基于5G融合應(yīng)用的安全服務(wù)需求分析

5G（第五代移動通信技術(shù)）是新一代信息通信技術(shù)的主要發(fā)展方向，不僅具有更強(qiáng)的性能，而且應(yīng)用場景更加豐富，從傳統(tǒng)的人與人通信延伸覆蓋到人與物、物與物之間智能互聯(lián)，是未來經(jīng)濟(jì)社會數(shù)字化轉(zhuǎn)型的關(guān)鍵新型基礎(chǔ)設(shè)施。當(dāng)前，5G正處于網(wǎng)絡(luò)規(guī)模建設(shè)與應(yīng)用推廣普及階段，構(gòu)建多層次的5G融合應(yīng)用安全體系是5G應(yīng)用發(fā)展的重要前提與保障。

5G融合應(yīng)用安全可以分為應(yīng)用層和網(wǎng)絡(luò)層安全，在應(yīng)用層主要由應(yīng)用服務(wù)提供商負(fù)責(zé)（例如車聯(lián)網(wǎng)服務(wù)提供商、在線支付服務(wù)提供商），而網(wǎng)絡(luò)層安全則由基礎(chǔ)電信企業(yè)負(fù)責(zé)，需要基礎(chǔ)電信企業(yè)結(jié)合各垂直行業(yè)的不同安全需求提供網(wǎng)絡(luò)層的安全保障能力。5G融合應(yīng)用剛剛起步，基礎(chǔ)電信企業(yè)如何基于5G網(wǎng)絡(luò)的網(wǎng)絡(luò)切片、網(wǎng)絡(luò)功能開放等技術(shù)在網(wǎng)絡(luò)層為不同行業(yè)應(yīng)用提供安全服務(wù)能力成為5G融合應(yīng)用的關(guān)注焦點。

5G支持增強(qiáng)移動寬帶（eMBB）、海量機(jī)器類通信（mMTC）和超可靠低時延通信（uRLLC）三大應(yīng)用場景，不同應(yīng)用場景將支持不同類型的應(yīng)用業(yè)務(wù)，對5G網(wǎng)絡(luò)具有差異化的安全需求：

增強(qiáng)移動寬帶場景需要更好的用戶隱私保護(hù)能力。eMBB場景能夠支持高清視頻，虛擬現(xiàn)實（VR）、增強(qiáng)現(xiàn)實（AR）等高速率、大帶寬業(yè)務(wù)，提升以“人”為中心的娛樂、社交等個人消費業(yè)務(wù)的業(yè)務(wù)體驗。相比4G，相關(guān)應(yīng)用將會記錄更多的用戶身份、位置、身體行為等隱私數(shù)據(jù)，5G網(wǎng)絡(luò)需要在用戶數(shù)據(jù)采集、處理和傳輸中提供相應(yīng)的機(jī)密性、完整性和隱私保護(hù)措施。

海量機(jī)器類通信場景（mMTC）需要更靈活的安全機(jī)制。主要支持智慧城市、智能農(nóng)業(yè)等高連接密度業(yè)務(wù)，由于終端形態(tài)多樣，數(shù)量眾多，安全能力差異大，部署環(huán)境不安全，終端很容易被利用作為DoS攻擊源或觸發(fā)信令風(fēng)暴，5G網(wǎng)絡(luò)不僅需要提供開銷較小、功能可配置的輕量級安全機(jī)制，還應(yīng)具有識別非法、被劫持UE的能力，避免影響5G網(wǎng)絡(luò)正常服務(wù)。

超可靠低時延通信（uRLLC）需要更優(yōu)化的安全保障能力。支持自動駕駛、工業(yè)互聯(lián)網(wǎng)等對可靠性、時延要求較高業(yè)務(wù)。這些業(yè)務(wù)由于涉及駕乘人生命安全、工業(yè)生產(chǎn)安全，對5G網(wǎng)絡(luò)安全保障能力要求最高，且安全機(jī)制不能增加過多時延，需要對安全保障流程和方式進(jìn)行優(yōu)化。

基于不同應(yīng)用場景差異化的安全服務(wù)需求分析，5G網(wǎng)絡(luò)采用靈活的安全架構(gòu)設(shè)計，可以為行業(yè)應(yīng)用提供內(nèi)生、自適應(yīng)、差異化的安全保障能力，包括：

一是支持不同層級的安全隔離能力。為了支撐基礎(chǔ)電信企業(yè)在共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施上服務(wù)不同行業(yè)應(yīng)用，5G網(wǎng)絡(luò)采用虛擬化技術(shù)，構(gòu)建出具有不同服務(wù)能力的邏輯網(wǎng)絡(luò)，即網(wǎng)絡(luò)切片。不同垂直應(yīng)用可以使用獨立的網(wǎng)絡(luò)切片，5G網(wǎng)絡(luò)能夠通過不同等級的網(wǎng)絡(luò)切片間或切片內(nèi)的安全隔離機(jī)制保護(hù)網(wǎng)絡(luò)切片內(nèi)的重要數(shù)據(jù)和服務(wù)質(zhì)量。網(wǎng)絡(luò)切片的安全隔離措施包括資源隔離（例如物理層、操作系統(tǒng)層或虛機(jī)層的資源隔離）、通信隔離（例如IPSEC/TLS加密）、管理隔離（例如與編排管理模塊之間獨立交互接口）等方面，并可以根據(jù)行業(yè)需求區(qū)分出完全、部分和無隔離等不同安全隔離等級。

二是支持差異化的安全功能配置能力。為了支持不同行業(yè)應(yīng)用對5G網(wǎng)絡(luò)承載數(shù)據(jù)的不同安全保護(hù)要求，5G網(wǎng)絡(luò)支持在網(wǎng)絡(luò)切片中配置不同的安全功能：在機(jī)密性保護(hù)方面，可以按需開啟對信令面或用戶面數(shù)據(jù)等不同數(shù)據(jù)類型的加密保護(hù)，并配置不同強(qiáng)度的加密算法，包括128比特、64比特密鑰長度或?qū)Ｓ幂p量級等加密算法，防止數(shù)據(jù)竊??；在完整性保護(hù)方面，可以按需開啟對信令或?qū)τ脩裘娴炔煌瑪?shù)據(jù)類型的完整性保護(hù)，并可在UE已具備應(yīng)用層完整性保護(hù)能力下選擇不開啟網(wǎng)絡(luò)層的完整性保護(hù)；在用戶認(rèn)證鑒權(quán)方面，5G網(wǎng)絡(luò)可以靈活配置不同類型的證書，支持基于生物特征、多因子等多種認(rèn)證方式，并允許在主認(rèn)證基礎(chǔ)上擴(kuò)展支持應(yīng)用專屬的認(rèn)證流程；在應(yīng)對網(wǎng)絡(luò)攻擊方面，5G網(wǎng)絡(luò)還可以按需配置不同的威脅信息搜集或處置模塊，發(fā)現(xiàn)或限制網(wǎng)絡(luò)攻擊的影響范圍。

三是支持不同等級的用戶隱私保護(hù)能力。當(dāng)用戶完成5G網(wǎng)絡(luò)的接入認(rèn)證后，會進(jìn)一步與行業(yè)應(yīng)用所在的網(wǎng)絡(luò)切片或應(yīng)用服務(wù)器進(jìn)行身份認(rèn)證，并通過5G網(wǎng)絡(luò)收集必要用戶信息。為了防止攻擊者在網(wǎng)絡(luò)層竊取用戶隱私，5G網(wǎng)絡(luò)需要利用加密、完整性保護(hù)、臨時性標(biāo)識等機(jī)制來保護(hù)用戶敏感信息，包括用戶在不同行業(yè)應(yīng)用中的身份標(biāo)識（網(wǎng)絡(luò)標(biāo)識、設(shè)備標(biāo)識、應(yīng)用賬號等）、所連接的應(yīng)用服務(wù)信息（網(wǎng)絡(luò)切片類型、請求服務(wù)內(nèi)容）、位置軌跡等。5G網(wǎng)絡(luò)可以按照保護(hù)數(shù)據(jù)的不同范圍分為網(wǎng)絡(luò)不感知用戶標(biāo)識（標(biāo)識保護(hù)）、網(wǎng)絡(luò)不感知用戶行為（關(guān)鍵行為數(shù)據(jù)保護(hù)）和網(wǎng)絡(luò)不感知用戶數(shù)據(jù)（用戶數(shù)據(jù)保護(hù)）。

四是支持安全即服務(wù)的開放能力。5G網(wǎng)絡(luò)可以提供安全服務(wù)能力（SAAS, Security-as-a-Service ），一方面基礎(chǔ)電信企業(yè)可以將網(wǎng)絡(luò)切片交由第三方應(yīng)用服務(wù)商直接管理，通過網(wǎng)絡(luò)功能開放接口使其在授權(quán)范圍內(nèi)對網(wǎng)絡(luò)安全能力進(jìn)行配置與調(diào)整；另一方面也可以由基礎(chǔ)電信企業(yè)直接提供安全服務(wù)，包括為行業(yè)應(yīng)用服務(wù)商提供網(wǎng)絡(luò)層的入侵檢測、密鑰管理、身份與訪問管理等服務(wù)，使行業(yè)應(yīng)用服務(wù)商更多地聚焦于上層業(yè)務(wù)的安全能力構(gòu)建。

隨著5G網(wǎng)絡(luò)與垂直行業(yè)的不斷融合，5G網(wǎng)絡(luò)面向行業(yè)應(yīng)用的安全服務(wù)能力還將不斷豐富與拓展。當(dāng)前5G網(wǎng)絡(luò)R16版本標(biāo)準(zhǔn)正在制定中，包括網(wǎng)絡(luò)切片安全、蜂窩物聯(lián)網(wǎng)安全、uRLLC安全等。為了更好地推動5G網(wǎng)絡(luò)的垂直行業(yè)應(yīng)用，一方面要加強(qiáng)基礎(chǔ)電信企業(yè)對5G網(wǎng)絡(luò)安全服務(wù)能力構(gòu)建，深度挖掘垂直行業(yè)應(yīng)用在網(wǎng)絡(luò)層的安全服務(wù)需求；另一方面要加強(qiáng)與應(yīng)用服務(wù)提供商在安全保障能力的協(xié)作，通過應(yīng)用層和網(wǎng)絡(luò)層的多層次安全機(jī)制，共同為5G各行業(yè)融合應(yīng)用提供安全保障。