5G 网络安全防护技术.pdfVIP

5G网络安全防护技术

在5G网络中，实际上一个特定场景并非只有一种安全需

求或威胁，也绝非一种安全方案就可以解决的。同样，一类

解决方案也不仅限于只解决一类特定需求。

一、5G安全关键防护技术

（一）基础设施的虚拟化隔离

软件和硬件的解耦，网络功能虚拟化（NFV）、软件定

义网络的引入，使得原来私有、封闭的专用网络设备变成标

准、开放的通用设备，也使得网络防护边界变得模糊。网络

虚拟化、开放化使得网络更易遭受攻击，并且集中部署的网

络将导致网络威胁传播速度更快，波及更广。由于网络功能

实体共享基础设施资源，因此需要其提供资源的安全隔离技

术来保障上层5G网络功能系统运行的安全性。可以通过虚

拟隔离机制来实现计算、网络、存储等资源的隔离，让承载

每个网络功能实体无法突破虚拟机/容器管理器给出的资源

限制。虚拟化网络的安全防护还需要保证网络基础设施的可

信，这一点对于非信任环境部署的基础设施，例如基站云化、

边缘计算等来说更为重要。通过可信计算技术，在网络功能

实体平台上植入了硬件可信根，以构建从计算环境、基础软

件到应用及服务的信任链，并依托逐级完整性检查，来实现

网络功能实体的软硬件环境的完整性保护。

（二）网络安全功能按需重构

5G网络本质是一种按需定制的网络，其优势在于除了

可以为各垂直行业提供差异性的连接服务之外，还能按需提

供差异化的安全防护能力。通过借鉴网络功能服务化的思想，

构建安全功能的服务化，如图1所示，并将虚拟化的安全

功能按需编排到网络切片中，使安全资源、网络资源、数据

资源在网络切片中独立提供，达到近似于传统私网的安全保

障和用户体验。

安全功能虚拟化是按需重构的前提。通过对传统安全功

能的虚拟化，可设计出适应不同应用安全需求的虚拟安全功

能单元，例如防火墙、接入认证、互联网协议安全（IPsec）、

安全套接层（SSL）虚拟专用网络（VPN）、入侵检测、病毒

检测等。各个虚拟安全功能单元通过按需调用各类基础安全

服务功能集，从而满足性能可扩展、功能可裁剪等要求，

实现安全功能虚拟化。

基础安全服务功能集由各类基础服务功能组成。基础服

务功能的服务性能可根据应用程序编程接口（API）进行配

置，以满足上层的差异化服务要求。基础服务功能再通过对

基础资源层提供的虚拟化网络资源进行按需调度来实现性

能的差异化配置。

行业应用需求的差异决定了网络切片功能的差异化。并

非所有切片都包含相同的网络功能，有些网络功能基于需求

可以不用配置。应用需求的差异性决定了切片所提供的安全

服务也是差异化的。在实现网络安全服务功能虚拟化后，可

以为服务于不同行业的网络切片提供网络安全功能的按需

重构。例如，服务于车联网（V2X）的低时延网络切片，需

要在网络边缘节点实例化一些必要的网络功能，选择适应低

时延要求的认证方法、加密算法和密钥长度，以便在时延约

束下提供对应的安全防护，更好地支持第三方的垂直应用；

对于服务于mMTC的网络切片，仅需配置基本的控制面接入

认证功能，而诸如移动性相关的网络功能则无需配置。我们

还可以考虑在切片内部署虚拟的物联网网关以及安全态势

感知系统，来防止DDoS攻击和威胁横向扩散。

（三）网络功能域安全防护

网络虚拟化和网络切片的应用，使得原本用于传统移动

通信网络域安全防护的架构增加了新的元素。在第3代合

作伙伴（3GPP）标准中，传统“域”是指“物理实体组”，

即“域”仅限于物理网络实体的划分，尤其是地理位置区域。

而5G网络，尤其是5G核心网构建在虚拟化网络之上，相比

传统网络又出现了虚拟网络功能实体。更进一步地，5G引

入了网络切片，不同的切片有着不同运营者，5G网络的基

础设施供应商和移动网络运营商也可能不同，因此我们需要

将所有权属性也纳入考虑范畴。分析5G的安全威胁，需要

首先将5G网络进行合理地分域；而对5G网络分域，需要将

传统域的概念扩展为“与5G网络相关的物理、逻辑和运营

等方面的网络功能实体组”。

根据5G网络特征，5G系统可分为基础设施域、租户

域以及附加的移动设备域。每个域根据不同功能又可进一步

划分为若干子域，各个子域对应着相对比较独立的功能。5G

系统的域划分情况如图2所示，其中绿线标记域之间的逻

辑或物理通信接口，棱形表示各个域中的切片，同类切片互

联以后形成切片域，为5G