5G專網(wǎng)安全需求分析及策略探討

沈軍，劉國榮，何明

（1.中國電信股份有限公司研究院，廣東 廣州 510639；2.移動互聯(lián)網(wǎng)系統(tǒng)與應用安全國家工程實驗室，上海 200120）

0 引言

隨著5G向行業(yè)應用市場的不斷推進，5G公網(wǎng)已無法完全滿足不同行業(yè)用戶的差異化需求，亟需可按需定制的5G專網(wǎng)。根據(jù)行業(yè)用戶對與5G公網(wǎng)的安全隔離程度、時延等要求的不同，5G專網(wǎng)可分為以下典型的三類[1-3]：

（1）獨立專網(wǎng)：與5G公網(wǎng)完全獨立的專網(wǎng)，提供獨享無線資源、獨立的5G核心網(wǎng)等，主要面向?qū)Π踩砸蠓浅８叩男袠I(yè)用戶。

（2）虛擬專網(wǎng)：通過切片、QoS（Quality of Service）和DNN（Date Network Name）定制等技術(shù)提供的虛擬專網(wǎng)，主要面向?qū)Π踩砸笙鄬ι缘偷男袠I(yè)用戶。

（3）部分共享專網(wǎng)：共享部分核心網(wǎng)元，按需下沉UPF（User Plane Function）、SMF（Session Management Function）、AMF（Access and Mobility Management Function）、UDM（Unified Data Management）等網(wǎng)元，主要面向有數(shù)據(jù)不出園區(qū)和低時延等要求的行業(yè)用戶。

本文將分析三類5G專網(wǎng)可能面臨的安全風險，并探討相應的安全對策。

1 5G專網(wǎng)安全風險分析

1.1 獨立專網(wǎng)安全風險分析

獨立專網(wǎng)與5G公網(wǎng)完全獨立，安全性不受5G公網(wǎng)影響，此時主要考慮獨立專網(wǎng)自身運行的可靠性、穩(wěn)定性和惡意用戶給獨立專網(wǎng)所帶來的安全風險。而獨立專網(wǎng)信令面的管理控制功能都集中在獨立5GC（5G Core Network），需要重點分析獨立5GC面臨的安全風險：

（1）5GC基于云化虛擬化的基礎設施構(gòu)建，虛擬化平臺自身可能存在安全漏洞，攻擊者可據(jù)此攻擊虛擬化平臺，并進一步攻擊VM（Virtual Machine）/容器上承載的5GC網(wǎng)元。當VM/容器之間缺乏有效的隔離管控時，可能會導致VM/容器之間的非法訪問。當網(wǎng)元鏡像缺乏有效的保護手段時，鏡像有可能被篡改和植入惡意代碼等。

（2）5GC采用服務化架構(gòu)，當NRF（Network Repository Function）和NSSF（Network Slice Selection Function）等遭受DoS（Denial of Service）攻擊時，有可能導致服務注冊/發(fā)現(xiàn)、切片選擇等業(yè)務功能無法進行。當網(wǎng)元間沒有開啟身份認證時，攻擊者有可能假冒網(wǎng)元接入核心網(wǎng)絡，進行非法訪問。如果沒有對網(wǎng)元間傳輸?shù)臄?shù)據(jù)進行機密性和完整性保護，通信數(shù)據(jù)會面臨被竊聽和篡改的風險等。

（3）當獨立5GC缺乏有效的可用性保障手段時，一旦遭受攻擊或服務失效，有可能導致整個獨立專網(wǎng)無法正常運行。

1.2 虛擬專網(wǎng)安全風險分析

虛擬專網(wǎng)主要通過切片等進行隔離，需要重點考慮針對切片的安全風險[5]：

（1）如果切片間沒有充分隔離和實施通信保護，某個虛擬專網(wǎng)上傳輸?shù)挠脩魯?shù)據(jù)有可能會泄露到其它虛擬專網(wǎng)。

（2）如果沒有對虛擬專網(wǎng)進行接入認證，惡意用戶可能會非法接入專網(wǎng)。

（3）如果沒有資源保障控制措施，一個虛擬專網(wǎng)有可能大量擠占資源，影響其它虛擬專網(wǎng)的正常運行。

（4）在向行業(yè)用戶開放網(wǎng)絡切片配置能力時，如果缺乏認證和管控措施，惡意用戶有可能非法獲取切片信息甚至影響切片的正常運作。

1.3 部分共享專網(wǎng)安全風險分析

部分共享專網(wǎng)在共享部分面臨著與虛擬專網(wǎng)相似的安全風險，而在按需下沉的非共享部分，由于下沉網(wǎng)元連接了公網(wǎng)5GC和用戶企業(yè)網(wǎng)，且下沉網(wǎng)元的產(chǎn)權(quán)和運維有可能歸屬用戶，如果在下沉網(wǎng)元和用戶企業(yè)網(wǎng)之間、下沉網(wǎng)元和公網(wǎng)5GC之間缺乏有效的安全管控措施，會導致面向?qū)＞W(wǎng)甚至是公網(wǎng)5GC的安全風險。

（1）如果沒有嚴格限制下沉網(wǎng)元與用戶企業(yè)網(wǎng)之間可以互訪的IP地址和協(xié)議，企業(yè)網(wǎng)用戶可以非授權(quán)地訪問到下沉網(wǎng)元。一旦下沉網(wǎng)元存在安全漏洞，有可能會被惡意用戶利用來攻擊甚至是控制下沉網(wǎng)元。同時下沉網(wǎng)元負責業(yè)務數(shù)據(jù)轉(zhuǎn)發(fā)和控制信令透傳，如果缺乏對數(shù)據(jù)傳輸、存儲、處理的安全保護，可能被惡意用戶竊取，導致敏感信息的泄露。

（2）在下沉網(wǎng)元和公網(wǎng)5GC之間，如果缺乏有效的身份鑒權(quán)機制，非授權(quán)虛假設備可與公網(wǎng)5GC進行互通。若在轉(zhuǎn)發(fā)層面不做隔離控制，非授權(quán)的下沉網(wǎng)元可訪問到公網(wǎng)5GC的所有網(wǎng)元，增加了公網(wǎng)5GC的安全暴露面。如果缺乏有效的路由信息控制措施，可能導致下沉網(wǎng)元能獲取到公網(wǎng)5GC的全部路由信息。在互通接口不做流量限速時，若下沉網(wǎng)元向公網(wǎng)5GC大量發(fā)送信令包，可形成對大網(wǎng)的拒絕服務攻擊等。

2 5G專網(wǎng)安全策略探討

本節(jié)首先介紹5G專網(wǎng)安全防護的各項關(guān)鍵要素，然后結(jié)合三類專網(wǎng)特點提出相應的安全策略。

2.1 獨立5GC的安全防護

獨立5GC承載了獨立專網(wǎng)的關(guān)鍵控制功能，需要重點保障其安全性、可用性。

（1）網(wǎng)元安全加固

應從最小化權(quán)限、最小化系統(tǒng)內(nèi)核、卸載非必需的網(wǎng)絡服務和組件、口令復雜度管理、安全補丁更新、開啟日志審計等方面對5GC網(wǎng)元進行安全加固。

（2）服務安全

在5GC的非服務化接口上可啟用NDS/IP（Network Domain Security-IP Network Layer Security）對數(shù)據(jù)進行機密性、完整性和抗重放保護，在服務化接口上可啟用TLS進行雙向身份認證和數(shù)據(jù)傳輸?shù)臋C密性和完整性保護等。

（3）基礎平臺安全

當5GC構(gòu)建于開源Kubernetes等基礎平臺時，應裁剪不必要的功能，并對其進行加固，以降低由于開源軟件所引入的開放性風險，同時應對容器、鏡像倉庫進行加固，支持編排腳本和鏡像文件進行加密存儲。

（4）安全監(jiān)測與快速恢復

應配備虛機和容器層面的安全監(jiān)測機制，在發(fā)現(xiàn)異常時可對虛機/容器進行隔離，并快速拉起新的虛機/容器，確保業(yè)務正常運行。

2.2 下沉網(wǎng)元的安全防護

在部分共享專網(wǎng)中，可能會以UPF、UPF+SMF、UPF+AMF+SMF等形態(tài)下沉，這些網(wǎng)元部署在地市甚至是客戶園區(qū)等較低的層面，需要做好網(wǎng)元自身的安全加固與防護，本小節(jié)將以UPF為例介紹相應的安全策略。

（1）物理安全

下沉UPF可能部署在客戶園區(qū)，需要重點保障物理安全。首先應采用具備防拆、防盜、防惡意斷電等功能的安全機柜來提高物理環(huán)境安全。其次，對于具有本地維護console（控制臺）口的設備，應在部署完成后應取消console口的登錄權(quán)限，并禁用系統(tǒng)通過恢復模式從本地修復密碼的功能。同時，下沉UPF自身應具備物理鏈路狀態(tài)監(jiān)控的功能，能及時監(jiān)控到鏈路的異常，防止鏈路被惡意挪用；當設備斷電/重啟、鏈路網(wǎng)口斷開時，應能觸發(fā)告警；應能管控本地加載系統(tǒng)路徑，不允許從外掛的存儲設備啟動系統(tǒng)，并對升級補丁和程序的來源和完整性進行檢測；在條件允許時，可使用可信計算保證物理服務器的可信，確保只有經(jīng)過驗證的代碼才可加載、執(zhí)行。

（2）數(shù)據(jù)安全

下沉UPF應只在PDU（Packet Data Unit）會話階段保留用戶SUPI（Subscription Permanent Identifier）等敏感信息，待會話結(jié)束后應立即清除相關(guān)信息。賬號密碼等敏感信息應加密存儲。數(shù)據(jù)傳輸過程中，應使用NDS/IP等機制進行機密性、完整性和防重放保護。

（3）平面隔離

下沉式UPF的管理面、信令面、數(shù)據(jù)面應分別占用獨立物理網(wǎng)口，進行物理層面的隔離。對于UPF和MEC（Multi-access Edge Computing）在相同虛擬化平臺的一體機，應使UPF的管理和信令面與MEC完全隔離，只允許UPF的數(shù)據(jù)平面與MEC互通。

（4）認證鑒權(quán)

應對下沉式UPF的訪問進行雙向認證與鑒權(quán)，避免與非授權(quán)設備進行通信。

（5）流量控制

在信令面，應支持限制發(fā)給SMF以及從SMF接收的信令數(shù)據(jù)的大小，防止信令流的過載。在數(shù)據(jù)面，應能限制用戶帶寬，避免單用戶大量擠占帶寬。

（6）接口訪問控制

對于來自DN（Data Network）的N6接口流量，應對目標地址是UPF設備的流量進行過濾，僅允許白名單內(nèi)的IP地址及對應的協(xié)議訪問。對于來自SMF的N4接口流量，應設置SMF偶聯(lián)白名單，僅允許指定IP地址訪問。同時，建議不處理和發(fā)送存在安全風險的ICMPv4（Internet Control Message Protocol）和ICMPv6消息類型，如重定向、超時錯誤消息等。

2.3 下沉網(wǎng)元與公網(wǎng)5GC間的安全控制

下沉網(wǎng)元連接了公網(wǎng)5GC和用戶企業(yè)網(wǎng)，需要做好下沉網(wǎng)元與公網(wǎng)5GC間的安全控制，避免惡意用戶以下沉網(wǎng)元為跳板攻擊公網(wǎng)5GC。本小節(jié)同樣將以UPF為例介紹相應的安全策略。

（1）下沉UPF由用戶維護

當下沉UPF的產(chǎn)權(quán)歸屬用戶，并由用戶自行維護時，應將下沉UPF視為不可信實體來進行與公網(wǎng)5GC之間的安全控制，控制內(nèi)容至少應包括面向N4接口的轉(zhuǎn)發(fā)層面、路由層面和業(yè)務層面控制，控制點可以考慮在公網(wǎng)的承載網(wǎng)或核心網(wǎng)。

1）基于承載網(wǎng)的安全控制

首先是轉(zhuǎn)發(fā)層面，可在承載網(wǎng)連接下沉UPF的設備上通過ACL方式進行控制，只允許下沉UPF與指定SMF之間的PFCP協(xié)議報文通過，禁止下沉UPF訪問公網(wǎng)5GC的其它網(wǎng)元，防止下沉UPF被惡意控制后攻擊公網(wǎng)5GC網(wǎng)元，具體如圖1所示。同時應將下沉UPF的IP地址和MAC地址做綁定，避免惡意用戶冒用下沉UPF的IP地址接入網(wǎng)絡。還應在承載網(wǎng)入方向?qū)ο鲁罸PF做流量限速，避免下沉UPF大量發(fā)送流量形成拒絕服務攻擊。

圖1 基于承載網(wǎng)的ACL控制示意圖

在路由層面，應向下沉UPF屏蔽除SMF以外的其它網(wǎng)元的路由信息，例如可將下沉UPF和SMF接入專用的VPN，使下沉UPF只能獲取到相關(guān)SMF的路由。

在業(yè)務層面，應開啟下沉UPF和SMF之間的雙向認證，避免假冒的UPF與SMF通信。同時應構(gòu)建針對信令流量的檢測與阻斷機制，能還原識別下沉UPF發(fā)出的異常包，并可通過發(fā)送RST包等方式進行封堵。

2）基于核心網(wǎng)的安全控制

基于核心網(wǎng)的安全控制，在核心網(wǎng)入口已有防火墻的情況下，可通過該防火墻進行轉(zhuǎn)發(fā)層面的訪問控制，具體如圖2所示。在沒有防火墻時，可在SMF上通過ACL或iptables等方式進行訪問控制；但在同時下沉UPF、SMF、AMF等多個網(wǎng)元的情況下，由于交互的網(wǎng)元增多，就需要在核心網(wǎng)的多種網(wǎng)元上開啟訪問控制，運維復雜度會大大增加，且有可能影響相關(guān)網(wǎng)元的性能。

圖2 基于核心網(wǎng)防火墻的安全控制示意圖

核心網(wǎng)安全控制的另一種思路，是在核心網(wǎng)引入類似SEPP（Security Edge Protection Proxy）、具備信令代理和安全控制功能的網(wǎng)元，下沉網(wǎng)元只與該網(wǎng)元進行直接交互，并由該網(wǎng)元對下沉網(wǎng)元進行轉(zhuǎn)發(fā)、路由和業(yè)務層面的安全控制，降低對公網(wǎng)5GC可能造成的安全影響，具體如圖3所示。

圖3 基于類SEPP新增網(wǎng)元的安全控制示意圖

（2）下沉UPF由運營商維護

下沉UPF由運營商維護時，對公網(wǎng)5GC帶來安全影響的可能性相對較低，此時可著重基于承載網(wǎng)做好對下沉UPF在轉(zhuǎn)發(fā)層面的安全控制。

2.4 專網(wǎng)與企業(yè)網(wǎng)間的安全控制

專網(wǎng)網(wǎng)元與企業(yè)網(wǎng)間應部署防火墻進行安全隔離，對訪問企業(yè)網(wǎng)和訪問專網(wǎng)網(wǎng)元的雙向流量進行過濾和管控，具體如圖4所示。

圖4 專網(wǎng)與企業(yè)網(wǎng)間的安全控制示意圖

企業(yè)網(wǎng)同時可根據(jù)實際風險情況，按需部署IPS、沙箱、抗DDoS、蜜罐等安全檢測與防護設備，以防范來自外部網(wǎng)絡的攻擊威脅。

2.5 業(yè)務隔離與切片安全

專網(wǎng)利用網(wǎng)絡切片、QoS、DNN等技術(shù)為用戶提供不同程度的定制服務，需要做好相應的業(yè)務隔離和安全管控。

（1）業(yè)務隔離與資源保障

在無線接入、承載、核心等不同網(wǎng)絡域，都應進行業(yè)務隔離。在無線接入側(cè)，可通過無線資源管理策略和保護機制進行無線切片間的隔離；對獨立專網(wǎng)中有高隔離需求的用戶，可為其分配專門的頻譜資源。在承載網(wǎng)，可通過VPN、Flex-Slicing、專線等手段實現(xiàn)傳輸路由隔離。在核心網(wǎng)，對安全性要求較高的網(wǎng)元可進行專用型部署，并設置在獨立的物理位置；對安全性要求不高的網(wǎng)元可進行共享型部署，并進行虛擬資源層的網(wǎng)絡隔離，限制非授權(quán)的虛擬網(wǎng)元間通信，防止網(wǎng)元共享部署場景下的流量攻擊、敏感數(shù)據(jù)竊取。

在共享資源的保障方面，根據(jù)用戶行業(yè)類型、業(yè)務特點等特征，綜合采用切片、DNN、5G QoS等措施進行保障。同時還應對專網(wǎng)進行持續(xù)的資源利用率監(jiān)控，并按需提供主備、組pool，以及虛擬資源過載控制、快速自愈等高可靠方案，保障可靠性與可用性安全。

（2）接入控制

對于無線資源，可通過對專網(wǎng)用戶所在區(qū)域的若干小區(qū)配置單獨PLMN（Public Land Mobile Network）或TAC（Tracking Area Code），或通過配置CAG（Closed Access Group）的方式來控制終端的接入。

在企業(yè)網(wǎng)的接入控制上，應支持通過EAP擴展認證架構(gòu)，與企業(yè)網(wǎng)內(nèi)的DN-AAA認證系統(tǒng)對終端用戶接入進行二次身份認證。

切片方面，可根據(jù)切片安全策略，在完成主認證后再進行切片內(nèi)的認證。

（3）切片安全管理

在專網(wǎng)向行業(yè)用戶開放切片管理域能力的過程中，應加強對切片管理接口的雙向認證、遠程接入管控，提供保障管理信令機密性、完整性和抗重放攻擊的能力。

2.6 安全運維

應對專網(wǎng)的設備和組件制定安全配置基線要求，并定期實施基線核查和漏洞掃描作業(yè)，對核查和掃描結(jié)果進行處理和管控。

應定期對專網(wǎng)各類日志信息和安全事件信息進行統(tǒng)一分析審計作業(yè)，至少包括訪問權(quán)限、業(yè)務和運維操作等方面。

應對專網(wǎng)的版本控制、安全策略和配置的實施、變更等維護操作進行管理，防止因配置不當或誤操作而導致的運營安全風險。

2.7 三類5G專網(wǎng)的安全策略

（1）獨立專網(wǎng)安全策略

獨立專網(wǎng)需要保障獨立5GC的可用性和安全性，同時應結(jié)合無線側(cè)的TAC/CAG的準入控制做好身份認證，避免非授權(quán)用戶接入獨立專網(wǎng)。

（2）虛擬專網(wǎng)安全策略

虛擬專網(wǎng)需要從無線接入、承載、核心等各層面進行業(yè)務隔離與資源保障，通過二次認證或切片認證做好接入控制，并在專網(wǎng)與企業(yè)網(wǎng)之間做有效的安全控制。

（3）部分共享專網(wǎng)安全策略

部分共享專網(wǎng)需要做好用戶接入控制、共享網(wǎng)元的業(yè)務隔離與資源保障，同時要加強下沉網(wǎng)元的安全防護、下沉網(wǎng)元與公網(wǎng)5GC間的安全控制、下沉網(wǎng)元與企業(yè)網(wǎng)間的安全控制。

3 結(jié)束語

安全是5G專網(wǎng)全面推廣應用的基石，本文分析了5G專網(wǎng)可能存在的安全風險，并提出配套安全保障策略，保障5G專網(wǎng)安全可靠的運行。后續(xù)還可基于大網(wǎng)安全能力開放，為5G行業(yè)用戶提供更豐富的差異化安全服務。