殷凡 徐佳伟 靳泽 郭君玉 马塔娜 李学华

摘要：5G的到来下，垂直行业，诸如交通、物流、自动驾驶、健康、制造业、能源行业和媒体娱乐业等等，普遍需要对用户进行安全管理，对业务内容进行安全保护，如身份管理和认证、防DOS攻击、加密或完整性保护等。并非所有的垂直行业都具备安全管理能力和安全保护能力，或者建设强大的安全能力本身就需要较大成本。这时，使用外部安全服务往往是垂直行业的一种选择。

关键字：5G；embb；安全管理；安全开放

中图分类号：D815；TP393.08 文献标识码：A 文章编号：1672-9129（2018）07-0034-01

Abstract： the arrival of 5 g， vertical industry， such as transportation， logistics， and automatic driving， health， manufacturing industry， energy industry and the media entertainment， etc.， generally need to safety management， user security protection for the business content， such as identity management and authentication， DOS attack， encryption and integrity protection. Not all vertical industries have safety management and protection capabilities， or building strong security capabilities is costly in itself. At this point， using external security services is often an option for the vertical industry.

Key words： 5G； Embb； Safety management； Security open

1 安全能力開放的意义

1.1 对运营商来说

通过安全能力开放，运营商可以盘活网络资产和基础设施，开创新的利益增长点。同时打破管道化运营和封闭网络模式，以电信网络为中心构建安全生态系统。运营商还可通过API（应用程序接口）开放5G网络安全能力，让运营商的网络安全能力深入地渗透到第三方业务生态环境中，拓展运营商的业务收入来源。

1.2 对第三方行业来说

5G网络安全能力可以通过API开放给第三方业务（如业务提供商、企业、垂直行业等），让第三方业务能便捷地使用移动网络的安全能力，从而让第三方业务提供商有更多的时间和精力专注于具体应用业务逻辑的开发，进而快速、灵活地部署各种新业务。

2 安全能力开放要注意的问题

2.1 差异化安全保护机制

不同的垂直行业对安全的需求差异较大。5G系统支持多种业务并行发展，以满足个人用户、行业客户的多样性需求。5G安全设计也需支持业务的多样性，满足差异化安全需求，以实现不同的利益群体在不同应用场景下的多级别安全保障。

2.2 可扩展的身份管理机制

5G网络网络不仅仅服务于个人消费者，还会面向给大量的第三方业务，其中会有大量新增的物联网设备及面向个人的可穿戴设备。而传统的用户管理机制在开户，认证等方面成本高昂，很难完全满足大量的5G用户管理的需求，因此需要进一步扩展的身份管理机制，根据业务特征进行优化。

3 如何实现安全能力开放

3.1 建立基于业务的差异化的安全保护机制

通过和业务的交互，5G系统获取不同业务的安全需求。根据业务、网络、终端的安全需求和安全能力，运营商网络可以按需制定不同业务的差异化数据保护策略。基于业务的差异化的安全保护机制如图1所示。

图1中，应用与服务根据不同的业务安全需求选择出相应的切片保护机制。在网络的底层上我们使用统一的物理层设备，这样做一是大大减少了运营商对于大量不同类别业务的建网成本，二是也方便了设备的管理。在网络统一的底层物理设备的基础上，利用新的IT技术——NFV（网络功能虚拟化）技术为每一个特定的业务生成一个网络切片，也就是将每一个基础的物理网络划分为多个虚拟网络，每一个虚拟网络根据不同的服务需求，比如时延、带宽、安全性和可靠性等等需求指标来划分。

3.2 多元化的身份管理机制

3.2.1 分层身份管理机制

在5G网络中，运营商对行业用户所制造的大量IoT（物联网）终端设备可以采用分层的身份管理方式。分层的做法就是将行业用户和终端用户分隔开来，并且分级管理。在实际中，就是让运营商来管理行业用户身份，而行业用户来管理终端用户身份。

3.2.2 以用户为单位的身份管理机制

在IoT 的应用场景之下，个人用户可能会拥有多个物联网设备。为了方便用户的不同设备之间能共享信息，可以让同一个用户的不同设备所使用的身份相互关联，网络的授权和认证都通过一个用户的身份标识进行统一管理。以用户为单位的身份管理不光是方便了用户本身，更是将用户作为一个小型物联网应用的主体地位，以用户为中心进行网络管理与应用。

3.3 多种身份认证方式

身份认证指的是用户身份的确认技术。它是网络安全的第一道防线，也是最重要的一道防线。

3.3.1 对称安全凭证管理

基于SIM卡和USIM卡的数字身份管理，是一种典型的对称安全凭证管理，其认证机制己经得到业务提供者和用户的广泛信赖，同时也便于运营商对于用户的集中化管理。基于SIM卡的数字身份管理的安全机制在于一卡一密，保证用户身份的唯一性。认证内容可以按需进行加密操作，只有接收方才能解密认证数据，保证认证内容的保密性。

3.3.2 非对称安全凭证管理

在对称密钥的身份管理方式中，例如基于SIM卡或者USIM卡的认证方式会存在认证链条长、身份管理成本高、不利于对海量物联网设备的支持等问题。另一方面，由于5G网络本身需要支持多种接入技术以及多样的终端设备，所以也需要多种安全凭证来管理网络。采用非对称安全凭证管理可以实现物联网场景下的身份管理和接入认证，缩短认证链条，实现快速安全接入，降低认证开销；同时缓解核心网压力，规避信令风暴以及认证节点高度集中带来的瓶颈风险。

参考文献：

[1]李侠宇，沈鸿. 5G网络安全发展趋势研究，2016.

[2]曾梦岐，陶建军，冯中华. 5G通信安全进展研究，2017.

[3]李硕，蔡世杰. 5G网络安全需求分析.2017