上一篇我們講了

　　5G面臨的威脅和端到端安全挑戰(zhàn)

　　今天，啟明星辰的專家們

　　從三個視角深度分析

　　如何解決5G端到端安全問題

　　共同徜徉5G安全的智慧海洋~

　　1   5G網(wǎng)絡側與產(chǎn)業(yè)側相融合的安全視角

　　討論5G安全需要從兩個維度入手。第一個維度是5G網(wǎng)絡側，也就是說保護5G平臺本身。第二個重要的維度是產(chǎn)業(yè)側，也就是說采取特定的安全方法和機制來保護那些5G所承載的垂直行業(yè)業(yè)務應用服務。

　　在這兩個維度之上建立起5G安全的整體和全局視角，然后根據(jù)定位的不同再聚焦自己所關注的安全問題，顯得更加有的放矢。具體內(nèi)容如下圖所示：

　　5G自身安全和產(chǎn)業(yè)側安全相融合

　　整體和全局視角

　　5G安全不僅僅是技術問題，需要從人員、流程、技術和生態(tài)全面考慮。

　　威脅建模和風險評估

　　可以使用5G STRIDE-LM建模方法，構建5G的全用例威脅模型，并對5G網(wǎng)絡、系統(tǒng)、虛擬化和接入的行業(yè)應用等進行風險評估，為創(chuàng)建和維護真正具有彈性的安全基礎架構奠定基礎。

　　需要專項安全預算

　　5G安全對當前的安全技術和安全機制提出了新挑戰(zhàn)和新要求，需要重點關注網(wǎng)絡側和產(chǎn)業(yè)側相融合的安全問題，需求新的解決方法，對新技術加以研究學習和應用，同時獲得專項預算支持。

　　將安全性植入網(wǎng)絡

　　5G是一個開放的生態(tài)系統(tǒng)，具有更加開放的第三方系統(tǒng)、第三方垂直行業(yè)應用，當然也伴隨著更大更多的暴露面和入侵面，需要充分考慮5G的云化特點，在設計和開發(fā)階段導入安全需求，將安全性植入到網(wǎng)絡之中，實現(xiàn)“安全左移”。

　　跨層跨域的安全性

　　多層、多域和端到端（E2E）的進行安全設計和規(guī)劃，結合“View on 5G Architecture”從物理基礎設施、資源和功能層、網(wǎng)絡層、服務層和管理編排層多個層面考慮和設計安全性；同時，結合“5G網(wǎng)絡安全架構參考模型”從用戶域、接入域、網(wǎng)絡域、SBA域、應用域和管理域六個域考慮和設計安全性，二者相結合，實現(xiàn)真正的端到端全覆蓋的安全性設計。

　　多解決方案共生

　　虛擬化、云化、容器化、NFV、SDN作為5G的技術支撐，同時具有網(wǎng)絡能力開放等屬性和特點，因此需要保留多供應商環(huán)境，以更好地做好5G及其融合安全。

　　使用先進技術

　　從多個層面進行安全保護，需要使用諸如主動分析，ML，AI等先進技術。

　　共享情報和安全生態(tài)

　　為了主動檢測、防御、預測和響應安全威脅，必須在供應商、合作伙伴和客戶之間共享與安全相關的情報，構建安全生態(tài)。

　　智能化安全運維和可視化安全運營

　　由于5G的多接入技術、多認證機制、異構應用和云化等特點，集中控制、自動化的智能安全措施和自適應安全操作以及安全能力可視化就顯得尤為必須和重要。

　　2  軟件定義5G安全（SDS）和網(wǎng)絡安全能力服務化視角

　　這里簡介看待5G安全的另一個視角，也就是軟件定義安全和安全能力服務化視角。這個視角的主要特點表現(xiàn)為如下所列的“四化”安全能力。

　　1）安全能力定制化（Customized）：安全能力可編程、可軟件定義，具備開放性和敏捷性特點。

　　2）安全功能模塊化（Modularized）：安全功能原子化、模塊化，能夠按需組合，更好地適配5G垂直行業(yè)的業(yè)務特點和安全訴求。

　　3）基礎架構虛擬化（Virtualized）：根據(jù)3GPP、ITU等標準化組織的設計，在第二階段和第三階段中，5G網(wǎng)絡的虛擬化、云化、軟件化和可編程編排的應用會越來越多，NFV和SDX成為常態(tài)。與之相適配的安全能力也需要采用虛擬化架構，邏輯單元能夠動態(tài)配置，安全能力可編排，使安全能力對云更加適應與友好。

　　4）安全管理集中化（Centralized）：集中管理、協(xié)調(diào)和編排安全能力，安全能力可調(diào)度、可編排、可軟件定義。

　　具體內(nèi)容如下圖所示：

　　5G安全能力服務化和軟件定義安全SDS

　　云化：虛擬化安全技術保護邊緣云和核心云，云化網(wǎng)絡基礎設施和虛擬網(wǎng)元安全。

　　組件化：安全需求的多樣化和定制化要求安全能力快速建立和修改，安全部件分布式部署。

　　可編排化：安全防策略自動化配置和服務鏈編排，實現(xiàn)智能主動防御。

　　身份化：多角色、可擴展的身份管理，基于統(tǒng)一身份認證框架的跨區(qū)域認證與訪問控制，這里會依據(jù)業(yè)務應用場景的需要可以采用多因素認證MFA，輕量級認證算法等機制。

　　集成化：組件在基礎架構內(nèi)的自適應、與信息系統(tǒng)的聚合，提升協(xié)同能力。

　　場景化：面向不同垂直行業(yè)的業(yè)務模式，支持差異化應用場景。

　　3　分層跨域端到端E2E主動安全視角

　　看待5G安全的第三個視角是端到端的主動安全。需要考慮5G端到端的整體架構以確保5G網(wǎng)絡的安全性。端到端（E2E）的5G網(wǎng)絡架構由下一代無線接入網(wǎng)絡（NG-RAN或CloudRAN）、多接入邊緣計算（MEC），核心網(wǎng)絡（Core）、數(shù)據(jù)網(wǎng)絡（DN）和云服務組成。如前面所述，網(wǎng)絡切片（NS）、網(wǎng)絡功能虛擬化（NFV）、NFV管理和編排（MANO）和軟件定義網(wǎng)絡（SDN）是實現(xiàn)5G網(wǎng)絡架構的重要技術。具體內(nèi)容如下圖所示：

　　5G分層分域和端到端的主動安全

　　分層分域端到端的安全的設計關鍵是基于5G網(wǎng)絡架構和安全參考模型，覆蓋如下幾個方面的內(nèi)容：

　　1）物理基礎設施安全。

　　2）接入和傳輸網(wǎng)安全。主要包括用戶和設備（UE）安全、空口安全、接入和傳輸安全等。

　　3）邊緣云安全MEC安全。UPF下沉、MEC系統(tǒng)平臺安全、邊云協(xié)同安全、UPF和MEC的集成和分離安全性等。

　　4）核心網(wǎng)絡安全。SBA安全性、漫游安全性、異構運營商5G網(wǎng)絡邊界安全性等。

　　5）端到端網(wǎng)絡切片安全。切片內(nèi)、切片間的安全隔離，切片管理器的安全性，切片實例選擇安全性、切片管理接口安全性、跨切片的UE數(shù)據(jù)安全性、切片與其承載物理基礎設施間的認證與信任機制等。

　　6）SDN、NFV、云和虛擬化的安全性。

　　7）數(shù)據(jù)安全和隱私保護。數(shù)據(jù)生命周期安全，包括5G數(shù)據(jù)采集、存儲、傳輸、共享交換、使用和銷毀的安全性，構建數(shù)據(jù)資產(chǎn)圖譜和數(shù)據(jù)安全能力地圖并防止敏感信息泄露。

　　8）安全運維、管理和編排。打通南向接口和北向接口，將安全能力“解構解耦”，按需通過軟件定義將安全能力“結構”，可基于服務鏈編排。5G網(wǎng)絡需要利用全面的端到端安全策略，該策略應覆蓋網(wǎng)絡的所有層，包括應用程序，信令和數(shù)據(jù)平面。

　　9）接口安全。

　　10）統(tǒng)一認證框架。根據(jù)所承載和服務行業(yè)的安全認證需求，可以基于統(tǒng)一認證框架，采用二次認證或分布式認證相結合，采用輕量級認證機制和算法，更好地適配接入業(yè)務的屬性特點，發(fā)揮5G的優(yōu)勢。

　　展望和后續(xù)工作

　　本文重點從三個視角來探討如何解決5G端到端的安全問題，因為端到端的架構需要端到端的安全與之相適配。5G安全問題的三個視角側重于威脅和評估基礎上的整體和體系化地解決問題，這次僅給出了思路和概要，尚不能構成完整的解決方案。

　　從整體視角看待5G端到端的安全，并不意味著反對從某個具體場景或具體應用的角度給出單一解決方法。因此，準備從三個方面展開后續(xù)工作，一是根據(jù)具體需要選擇其中一個視角，給出完整和詳細的解決方案；二是根據(jù)具體需要，形成技術專題解決方案，比如5G網(wǎng)絡切片安全解決方案等；三是聚焦5G專網(wǎng)（如園區(qū)網(wǎng)）場景，結合實驗，形成5G園區(qū)網(wǎng)專網(wǎng)安全解決方案或報告。