上一篇我們講了

　　5G面臨的威脅和端到端安全挑戰

　　今天，啟明星辰的專家們

　　從三個視角深度分析

　　如何解決5G端到端安全問題

　　共同徜徉5G安全的智慧海洋~

　　1   5G網絡側與產業側相融合的安全視角

　　討論5G安全需要從兩個維度入手。第一個維度是5G網絡側，也就是說保護5G平臺本身。第二個重要的維度是產業側，也就是說采取特定的安全方法和機制來保護那些5G所承載的垂直行業業務應用服務。

　　在這兩個維度之上建立起5G安全的整體和全局視角，然后根據定位的不同再聚焦自己所關注的安全問題，顯得更加有的放矢。具體內容如下圖所示：

　　5G自身安全和產業側安全相融合

　　整體和全局視角

　　5G安全不僅僅是技術問題，需要從人員、流程、技術和生態全面考慮。

　　威脅建模和風險評估

　　可以使用5G STRIDE-LM建模方法，構建5G的全用例威脅模型，并對5G網絡、系統、虛擬化和接入的行業應用等進行風險評估，為創建和維護真正具有彈性的安全基礎架構奠定基礎。

　　需要專項安全預算

　　5G安全對當前的安全技術和安全機制提出了新挑戰和新要求，需要重點關注網絡側和產業側相融合的安全問題，需求新的解決方法，對新技術加以研究學習和應用，同時獲得專項預算支持。

　　將安全性植入網絡

　　5G是一個開放的生態系統，具有更加開放的第三方系統、第三方垂直行業應用，當然也伴隨著更大更多的暴露面和入侵面，需要充分考慮5G的云化特點，在設計和開發階段導入安全需求，將安全性植入到網絡之中，實現“安全左移”。

　　跨層跨域的安全性

　　多層、多域和端到端（E2E）的進行安全設計和規劃，結合“View on 5G Architecture”從物理基礎設施、資源和功能層、網絡層、服務層和管理編排層多個層面考慮和設計安全性；同時，結合“5G網絡安全架構參考模型”從用戶域、接入域、網絡域、SBA域、應用域和管理域六個域考慮和設計安全性，二者相結合，實現真正的端到端全覆蓋的安全性設計。

　　多解決方案共生

　　虛擬化、云化、容器化、NFV、SDN作為5G的技術支撐，同時具有網絡能力開放等屬性和特點，因此需要保留多供應商環境，以更好地做好5G及其融合安全。

　　使用先進技術

　　從多個層面進行安全保護，需要使用諸如主動分析，ML，AI等先進技術。

　　共享情報和安全生態

　　為了主動檢測、防御、預測和響應安全威脅，必須在供應商、合作伙伴和客戶之間共享與安全相關的情報，構建安全生態。

　　智能化安全運維和可視化安全運營

　　由于5G的多接入技術、多認證機制、異構應用和云化等特點，集中控制、自動化的智能安全措施和自適應安全操作以及安全能力可視化就顯得尤為必須和重要。

　　2  軟件定義5G安全（SDS）和網絡安全能力服務化視角

　　這里簡介看待5G安全的另一個視角，也就是軟件定義安全和安全能力服務化視角。這個視角的主要特點表現為如下所列的“四化”安全能力。

　　1）安全能力定制化（Customized）：安全能力可編程、可軟件定義，具備開放性和敏捷性特點。

　　2）安全功能模塊化（Modularized）：安全功能原子化、模塊化，能夠按需組合，更好地適配5G垂直行業的業務特點和安全訴求。

　　3）基礎架構虛擬化（Virtualized）：根據3GPP、ITU等標準化組織的設計，在第二階段和第三階段中，5G網絡的虛擬化、云化、軟件化和可編程編排的應用會越來越多，NFV和SDX成為常態。與之相適配的安全能力也需要采用虛擬化架構，邏輯單元能夠動態配置，安全能力可編排，使安全能力對云更加適應與友好。

　　4）安全管理集中化（Centralized）：集中管理、協調和編排安全能力，安全能力可調度、可編排、可軟件定義。

　　具體內容如下圖所示：

　　5G安全能力服務化和軟件定義安全SDS

　　云化：虛擬化安全技術保護邊緣云和核心云，云化網絡基礎設施和虛擬網元安全。

　　組件化：安全需求的多樣化和定制化要求安全能力快速建立和修改，安全部件分布式部署。

　　可編排化：安全防策略自動化配置和服務鏈編排，實現智能主動防御。

　　身份化：多角色、可擴展的身份管理，基于統一身份認證框架的跨區域認證與訪問控制，這里會依據業務應用場景的需要可以采用多因素認證MFA，輕量級認證算法等機制。

　　集成化：組件在基礎架構內的自適應、與信息系統的聚合，提升協同能力。

　　場景化：面向不同垂直行業的業務模式，支持差異化應用場景。

　　3　分層跨域端到端E2E主動安全視角

　　看待5G安全的第三個視角是端到端的主動安全。需要考慮5G端到端的整體架構以確保5G網絡的安全性。端到端（E2E）的5G網絡架構由下一代無線接入網絡（NG-RAN或CloudRAN）、多接入邊緣計算（MEC），核心網絡（Core）、數據網絡（DN）和云服務組成。如前面所述，網絡切片（NS）、網絡功能虛擬化（NFV）、NFV管理和編排（MANO）和軟件定義網絡（SDN）是實現5G網絡架構的重要技術。具體內容如下圖所示：

　　5G分層分域和端到端的主動安全

　　分層分域端到端的安全的設計關鍵是基于5G網絡架構和安全參考模型，覆蓋如下幾個方面的內容：

　　1）物理基礎設施安全。

　　2）接入和傳輸網安全。主要包括用戶和設備（UE）安全、空口安全、接入和傳輸安全等。

　　3）邊緣云安全MEC安全。UPF下沉、MEC系統平臺安全、邊云協同安全、UPF和MEC的集成和分離安全性等。

　　4）核心網絡安全。SBA安全性、漫游安全性、異構運營商5G網絡邊界安全性等。

　　5）端到端網絡切片安全。切片內、切片間的安全隔離，切片管理器的安全性，切片實例選擇安全性、切片管理接口安全性、跨切片的UE數據安全性、切片與其承載物理基礎設施間的認證與信任機制等。

　　6）SDN、NFV、云和虛擬化的安全性。

　　7）數據安全和隱私保護。數據生命周期安全，包括5G數據采集、存儲、傳輸、共享交換、使用和銷毀的安全性，構建數據資產圖譜和數據安全能力地圖并防止敏感信息泄露。

　　8）安全運維、管理和編排。打通南向接口和北向接口，將安全能力“解構解耦”，按需通過軟件定義將安全能力“結構”，可基于服務鏈編排。5G網絡需要利用全面的端到端安全策略，該策略應覆蓋網絡的所有層，包括應用程序，信令和數據平面。

　　9）接口安全。

　　10）統一認證框架。根據所承載和服務行業的安全認證需求，可以基于統一認證框架，采用二次認證或分布式認證相結合，采用輕量級認證機制和算法，更好地適配接入業務的屬性特點，發揮5G的優勢。

　　展望和后續工作

　　本文重點從三個視角來探討如何解決5G端到端的安全問題，因為端到端的架構需要端到端的安全與之相適配。5G安全問題的三個視角側重于威脅和評估基礎上的整體和體系化地解決問題，這次僅給出了思路和概要，尚不能構成完整的解決方案。

　　從整體視角看待5G端到端的安全，并不意味著反對從某個具體場景或具體應用的角度給出單一解決方法。因此，準備從三個方面展開后續工作，一是根據具體需要選擇其中一個視角，給出完整和詳細的解決方案；二是根據具體需要，形成技術專題解決方案，比如5G網絡切片安全解決方案等；三是聚焦5G專網（如園區網）場景，結合實驗，形成5G園區網專網安全解決方案或報告。