面向行業(yè)應用的5G安全服務能力該如何打造

（文章來源：人民郵電報）

5G是新一代信息通信技術的發(fā)展方向，不僅具有更強的性能，而且也具備更加豐富的應用場景，從傳統(tǒng)的人與人通信延伸覆蓋到人與物、物與物之間的智能互聯(lián)，是未來經(jīng)濟社會數(shù)字化轉型的關鍵基礎設施。當前，5G正處于網(wǎng)絡規(guī)模建設與應用推廣普及階段，構建多層次的5G融合應用安全體系，是5G應用發(fā)展的重要前提與保障。

5G融合應用安全可分為應用層和網(wǎng)絡層安全，應用層安全主要由應用服務提供商負責(例如車聯(lián)網(wǎng)服務提供商、在線支付服務提供商)，網(wǎng)絡層安全則由基礎電信企業(yè)負責，需要基礎電信企業(yè)結合各垂直行業(yè)的不同安全需求提供網(wǎng)絡層的安全保障能力。5G融合應用剛剛起步，基礎電信企業(yè)如何基于5G網(wǎng)絡的網(wǎng)絡切片、網(wǎng)絡功能開放等技術在網(wǎng)絡層為不同行業(yè)應用提供安全服務能力成為業(yè)界關注的焦點。

5G支持增強移動寬帶(eMBB)、海量機器類通信(mMTC)和超可靠低時延通信(uRLLC)三大應用場景，不同應用場景支持不同類型的應用業(yè)務，對5G網(wǎng)絡具有差異化的安全需求。

增強移動寬帶場景需要更強的用戶隱私保護能力。eMBB場景能夠支持高清視頻、虛擬現(xiàn)實(VR)、增強現(xiàn)實(AR)等高速率、大帶寬業(yè)務，提升以“人”為中心的娛樂、社交等個人消費業(yè)務的體驗。相比4G，相關應用將會記錄更多的用戶身份、位置、身體行為等隱私數(shù)據(jù)，5G網(wǎng)絡需要在用戶數(shù)據(jù)采集、處理和傳輸中提供相應的機密性、完整性和隱私保護措施。

海量機器類通信場景(mMTC)需要更靈活的安全機制。主要支持智慧城市、智能農(nóng)業(yè)等高連接密度業(yè)務，由于終端形態(tài)多樣，數(shù)量眾多，安全能力差異大，部署環(huán)境不安全，終端很容易被利用作為DoS攻擊源或觸發(fā)信令風暴，5G網(wǎng)絡不僅需要提供開銷較小、功能可配置的輕量級安全機制，還應具有識別非法、被劫持UE的能力，避免影響5G網(wǎng)絡正常服務。

超可靠低時延通信(uRLLC)需要更優(yōu)化的安全保障能力。支持自動駕駛、工業(yè)互聯(lián)網(wǎng)等對可靠性、時延要求較高的業(yè)務。這些業(yè)務由于涉及駕乘人生命安全、工業(yè)生產(chǎn)安全，對5G網(wǎng)絡安全保障能力要求最高，且安全機制不能增加過多時延，需要對安全保障流程和方式進行優(yōu)化?；诓煌瑧脠鼍安町惢陌踩招枨蠓治?，5G網(wǎng)絡采用靈活的安全架構設計，可以為行業(yè)應用提供內(nèi)生、自適應、差異化的安全保障能力。

一是支持不同層級的安全隔離能力。為了支撐基礎電信企業(yè)在共享網(wǎng)絡基礎設施上服務不同行業(yè)應用，5G網(wǎng)絡采用虛擬化技術，構建出具有不同服務能力的邏輯網(wǎng)絡，即網(wǎng)絡切片。不同垂直應用可以使用獨立的網(wǎng)絡切片，5G網(wǎng)絡能夠通過不同等級的網(wǎng)絡切片間或切片內(nèi)的安全隔離機制保護網(wǎng)絡切片內(nèi)的重要數(shù)據(jù)和服務質(zhì)量。網(wǎng)絡切片的安全隔離措施包括資源隔離(例如物理層、操作系統(tǒng)層或虛機層的資源隔離)、通信隔離(例如IPSEC/TLS加密)、管理隔離(例如與編排管理模塊之間獨立交互接口)等方面，并可以根據(jù)行業(yè)需求區(qū)分出完全、部分和無隔離等不同安全隔離等級。

二是支持差異化的安全功能配置能力。為了支持不同行業(yè)應用對5G網(wǎng)絡承載數(shù)據(jù)的不同安全保護要求，5G網(wǎng)絡支持在網(wǎng)絡切片中配置不同的安全功能：在機密性保護方面，可以按需開啟對信令面或用戶面數(shù)據(jù)等不同數(shù)據(jù)類型的加密保護，并配置不同強度的加密算法，包括128比特、64比特密鑰長度或?qū)Ｓ幂p量級等加密算法，防止數(shù)據(jù)竊?。辉谕暾员Ｗo方面，可以按需開啟對信令或?qū)τ脩裘娴炔煌瑪?shù)據(jù)類型的完整性保護，并可在UE已具備應用層完整性保護能力下選擇不開啟網(wǎng)絡層的完整性保護。

三是支持不同等級的用戶隱私保護能力。當用戶完成5G網(wǎng)絡的接入認證后，會進一步與行業(yè)應用所在的網(wǎng)絡切片或應用服務器進行身份認證，并通過5G網(wǎng)絡收集必要的用戶信息。為了防止攻擊者在網(wǎng)絡層竊取用戶隱私，5G網(wǎng)絡需要利用加密、完整性保護、臨時性標識等機制來保護用戶敏感信息，包括用戶在不同行業(yè)應用中的身份標識(網(wǎng)絡標識、設備標識、應用賬號等)、所連接的應用服務信息(網(wǎng)絡切片類型、請求服務內(nèi)容)、位置軌跡等。5G網(wǎng)絡可以按照保護數(shù)據(jù)的不同范圍分為網(wǎng)絡不感知用戶標識(標識保護)、網(wǎng)絡不感知用戶行為(關鍵行為數(shù)據(jù)保護)和網(wǎng)絡不感知用戶數(shù)據(jù)(用戶數(shù)據(jù)保護)。

四是支持安全即服務的開放能力。5G網(wǎng)絡可以提供安全服務能力，一方面，基礎電信企業(yè)可以將網(wǎng)絡切片交由第三方應用服務商直接管理，通過網(wǎng)絡功能開放接口使其在授權范圍內(nèi)對網(wǎng)絡安全能力進行配置與調(diào)整；另一方面，也可以由基礎電信企業(yè)直接提供安全服務，包括為行業(yè)應用服務商提供網(wǎng)絡層的入侵檢測、密鑰管理、身份與訪問管理等服務，讓行業(yè)應用服務商更多地聚焦上層業(yè)務的安全能力構建。

隨著5G網(wǎng)絡與垂直行業(yè)的不斷融合，5G網(wǎng)絡面向行業(yè)應用的安全服務能力還將不斷豐富與拓展。當前5G網(wǎng)絡R16版本標準正在制定中，包括網(wǎng)絡切片安全、蜂窩物聯(lián)網(wǎng)安全、uRLLC安全等。為了更好地推動5G網(wǎng)絡的垂直行業(yè)應用，一方面要加強基礎電信企業(yè)對5G網(wǎng)絡安全服務能力的構建，深度挖掘垂直行業(yè)應用在網(wǎng)絡層的安全服務需求；另一方面要加強與應用服務提供商在安全保障能力的協(xié)作，通過應用層和網(wǎng)絡層的多層次安全機制，共同為5G各行業(yè)融合應用提供安全保障。