文档介绍：该【5G网络切片安全技术研究 】是由【科技星球】上传分享，文档一共【12】页，该文档可以免费在线阅读，需要了解更多关于【5G网络切片安全技术研究 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。5G网络切片安全技术研究
 
 
摘要:根据网络切片的技术特点给出了网络切片在安全方面的关键需求,并据此提出了两种解决方案。一种是基于网络部署方案实现切片安全分级保护,另一种是基于密码技术对切片内用户面数据提供保护。最后介绍了3GPP当前支持的网络切片安全能力。
关键词:5G安全,网络切片,通信安仝,认证授权
1引言
网络切片是5G系统的一个重要新特性。5G网络充分利用与SDN/NFV虚拟化架构的融合,根据未来业务具体场景和需求提出了“网络切片”的概念。每个网络切片是一个相对独立的网络域,由支持特定用例的通信服务需求的逻辑网络功能集合组成,具备各自的网络资源和业务信息。5G网络通过网络切片机制来满足不同的业务应用场景,实现灵活的资源编排和调度,适应业务快速上线。它使运营商能够针对市场的各种业务需求创建定制化网络能力,从而提供优化的通信解决方案。网络切片能够实现端到端的逻辑网络划分,按需配置网络资源,有效降低运营商的网络投资和运营成本,提高经济效益。
目前5G网络切片安全研究主要集中在两个方面:一个是与3GPP网络切片安全标准相关的研究工作;另一个是针对垂直行业租用运营商网络切片后,如何满足垂直行业对网络安全的更高要求而展开的研究工作。前者主要关注切片隔离安全、切片认证、与切片相关的隐私保护和将切片管理能力开放给第三方时的安全。后者主要是基于垂直行业的实际需求以逐案处理的方式研究满足具体个案安全需求的解决方案。
大唐移动通信设备有限公司全面参与了3GPP5G标准化工作,主要是从标准化的角度研究网络切片安全技术方案,重点是网络切片隔离技术和切片内端到端数据安全技术,目的是更好地满足垂直行业对网络切片安全的需求,减少采用非标准化安全方案。
25G网络切片安全需求分析
网络切片本质上就是将物理网络分割成多个虚拟的端到端网络,每个虚拟网络在逻辑上都拥有独立的网络资源。运营商可以基于不同业务场景对通信服务的需求灵活地为每个切片配置相应的资源。然而,因为网络切片并不是真正意义上独立的网络,切片之间的关联不能完全避免,因而导致了一些新的安全威胁,例如切片间信息泄露、干扰和攻击等。为应对网络切片所面临的威胁,本节归纳整理了一些与网络切片相关的安全需求:
(1)网络切片应提供有效的隔离机制,确保网络切片内的资源不会互相影响,并将潜在的网络攻击限制在单个网络切片内。
(2)网络切片应能够定义不同的安全性机制,以满足网络切片对安全的特定要求,例如针对物联网应用的轻量级安全算法。
(3)网络切片应能够提供切片内认证和授权机制,防止非授权用户访问切片资源。
(4)网络切片的管理功能只能提供给授权的第三方访问,并且开放的管理功能应是在运营商的控制之下执行。
(5)切片认证和管理过程中应保护用户的隐私。
35G网络切片部署方案
通过5G网络切片技术,运营商可以灵活地实现各种网络定制方案,满足垂直行业在成本、性能和安全上对通信网络的不同需求。为满足垂直行业不同等级、不同领域应用对5G移动通信系统的特殊需求,可以通过网络切片技术实现专用业务的分级和分域管理。基于专用业务切片编排,建设不同QoS和安全等级的网元,并将不同QoS和安全等级的网元设备构建为不同等级的业务链,实现各等级业务流在相应等级业务链上的承载,从而达到业务流的QoS需求和安全隔离需求。根据不同的成本要求、QoS需求和安全等级需求,运营商可以有如下四种可能的网络切片部署方案:
(1)方案一:针对成本控制需求较高、QoS需求较低、安全性需求较低、应用灵活性需求较高的应用,可以基于公网业务平台生成行业定制业务模板,利用公网网元生成专用网络切片,实现行业定制业务。
(2)方案二:针对成本控制需求较低、QoS需求较高、安全等级需求较高、应用灵活性需求一般的应用,可部署专用应用和业务支撑系统,并基于公网接入平面与转发平面基础设施生成行业定制业务模板,与公网应用形成相对独立的专用网络切片,实现行业定制业务。
(3)方案三:针对成本控制需求低、QoS需求高、安全等级需求高、应用灵活性需求较低的应用,可部署专用应用和业务支撑系统及专用转发平面,基于公网接入平面基础设施生成专用业务模板,与公网应用形成相对独立的专用物理切片,实现行业定制业务。
(4)方案四:针对成本控制需求更低、QoS需求更高、安全等级需求更高、应用灵活性需求低的应用,可部署专用应用和业务支撑系统及专用转发平面,基于公网接入平面基础设施生成专用业务模板,与公网通过安全隔离网关互联,实现适用于特殊行业的定制业务。
上述四种解决方案,采用网络切片技术,根据部署成本、QoS、安全等级和网络拓扑灵活性等需求建设隔离等级不同的面向垂直行业和特殊行业的5G定制化移动通信系统。基于按需重构的设计思路,划分不同的网络域和安全域,采取分层、分级的部署和隔离保护措施。以用户为中心,采用基于SDN、NFV和安全技术来解决现有技术无法适应快速变化的定制业务应用的不足,实现未来5G网络融合时代灵活多变且安全可控的定制化网络系统。
四种部署方案的优缺点如表1所示:
4基于密钥的网络切片安全隔离机制
网络切片是由支持特定用例的通信服务需求的逻辑网络功能集合组成,这些网络功能本质上是被各个网络切片共享的,而且在某些场景下第三方能够对网络切片进行管理,因此在与网络切片相关的安全需求中,网络切片的隔离尤其重要。
本文提出了一种基于密钥的网络切片隔离技术。其基本思想是:针对不同的网络切片UE可以共享控制面密钥,但在不同切片内将使用不同的数据面密钥。切片内的密钥体系如图1所示。切片内的主密钥KNS由KSEAF导出,进而导出用于保护用户面空口数据的主密钥KANUP和保护用户面UE至核心网数据的主密钥KCNUP。基于KANUP可以进一步导出用于完整性保护和机密性保护的密钥KRRC-UPsint和KRRC-Upenc基于KCNUP可以进一步导出用于用户面从UE至核心网完整性保护和机密性保护的密钥KCN-UPint和KCN-UPenc。
基于密钥的切片安全隔离基本流程如图2所示。UE在注册过程中与网络完成主认证,建立基于主认证的密钥体系及相应的控制面和用户面安全。基于切片的安全策略,UE可能需要执行切片内认证。当确认UE可以使用切片资源后,SEAF(SEcurityAnchorFunction)导出KANUP和KCNUP,并将这些密钥分别提供给基站和UPF(UserPlaneFunction)。基站和UPF再分别导出用于完整性保护和机密性保护的密钥。具体采用仅空口保护方式还是采用从UE至核心网保护方式可以根据切片对安全的具体需求来确定。
55G网络切片安全
到目前为止3GPP在网络切片安全方面的工作主要是围绕切片管理和切片认证开展的。R-15提供了网络切片管理安全机制,包括将管理能力开放给第三方时的接口安全机制。R-16主要是增加了切片内的二次认证机制,即当UE接入运营商网络后,根据切片安全策略,可能还需要再进行一次切片内的二次认证。

2016年3月,3GPPSA3开始了5G安全研究,:“研究下一代系统的安全方面”[1]项目。在该项目中针对网络切片安全在切片隔离安全、安全机制选择、切片认证和授权、切片网元安全、切片管理安全、与第三方交互安全、切片间数据通信安全和切片虚拟化安全等八个方面开展了
研究工作。根据任务优先级,[2]R-15版本中只对切片管理安全进行标准化,其他与切片安全相关的标准化将在后续版本中考虑。
3GPP切片管理架构如图3所示。运营商通过标准化接口将部分网络切片管理能力开放给租用该切片的第三方。切片管理负责切片实例(NetworkSliceInstance,NSI)的创建、修改和删除。切片管理是5G管理系统提供的管理服务的一部分。[3]给出的标准化服务接口访问切片管理服务。切片管理者可以位于运营商的域内或者域外(如垂直行业)。[4]规定的API管理NSI。
当切片管理者位于运营商的信任域之外时,应使用TLS进行双向认证。认证有两种方式:基于公钥证书的认证方式和基于预存共享密钥的认证方式。[5]中给出的规定,基于预存共享密钥的方式应遵循RFC4279[6]()和RFC8446[7]()中给出的
规定。TLS预存共享密钥的分发取决于运营商的安全策略,不属于3GPP规定的范围。
运营商对第三方切片管理的授权可以采用基于RFC6749[8]中规定的OAuth授权机制或基于运营商自定义的管理策略。

2018年9月,3GPPSA3开始新的5G切片安全研究,:“增强网络切片的安全研究”[9]项目。在该项目中针对网络切片安全在切片认证和授权、AMF密钥分离、安全功能作为切片服务、隐私保护、切片内网元访问控制机制、网络切片选择辅助信息机密性保护和网络切片访问拒绝情况下的处理策略等八个方面开展了进一步的研究工作。目前SA3已经明确在R-16中将对切片内的认证授权机制和基于访问令牌的切片内网元访问控制机制进行标准化。
实现切片内认证和授权的基本流程如图4所示。基本的操作过程为:UE向网络发送注册请求,其中包含有其欲接入的网络片选择信息。随后网络使用3GPP定义的5G认证机制对UE进行认证,该认证过程又称为主认证。在主认证结束后,基于UE的签约信息或UE欲接入切片的安全策略,AMF(AccessandMobilityManagementFunction)向执行二次认证的AAA-S(AuthenticationAuthorizationAccounting-Server)服务器发送切片内认证请求而触发一个切片内二次认证过程。3GPP对切片内采用的认证机制没有规定,符合可扩展认证协议(ExtensibleAuthenticationProtocol,EAP)框架的认证协议都可以使
用。AAA-S可以位于运营商的网络域内,也可以位于第三方的网络域中。基于AAA-S返回的认证结果,AMF决定是否允许UE使用切片资源。
另外,R-16还将支持基于访问令牌的切片内网元访问控制机制。基本原理是在颁发给访问请求方的访问令牌中包含切片信息,例如S-NSSAI和NSIID等。在验证过程中,服务提供方将检查访问令牌中的切片信息是否与其切片网元的切片信息相匹配。
6结束语
本文首先基于5G网络切片虚拟化的特点,分析了网络切片所面临的主要威胁,给出了网络切片的主要安全需求。随后,本文分析了四种网络切片部署方案对投资成本、QoS控制能力、网络部署灵活性和安全性的影响。针对垂直行业对通信安全的更高要求,本文给出了一种基于密钥的切片安全隔离机制。通