面向行業(yè)應(yīng)用的5G安全服務(wù)能力該如何打造

（文章來(lái)源：人民郵電報(bào)）

5G是新一代信息通信技術(shù)的發(fā)展方向，不僅具有更強(qiáng)的性能，而且也具備更加豐富的應(yīng)用場(chǎng)景，從傳統(tǒng)的人與人通信延伸覆蓋到人與物、物與物之間的智能互聯(lián)，是未來(lái)經(jīng)濟(jì)社會(huì)數(shù)字化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)設(shè)施。當(dāng)前，5G正處于網(wǎng)絡(luò)規(guī)模建設(shè)與應(yīng)用推廣普及階段，構(gòu)建多層次的5G融合應(yīng)用安全體系，是5G應(yīng)用發(fā)展的重要前提與保障。

5G融合應(yīng)用安全可分為應(yīng)用層和網(wǎng)絡(luò)層安全，應(yīng)用層安全主要由應(yīng)用服務(wù)提供商負(fù)責(zé)(例如車(chē)聯(lián)網(wǎng)服務(wù)提供商、在線支付服務(wù)提供商)，網(wǎng)絡(luò)層安全則由基礎(chǔ)電信企業(yè)負(fù)責(zé)，需要基礎(chǔ)電信企業(yè)結(jié)合各垂直行業(yè)的不同安全需求提供網(wǎng)絡(luò)層的安全保障能力。5G融合應(yīng)用剛剛起步，基礎(chǔ)電信企業(yè)如何基于5G網(wǎng)絡(luò)的網(wǎng)絡(luò)切片、網(wǎng)絡(luò)功能開(kāi)放等技術(shù)在網(wǎng)絡(luò)層為不同行業(yè)應(yīng)用提供安全服務(wù)能力成為業(yè)界關(guān)注的焦點(diǎn)。

5G支持增強(qiáng)移動(dòng)寬帶(eMBB)、海量機(jī)器類(lèi)通信(mMTC)和超可靠低時(shí)延通信(uRLLC)三大應(yīng)用場(chǎng)景，不同應(yīng)用場(chǎng)景支持不同類(lèi)型的應(yīng)用業(yè)務(wù)，對(duì)5G網(wǎng)絡(luò)具有差異化的安全需求。

增強(qiáng)移動(dòng)寬帶場(chǎng)景需要更強(qiáng)的用戶(hù)隱私保護(hù)能力。eMBB場(chǎng)景能夠支持高清視頻、虛擬現(xiàn)實(shí)(VR)、增強(qiáng)現(xiàn)實(shí)(AR)等高速率、大帶寬業(yè)務(wù)，提升以“人”為中心的娛樂(lè)、社交等個(gè)人消費(fèi)業(yè)務(wù)的體驗(yàn)。相比4G，相關(guān)應(yīng)用將會(huì)記錄更多的用戶(hù)身份、位置、身體行為等隱私數(shù)據(jù)，5G網(wǎng)絡(luò)需要在用戶(hù)數(shù)據(jù)采集、處理和傳輸中提供相應(yīng)的機(jī)密性、完整性和隱私保護(hù)措施。

海量機(jī)器類(lèi)通信場(chǎng)景(mMTC)需要更靈活的安全機(jī)制。主要支持智慧城市、智能農(nóng)業(yè)等高連接密度業(yè)務(wù)，由于終端形態(tài)多樣，數(shù)量眾多，安全能力差異大，部署環(huán)境不安全，終端很容易被利用作為DoS攻擊源或觸發(fā)信令風(fēng)暴，5G網(wǎng)絡(luò)不僅需要提供開(kāi)銷(xiāo)較小、功能可配置的輕量級(jí)安全機(jī)制，還應(yīng)具有識(shí)別非法、被劫持UE的能力，避免影響5G網(wǎng)絡(luò)正常服務(wù)。

超可靠低時(shí)延通信(uRLLC)需要更優(yōu)化的安全保障能力。支持自動(dòng)駕駛、工業(yè)互聯(lián)網(wǎng)等對(duì)可靠性、時(shí)延要求較高的業(yè)務(wù)。這些業(yè)務(wù)由于涉及駕乘人生命安全、工業(yè)生產(chǎn)安全，對(duì)5G網(wǎng)絡(luò)安全保障能力要求最高，且安全機(jī)制不能增加過(guò)多時(shí)延，需要對(duì)安全保障流程和方式進(jìn)行優(yōu)化?；诓煌瑧?yīng)用場(chǎng)景差異化的安全服務(wù)需求分析，5G網(wǎng)絡(luò)采用靈活的安全架構(gòu)設(shè)計(jì)，可以為行業(yè)應(yīng)用提供內(nèi)生、自適應(yīng)、差異化的安全保障能力。

一是支持不同層級(jí)的安全隔離能力。為了支撐基礎(chǔ)電信企業(yè)在共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施上服務(wù)不同行業(yè)應(yīng)用，5G網(wǎng)絡(luò)采用虛擬化技術(shù)，構(gòu)建出具有不同服務(wù)能力的邏輯網(wǎng)絡(luò)，即網(wǎng)絡(luò)切片。不同垂直應(yīng)用可以使用獨(dú)立的網(wǎng)絡(luò)切片，5G網(wǎng)絡(luò)能夠通過(guò)不同等級(jí)的網(wǎng)絡(luò)切片間或切片內(nèi)的安全隔離機(jī)制保護(hù)網(wǎng)絡(luò)切片內(nèi)的重要數(shù)據(jù)和服務(wù)質(zhì)量。網(wǎng)絡(luò)切片的安全隔離措施包括資源隔離(例如物理層、操作系統(tǒng)層或虛機(jī)層的資源隔離)、通信隔離(例如IPSEC/TLS加密)、管理隔離(例如與編排管理模塊之間獨(dú)立交互接口)等方面，并可以根據(jù)行業(yè)需求區(qū)分出完全、部分和無(wú)隔離等不同安全隔離等級(jí)。

二是支持差異化的安全功能配置能力。為了支持不同行業(yè)應(yīng)用對(duì)5G網(wǎng)絡(luò)承載數(shù)據(jù)的不同安全保護(hù)要求，5G網(wǎng)絡(luò)支持在網(wǎng)絡(luò)切片中配置不同的安全功能：在機(jī)密性保護(hù)方面，可以按需開(kāi)啟對(duì)信令面或用戶(hù)面數(shù)據(jù)等不同數(shù)據(jù)類(lèi)型的加密保護(hù)，并配置不同強(qiáng)度的加密算法，包括128比特、64比特密鑰長(zhǎng)度或?qū)Ｓ幂p量級(jí)等加密算法，防止數(shù)據(jù)竊??；在完整性保護(hù)方面，可以按需開(kāi)啟對(duì)信令或?qū)τ脩?hù)面等不同數(shù)據(jù)類(lèi)型的完整性保護(hù)，并可在UE已具備應(yīng)用層完整性保護(hù)能力下選擇不開(kāi)啟網(wǎng)絡(luò)層的完整性保護(hù)。

三是支持不同等級(jí)的用戶(hù)隱私保護(hù)能力。當(dāng)用戶(hù)完成5G網(wǎng)絡(luò)的接入認(rèn)證后，會(huì)進(jìn)一步與行業(yè)應(yīng)用所在的網(wǎng)絡(luò)切片或應(yīng)用服務(wù)器進(jìn)行身份認(rèn)證，并通過(guò)5G網(wǎng)絡(luò)收集必要的用戶(hù)信息。為了防止攻擊者在網(wǎng)絡(luò)層竊取用戶(hù)隱私，5G網(wǎng)絡(luò)需要利用加密、完整性保護(hù)、臨時(shí)性標(biāo)識(shí)等機(jī)制來(lái)保護(hù)用戶(hù)敏感信息，包括用戶(hù)在不同行業(yè)應(yīng)用中的身份標(biāo)識(shí)(網(wǎng)絡(luò)標(biāo)識(shí)、設(shè)備標(biāo)識(shí)、應(yīng)用賬號(hào)等)、所連接的應(yīng)用服務(wù)信息(網(wǎng)絡(luò)切片類(lèi)型、請(qǐng)求服務(wù)內(nèi)容)、位置軌跡等。5G網(wǎng)絡(luò)可以按照保護(hù)數(shù)據(jù)的不同范圍分為網(wǎng)絡(luò)不感知用戶(hù)標(biāo)識(shí)(標(biāo)識(shí)保護(hù))、網(wǎng)絡(luò)不感知用戶(hù)行為(關(guān)鍵行為數(shù)據(jù)保護(hù))和網(wǎng)絡(luò)不感知用戶(hù)數(shù)據(jù)(用戶(hù)數(shù)據(jù)保護(hù))。

四是支持安全即服務(wù)的開(kāi)放能力。5G網(wǎng)絡(luò)可以提供安全服務(wù)能力，一方面，基礎(chǔ)電信企業(yè)可以將網(wǎng)絡(luò)切片交由第三方應(yīng)用服務(wù)商直接管理，通過(guò)網(wǎng)絡(luò)功能開(kāi)放接口使其在授權(quán)范圍內(nèi)對(duì)網(wǎng)絡(luò)安全能力進(jìn)行配置與調(diào)整；另一方面，也可以由基礎(chǔ)電信企業(yè)直接提供安全服務(wù)，包括為行業(yè)應(yīng)用服務(wù)商提供網(wǎng)絡(luò)層的入侵檢測(cè)、密鑰管理、身份與訪問(wèn)管理等服務(wù)，讓行業(yè)應(yīng)用服務(wù)商更多地聚焦上層業(yè)務(wù)的安全能力構(gòu)建。

隨著5G網(wǎng)絡(luò)與垂直行業(yè)的不斷融合，5G網(wǎng)絡(luò)面向行業(yè)應(yīng)用的安全服務(wù)能力還將不斷豐富與拓展。當(dāng)前5G網(wǎng)絡(luò)R16版本標(biāo)準(zhǔn)正在制定中，包括網(wǎng)絡(luò)切片安全、蜂窩物聯(lián)網(wǎng)安全、uRLLC安全等。為了更好地推動(dòng)5G網(wǎng)絡(luò)的垂直行業(yè)應(yīng)用，一方面要加強(qiáng)基礎(chǔ)電信企業(yè)對(duì)5G網(wǎng)絡(luò)安全服務(wù)能力的構(gòu)建，深度挖掘垂直行業(yè)應(yīng)用在網(wǎng)絡(luò)層的安全服務(wù)需求；另一方面要加強(qiáng)與應(yīng)用服務(wù)提供商在安全保障能力的協(xié)作，通過(guò)應(yīng)用層和網(wǎng)絡(luò)層的多層次安全機(jī)制，共同為5G各行業(yè)融合應(yīng)用提供安全保障。