《基于5G垂直行业应用的安全能力体系研究》-工学论文，通信论文-论文范文参考-科学狗论文网

标题

基于5G垂直行业应用的安全能力体系研究

范文

张小强赖材栋谢崇斌

【摘要】 ? ?随着5G新基建工作的持续深入推进，给工业互联网、智能制造等垂直行业应用带来了新的机遇，同时5G网络架构也给垂直行业应用安全造成网络攻击扩大化、攻击方式泛在化、安全边界模糊等新的影响和挑战。5G垂直行业安全防护是一项涉及终端、网络、行业应用等众多环节的复杂系统工程，其中明确的安全需求以及科学的安全技术体系是实现这项复杂系统工程的基础。鉴于此，本文参考国内外相关标准从终端侧、网络侧、应用侧、管理侧四个视角梳理了5G垂直行业应用的主要安全需求，设计提出5G垂直行业应用系统安全技术体系。该技术体系涵盖“需求驱动”，“端、网、应用安全”和“安全管理”3个平面以及32项安全能力，可有效指导5G垂直行业安全能力建设，并为5G垂直行业应用安全技术发展与标准化提供有益参考。

【关键词】 ? ?5G ?工业互联网 ? ?垂直行业 ? ?安全需求 ? ?安全能力体系

引言

随着5G通信的大规模商用推广，作为新一代通信网络基础设施，在垂直行业应用中的引领地位持续凸显，而传统垂直行业应用系统往往专用性强，体系架构相对固定，但随着5G网络与垂直行业应用的深度融合，将给垂直行业应用提供灵活、动态的网络基础设施。但是在5G带来了新价值与机遇的同时，5G垂直行业解决方案的灵活性与动态性特性。也给垂直行业应用带来攻击面扩大、攻击方式泛在化、安全边界模糊等安全挑战。因此构建安全可信的5G+安全能力体系成为当前的一项重要课题。

为5G垂直行业安全的保驾护航是一项涉及物联网终端、5G网络、行业应用等环节的复杂系统工程，其中明确的安全需求、科学的安全技术体系是推动具体安全技术实现这项复杂系统工程的基础[2]。因此，本文将聚焦以下两个问题开展5G垂直行业应用安全研究。

问题1：探索分析5G与垂直行业融合的安全需求

问题2：设计构建满足5G垂直行业安全需求的安全能力体系

一、5G垂直行业应用系统安全需求分析

针对问题1，本节针对5G与垂直行业应用的融合特点，从终端侧、网络侧、应用侧、管理侧四个视角进行探索分析、梳理5G垂直行业应用的主要安全需求。

1.1 5G与垂直行业应用的融合特征

由于5G与垂直行业应用深度融合中，主要是通过网络高速率、低时延、大连接的特性，主要是通过云化架构、新无线接入、网络切片、边缘计算等新技术的综合使用，从而将相对固定、封闭的垂直行业应用的系统架构，改变为面向服务的动态编排的新型系统架构（如图1所示），其新特点可概括为[3]：

终端侧：呈现异构化、海量化、开放化等特点。具体而言，5G终端形式不再以智能手机为主导，与行业应用各环节深度融合的海量物联网（IoT）终端将成为终端主流形式之一。

网络侧：引入软件定义网络（SDN）和网络功能虚拟化（NFV）等信息技术，解耦网络控制面与数据面，实现控制和转发分离;进一步通过网络切片技术，使5G网络能够为不同垂直行业应用提供灵活的、差异化的服务需求。

应用侧： 5G应用将涉及医疗、交通、制造、环保、建筑等行业应用的各个环节，垂直行业应用种类和数量将出现井喷式的增长。

1.2 安全需求分析

针对5G新的安全风险与安全需求。我们主要从终端侧、网络侧、应用侧、管理侧四个视角进行分析。

1.2.1 终端安全需求分析

5G终端的异构化、海量化、开放化等特点将导致5G网络攻击向量增大。为了有效抵御5G终端的安全风险，应在终端基础安全能力的基础上，从以下两个方面增强其安全防护与管控能力。

终端可信运行环境构建需求：由于终端的泛在部署和使用，攻击者更易于针对设备发起物理接口非授权访问、侧信道攻击等，导致安全威胁向终端硬件层次转移。因此，需要依托硬件信任根构建终端设备的信任链，保证终端运行环境可信，以此建立终端与业务服务之间的信任，实现终端对业务服务的可信访问。

终端全方位管控需求：如果海量5G終端被攻击者控制并发起规模化的攻击，将对关键行业应用基础设施的可靠运行造成巨大威胁。因此，需要对终端设备硬件层、内核层、系统层、应用层等各层行为进行全方位的监测与智能化的分析，从而及时发现并处置相应安全事件。

1.2.2网络安全需求分析

SDN、NFV以及网络切片等新技术的使用也带来了新的安全风险，例如虚拟化技术导致传统网络边界模糊，并引发了虚拟机及虚拟化软件安全问题。针对上述安全威胁，需要从基础设施安全防护、虚拟化安全与切片隔离等方面增强对于5G网络的安全防护，具体而言：

基础设施安全保障需求：不同于传统通信系统，网元设备物理上相互独立，而5G网络中虚拟网络功能将集中运行在云化的基础设施平台上，不同的网元可能共享相同的物理基础设备资源。因此，一旦物理基础设施本身漏洞被利用，所影响的网络范围以及损失都将远超以往。因此，保障基础设施安全对5G网络至关重要。

虚拟化安全与切片隔离需求：由于NFV、网络切片等功能都将通过软件和虚拟化的方式实现，它们的安全与软件本身设计的安全性息息相关。为了防止网络切片间的非法访问，需要具备网络切片间的有效隔离。例如，对于远程医疗服务所在的切片资源，不应能被任何智能汽车从其所使用的车联网切片直接访问。

1.2.3应用安全需求分析

为了对5G应用系统提供有效的安全保障，需要从业务访问控制与应用数据安全保护两个方面进行安全加固。

行业应用全流程安全防护需求：由于5G网络在一定程度上延展了由于行业应用访问的时空限制，增加了对于行业应用非授权访问的安全威胁。因此，为了确保对特定环境的合规用户提供特定的权限，需要综合多因素对用户状态进行可信分析，并根据当前可信状态对用户的业务访问权限、数据访问权限进行控制。

全生命数据安全保护需求：数据安全对于行业用户的重要程度是不言而喻的，但是，数据在产生、传输、存储以及分析计算等环节均存在数据泄漏风险，因此，需要对数据安全进行全生命周期保护。

1.2.4系统性安全需求分析

考虑到5G垂直行业应用安全防护的复杂性，在增强终端、网络、应用各个层次的独立安全防护能力的同时，需要进一步引入系统性安全防御手段，以控制系统残余风险，并有效应对APT攻击等安全威胁。

统一身份管理与鉴权需求：由于物联网设备种类众多，并且应用场景多元化，需要统一的端到端身份管理与认证机制，提供不同等级的安全访问服务。

统一安全按需配置需求：由于垂直行业应用具有“千人千面”的安全与性能保障需求，并且具有差异化的终端能力、網络接入方式和数据类型，而传统的安全防御措施与机制无法避免降低系统的可靠性、传输带宽，增加时延，难以满足垂直行业应用对于大连接、高可靠、低时延、大带宽等性能的要求，因此，5G垂直行业应用的安全防护技术需要按需配置。例如，对于时延敏感应用场景，通过简化、优化认证机制减少网络交互时延。

统一安全态势感知、管理与运维需求：传统安全防护手段通常是基于先验知识的静态防护，并且与物理设备紧耦合。面对震网、Black Energy等日益多样化、集团式的攻击，仅依靠传统安全防护手段难以真正有效的应对。因此，需要引入统一的安全态势感知、智能安全监测、管理与运维等技术，即结合最新安全态势知识，采用人工智能、大数据分析等技术，主动检测并识别系统的易受攻击点、安全漏洞、异常行为，并且能够根据所下发的动态安全防护策略实现动态预警、实时响应与处置。

二、基于5G垂直行业应用的安全能力体系

本节将以ISO/IEC/IEEE 42010：2011系统与软件架构为指导，在覆盖本文第二节所梳理的9大安全需求基础上，提出了如图2所示的5G垂直行业应用安全能力体系，该体系共包含“需求驱动”，“安全管理”和“端、网、应用安全”3个平面以及32项安全能力。

2.1需求驱动平面

不同垂直行业应用对于安全与性能的需求是“端、网、应用安全”和“安全管理”两个平面设计的基础。结合2.2节分析得到的应用安全需求，以及国际电信联盟（ITU）对于5G应用场景分类方法，我们可以给出“需求驱动平面”的安全与性能关键性能指标（KPI）集R={安全需求1， ……，安全需求9，带宽，吞吐量，延迟，抖动，连接数，可靠性，移动速度}。集合R各项指标的具体定义可以针对不同的垂直行业应用具体给出，限于篇幅，这里不再赘述。

2.2端、网、应用安全平面

端、网、应用安全平面包含终端、网络与应用三个安全子平面。

2.2.1 终端安全子平面

针对构建终端可信运行环境需求，首先终端应具备基于SoC芯片和密码芯片建立终端硬件信任根的能力;然后，能够基于硬件度量根及静动态度量技术建立终端完整性保护链，从而建立终端在启动、运行时信任链;同时，能够在基于系统内核完整性与动态度量及时发现系统受损事件，为信任链恢复与重构提供支持。另外，终端可信隔离环境可以为敏感行业应用提供独立的安全运行环境，为了降低主系统对隔离环境（TEE）的安全威胁，加强对可信执行环境的实时监控能力保障其隔离性。

针对终端全方位管控需求，设计了终端行为感知与分析、主/被动终端管控以及管控行为可信证明三方面的能力。其中，终端行为感知与分析是指获取终端型号、标识、运行状态、位置等信息，并综合使用人工智能、关联分析等实现终端安全态势分析;主/被动终端管控则指通过地理围栏等环境因素自动触发或通过管控服务器指令下发被动触发终端软硬件安全管控策略（包括外设管控、数据访问管控、应用选通等）执行;管控行为可信证明是通过实时对比分析真实终端操作事件序列和安全管控策略语义，及时发现由内核级的劫持、欺骗、绕过等管控对抗手段导致的管控行为异常，支撑管控策略可信实施。

2.2.2 网络安全子平面

针对基础设施安全防护需求，设计了完整性证实、虚拟化安全和物理安全三项能力。完整性证实是指采用基于软/硬结合的高实时可信计算、设备安全启动与运行、可信度量等技术，实现对设备固件、OS、虚拟机操作系统等启动过程、运行过程的完整性证实，以及数据传输、存储与处理的可信验证。虚拟化安全需要采用hypervisor加固、操作系统隔离、操作系统安全增强、虚拟机监控等技术，实现虚拟化与操作系统的全方位安全防护，应对面向虚拟机逃逸、镜像篡改等安全风险。物理安全需要对通信机房或网络云中心提供物理访问控制、智慧门禁和机房、防盗防破坏、防水防潮、温度湿度控制、防雷防火防静电、配电供应、电磁防护和红黑电源隔离等功能，并结合具体的领域和安全级别要求实施安全管控。

针对虚拟化安全与切片隔离防护需求，设计了虚拟网络功能软件安全、网络协议安全、网络切片隔离三项能力。虚拟网络功能软件安全是指通过对虚拟网络功能软件进行静态、动态检测，预先发现风险点并进行有效加固;网络协议安全则指采用协议安全测试、协议安全开发、协议形式化建模与证明等技术，减少协议漏洞;网络切片隔离采用切片和虚拟网络功能资源访问控制机制加强网络切片间的隔离。

2.2.3 应用安全子平面

针对行业应用全流程安全防护需求，设计了行业应用安全检测与防护以及多因素可信的业务访问控制两项能力。行业应用安全检测与防护是面向对不同行业应用所使用协议和功能特点，定制化研发行业应用安全防护技术，检测异常请求、信息泄露、木马植入等异常行为，对异常行为及时警告、阻断;多因素可信的业务访问控制是指基于人员、设备、账号、时间、位置等因素对用户状态进行可信分析，并根据当前可信状态对用户的业务访问权限、数据访问权限进行控制。

全生命周期数据保护需求应能够保障数据产生、采集、流转、存储、处理、使用、分享、销毁全生命周期安全，其包含轻量级数据加密、数据安全存储、敏感数据处理、敏感数据监管四项能力。定制化数据加密是指针对不同应用场景提供定制化的密码解决方案;数据安全存储则指采用加密存储和存储数据访问控制等技术应对数据非法访问、滥用、外泄、篡改等风险;对于关键数据采用本地数据备份应对数据意外丢失、污损等风险;对于敏感数据处理，则采用边缘计算同态加密、安全多方计算、差分隐私等技术，实现对敏感数据处理同时，有效应对敏感数据泄露、篡改等安全风险;同时，采用敏感数据溯源、数据标签、数据水印等技术，形成对敏感数据的追踪溯源、敏感数据的流动审计、敏感数据的访问告警等能力，实现对敏感数据的实时监测。

2.3安全管理平面

安全管理平面是通过端、网、云协同、安全态势感知、安全编排等技术手段，提升5G垂直行业应用系统安全事件发现、响应与处置能力，其包含统一安全按需配置、统一身份管理与认证、统一安全态势感知、统一安全管理与运维四项能力。

针对统一身份管理与认证需求，首先构建多维统一身份标识体系，为不同的用户身份、设备ID、网络IP、业务账号分配统一的网络标识，支持动态标识历史映射关系检索，为实现统一认证、威胁发现与追踪溯源提供重要基础。进一步，基于多维统一身份标识体系，为海量不同接入方式的终端提供统一认证，并为物联网节点提供成组认证服务，即一次完成对按照一定原则（如，同属一个应用、在同一个区域、有相同的行为特征等）组织在一起的大量物联网节点的认证，同时对时延敏感类的业务提供快速认证服务等。

针对统一安全按需配置需求，建立安全策略与计算、存储、通信等各种资源的量化关系模型，突破固定的安全防护机制，根据垂直行业应用对于安全、隐私、延迟、抖动、吞吐量、带宽等KPI的要求，借助SDN、微分段、NFV等技术优化资源配置与分配，动态部署所需的安全机制，并动态配置、升级安全策略，实现系统安全防护体系的动态重构。

针对统一安全态势感知、管理与运维需求，首先构建细颗粒度的5G垂直行业应用威胁情报库，支撑5G垂直行业应用安全事件分析与识别能力;然后，基于智能计算、安全大数据、关联分析、综合研判等技术主动识别，分析5G垂直行业应用安全事件之间的相关性，预测安全事件的发展趋势;进一步，利用社团发现方法重构攻击场景，发现不同主体安全事件之间的关联关系，采用机器学习方法对攻击图中的因果关系和频繁模式进行挖掘，实现攻击扩散路径可视化以及安全事件追踪溯源;最后，为了有效应对安全事件，建立安全事件应急响应策略库，针对安全事件下发相应安全策略进行联动处置。

三、5G垂直行业应用安全技术体系实施方案探讨

本节将结合5G+工业制造应用场景，对5G垂直行业安全技术体系从理论到应用的方案进行探讨。具体方案如图3所示。纵向上，该方案体现了系统性安全平面和端、網、应用安全平面的安全能力如何映射到实际部署系统;横向上，该方案体现了5G垂直行业从终端到应用端到端的安全防护。

由于在5G+工业制造系统中，海量IoT终端将内嵌于机械臂、流水线等工业制造系统，因此，针对终端安全子平面，我们将2.2.1小节提出的终端安全能力集中体现在图3中的“安全可信IoT终端架构”中。首先，该架构以SoC芯片和密码芯片等硬件为可信根建立安全启动机制，构建从硬件可信根到hypervisor，再到内核、系统的安全信任链;其次，在内核、系统以及应用层引入了漏洞扫描、权限控制、动态度量、APP加固等功能模块提升终端全栈的安全防护能力;最后，引入可信隔离环境构建及监测模块保证可信执行环境的安全性，并在该环境引入管控行为可信证明模块保证终端管控行为的可信实施。

对于网络安全子平面的落地实施，首先基于5G网络自身安全能力为需要相互隔离的IoT终端分配不同的网络切片标识（NSSAI）;当IoT终端附着注册时，5G网络根据请求所携带 NSSAI选择对应的网络切片。其次，在5G网络切片中的关键虚拟网络功能上部署软件探针，实时采集并上报切片访问行为及使用情况;同时，引入网络切片隔离管理系统，基于监测信息，结合协议还原识别、静态特征匹配、动态行为分析、异常行为挖掘等层次化检测方法及时发现切片安全威胁。最后，使用信令防护系统识别并过滤畸形或异常信令。

对于行业应用安全子平面的落地实施，首先，在企业云中心部署多因素可信的业务访问控制系统，当IoT终端对发起对企业资源或行业应用发起访问时，该系统根据IoT终端的访问时间、所归属生产制造设备、账号/口令信息等因素对IoT终端的状态进行可信评估，并根据当前可信状态控制IoT终端的业务访问权限、数据访问权限等。其次，为了对工业制造业务系统的边界提供安全防护，部署面向具体生产制造业务系统的应用安全检测与防护网关，对工业应用流量进行协议解析，识别并过滤异常访问、异常流量。部署高安全数据库，通过数据访问控制、数据加密等手段保障数据的访问与存储安全。

对于安全管理平面的落地实施需要端、网、云相互协同。具体而言，所部属统一安全按需配置、统一安全态势感知以及统一安全管理与运维等系统均可基于PDR主动防护模型（包括保护、检测、响应）工作运行：首先，周期性的采集端、网、云的安全事件与运行状态，结合最新安全态势知识，采用人工智能、关联分析等方法发现端、网、云无法独立发现的安全事件;然后，针对安全事件确定所需的安全防护策略;最后，通过端、网、云联动的安全功能编排或安全策略更新实现对安全事件的处置与响应。

四、结束语

安全是5G赋能垂直行业应用健康、有序发展的重要基石。本文针对5G垂直行业应用的“安全需求”与“安全能力体系”开展了以下三方面工作：首先，从终端侧、网络侧、应用侧、管理侧四个视角梳理了5G垂直行业应用的9个主要安全需求;然后，面向安全需求，提出了基于5G垂直行业应用的安全能力体系（共包含“需求驱动”，“安全管理”和“端、网、应用安全”3个平面），并给出了该体系所具备的32项安全能力;最后，结合5G+工业制造应用场景，探讨了安全能力体系的实施方案。本文希望为5G垂直行业应用安全技术的发展与标准化提供有益的参考。

参 ?考 ?文 ?献

[1] 3GPP 33.501， Security architecture and procedures for 5G system （Release 16） [S]. 2020.6

[2]李宏佳，5G 安全：通信与计算融合演进中的需求分析与架构设计 [J]. 信息安全学报，2018.

[3] 3GPP 23.501， System architecture for the 5G System （5GS）（Release 16） [S]. 2020.7

[4] 5G ACIA， 5G for Connected Industries and Automation （2nd Edition）.2019

张小强（1987年—），男，汉族，陕西西安，中国移动通信集团陕西有限公司，通信工程师，互联网/CDN运营、边缘计算、安全防护等

赖材栋（1986—），男，汉族，陕西省镇安县，中国移动通信集团陕西有限公司，通信工程师，研究方向：互联网电视、CDN等：

谢崇斌（1978年—），男，汉族，陕西西安，中国移动通信集团陕西有限公司，通信工程师，数通运维、内容网络运维运营

随便看

科学优质学术资源、百科知识分享平台，免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。