傳統網(wǎng)絡(luò )通常是一種架構滿(mǎn)足所有業(yè)務(wù)需求，而5G時(shí)代，利用網(wǎng)絡(luò )切片技術(shù)，可以做到為每種有特定需求的業(yè)務(wù)量身定做專(zhuān)用虛擬網(wǎng)絡(luò )（切片），其中特定需求包括功能需求（如優(yōu)先級、計費、策略控制、安全、移動(dòng)性等）、性能需求（如時(shí)延、移動(dòng)性、可靠性、速率等）、服務(wù)對象（如所有用戶(hù)、漫游用戶(hù)、虛擬運營(yíng)商等）等。因此，網(wǎng)絡(luò )切片技術(shù)將從根本上改變傳統的移動(dòng)通信網(wǎng)絡(luò )架構、網(wǎng)絡(luò )規劃及部署模式，同時(shí)也給運營(yíng)商開(kāi)拓商業(yè)模式帶來(lái)新的契機，如給垂直行業(yè)提供網(wǎng)絡(luò )切片服務(wù)，使其可在給定的權限范圍內控制運營(yíng)商的網(wǎng)絡(luò )切片，實(shí)現定制化服務(wù)。

2.2 網(wǎng)絡(luò )切片實(shí)現方案

一個(gè)UE（用戶(hù)設備）通過(guò)5G接入網(wǎng)可以同時(shí)連接到一個(gè)或多個(gè)網(wǎng)絡(luò )切片（最多8個(gè)）。服務(wù)于UE的AMF（接入管理功能）在邏輯上屬于為UE服務(wù)的每個(gè)網(wǎng)絡(luò )切片，即該AMF對于服務(wù)于UE的網(wǎng)絡(luò )切片來(lái)說(shuō)屬于共享網(wǎng)絡(luò )功能。同時(shí)，由于切片隔離，AMF可能只為部分切片服務(wù)，因此終端發(fā)起注冊請求時(shí)，接入網(wǎng)需要先進(jìn)行初始AMF選擇，然后AMF進(jìn)一步進(jìn)行切片選擇，某些場(chǎng)景下可能會(huì )觸發(fā)AMF的重選流程來(lái)適配終端希望連接的切片。注冊完成后，AMF會(huì )通知UE其可以接入的切片信息。當AMF接收到來(lái)自UE的PDU會(huì )話(huà)建立請求消息時(shí)，該AMF會(huì )進(jìn)一步發(fā)起網(wǎng)絡(luò )切片中的SMF發(fā)現和選擇過(guò)程。

3 5G網(wǎng)絡(luò )切片應用場(chǎng)景及安全需求

5G網(wǎng)絡(luò )切片應用場(chǎng)景主要包括eMBB（增強移動(dòng)寬帶）、uRLLC（超可靠低時(shí)延通信）和mMTC（海量機器類(lèi)通信）。

3.1 eMBB應用場(chǎng)景及安全需求

eMBB典型應用場(chǎng)景主要包括高清視頻、AR/VR、海量實(shí)時(shí)數據交互等移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)，以及視頻監控、移動(dòng)醫療等物聯(lián)網(wǎng)業(yè)務(wù)，5G時(shí)代，人們希望在體育賽事、演唱會(huì )等人員超密集場(chǎng)景下以及在高鐵上等高速移動(dòng)環(huán)境下也能獲得連續的優(yōu)質(zhì)業(yè)務(wù)體驗。這些業(yè)務(wù)對5G網(wǎng)絡(luò )的流量、傳輸速率都提出了很高的要求，包括高用戶(hù)體驗速率、高用戶(hù)峰值速率、高清視頻流的流暢播放、高速移動(dòng)時(shí)大流量密度、高用戶(hù)密度場(chǎng)景下的高數據速率、業(yè)務(wù)連續性、根據用戶(hù)數自動(dòng)擴縮容、優(yōu)化用戶(hù)面數據傳輸路徑等。

eMBB應用場(chǎng)景的大流量、高速率對現有網(wǎng)絡(luò )安全防護手段提出了挑戰：大流量、高速率帶來(lái)網(wǎng)絡(luò )邊緣數據流量的大幅提升，現有網(wǎng)絡(luò )中部署的防火墻、入侵檢測系統、數據及信息保護系統等安全設備在流量檢測、鏈路覆蓋、數據存儲、計算與處理能力等方面將面臨較大挑戰。因此，需要對安全防護技術(shù)和設備進(jìn)行演進(jìn)和升級，如在現有防護手段中引入虛擬化、服務(wù)化技術(shù)等，以適應和應對大流量、高速率帶來(lái)的沖擊。

3.2 uRLLC應用場(chǎng)景及安全需求

uRLLC典型應用場(chǎng)景主要包括工業(yè)控制、遠程醫療、自動(dòng)駕駛、智能電網(wǎng)以及公共安全等。這些業(yè)務(wù)對端到端時(shí)延、安全性和可靠性提出了很高的要求，包括毫秒級時(shí)延、高可靠性、低丟包率、低抖動(dòng)、多樣性安全機制以及業(yè)務(wù)隔離等。

uRLLC應用場(chǎng)景的低時(shí)延需求造成復雜的安全機制部署受限。安全機制的部署，例如接入認證、數據傳輸安全保護、終端移動(dòng)過(guò)程中切換、數據加解密等均會(huì )增加時(shí)延，過(guò)于復雜的安全機制不能滿(mǎn)足低時(shí)延業(yè)務(wù)的要求。另外，uRLLC應用場(chǎng)景通常需要借助部署多接入邊緣計算（MEC）系統來(lái)實(shí)現超可靠、低時(shí)延指標，而MEC的部署特點(diǎn)是將邊緣計算節點(diǎn)下沉到核心網(wǎng)邊緣，邊緣環(huán)境受到物理攻擊的可能性增大。因此，需要建立面向低時(shí)延需求的安全機制，優(yōu)化業(yè)務(wù)接入認證、數據加解密等環(huán)節帶來(lái)的時(shí)延；同時(shí)，對邊緣計算設施予以物理保護和網(wǎng)絡(luò )防護，充分利用已有的安全技術(shù)進(jìn)行平臺加固并增強邊緣設施自身的防盜防破壞措施，盡力提升低時(shí)延條件下安全防護能力。

3.3 mMTC應用場(chǎng)景及安全需求

mMTC典型應用場(chǎng)景主要包括智能家居、智慧城市、環(huán)境監測、智慧農業(yè)、智能抄表和智能穿戴等物聯(lián)網(wǎng)業(yè)務(wù)。這些應用覆蓋領(lǐng)域廣，接入設備數量巨大，應用地域和設備供應商標準分散，業(yè)務(wù)種類(lèi)多，業(yè)務(wù)在低功耗、大連接方面有突出需求，包括高密度的海量設備連接、多樣化連接模式、高效的輕量級通信、低頻率數據傳輸下的高資源使用率、輕量級的設備配置和管理、低能耗、通信安全性、在線(xiàn)和離線(xiàn)計費等。

mMTC應用場(chǎng)景的海量多樣化終端易被攻擊利用，對網(wǎng)絡(luò )運行安全造成威脅。預計到2025年全球物聯(lián)網(wǎng)設備聯(lián)網(wǎng)數量將達到252億，其中大量功耗低、計算和存儲資源有限的終端難以部署復雜的安全策略，一旦被攻擊利用形成設備僵尸網(wǎng)絡(luò )，將會(huì )成為攻擊源，進(jìn)而引發(fā)對用戶(hù)應用和后臺系統等的網(wǎng)絡(luò )攻擊，帶來(lái)網(wǎng)絡(luò )中斷、系統癱瘓等安全風(fēng)險。因此，需要構建基于海量機器類(lèi)通信場(chǎng)景的安全模型，優(yōu)化終端設備接入安全機制，建立智能動(dòng)態(tài)防御體系應對網(wǎng)絡(luò )攻擊，防止網(wǎng)絡(luò )安全威脅橫向擴散。

4 5G網(wǎng)絡(luò )切片安全分析

4.1 網(wǎng)絡(luò )切片的安全需求

5G網(wǎng)絡(luò )除了需要支持移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景之外，還需要支持工業(yè)互聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)以及物聯(lián)網(wǎng)為典型代表的垂直行業(yè)應用場(chǎng)景，因此傳統的安全防護機制將難以滿(mǎn)足5G時(shí)代新的安全需求。5G網(wǎng)絡(luò )切片是在統一的基礎設施上，為不同用戶(hù)按需提供專(zhuān)用服務(wù)，不同專(zhuān)用服務(wù)對安全的需求也不盡相同。因此，網(wǎng)絡(luò )切片為不同業(yè)務(wù)提供定制化服務(wù)的同時(shí)，也需要提供量身定做的安全防護能力。

網(wǎng)絡(luò )切片需要滿(mǎn)足的安全需求主要包括授權用戶(hù)才能接入網(wǎng)絡(luò )切片、保證網(wǎng)絡(luò )切片中重要網(wǎng)元的安全、保障網(wǎng)絡(luò )切片敏感信息的存儲及傳輸安全、網(wǎng)絡(luò )切片之間的安全隔離等。

4.2 網(wǎng)絡(luò )切片面臨的安全風(fēng)險及應對

不同的網(wǎng)絡(luò )切片承載不同的5G業(yè)務(wù)，但網(wǎng)絡(luò )切片共享網(wǎng)絡(luò )基礎設施，因此對切片的安全隔離能力帶來(lái)挑戰；若網(wǎng)絡(luò )切片的認證和授權能力不足，則可能造成敏感信息和/或隱私信息泄漏，并且被攻擊者所利用；另外，在5G新業(yè)務(wù)場(chǎng)景下，運營(yíng)商可能會(huì )以網(wǎng)絡(luò )切片的模式向第三方企業(yè)、用戶(hù)提供網(wǎng)絡(luò )服務(wù)，對于此種服務(wù)中涉及的運營(yíng)商、虛擬運營(yíng)商、用戶(hù)等不同層和不同域的安全責任主體劃分問(wèn)題面臨挑戰。下面具體介紹幾種典型的安全風(fēng)險。

（1）網(wǎng)絡(luò )切片安全隔離風(fēng)險

如果網(wǎng)絡(luò )切片之間的隔離出現問(wèn)題，則攻擊者將可能借助某一個(gè)切片訪(fǎng)問(wèn)其他切片，然后利用該訪(fǎng)問(wèn)發(fā)起攻擊。例如，一個(gè)切片的擴縮容操作可能消耗其他切片的資源，導致資源不足，不能支持其他服務(wù)；攻擊者可以通過(guò)非法訪(fǎng)問(wèn)其他切片中的功能或通過(guò)隱蔽通道攻擊來(lái)竊取數據等。因此，每個(gè)切片都應該具有獨立的安全策略，不同的網(wǎng)絡(luò )切片的資源不應相互影響，當單個(gè)UE通過(guò)多個(gè)網(wǎng)絡(luò )切片訪(fǎng)問(wèn)服務(wù)時(shí)，應該可以將切片彼此隔離，以盡量減少對數據機密性和完整性的攻擊。

（2）網(wǎng)絡(luò )切片安全機制差異化

網(wǎng)絡(luò )切片對不同應用提供按需的安全能力，意味著(zhù)每個(gè)切片需要配置特定于服務(wù)的安全機制（包括策略、協(xié)議和功能等），如果網(wǎng)絡(luò )切片安全級別水平不夠，訪(fǎng)問(wèn)和會(huì )話(huà)將面臨安全風(fēng)險。因此，不同的網(wǎng)絡(luò )切片應支持不同的安全機制，包括在認證方法、憑證類(lèi)型、用戶(hù)存儲庫、控制策略和安全策略等方面，其中安全策略可能包括隔離策略、加密算法、完整性保護算法、密鑰長(cháng)度以及密鑰到期策略等。

（3）UE的接入安全

UE可以同時(shí)訪(fǎng)問(wèn)多個(gè)網(wǎng)絡(luò )切片，可以通過(guò)不同方式接入網(wǎng)絡(luò )，比如3GPP和非3GPP等；另外，在物聯(lián)網(wǎng)場(chǎng)景下，傳感器和可穿戴設備的連接設備（UE）的類(lèi)型和數量巨大，因此確保將合適的網(wǎng)絡(luò )切片正確分配給相應的簽約用戶(hù)至關(guān)重要，否則將面臨在網(wǎng)絡(luò )切片選擇過(guò)程中用戶(hù)隱私信息泄漏風(fēng)險。因此，需要提高交互消息的完整性和機密性保護能力。

（4）能力開(kāi)放接口安全

5G網(wǎng)絡(luò )通過(guò)網(wǎng)絡(luò )能力開(kāi)放接口為授權的第三方提供創(chuàng )建和管理網(wǎng)絡(luò )切片配置的能力，未授權的第三方可能利用這些接口來(lái)發(fā)起攻擊，如非法訪(fǎng)問(wèn)其他應用的API（應用程序接口）、訪(fǎng)問(wèn)和篡改網(wǎng)絡(luò )核心數據等?？赏ㄟ^(guò)基于公共接口功能的能力開(kāi)放架構（CAPIF架構）來(lái)應對風(fēng)險，CAPIF架構對能力開(kāi)放進(jìn)行認證和授權并采用TLS（傳輸層）機制，保護傳輸信息的安全性。

（5）切片間通信安全

網(wǎng)絡(luò )切片之間的接口面臨安全風(fēng)險。如果切片間通信不受保護，網(wǎng)絡(luò )切片的功能可能受到阻礙。攻擊切片間接口的控制面可以劫持一個(gè)或多個(gè)UE的通信，可以破壞整個(gè)網(wǎng)絡(luò )切片的功能或惡意操縱切片的行為方式，因此如果接口不受保護，則可能會(huì )對服務(wù)造成嚴重影響；另外，攻擊用戶(hù)面可以破壞或惡意轉移用戶(hù)數據，進(jìn)而影響一個(gè)或多個(gè)UE。需要加強切片間的通信安全保護機制來(lái)應對此類(lèi)風(fēng)險。

5 5G網(wǎng)絡(luò )切片標準進(jìn)展

5.1 國際標準

5G網(wǎng)絡(luò )切片相關(guān)的國際標準主要在第三代合作伙伴（3GPP）研究制定，目前重點(diǎn)研究網(wǎng)絡(luò )切片架構、流程以及管理和編排等方面的內容，后續研究的熱點(diǎn)包括智能切片及無(wú)線(xiàn)接入網(wǎng)切片等。其中，智能切片主要研究切片管理系統如何依據用戶(hù)體驗信息靈活、動(dòng)態(tài)地調整資源配置；無(wú)線(xiàn)接入網(wǎng)切片主要研究切片空口資源保障及資源隔離等。

在網(wǎng)絡(luò )切片安全方面，重點(diǎn)研究5G網(wǎng)絡(luò )切片安全需求、認證架構及流程、隱私保護、切片安全管理、切片服務(wù)安全能力開(kāi)放等。3GPP分階段研究不同的關(guān)鍵問(wèn)題：R14階段，主要研究切片隔離、網(wǎng)絡(luò )切片安全機制差異化、接入安全等內容；R15階段，重點(diǎn)研究用戶(hù)接入數據網(wǎng)絡(luò )中的切片認證流程；R16階段，聚焦接入特定網(wǎng)絡(luò )切片的認證、密鑰隔離、網(wǎng)絡(luò )切片即服務(wù)（NSaas）安全功能以及安全隱私等方面。

3GPP在網(wǎng)絡(luò )切片方面的主要研究成果有：系統架構（3GPP TS 23.501）、5G系統流程（3GPP TS 23.502）、下一代系統安全研究（3GPP TR 33.899）、5G系統安全架構和流程（3GPP TS 33.501）、網(wǎng)絡(luò )切片增強研究（3GPP TR 23.740）、網(wǎng)絡(luò )和網(wǎng)絡(luò )切片的管理和編排（3GPP TS 28.531）、網(wǎng)絡(luò )切片增強安全研究（3GPP TR 33.813）、網(wǎng)絡(luò )切片管理的基本概念、相關(guān)角色和管理需求（3GPP TS 28.530）、網(wǎng)絡(luò )切片管理和編排：切片提供（3GPP TS 28.531）、管理服務(wù)（3GPP TS 28.532）、架構框架（3GPP TS 28.533）、性能保障（3GPP TS 28.550）、性能測量和保障（3GPP TS 28.552）、端到端KPI指標（3GPP TS 28.554）、網(wǎng)絡(luò )資源模型（3GPP TS 28.540、3GPP TS 28.541）等。

5.2 國內標準

我國5G網(wǎng)絡(luò )切片相關(guān)標準主要在中國通信標準化協(xié)會(huì )（CCSA）研究制定，目前在研項目主要包括移動(dòng)通信網(wǎng)網(wǎng)絡(luò )切片管理技術(shù)要求、5G核心網(wǎng)絡(luò )切片場(chǎng)景及關(guān)鍵技術(shù)研究、5G核心網(wǎng)智能切片的應用研究、5G網(wǎng)絡(luò )切片安全技術(shù)研究、支持5G承載的IP網(wǎng)絡(luò )切片技術(shù)研究、傳送網(wǎng)網(wǎng)絡(luò )切片技術(shù)研究等行業(yè)標準和研究課題。

為了更好地支撐切片的商用部署，加快制定端到端切片配套的標準，CCSA專(zhuān)門(mén)成立了“5G網(wǎng)絡(luò )端到端切片特設項目組”，2019年12月30日，項目組召開(kāi)了第一次會(huì )議。會(huì )議提出建立5G網(wǎng)絡(luò )切片標準體系，該標準體系主要包括切片基礎能力和切片SLA（服務(wù)等級協(xié)議）保障兩大部分。隨著(zhù)研究工作的進(jìn)展，后續還會(huì )對該體系進(jìn)行進(jìn)一步修改完善。后續將加緊制定以下行業(yè)標準及研究課題：

《5G網(wǎng)絡(luò )切片 端到端總體技術(shù)要求》

《5G網(wǎng)絡(luò )切片 基于切片分組網(wǎng)絡(luò )（SPN）承載的端到端切片對接技術(shù)要求》

《5G網(wǎng)絡(luò )切片 基于IP承載的端到端切片對接技術(shù)要求》

《5G網(wǎng)絡(luò )切片 服務(wù)等級協(xié)議（SLA）保障技術(shù)要求》

《5G網(wǎng)絡(luò )端到端切片標識研究》

6 結束語(yǔ)

隨著(zhù)5G商用進(jìn)程的快速推進(jìn)，5G發(fā)展已進(jìn)入落地應用階段，加快5G應用部署，賦能垂直行業(yè)，培育應用生態(tài)，成為當前業(yè)界關(guān)注的焦點(diǎn)；同時(shí)，由于5G應用涉及到人們生產(chǎn)生活的方方面面，其安全問(wèn)題也受到高度重視。5G網(wǎng)絡(luò )切片是實(shí)現不同行業(yè)應用場(chǎng)景、差異化業(yè)務(wù)要求以及用戶(hù)極致體驗需求的關(guān)鍵技術(shù)，其帶來(lái)便利性的同時(shí)也面臨著(zhù)新的安全風(fēng)險和挑戰。5G網(wǎng)絡(luò )切片及行業(yè)應用安全相關(guān)國際國內標準尚未完全成熟，需要產(chǎn)業(yè)鏈各環(huán)節（包括網(wǎng)絡(luò )設備商、運營(yíng)商、行業(yè)應用提供商、安全設備商、研究機構）共同探索建立滿(mǎn)足5G多樣化需求的安全體系，在標準推進(jìn)、產(chǎn)業(yè)研發(fā)、網(wǎng)絡(luò )運營(yíng)等各個(gè)環(huán)節加大投入，共同應對5G網(wǎng)絡(luò )安全風(fēng)險，以便部署滿(mǎn)足行業(yè)發(fā)展需求的安全可靠的5G網(wǎng)絡(luò )，從而推動(dòng)5G安全和5G產(chǎn)業(yè)同步規劃、同步建設、同步發(fā)展。