5G网络切片数据安全加固解决方案

5G网络借助于NFV（网络功能虚拟化）和SDN（软件定义网络）技术，在相同的物理基础网络设施上构建多个逻辑网络切片，以满足针对不同垂直行业对网络时延、传输速率、连接数、移动性等指标差异化需求。

然而由于网络切片共享相同的网络资源，且贯穿整个通信网络协议栈，对于切片的接入认证和数据安全都带来了全新的挑战。

一、5G网络切片及实现机制

网络切片是一组运行在通用物理硬件上的多个 NF（网络功能）的编排组合，具备独立提供网络服务能力的端到端虚拟网络。运营商通过能力开放接口和切片编排设计将5G网络开放给垂直行业应用。

根据具体应用的不同需求，5G网络对切片所需的功能、配置及实例化等进行描述和定义，并通过网络编排和管理系统根据切片蓝图完成网络资源（计算、存储、网络）的分配和激活，完成网络切片部署。

5G网络采用服务化网络架构，确保了网络能力对不同垂直行业用户全面开放，并可灵活对网络容量进行弹性伸缩，以应对不同应用场景的动态需求。

二、5G切片的数据安全挑战

5G网络切片从UE（用户设备）申请网络切片管理到切片接入、切片间的数据交互，以及切片资源编排策略等方面，存在着以下安全风险：

切片认证和权限管理：

如果UE对于网络切片缺乏认证和授权，一方面数据或服务很可能被篡改或伪造，导致切片选择错误，使UE不能从正确的切片获得服务或者使未申请服务的UE被接入切片；另一方面非授权的UE可能会进入到网络切片中消耗切片资源，甚至导致不同类型的攻击行为。

终端接入切片的安全：

如果终端接入过程没有受到足够保护，攻击者或可通过重放窃听到的报文，导致系统不必要的运行超载，影响系统可用性和服务质量；同时窃听接入链路的攻击者将可能获得一些敏感服务权限，甚至得到相关的信息并劫持正在进行的会话注入自己的数据报文，将为5G服务以及相关垂直行业带来极大的安全隐患。

切片通信安全：

当网络切片完成专用网络功能的时候，不同网络切片之间、 RAN（无线接入网）切片和核心网络切片之间都可能需要进行通信。由于网络切片基于SDN和NFV技术，网络基础设施层各网元间资源共用和调度将非常频繁，对底层安全隔离要求提出极大挑战。在所有网间切片通信中，网络切片之间的接口极易受到攻击，对切片数据的机密性和完整性造成严重威胁。

三、海泰切片数据安全加固方案

针对垂直行业客户特定需求，海泰方圆从以下几个方面开展了基于国产密码技术的5G切片数据安全防护研究：

（一）多级应用安全切片架构设计

提出了一种多级应用安全切片架构，实现基于NFV/SDN的多级密码安全保障机制，建立切片内的安全通道，确保数据传输的机密性、完整性以及防重放攻击等。一方面解决了垂直行业的差异化需求对5G网络切片资源调度和安全策略的影响；另一方面也将第三方安全能力编排到5G网络切片中，解决垂直行业的第三方安全服务与网络切片紧密结合的问题。

（二）多元组合切片认证策略

在网络切片传统身份管理技术的增强机制基础上，重点对切片接入可信身份管理、多元信任模式下的切片组合认证策略等技术进行研究，建立了基于国产密码技术的统一身份认证机制，对5G网络切片应用中的各种应用场景进行统一的身份标识管理，兼容支持多种认证协议，实现多种认证机制的统一融合。既可避免非授权UE消耗切片资源，又能有效防止切片数据泄露等安全威胁。

（三）差异化切片密钥分发技术

结合垂直行业的典型应用场景，设计了在切片接入、切片内部、不同切片间等情况下的密钥管理体制与模型，制定适用于各种应用场景下的切片密钥管理协议、机制、方式、方法等，包括计算能力较弱或者低能耗终端设备，以及低时延等场景（mIoT、uRLLC），实现差异化切片安全能力的密钥管理和密钥分发。

（四）网络切片安全态势感知和预警技术

通过研究虚拟资源隔离、网络切片下的安全态势感知技术，结合垂直行业网络基础设施特点、网络行为规律，用户行为分析和预测技术以及密码服务管理技术等，提出了涉及多样化的网络设备、运营服务、数据交互、第三方扩展等全方面技术方案，解决了5G网络切片的数据安全态势感知和预警问题。

四、未来展望

目前，对5G网络切片的应用安全以及5G网络与垂直行业应用的充分融合仍处于研究探索过程，对于网络切片安全认证机制和网络切片数据安全面临的其他潜在问题还需要深入分析和论证，海泰方圆也将持续加大对国产密码与5G切片技术相结合的研究和探索，为广大垂直行业客户提供更有针对性的数据安全保障。