久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

傳統(tǒng)網(wǎng)絡(luò)通常是一種架構(gòu)滿足所有業(yè)務(wù)需求，而5G時(shí)代，利用網(wǎng)絡(luò)切片技術(shù)，可以做到為每種有特定需求的業(yè)務(wù)量身定做專(zhuān)用虛擬網(wǎng)絡(luò)（切片），其中特定需求包括功能需求（如優(yōu)先級(jí)、計(jì)費(fèi)、策略控制、安全、移動(dòng)性等）、性能需求（如時(shí)延、移動(dòng)性、可靠性、速率等）、服務(wù)對(duì)象（如所有用戶(hù)、漫游用戶(hù)、虛擬運(yùn)營(yíng)商等）等。因此，網(wǎng)絡(luò)切片技術(shù)將從根本上改變傳統(tǒng)的移動(dòng)通信網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)規(guī)劃及部署模式，同時(shí)也給運(yùn)營(yíng)商開(kāi)拓商業(yè)模式帶來(lái)新的契機(jī)，如給垂直行業(yè)提供網(wǎng)絡(luò)切片服務(wù)，使其可在給定的權(quán)限范圍內(nèi)控制運(yùn)營(yíng)商的網(wǎng)絡(luò)切片，實(shí)現(xiàn)定制化服務(wù)。

2.2 網(wǎng)絡(luò)切片實(shí)現(xiàn)方案

一個(gè)UE（用戶(hù)設(shè)備）通過(guò)5G接入網(wǎng)可以同時(shí)連接到一個(gè)或多個(gè)網(wǎng)絡(luò)切片（最多8個(gè)）。服務(wù)于UE的AMF（接入管理功能）在邏輯上屬于為UE服務(wù)的每個(gè)網(wǎng)絡(luò)切片，即該AMF對(duì)于服務(wù)于UE的網(wǎng)絡(luò)切片來(lái)說(shuō)屬于共享網(wǎng)絡(luò)功能。同時(shí)，由于切片隔離，AMF可能只為部分切片服務(wù)，因此終端發(fā)起注冊(cè)請(qǐng)求時(shí)，接入網(wǎng)需要先進(jìn)行初始AMF選擇，然后AMF進(jìn)一步進(jìn)行切片選擇，某些場(chǎng)景下可能會(huì)觸發(fā)AMF的重選流程來(lái)適配終端希望連接的切片。注冊(cè)完成后，AMF會(huì)通知UE其可以接入的切片信息。當(dāng)AMF接收到來(lái)自UE的PDU會(huì)話建立請(qǐng)求消息時(shí)，該AMF會(huì)進(jìn)一步發(fā)起網(wǎng)絡(luò)切片中的SMF發(fā)現(xiàn)和選擇過(guò)程。

3 5G網(wǎng)絡(luò)切片應(yīng)用場(chǎng)景及安全需求

5G網(wǎng)絡(luò)切片應(yīng)用場(chǎng)景主要包括eMBB（增強(qiáng)移動(dòng)寬帶）、uRLLC（超可靠低時(shí)延通信）和mMTC（海量機(jī)器類(lèi)通信）。

3.1 eMBB應(yīng)用場(chǎng)景及安全需求

eMBB典型應(yīng)用場(chǎng)景主要包括高清視頻、AR/VR、海量實(shí)時(shí)數(shù)據(jù)交互等移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)，以及視頻監(jiān)控、移動(dòng)醫(yī)療等物聯(lián)網(wǎng)業(yè)務(wù)，5G時(shí)代，人們希望在體育賽事、演唱會(huì)等人員超密集場(chǎng)景下以及在高鐵上等高速移動(dòng)環(huán)境下也能獲得連續(xù)的優(yōu)質(zhì)業(yè)務(wù)體驗(yàn)。這些業(yè)務(wù)對(duì)5G網(wǎng)絡(luò)的流量、傳輸速率都提出了很高的要求，包括高用戶(hù)體驗(yàn)速率、高用戶(hù)峰值速率、高清視頻流的流暢播放、高速移動(dòng)時(shí)大流量密度、高用戶(hù)密度場(chǎng)景下的高數(shù)據(jù)速率、業(yè)務(wù)連續(xù)性、根據(jù)用戶(hù)數(shù)自動(dòng)擴(kuò)縮容、優(yōu)化用戶(hù)面數(shù)據(jù)傳輸路徑等。

eMBB應(yīng)用場(chǎng)景的大流量、高速率對(duì)現(xiàn)有網(wǎng)絡(luò)安全防護(hù)手段提出了挑戰(zhàn)：大流量、高速率帶來(lái)網(wǎng)絡(luò)邊緣數(shù)據(jù)流量的大幅提升，現(xiàn)有網(wǎng)絡(luò)中部署的防火墻、入侵檢測(cè)系統(tǒng)、數(shù)據(jù)及信息保護(hù)系統(tǒng)等安全設(shè)備在流量檢測(cè)、鏈路覆蓋、數(shù)據(jù)存儲(chǔ)、計(jì)算與處理能力等方面將面臨較大挑戰(zhàn)。因此，需要對(duì)安全防護(hù)技術(shù)和設(shè)備進(jìn)行演進(jìn)和升級(jí)，如在現(xiàn)有防護(hù)手段中引入虛擬化、服務(wù)化技術(shù)等，以適應(yīng)和應(yīng)對(duì)大流量、高速率帶來(lái)的沖擊。

3.2 uRLLC應(yīng)用場(chǎng)景及安全需求

uRLLC典型應(yīng)用場(chǎng)景主要包括工業(yè)控制、遠(yuǎn)程醫(yī)療、自動(dòng)駕駛、智能電網(wǎng)以及公共安全等。這些業(yè)務(wù)對(duì)端到端時(shí)延、安全性和可靠性提出了很高的要求，包括毫秒級(jí)時(shí)延、高可靠性、低丟包率、低抖動(dòng)、多樣性安全機(jī)制以及業(yè)務(wù)隔離等。

uRLLC應(yīng)用場(chǎng)景的低時(shí)延需求造成復(fù)雜的安全機(jī)制部署受限。安全機(jī)制的部署，例如接入認(rèn)證、數(shù)據(jù)傳輸安全保護(hù)、終端移動(dòng)過(guò)程中切換、數(shù)據(jù)加解密等均會(huì)增加時(shí)延，過(guò)于復(fù)雜的安全機(jī)制不能滿足低時(shí)延業(yè)務(wù)的要求。另外，uRLLC應(yīng)用場(chǎng)景通常需要借助部署多接入邊緣計(jì)算（MEC）系統(tǒng)來(lái)實(shí)現(xiàn)超可靠、低時(shí)延指標(biāo)，而MEC的部署特點(diǎn)是將邊緣計(jì)算節(jié)點(diǎn)下沉到核心網(wǎng)邊緣，邊緣環(huán)境受到物理攻擊的可能性增大。因此，需要建立面向低時(shí)延需求的安全機(jī)制，優(yōu)化業(yè)務(wù)接入認(rèn)證、數(shù)據(jù)加解密等環(huán)節(jié)帶來(lái)的時(shí)延；同時(shí)，對(duì)邊緣計(jì)算設(shè)施予以物理保護(hù)和網(wǎng)絡(luò)防護(hù)，充分利用已有的安全技術(shù)進(jìn)行平臺(tái)加固并增強(qiáng)邊緣設(shè)施自身的防盜防破壞措施，盡力提升低時(shí)延條件下安全防護(hù)能力。

3.3 mMTC應(yīng)用場(chǎng)景及安全需求

mMTC典型應(yīng)用場(chǎng)景主要包括智能家居、智慧城市、環(huán)境監(jiān)測(cè)、智慧農(nóng)業(yè)、智能抄表和智能穿戴等物聯(lián)網(wǎng)業(yè)務(wù)。這些應(yīng)用覆蓋領(lǐng)域廣，接入設(shè)備數(shù)量巨大，應(yīng)用地域和設(shè)備供應(yīng)商標(biāo)準(zhǔn)分散，業(yè)務(wù)種類(lèi)多，業(yè)務(wù)在低功耗、大連接方面有突出需求，包括高密度的海量設(shè)備連接、多樣化連接模式、高效的輕量級(jí)通信、低頻率數(shù)據(jù)傳輸下的高資源使用率、輕量級(jí)的設(shè)備配置和管理、低能耗、通信安全性、在線和離線計(jì)費(fèi)等。

mMTC應(yīng)用場(chǎng)景的海量多樣化終端易被攻擊利用，對(duì)網(wǎng)絡(luò)運(yùn)行安全造成威脅。預(yù)計(jì)到2025年全球物聯(lián)網(wǎng)設(shè)備聯(lián)網(wǎng)數(shù)量將達(dá)到252億，其中大量功耗低、計(jì)算和存儲(chǔ)資源有限的終端難以部署復(fù)雜的安全策略，一旦被攻擊利用形成設(shè)備僵尸網(wǎng)絡(luò)，將會(huì)成為攻擊源，進(jìn)而引發(fā)對(duì)用戶(hù)應(yīng)用和后臺(tái)系統(tǒng)等的網(wǎng)絡(luò)攻擊，帶來(lái)網(wǎng)絡(luò)中斷、系統(tǒng)癱瘓等安全風(fēng)險(xiǎn)。因此，需要構(gòu)建基于海量機(jī)器類(lèi)通信場(chǎng)景的安全模型，優(yōu)化終端設(shè)備接入安全機(jī)制，建立智能動(dòng)態(tài)防御體系應(yīng)對(duì)網(wǎng)絡(luò)攻擊，防止網(wǎng)絡(luò)安全威脅橫向擴(kuò)散。

4 5G網(wǎng)絡(luò)切片安全分析

4.1 網(wǎng)絡(luò)切片的安全需求

5G網(wǎng)絡(luò)除了需要支持移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景之外，還需要支持工業(yè)互聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)以及物聯(lián)網(wǎng)為典型代表的垂直行業(yè)應(yīng)用場(chǎng)景，因此傳統(tǒng)的安全防護(hù)機(jī)制將難以滿足5G時(shí)代新的安全需求。5G網(wǎng)絡(luò)切片是在統(tǒng)一的基礎(chǔ)設(shè)施上，為不同用戶(hù)按需提供專(zhuān)用服務(wù)，不同專(zhuān)用服務(wù)對(duì)安全的需求也不盡相同。因此，網(wǎng)絡(luò)切片為不同業(yè)務(wù)提供定制化服務(wù)的同時(shí)，也需要提供量身定做的安全防護(hù)能力。

網(wǎng)絡(luò)切片需要滿足的安全需求主要包括授權(quán)用戶(hù)才能接入網(wǎng)絡(luò)切片、保證網(wǎng)絡(luò)切片中重要網(wǎng)元的安全、保障網(wǎng)絡(luò)切片敏感信息的存儲(chǔ)及傳輸安全、網(wǎng)絡(luò)切片之間的安全隔離等。

4.2 網(wǎng)絡(luò)切片面臨的安全風(fēng)險(xiǎn)及應(yīng)對(duì)

不同的網(wǎng)絡(luò)切片承載不同的5G業(yè)務(wù)，但網(wǎng)絡(luò)切片共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施，因此對(duì)切片的安全隔離能力帶來(lái)挑戰(zhàn)；若網(wǎng)絡(luò)切片的認(rèn)證和授權(quán)能力不足，則可能造成敏感信息和/或隱私信息泄漏，并且被攻擊者所利用；另外，在5G新業(yè)務(wù)場(chǎng)景下，運(yùn)營(yíng)商可能會(huì)以網(wǎng)絡(luò)切片的模式向第三方企業(yè)、用戶(hù)提供網(wǎng)絡(luò)服務(wù)，對(duì)于此種服務(wù)中涉及的運(yùn)營(yíng)商、虛擬運(yùn)營(yíng)商、用戶(hù)等不同層和不同域的安全責(zé)任主體劃分問(wèn)題面臨挑戰(zhàn)。下面具體介紹幾種典型的安全風(fēng)險(xiǎn)。

（1）網(wǎng)絡(luò)切片安全隔離風(fēng)險(xiǎn)

如果網(wǎng)絡(luò)切片之間的隔離出現(xiàn)問(wèn)題，則攻擊者將可能借助某一個(gè)切片訪問(wèn)其他切片，然后利用該訪問(wèn)發(fā)起攻擊。例如，一個(gè)切片的擴(kuò)縮容操作可能消耗其他切片的資源，導(dǎo)致資源不足，不能支持其他服務(wù)；攻擊者可以通過(guò)非法訪問(wèn)其他切片中的功能或通過(guò)隱蔽通道攻擊來(lái)竊取數(shù)據(jù)等。因此，每個(gè)切片都應(yīng)該具有獨(dú)立的安全策略，不同的網(wǎng)絡(luò)切片的資源不應(yīng)相互影響，當(dāng)單個(gè)UE通過(guò)多個(gè)網(wǎng)絡(luò)切片訪問(wèn)服務(wù)時(shí)，應(yīng)該可以將切片彼此隔離，以盡量減少對(duì)數(shù)據(jù)機(jī)密性和完整性的攻擊。

（2）網(wǎng)絡(luò)切片安全機(jī)制差異化

網(wǎng)絡(luò)切片對(duì)不同應(yīng)用提供按需的安全能力，意味著每個(gè)切片需要配置特定于服務(wù)的安全機(jī)制（包括策略、協(xié)議和功能等），如果網(wǎng)絡(luò)切片安全級(jí)別水平不夠，訪問(wèn)和會(huì)話將面臨安全風(fēng)險(xiǎn)。因此，不同的網(wǎng)絡(luò)切片應(yīng)支持不同的安全機(jī)制，包括在認(rèn)證方法、憑證類(lèi)型、用戶(hù)存儲(chǔ)庫(kù)、控制策略和安全策略等方面，其中安全策略可能包括隔離策略、加密算法、完整性保護(hù)算法、密鑰長(zhǎng)度以及密鑰到期策略等。

（3）UE的接入安全

UE可以同時(shí)訪問(wèn)多個(gè)網(wǎng)絡(luò)切片，可以通過(guò)不同方式接入網(wǎng)絡(luò)，比如3GPP和非3GPP等；另外，在物聯(lián)網(wǎng)場(chǎng)景下，傳感器和可穿戴設(shè)備的連接設(shè)備（UE）的類(lèi)型和數(shù)量巨大，因此確保將合適的網(wǎng)絡(luò)切片正確分配給相應(yīng)的簽約用戶(hù)至關(guān)重要，否則將面臨在網(wǎng)絡(luò)切片選擇過(guò)程中用戶(hù)隱私信息泄漏風(fēng)險(xiǎn)。因此，需要提高交互消息的完整性和機(jī)密性保護(hù)能力。

（4）能力開(kāi)放接口安全

5G網(wǎng)絡(luò)通過(guò)網(wǎng)絡(luò)能力開(kāi)放接口為授權(quán)的第三方提供創(chuàng)建和管理網(wǎng)絡(luò)切片配置的能力，未授權(quán)的第三方可能利用這些接口來(lái)發(fā)起攻擊，如非法訪問(wèn)其他應(yīng)用的API（應(yīng)用程序接口）、訪問(wèn)和篡改網(wǎng)絡(luò)核心數(shù)據(jù)等。可通過(guò)基于公共接口功能的能力開(kāi)放架構(gòu)（CAPIF架構(gòu)）來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)，CAPIF架構(gòu)對(duì)能力開(kāi)放進(jìn)行認(rèn)證和授權(quán)并采用TLS（傳輸層）機(jī)制，保護(hù)傳輸信息的安全性。

（5）切片間通信安全

網(wǎng)絡(luò)切片之間的接口面臨安全風(fēng)險(xiǎn)。如果切片間通信不受保護(hù)，網(wǎng)絡(luò)切片的功能可能受到阻礙。攻擊切片間接口的控制面可以劫持一個(gè)或多個(gè)UE的通信，可以破壞整個(gè)網(wǎng)絡(luò)切片的功能或惡意操縱切片的行為方式，因此如果接口不受保護(hù)，則可能會(huì)對(duì)服務(wù)造成嚴(yán)重影響；另外，攻擊用戶(hù)面可以破壞或惡意轉(zhuǎn)移用戶(hù)數(shù)據(jù)，進(jìn)而影響一個(gè)或多個(gè)UE。需要加強(qiáng)切片間的通信安全保護(hù)機(jī)制來(lái)應(yīng)對(duì)此類(lèi)風(fēng)險(xiǎn)。

5 5G網(wǎng)絡(luò)切片標(biāo)準(zhǔn)進(jìn)展

5.1 國(guó)際標(biāo)準(zhǔn)

5G網(wǎng)絡(luò)切片相關(guān)的國(guó)際標(biāo)準(zhǔn)主要在第三代合作伙伴（3GPP）研究制定，目前重點(diǎn)研究網(wǎng)絡(luò)切片架構(gòu)、流程以及管理和編排等方面的內(nèi)容，后續(xù)研究的熱點(diǎn)包括智能切片及無(wú)線接入網(wǎng)切片等。其中，智能切片主要研究切片管理系統(tǒng)如何依據(jù)用戶(hù)體驗(yàn)信息靈活、動(dòng)態(tài)地調(diào)整資源配置；無(wú)線接入網(wǎng)切片主要研究切片空口資源保障及資源隔離等。

在網(wǎng)絡(luò)切片安全方面，重點(diǎn)研究5G網(wǎng)絡(luò)切片安全需求、認(rèn)證架構(gòu)及流程、隱私保護(hù)、切片安全管理、切片服務(wù)安全能力開(kāi)放等。3GPP分階段研究不同的關(guān)鍵問(wèn)題：R14階段，主要研究切片隔離、網(wǎng)絡(luò)切片安全機(jī)制差異化、接入安全等內(nèi)容；R15階段，重點(diǎn)研究用戶(hù)接入數(shù)據(jù)網(wǎng)絡(luò)中的切片認(rèn)證流程；R16階段，聚焦接入特定網(wǎng)絡(luò)切片的認(rèn)證、密鑰隔離、網(wǎng)絡(luò)切片即服務(wù)（NSaas）安全功能以及安全隱私等方面。

3GPP在網(wǎng)絡(luò)切片方面的主要研究成果有：系統(tǒng)架構(gòu)（3GPP TS 23.501）、5G系統(tǒng)流程（3GPP TS 23.502）、下一代系統(tǒng)安全研究（3GPP TR 33.899）、5G系統(tǒng)安全架構(gòu)和流程（3GPP TS 33.501）、網(wǎng)絡(luò)切片增強(qiáng)研究（3GPP TR 23.740）、網(wǎng)絡(luò)和網(wǎng)絡(luò)切片的管理和編排（3GPP TS 28.531）、網(wǎng)絡(luò)切片增強(qiáng)安全研究（3GPP TR 33.813）、網(wǎng)絡(luò)切片管理的基本概念、相關(guān)角色和管理需求（3GPP TS 28.530）、網(wǎng)絡(luò)切片管理和編排：切片提供（3GPP TS 28.531）、管理服務(wù)（3GPP TS 28.532）、架構(gòu)框架（3GPP TS 28.533）、性能保障（3GPP TS 28.550）、性能測(cè)量和保障（3GPP TS 28.552）、端到端KPI指標(biāo)（3GPP TS 28.554）、網(wǎng)絡(luò)資源模型（3GPP TS 28.540、3GPP TS 28.541）等。

5.2 國(guó)內(nèi)標(biāo)準(zhǔn)

我國(guó)5G網(wǎng)絡(luò)切片相關(guān)標(biāo)準(zhǔn)主要在中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）研究制定，目前在研項(xiàng)目主要包括移動(dòng)通信網(wǎng)網(wǎng)絡(luò)切片管理技術(shù)要求、5G核心網(wǎng)絡(luò)切片場(chǎng)景及關(guān)鍵技術(shù)研究、5G核心網(wǎng)智能切片的應(yīng)用研究、5G網(wǎng)絡(luò)切片安全技術(shù)研究、支持5G承載的IP網(wǎng)絡(luò)切片技術(shù)研究、傳送網(wǎng)網(wǎng)絡(luò)切片技術(shù)研究等行業(yè)標(biāo)準(zhǔn)和研究課題。

為了更好地支撐切片的商用部署，加快制定端到端切片配套的標(biāo)準(zhǔn)，CCSA專(zhuān)門(mén)成立了“5G網(wǎng)絡(luò)端到端切片特設(shè)項(xiàng)目組”，2019年12月30日，項(xiàng)目組召開(kāi)了第一次會(huì)議。會(huì)議提出建立5G網(wǎng)絡(luò)切片標(biāo)準(zhǔn)體系，該標(biāo)準(zhǔn)體系主要包括切片基礎(chǔ)能力和切片SLA（服務(wù)等級(jí)協(xié)議）保障兩大部分。隨著研究工作的進(jìn)展，后續(xù)還會(huì)對(duì)該體系進(jìn)行進(jìn)一步修改完善。后續(xù)將加緊制定以下行業(yè)標(biāo)準(zhǔn)及研究課題：

《5G網(wǎng)絡(luò)切片 端到端總體技術(shù)要求》

《5G網(wǎng)絡(luò)切片 基于切片分組網(wǎng)絡(luò)（SPN）承載的端到端切片對(duì)接技術(shù)要求》

《5G網(wǎng)絡(luò)切片 基于IP承載的端到端切片對(duì)接技術(shù)要求》

《5G網(wǎng)絡(luò)切片 服務(wù)等級(jí)協(xié)議（SLA）保障技術(shù)要求》

《5G網(wǎng)絡(luò)端到端切片標(biāo)識(shí)研究》

6 結(jié)束語(yǔ)

隨著5G商用進(jìn)程的快速推進(jìn)，5G發(fā)展已進(jìn)入落地應(yīng)用階段，加快5G應(yīng)用部署，賦能垂直行業(yè)，培育應(yīng)用生態(tài)，成為當(dāng)前業(yè)界關(guān)注的焦點(diǎn)；同時(shí)，由于5G應(yīng)用涉及到人們生產(chǎn)生活的方方面面，其安全問(wèn)題也受到高度重視。5G網(wǎng)絡(luò)切片是實(shí)現(xiàn)不同行業(yè)應(yīng)用場(chǎng)景、差異化業(yè)務(wù)要求以及用戶(hù)極致體驗(yàn)需求的關(guān)鍵技術(shù)，其帶來(lái)便利性的同時(shí)也面臨著新的安全風(fēng)險(xiǎn)和挑戰(zhàn)。5G網(wǎng)絡(luò)切片及行業(yè)應(yīng)用安全相關(guān)國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)尚未完全成熟，需要產(chǎn)業(yè)鏈各環(huán)節(jié)（包括網(wǎng)絡(luò)設(shè)備商、運(yùn)營(yíng)商、行業(yè)應(yīng)用提供商、安全設(shè)備商、研究機(jī)構(gòu)）共同探索建立滿足5G多樣化需求的安全體系，在標(biāo)準(zhǔn)推進(jìn)、產(chǎn)業(yè)研發(fā)、網(wǎng)絡(luò)運(yùn)營(yíng)等各個(gè)環(huán)節(jié)加大投入，共同應(yīng)對(duì)5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，以便部署滿足行業(yè)發(fā)展需求的安全可靠的5G網(wǎng)絡(luò)，從而推動(dòng)5G安全和5G產(chǎn)業(yè)同步規(guī)劃、同步建設(shè)、同步發(fā)展。