基于5G的专用网络安全研究现状

孙茜 田霖 冯晨 关振宇 李大伟

随着移动通信技术近年来的飞速发展[1-5],第五代移动通信网络(5th Generation Mobile Netwoks,5G)不仅是要为移动用户个体提供传输速率更高、可连接密度数更大的网络服务,还要积极响应国家发展信息化的时代要求,向国家军事指挥[6]、工业自动化控制、制造业的智能化以及远程医疗操作等特殊垂直行业提供专用的安全连接.因此,第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)组织从Rel-15 版本为公共用途设计的公共网络,到Rel-16 版本更多地关注到了仅供私有实体使用非公共网络.非公共网络(Non-Public Network,NPN)是为有特定需求的垂直行业提供私有的网络服务,一方面独立的网络资源可以保证其所需的服务质量,另一方面私有流量被限制在非公共网络内部,无需到达公共网络,也进一步保证了行业内部数据的安全性.非公共网络的部署大致可以分为部署在单独网络基础结构上的独立NPN(Stand-alone NPN,SNPN),以及托管在公共陆地移动网(Public Land Mobile Network,PLMN)基础结构上的公共网络集成的NPN(Public Network Integrated NPN,PNI-NPN).进一步又可以根据频谱资源获取方式的不同以及与PLMN 的共享程度的不同,SNPN 又分为企业自建的5G 专网、运营商帮助企业构建的5G 专网、PNI-NPN 又分为公网和专网之间无线接入网(Radio Access Network,RAN)共享的5G 专网、公网和专网之间RAN 和控制平面共享的5G 专网、公网和专网之间RAN 和核心共享的5G 专网、N3 接口本地疏导(N3 Local Breakout,N3 LBO)的5G 专网以及F1 接口本地疏导(F1 Local Breakout,F1 LBO)的5G 专网.

5G 专网由于会涉及到多种垂直行业的各个领域,并会与军事指挥、工业控制、智能交通、远程医疗等紧密结合在一起,因此5G 专网的安全性将会直接关系到国家及个人的生产生命安全,保证5G 专网的安全性就变得尤为重要.本文将针对终端接入网络的身份认证接入安全、接入网核心网两部分的资源隔离安全(其中也包括网络切片安全)、数据传输过程中的机密性完整性保护、专网与公网通信时的通信链路安全、专网与公网之间移动时服务连续性的安全保护、另外在生成传输存储过程中隐私信息的安全保护、针对部分重要单元进行连续监督的动态安全以及部分部署方案中所需的多接入边缘计算(Multi-Access Edge Computing,MEC)的安全保证进行了分析,并调研了现有的安全技术,总结出各种不同的部署方案通用性的安全需求与技术,以及各自针对性的安全需求与相应技术.最后指出未来还有待发展的安全性能技术.

1 5G 网络概述

2015年国际电信联盟正式出台了5G 的需求愿景,在4G 的基础上,针对传输速率、延迟、连接密度数、频谱效率、移动性、用户体验速率、网络能效以及区域流量密度等8 个方面,对5G 提出了更高的要求[7].另外,国际电信联盟也为5G 指定了三大应用场景,分别是增强移动宽带、高可靠低时延连接和海量物联,可以为军事指挥、工业控制、远程医疗等众多垂直行业提供更加安全可靠的服务[7].

1.1 5G 网络架构

为了满足更广泛的行业应用需求,5G 网络架构从终端(User Equipment,UE)、RAN 到核心网(Core Network,CN),在网络架构部署方式、网络资源分配隔离等多个方面都进行了较大改进,如图1所示[8].具体的5G 新技术新架构主要包含以下几个方面:为了在5G 中更方便引入新的网络功能以更加快速地部署不同需求的网络,引入了软件定义网络(Software Define Network,SDN)与网络功能虚拟化(Network Function Virtualized,NFV)技术,将控制面与用户面分离,把在传统专有硬件上运行的网络服务进行虚拟化,从而实现资源的快速调配、更精细化的服务质量保障、以及军事等行业需求变化对网络快速更新的需求[9].5G 还引入了网络切片技术,虚拟出端到端逻辑隔离的网络,用来为各类行业特定的应用场景分配独立的网络资源,从而提升其服务质量并同时保证了安全性.网络切片技术也是5G 专网部分部署方案中利用到的一项重要技术.另外5G愿景中提出对时延的严格要求,为了满足特定场景下时延达1 ms 的需求,提出了MEC 技术,将应用程序托管从集中式数据中心下沉到网络边缘,更接近用户和应用程序生成的数据,利用地理位置上的邻近,使得网络响应用户请求的时延大大减小.

图1 5G 网络架构Fig.1 5G network architecture

1.2 5G 网络安全

5G 通过引入网络功能虚拟化新技术,使网络功能不再依赖专有的硬件平台,系统配置更加灵活,但也改变了传统基于物理硬件进行隔离的方式,为5G网络的安全隔离带来了巨大的挑战;基于SDN 新技术的5G 网络体系架构一方面可以集中统一控制功能单元,合理调用网络资源,提高网络利用效率,但另一方面也要避免SDN 控制器单点故障的安全问题,SDN 流表的时效性和正确执行等新的安全需求[9];另外网络切片可以为不同的场景提供差异化的服务,但同时也带来了切片内部安全加密通信、终端接入切片身份认证、网络资源安全隔离等安全挑战,可以为每个切片提供定制化的安全功能[10];MEC 技术使核心网功能下沉,降低了延时,但这也要求5G 提供的安全能力也随之下沉.所以5G 的新技术新架构,为5G 安全带来了新的挑战,综上所述具体的5G 网络安全应保证以下几个方面[11]:

统一的认证框架:支持多种接入方式,以保证所有终端均可安全地接入网络.

按需的安全保护:应满足终端在多种应用场景中差异化的安全保护要求.

隐私保护:应按相关法规满足用户的隐私保护.

SDN/NFV 的安全:包括SDN 控制器安全、虚拟机安全、软件安全以及数据安全等.

切片的安全:包括切片安全隔离、UE 接入切片安全、切片间通信安全等.

能力开放的安全:保证开放的网络能力、安全能力(如加密、认证等)安全地提供给第三方.

5G 网络的新技术为其安全方面引入了新的要求.而5G 专网作为5G 中为特殊行业提供服务的专用网络,其在身份认证、切片安全、隐私保护以及MEC 安全等多方面的性能,都需要我们进一步地研究与思考.

2 5G 专网概述

5G 专网即仅供私有实体使用非公共网络,以针对性地满足5G 中政企不同垂直行业对高可靠性、低时延、高安全性等技术特性的特定需求.

2.1 5G 专网应用场景与通信需求

5G 网络的愿景是可以广泛地应用于制造业、能源采掘、运输/分销、零售业以及医疗健康等多种场景.而针对用于国家政府领域或特殊应用的行业,如国家军事指挥、工业自动化控制、制造业智能化以及远程医疗操作等,对网络的安全性、时延、可靠性有着更加严格的要求,并且需要在公共网络连接受限的环境中,也能保证持续、可靠的网络覆盖,并且不易遭受来自外界的数据剽窃和攻击.这就要求特定企业和国家要拥有一个专建专用的网络,以实现内部可控、安全性高、服务质量好、资源专用的目标.

例如制造业的智能化中需要支持预测性维护、精确监控以及增强现实和远程专家等用例,从而改善机器性能,延长资产寿命,降低质量控制支出.而这些用例都需要连续可靠地进行参数收集,超低时延的调整控制,不受限于公共网络的可靠传输,这就需要5G 专网为其提供专用的网络资源.另外还应保证5G 专网中控制信息的完整性和可用性以防止机械误操作,降低意外损失.同时精确监控等用例还需支持动态安全保护,以保证对其网络安全的持续连续的监控.有调查显示预计2030年制造业中5G 专网的应用可以带来7 400 亿美元的经济增长[12].

医疗健康行业也已提出了远程患者监控、基于高清视频的虚拟咨询、救护车联网等用例,从而对疾病做到提前主动预防,医疗资源更加合理有效地分配,紧急救治更加有效及时.这些用例都要依赖于5G 专网,提供独立的网络资源以实现高连接密度(传感器设备)、移动性、高传输速率(高清视频)以及传输无滞后无抖动,还要在安全方面支持用户以及专业医生接入的安全便捷的身份认证机制,通信数据的安全性与可靠性、患者个人的身份、位置以及病历等隐私信息不被泄露等.有相关调查显示这些用例预计会在2030年使住院人数减少5.7%,使得到就医的患者数上涨8.5 亿[13].

2.2 5G 专网部署

3GPP 分析了来自不同垂直行业NPN 用例的不同要求,提出了NPN 的初始分类,主要可以分为两个类别:SNPN 和PNI-NPN.SNPN 是部署在单独网络基础结构上的专用网络,不依赖PLMN 提供的网络功能.PNI-NPN 是在PLMN 支持下部署的非公共网络,它依赖于移动网络运营商(Mobile Network Operator,MNO)的网络功能(完全或部分),托管在PLMN基础结构上[14].下面针对进一步细分的7 大部署方案进行详细介绍.

2.2.1 企业自建5G 专网

该方案是企业基于专网频段,部署一个全套的5G 网络.这里使用的频谱是私有5G 频谱,而不是运营商的授权频谱.

另外作为SNPN,它和PLMN 之间的独立性主要体现在以下几个方面[15]:

1)NPN 具有独立的标识符NPN 身份标识码(Identity document,ID),其完全独立于PLMN ID.

2)分配NPN 专用的频谱.该方案中的许可频谱是直接从监管机构获得的私用频谱.

3)在工厂内要部署一个完整的5G 系统.

综上,企业自建的5G 专网具有超低延迟、独立可控并且隐私与安全性高.但部署成本高,而且后期还需要专业运维人员对网络进行维护.SNPN 的部署如图2所示.

2.2.2 运营商帮助企业构建5G 专网

该专用5G 网络架构与第一种方案部署方式相似,唯一的区别是,使用的是运营商许可的5G 频段来构建和运行5G 专网.即该方案的分配专用频谱是从MNO 转租的.

2.2.3 公网和专网间RAN 共享

该方案专网和公网之间仅共享5G 基站(gNodeB,gNB)(RAN 共享),NPN 和PLMN 具有不同的ID.

RAN 共享又可以分为基于独立载波(Multi Operator RAN,MORAN)方法的共享与基于载波共享(Multi Operator CN,MOCN)方法的共享.MORAN 与MOCN 不同的是,MORAN 允许NPN 具有专用的频段,该频段与PLMN 中使用的频段隔离.基于MOCN方法的PNI-NPN 和PLMN 共享频谱.分别如图3、图4所示.

该部署方案内部用于设备控制的专用网络流量仅在企业范围内传输,而像语音和Internet 之类的公共网络服务流量则被传输到运营商的网络[15].

2.2.4 公网和专网间RAN 和控制平面共享

该方案专网和公网之间共享RAN 和控制平面.如图5所示.

在这种情况下,NPN 唯一与PLMN 完全分离的部分是CN 用户平面[8].CN 控制平面共享,则NPN的网络控制任务是在MNO 的管理域中执行的,并且NPN 设备将由公共网络来定义[15].

2.2.5 公网和专网之间RAN 和核心共享

该方案专网与公网RAN 和核心网均共享.如图6所示.这种情况下NPN 完全由PLMN 托管.即公共和非公共流量部分都在工厂外部,所有数据流都经由共享的RAN 节点路由到PLMN[15].与前几种方案相比,这种架构的成本最低.

2.2.6 N3 LBO

该方案部署结构与方案3 和方案4 类似,不同的是企业引入了MEC.运营商将流量规则发送到MEC数据平面.MEC 数据平面查看来自5G 基站的所有数据包的目标网际互连协议(Internet Protocol,IP)地址,并将用户IP 包路由到内部专用网络.

图2 独立NPNFig.2 Stand-alone NPN

图3 共享RAN(MORAN)Fig.3 Shared RAN(MORAN)

图4 共享RAN(MOCN)Fig.4 Shared RAN(MOCN)

图5 共享RAN+CPFig.5 Shared RAN+CP

通过添加低成本的MEC 数据平面和MEC 应用,可以大大降低构建专用5G 网络的成本,而无需购入昂贵的用户面功能(User Plane Function,UPF)设备.另外MEC 的引入可以减小传输延时,增加隐私安全.

图6 共享RAN+CP+UPFig.6 Shared RAN+CP+UP

图7 N3 LBOFig.7 N3 LBO

2.2.7 F1 LBO

与方案6 相同,区别在于gNB 的集中式单元(Centralized Unit,CU)被放置在了移动网络的边缘云中,所以专用网络流量要从F1 接口传输,而不是从N3 接口.

图8 F1 LBOFig.8 F1 LBO

3 5G 专网安全需求及技术分析

5G 专网是用来针对如军事指挥、远程医疗操作、智能交通以及工业控制等,其传输速率、时延、移动性以及等参数都要求极高的应用场景,另外其安全性也将会直接关系到国家与个人生产生命的安全.所以5G 专网的安全就尤为重要.下面就从5G 专网中终端接入网络的身份认证接入安全、接入网核心网两部分的资源隔离安全(其中也包括网络切片安全)、数据传输过程中的机密性完整性保护、专网与公网通信时的通信链路安全、专网与公网之间移动时服务连续性的安全保护、另外在生成传输存储过程中隐私信息的安全保护、针对部分重要单元进行连续监督的动态安全以及部分部署方案中所需的MEC 的安全保证等8 个方面进行分析.

3.1 通用安全需求及技术分析

面向上述7 大部署方案,由于接入网与核心网共享程度不同,其各方案中的身份认证流程以及资源隔离方案是不共通的.另外MEC 是特定的部署方案中所使用的技术,因此,MEC 的安全也不属于部署方案中通用的安全技术.综上,7 大部署方案共有5 个方面共性的安全性需求:通信链路的安全性、数据的机密性和完整性、数据的隐私、连续服务的安全性以及动态安全.本节针对各通用安全需求以及现有的相应安全技术进行详细的分析.

3.1.1 安全的通信链路

在NPN 覆盖范围内,NPN 设备有些情况下可能需要访问公用网络服务,因此,有必要在NPN 和PLMN 之间建立一个防火墙以保证通信路径的安全[16].防火墙要允许将NPN 数据网络与PLMN 数据网络连接,并能将NPN 的运营商(垂直)和PLMN的MNO 的职责分开.3GPP 中定义了一种安全边缘代理安全边缘保护代理(Security Edge Protection Proxies,SEPP)[17-18],通过对消息的加密和修改,并将修改内容和数字签名以补丁文档的格式附加在原始消息体的最后面.另一侧的SEPP 收到消息后,首先使用共享密钥对内容进行解密,得到原始明文,然后对数字签名进行认证,如果认证通过,则把修改内容应用到原始消息上[19],从而实现消息的过滤监管以及拓扑隐藏.

3.1.2 机密性和完整性

为了保证工业场景中的安全性,防止有误的控制信息引起错误的机械操作导致的损失,NPN 通信要提供完全的机密性和完整性保证.针对这一安全需求,可以直接使用传统的网络安全技术进行保证,如加解密技术可以用来确保机密性、数字签名技术可以用来确保完整性.

3.1.3 数据隐私

对于国家军事信息、企业机密以及医疗行业中个人健康数据等隐私信息都需要满足安全和隐私的相关政策和程序.这就要求公共和非公共网络用户的数据分别进行处理,以保护垂直和MNO 的必要隐私.此外,许多企业更希望其数据保持本地状态并受其控制,而不是路由到公共网络,所以应在可能的情况下尽量避免在垂直场所的边界之外传输和存储私人数据[20].但目前针对用户数据隐私的非公共网络技术还未具体明确,有待未来应进一步研究开发和评估.

3.1.4 服务连续性安全

当NPN 设备在NPN 和PLMN 之间移动时,需要提供零时服务中断,即一方面PLMN 要能够在UE 离开NPN 覆盖时提供无缝的连接,另一方面NPN 也能够在UE 离开PLMN 覆盖时提供无缝的连接[21-22].3GPP 中已针对服务的连续性安全进行了明确的流程规定:首先通过向非公共网络(或PLMN)注册来获得IP 连接.再通过非3GPP 互操作功能(Non-3GPP Inter Working Function,N3IWF)获得与PLMN(或非公共网络)中的连接,从而建立UE 与PLMN(或非公共网络)的协议数据单元(Protocol Data Unit,PDU)会话[23].即NPN 和PLMN 之间通过N3IWF 相互接入,其中N3IWF 通过N2 和N3 接口接入5G 网络.

3.1.5 动态安全

动态安全性即预防性安全,可基于意图分析对安全攻击作出反应.通过对网络进行连续监视来识别突发的恶意行为.另外,还可以将受损的单元自动与其他单元隔离,不会再对其余单元产生负面影响.直到MNO 服务解决此攻击问题,网络服务自动恢复到正常[17].目前支持动态安全的技术主要依赖于人工智能和机器学习等方法,通过连续监控来监视安全情况.再通过对5G 网络中SDN/NFV 功能块的编程以动态更新安全策略,以及根据需求实时进行重新路由等[17].

3.2 专用安全需求及技术分析

由于各方案在部署与PLMN 共享程度有差别,其在安全接入的身份验证方面,是由公共网络还是专网中的鉴权服务器功能(Authentication Server Function,AUSF)进行认证会导致不同的流程;在隔离程度上,由于接入网与核心网的共享程度不同,其隔离方式也有着很大的区别;另外,N3 LBO 与F1 LBO 场景引入了MEC,所以这两种场景还需MEC针对性的安全需求.

下面将安全映射到各部署方案中,如表1所示.后续针对各安全需求以及现有的相应安全技术进行了详细的分析.

3.2.1 SNPN 身份认证

为了减少未授权实体访问专网中生产机器或使用数据的机会.3GPP 已针对终端接入身份认证的流程进行了详细说明.该节主要描述了SNPN 的身份认证过程.

独立部署的SNPN,用PLMN ID 和NPN-ID(非公共网络标识)的组合来进行标识.首先5G-RAN 广播NPN ID 和PLMN ID,以供UE 发现并选择非公共网络.UE 再向RAN 发送注册请求,并转发给接入及移动性管理功能(Access and Mobility Management Function,AMF).AMF 会选择NPN 中的AUSF 对UE进行身份验证;选择NPN 中统一数据管理功能(Unifie Data Management,UDM),以注册UE 上下文并检索UE 订阅数据.最后针对授权的UE,AMF 会向UE返回注册接受消息,UE 完成注册过程.在UE 没有签约或者网络拥塞时,SNPN 会阻止UE 接入[23].

表1 部署方案与安全映射表Table 1 Deployment plan and security mapping table

3.2.2 PNI-NPN 身份验证

本节针对3GPP 中PNI-NPN 身份认证流程进行描述.由于网络切片无法限制UE 在未部署NPN的区域中尝试接入网络,因此,需要选择使用CAG(Closed Access Group,封闭接入组)来进行接入控制.CAG 由一组小区ID 构成,UE 只有在CAG 对应的区域内才可以接入NPN RAN.首先5G-RAN 广播CAG ID 和PLMN ID,以供UE 发现并选择非公共网络.UE 再向RAN 发送注册请求,并转发给AMF.AMF会选择NPN 中的AUSF(控制面不共享)或PLMN中的AUSF(控制面共享)对UE 进行身份验证;选择NPN(控制面不共享)或PLMN(控制面共享)中UDM,以注册UE 上下文并检索UE 订阅数据.最后针对授权的UE,AMF 会向UE 返回注册接受消息,UE 完成注册过程.

3.2.3 接入网安全隔离

接入网的安全隔离,可以有效避免由于资源之间的相互竞争而影响正常运行导致时延增加的问题.接入网资源主要分为基站处理资源和无线频谱资源两部分,下面针对两种资源的隔离分别进行了描述.

基站处理部分隔离:针对SNPN 的专网部署方式,专网的接入基站设备独立于公网基站设备,即SNPN 的基站安全隔离是基于物理硬件上的隔离.PNI-NPN 部署方式下,分布式单元(Distribute Unit,DU)还依赖于专用硬件实现隔离,而CU 则是通过虚机或容器技术实现的逻辑上的隔离[24].

无线频谱资源隔离:在SNPN 和共享RAN 的MORAN 部署方案下,NPN 会具有从国家或运营商租用的专用频段,该频段与PLMN 中使用的频段完全隔离.而其他NPI-NPN 部署方案下的无线频谱资源隔离,主要依赖于5G 的正交频分多址系统.可以将无线频谱从时域、频域、空域3 个维度划分为不同的资源块,根据资源块的正交性来保证逻辑隔离的有效性[24].

3.2.4 核心网安全隔离

核心网的安全隔离可以有效防止攻击扩散、数据泄露等安全威胁.在SNPN 和共享RAN 的部署方式下,核心网的部署专网是从硬件上完全独立于公网,是物理层面上的完全隔离.而核心网共享的PNI-NPN 部署方式,核心网的安全隔离要依赖于网络切片技术形成逻辑上的隔离.所以网络切片技术本身的安全将会直接关系到核心网共享方式下专网中用户信息和数据流量的安全,下面就针对网络切片技术的安全作了进一步的讨论,其主要包括终端访问切片的安全、切片间的安全隔离以及切片内部安全通信.

1)终端访问切片的安全技术.为了确保能够为用户正确选择和访问切片,要保证终端访问切片的安全.

3GPP TR33.899 针对UE 接入切片的安全提出了具体的接入流程,主要分为两个阶段[25]:

首先是网络接入阶段,UE 向RAN 发送连接请求消息,无线接入网会先将其接入一个默认网络切片.接着由网络切片选择模块根据用户的请求信息和签约信息确定提供服务的网络切片并将其接入.然后UE 和提供服务的网络切片为自己的网络安全上下文派生出核心网密钥以保证完整性和机密性.

第2 步切片接入阶段,基于网络切片实例选择的安全机制策略,提供服务的网络切片决定是否要执行切片的认证流程.如果需要进行切片认证且认证成功,则提供服务的网络切片向默认网络切片返回连接请求接受消息,再进一步转发给UE,UE 接入成功.

2)安全隔离.网络切片是端到端的虚拟网络,其安全隔离,避免由于一个切片的异常影响到其他切片的安全.主要包括切片在接入网络和核心网络中的隔离.接入网的隔离如3.2.3 中所述,这里主要讨论核心网的安全隔离.文献[26]中提出了一种基于密钥的隔离技术:不同网络切片共享控制面的密钥,但在数据面使用不同的密钥进行隔离.即各切片之间用于数据传输的密钥是各不相同的,从而保证了各切片间的安全隔离.

3)切片内部安全通信技术.网间切片通信中,网络切片之间的接口容易受到攻击,会导致网络切片无法正常运行,所以要保护切片间通信的安全.

切片内网络功能与切片公用网络功能的安全主要是网管平台通过白名单机制对各个网络功能进行授权.具体步骤如图9所示[11],切片内的会话管理功能(Session Management Function,SMF)需要向网络存储功能(NF Repository Function,NRF)先进行注册.当AMF 为UE 选择切片时,需要先询问NRF 以发现各个切片的SMF,再进行切片内SMF 与切片外AMF 之间的相互认证,认证成功AMF 和SMF 才可通信.同时,可以在AMF 或NRF 处进行频率监控或部署防火墙,进一步防止拒绝服务攻击[27].另外切片内的网络功能之间通信前也要先进行认证,保证对方网络功能是可信的网络功能,才可以通过建立安全隧道进行安全通讯[28].

3.2.5 MEC 安全

N3 LBO 与F1 LBO 部署场景都引入了MEC,所以在保证上述通用安全的同时,还需对MEC 的安全性进行讨论.MEC 的安全主要包括:MEC 与其他实体之间通信应进行相互认证[29];MEC 中的敏感数据应进行安全存储,禁止非授权访问;在虚拟基础设施安全方面,对占用的虚拟资源应有限制以防止恶意MEC 故意占用过多虚拟资源;还应对虚拟化软件进行安全加固,防止镜像被篡改;如果需远程登录移动边缘编排和管理系统网元,应使用安全协议登陆进行操作维护.

文献[29]中对MEC 身份认证的流程进行了明确规定.其身份认证的网络体系中主要包含了终端智能设备、MEC 服务器(MEC Server,MS)、注册中心(Registration Authority,RA)等多个功能实体.注册中心主要负责对用户和MEC 服务器的注册,以支持用户应与MEC 服务器的双向身份认证,从而确认双方的合法性.主要分为初始阶段、用户注册阶段、服务器注册阶段以及认证阶段4 部分[29].其他MEC 安全需求相应的技术目前还未有明确文献进行规定.

图9 切片安全机制Fig.9 Slice security mechanism

4 结论

相比于4G,5G 在传输速率、时延、连接密度等多方面有着很大的提升,并提出了3 大应用场景eMBB、uRLLC 和mMTC.为了满足5G 针对军事指挥、工业控制等特殊行业的需求,提出了5G 专网,仅供企业等私有实体使用非公共网络.3GPP 又将5G专网分为SNPN 和PNI-NPN 各种不同的部署方案.多样的部署方案也有着不同的安全需求.本文针对各方案的部署形式分析了其相对应的安全需求,并调研了相关的安全技术.其中5G 专网的通用安全需求有通信链路安全、机密性和完整性、数据隐私、服务连续性安全以及动态安全.根据调研结果,通信链路安全可通过安全边缘代理SEPP 建立安全通信路径;机密性和完整性可用传统的加密、数字签名等安全技术进行解决;服务连续性安全可由N3IWF 保证NPN 和PLMN 之间的零时服务中断;动态安全目前要依赖于人工智能和机器学习的方法,通过不断监控以了解正常情况并及时进行动态策略、加密的更改.而数据隐私还有待未来应进一步研究开发和评估.另外,针对不同的部署方案,根据其接入网与核心网不同的部署方式,3GPP 对其身份认证技术的流程也进行了详细差别的规划,具体过程详见正文.同时专网的隔离方案也随着公共网络共享程度的不同而变化,从接入网的隔离到形成端到端网络切片的隔离.目前针对网络切片的安全技术,包括网络切片的安全隔离、终端访问切片的安全技术以及切片内部安全通信技术都已十分完善.最后N3 LBO 和F1 LBO 部署方式中引入了MEC 的应用,针对MEC 技术的安全性目前还有待讨论.虽然MEC 服务器与终端之间相互认证有了明确的技术流程,但ME app 对敏感数据的安全存储、其应用的虚拟化资源的仿镜像篡改等安全管理操作以及远程登录移动边缘的安全性还未有明确的技术流程规定.