浅析5G网络切片安全

摘 要：5G通信技术能满足不同应用领域多样化的业务需求，网络切片是现阶段业界公认的较为理想的网络架构。但是5G技术在满足海量业务的同时，需要密切关注网络安全问题。本文结合5G安全架构，重点分析了网络切片的安全控制策略，从而引发更多关于5G网络安全的探索和思考。

关键词：5G业务场景；网络切片；安全架构；切片安全策略

中图分类号：TN929.5 文献标识码：A 文章编号：2096-4706（2018）04-0072-02

Abstract：5G communication technology can meet diverse business needs in different application fields，and network slicing is an ideal network architecture recognized by the industry at this stage. However，5G technology needs to pay close attention to network security while satisfying massive business. Combined with the security architecture of 5G，this paper focuses on analyzing the security control strategy of network slicing，which leads to more exploration and thinking about 5G network security.

Keywords：5G business scenario；network slicing；security architecture；sectioning security policy

0 引 言

隨着移动互联网、物联网及各种行业应用的快速增长，对互联网流量密度、互联网连接数、移动性管理均提出了超高要求。第五代移动通信技术（5G）应运而生。新的技术在提升移动互联网用户体验的同时，能进一步满足物联网应用的海量需求。

目前5G业务分为三大类业务场景，5G技术需满足多样化的业务需求，同时针对三种不同的业务场景以及同一业务场景下的不同业务提供差异化的安全保护机制。5G业务场景分类及典型示例如图1所示。

针对上述不同的业务场景，5G网络将建立网络切片，并根据业务需求针对切片定制安全保护机制，实现安全分级服务。

1 5G网络切片

网络切片是将一个硬件基础设施组成的物理网络切割成多个虚拟的端到端的网络，每个虚拟网络之间是逻辑独立的，包括网络内的设备、接入、传输和核心网。任何一个虚拟网络发生故障都不会影响到其它虚拟网络。网络切片允许在每个网络切片中容易地配置和重用网络元件及功能，以满足特定的应用要求，成为众多业界人士公认5G时代理想的网络架构。网络切片逻辑架构如图2所示。

2 5G安全架构

5G时代垂直行业的深度融合带来了多种应用场景，也要求网络架构能够支持各类应用场景，5G安全应是多种应用场景下的通信安全以及网络架构的安全。5G网络安全架构示意图如图3所示。

由图3可以看出，5G网络安全架构由控制面和用户面组成，同时保证用户设备和接入网络之间、用户设备与服务网络公共节点以及用户设备与切片之间的保护。接入网与服务网络公共节点、服务网络公共节点与归属环境及切片、归属环境及切片间的安全保护等。本文重点关注网络切片的安全保护机制。

3 5G切片安全保护

网络切片最重要的安全问题是网络切片需要提供不同切片实例之间的隔离机制，防止本切片内的资源被其他切片中的网络节点非法访问。网络切片的安全，包括切片安全隔离、切片安全管理、UE接入切片的安全和切片之间通信的安全等。切片安全机制主要包含UE和切片间安全、切片内NF（网络功能）与切片外NF间安全、切片内NF间安全。

3.1 UE和切片间安全管理

UE和切片间安全管理通过接入策略控制应对访问类风险。接入管理功能（AMF）通过UE的网络切片选择辅助信息（NSSAI），为UE选择正确的切片，保证接入网络的UE是合法的。UE访问不同切片内的业务时，会建立不同的PDU会话，不同的网络切片不能共享PDU会话。UE的每一个切片的PDU会话都可以根据切片策略采用不同的安全机制。

3.2 切片内外网络功能安全管理

切片内外网络功能安全管理包含切片内NF与切片公用NF间、切片内NF与外网设备间隔离。

3.2.1 切片内NF与切片公用NF间安全策略

网管平台通过白名单机制对各个NF进行授权，公用NF可同时访问多个切片内的NF，切片内的NF需要安全机制控制来自公用NF的访问，防止公用NF及非法的外部NF访问某个切片内的NF。

切片内的会话管理功能（SMF）需要向网络仓储功能（NRF）注册。当AMF为UE选择切片时，询问NRF发现各个切片的SMF，在AMF和SMF通信前，先进行相互认证，实现切片内NF（如SMF）与切片外公共NF（如AMF）之间的相互可信。

同时，可以在AMF或NRF做频率监控或部署防火墙防止Dos/DDos攻击，防止恶意用户将切片公有NF的资源耗尽，进而影响切片的正常运作。

3.2.2 切片内NF与外网设备间安全策略

确保切片内NF与外网设备间安全可通过部署虚拟或物理防火墙。切片内可以部署虚拟防火墙，不同的切片按需编排。切片外可部署物理防火墙，一个防火墙可以保障多个切片的安全。

3.3 切片内NF间安全管理

切片内的NF之间通信前，可先进行认证，保证对方NF是可信NF，然后可以通过建立安全隧道保证通讯安全。

4 结 论

5G网络支持多种业务的多样性需求，不同的业务有不同的安全要求。通过提供多层次的切片安全保护机制，为不同的业务提供差异化的安全服务，保证5G通信的安全可靠。后续将持续重点推进切片安全的相关研究工作。

参考文献：

[1] 月球，肖子玉，杨小乐.未来5G网络切片技术关键问题分析 [J].电信工程技术与标准化，2017，30（5）：45-50.

[2] 许阳，高功应，王磊.5G移动网络切片技术浅析 [J].邮电设计技术，2016（7）：19-22.

[3] 李金艳，杨峰义，梅承力.网络切片将成5G理想架构商用部署仍面临多重挑战 [J].通信世界，2017（15）：40-42.

[4] 钱昭.浅谈5G移动网络切片技术及关键问题研究 [J].网络安全技术与应用，2017（12）：99.

[5] 李晖，付玉龙.5G网络安全问题分析与展望 [J].无线电通信技术，2015，41（4）：1-7.

[6] 周玟秋.5G网络安全技术研究 [J].电子技术与软件工程，2016（18）：235.

作者简介：李雪永（1989-），女，汉族，广东广州人，助理工程师。研究方向：运营商的核心网、业务网、数据网的设计。