張鑒　唐洪玉　侯云曉

摘要：基于5G網(wǎng)絡“云化”和“軟件定義化”的特點，提出了基于軟件定義的安全能力架構。認為該架構能夠實現(xiàn)5G網(wǎng)絡模塊化的、可調用的、快速部署的內生安全能力，能夠更好地滿足5G業(yè)務多樣化和5G系統(tǒng)架構變遷所帶來的安全新需求。

關鍵詞：5G網(wǎng)絡;軟件定義;安全架構

Abstract： Based on the characteristics of "cloudification" and "software definition" of 5G network， a security capability architecture based on software-defined network is proposed. This architecture can realize the modular， invoked and rapidly deployed endogenous security capability of 5G network， which can better meet the new security requirements brought by the diversification of 5G service and the change of 5G system architecture.

Key words： 5G network; software defined; security architecture

5G 不僅是下一代移動通信網(wǎng)絡基礎設施，而且是未來數(shù)字世界的使能者。5G網(wǎng)絡全新業(yè)務場景的出現(xiàn)和5G網(wǎng)絡架構的變遷，均對5G網(wǎng)絡的安全能力提出了全新挑戰(zhàn)。5G網(wǎng)絡需要具備模塊化、可編排、可靈活調度的安全防御能力，滿足不同應用場景的動態(tài)、差異化的安全要求，從而構建安全可信的網(wǎng)絡空間。

軟件定義的理念為建設5G安全能力提供了全新的思路，隨著5G網(wǎng)絡系統(tǒng)架構“云化”和“軟件定義化”的變革，建設基于軟件定義的安全能力體系成為可能。本文中，我們基于軟件定義的理念，提出了全新的5G網(wǎng)絡安全能力架構，并對該架構的部署方式、主要模塊和接口功能，以及帶來的價值賦能進行了全面的闡述和分析，為5G網(wǎng)絡安全建設提供有借鑒性的參考。

1 5G網(wǎng)絡總體架構

未來的5G網(wǎng)絡將更加靈活、智能、融合和開放。5G目標網(wǎng)絡邏輯架構簡稱“三朵云”架構，包括接入云、控制云和轉發(fā)云3個邏輯域，如圖1所示。

總體架構基于軟件定義網(wǎng)絡（SDN）、網(wǎng)絡功能虛擬化（NFV）、云計算等關鍵技術推動網(wǎng)絡架構重構，構建簡潔、敏捷、集約、開放的網(wǎng)絡新架構[1]。

（1）接入云：支持接入控制和承載分離、接入資源的協(xié)同管理，滿足未來多種部署場景（例如集中、分布、無線Mesh），并實現(xiàn)基站的即插即用。

（2）控制云：實現(xiàn)網(wǎng)絡控制功能集中，網(wǎng)元功能具備虛擬化、軟件化以及重構性，支持第三方的網(wǎng)絡能力開放。

（3）轉發(fā)云：將控制功能剝離，使轉發(fā)的功能靠近各個基站，將不同的業(yè)務能力與轉發(fā)能力融合。

在上述5G網(wǎng)絡架構中，SDN技術是連接控制云和轉發(fā)云的關鍵;NFV將轉發(fā)云中的轉發(fā)設備和多個控制云中的網(wǎng)元用通用設備來替代，從而節(jié)省成本;三朵云中的資源調度、彈性擴展和自動化管理都是依賴基礎的云計算平臺。

2 5G網(wǎng)絡安全需求分析

2.1 業(yè)務多樣化需要差異化的

安全能力

國際電信聯(lián)盟（ITU）定義了5G的3大應用場景：增強移動寬帶（eMBB）、海量機器類通信（mMTC）、高可靠低時延（uRLLC）。不同的業(yè)務會有差異化的需求，5G需要針對eMBB、mMTC和uRLLC 3種應用場景提供不同安全需求的保護機制。eMBB聚焦對帶寬和用戶體驗有極高需求的業(yè)務，不同業(yè)務的安全保護強度需求是有差異的，因此需要針對客戶提供的安全能力具備可編排性和模塊化;mMTC聚焦連接密度較高的場景，終端具有資源能耗受限、網(wǎng)絡拓撲動態(tài)變化、以數(shù)據(jù)為中心等特點，因此需要輕量級的安全算法、簡單高效的安全協(xié)議;uRLLC側重于高安全低時延性的通信業(yè)務，需要既保證高級別的安全保護措施又不能額外增加通信時延，因此需要安全能力的敏捷快速部署[2]。

2.2 新技術、新架構帶來的安全

挑戰(zhàn)

5G新的網(wǎng)絡架構引入了SDN、NFV技術，解耦了設備的控制面和數(shù)據(jù)面。這為基于多廠家通用信息技術（IT）硬件平臺建立新型的設備信任關系創(chuàng)造了有利條件，但是也給安全方面帶來很多挑戰(zhàn)。

首先是傳統(tǒng)封閉管理模式下的安全邊界和保障模式都在發(fā)生深刻的變化，業(yè)務的開放性、用戶的自定義和資源的可視化應用給云平臺的安全可信帶來前所未有的挑戰(zhàn);其次，計算、存儲及網(wǎng)絡資源共享化，會引入虛擬機安全、虛擬化軟件安全、數(shù)據(jù)安全等問題。5G網(wǎng)絡中 NFV虛擬化技術的應用，可進一步簡化網(wǎng)絡功能的部署和更新，使得部分功能網(wǎng)元以虛擬功能的形式部署在云化的基礎設施上。5G需要考慮虛擬化基礎設施的安全機制，從而保障其業(yè)務在虛擬化環(huán)境下能夠安全運行;還需要定義更好的安全隔離手段，增強虛擬功能網(wǎng)元之間的安全管理。基于虛擬網(wǎng)絡的切片也需要安全機制，以保證切片的安全運營和用戶的正常接入。

因此，傳統(tǒng)的安全防護模式已不再適用，5G的發(fā)展迫切需要利用5G網(wǎng)絡架構的有利條件，挖掘出5G網(wǎng)絡的內生安全屬性，建立基于軟件定義的新型安全能力架構，實現(xiàn)構建高可信、高安全的5G網(wǎng)絡的目標[3]。

3 基于軟件定義構建5G

網(wǎng)絡安全能力框架

3.1 軟件定義安全邏輯架構

借鑒軟件定義的理念和SDN架構，軟件定義安全（SDS）邏輯架構包括3個層面，從下向上依次是：基礎設施層、控制層、應用層，具體如圖2所示。

（1）應用層：包括各種各樣的安全應用及服務，實現(xiàn)安全業(yè)務的封裝、編排和對外提供。

（2）控制層：核心是安全控制器，南向通過應用程序編程（API）接口和安全資源池進行互動，對安全資源池進行管理和調度;北向通過API對外提供封裝后的安全能力甚至是安全業(yè)務;東西向和網(wǎng)絡控制器、云等互通，實現(xiàn)安全流量的檢測和安全策略的下發(fā)和控制。

（3）基礎設施層： 包括各種硬件、軟件形態(tài)的安全設備、安全引擎，提供安全的原子功能，形成云化的安全資源池。

軟件定義安全架構相應的接口包括北向接口（控制層與應用層接口）和南向接口（控制層與基礎設施層接口），具體如圖3所示。

（1）北向接口：控制層與應用層接口（NBI）。

·連接SDS控制器和用戶應用之間的重要紐帶;

·為應用平面提供安全能力，可用于上層應用開發(fā)和資源編排;

·具有多樣化的特征。

（2）南向接口：控制層與基礎設施層接口（SBI）。

·控制平面與基礎設施平面交互安全策略以及設備信息等數(shù)據(jù)的信息;

·將差異化的安全設備抽象成統(tǒng)一的安全資源池，集中管理，統(tǒng)一部署;

·打破傳統(tǒng)硬件資源的封閉性，為不同設備廠商、不同功能的安全設備提供了管理和部署方面的便利條件。

3.2 5G網(wǎng)絡軟件定義安全防護

框架

5G網(wǎng)絡增強了開放服務能力，基于SDN/NFV的編排能力是5G網(wǎng)絡的重要能力集;因此，基于SDN/NFV的統(tǒng)一編排能力，可以將軟件定義安全的架構應用到5G網(wǎng)絡安全防護體系中，從而保障5G網(wǎng)絡具備保證各項業(yè)務安全的安全機制。基于軟件定義的5G安全防護框架具體如圖4所示[4-5]。

基于軟件定義的5G安全防護框架的主要有6個模塊。

（1）安全服務層：向5G垂直行業(yè)和5G用戶提供可定制化、可編程的安全服務。

（2）安全控制及編排層：根據(jù)來自安全服務層或安全數(shù)據(jù)分析層的安全需求，將安全策略下發(fā)給相應的安全設備實現(xiàn)安全防護。

（3）安全分析器：使用大數(shù)據(jù)、人工智能等技術，將安全分析的結果轉化為安全需求再發(fā)送給安全編排器。

（4）網(wǎng)絡控制及資源編排層：包含SDN控制器和MANO系統(tǒng)。SDN控制器根據(jù)來自安全控制層的策略，實現(xiàn)流量的編排、管理。MANO系統(tǒng)實現(xiàn)對安全功能需要的虛擬化資源的編排、管理，以及虛擬安全網(wǎng)元的生命周期管理。

（5）資源池：包含硬件資源、安全資源池以及業(yè)務資源池。

（6）安全管控系統(tǒng)：包含統(tǒng)一賬號管理、認證管理、授權管理以及審計管理，可將安全控制器、智能分析與可視化工具等統(tǒng)一納入至安全管控體系。

3.3 軟件定義的5G網(wǎng)絡安全

能力架構優(yōu)勢

通過構建基于軟件定義的5G安全能力架構，能夠實現(xiàn)5G網(wǎng)絡模塊化的、可調用的、快速部署的內生安全能力，能夠更好地滿足5G業(yè)務多樣化和5G系統(tǒng)架構變遷所帶來的安全新需求。

（1）安全能力模塊化管理，實現(xiàn)架構的可擴展和可編排。

基于軟件定義的架構，可以將網(wǎng)絡安全能力進行獨立的服務化定義，封裝為安全能力模塊。其他功能在授權的基礎上，可以調用此安全能力模塊。這里安全能力包括用戶身份管理、認證鑒權、密鑰管理及安全上下文的管理等。安全能力的模塊化增強了安全能力的精細靈活化管理，支持基于安全編排的彈性靈活調用，同時支持對調用安全能力的授權。5G網(wǎng)絡內的安全能力以模塊化的方式部署，并能夠通過相應接口方便調用。通過組合不同的安全功能，可以靈活地提供安全能力以滿足多種業(yè)務的安全需求。

（2）安全功能的快速部署以及調用。

基于軟件定義的架構，在安全能力模塊化的、可調用的、可組合的基礎之上，可實現(xiàn)安全功能自動化管理，包括安全功能的部署、編排、配置、調用等。相對于傳統(tǒng)的人工配置的方式，該架構可以極大地提高效率，節(jié)省成本，使垂直行業(yè)可以直接安全地部署業(yè)務，從而降低了業(yè)務門檻并縮短部署時間。

（3）安全能力開放，實現(xiàn)價值的共贏。

基于軟件定義的架構，垂直行業(yè)可以直接使用運營商開放的安全能力，降低了一些新型垂直行業(yè)的業(yè)務門檻和成本，縮短上市時間。通過安全能力開放，運營商可以盤活網(wǎng)絡資產(chǎn)和基礎設施，開創(chuàng)新的利益增長點;可以打破管道化運營和封閉網(wǎng)絡模式，以電信網(wǎng)絡為中心構建安全生態(tài)系統(tǒng);可以提升差異化競爭力，形成運營商、垂直行業(yè)、安全廠商、個人用戶的生態(tài)鏈，合作共贏共創(chuàng)商業(yè)價值。

4 結束語

5G安全需要針對更加多樣化的應用場景、差異化的網(wǎng)絡服務方式以及新型網(wǎng)絡架構，提供全方位的安全保障。目前，5G試商用化工作正在全面啟動，因此盡早明確5G網(wǎng)絡安全需求，建設符合5G安全需求和網(wǎng)絡特性的安全能力架構，是當前一項緊迫的重要工作。本文中我們基于軟件定義的理念，提出了全新的5G網(wǎng)絡安全能力架構，希望能為5G網(wǎng)絡安全建設提供有借鑒性的參考。

參考文獻

[1] 中國電信.中國電信5G技術白皮書[R].2018

[2] 3GPP.5GSecurity Architecture and Procedures for 5G System：3GPP TS 33.501 version 15.4.0 Release 15[S].2019

[3] 3GPP.System Architecture for the 5G System：3GPP TS 23.501 V16.0.2[S].2019

[4] Open Networking Foundation. Software Defined Networking：the New Norm for Networks[EB/OL].（2013-11-16）[2019-05-22].https：//www.techylib.com/en/view/shapecart/software-defined_networking_the_new_

norm_for_networks

[5] 華為.華為5G安全架構白皮書[R].2017

[6] ETSI.Network Functions Virtualization （NFV）Security and Trust Guidance： ETSI GR NFV-SEC 003 V1.2.1[S].2016