5G核心網(wǎng)安全技術(shù)分析

王 佳

（中通服咨詢?cè)O(shè)計(jì)研究院有限公司，江蘇 南京 210000）

0 引 言

網(wǎng)絡(luò)安全一直是網(wǎng)絡(luò)建設(shè)的重點(diǎn)和難點(diǎn)，尤其是即將全面普及的5G網(wǎng)絡(luò)，其核心網(wǎng)的安全性面臨極大的市場(chǎng)挑戰(zhàn)。為了攻克這一難關(guān)，通信行業(yè)從不同的技術(shù)角度進(jìn)行預(yù)研及驗(yàn)證，并提出了許多切實(shí)有效的解決方案。圖1提供了一種5G核心網(wǎng)安全的解決方案，下面將以圖1為基礎(chǔ)來(lái)論述分析5G核心網(wǎng)的安全策略。

1 5G核心網(wǎng)的接入安全分析

5G核心網(wǎng)的接入安全要結(jié)合UE、接入網(wǎng)和5G核心網(wǎng)3個(gè)部分共同考慮，推薦采用多重防護(hù)機(jī)制[1]。圖2是接入安全的一種架構(gòu)模式圖，通過(guò)對(duì)網(wǎng)絡(luò)和用戶之間的雙向認(rèn)證手段，確保網(wǎng)絡(luò)和用戶之間的可信。對(duì)空口、UE、核心網(wǎng)之間通信的數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)加密支持EAP-AKA和5G-AKA認(rèn)證，并且支持業(yè)內(nèi)主流的數(shù)據(jù)加密和數(shù)據(jù)完整性保護(hù)算法，可以有效防止數(shù)據(jù)被竊取。在UE需要訪問(wèn)應(yīng)用的情況下，根據(jù)實(shí)際需求建立IPSec/SSL VPN通道，用以保證數(shù)據(jù)傳輸?shù)陌踩裕€可以實(shí)時(shí)監(jiān)測(cè)和控制數(shù)據(jù)的訪問(wèn)。在用戶沒(méi)有獲取到權(quán)限的情況下，不允許用戶訪問(wèn)網(wǎng)絡(luò)切片。此外，設(shè)立多重防護(hù)機(jī)制實(shí)現(xiàn)不同安全需求與不同安全終結(jié)點(diǎn)之間的匹配。

2 5G核心網(wǎng)的網(wǎng)絡(luò)安全分析

5G核心網(wǎng)的網(wǎng)絡(luò)安全是整個(gè)安全技術(shù)中最重要的組成部分，需要投入的精力最多，下面將從多個(gè)方面進(jìn)行論述。

2.1 網(wǎng)絡(luò)功能虛擬化安全分析

網(wǎng)絡(luò)功能虛擬化簡(jiǎn)稱NFV，是5G中重要的網(wǎng)絡(luò)技術(shù)，主要包含VNF、MANO以及VM等功能[2]。

2.1.1 VNF

VNF是虛擬網(wǎng)絡(luò)功能，在整個(gè)運(yùn)行過(guò)程中需要嚴(yán)格把關(guān)用戶的權(quán)限認(rèn)證和權(quán)限管理。VNF有包管理、實(shí)例化、實(shí)例管理、實(shí)例更新以及實(shí)例終止等過(guò)程，所有過(guò)程都有可能面臨不同的安全風(fēng)險(xiǎn)。VNF在包管理中的主要安全措施是對(duì)上載的文件進(jìn)行完整性檢查，并將其存儲(chǔ)在安全區(qū)域，同時(shí)對(duì)文件進(jìn)行權(quán)限設(shè)置。VNF的實(shí)例化需要再次驗(yàn)證完整性和權(quán)限，以避免文件被不法分子篡改。VNF的實(shí)例管理核心是權(quán)限認(rèn)證，保證實(shí)例狀態(tài)不被外泄。同理，VNF的實(shí)例更新和終止操作也均需先獲取用戶權(quán)限才能發(fā)起對(duì)應(yīng)的操作進(jìn)程。

2.1.2 MANO

MANO是管理和編排，重點(diǎn)是對(duì)各個(gè)組件進(jìn)行安全保護(hù)和管理。為了確保MANO的平臺(tái)可信度，消除潛在安全威脅并修復(fù)安全漏洞，需要對(duì)虛擬化編排NFVO完成安全加固，主要內(nèi)容包括病毒查殺、病毒庫(kù)的升級(jí)更新以及及時(shí)對(duì)訪問(wèn)用戶進(jìn)行認(rèn)證和重新授權(quán)操作。在虛擬網(wǎng)絡(luò)功能管理VNFM中，需要特別關(guān)注NFVO防DoS/DDoS攻擊，保障虛擬機(jī)安全。在虛擬化基礎(chǔ)設(shè)施管理器中，需加強(qiáng)對(duì)通信數(shù)據(jù)的完整性和機(jī)密性的保護(hù)，開(kāi)啟雙向認(rèn)證模式，杜絕安全威脅。

2.1.3 VM

圖1 5G核心網(wǎng)安全解決方案

圖2 多應(yīng)用場(chǎng)景下的安全認(rèn)證架構(gòu)

VM是虛擬機(jī)。由于它是虛擬鏡像的存在，所以要重點(diǎn)保證虛擬鏡像文件的安全，做好系統(tǒng)的安全防護(hù)、優(yōu)化以及訪問(wèn)控制，避免虛擬機(jī)資源被惡意使用。虛擬機(jī)要遵循最小化原則，及時(shí)關(guān)閉無(wú)用端口，嚴(yán)格分配資源。

2.2 軟件定義網(wǎng)絡(luò)安全分析

軟件定義網(wǎng)絡(luò)簡(jiǎn)稱SDN，主要特征是控制和轉(zhuǎn)發(fā)分離[2]，同樣面臨被黑客攻擊的風(fēng)險(xiǎn)。黑客可以采取類似攻擊操作系統(tǒng)的手段攻擊SDN。黑客的具體做法通常是偽造南北信息，進(jìn)而可以對(duì)控制器發(fā)起資源消耗的攻擊，因?yàn)镾DN的控制器本質(zhì)上屬于操作系統(tǒng)的COTS硬件部分。為了有效規(guī)避這種被攻擊的風(fēng)險(xiǎn)，需要采取實(shí)時(shí)監(jiān)視的措施，監(jiān)視系統(tǒng)資源的利用率。采用Cluster架構(gòu)對(duì)攻擊點(diǎn)進(jìn)行分散，防范DDoS攻擊，再結(jié)合用戶權(quán)限認(rèn)證的方式進(jìn)行訪問(wèn)控制和遠(yuǎn)程登錄控制。采用SSL接入一方面保護(hù)了數(shù)據(jù)私密性，另一方面限制了遠(yuǎn)程訪問(wèn)的IP地址，確保了網(wǎng)絡(luò)接入的安全性。另外，增加日志分析功能，對(duì)安全事件進(jìn)行取證和回溯。操作系統(tǒng)還需要定期進(jìn)行升級(jí)維護(hù)和安全加固，采取一系列的措施保障SDN的安全。

2.3 網(wǎng)絡(luò)安全域隔離

網(wǎng)絡(luò)安全域隔離需要在5G核心網(wǎng)組網(wǎng)階段就完成安全域的劃分和隔離，劃分標(biāo)準(zhǔn)是網(wǎng)元的基本功能屬性。圖3展現(xiàn)了一種域間隔離的框圖。根據(jù)用戶的網(wǎng)元功能需求界定安全等級(jí)，再根據(jù)安全等級(jí)歸類到不同的安全域。對(duì)不同的安全域進(jìn)行合理的基礎(chǔ)網(wǎng)絡(luò)資源分配，并且不同的安全域之間不能共享資源，是實(shí)現(xiàn)隔離的必要舉措。嚴(yán)格控制域間安全和域內(nèi)安全，根據(jù)使用需求可以開(kāi)放域內(nèi)數(shù)據(jù)傳輸，而跨域的數(shù)據(jù)傳輸則必須受到整個(gè)模塊安全控制策略的制約。

2.4 網(wǎng)絡(luò)切片安全分析

網(wǎng)絡(luò)切片安全需要給用戶提供安全的連接模式，這些模式主要是基于IPSeC或SSL VPN來(lái)實(shí)現(xiàn)，并綜合考慮接入策略和協(xié)議數(shù)據(jù)單元回話機(jī)制等因素[3]。網(wǎng)絡(luò)切片安全管控需要滿足Slice ID和安全性的基本要求，實(shí)現(xiàn)VNF的隔離和FCAPS管理。通過(guò)設(shè)置白名單保障公共NF和切片NF的安全，利用網(wǎng)絡(luò)切片選擇功能實(shí)現(xiàn)AMF和NF的正確連接，并對(duì)請(qǐng)求頻率進(jìn)行監(jiān)測(cè)。

圖3 實(shí)現(xiàn)域間隔離的安全域劃分

3 5G核心網(wǎng)管理安全和能力開(kāi)放安全

5G網(wǎng)絡(luò)一個(gè)非常顯著的特征是對(duì)用戶提供開(kāi)放式業(yè)務(wù)，這種業(yè)務(wù)能力的開(kāi)放必須經(jīng)過(guò)安全封裝才能投入使用。安全開(kāi)放的核心思想依然是授權(quán)，即對(duì)運(yùn)營(yíng)商的不同需求進(jìn)行授權(quán)，運(yùn)營(yíng)商獲取相應(yīng)的權(quán)限后才能訪問(wèn)目標(biāo)業(yè)務(wù)。網(wǎng)絡(luò)編排業(yè)務(wù)中，網(wǎng)絡(luò)能力開(kāi)放安全的保障有多種實(shí)現(xiàn)方案。例如，可以選擇用戶接入認(rèn)證應(yīng)對(duì)不同的終端用戶、選擇不同的加密等級(jí)保護(hù)不同的業(yè)務(wù)、選擇用戶面數(shù)據(jù)保護(hù)終結(jié)點(diǎn)操作有效保護(hù)數(shù)據(jù)、對(duì)不同的網(wǎng)絡(luò)切片賦予不同的安全等級(jí)等。熟悉各個(gè)模塊的應(yīng)用原理，就可以采取針對(duì)性強(qiáng)的措施進(jìn)行安全保護(hù)。

面向更大的業(yè)務(wù)需求，則需要采取更加系統(tǒng)化的策略。例如，針對(duì)門戶的安全接入，需要基于核心網(wǎng)完善的管理制度，而整個(gè)系統(tǒng)必須在此制度下安全運(yùn)行。對(duì)于賬戶管理而言，主要措施是對(duì)角色分權(quán)和分域進(jìn)行區(qū)別化管理。具體實(shí)施時(shí)，要對(duì)賬戶的用戶名和密碼、賬戶的生命周期、密碼的復(fù)雜度確認(rèn)以及用戶的認(rèn)證進(jìn)行嚴(yán)格的管理并執(zhí)行。

4 5G核心網(wǎng)數(shù)據(jù)安全

網(wǎng)絡(luò)用戶的數(shù)據(jù)安全問(wèn)題在全球范圍內(nèi)受到了重點(diǎn)關(guān)注。針對(duì)數(shù)據(jù)安全問(wèn)題，歐盟起草并制定了《通用數(shù)據(jù)保護(hù)條例》保護(hù)歐盟國(guó)家的用戶數(shù)據(jù)，而其他國(guó)家和地區(qū)也相繼出臺(tái)了一些標(biāo)準(zhǔn)及政策。網(wǎng)絡(luò)數(shù)據(jù)有收集、傳輸、處理、存儲(chǔ)以及應(yīng)用等多個(gè)階段，每個(gè)階段都存在安全風(fēng)險(xiǎn)，需要在設(shè)計(jì)初期就考慮到多個(gè)層面的數(shù)據(jù)保護(hù)方案。一些具體的措施如表1所示[4-5]。

表1 5G網(wǎng)絡(luò)的用戶數(shù)據(jù)安全保護(hù)

5 結(jié) 論

5G核心網(wǎng)的安全技術(shù)涵蓋的方面多，各大通信運(yùn)行商不斷加大投入來(lái)完善網(wǎng)絡(luò)安全機(jī)制。5G核心網(wǎng)的安全建設(shè)仍然需要不斷突破，優(yōu)化和升級(jí)現(xiàn)有方案。網(wǎng)絡(luò)安全沒(méi)有最高級(jí)，只有越來(lái)越安全。相信在未來(lái)5G全面建設(shè)完成時(shí)，終端用戶可以享受到快速安全的網(wǎng)絡(luò)體驗(yàn)。