5G網絡共建共享安全研究

1 概述

隨著5G網絡的發展，網絡建設投資逐步增加。由于5G 單站價格高、站址密集、傳輸需求大，5G 網絡的CAPEX巨增。粗略估算，若建設70萬個5G基站，投資估算約2 500 億元；若實現全國覆蓋，至少需要200 萬個5G 基站，成本將會更高。同時5G 網絡運營成本壓力加大，單個5G 有源天線的最大功耗約為1 100 W，未來有望降低至800～1 000 W，但仍遠高于現網RRU（約250 W），能耗巨大。此外，5G AAU 與現網2G/3G/4G 無源天線需相互獨立部署，天面空間更加緊張。整體來看，相同基站規模下，5G 網絡的OPEX 也將數倍于4G網絡。

因此，以擴覆蓋、降成本、一張網為目標，開展5G網絡共建共享，降本增效，提升資產運營效率，是大勢所趨，國內外均開展了網絡共建共享的多種嘗試。例如，中國聯通與中國電信于2019 年簽署《5G 網絡共建共享框架合作協議書》，雙方劃定區域，分區建設，各自負責在劃定區域內的5G 網絡建設相關工作，誰建設、誰投資、誰維護、誰承擔網絡運營成本。中國移動與中國廣電于2021 年訂立有關5G 共建共享的具體合作協議，雙方共同建設700 MHz無線網絡，中國移動向中國廣電有償共享2.6 GHz 網絡。歐洲沃達豐將網絡共享作為其整體策略，英國、西班牙、意大利、澳大利亞均在實施，共享方式也基本采用在大城市獨立建設以保持網絡建設和業務的獨立性，在非核心區域采取網絡共享，以節省成本。2020 年3 月，諾基亞攜手Telenor和Telia在丹麥完成了5G MOCN功能的部署。

采用共建共享方式建設5G網絡，可以大大節省投資成本，實現帶寬翻倍、速率翻倍、覆蓋翻倍。但是共建共享使得雙方的移動網絡由封閉轉向開放，帶來了開放性的安全風險。在目前共建共享條件下，存在多種邊界場景，例如跨運營商場景、共享與非共享場景，客觀上也使得共建共享面臨諸多安全挑戰。本文將從5G共建共享網絡架構出發，分析接入網、承載網、核心網、網管系統等由于共建共享帶來的新的安全風險及相應的應對策略，從而保障共建共享場景下雙方的網絡安全。

2 共建共享網絡架構

根據共享方式和共享程度的不同，網絡共享網絡架構一般分為以下4種：站址共享、MORAN（Multi-Operator Radio Access Network）、MOCN（Multi-Operator Core Network）和GWCN（Gateway Core Network）。

a）站址共享：運營商之間只共享物理站址，包括：機房、鐵塔、電源、天饋系統等。由于站址投資較大，此種方式可對站址資源共享，減少重復投資，例如中國鐵塔公司負責站址基礎設施的建設，由其提供給國內的運營商使用（見圖1）。

圖1 站址共享示意圖

b）MORAN：即分載頻共享模式，僅共享基帶單元和射頻單元，頻率資源、RRM 和服務部署獨立。此種共享方式在站址共享的基礎上將無線接入網的主設備（即基站設備）也進行共享，不同運營商在各自所屬載頻上廣播各自的PLMN。此種模式下，承建方和共享方共享站點的基礎設施或網絡設備，但是每個運營商擁有其獨立的小區，這些獨立的小區稱為分載頻共享小區，每個分載頻共享小區歸屬于一個運營商，組網示意如圖2所示。此共享方式只共享基站內部與無線接入資源無關的模塊，而小區和頻點不共享。對手機來說，與基站不共享是一樣的，各個運營商的小區和頻點獨立，手機接入自己的簽約網絡。所以，MORAN的實現比較簡單，共享不夠徹底。

圖2 MORAN組網示意圖

c）MOCN：即共載頻共享模式，共享基帶單元和射頻單元，共享頻率資源，共享RRM，統一服務部署。此種共享方式在MORAN 只共享基站硬件的基礎上，基站內部和無線接入資源相關的最關鍵模塊，即小區和頻點也進行共享，需要在相同的載頻上同時廣播不同運營商的PLMN。此種模式下，承建方和共享方共享站點的基礎設施或網絡設備，并且也共享小區載波，這些共享的小區稱為共載頻共享小區，每個共載頻共享小區同時歸屬于共建共享的雙方。組網示意如圖3所示，小區同時廣播承建方與共享方運營商的PLMN網絡號，手機按自己服務網絡的PLMN 接入。由于涉及同一基站內部的資源分配，因此此種共享方式比較復雜，但是共享更為深入，對于拓展用戶覆蓋及共享效果更為有益（見圖3）。

d）GWCN，即共享RAN 和部分核心網，此種共享方式在MOCN 的基礎上，共享部分核心網元，共享程度進一步加深。但是由于核心網側存儲著大量運營商專有數據及用戶數據，會增加運營商管理的復雜程度，同時核心網共享會帶來大量網絡改造和維護工作，投入產出比降低（見圖4）。

圖3 MOCN組網示意圖

圖4 GWCN組網示意圖

站址共享、MORAN、MOCN 和GWCN 這幾種網絡共享方式的共享程度依次加深，涉及到容量和性能的規劃、參數的修改等問題，共享難度依次加大。

目前，中國電信與中國聯通5G網絡共建共享采用5G MOCN 共享網絡架構，無線基站共建共享，核心網獨立建設，多個運營商的5G核心網連接到同一個NGRAN，共享無線接入網絡，共享無線資源。

3 共建共享安全風險

共建共享雙方共用的基站（不論是NSA 模式還是SA 模式）都通過承載網的互聯鏈路實現互通，使雙方的移動網絡由封閉轉向開放，帶來了開放性的安全風險。在目前共建共享條件下，存在多種邊界場景，例如跨運營商場景、共享與非共享場景，客觀上也使得共建共享面臨諸多安全挑戰。由于5G 網絡安全涉及內容比較多，本文主要分析5G 網絡共建共享對接入網、承載網、核心網、網管系統等帶來的影響及新的安全風險和安全需求（見圖5）。

圖5 共建共享安全風險示意圖

3.1 接入網安全風險

MOCN 模式下的共建共享，雙方共享無線基站，承建方運營商的基站需要與雙方的核心網相連，共享基站帶來的互聯互通加大了基站對外暴露的可能性，需要雙方制定切實可行的措施來保障基站的系統安全、物理安全。若雙方的基站的安全加固不一致、不到位，當一方基站出現安全問題時，也會影響到對方的網絡。5G 基站通過N2、N3 接口與核心網相連，通過Xn口與其他基站相連。當基站共享后，共享基站與其他網元（如UPF、AMF、其他基站）的回傳接口發生流量竊聽、重放攻擊的可能性加大。

3.2 承載網安全風險

共建共享雙方的承載網互通是共建共享實現的基礎，承載能否滿足網絡要求，將直接影響5G 的網絡質量。而承載網互通加大了與異網運營商的暴露面，對互通節點的路由設備和組件提出了更高的安全要求。

例如互聯端口故障可能會引發鏈路異常進而導致承載的基站無法正常運行；與業務無關的、不合規的外部流量通過攻擊互通節點，并以此作為跳板來實施跨網攻擊；路由設備與組件漏洞可能被攻擊者利用，進而對設備實施網絡攻擊或入侵，導致設備系統資源的可用性下降、路由信息泄露，或者異常流量造成網絡擁塞；共享互通的承載網絡將面臨成倍的大流量沖擊，容易出現路由過載、負載不均衡的情況，導致路由節點、傳輸設備性能下降，路由擁塞或不可用等風險。

3.3 核心網安全風險

5G 核心網采用控制轉發分離架構，實現了移動性管理和會話管理的獨立進行；同時存儲用戶的注冊信息，對用戶進行接入認證和移動性管理、會話管理、策略控制等。5G 核心網是5G 網絡的大腦，負責對整個網絡進行管理和控制，需要重點進行防護。傳統模式下5G 核心網連接自己的基站，安全性較高，而共建共享后核心網連接承建方的基站，增加了以承建方基站或者承建方承載網為跳板攻擊5G 核心網絡的風險。需要關注由于基站共享對AMF、UPF 網元帶來的攻擊以及5G 核心網與共享基站之間回傳鏈路的通信安全風險。

3.4 網管安全風險

為滿足共享方對共享基站的訪問需求，滿足共建共享雙方對網絡的運營管理需求，可以通過反拉終端和雙北向接口開放2種方式，向共享方開放網管能力。網管開放使得共建共享雙方的網管互通，帶來雙方網管域邊界隔離的安全風險和雙方網管的運營維護流量傳輸時被竊取篡改的安全風險；增加了網管賬號的開通及賬號權限的分配、賬號的管理的難度；同時帶來非授權訪問、越權訪問對方網管系統的安全風險。

3.5 安全管理風險

共建共享采用雙方聯合運營方式管理網絡，改變了傳統網絡各自運營的方式，若雙方安全制度不完善、對接流程不清晰、安全要求不一致，當突發安全事件時可能會導致安全事件響應不及時、操作聯動效率低、處置不到位的安全風險。

4 共建共享安全策略分析

共建共享涉及承建方和共享方2 個主體，雙方應遵循公平、公正、對等的原則，保證雙方對于網絡的內部操作不影響對方網絡，同時雙方應共同采取安全措施，保障共建共享網絡的設備安全以及5G網絡的共建共享持續健康運行。結合第3章分析的共建共享帶來的新的安全風險，本章將從接入網、承載網、核心網、網管以及安全管理5個方面，分析共建共享場景下，應重點關注的問題及應對策略。

4.1 接入網安全策略分析

5G MOCN 網絡共享架構下，主要共享接入基站，因此共建共享雙方應關注共享的基站網元以及共享基站與核心網絡之間回傳鏈路的安全，需要雙方采取安全措施確保共享基站的安全，且安全加固要求一致。例如加強gNB 與eNB/gNB 的Xn 接口鏈路以及gNB 與5GC 間的N2、N3 等回傳通信接口的安全防護，按需通過IPSec 進行雙向認證和加密，提升網絡可靠性；從賬戶加固、網絡加固、系統加固、日志審計、物理安全等方面對共享基站網元進行安全加固，同時雙方的安全加固要求保持一致；通過建立補丁管理與更新流程、安全基線配置核查機制、新增安全防護措施等方法強化網元安全性；通過持續監測網絡負載和資源、信令優化、擁塞接入控制、容災備份與負載均衡，應對可能發生的信令風暴和流量攻擊，保障接入網絡的可靠性與可用性。

4.2 承載網安全策略分析

5G 共建共享主要在承載網實現互聯互通，根據各運營商承載網資源分布的差異，按需共享部分承載網路由。共建共享雙方應加強對互通對接點的安全防護，防止業務不相關的流量未經授權訪問己端網絡，確保網絡的安全可靠。例如，在互通對接點采用雙節點口字型互聯加強承載網絡健壯性；通過建設不同的VPN 網絡、開啟不同的FlexE 切片等方式在承載網內提供不同運營商業務流量間的安全隔離；承載網互通節點的路由設備配置嚴格的訪問控制策略，通過BGP路由控制與過濾、ACL訪問安全策略等，強化路由的訪問安全，防止泄露敏感路由信息；在承載網設備的管理平面、控制平面、轉發平面，部署一定的安全策略進行安全管控，防止業務不相關的流量未經授權訪問承載網，防范承載網可能遭受的攻擊。

4.3 核心網安全策略分析

基站共享會導致5G 核心網連接其他運營商的共享基站，5G 核心網要關注與共享基站對接的AMF、UPF 等核心網網元的安全防護，防止由于基站共享引起的未知接入源帶來的安全風險以及承載網互通可能引發的潛在跨網攻擊威脅。例如，對5G核心網中與基站對接的AMF、UPF 網元，通過路由過濾策略、ACL訪問策略等安全措施，防范異常流量訪問核心網；共享基站與5GC 之間的回傳鏈路（N2、N3 接口）按需開啟IPSec，以保證通信數據不被非法篡改。

4.4 網管安全策略分析

由于共享方對于共享基站的運行情況有一定需求，從網絡運營的角度考慮，共建共享雙方一般通過反拉終端或開放北向接口等2種方式開放無線網管能力。其中反拉終端方式是指通過部署專線的方式將承建方OMC 網管終端反拉至共享方，實現5G 網管能力開放。開放北向接口方式是指承建方通過新增開放北向接口的方式，按照共享方的北向接口規范，將共享網絡的配置、性能、告警等多類數據上報至共享方。

雙方應加強開放能力的OMC 網管的安全管理，做好網管設備、接口、終端的安全域劃分，明晰安全域邊界，落實各邊界接入要求及安全策略。例如在網管域外部邊界部署雙防火墻，對安全域邊界進行安全隔離，一主一備預防單點故障，并實現負載均衡；在安全域邊界的防火墻上設置訪問控制規則，共享方接入只能訪問共享的5G網管，承建方其他網內設備共享方均不可達；根據“工作相關化和權限最小化”原則，做好無線網管分權分域的訪問控制策略，基于承建方、共享方的角色管理網管賬號的訪問控制權限，承建方網管賬號具備網管配置、操作權限，共享方網管賬號僅有只讀權限；同時所有網管的操作維護流量通過采取傳輸鏈路隔離、加密、容量保障等安全手段加強保護，以避免在傳輸過程中被篡改或泄露。

4.5 安全管理策略分析

共建共享采用雙方聯合運營方式管理網絡，改變了傳統網絡各自運營的方式，對于雙方的安全協作要求較高，需要具備安全事件聯合處置能力。因此，需要共建共享的雙方共同制定快速有效的安全協作與響應機制、安全事件處理流程等，明確各種場景下的安全職責，確保安全攻擊、安全漏洞等事件信息能夠及時傳遞共享，能夠及時快速聯合處置安全事件；同時能夠對安全事件通告、安全事件分析、安全事件處理等進行記錄，為后續審計工作提供數據，從而最大程度上保障網絡安全穩定，提高協同效率。

5 結束語

5G 網絡共建共享，可以達到低成本高效建設5G網絡的目標，是5G 網絡部署運營的新趨勢，其必要性和戰略意義逐漸凸顯。共建共享過程中承建方和共享方需共同開展聯合攻關，注重研究、實踐和總結多種共建共享場景下的安全風險和應對策略，建立常態化的聯合優化機制，確保網絡健康穩定運行。后續隨著共建共享合作及研究的不斷加深，可在安全事件感知及告警、共享數據安全、MEC/切片等新技術新業務，在共建共享下的安全增強等層面拓寬共建共享的安全研究范圍，不斷探索共建共享安全合作的新模式。