域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

5G網(wǎng)絡(luò)借助于NFV（網(wǎng)絡(luò)功能虛擬化）和SDN（軟件定義網(wǎng)絡(luò)）技術(shù)，在相同的物理基礎(chǔ)網(wǎng)絡(luò)設(shè)施上構(gòu)建多個(gè)邏輯網(wǎng)絡(luò)切片，以滿足針對不同垂直行業(yè)對網(wǎng)絡(luò)時(shí)延、傳輸速率、連接數(shù)、移動(dòng)性等指標(biāo)差異化需求。

然而由于網(wǎng)絡(luò)切片共享相同的網(wǎng)絡(luò)資源，且貫穿整個(gè)通信網(wǎng)絡(luò)協(xié)議棧，對于切片的接入認(rèn)證和數(shù)據(jù)安全都帶來了全新的挑戰(zhàn)。

一、5G網(wǎng)絡(luò)切片及實(shí)現(xiàn)機(jī)制

網(wǎng)絡(luò)切片是一組運(yùn)行在通用物理硬件上的多個(gè) NF（網(wǎng)絡(luò)功能）的編排組合，具備獨(dú)立提供網(wǎng)絡(luò)服務(wù)能力的端到端虛擬網(wǎng)絡(luò)。運(yùn)營商通過能力開放接口和切片編排設(shè)計(jì)將5G網(wǎng)絡(luò)開放給垂直行業(yè)應(yīng)用。

根據(jù)具體應(yīng)用的不同需求，5G網(wǎng)絡(luò)對切片所需的功能、配置及實(shí)例化等進(jìn)行描述和定義，并通過網(wǎng)絡(luò)編排和管理系統(tǒng)根據(jù)切片藍(lán)圖完成網(wǎng)絡(luò)資源（計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)）的分配和激活，完成網(wǎng)絡(luò)切片部署。

5G網(wǎng)絡(luò)采用服務(wù)化網(wǎng)絡(luò)架構(gòu)，確保了網(wǎng)絡(luò)能力對不同垂直行業(yè)用戶全面開放，并可靈活對網(wǎng)絡(luò)容量進(jìn)行彈性伸縮，以應(yīng)對不同應(yīng)用場景的動(dòng)態(tài)需求。

二、5G切片的數(shù)據(jù)安全挑戰(zhàn)

5G網(wǎng)絡(luò)切片從UE（用戶設(shè)備）申請網(wǎng)絡(luò)切片管理到切片接入、切片間的數(shù)據(jù)交互，以及切片資源編排策略等方面，存在著以下安全風(fēng)險(xiǎn)：

切片認(rèn)證和權(quán)限管理 ：

如果UE對于網(wǎng)絡(luò)切片缺乏認(rèn)證和授權(quán)，一方面數(shù)據(jù)或服務(wù)很可能被篡改或偽造，導(dǎo)致切片選擇錯(cuò)誤，使UE不能從正確的切片獲得服務(wù)或者使未申請服務(wù)的UE被接入切片；另一方面非授權(quán)的UE可能會(huì)進(jìn)入到網(wǎng)絡(luò)切片中消耗切片資源，甚至導(dǎo)致不同類型的攻擊行為。

終端接入切片的安全：

如果終端接入過程沒有受到足夠保護(hù)，攻擊者或可通過重放竊聽到的報(bào)文，導(dǎo)致系統(tǒng)不必要的運(yùn)行超載，影響系統(tǒng)可用性和服務(wù)質(zhì)量；同時(shí)竊聽接入鏈路的攻擊者將可能獲得一些敏感服務(wù)權(quán)限，甚至得到相關(guān)的信息并劫持正在進(jìn)行的會(huì)話注入自己的數(shù)據(jù)報(bào)文，將為5G服務(wù)以及相關(guān)垂直行業(yè)帶來極大的安全隱患。

切片通信安全：

當(dāng)網(wǎng)絡(luò)切片完成專用網(wǎng)絡(luò)功能的時(shí)候，不同網(wǎng)絡(luò)切片之間、 RAN（無線接入網(wǎng)）切片和核心網(wǎng)絡(luò)切片之間都可能需要進(jìn)行通信。由于網(wǎng)絡(luò)切片基于SDN和NFV技術(shù)，網(wǎng)絡(luò)基礎(chǔ)設(shè)施層各網(wǎng)元間資源共用和調(diào)度將非常頻繁，對底層安全隔離要求提出極大挑戰(zhàn)。在所有網(wǎng)間切片通信中，網(wǎng)絡(luò)切片之間的接口極易受到攻擊，對切片數(shù)據(jù)的機(jī)密性和完整性造成嚴(yán)重威脅。

三、海泰切片數(shù)據(jù)安全加固方案

針對垂直行業(yè)客戶特定需求，海泰方圓從以下幾個(gè)方面開展了基于國產(chǎn)密碼技術(shù)的5G切片數(shù)據(jù)安全防護(hù)研究：

（一）多級應(yīng)用安全切片架構(gòu)設(shè)計(jì)

提出了一種多級應(yīng)用安全切片架構(gòu)，實(shí)現(xiàn)基于NFV/SDN的多級密碼安全保障機(jī)制，建立切片內(nèi)的安全通道，確保數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性以及防重放攻擊等。一方面解決了垂直行業(yè)的差異化需求對5G網(wǎng)絡(luò)切片資源調(diào)度和安全策略的影響；另一方面也將第三方安全能力編排到5G網(wǎng)絡(luò)切片中，解決垂直行業(yè)的第三方安全服務(wù)與網(wǎng)絡(luò)切片緊密結(jié)合的問題。

（二）多元組合切片認(rèn)證策略

在網(wǎng)絡(luò)切片傳統(tǒng)身份管理技術(shù)的增強(qiáng)機(jī)制基礎(chǔ)上，重點(diǎn)對切片接入可信身份管理、多元信任模式下的切片組合認(rèn)證策略等技術(shù)進(jìn)行研究，建立了基于國產(chǎn)密碼技術(shù)的統(tǒng)一身份認(rèn)證機(jī)制，對5G網(wǎng)絡(luò)切片應(yīng)用中的各種應(yīng)用場景進(jìn)行統(tǒng)一的身份標(biāo)識(shí)管理，兼容支持多種認(rèn)證協(xié)議，實(shí)現(xiàn)多種認(rèn)證機(jī)制的統(tǒng)一融合。既可避免非授權(quán)UE消耗切片資源，又能有效防止切片數(shù)據(jù)泄露等安全威脅。

（三）差異化切片密鑰分發(fā)技術(shù)

結(jié)合垂直行業(yè)的典型應(yīng)用場景，設(shè)計(jì)了在切片接入、切片內(nèi)部、不同切片間等情況下的密鑰管理體制與模型，制定適用于各種應(yīng)用場景下的切片密鑰管理協(xié)議、機(jī)制、方式、方法等，包括計(jì)算能力較弱或者低能耗終端設(shè)備，以及低時(shí)延等場景（mIoT、uRLLC），實(shí)現(xiàn)差異化切片安全能力的密鑰管理和密鑰分發(fā)。

（四）網(wǎng)絡(luò)切片安全態(tài)勢感知和預(yù)警技術(shù)

通過研究虛擬資源隔離、網(wǎng)絡(luò)切片下的安全態(tài)勢感知技術(shù)，結(jié)合垂直行業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施特點(diǎn)、網(wǎng)絡(luò)行為規(guī)律，用戶行為分析和預(yù)測技術(shù)以及密碼服務(wù)管理技術(shù)等，提出了涉及多樣化的網(wǎng)絡(luò)設(shè)備、運(yùn)營服務(wù)、數(shù)據(jù)交互、第三方擴(kuò)展等全方面技術(shù)方案，解決了5G網(wǎng)絡(luò)切片的數(shù)據(jù)安全態(tài)勢感知和預(yù)警問題。

四、未來展望

目前，對5G網(wǎng)絡(luò)切片的應(yīng)用安全以及5G網(wǎng)絡(luò)與垂直行業(yè)應(yīng)用的充分融合仍處于研究探索過程，對于網(wǎng)絡(luò)切片安全認(rèn)證機(jī)制和網(wǎng)絡(luò)切片數(shù)據(jù)安全面臨的其他潛在問題還需要深入分析和論證，海泰方圓也將持續(xù)加大對國產(chǎn)密碼與5G切片技術(shù)相結(jié)合的研究和探索，為廣大垂直行業(yè)客戶提供更有針對性的數(shù)據(jù)安全保障。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！