5G网络及安全能力开放技术研究

来源:用户上传      作者:

　　【摘  要】首先介绍了5G网络能力开放架构，分析了基于网络切片、多接入边缘计算（MEC）技术实现能力开放的原理，提出了5G安全能力开放的需求及架构，然后给出了5G网络及安全能力开放的接口安全实现方案，最后展望了5G安全增强技术的发展趋势。
　　【关键词】5G安全;能力开放;网络切片;边缘计算;安全增强
　　doi：10.3969/j.issn.1006-1010.2020.04.014      中图分类号：TN929.5
　　文献标志码：A      文章编号：1006-1010（2020）04-0065-04
　　引用格式：杨红梅，林美玉. 5G网络及安全能力开放技术研究[J]. 移动通信， 2020，44（4）： 65-68.
　　Research on Open Technologies of 5G Network and Security Capability
　　YANG Hongmei， LIN Meiyu
　　（China Academy of Information and Communications Technology， Beijing 100191， China）
　　[Abstract]
　　This paper introduces 5G network capability open architecture， analyzes the implementation principle of the capability openness based on network slicing and multi access edge computing （MEC） technologies， and proposes 5G security capability open requirement and architecture. Then， the implementation solution of interface security is given for 5G network and security capability openness. Finally， the development trend of 5G security enhancement is described.
　　[Key words] 5G security; capability openness; network slicing; MEC; security enhancement
　　0   引言
　　5G網络是实现万物互联的关键基础设施，其将在经济和社会的数字化转型中发挥重要作用。我国积极推动5G建设和发展，做出了加快5G商用步伐的战略部署，并于2019年6月正式发放了5G商用牌照。
　　5G时代提出了增强移动宽带（eMBB）、超高可靠低时延（URLLC）和海量机器类通信（mMTC）三大典型应用场景，这些应用对网络能力的需求差异化明显，为了更好地满足各行业的个性化需求，迫切需要将运营商的网络能力及安全能力开放给第三方应用。5G网络及安全能力开放带来诸多好处：一方面可以及时响应第三方业务需求，保障用户的业务体验，提供个性化的服务及安全保障;另一方面，也有利于第三方业务提供商开发业务时充分利用运营商的网络及业务能力，比如，身份认证、接入控制、业务策略、路由和流量控制、网络切片的生命周期管理、安全能力等;同时，还可以满足运营商一体化的5G网络能力开放产品研发、运营维护以及支撑体系发展的需求。
　　1   5G网络能力开放
　　5G网络能力开放指的是5G网络和第三方应用之间相互开放能力，5G网络开放给第三方应用的能力通常包括：网络/终端监控能力（网络拥塞状态、终端移动状态等）、基础服务能力（语音、短消息、计费、安全能力）、控制能力（鉴权和授权、接入控制、策略、QoS保障能力、网络切片生命周期管理能力、MEC能力）、网络信息能力（终端连接状态、终端位置信息、大数据分析信息等）。反之，第三方应用也可以向5G网络开放终端的能力、移动性信息、业务相关信息等，以便运营商根据业务需求对网络进行优化和管理。
　　5G网络架构下，能力开放与终端管理、流量管理、网络切片以及MEC技术相结合，使得运营商在网络规划和管理时兼顾第三方业务和安全需求成为可能，从而可以更好地为其提供服务，有利于形成更合理的商业合作模式，达到双赢的目的。
　　1.1  5G网络能力开放架构
　　5G网络能力开放涵盖外部开放和内部开放两大类，外部开放指的是通过能力开放平台对5G网络架构中的应用功能（AF）开放运营商的网络能力，能力开放平台主要负责内外部信息的传递和协议转换，根据AF的请求调用运营商的网络资源;内部开放指的是运营商内部网络功能（NF）之间相互开放信息，借助统一数据存储（UDR）实现不同NF之间相关信息的存储和访问。
　　图1中，NEF（网络能力开放功能）是运营商内部网络资源和外部AF应用之间的桥梁，主要负责能力开放相关的功能。NEF通过标准接口连接NF获取网络基础能力并安全地提供给AF，其主要的功能如下：身份验证和授权、API（应用程序接口）消费者的身份识别、档案管理、接入控制、策略增强、基础设施策略、业务策略、安全、路由和流量控制、协议转换及API到网络接口的映射等。NEF与网络的接口成为Nnef接口，该接口协议采用Diameter协议和HTTP Restful协议（JSON），主要负责群组信息传递、监控、高延迟通信、网络状态查询、后台数据传输资源管理、通信模式、非IP数据传输、背景流量、覆盖增强、网络参数配置等API调用功能。 　　5G网络开放的能力主要包括：网络基础能力（音视频通话能力、鉴权认证、授权等）、网络控制能力（流量策略、切片管理等）、数据服务及管理能力（主要包括终端信息、接入信息以及业务配置等）、安全防护管理能力（主要包括网络安全防护能力、信息安全及抗攻击等）。
　　1.2  5G网络切片能力开放
　　5G网络切片技术使得运营商可以将同一张物理网络切分成多个网络切片，为不同的应用场景提供专用服务。为了方便第三方应用更好地利用运营商的网络切片资源，5G网络支持向应用层开放网络切片管理能力，如切片的生命周期管理能力等。网络切片能力开放架构示意如图2所示。
　　每个切片中都可能存在NEF，同时，同一个切片也可能覆盖多个不同的区域，这些区域对应的控制面会部署单独的NEF，因实际部署中通常采用NEF级联的方式接入统一的能力开放平台。
　　图2中，能力开放平台与切片管理系统、多个切片子网的NEF、策略控制功能（PCF）进行互联，实现网络切片能力开放。开放的能力主要包括底层网络资源控制、切片的创建、管理、销毁等等。能力开放平台中的“切片管理能力”模块，通过API管理模块向第三方提供开放接口，可供被授权的第三方调用，其在接到第三方调用请求后，将应用的服务请求映射成网络切片需求，选择合适的子切片组件，映射为网络服务实例和配置要求，并将指令下达给网络中的“切片管理系统”，切片管理系统进一步完成子切片及其网络、计算、存储资源的部署。
　　1.3  5G边缘计算能力开放
　　多接入边缘计算本质上是在靠近用户的位置，在网络的边缘提供计算和数据处理能力，以提升网络数据处理效率。MEC平台可以向第三方应用开放网络能力，提高精准信息及资源控制能力，提供高价值智能服务能力。MEC平台开放的信息和能力主要包括：无线负载信息、网络拥塞和吞吐量信息、链路质量信息、本地分流能力、位置信息、QoS（服务质量）能力、计费能力以及短消息业务能力、QCI（QoS等级标识）及路由优化等。5G边缘计算能力开放架构示意如图3所示：
　　MEC系统通常由MEC主机、MEC系统虚拟化管理（边缘编排器（MEO）、虚拟化基础设施管理（VIM）、边缘计算平台管理（MEPM））、MEC运营管理等组成。其中，MEPM可以和主机一起部署在边缘，也可以和MEO以及MEC运营管理等系统级网元一起部署在相对集中的位置。
　　MEC主要实现业务流的本地转发、分流策略控制、本地流量计费和QoS保证等功能。MEC应用经由NEF与5G网络互联：一方面，NEF将UE和业务流相关的信息，例如UE的位置信息、无线链路质量、漫游状态等开放给MEC平台，MEC平台基于此对MEC应用进行优化;另一方面，MEC应用可以通过NEF将应用的相关信息，例如业务时长、业务周期、移动模式等共享给网络，网络据此进一步优化网络资源配置。
　　2   5G安全能力开放
　　为了帮助第三方应用提供商更好地构建业务安全能力，5G网络除了可以提供开放的业务能力之外，还可以提供开放的安全服务能力。具体应用场景包括：运营商向第三方应用提供安全服务，如接入认证、授权控制、网络防御等服务，或者第三方应用通过对被授权的切片进行管理从而实现对网络安全能力的配置与调整。典型的5G安全能力开放架构如图4所示：
　　图4中，5G网络基于计算资源和虚拟化能力，可以建立独立于设备和应用的安全资源，如特征匹配、深度检测、认证协议、密码算法、密钥协商以及数据加解密等。基于安全资源，可建立可信认证、数字身份、通道加密、数据保护、网络防御、运维管理等安全体系能力。行业应用可根据各自的安全需求（比如接入认证、授权控制、传输安全、网络放与、运维管理、切片安全等），通过能力开放平台，灵活使用运营商网络的安全能力和安全资源，实现订制化的安全防护。
　　3   5G能力开放接口安全
　　5G网络能力开放架构基于能力开放平台，通过开放的API将网络能力及安全能力开放给第三方应用。目前通常基于CAPIF（公共API接口功能）架构来实现，架构示意如图5所示。CAPIF架构主要由核心功能、API开放功能以及API调用功能组成。其中，核心功能是控制中枢，对API调用功能进行认证和授权并对API开放功能进行管理和配置;API调用功能在核心功能的控制下调用API开放功能提供的服务。通常，核心功能通常與API开放功能合设，由NEF实现，API调用功能由第三方行业应用实现。
　　为了保障能力开放接口的安全可靠，公共接口采用基于应用层的认证授权以及传输层的TLS安全通道，在行业应用和运营商网络之间安全可靠地传递能力开放信息，如UE监控能力、策略和计费能力、流量引导能力、数据能力、切片能力、外部输入能力等。
　　4   5G安全增强技术
　　5G安全技术增强路线与网络技术增强基本保持一致，3GPP 5G安全相关标准中，R15版本聚焦安全基础架构定义，重点解决eMBB场景的安全问题。R16版本基于R15安全基础架构，面向URLLC和mMTC场景进行安全优化，并在eLCS（增强的位置业务）安全、NPN（非公共网络）安全、MEC安全、IAB（无线接入和回传集成）安全、AKMA（5G物联网应用中认证和密钥协商）安全、伪基站防护、LTE用户面完整性保护、认证增强、256比特密码算法等方面进行安全增强。R17将进一步研究5G系统如何兼容GBA（通用认证机制）、SBA（基于服务的架构）的TLS（安全传输协议）证书认证、同一个PLMN（公共陆地移动网络）中的UPF（用户面功能）间接口的安全等增强技术。
　　5    结束语
　　基于5G网络及安全能力开放关键技术，可以将运营商网络的业务能力、网络能力以及安全能力安全可靠地开放给第三方应用，以便第三方业务提供商按照各自的需求设计定制化的业务应用。这将有利于垂直行业加速推出新型业务，也有利于运营商提升网络附加值，还有利于提升用户的业务体验，有利于建立新的5G商业模式和产业生态，从而推动5G网络与垂直行业深度融合，早日实现万物互联的美好愿景。
　　参考文献：
　　[1]    朱斌，符刚. 5G网络能力开放发展策略研究[J]. 邮电设计技术， 2018（9）： 1-5.
　　[2]    谢振华. 5G移动网络安全技术分析[J]. 邮电设计技术， 2019（4）： 49-52.
　　[3]     3GPP. 3GPP TS 23.501 V15.8.0： 5G系统架构[S]. 2019.
　　[4]    3GPP. 3GPP TS 33.501 V15.7.0： 5G系统安全架构和流程[S]. 2019.
　　[5]    3GPP. 3GPP TS 29.522 V15.5.0： 5G系统网络能力开放北向API接口[S]. 2019.★
　　作者简介
　　杨红梅（orcid.org/0000-0003-4216-9704）：高级工程师，硕士毕业于北京邮电大学，现任中国信息通信研究院安全研究所部门副主任，IMT-2020（5G）推进组安全工作组组长，中国通信标准化协会TC5 WG12副组长，长期从事移动通信核心网、网络安全技术研究的相关工作，多次获得中国通信标准化协会科学技术一等奖、三等奖，牵头完成多项国家重大专项。
　　林美玉：高级工程师，硕士毕业于信息产业部电信科学技术研究院，现任中国信息通信研究院安全研究所部门主任，中国通信标准化协会ST6组长，长期从事网络交换、网络与信息安全方面的研究工作，曾获得中国通信标准化协会科技进步奖一等奖、二等奖、三等奖，获中国通信学会二等奖、三等奖以及安全部科技进步奖二等奖等奖项。
转载注明来源:https://www.xzbu.com/8/view-15185453.htm