上一篇我們講了

　　5G面臨的威脅和端到端安全挑戰(zhàn)

　　今天，啟明星辰的專家們

　　從三個視角深度分析

　　如何解決5G端到端安全問題

　　共同徜徉5G安全的智慧海洋~

　　1   5G網(wǎng)絡(luò)側(cè)與產(chǎn)業(yè)側(cè)相融合的安全視角

　　討論5G安全需要從兩個維度入手。第一個維度是5G網(wǎng)絡(luò)側(cè)，也就是說保護(hù)5G平臺本身。第二個重要的維度是產(chǎn)業(yè)側(cè)，也就是說采取特定的安全方法和機(jī)制來保護(hù)那些5G所承載的垂直行業(yè)業(yè)務(wù)應(yīng)用服務(wù)。

　　在這兩個維度之上建立起5G安全的整體和全局視角，然后根據(jù)定位的不同再聚焦自己所關(guān)注的安全問題，顯得更加有的放矢。具體內(nèi)容如下圖所示：

　　5G自身安全和產(chǎn)業(yè)側(cè)安全相融合

　　整體和全局視角

　　5G安全不僅僅是技術(shù)問題，需要從人員、流程、技術(shù)和生態(tài)全面考慮。

　　威脅建模和風(fēng)險評估

　　可以使用5G STRIDE-LM建模方法，構(gòu)建5G的全用例威脅模型，并對5G網(wǎng)絡(luò)、系統(tǒng)、虛擬化和接入的行業(yè)應(yīng)用等進(jìn)行風(fēng)險評估，為創(chuàng)建和維護(hù)真正具有彈性的安全基礎(chǔ)架構(gòu)奠定基礎(chǔ)。

　　需要專項安全預(yù)算

　　5G安全對當(dāng)前的安全技術(shù)和安全機(jī)制提出了新挑戰(zhàn)和新要求，需要重點關(guān)注網(wǎng)絡(luò)側(cè)和產(chǎn)業(yè)側(cè)相融合的安全問題，需求新的解決方法，對新技術(shù)加以研究學(xué)習(xí)和應(yīng)用，同時獲得專項預(yù)算支持。

　　將安全性植入網(wǎng)絡(luò)

　　5G是一個開放的生態(tài)系統(tǒng)，具有更加開放的第三方系統(tǒng)、第三方垂直行業(yè)應(yīng)用，當(dāng)然也伴隨著更大更多的暴露面和入侵面，需要充分考慮5G的云化特點，在設(shè)計和開發(fā)階段導(dǎo)入安全需求，將安全性植入到網(wǎng)絡(luò)之中，實現(xiàn)“安全左移”。

　　跨層跨域的安全性

　　多層、多域和端到端（E2E）的進(jìn)行安全設(shè)計和規(guī)劃，結(jié)合“View on 5G Architecture”從物理基礎(chǔ)設(shè)施、資源和功能層、網(wǎng)絡(luò)層、服務(wù)層和管理編排層多個層面考慮和設(shè)計安全性；同時，結(jié)合“5G網(wǎng)絡(luò)安全架構(gòu)參考模型”從用戶域、接入域、網(wǎng)絡(luò)域、SBA域、應(yīng)用域和管理域六個域考慮和設(shè)計安全性，二者相結(jié)合，實現(xiàn)真正的端到端全覆蓋的安全性設(shè)計。

　　多解決方案共生

　　虛擬化、云化、容器化、NFV、SDN作為5G的技術(shù)支撐，同時具有網(wǎng)絡(luò)能力開放等屬性和特點，因此需要保留多供應(yīng)商環(huán)境，以更好地做好5G及其融合安全。

　　使用先進(jìn)技術(shù)

　　從多個層面進(jìn)行安全保護(hù)，需要使用諸如主動分析，ML，AI等先進(jìn)技術(shù)。

　　共享情報和安全生態(tài)

　　為了主動檢測、防御、預(yù)測和響應(yīng)安全威脅，必須在供應(yīng)商、合作伙伴和客戶之間共享與安全相關(guān)的情報，構(gòu)建安全生態(tài)。

　　智能化安全運維和可視化安全運營

　　由于5G的多接入技術(shù)、多認(rèn)證機(jī)制、異構(gòu)應(yīng)用和云化等特點，集中控制、自動化的智能安全措施和自適應(yīng)安全操作以及安全能力可視化就顯得尤為必須和重要。

　　2  軟件定義5G安全（SDS）和網(wǎng)絡(luò)安全能力服務(wù)化視角

　　這里簡介看待5G安全的另一個視角，也就是軟件定義安全和安全能力服務(wù)化視角。這個視角的主要特點表現(xiàn)為如下所列的“四化”安全能力。

　　1）安全能力定制化（Customized）：安全能力可編程、可軟件定義，具備開放性和敏捷性特點。

　　2）安全功能模塊化（Modularized）：安全功能原子化、模塊化，能夠按需組合，更好地適配5G垂直行業(yè)的業(yè)務(wù)特點和安全訴求。

　　3）基礎(chǔ)架構(gòu)虛擬化（Virtualized）：根據(jù)3GPP、ITU等標(biāo)準(zhǔn)化組織的設(shè)計，在第二階段和第三階段中，5G網(wǎng)絡(luò)的虛擬化、云化、軟件化和可編程編排的應(yīng)用會越來越多，NFV和SDX成為常態(tài)。與之相適配的安全能力也需要采用虛擬化架構(gòu)，邏輯單元能夠動態(tài)配置，安全能力可編排，使安全能力對云更加適應(yīng)與友好。

　　4）安全管理集中化（Centralized）：集中管理、協(xié)調(diào)和編排安全能力，安全能力可調(diào)度、可編排、可軟件定義。

　　具體內(nèi)容如下圖所示：

　　5G安全能力服務(wù)化和軟件定義安全SDS

　　云化：虛擬化安全技術(shù)保護(hù)邊緣云和核心云，云化網(wǎng)絡(luò)基礎(chǔ)設(shè)施和虛擬網(wǎng)元安全。

　　組件化：安全需求的多樣化和定制化要求安全能力快速建立和修改，安全部件分布式部署。

　　可編排化：安全防策略自動化配置和服務(wù)鏈編排，實現(xiàn)智能主動防御。

　　身份化：多角色、可擴(kuò)展的身份管理，基于統(tǒng)一身份認(rèn)證框架的跨區(qū)域認(rèn)證與訪問控制，這里會依據(jù)業(yè)務(wù)應(yīng)用場景的需要可以采用多因素認(rèn)證MFA，輕量級認(rèn)證算法等機(jī)制。

　　集成化：組件在基礎(chǔ)架構(gòu)內(nèi)的自適應(yīng)、與信息系統(tǒng)的聚合，提升協(xié)同能力。

　　場景化：面向不同垂直行業(yè)的業(yè)務(wù)模式，支持差異化應(yīng)用場景。

　　3　分層跨域端到端E2E主動安全視角

　　看待5G安全的第三個視角是端到端的主動安全。需要考慮5G端到端的整體架構(gòu)以確保5G網(wǎng)絡(luò)的安全性。端到端（E2E）的5G網(wǎng)絡(luò)架構(gòu)由下一代無線接入網(wǎng)絡(luò)（NG-RAN或CloudRAN）、多接入邊緣計算（MEC），核心網(wǎng)絡(luò)（Core）、數(shù)據(jù)網(wǎng)絡(luò)（DN）和云服務(wù)組成。如前面所述，網(wǎng)絡(luò)切片（NS）、網(wǎng)絡(luò)功能虛擬化（NFV）、NFV管理和編排（MANO）和軟件定義網(wǎng)絡(luò)（SDN）是實現(xiàn)5G網(wǎng)絡(luò)架構(gòu)的重要技術(shù)。具體內(nèi)容如下圖所示：

　　5G分層分域和端到端的主動安全

　　分層分域端到端的安全的設(shè)計關(guān)鍵是基于5G網(wǎng)絡(luò)架構(gòu)和安全參考模型，覆蓋如下幾個方面的內(nèi)容：

　　1）物理基礎(chǔ)設(shè)施安全。

　　2）接入和傳輸網(wǎng)安全。主要包括用戶和設(shè)備（UE）安全、空口安全、接入和傳輸安全等。

　　3）邊緣云安全MEC安全。UPF下沉、MEC系統(tǒng)平臺安全、邊云協(xié)同安全、UPF和MEC的集成和分離安全性等。

　　4）核心網(wǎng)絡(luò)安全。SBA安全性、漫游安全性、異構(gòu)運營商5G網(wǎng)絡(luò)邊界安全性等。

　　5）端到端網(wǎng)絡(luò)切片安全。切片內(nèi)、切片間的安全隔離，切片管理器的安全性，切片實例選擇安全性、切片管理接口安全性、跨切片的UE數(shù)據(jù)安全性、切片與其承載物理基礎(chǔ)設(shè)施間的認(rèn)證與信任機(jī)制等。

　　6）SDN、NFV、云和虛擬化的安全性。

　　7）數(shù)據(jù)安全和隱私保護(hù)。數(shù)據(jù)生命周期安全，包括5G數(shù)據(jù)采集、存儲、傳輸、共享交換、使用和銷毀的安全性，構(gòu)建數(shù)據(jù)資產(chǎn)圖譜和數(shù)據(jù)安全能力地圖并防止敏感信息泄露。

　　8）安全運維、管理和編排。打通南向接口和北向接口，將安全能力“解構(gòu)解耦”，按需通過軟件定義將安全能力“結(jié)構(gòu)”，可基于服務(wù)鏈編排。5G網(wǎng)絡(luò)需要利用全面的端到端安全策略，該策略應(yīng)覆蓋網(wǎng)絡(luò)的所有層，包括應(yīng)用程序，信令和數(shù)據(jù)平面。

　　9）接口安全。

　　10）統(tǒng)一認(rèn)證框架。根據(jù)所承載和服務(wù)行業(yè)的安全認(rèn)證需求，可以基于統(tǒng)一認(rèn)證框架，采用二次認(rèn)證或分布式認(rèn)證相結(jié)合，采用輕量級認(rèn)證機(jī)制和算法，更好地適配接入業(yè)務(wù)的屬性特點，發(fā)揮5G的優(yōu)勢。

　　展望和后續(xù)工作

　　本文重點從三個視角來探討如何解決5G端到端的安全問題，因為端到端的架構(gòu)需要端到端的安全與之相適配。5G安全問題的三個視角側(cè)重于威脅和評估基礎(chǔ)上的整體和體系化地解決問題，這次僅給出了思路和概要，尚不能構(gòu)成完整的解決方案。

　　從整體視角看待5G端到端的安全，并不意味著反對從某個具體場景或具體應(yīng)用的角度給出單一解決方法。因此，準(zhǔn)備從三個方面展開后續(xù)工作，一是根據(jù)具體需要選擇其中一個視角，給出完整和詳細(xì)的解決方案；二是根據(jù)具體需要，形成技術(shù)專題解決方案，比如5G網(wǎng)絡(luò)切片安全解決方案等；三是聚焦5G專網(wǎng)（如園區(qū)網(wǎng)）場景，結(jié)合實驗，形成5G園區(qū)網(wǎng)專網(wǎng)安全解決方案或報告。