CN111131258B - 一种基于5g网络切片的安全专网架构系统 - Google Patents

Abstract

本发明公开了一种基于5G网络切片的安全专网架构系统，包括如下内容：一、采用基于5G专网的端到端分段隔离机制；二、采用主认证增强架构；三、采用二次认证安全机制。与现有技术相比，本发明的积极效果是：本发明采用基于5G专网(终端侧到后台业务应用)的端到端分段隔离机制、差异化的增强接入认证(增强型UDM‑主认证增强)、灵活可变的二次认证(AAA认证)等技术相互组合增强，为终端提供了端到端的安全隔离通道(具有不同安全等级)的5G安全架构。

Description

一种基于5G网络切片的安全专网架构系统

技术领域

本发明涉及移动通信技术领域，具体涉及一种基于5G网络切片的安全专网架构系统。

背景技术

移动通信网作为商业化的电信网络，在标准设计之初，就充分考虑了网络接入的移动性、可靠性和安全性，通过身份标识、认证授权、信道与承载加密、访问控制等方式，提供了良好的安全通信能力。随着新一代通信技术（5G-NR）的到来，面临新业务、新构架、新技术对网络安全性带来挑战，需更好定义5G安全标准和技术来应对5G的安全风险。

5G 网络继承了4G 的安全特性，同时对认证授权、隐私保护、数据传输安全、网络架构和互通安全等进行了优化或增强。5G提供了更大范围的移动性，也为用户提供了更健壮的业务安全性、更严密的数据保护以及更强的用户隐私性，但是针对不同行业用户的安全需求，5G安全网络架构还有如下缺陷：

1、目前各省的用户分别接各个省自有的归属网（普通用户与涉密用户均共用归属网），存在不安全、责任不清晰以及运维成本较高；

2、各个运营商的认证算法单一，缺乏对用户差异化认证需求的灵活控制，而且所采用的AES(Advanced Encryption Standard, 高级加密标准)国际密码算法库有可能存在漏洞，有被攻破的风险；

3、运营商网络采用业务分段保护机制，不支持端到端的分段隔离机制（为用户从终端到用户端提供全方面的安全保护系统），很容易出现信息被截获的风险；

4、基于现有3GPP(The 3rd Generation Partnership Project, 第三代合作伙伴计划)的5G安全机制，不能满足不同的行业用户对5G安全机制，有不同等级的安全需求（例如：军队最高级别、无人驾驶中等级别就可以，普通用户用现有安全等级即可）；

5、UE（User Equipment，用户）和服务网络（UDM（统一数据管理）增强模块）采用3GPP标准的EAP-AKA(Extensible Authentication Protocol-AKA, 可扩展身份验证协议)、5G-AKA的认证框架以及MILENAGE算法框架，但是不能实现对于算法进行替换；

6、3GPP标准提出支持在核心网中进行二次认证的功能，但是其算法和协议都不可以灵活的选择。

发明内容

为了克服现有技术的上述缺点，本发明提出了一种基于5G网络切片的安全专网架构系统，采用自建归属网络结合安全增强措施的方式构建集中服务于行业用户的安全增强核心网，通过漫游方式与运营商现有公网对接，最大化利用公网基础的广域覆盖特性以及跨境专网的无缝接入能力，为具有安全性需求的各种行业用户提供具有差异化、可定制的基于5G网络切片的安全专网技术方案。

本发明解决其技术问题所采用的技术方案是：一种基于5G网络切片的安全专网架构系统，包括如下内容：

一、采用基于5G专网的端到端分段隔离机制：包括终端侧隔离、RAN 隔离、承载隔离、核心网隔离和用户隔离；

二、采用主认证增强架构：对UE和服务网络采用EAP-AKA、5G AKA的认证框架以及MILENAGE算法框架，实现在终端侧和网络侧相关实体配合对主认证算法进行替换；所述主认证增强架构的主要内容包括：

（1）将原MILENAGE算法框架中采用的AES的Ek计算部分替换为行业用户选择的算法实现；

（2）对终端侧做出调整，以匹配网络侧改动：在校验AV并计算响应RES时，使用行业用户选择的算法作为Ek参与运算；

三、采用二次认证安全机制：在二次认证网络侧使用AAA设备，将二次认证所需的协议以及算法部分解耦归集在一个物理或逻辑的安全组件中，或者归集在AAA外挂的安全设备中；AAA在进行二次认证鉴权时，与安全组件、安全设备之间通过特定接口获取协议、算法的执行结果。

与现有技术相比，本发明的积极效果是：

本发明采用基于5G专网（终端侧到后台业务应用）的端到端分段隔离机制、差异化的增强接入认证（增强型UDM-主认证增强）、灵活可变的二次认证（AAA认证）等技术相互组合增强，为终端提供了端到端的安全隔离通道（具有不同安全等级）的5G安全标准架构，保护用户隐私性（避免利用伪基站，伪热点进行诈骗或者剽窃用户信息等）、避免非法用户接入网络等。本发明的具体优点如下：

1、本发明采用自建核心网归属网络的方式，最大化利用公网基础的广域覆盖特性以及跨境专网的无缝接入能力，无需对每个核心网进行改造，成本较低；

2、本发明能为具有安全性需求的各种行业用户提供具有差异化、可定制的基于5G网络切片的安全专网技术方案，提供不同安全等级的认证保护；

3、本发明具备端到端（终端侧到后台业务应用）分段隔离机制；

4、本发明的主认证秘钥协议支持认证算法可替换；

5、本发明的二次认证算法、协议支持认证算法、协议可替换；

6、本发明支持多重安全等级的安全认证；

7、本发明支持基于5G的网络切片功能，通过虚拟化技术实现软硬件解耦合，提高创建产品和服务方面的效率，降低成本。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为自建核心网归属网络方式的示意图；

图2为本发明的基于5G网络切片的安全专网架构系统示意图；

图3为基于5G专网的端到端分段隔离机制示意图；

图4为核心网隔离示意图；

图5为主认证增强架构示意图；

图6为灵活可变的AAA认证示意图。

具体实施方式

当前，各个电信运营商的认证算法单一，缺乏对用户差异化认证需求的灵活控制，而且所采用的AES国际密码算法库有可能存在漏洞，有被攻破的风险；移动通信的签约标识身份很容易导致用户被跟踪、被定位；运营商网络采用业务分段保护机制，且存在业务信息明文处理的问题，很容易出现信息被截获的风险；各种未知的、高隐蔽的恶意攻击载荷难以识别，重大网络威胁难以有效预警。同时，随着移动终端智能化程度日益提高，移动互联网用户数量正在急剧增加，逐渐成为黑客攻击的主要目标。3G、4G移动通信与垂直行业应用的认证体系存在着“两张皮”的问题，它们各自独立，没有有效结合起来。

为应对5G时代的信息安全问题，本发明采用自建核心网归属网络的方式构建安全增强核心网，通过建立基于5G的安全增加架构的端到端分段隔离机制，在UE（用户）和安全增强核心网上进行安全增强、分段隔离等，同时最大化地利用公网基础设施的广域覆盖特性，又提供跨境专网的无缝接入能力，为具有安全性需求的各种行业用户提供了具有差异化、可定制的高安全、集中化的基于5G的安全增加架构的专网。所述安全增强核心网包括归属网络，专门用于负责行业用户的安全增强认证，如图1所示：首先，手机或者电脑终端用户使用安全的SIM卡或者电脑终端通过安全网关、CPE等接入到本地（各省市、直辖区、自治区）的核心网，通过漫游的方式把用户与安全增强型核心网进行安全认证，完成不同安全等级的安全认证后才能进行数据通讯。

如图2所示，本发明的基于5G网络切片的安全专网架构系统按照功能层次进行划分，分为四层并且每层之间进行相互隔离：应用层（Application Stratum）、归属层（HomeStratum）、服务层（Serving Stratum）与传输层（Transport Stratum），本方案除了按照3GPP标准新增了“增强订户隐私”、“新的认证框架”、“用户平面的完整性保护”外，还通过对上述协议层相关功能单元认证算法的增强，实现相关功能单元对应的认证算法和协议，再根据不同用户所需的安全等级对上述算法和协议进行灵活可变的替换，建立基于5G安全架构的端到端分段隔离保护机制。

以下对本发明方案的主要内容详细描述如下：

一、基于5G专网（终端侧到后台业务应用）的端到端分段隔离机制：

基于5G专网的端到端分段隔离机制区别于传统物理专网的私有性与封闭性，5G端到端分段隔离机制是建立在共享资源之上的虚拟化专用网络，专网安全除了提供传统移动网络安全机制之外（例如接入认证、接入层和非接入层信令和数据的加密与完整性保护等），还需要提供网络切片之间端到端安全隔离机制。

为了满足不同业务的安全等级需求，5G专网的端到端分段隔离机制结合了各种物理隔离和逻辑隔离机制，来实现网络切片间的隔离防护。5G专网的端到端分段隔离机制可分为终端侧隔离、RAN 隔离（无线接入网隔离）、承载隔离、核心网隔离和用户隔离，如图3所示。

1、终端侧隔离

基于5G专网的端到端分段隔离机制在终端侧隔离主要面向一个终端接入多个安全等级网络，需要对终端设备存储、运行应用数据进行隔离，除此之外，还需终端安全等级分别与RAN隔离、承载隔离、核心网隔离、用户隔离等的安全等级进行匹配，为不同终端分配安全等级制定定制化的终端安全防护。

2、RAN隔离

基于5G专网的端到端分段隔离机制在RAN 侧的隔离主要面向无线频谱资源以及基站处理资源。逻辑隔离是资源块按照不同切片的要求按需分配，分配给每个切片的资源块是不连续的，多个切片共享总的频谱资源，逻辑隔离可以实现基站调度器根据不同切片的传输要求，对资源块动态调配，提高了频谱资源利用率，因此，本方案在RAN隔离方面使用逻辑隔离。

3、承载隔离

5G网络依托数据中心部署，跨越数据中心的物理通信链路需要承载多个切片的业务数据，根据终端设备安全等级的需求，对承载侧的隔离可通过软隔离和硬隔离两种方案实现。

对于安全等级需求较低的用户，选择软隔离方式，此方式基于现有网络机制，通过VLAN（ Virtual LAN，虚拟化局域网）标签与网络切片标识的映射实现。网络切片具备唯一的切片标识，根据切片标识为不同的切片数据映射封装不同的VLAN 标签，通过VLAN 隔离实现切片的承载隔离。

对于安全等级需求较高的用户，选择硬隔离方式，此方式基于时隙调度将一个物理以太网端口划分为多个以太网弹性管道，使得承载网络既具备类似于TDM(时分复用)独占时隙、隔离性好的特性，又具备以太网统计复用、网络效率高的特点。

4、核心网隔离

5G 核心网基于虚拟化基础设施构建，并且由很多种不同的网络功能构成，有些网络功能为切片专用，有些则在多个切片之间共享，因此在核心网侧的隔离需要采用多重隔离机制，如图4所示：

1）切片间隔离

由于网络切片共享统一的核心网基础设施，为了确保一个切片的异常不会影响到其他切片，一方面，核心网可以采用物理隔离方式，为安全性要求较高的切片分配相对独立的物理资源，另一方面，还可以采用逻辑隔离方式，借助成熟的虚拟化技术，在网络层通过划分VLAN/VXLAN 子网进行隔离，在管理层通过分权分域实现切片管理和编排的隔离。相对于物理隔离方式，逻辑隔离对资源分配更加灵活，更为经济。

2）网络切片与用户隔离

为了避免CN(Core Network,核心网)网络切片遭受来自外部的攻击进而威胁到切片安全、可靠的运行，可以在切片网络和终端用户之间、以及切片网络和行业应用之间部署安全隔离机制。切片网络和终端用户之间的隔离可采用基于切片的接入认证和访问控制等机制。切片网络和行业应用的隔离，可以通过部署虚拟或者物理防火墙，并设置访问策略来进行。

5、从终端到用户端的整个隔离、安全机制的流程如下：

1) 根据不同的行业用户的详细安全需求，使用不同安全等级的专用安全终端，或者在终端上采取物理或逻辑的机制区分隔离出不同的安全域，不同安全等级的应用、数据的存储、运行空间彼此隔离以确保安全性；终端可采用物理或逻辑的安全组件作为本地安全功能的可信支撑实体。

2) 终端上的业务应用经过5G空口，经gNB或CU、DU到拜访地5G核心网边界的回传网段，以及拜访地5G核心网再经运营商光传输网OTN到归属地5G核心网之间的传输网段，以及归属地5G核心网内部UPF之间的路由转发部分，采用3GPP建议的5G网络切片隔离机制（含段与段之间分段隔离机制），不做更改。

3) 归属地5G核心网边界的UPF到行业用户专网边界的用户专线部分，除原来的专线设备外，还需额外配备不同安全等级的安全网关，或者在安全网关内部区分不同安全等级的端到端连接，实现端到端连接按安全等级的隔离；安全网关的安全等级需要与整个5G专网切片的安全等级相匹配。

4) 在一个安全等级的5G网络切片内部以及该5G网络切片到对应行业用户专网边界处，终端使用安全组件与远程的安全网关进行端到端的安全通信。

这样，依托于3GPP 5G网络自有的切片隔离机制，额外加上终端的隔离机制，以及行业用户专网边界安全网关的连接隔离机制，实现了从终端到行业用户专网的完整分段隔离。与3GPP相比，本发明在现有5G网络切片隔离的机制基础上，针对行业用户安全需求，加入了终端隔离、用户专线上的安全网关隔离，共同实现了端到端的安全分段传输，更加贴合行业用户实际业务安全需求。

二、差异化的增强接入认证-增强型UDM的主认证增强：

主要认证和密钥协商过程的目的是实现UE与网络之间的相互认证，并提供可以在后续安全过程中在UE与服务网络之间使用的密钥材料。由主认证和密钥协商过程生成的密钥材料会生成一个称为KSEAF(the serving network specific anchor key, 服务网络专用锚键)的锚密钥，该锚密钥由归属网络的AUSF（Authentication Server Function，身份验证服务器功能）提供给服务网络的安全锚功能模块。

本方案的主认证增强架构如图5所示，对UE和服务网络采用EAP-AKA、5G AKA的认证框架以及MILENAGE算法框架，实现在终端侧和网络侧相关实体配合对主认证算法进行替换，与目前3GPP的通用认证方法相比，能在对不同安全需求等级的用户提供不同安全等级的认证保护。具体内容如下：

1. 主认证增强架构中，沿用3GPP的EAP-AKA、5G AKA认证框架不做变更；

2. 主认证增强架构中的MILENAGE算法框架，框架流程不做变更，但需要将MILENAGE算法框架中原来采用AES的Ek计算部分替换为行业用户选择的特定算法实现；

3. 要实现网络侧Ek的替换，可以在UDM/ARPF中新增实现特定算法的模块；UDM/ARPF在MILENAGE算法框架中计算认证向量AV时，可调用特定算法模块进行密码运算并取得中间值后，继续使用该中间值参与MILENAGE框架流程得到AV，从而实现特定算法的主认证增强；

4. 终端侧需要相应的做出调整，以匹配网络侧改动，即在校验AV并计算响应RES时，使用特定算法作为Ek参与运算；

对标准商用的UDM，在不改变3GPP对5G网络EAP-AKA’、5G AKA认证流程和协议的前提下，向UDM中增加、或者通过UDM外挂专用的主认证安全增强模块，实现归属5G网络的主认证增强。

主认证安全增强模块主要功能是将UDM所使用的MILENAGE算法框架中的Ek块算法实现部分从UDM中独立出来，在该模块内部按照行业用户的选择，实现Ek块算法的替换：

1. 将UDM中实现MILENAGE算法框架取得AV的部分，进行移除；并为外部获取AV预留接口；

2. 在移除算法框架的UDM外部，重新构建实现MILENAGE算法框架并反馈AV的模组或设备；

3. 该模组或设备将是行业用户定制的，其内部将使用行业用户选择的算法，以软件或者硬件的方式实现行业用户专有的Ek运算，并向UDM反馈AV，进而替换3GPP约定的AES算法。

UDM在认证鉴权终端时，涉及到Ek的运算，均会通过调用主认证安全增强模块相关接口得到执行结果，这种UDM结构上的变更，可以较方便的实现主认证算法的按需替换，从而使不同的行业用户灵活选用自己的安全主认证算法成为可能。

不同行业用户的终端，也会在终端内部引入模组，或者通过外挂设备，实现Ek算法的替换，以配合网络侧Ek算法的变更。

与3GPP相比，本发明为不同的行业用户灵活选择自己的主认证算法提供了可行机制，并且在终端和网络侧关键网元结构上提出了建议，支撑运营商为不同行业用户在同一张5G物理网络上组建多个安全等级的5G网络专网。

三、灵活可变的二次认证（AAA认证）

二次认证是3GPP在5G中提出的安全机制，用于运营商帮助行业用户对终端接入行业用户专网进行再次认证；3G/4G中并没有二次认证；在3G/4G时代，终端与行业用户专网之间的认证，是通过行业用户自身加认证手段实现的。

3GPP目前只规定了二次认证采用EAP协议，但是对终端和AAA之间基于EAP的二次认证协议并没有规定。针对不同的行业用户，其可能采取的二次认证协议，以及所使用的二次认证鉴权算法可能千差万别，这对二次认证的灵活性提出了较高要求。

二次认证网络侧使用的AAA设备，将二次认证所需的协议以及算法部分解耦归集在一个物理或逻辑的安全组件中，或者归集在AAA外挂的安全设备中；AAA在进行二次认证鉴权时，与安全组件、安全设备之间通过特定接口获取协议、算法的执行结果，从而保证二次认证的充分灵活性。

不同行业用户的终端，也会在终端内部引入模组，或者通过外挂设备，实现二次认证协议和算法的灵活替换，以配合网络侧二次认证协议和算法的变更。

随着业务的发展，网络规模的增大，UPF（user plane function，用户平面功能）单元的路由配置用户信息数据库显然不可行。为核心网UPF单元增加专用的 AAA服务器设置AAA 认证，可以使用户认证数据库和路由器分离，并且 AAA 服务器有图形管理界面详细的统计分析信息，便于用户信息管理与故障分析。具体的认证过程包括：

1. AAA部署于DN边界靠核心网UPF单元侧；

2. AAA上预置有用户二次认证鉴权所需的数据库；

3. 终端经过5G专网，通过UPF需要与DN内部的应用服务器建立连接进行通信时，终端与AAA经过UPF中转，在用户面上进行二次认证鉴权；

4. 鉴权通过后UPF中该终端对应的连接才能与DN内部的应用服务器真正开始通信；否则终端的连接请求将被拒绝；

5. 此过程中，UPF仍然按照3GPP标准，专职路由功能，而鉴权功能由AAA负责，从而实现认证与路由的功能分担。

6. 终端与AAA之间的鉴权算法和协议，可以根据不同的行业用户灵活替换。

AAA 算法以及认证协议可由行业用户充分选择，根据不同用户所需的安全等级对AAA认证算法和协议进行替换，实现在UPF单元和认证服务器之间传递数据包的协议灵活可变，此方式使用不同安全性的算法、协议对终端和AAA之间的交互进行保护，增加了行业用户二次认证的灵活性和可控性。如图6所示。

与3GPP相比，为不同的行业用户灵活选择自己的二次认证协议和算法提供了可行机制，并且在终端和网络侧关键网元结构上提出了建议，支撑运营商为不同行业用户在同一张5G物理网络上组建多个安全等级的5G网络专网。

Claims (8)

1.一种基于5G网络切片的安全专网架构系统，包括终端设备、无线接入网、核心网、用户；其特征在于：包括如下内容：

该系统对终端设备进行隔离、对无线接入网RAN进行隔离、对承载进行隔离、对核心网进行隔离：

（1）终端设备隔离：包括终端设备存储和运行应用数据的隔离，终端设备安全等级分别与RAN隔离、承载隔离、核心网隔离、用户隔离的安全等级进行匹配，为不同终端设备分配安全等级、制定定制化的安全防护；

（2）RAN隔离：使用逻辑隔离，将资源块按照不同网络切片的要求按需分配，多个网络切片共享总的频谱资源，实现基站调度器根据不同网络切片的传输要求，对资源块动态调配；

（3）承载隔离：包括软隔离和硬隔离，其中对于安全等级需求较低的用户，采用软隔离方式；对于安全等级需求较高的用户，采用硬隔离方式；

（4）核心网隔离：采用多重隔离机制，包括网络切片间的隔离，以及网络切片与用户之间的隔离；

在用户UE和核心网使用主认证增强框架，主认证增强框架包括采用EAP-AKA、5G AKA的认证框架以及MILENAGE算法框架，实现在终端设备和核心网相关实体配合对主认证算法进行替换；所述主认证增强架构的主要内容包括：

（1）将原MILENAGE算法框架中采用的AES的Ek计算部分替换为用户选择的算法实现；

（2）对终端设备做出调整，以匹配核心网改动：在校验AV并计算响应RES时，使用用户选择的算法作为Ek参与运算；

在核心网使用AAA设备进行二次认证，将二次认证所需的协议以及算法部分解耦归集在一个物理或逻辑的安全组件中，或者归集在AAA设备外挂的安全设备中；AAA设备在进行二次认证鉴权时，与安全组件、安全设备之间通过特定接口获取协议、算法的执行结果。

2.根据权利要求1所述的一种基于5G网络切片的安全专网架构系统，其特征在于：所述网络切片间的隔离包括物理隔离方式和逻辑隔离方式。

3.根据权利要求1所述的一种基于5G网络切片的安全专网架构系统，其特征在于：所述网络切片与用户之间的隔离包括：在网络切片和用户之间的隔离采用基于网络切片的接入认证和访问控制机制；在网络切片和行业应用之间的隔离，通过部署虚拟或者物理防火墙，并设置访问策略来进行。

4.根据权利要求1所述的一种基于5G网络切片的安全专网架构系统，其特征在于：从终端设备到用户采用如下隔离、安全机制：

1)根据不同的用户的安全需求，使用不同安全等级的终端设备，或者在终端设备上采取物理或逻辑的机制区分隔离出不同的安全域，不同安全等级的应用、数据的存储、运行空间彼此隔离以确保安全性；

2)终端设备上的业务应用经过5G空口，经gNB或CU、DU到拜访地5G核心网边界的回传网段，以及拜访地5G核心网再经运营商光传输网OTN到归属地5G核心网之间的传输网段，以及归属地5G核心网内部UPF之间的路由转发部分，采用3GPP的5G网络切片隔离机制；

3)归属地5G核心网边界的UPF到用户专网边界的用户专线部分，除原有的专线设备外，再配备不同安全等级的安全网关，或者在安全网关内部区分不同安全等级的端到端连接，实现端到端连接按安全等级的隔离；且安全网关的安全等级与整个5G专网网络切片的安全等级相匹配；

4)在一个安全等级的5G网络切片内部以及该5G网络切片到对应用户专网边界处，终端设备使用安全组件与远程的安全网关进行端到端的安全通信。

5.根据权利要求4所述的一种基于5G网络切片的安全专网架构系统，其特征在于：所述终端设备采用物理或逻辑的安全组件作为本地安全功能的可信支撑实体。

6.根据权利要求1所述的一种基于5G网络切片的安全专网架构系统，其特征在于：对Ek进行替换的方法为：

1）将UDM中实现MILENAGE算法框架取得AV的部分，进行移除；并为外部获取AV预留接口；

2）在移除算法框架的UDM外部，重新构建实现MILENAGE算法框架并反馈AV的模组或设备；

3）该模组或设备是用户定制的，其内部将使用用户选择的算法，以软件或者硬件的方式实现用户专有的Ek运算，并向UDM反馈AV，进而替换3GPP的AES算法。

7.根据权利要求6所述的一种基于5G网络切片的安全专网架构系统，其特征在于：所述二次认证过程包括：

（1）AAA设备部署于DN边界靠核心网UPF单元侧；

（2）AAA设备上预置有用户二次认证鉴权所需的数据库；

（3）终端设备经过5G专网，通过UPF需要与DN内部的应用服务器建立连接进行通信时，终端设备与AAA设备经过UPF中转，在用户面上进行二次认证鉴权；

（4）鉴权通过后UPF中该终端设备对应的连接才能与DN内部的应用服务器开始通信；否则终端设备的连接请求将被拒绝。

8.根据权利要求7所述的一种基于5G网络切片的安全专网架构系统，其特征在于：终端设备与AAA设备之间的鉴权算法和协议，根据用户的不同需求进行替换。

Images