5G网络智能化安全技术与标准

摘要

随着5G业务形态呈现多样化，5G核心网需要融合人工智能技术，提升网络数据分析能力以满足复杂的业务需求。NWDAF作为5G网络中引入的大数据分析网元，可以向网络提供数据分析服务，为实现网络的自动化和智能化提供重要的技术基础，它的功能在不断增强和完善，但在研究和实际应用时也会面临诸多安全挑战。

中国移动作为3GPP网络智能化安全（eNA SEC）报告人，在3GPP牵头网络智能化相关的安全标准和研究，主要涉及NWDAF网元的自身安全、网络智能化过程安全、利用NWDAF解决安全问题等，本文介绍了当前3GPP网络智能化安全相关的标准和研究进展。

前言

未来通信场景复杂、业务需求多样，5G网络需要智能化提供按需服务和更高的网络资源利用效率，在5G网络设计时应考虑引入人工智能与大数据分析技术，利用人工智能与大数据分析技术对移动网络通信数据进行分析、推理、研判与处置，提高网络资源利用率与管理效率。因此，3GPP引入5G核心网AI单元（NWDAF），形成数据采集、训练、推理闭环控制，以及支持多样化解决方案的网络大数据分析体系架构。作为5G网络的AI和大数据引擎，NWDAF负责收集网管、业务、网络、终端数据，执行数据模型训练，输出预测、推理、决策结果，辅助网络运营和运维，促进5G网络资源的合理配置。

01 NWDAF网元安全

3GPP SA3在R17开展针对于5G智能数据分析网元NWDAF的安全性研究，此项目由中国移动牵头，诺基亚、爱立信、华为、联想、三星等多家单位共同参与研究，并发布相关的标准3GPP TR 33.866。标准主要研究NWDAF网元面临的安全问题，并提供相应的解决方案，主要包括三方面关键问题：

（1）NWDAF数据收集防护

作为5G网络智能数据分析核心网元，NWDAF在进行数据收集时需要安全防护，包括隐私保护、数据机密性保护、数据完整性保护、可访问性等要求。

首先，NWDAF要收集UE数据，这就需要考虑UE与NWDAF所处网络的相互认证，数据收集过程的机密性保护、完整性保护以及抗重放保护，同时还需要保证网络功能和分析功能接收、发送或传输UE相关数据的授权。

其次，3GPP引入了一些逻辑功能配合NWDAF的数据采集与分析。新的逻辑功能的引入，必定会引起数据输入及输出流程的改变，所以需要考虑新架构下数据输入输出的安全性，包括对数据获取方的授权以及服务化流程的改变等。

最后，因为NWDAF网元涉及人工智能分析，应保护5G网络分析功能免于处理不清洁或篡改的数据，需要安全手段确保样本的清洁，避免恶意样本的攻击。

（2）NWDAF协助安全检测

移动网络中存在着类型丰富的信息，例如位置信息、流量信息、信令信息、签约信息等，同时，移动网络也聚集了全网的大量流量。移动网络数据数量大、类型多，作为安全分析的宝贵数据源，可以在5G网络中对数据资源进行网络安全自动化分析。

对外部网络攻击行为进行检测分析：为了实现网络攻击检测，核心网中的网元可以与UE合作，以收集相关数据作为输入，并将异常事件警报作为输出提供给网管或其他网元，以便对网络攻击进行缓解，包括无线空口上的中间人攻击、DoS攻击等外部网络攻击。

对网络内部异常网元行为进行检测分析：5GC支持分布式网元部署，以便网元从多个位置和多个执行实例提供服务。当这些网元分布在不同的云基础设施中时，网元可能会以未定义的方式运行。网元的未定义行为可能是由内部错误引起的，例如配置错误或内部数据损坏。根据网元的类型，这种不当行为可能会影响一个或多个UE的服务。在这种情况下，网络分析功能必须监控所有网元的行为并确保其行为符合定义，并在网元发生异常行为时报告异常。

（3）NWDAF实例间数据传输保护

NWDAF支持分层的架构，这就使得不同的NWDAF实例间可以进行数据传输。由于机器学习模型使用专有算法进行训练，有时也使用敏感数据进行训练，因此对于训练模型的保护是至关重要的。对于多个NWDAF实例，在传输数据和输出分析结果期间，需要确保用户隐私以及训练模型的安全。在将隐私数据或训练模型共享之前，需要确保发送者NWDAF采取适当的安全保护措施，以保护任何可能泄露用户隐私的信息，例如定位信息、用户个人资料信息等，同时仅应允许授权的NWDAF实例使用来自其他NWDAF实例的机器学习模型。

02 5G网络智能化安全

在3GPP SA3上一阶段工作的基础上，R18继续开展针对于5G网络智能化数据分析的安全研究，由NWDAF架构安全向智能化安全进行演进。此项目由中国移动牵头，诺基亚、爱立信、华为、因特尔等多家单位共同参与研究，并发布相关的标准3GPP TR 33.738。标准主要研究漫游场景下的智能化分析数据共享安全、联邦学习集群授权、AI模型安全防护问题等。

图1 5G网络智能化安全研究内容

（1）漫游场景下数据共享的授权与隐私保护

在漫游场景中，PLMN可能需要从对端PLMN收集数据或使用分析。两个PLMN（VPLMN、HPLMN）都需要基于运营商政策、监管约束和漫游协议控制共享的数据类型或数量，并且需要具备隐藏网络内部数据和信息的能力。针对此问题，3GPP TR 33.738提出在获取漫游数据时针对所请求的数据类型进行更细粒度的授权，仅允许对端PLMN请求被NRF或NWDAF所允许的数据类型，以此控制共享的数据类型；同时要求NWDAF在将数据提供给对端PLMN之前，需要对数据做匿名化或脱敏处理，以此保证网内数据的“可用而不可见”。

在NWDAF消费者从多个PLMN收集数据的情况下，所收集的数据需要统一汇总到NWDAF消费者进行分享。但如果不同PLMN使用的数据处理方法（匿名化或数据脱敏）不同，则可能无法有效使用NWDAF消费者中汇总的数据。针对这一问题，3GPP TR 33.738也探索了在不同运营商间使用安全多方计算进行数据传输防护的方式。

（2）联邦学习集群的授权

不同类型的NWDAF具有不同的逻辑功能：具有AnLF功能的NWDAF是逻辑分析功能单元，负责使用MTLF训练生产的模型进行分析并输出分析结果；具有MTLF功能的NWDAF是模型训练功能单元，负责AnLF所使用的模型的训练和生产，多个MTLF可以使用联邦学习的方式共同训练模型。

当一个MTLF作为联邦学习服务器、其他多个MTLF作为联邦学习客户端启动联合学习的过程中，需要关注其授权问题。网元注册期间，作为联邦学习服务器的MTLF提供的联邦学习能力类型（FL服务器或FL客户端），以及作为联邦学习客户端的MTLF提供的Analytics ID和互操作性指示符来决定所选的MTLF是否有权限作为联邦学习服务器或客户端。

（3）AI/ML模型的安全保护

AI/ML模型在NWDAF之间可以共享，在不同的场景中，AI/ML模型的NF生产者可以将该模型存储在ADRF（分析数据存储库功能）、NWDAF或其他实体中。由于AI/ML模型及其算法通常是厂商私有的，因此必须确保具备访问权限的NWDAF才能读取和使用这些模型。ADRF可以存储AI/ML模型，但ADRF本身不能被视为存储敏感AI/ML数据模型的完全可信实体，因此还需考虑模型存储在ADRF中的安全。

3GPP TR 33.738提出模型的所有权在于生产此模型的MTLF。MTLF可以选择性的将模型以加密的形式存储在ADRF中，在后续AnLF向MTLF发起模型获取请求时，由MTLF鉴别AnLF的权限，并决定是否将解密的密钥或模型地址提供给AnLF，从而实现对模型存储的加密保护和对模型获取的授权。

03 总结与展望

3GPP经过两个版本（R17、R18）的研究，提出了一套针对5G网络智能化数据分析的安全保护机制，主要包括NWDAF在网内与网间收集数据时的认证授权与安全防护、启动联邦学习过程的授权问题、运营商网内的AI模型保护问题等。

随着智能化技术的发展，攻击手段也在不断发展，传统的外挂式安全检测手段难以应对多样化的安全攻击，因此需要利用AI对网络安全问题进行智能化检测，提高检测效率。同时，随着网络的演进，AI在3GPP网络的应用可能会导致网络暴露面增大，将AI自身的安全风险引入到通信网中，使得网络安全攻击变得更加复杂，因此需要对AI可靠性、AI模型在通信网中的权限控制和隐私保护等进行研究。未来，3GPP将继续研究AI在3GPP网络应用过程中的安全需求与安全机制，保障3GPP网络中应用AI的自身安全，并积极探索通过AI解决运营商网络安全问题的新理念与新方案。

【参考文献】

1. 3GPP TR 33.866 Study on security aspects of enablers for Network Automation (eNA) for the 5G system (5GS) Phase 2

2. 3GPP TR33.738 Study on security aspects of enablers for Network Automation (eNA) for the 5G system (5GS) Phase 3

3. 3GPP TS 33.501 Security architecture and procedures for 5G system

审稿：安全技术研究所（安全管理中心）| 粟栗、杜海涛

本文作者

刘畅 安全技术研究所（安全管理中心）

就职于中国移动研究院，3GPP eNA安全报告人，主要从事5G安全标准化工作。

声明：本文来自中移智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。