5G 环境下网络等级保护工作策略研究

马 遥

（黑龙江省网络空间研究中心，黑龙江 哈尔滨 150090）

1 5G 技术及其网络等级保护的难点

作为新一代蜂窝移动通信技术，5G 技术的应用场景包括增强型移动宽带、大规模机器类型通信、超低延迟和超高可靠性通信[1]。5G 网络环境支持网络虚拟化、软件自定义以及差异化服务的网络切片技术，以高效、低延迟为特征的移动边缘计算技术等。5G 技术的商用目标是在超高流量密度和连接数密度的环境下，为垂直行业提供通信、连接和计算服务。与5G 网络全新的网络模式和通信服务相对应的，各运营商也要为第三方或垂直行业提供开放的网络等级保护服务，如接入认证、用户授权等。5G 环境下网络等级保护的难点在于如下2 点。

（1）技术融合使得安全防护难度增大。5G 技术网络等级保护对象不仅要面临以往的网络安全威胁，在防护工作中还要应对5G 技术本身融入的多种技术所带来的安全风险。5G 技术涉及的新技术包括超密集异构网络、自组织网络、内容分发网络、M2M 通信等，这些技术所涉猎的网络防护技术又是千头万绪，这些技术融合在一起必然会使得安全防护的难度系数大大提高[2]。

（2）等级保护对象的安全职责界定困难。5G 网络除了原有的通信功能外，借助高效、低延迟的技术特征可以为运营商和第三方垂直业务用户提供更加丰富的网络服务，同时也大大增加了网络保护对象的安全职责划分界定难度。在原有的安全防护策略中，安全区域的设置是根据等级保护对象划分的，但在5G 网络环境下，网络虚拟资源是切片化使用的，不同业务的用户是按照逻辑边界来申请的，而不是物理边界。例如，云计算服务可以为自动驾驶提供服务，也可以为气象预报提供服务，但是提供的运算服务是并行的，无法为每个类型或每个特定的用户流量进行安全策略的部署，只有运营商能够提供网络环境下的安全等级防护服务。因此，在5G 网络的等级保护工作中，如何界定运营商、第三方垂直用户之间的安全职责是要根据实际情况来分析和确定的，这也使得防护工作更加复杂和困难[3]。

2 5G 技术的安全目标

不同于4G 技术及之前版本的单一传输管道和控制模型，5G 技术实现了以业务为中心、功能模块化以及可编程网络为核心的业务模型。借助通用的通信基础设施，5G 技术为不同的业务对象提供定制化的网络服务，实现了网络资源和软件系统的重构化管理。因此，5G 技术的安全需求也不仅限于网络安全本身，还要为虚拟网络和业务对象设计不同的安全架构来支持多种认证模式和业务场景。

5G 系统的安全目标是在4G 网络安全机制的基础之上，建立以用户为中心的满足服务化安全需求的安全体系架构，为用户空口接入提供统一的认证机制，为用户与网络之间的空口传输的信令和用户数据提供机密性、完整性和抗重放保护，提供用户身份隐私的保护、密钥的协商、安全保护同步等机制，确保5G 网络能够防范未授权用户访问、中间人攻击、用户身份及隐私窃取、服务网络的假冒以及拒绝服务攻击等。

3 5G 环境下等级保护工作开展策略

3.1 等级保护对象识别的新标准

3.1.1 切片网络服务的等级保护对象

网络切片服务平台及应用是5G 网络商用部署后产生的一类新型等级保护对象。网络切片服务平台及应用涉及的责任主体包括网络运营商和提供垂直通信服务的业务供应商。不同于原有的移动通信网络等级保护对象划分规则，网络切片服务平台及应用要与通信网络、供应商、垂直业务供应商进行交叉等级划分。一个网络运营商管理的通信网络除了要考虑网络物理区域外，还要对网络切片服务领域、租用方的安全保护等级进行多维度划分。

3.1.2 MEC 平台及应用的等级保护对象

MEC 边缘计算节点也是5G 网络商用部署后新引入的等级保护对象，具备云计算的部分特征。MEC 平台的业务系统包括服务器、应用程序、客户终端、业务数据等，这些具备等级保护对象特征的终端节点具有临时性和移动性的特点，会根据业务类型的不同而不断发生变化，不能按照业务系统来划分等级保护对象。现在针对MEC 平台等级保护对象划分的讨论主要围绕2 个问题展开，第一是是否将终端考虑在划分定级对象的策略中，第二是MEC 平台的业务系统都是分布式部署，等级保护对象划分是按照逻辑划分还是按照物理划分[4]。

3.2 等级保护对象的测评难点

3.2.1 新技术的可靠性验证

5G 网络引入了很多新的技术，如网络切片、MEC、NFV 和SDN 等，这些技术的原理和实现机制是否能再应用过程中保证有效性和安全性是目前5G 等级保护对象测评的一大难点。网络切片的生成、切片之间的有效隔离、切片内部的业务系统安全隔离等可靠性技术都存在验证的困难。MEC 业务系统中的节点、控制器交互可靠性，MEC 内多个终端的授权、鉴别和一致性验证方法也存在较大困难。

3.2.2 数据传输安全

5G 网络的高效通行涉及很多远程传输场景，如服务器与终端、基站与终端、基站与核心网之间、MEC系统与核心网之间均要进行远程传输。这些传输过程中的身份鉴别和有效性验证方法也是5G 网络等级保护对象测评的一大难点。

3.2.3 新型终端的抽样评测

5G 网络支持多种移动互联设备，如可穿戴设备、智能交通工具等，这些智能终端普遍具有泛在化特征。对于这些大量存在的泛在化终端，如何进行有效抽样测评来保证等级保护对象的可靠性也是测评的一大难题。

4 结 论

针对5G 新技术特征和业务模式，原有的网络安全等级保护体系必须在计算机、通信、云计算等领域进行策略变更。有关部门也要抓紧制定符合5G 网络环境实际情况的等级保护对象定级制度，完善定级、保护、测评和管理的工作内容，为5G 的商用部署应用提供有效的政策保障和技术保障。