5G网络切片安全技术研究

周巍

【摘  要】根据网络切片的技术特点给出了网络切片在安全方面的关键需求，并据此提出了两种解决方案。一种是基于网络部署方案实现切片安全分级保护，另一种是基于密码技术对切片内用户面数据提供保护。最后介绍了3GPP当前支持的网络切片安全能力。

【关键词】5G安全;网络切片;通信安全;认证授权

1   引言

网络切片是5G系统的一个重要新特性。5G网络充分利用与SDN/NFV虚拟化架构的融合，根据未来业务具体场景和需求提出了“网络切片”的概念。每个网络切片是一个相对独立的网络域，由支持特定用例的通信服务需求的逻辑网络功能集合组成，具备各自的网络资源和业务信息。5G网络通过网络切片机制来满足不同的业务应用场景，实现灵活的资源编排和调度，适应业务快速上线。它使运营商能够针对市场的各种业务需求创建定制化网络能力，从而提供优化的通信解决方案。网络切片能够实现端到端的逻辑网络划分，按需配置网络资源，有效降低运营商的网络投资和运营成本，提高经济效益。

目前5G网络切片安全研究主要集中在两个方面：一个是与3GPP网络切片安全标准相关的研究工作;另一个是针对垂直行业租用运营商网络切片后，如何满足垂直行业对网络安全的更高要求而展开的研究工作。前者主要关注切片隔离安全、切片认证、与切片相关的隐私保护和将切片管理能力开放给第三方时的安全。后者主要是基于垂直行业的实际需求以逐案处理的方式研究满足具体个案安全需求的解决方案。

大唐移动通信设备有限公司全面参与了3GPP 5G标准化工作，主要是从标准化的角度研究网络切片安全技术方案，重点是网络切片隔离技术和切片内端到端数据安全技术，目的是更好地满足垂直行业对网络切片安全的需求，减少采用非标准化安全方案。

2   5G网络切片安全需求分析

网络切片本质上就是将物理网络分割成多个虚拟的端到端网络，每个虚拟网络在逻辑上都拥有独立的网络资源。运营商可以基于不同业务场景对通信服务的需求灵活地为每个切片配置相应的資源。然而，因为网络切片并不是真正意义上独立的网络，切片之间的关联不能完全避免，因而导致了一些新的安全威胁，例如切片间信息泄露、干扰和攻击等。为应对网络切片所面临的威胁，本节归纳整理了一些与网络切片相关的安全需求：

（1）网络切片应提供有效的隔离机制，确保网络切片内的资源不会互相影响，并将潜在的网络攻击限制在单个网络切片内。

（2）网络切片应能够定义不同的安全性机制，以满足网络切片对安全的特定要求，例如针对物联网应用的轻量级安全算法。

（3）网络切片应能够提供切片内认证和授权机制，防止非授权用户访问切片资源。

（4）网络切片的管理功能只能提供给授权的第三方访问，并且开放的管理功能应是在运营商的控制之下执行。

（5）切片认证和管理过程中应保护用户的隐私。

3   5G网络切片部署方案

通过5G网络切片技术，运营商可以灵活地实现各种网络定制方案，满足垂直行业在成本、性能和安全上对通信网络的不同需求。为满足垂直行业不同等级、不同领域应用对5G移动通信系统的特殊需求，可以通过网络切片技术实现专用业务的分级和分域管理。基于专用业务切片编排，建设不同QoS和安全等级的网元，并将不同QoS和安全等级的网元设备构建为不同等级的业务链，实现各等级业务流在相应等级业务链上的承载，从而达到业务流的QoS需求和安全隔离需求。根据不同的成本要求、QoS需求和安全等级需求，运营商可以有如下四种可能的网络切片部署方案：

（1）方案一：针对成本控制需求较高、QoS需求较低、安全性需求较低、应用灵活性需求较高的应用，可以基于公网业务平台生成行业定制业务模板，利用公网网元生成专用网络切片，实现行业定制业务。

（2）方案二：针对成本控制需求较低、QoS需求较高、安全等级需求较高、应用灵活性需求一般的应用，可部署专用应用和业务支撑系统，并基于公网接入平面与转发平面基础设施生成行业定制业务模板，与公网应用形成相对独立的专用网络切片，实现行业定制业务。

（3）方案三：针对成本控制需求低、QoS需求高、安全等级需求高、应用灵活性需求较低的应用，可部署专用应用和业务支撑系统及专用转发平面，基于公网接入平面基础设施生成专用业务模板，与公网应用形成相对独立的专用物理切片，实现行业定制业务。

（4）方案四：针对成本控制需求更低、QoS需求更高、安全等级需求更高、应用灵活性需求低的应用，可部署专用应用和业务支撑系统及专用转发平面，基于公网接入平面基础设施生成专用业务模板，与公网通过安全隔离网关互联，实现适用于特殊行业的定制业务。

上述四种解决方案，采用网络切片技术，根据部署成本、QoS、安全等级和网络拓扑灵活性等需求建设隔离等级不同的面向垂直行业和特殊行业的5G定制化移动通信系统。基于按需重构的设计思路，划分不同的网络域和安全域，采取分层、分级的部署和隔离保护措施。以用户为中心，采用基于SDN、NFV和安全技术来解决现有技术无法适应快速变化的定制业务应用的不足，实现未来5G网络融合时代灵活多变且安全可控的定制化网络系统。

4   基于密钥的网络切片安全隔离机制

网络切片是由支持特定用例的通信服务需求的逻辑网络功能集合组成，这些网络功能本质上是被各个网络切片共享的，而且在某些场景下第三方能够对网络切片进行管理，因此在与网络切片相关的安全需求中，网络切片的隔离尤其重要。

本文提出了一种基于密钥的网络切片隔离技术。其基本思想是：针对不同的网络切片UE可以共享控制面密钥，但在不同切片内将使用不同的数据面密钥。切片内的密钥体系如图1所示。切片内的主密钥KNS由KSEAF导出，进而导出用于保护用户面空口数据的主密钥KANUP和保护用户面UE至核心网数据的主密钥KCNUP。基于KANUP可以进一步导出用于完整性保护和机密性保护的密钥KRRC-UPSint和KRRC-UPenc。基于KCNUP可以进一步导出用于用户面从UE至核心网完整性保护和机密性保护的密钥KCN-UPint和KCN-UPenc。