5G 网络切片技术在密码系统中的应用研究

本文针对虚拟化切片技术在密码系统中的应用展开研究，首先总述了“网络切片”技术的基本思想，并在“网络切片”的基础上抽象出广义的“虚拟化切片”概念，随后提出了“密码系统虚拟化切片”概念，并给出基于虚拟化切片构建虚拟密码系统的思路，然后针对以同一套密码基础设施提供面向多级多域应用场景的问题给出系统性解决方案，最后给出了在密码系统虚拟化切片间的安全隔离、控制面差异化安全防护、用户面差异化安全防护以及管理面差异化安全管理等方面各种试验验证的结果，证明了方案的优势，为5G网络切片技术在密码系统中的应用提供了理论支撑。1网络切片技术的内涵与外延众所周知，5G网络与3G/4G网络最大的不同之处在于其将面向3种不同的典型应用场景，即增强移动宽带（EnhancedMobileBroadband，eMBB）场景、海量机器类通信（MassiveMachineTypeCommunication，mMTC）场景以及高可靠低时延（Ultra-ReliableLow-LatencyCommunications，uRLLC）场景。其中，eMBB场景是对传统4G应用场景的增强，而mMTC和uRLLC场景则是全新的应用场景。从指标角度来看，eMBB场景要求网络峰值速率和用户体验速率较4G增长10倍以上；mMTC场景要求连接密度从10万台/平方千米增大到100万台/平方千米，网络能量效率从1Xbit/J增大到100Xbit/J。uRLLC场景要求端到端时延从10ms下降到1ms。基于同一种技术体制来满足这3种存在矛盾和冲突的指标要求几乎是不可能的，那么5G网络又是如何以同一套网络物理基础设施提供差异化网络通信能力的呢？正是得益于“网络切片”技术的引入和应用。“网络切片”技术是5G网络所引入的诸多新技术中最重要的关键技术。“网络切片”是一组带有特定无线配置和传输配置的网络功能的集合，可为运营商在同一套物理设备上提供多个端到端的虚拟网络，这些网络功能可以灵活部署在网络的任何节点（接入、边缘、核心），以便适配运营商期望的任何商业模式。5G系统用不同的网络切片来应对不同的需求。“网络切片”概念引入后，传统移动通信系统的域架构模型中添加了丰富的新元素，同时将逻辑网络功能与物理基础设施进行了解耦合，使网络的物理和逻辑组成变得更加丰富，功能实体之间的交互关系也变得更加复杂。在第三代合作伙伴计划（3rdGeneration

PartnershipProject，3GPP）中，传统的“域”概念是指“最高级别的物理实体组”，这个“域”概念仅局限于物理网络实体的划分，并未考虑将在5G网络中起主导作用的虚拟网络实体，因此，在5G网络中将传统域的概念扩展为“与5G网络相关的物理或逻辑方面的网络实体组”，5G网络“域”架构如图1所示

。图15G网络“域”架构从5G网络的“域”架构中可以看出，一个网络切片相当于一张端到端的逻辑网络，不同的网络切片相当于不同的逻辑网络，而这些不同的逻辑网络共享了同一套物理基础设施。基于此，我们可以这样理解：第一，传统的通信网络是一套端到端物理设备所组成的物理网络，包括基站、交换机以及物理网元设备等。第二，软件定义网络（SoftwareDefined

Network，SDN）技术将交换机的控制与承载功能分离，从而能够实现在交换机上基于集中控制策略构建出本地的多个逻辑转发通道效果，这些逻辑转发通道彼此间的资源是相互隔离的。这与传统基于路由协议自治运算生成路由通道的效果是截然不同的。第三，网络功能虚拟化（NetworkFunctions

Virtualization，NFV）技术将物理网元设备（Physics

NetworkFunctions，PNF）上的逻辑功能抽象成虚拟网络功能（VirtualNetworkFunctions，VNF），同时还能够实现基于同一个物理网元设备虚拟化出多个不同的VNF，这些VNF彼此间也是资源相互隔离的。第四，不同交换机、物理网元设备上各自抽象出的逻辑通道、逻辑网络功能之间按照一定的逻辑关系关联起来，形成一张逻辑网络，网络切片模板结构如图2所示。图2网络切片模板结构可见，网络切片本质上是一组逻辑上独占特定资源的网络功能集合。按照此逻辑，我们可以把网络切片的模型在本质上从狭义上的网络系统推广到广义上的信息系统，定义虚拟化信息功能（Virtual

informationFunctions，VIF）概念。从而得出“虚拟化切片”概念，其本质是一组逻辑上独占特定资源的信息功能集合，虚拟化切片模板结构如图3所示。图3虚拟化切片模板结构由此，我们可以定义“虚拟化切片”为一组带有特定计算、存储以及传输配置的逻辑功能的集合，可为系统使用者或运营者在同一套物理设备上提供多个虚拟信息系统，这些逻辑功能可以部署在信息系统中的任何节点（不限入口、边缘或核心位置，不限于硬件平台或操作系统，不限于嵌入式设备或数据中心），以便适配使用者/运营者期望的任何应用模式，并应对不同的场景和应用需求。2密码系统虚拟化切片及技术途径在密码系统领域，“虚拟化切片”这个理念同样适用，可以按照不同用途的密码应用对密码系统的物理基础设施进行逻辑上的资源划分，形成独占特定密码设备资源的密码功能合集（包括密码物理设备、密码服务功能、密码算法及协议、密码管理功能等），这些密码功能合集可能体现为针对不同场景、不同安全等级或不同管理域等因素的密码配置、密码算法与协议的区别，也可能体现为针对不同用户群体的区别。可以看出，这个理念具体化到密码应用领域，与要求密码对外提供服务模式上进行革新的需求高度一致。借鉴虚拟化切片的定义，在密码系统领域可以推导出“密码系统虚拟化切片”的概念，即密码系统虚拟化切片是一组带有特定计算、存储以及密码资源配置的密码功能的集合，可为使用者/运营者在同一套物理密码设备上提供多个虚拟密码系统，这些密码功能可以灵活部署在密码系统所属数据中心的任何节点（入口、核心、边缘），以便适配使用者/运营者期望的任何密码应用模式和场景。密码系统虚拟化切片还将涉及以下几个概念和技术途径作为技术基础。2.1密码设备虚拟化机制该机制主要是借鉴以传统云计算等为代表的成熟虚拟化技术思想，将门卫式或调用式密码设备虚拟化成多个门卫式或调用式虚拟密码设备

。密码设备虚拟化概念如图4所示。图4密码设备虚拟化概念2.2密码功能服务化机制该机制主要是借鉴服务化

和NFV思想，将本地化的密码功能封装成网络化的密码功能服务，密码功能服务化概念如图5所示。图5密码功能服务化概念这样设计便于密码功能服务自身的集成以及密码功能服务与宿主系统其他服务功能的集成，同时也能够将密码技术与通信、计算及存储等密码宿主功能相关的信息技术解耦合，确保各自技术的独立发展演进。基于密码功能服务的系统集成如图6所示。图6基于密码功能服务的系统集成2.3密码功能服务编排机制该机制主要是借鉴网络切片及NFV管理与编排（ManagementandNFVOrchestration，MANO）思想，将不同的虚拟密码功能服务按照一定的规则关联和编排起来，形成面向不同用途密码应用的密码系统虚拟化切片模板。该模板包含一系列虚拟密码功能实体，这些虚拟密码功能实体之间的逻辑联系以及这些虚拟密码功能实体间信息流转发的方向图。在编排和生成密码系统虚拟化切片（CipherSystemSlice，CSS）时，需要定义编排CSS的模板结构，定义提供特定服务的虚拟密码系统拓扑，包括组成CSS的虚拟化密码功能（VirtualCipherFunctions，VCF）、VCF与VCF之间的虚拟链路（Virtual

Link，VL）、VCF之间的VCF转发图（VCF

ForwardGraph，VCFFG），以及密码系统所需要的参数等元素。密码系统虚拟化切片模板结构如图7所示。图7密码系统虚拟化切片模板结构基于以上的技术途径，运用和借鉴其他领域成熟的虚拟化、服务化以及虚拟化切片等技术思想，在密码系统领域提出“密码系统虚拟化切片”的全新概念，以便使用同一套物理密码基础设施构建面向不同用途的各种逻辑密码系统。3密码系统虚拟化切片应用方案密码系统虚拟化切片从自身以及从作为配套功能两个角度都具有广泛的应用前景。3.1从自身功能角度密码系统虚拟化切片一方面能够解决密码系统自身能力上的“不足”，确保密码技术能够跟上信息技术的发展；另一方面又能够基于一套物理密码基础设施形成多个不同用途的虚拟密码系统，在提高灵活度的同时又能够大幅度降低密码系统的建设成本。这种应用方式的典型应用场景是基于密码系统虚拟化切片提供多等级多管理域密码系统，假设包括门卫式密码设备、调用式密码设备、密码管理设备、密码应用数据中心、密码网关设备以及各种逻辑密码功能服务，各物理设备和密码服务功能之间通过密码协议交互和协作密码资源。在用途方面，假设构建4个密码系统虚拟化切片，“级”分为等级1和等级2，“域”分为用户域1和用户域2。基于密码系统化切片用于解决多用途密码应用的典型系统如图8所示。图8基于密码系统化切片用于解决多用途密码应用的典型系统图8中，在门卫式密码设备上虚拟出4个逻辑门卫式密码功能（IP密码机），在密码管理设备上虚拟出4个逻辑密码管理功能，在保密业务数据中心上的调用式密码设备上虚拟出4个逻辑调用式密码设备与4个业务服务功能共同形成4个逻辑业务服务功能，在互通网关基础设施上虚拟出4个逻辑密码网关功能，分别与其他4个虚拟涉密信息系统互联互通。相同等级、相同域的逻辑门卫式密码功能（虚拟IP密码机）、逻辑密码管理功能、逻辑业务服务功能（含逻辑调用式密码功能）以及逻辑密码网关功能共同形成一个密码系统虚拟化切片，共有等级1域1、等级1域2、等级2域1以及等级2域2共计4个密码系统虚拟化切片，它们共享同一套密码系统物理基础设施。逻辑门卫式密码功能在逻辑密码系统中提供民用非密网络与特殊行业涉密网络之间基于密码的门卫式红黑隔离功能。逻辑密码管理功能在逻辑密码系统中提供身份鉴别、密码服务策略在线下载、密码资源在线分发和更换等功能。逻辑业务服务功能在逻辑密码系统中提供特定用途的保密业务与应用功能。逻辑密码网关功能在逻辑密码系统中提供与其他密码系统的互联互通功能。可以看出，密码系统虚拟化切片从自身角度，能够将不同密码物理设备上虚拟出来的逻辑密码功能关联和编排起来，形成一个完整的逻辑密码系统，从而确保密码系统的持续灵活可扩展性，同时也极大幅度地降低了传统密码系统在研发、建设以及管理上的投入。3.2从作为配套功能角度密码系统虚拟化切片作为配套功能可以为宿主系统提供差异化的信息安全能力。5G网络就是一个绝佳的典型宿主系统，基于密码系统虚拟化切片提供具有差异化信息安全能力的虚拟密码功能服务，通过将其编排进相应的网络切片中，形成具有差异化信息安全能力的网络切片，以支持垂直行业的差异化信息安全需求，如图9所示。图9差异化网络切片定制原理传统的网络切片是为不同应用场景提供具有差异化网络通信能力的虚拟逻辑网络，而密码系统虚拟化切片的引入能够将网络切片的内涵扩大，将差异化能力的范畴从网络通信能力扩充到信息安全能力，最终为垂直行业提供一系列具有差异化安全能力的定制网络切片，如图10所示。图10面向垂直行业差异化需求的网络切片可以看出，密码系统虚拟化切片从作为配套功能角度，在降低自身建设成本的同时，还能够消除密码系统的功能提供者与消费者之间的耦合关系，从而实现密码技术与计算、存储以及网络通信技术之间的独立发展演进效果。4密码系统虚拟化切片试验验证依托从运营商租赁的标准商用5G移动通信基础设施（含虚拟化网元和编排系统）和自研的安全基础设施（含虚拟化安全功能和编排系统），构建3个典型的端到端网络切片和3个密码系统虚拟化切片，并基于该系统进行试验验证，网络拓扑如图11所示。图11试验验证环境网络拓扑整个试验验证环境包括用户终端、基站、核心网基础设施、安全基础设施、信息基础设施，具体设备组成清单如表1所示。表1试验验证设备组成清单需要说明的是，安全增强SIM卡中嵌入了国产/专用的认证算法模块。专用UDM网元除了具备标准UDM的全部功能，还开放与控制面专用认证服务之间交互的接口，用于嵌入并调用基于国产/专用认证算法的专用身份认证能力。安全组件和VPN网关提供终端侧高速业务信源和传输加密防护功能，虚拟化VPN网关提供网络侧高速传输加密防护功能，应用安全增强服务提供应用侧信源加密防护功能。低功耗安全组件提供终端侧信源和轻量级传输加密防护功能，轻量级安全网关服务提供网络侧轻量级传输加密防护功能，应用安全增强服务提供应用侧信源加密防护功能。安全管理服务对所有网络侧和应用侧虚拟化安全功能服务提供密钥管理和安全策略管理功能。通过网络功能编排系统，将核心网拜访域网络基础设施、核心网归属域网络基础设施以及网络安全基础设施中的虚拟化网络功能、虚拟化安全功能进行编排，形成具有差异化能力的网络切片，分别是普通安全等级宽带网络切片、高安全等级宽带网络切片以及高安全等级物联网切片。通过密码功能编排系统，将网络安全基础设施、应用安全基础设施中的控制面专用认证服务、虚拟化VPN网关、轻量化安全网关服务、应用安全增强服务以及安全管理服务等虚拟化安全功能进行编排，形成具有差异化能力的密码系统虚拟化切片，分别是密码系统虚拟化切片1、2、3，分别对应普通安全等级宽带网络切片、高安全等级宽带网络切片以及高安全等级物联网切片，及其各自应用所对应的密码系统。本文从多个维度对安全增强机制进行了验证，具体包括以下内容。4.1密码系统虚拟化切片间的安全隔离普通安全等级宽带网络切片以及密码系统虚拟化切片1采用传统虚拟化容器技术手段提供资源隔离，高安全等级宽带网络切片、高安全等级物联网切片及密码系统虚拟化切片2和3采用基于密码的虚拟化容器安全加固技术手段提供强隔离。分别在虚拟化容器外部，尝试获取各自操作系统的内核版本。从密码系统虚拟化切片外部获取内核信息试验如图12所示。图12从密码系统虚拟化切片外部获取内核信息试验可见，从普通安全等级网络切片及密码系统虚拟化切片1的虚拟化容器外部可获得操作系统内核版本，而从高安全等级网络切片及密码系统虚拟化切片2、3的虚拟化容器外部无法获取操作系统内核版本。分别在虚拟化容器外部，尝试获取和打开一个相同的文件。从密码系统虚拟化切片外部打开文件试验如图13所示。可见，从普通安全等级网络切片及密码系统虚拟化切片1的虚拟化容器外部可获得并正常打开一个文件，而从高安全等级网络切片及密码系统虚拟化切片2、3的虚拟化容器外部无法获取并正常打开一个相同的文件。证明可通过将网络基础设施和网络安全基础设施进行联合编排，形成高安全等级网络切片，其虚拟化容器具有安全加固功能，可防止攻击者从容器外部获取容器内部信息；通过密码系统虚拟化切片技术可基于同一套安全基础设施同时实现面向普通安全等级、高安全等级系统的虚拟化容器差异化安全防护能力。图13从密码系统虚拟化切片外部打开文件试验4.2控制面差异化安全机制验证普通安全等级宽带网络切片以及密码系统虚拟化切片1采用3GPP规定的AES算法提供接入认证，由核心网归属域UDM管理包括长期密钥在内的所有用户签约信息；高安全等级宽带网络切片、高安全等级物联网切片及密码系统虚拟化切片2和3采用基于国产/专用认证算法提供的专用接入认证，由核心网归属域定制UDM管理用户签约信息，由控制面专用认证服务管理用户的长期密钥信息。为安全增强SIM卡和标准SIM卡同时写入相同的、高安全等级宽带网络切片的相关参数，包括相同的IMSI、OPc以及根密钥K等。将写入了相同参数的安全增强SIM卡和标准SIM卡插入相同的移动智能终端，经过试验验证发现，只有插入了安全增强SIM卡的手机能够通过高安全等级宽带网络切片的接入认证。证明可以实现不同安全等级网络切片之间用户签约信息的隔离管理，达到由行业用户自主管理的效果，对拜访域透明无感；同时可通过编排控制面专用认证服务提供专用的接入认证算法，依托密码系统虚拟化切片自身提供的差异化安全能力，实现普通安全等级网络切片与高安全等级网络切片之间的密码隔离效果，其安全强度高于传统基于资源隔离的效果；通过密码系统虚拟化切片技术可基于同一套安全基础设施同时实现面向普通安全等级、面向高安全等级系统的差异化控制面安全防护能力。4.3用户面差异化安全机制验证普通安全等级宽带网络切片以及密码系统虚拟化切片1采用虚拟化VPN网关提供传输加密防护，采用应用安全增强服务提供信源加密防护功能；高安全等级宽带网络切片以及密码系统虚拟化切片2采用虚拟化VPN网关提供传输加密防护，采用应用安全增强服务提供信源加密防护功能，采用异网互通网关服务提供与安全PSTN系统之间通信互通和密码互通功能；高安全等级物联网切片以及密码系统虚拟化切片3采用轻量化安全网关服务提供轻量化传输加密防护，采用应用安全增强服务提供信源加密防护功能。在5G智能手机上部署安全组件，5GCPE与测试计算机之间串接VPN网关，与宽带网络切片及密码系统虚拟化切片1或2中虚拟化VPN网关及应用安全增强服务配合，提供端到端业务传输加密防护和信源加密防护能力；在物联网终端上部署低功耗安全组件，与物联网切片及密码系统虚拟化切片3中的轻量化安全网关服务及应用安全增强服务配合，提供端到端业务轻量化加密防护和信源加密防护能力。用5G智能手机1分别与5G智能手机2、5GCPE1和2尝试建立高清视频业务；用5G智能手机2分别与5G智能手机1、5GCPE1和2尝试建立高清视频业务；用物联网终端向物联网应用环境上传感知信息。经过测试验证发现，5G智能手机1只能与5GCPE1成功建立高清视频业务；5G智能手机2只能与5GCPE2成功建立高清视频业务；物联网应用能够获取物联网终端采集到的环境感知数据。通过从传输线路上捕获3个网络切片和3个密码系统虚拟化切片的业务数据，与其各自网络切片和虚拟化切片的虚拟化VPN网关或轻量化安全网关服务进行明密对比，验证了用户面差异化安全机制的机密性保护效果。通过在传输线路上修改业务数据验证了虚拟化VPN网关或轻量化安全网关服务