性化的关键鉴权安全管理模式,尤其在确保传输低时延的基础上,建议有别于其它切片业务独立构建安全管控布局策略及信息加密算法。
六、结束语
通信网络的演进原始驱动力主要来自用户需求、业务需求和市场需求。5G网络的应用也是在大连接、万物互联需求下形成的必然结果。通信运营商在打破传统组网模式和结构的同时,网络安全的构架布局和关键技术也随之改变,5G网络安全的管控将更加趋于主动防御,网络安全策略将更加趋于灵活多变。
参考文献
[1]赵国锋,陈婧,韩远兵,等.5G移动通信网络关键技术综述[J].重庆邮电大学学报,2015(4).
[2]IMT-2020(5G)推进组.5G网络安全需求与框架[R].5G白皮书,2017,(1).
[3]李晖,付玉龙.5G网络安全问题分析与展望[J].无线电通信技术,2015(4).
[4]朱红儒,庄小君,郭姝,等.5G安全的愿景[J].电信科学,2014(11).
[5]MarkStamp,张戈.信息安全原理与实践[M],北京:清华大学出版社,2013.
赵悦,马俊达,李翀 中国移动通信集团天津有限公司 |