5G网络切片安全技术与发展分析

袁琦

【摘  要】介绍了5G网络切片的概念和技术架构，然后分析了5G网络切片面临的安全威胁，研究了5G网络在自身切片安全、虚拟化安全方面的安全技术，探讨了5G网络切片安全的标准化进展，最后提出了5G网络切片安全的发展建议。

【關键词】5G网络切片;切片安全;虚拟化安全

1   引言

随着5G商用时代的到来，5G支持的新业务将进入人们的生活和社会活动中。5G支持的三大应用场景为：eMBB，例如VR业务;uRLLC，例如无人驾驶等业务;mMTC则针对大规模物联网业务。5G网络切片技术为5G应用的开展提供了良好的网络基础和资源，它能将5G物理网络划分为多个虚拟网络，每一个虚拟网络根据不同的服务需求（如时延、带宽、安全性和可靠性等）来划分，灵活地应对不同的网络应用场景，使能不同垂直行业的业务发展。

5G新技术将进一步促进产业型互联网的发展，未来将更多地应用在物联网、车联网、工业互联网等领域中，这些领域都对网络和信息安全提出了很高的需求，要求底层的5G网络能够提供良好的安全支持和保障，其中的5G网络切片安全显得尤为重要。

目前5G网络切片安全是业界研究的热点，国内外设备制造商都在研究5G网络切片安全技术解决方案，运营商在积极进行5G网络切片安全的试点试验，国际标准组织3GPP和国内标准组织CCSA也正在制定相关标准。本文将对5G网络切片面临的安全威胁、采用的安全技术以及安全发展情况进行研究。

2   5G网络切片技术架构

5G网络切片允许运营商为特定用户提供定制网络，根据优先级、计费、策略控制、安全和移动性等提供不同的功能要求，根据时延、移动性、可靠性和速率等提供不同的性能要求。一个5G网络切片需要提供一个完整网络的功能，包括接入网功能和核心网功能。一个网络可能支持一个或多个网络切片。

5G网络通过引入网络功能虚拟化（NFV）技术和软件定义网络（SDN）架构，实现了切片化，5G网络切片技术架构如图1所示。在5G网络切片管理架构中，网络功能以虚拟化网络功能VNF的方式运行在基础设施平台NFVI上，NFVI中虚拟机之间的连接使用SDN进行配置。虚拟网络功能（VNF）构成了网络切片的重要组成部分，使用NFV MANO提供的管理界面进行网络服务的生命周期管理、VNF的生命周期管理、支撑VNF虚拟资源的性能管理、故障管理和配置管理。

5G网络切片的引入给网络带来了极大的灵活性，主要体现在切片可按需定制、实时部署、动态保障。为了实现这些功能，对于上层业务由VNF形成的每个切片实例，需要引入专门的管理网元CSMF/NSMF/NSSMF来实现切片实例的全生命周期管理，包含设计、实例化、配置、激活、运行、终结（去激活）阶段。端到端切片的实现不仅需要端对端的管理，还需要从物理层到资源层到切片层到应用层跨各层次的关联管理。

3   5G网络切片安全威胁

根据5G网络切片架构，5G网络切片依靠底层的虚拟化网络功能设施，为特定用户按需提供网络切片服务，因此5G网络切片安全威胁主要在于网络切片自身以及网络虚拟化带来的安全威胁。

3.1  5G网络切片自身的安全威胁

5G网络切片是5G网络最重要的特性之一，提供灵活快速的按需定制网络能力，5G灵活的网络切片机制会带来新的安全威胁。

（1）切片间的信息泄露、干扰和攻击

当用户访问多个网络切片时，切片间的数据信息机密性和完整性可能受到攻击，如果网络切片间出现了信息泄露，则会造成网络数据和用户数据的泄露。另外，攻击者在访问一个切片时，可能消耗其他切片的资源，导致资源不足，可能会对其他切片发起DoS攻击。切片间的信息泄露、干扰和攻击等就要求为网络切片配置相应的安全机制，以限制数据信息在切片间的流动。

（2）切片的非授权访问

非法用户对切片进行违法操作或者合法用户以未授权的方式对切片进行操作，都会造成对切片的非授权访问，从而影响切片的合法接入，用户无法正常进行通信，或者数据信息被拦截、窃听等。

（3）切片间的通信安全

当网络切片实现专用网络功能时，切片间通信是不可避免的。不同网络切片之间、RAN网络切片和核心网络切片之间都需要进行通信。在所有网间切片通信中，网络切片之间的接口可能受到攻击，破坏了网络切片的机密性和完整性，导致网络切片无法正常工作。

（4）与第三方交互的安全

网络切片为授权的第三方提供通过合适的API创建和管理网络切片配置的能力，通过API可以获取切片信息，并通过API请求对切片的管理，攻击者可能利用第三方的API对切片发起攻击，非法获取切片的数据信息或者影响切片的正常通信功能。

3.2  5G网络虚拟化安全威胁

5G网络的虚拟化为5G网络切片实施提供了技术基础，实现了5G网络灵活性和弹性等特点，5G网络切片部署由于引进虚拟化技术而产生了安全问题。

（1）VNF安全威胁

在5G虚拟网络中，网络管理和编排系统会根据业务需要创建、删除和更新虚拟化网元功能（VNF），实现对VNF的生命周期的管理。在VNF生命周期各个阶段存在不同的安全威胁。在VNF软件包管理中，非法访问、篡改、删除VNF软件包及相关模板。在VNF实例初始化时，篡改VNF软件包及相关模板导致实例化一个非法的VNF，或者非法执行VNF实例。在VNF实例管理时非法获取VNF实例状态、资源使用情况。VNF弹性伸缩，会篡改VNF弹性伸缩阈值条件，消耗业务运行需要的资源。在VNF实例更新时，非法发起VNF更新流程，篡改更新软件包。在VNF实例终止时，非法终止VNF实例，获取VNF实例敏感数据信息。

（2）NFVI安全威胁

NFVI的安全威胁可以分为虚拟机、硬件资源、基础网络安全威胁三个方面。虚拟机面临的安全威胁来自于虚拟机逃逸、虚拟机间嗅探、虚拟机被滥用、虚拟机镜像文件或自身防护不足、Hypervisor软件漏洞等方面。硬件資源的安全威胁主要存在于网络使用的高性能服务器和大容量存储的硬件资源集合带来的安全威胁，例如遭受DoS/DDoS、蠕虫、病毒、物理设备被偷窃等。基础网络的安全威胁主要由于SDN的引入导致的网络动态化产生的新的安全威胁，例如安全漏洞、向节点或控制器发起Dos攻击、开放接口滥用等。

（3）MANO安全威胁

◆MANO实体共有的安全威胁。利用MANO实体的自身漏洞进行攻击，或者遭受外界的病毒蠕虫攻击，对MANO存储内容进行篡改或非法访问等。

◆MANO实体独有的安全威胁。NFVO遭受DDoS攻击，例如攻击者控制多个VNF，不停地向NFVO上报告警信息，导致NFVO处理能力下降等。由虚拟机安全引发的虚拟机逃逸、虚拟机隔离失败等安全威胁。

◆MANO实体间交互安全威胁。通信内容被篡改、窃听或拦截，例如攻击者以获取资源调度优先级为目的，通过篡改VNF上报给NFVO/VNFM的网络动态监测和统计数据，以获取非授权/高质量的虚拟化资源。还有MANO实体间交互可能存在中间人攻击。

◆MANO管理的安全威胁。MANO管理在权限、日志、账号口令等方面存在冒用、越权、非法操作等问题。

4   5G网络切片安全技术

为了防范5G网络切片的安全威胁，5G网络切片应在5G网络切片自身安全和5G网络虚拟化安全两方面强化技术手段，保障5G网络切片安全。

4.1  5G网络切片自身安全技术

（1）切片隔离

根据网络切片要求的定义功能，基于签约数据、网络策略和能力用户分配到网络切片的不同实例中，每个切片应该具有独立的安全策略，以稳固的方式相互隔离。当单个用户通过多个网络切片访问服务时，要提供切片间的安全隔离。网络切片安全隔离需要考虑网络切片实例的标识、切片选择和漫游场景，应确保网络切片实例资源不会相互影响。

（2）切片接入认证

为了确保能够为用户正确选择和访问切片，将合适的网络切片分配给适当的签约用户，要保证切片的接入认证安全。当用户接入切片时，对切片进行注册，通过切片访问控制保证用户接入正确切片，通过会话机制防止用户的未授权访问。在切片选择过程中，提供交互消息的真实性、完整性和机密性的能力。

（3）安全机制的差异化

5G网络切片应支持在认证方法、凭证类型、用户存储库、控制策略和安全策略方面的安全机制差异化。安全策略可能包括隔离策略、加密算法、完整性保护算法、密钥长度以及密钥到期策略。应为每个网络切片定义不同的访问安全机制以及会话安全机制。

（4）切片的通信安全

根据网络切片功能的敏感级别和网络租户的需求，对网间切片接口和通信进行保护。在切片和外部网络进行通信时，切片内VNF与外部网络VNF之间相互进行认证，设置允许VNF之间访问的白名单防止非法通信，且设置访问频率监控，防止DoS/DDoS攻击。在不同切片间通信时，切片间在管理层通过分权分域实现切片管理和编排隔离，通过在网络层划分VLAN实现切片之间的逻辑安全隔离，通过硬件资源的物理隔离保证一个切片的异常不会影响其他切片功能，切片之间通过加密隧道保证通信安全。在切片内VNF之间进行通信时，VNF之间进行相互认证保证通信双方可信，VNF之间建立加密隧道保证通信安全。

（5）与第三方用户交互的安全

第三方垂直行业用户应通过标准化服务接口访问网络切片服务，必须对用户使用TLS执行双向认证，在双向认证之后采用OAuth的授权机制对发送的服务请求进行授权，并通过TLS方式提供接口之间的完整性保护、抗重放保护和机密性保护。

4.2  5G网络虚拟化安全技术

（1）VNF安全

在VNF生命周期各个阶段对VNF提出了安全技术要求。在对VNF软件包进行安全管理时，例如上载前、实例化以及更新时进行完整性验证;在VNF实例化、实例管理、VNF弹性伸缩、实例终止过程中对VNF进行访问控制，例如认证和权限验证;VNF实例终止时需彻底清除VNF实例所占用的虚拟内存以及存储资源上的信息。

（2）NFVI安全

虚拟机的安全要求主要包括虚拟机系统安全加固和防护、系统访问控制和完整性验证、Hypervisor安全等方面。硬件资源安全要求包括通用服务器和存储硬件资源的安全，物理主机应具备防病毒、防入侵的要求，硬件资源所处的环境需要具备物理安全要求，如机房环境安全、防盗等。基础网络安全要求包括SDN控制器安全、转发层安全、南北向API安全等，SDN控制器安全要具备防DDOS攻击、访问控制、日志分析、安全加固等，转发层安全保证路由协议安全、抑制DDOS攻击等，南北向API安全要采用双向认证、启动SSL等安全传输协议保证加密和完整性保护。

（3）MANO安全

MANO实体在安全方面应防止非法访问、敏感信息泄露;安装防病毒软件，定期检查查杀病毒以及升级病毒库;进行安全加固，实现安全服务最小化原则、最小影响原则。MANO实体（如NFVO）需防DDoS攻击，当实体运行在虚拟机上时，需要保证虚拟机的安全隔离。MANO实体间交互时通信内容需受到机密性和完整性保护，实体间双向认证。MANO的安全管理在权限、日志、账号口令等方面提出授权、审计和合理设置的要求。

5   5G网络切片安全标准进展

5.1  国际标准进展

5G网络切片安全标准化工作主要在3GPP SA3开展。在Rel-14阶段，3GPP SA3在TR 33.899中对网络切片进行了研究，主要集中在切片隔离、网络切片安全机制差异化、接入安全、切片通信安全等方面。

在Rel-15阶段，2017年3月3GPP SA3开始进行TS 33.501标准制定工作，其中对网络切片管理提出了技术要求，规定了TLS执行双向认证，采用OAuth的授权机制进行授权，采用TLS方式提供接口之间的安全等。

在Rel-16阶段，2018年10月3GPP SA3开始TR 33.813的研究工作，增强的网络切片安全主要对前阶段遗留的开放性问题进行了研究，包括接入特定网络切片的认证、密钥隔离、NSaas安全功能以及安全隐私。

ETSI在NFV下专门成立了安全子组对NFV安全进行深入研究，目前已经在敏感NFV组件的执行架构、NFV安全管理和监视、MANO组件和接口安全、NFV安全增强架构等方面进行了标准规定。ONF和ITU-T在SDN安全方面也进行了相关的标准化工作。

5.2  国内标准进展

5G安全国内标准推进主要由中国通信标准化协会TC5 WG5组织开展。2019年4月开始开展5G网络切片安全项目的研究。2019年8月完成了5G移动通信网安全技术要求标准制定工作，其中对网络切片安全管理要求进行了规定，包括双向认证、管理服务生产者与使用者之间管理交互的安全保护、管理服务请求消息的授权验证等。同时2019年8月启动了5G网络切片安全技术要求的立项，计划2020年底完成。

6   5G网络切片安全发展

5G网络切片作为5G网络的关键技术，目前5G端到端网络切片及安全技术还在试验验证和应用示范过程中，中国移动、中国电信、中国联通都未进入商用阶段。5G网络切片及安全技术标准还不够完善，切片安全增强的方案还在研究当中，还需要进一步标准化。另外，面对垂直行业的不同应用场景和需求，例如工业互联网、车联网、远程医疗等，要制定合理的5G网络切片安全解决方案。针对上述问题对5G网络切片安全的发展提出了以下建议：

（1）推动5G网络切片安全的标准制定工作，包括安全功能、安全级别、安全测评等，建立一套有约束力和公信力的安全标准，推动5G网络切片安全的技术研发、设备研制，为垂直行业的应用提供参考。

（2）加强5G网络切片安全建设，加大相关5G安全建设的投入。在5G网络设计、部署过程中要充分考虑5G切片安全技术，例如认证、隔离等，建设相关动态感知、风险监测和预警的技术手段，提高5G网络切片安全防护水平。

（3）开展5G网络切片安全的试点示范，并逐步扩大在垂直行业的应用，促进技术产业成熟。通过试点示范，进一步明确5G网络切片安全技术的适用场景，推动5G网络切片安全技术的发展。

7   结束语

本文主要分析了5G网络切片面临的安全威胁，研究了5G网络切片安全技术，阐述了5G网络切片安全标准进展，针对5G网络切片存在的问题提出了相关发展建议。随着5G网络切片安全标准的完善、5G网络切片安全试点示范的深入推进，5G端到端网络切片及安全技术将逐步成熟，5G网络切片安全將更好地为垂直行业服务，为构建安全的5G应用生态奠定良好的基础。

参考文献：

[1] IMT-2020. 5G网络安全需求与架构（白皮书）[EB/OL]. （2017-06-12）[2019-09-19]. http：//www.caict.ac.cn/kxyj/qwfb/bps/index_6.htm.

[2] 3GPP. 3GPP TR 33.899： Study on the security aspects of the next generation system[R/OL]. [2019-01-13]. https：//portal.3gpp.org.

[3] 3GPP. 3GPP TS 33.501： Security architecture and procedures for 5G system[S/OL]. [2019-06-13]. https：//portal.3gpp.org.

[4] 3GPP. 3GPP TR 33.813： Study on security aspects of network slicing enhancement[R/OL]. [2019-07-09]. https：//portal.3gpp.org.