1 概述

1.1 5G網絡安全概述

2010 年國際電聯定義了5G 的三大應用場景：eMBB、mMTC、uRLLC。2019 年部署商用的為5G 的第1 個版本，主要滿足eMBB 的需求，隨著2020 年5G 網絡的推進，滿足SA 能力的5G 網絡蓄勢待發(fā)。SA 的強大能力，帶來了越來越多的垂直行業(yè)的支撐能力，5G網絡在醫(yī)療、教育、港口、工業(yè)園區(qū)、銀行、電廠、鋼廠、礦山等行業(yè)得到了示范性的應用，隨著越來越多的行業(yè)對5G網絡的應用，面向安全的訴求也隨之而來。

5G 安全既包括由終端和網絡組成的5G 網絡本身通信安全，也包括5G 網絡承載的上層應用安全?！?G 系統安全架構和流程》（3GPP TS 33.501）中規(guī)定：在安全分層方面，5G 與4G 完全一樣，分為傳送層、歸屬層/服務層和應用層，各層間相互隔離；在安全分域方面，5G 安全框架分為接入域安全、網絡域安全、用戶域安全、應用域安全、服務域安全、安全可視化和配置安全等6個域。

1.2 企業(yè)ToB網絡安全需求分析

隨著5G 深入千行百業(yè)，5G 與垂直行業(yè)深度融合，行業(yè)應用服務提供商與網絡運營商、設備供應商一起形成了新的網絡格局，網絡從網與人拓展到網與物、網與系統（人和物協同的群體），網絡安全呈現出2 個方向：一是5G 網絡安全、應用安全、終端安全問題相互交織，互相影響，行業(yè)應用服務提供商由于直接面對用戶提供服務，在確保應用安全和終端安全方面承擔主體責任，需要與網絡運營商明確安全責任邊界，強化協同配合，從整體上解決安全問題，移動通信網絡從傳統的IT 封閉性引入了開放性，對于網絡的開放，對于接入外部網絡接入點的安全管控是需要在網絡部署時務必考慮的工作內容；二是不同垂直行業(yè)應用存在較大差別，安全訴求存在差異，安全能力水平不一，難以采用單一化、通用化的安全解決方案來確保各垂直行業(yè)安全應用。企業(yè)對數據接入安全管控需求包含區(qū)域類數據安全（如整體園區(qū)數據本地化、區(qū)域的接入用戶安全管控問題，園區(qū)/非園區(qū)用戶的識別）和特殊區(qū)域的接入保密問題（如核心生產區(qū)域各類別的UE 接入的管控、控制面安全問題等）。本文重點分析不同垂直行業(yè)在接入網數據及管控在安全方面的需求及解決策略方案（見表1）。

表1 企業(yè)5G接入網絡安全需求

2 5G網絡部署架構與接入安全分析

2.1 5G網絡部署架構

5G 網絡采用SBA 架構，SBA 架構適用于5G 核心網信令面，傳統網元間點對點雙向接口被單向服務接口取代，一個網元提供的服務理論上可以被任何其他網元（甚至非網元）調用。信令面管控由SBA 架構實施；5G 網絡的數據面5G 核心網的會話管理功能主要由SMF（Service Management Function）負責，主要和AMF、PCF、UDM、CHF 以及終端、基站進行信令交互，并和UPF（User Plane Function）共同完成用戶面管理和執(zhí)行的功能。圖1給出了5G網絡架構示意圖。

服務化接口包括N11、N7、N10 和N40。N11 負責基本會話管理、位置訂閱等；N7 負責會話級的策略管理；N10 負責5G 新增的連接關系、會話級的用戶數據管理；N40負責會話級的計費信息傳遞。

圖1 5G網絡架構圖

非服務化接口包括N4、N1、N2 和N3。N4 負責和UPF交互，采用PFCP協議，傳遞會話的策略、流量等相關信息；N1 負責和終端交互，傳遞5G 會話相關的NAS消息，通過N11 接口透傳；N2 負責和基站交互，傳遞5G會話相關的NG-AP消息，通過N11接口透傳；N3負責和基站交互，采用GTP-U協議，傳遞數據。

5G 核心網中SMF 對應4G 核心網的MME 會話管理相關功能和SGW-C、PGW-C 的功能，除支持IPv4、IPv6和IPv4v6會話類型外，還可支持非IP類型（Ethernet和Unstructured）的PDU 會話，用戶注冊時可不建立PDU 會話，只有業(yè)務開始時才建立，PDU 會話屬性在生命周期內均不能改變。

眾所周知，5G 引入了3 種業(yè)務分流方式：上行分流（Uplink Classifier）、多歸屬（Multi-homing）和本地數據網絡（LADN）。

a）Uplink Classifier 的分流方式通過為目的地址不同的業(yè)務流選擇不同的UPF，以實現就近接入，卸載本地流量。此功能支持單IP，UE 對分流無感知，SMF根據需要插入或刪除ULCL 的UPF，ULCL 的UPF 解析上行數據包的5 元組，根據SMF 提供的上行分流規(guī)則向不同的PDU 會話錨點UPF 轉發(fā)上行業(yè)務流，并將來自鏈路上的不同PDU 會話錨點UPF 的下行業(yè)務流合并到UE，一個PDU 會話可以有多個ULCL，但是只有1個ULCL可以通過N3接口連接AN（接入網）。

b）Multi-homing 的分流方式主要為單PDU 會話中不同IPv6 地址前綴的業(yè)務選擇不同的UPF。僅支持IPv6，UE有感知（涉及到UE能力，需要UE支持），在上行包中攜帶不同的IPv6 前綴，SMF 根據需要插入或刪除分流點UPF（BP UPF——Branching Point UPF）。BP UPF 將不同IPv6 前綴的上行業(yè)務流轉發(fā)至不同的PDU 會話錨點UPF，并將來自鏈路上的不同PDU 會話錨點UPF的下行業(yè)務合并到UE。

c）LADN的分流方式主要針對訪問固定的本地數據網絡的業(yè)務，為其選擇就近的UPF 以卸載流量。LADN 的業(yè)務區(qū)是TA 的集合，LADN 的信息（如LADN業(yè)務區(qū)、LADN DNN）配置在AMF 上，SMF 配置DNN是否為LADN DNN，UE 需支持配置DNN 是否為LADN DNN。

從5G的架構和基本功能上可以看出，在用戶接入和用戶面的數據管理上，5G網絡對業(yè)務的安全存在多種靈活的方式。

2.2 從傳統移動通信網角度分析接入安全

2.2.1 PLMN

PLMN 是由政府或其所批準的經營者為公眾提供陸地移動通信業(yè)務而建立和經營的網絡。該網絡必須與公眾交換電話網（PSTN）互連，形成整個地區(qū)或國家規(guī)模的通信網。PLMN=MCC+MNC，例如中國移動的PLMN 為46000，中國聯通的PLMN 為46001。對于一個特定的終端來說，通常需要維護幾種不同類型的PLMN 列表，每個列表中會有多個PLMN。不同類型的PLMN 的優(yōu)先級不同，終端在進行PLMN 選擇時將按照以下順序：RPLMN、EPLMN、HPLMN、EHPLMN、UPLMN、OPLMN，其他的PLMN。一般來講，UE 開機，進行全頻段掃頻，解調PSS/SSS，接收MIB/SIB，在SIB消息中可以獲知當前小區(qū)的PLMN，然后與SIM 卡中的PLMN 做匹配。一致則駐留，不一致則進行新一輪的掃描，直到一致為止。理論上可以對限制接入的小區(qū)配置專用的PLMN，普通的UE 就無法接入，從而實現用戶的接入安全限制，但實際上PLMN數量有限，無法進行全面宏觀地針對全行業(yè)分類，在現階段的實踐中不能落地。

2.2.2 CELL BAR

無線接入控制是一種針對話務擁塞的處理機制。通過限制移動設備向基站的連接請求，保護和保證緊急呼叫等關鍵通信的成功接入。

在5G（NR）中MIB 消息中包含“小區(qū)禁止”和IE cellBarred 小區(qū)限制信息，這些信息通過“禁止”或“不禁止”值廣播。這個標識允許終端提早檢測狀態(tài)，而不需要接收和解碼SIB1。如果一個小區(qū)被禁止，那么UE就不允許選擇或重選該小區(qū)。小區(qū)頻率限制：如果MIB表示某個小區(qū)被禁止，那么UE還將檢查同樣包含在MIB 中的（同頻重選）intraFreqReselection 標志。如果此標志設置為“notAllowed”，則不允許重選到同頻的另一個小區(qū)。否則，如果此標志設置為“允許”，則允許UE 進行同頻（小區(qū)）重選。5G（NR）SIB1 中有一個“保留給操作員使用”的字段取值為“保留”或“不保留”。如果一個小區(qū)被”保留”，那么一個接入等級為11（PLMN Use）或接入等級15（PLMN Staff）的用戶可以在該小區(qū)接入和重選，該類用戶一般位于HPLMN或EPLMN 的小區(qū)內或相同小區(qū)內。如果一個小區(qū)被“保留”，那么接入等級為0、1、2、12、13 或14 的UE 將該小區(qū)視為“禁止”，不允許接入或重選。

在無線側，CELL BAR 功能可以做一定的接入限制，主要是禁止小區(qū)選擇和重選接入UE，但是UE可以從別的小區(qū)切換過來。CELL BAR 暫無法實現特定用戶的接入限制。

2.2.3 TAC

跟蹤區(qū)（TA）被定義為UE 不需要更新服務的自由移動區(qū)域。TA 功能為實現對UE 位置的管理，可分為尋呼管理和位置更新管理。UE 通過跟蹤區(qū)注冊告知核心網自己的跟蹤區(qū)TA，當UE處于空閑狀態(tài)時，核心網絡能夠知道UE 所在的跟蹤區(qū)，同時當處于空閑狀態(tài)的UE 需要被尋呼時，必須在UE 所注冊的跟蹤區(qū)的所有小區(qū)進行尋呼。TA是小區(qū)級的配置，多個小區(qū)可以配置相同的TA，且一個小區(qū)只能屬于一個TA。針對不同區(qū)域可以設置不同的TAC，在核心網側做接入限制（核心網側白名單設置，可在MME、AMF上做白名單設置），實現不同區(qū)域的用戶接入限制。也可以使用切片ID（NSSAI）+TAC 做區(qū)域白名單限制，管控區(qū)域內的用戶接入。

3 基于R16的NPN網絡接入安全能力分析

3GPP 將5G 專網分為3 類，分別是非公共網絡（NPN——Non-Public Network）、5GLAN 和時間敏感網絡（TSN），本文主要針對NPN網絡進行分析和闡述。

NPN 是區(qū)別于電信運營商公網，為特定用戶/組織提供服務的網絡，在3GPP TS 23.501的定義中，非公共網絡有以下2種類型。

a）獨立組網的NPN 網絡（SNPN——Stand-alone NPN），即獨立專網，該網絡不依賴于公網（PLMN 網絡），由SNPN 運營商運營（非運營商的網絡，例如政府專網、企業(yè)專網）。

b）非獨立組網的NPN 網絡（PNI-NPN——Public network integrated NPN），集成于公網的專網，該網絡依賴于公網（比如5G網絡），由傳統運營商運營。

對于PNI-NPN，如果只使用3GPP R15 中定義的網絡切片，則無法進行訪問控制，需要啟用受限訪問組（CAG——Closed Access Group）去阻止未授權終端接入。

不論是SNPN 還是PNI-NPN，NPN 都可以實現端到端的資源隔離，為垂直行業(yè)或特定群體用戶提供專屬接入，限制非授權終端接入專屬基站或頻段，保障客戶通信資源獨享。

5G NPN 是利用5G技術構建的獨立于服務大眾的PLMN 網絡的專網。5G NPN 支持2 種部署模式，即NPN 獨立部署（實現上不依賴于PLMN 的任何網絡功能）和公網集成部署（依賴于公網的實現）。

3.1 PNI-NPN網絡接入流程分析

首先，可以由PLMN ID 和CAG ID 來確定一個CAG，用戶和CAG 的關系與簽約類似，啟用了CAG 的小區(qū)只允許簽約用戶接入。用戶在簽約CAG 時會在訂閱信息中配置2 個信息，一個是該用戶支持的CAG列表（Allowed CAG list），該列表存儲當前用戶所能接入的全部CAG 小區(qū)的ID，另一個是該用戶是否只能通過CAG 小區(qū)接入網絡的標識（CAG-only indication），配置了該標識的用戶只能通過CAG小區(qū)接入網絡。

初始接入和小區(qū)重選過程中，NG-RAN node 需要廣播自身支持的CAG ID 和相應的PLMN ID 信息（每個NG-RAN node 最多廣播12 個CAG ID），未配置CAG-only indication 的CAG 用戶可以根據自己的Allowed CAG list 選擇可接入的CAG 小區(qū)，也可以選擇訂閱的公共PLMN 小區(qū)接入網絡。配置了CAG-only indication 的CAG 用戶只能根據自己的Allowed CAG list選擇可接入的CAG 小區(qū)接入網絡。核心網可以根據用戶的訂閱信息對用戶的身份進行鑒權。

由于PNI-NPN 依賴于PLMN 的網絡功能，因此對于未配置CAG-only indication 的用戶應支持PNI-NPN和PLMN 網絡間的切換。其中從CAG 小區(qū)到PLMN 小區(qū)的切換需要基站或者核心網確認用戶是否配置了CAG-only indication。從PLMN 小區(qū)到CAG 小區(qū)的切換需要基站或者核心網判斷目標基站的CAG ID 是否在用戶的Allowed CAG list中。

未配置在相應Allowed CAG list 中的用戶無法進行網絡訪問。

PNI-NPN 依賴于PLMN，結合CAG ID 實現對PLMN 的拓展，可以實現不同用戶訪問的隔離，但應對CAG的劃分做充分的分析。

3.2 SNPN網絡接入流程分析

獨立部署的NPN，用PLMN ID 和NID（Network identifier）的組合標識，PLMN 運營商可以重用其PLMN ID，同時使用NID 區(qū)分各個專網，或者使用為專網預留的PLMN ID。SNPN 的RAN 將廣播PLMN+NPN ID。SNPN 的UE 用SUPI 標識，如果UE 設置為SNPN接入模式，則該UE只能通過Uu接口接入并注冊到SNPN。UE 初始注冊時，會帶上PLMN ID 和NID，NG-RAN 將這些信息帶給AMF。用戶在NPN 中的簽約信息包括了統一接入控制（UAC——Unified Access Control）信息，在網絡擁塞時，SNPN可以阻止UE接入。

已在SNPN 注冊的UE 可以通過SNPN 接入PLMN的非3GPP 互通功能（N3IWF——Non-3GPP Interworking Function），從而訪問PLMN 的服務。這時，UE 需要同時向PLMN 注冊。SNPN 對于PLMN 來說，相當于非可信non-3GPP 接入的角色。對于網絡觸發(fā)的QoS 保障請求，SNPN 根據SLA 合約從NWu 接口的DSCP（Differentiated Services Code Point）字段中映射SNPN 所要求的QCI并予以執(zhí)行，同時使用NWu接口的N3IWF IP地址和DSCP 字段標識設置其包檢測過濾器。對于UE 請求的QoS，UE 使用與SNPN 同樣的5QI（non-3GPP 接入請求IPSEC SA 的5QI）。此種接入方式，類似于網絡下發(fā)私有的PLMN 廣播，普通公網用戶無法接入網絡。

4 網絡接入安全部署策略分析

面向企業(yè)角度的數據和用戶安全需求，通過對5種網絡接入安全管理技術分析，從實現效果、成本及部署場景上做如表2和表3所示的策略總結。

現階段，整體上針對有數據本地安全訴求的需求建議部署下沉式的本地UPF，針對用戶接入安全管控，建議初期采用成本較低的切片+TAC 的方式，即NSSAI-ID+TAC，同時結合核心網的白名單進行網絡接入的整體控制，而面向更加嚴格的數據管控要求，在未來可以考慮NPN 網絡的部署，實現高度定制化的能力來實現用戶的接入管控。

5 總結展望

5G 在各類垂直行業(yè)中的融合應用將會越來越豐富，其特點與垂直領域高度相關，安全風險也呈現持續(xù)動態(tài)變化的特點，5G 網絡通過靈活的設計和安全方面的增強，對垂直行業(yè)的安全需求有一定的支撐能力，隨著3GPP R16 的新技術陸續(xù)在現網部署，可以進一步地滿足企業(yè)對安全管控的訴求，本文分析了企業(yè)視角下的安全需求，并對現有的網絡技術以及3GPP R16中的NPN網絡等新技術的接入安全滿足情況進行了分析，5G 網絡必須結合垂直行業(yè)各自特點和訴求，充分考慮需求的不同后，進行網絡組網架構及技術的選擇。

表2 企業(yè)5G接入網絡管控部署策略

表3 企業(yè)5G接入網數據安全部署策略