5G核心網(wǎng)安全解決方案

5G核心網(wǎng)安全解決方案【摘要】介紹了5G網(wǎng)絡面臨的安全性挑戰(zhàn)，論述了核心網(wǎng)安全解決方案架構(gòu)，分析了56核心網(wǎng)的接入安全、網(wǎng)絡安全、管理安全、能力開放安全、數(shù)據(jù)安全等關(guān)鍵技術(shù)，提出了5G網(wǎng)絡安全運營的組織架構(gòu)?！竞诵木W(wǎng)】5G核心網(wǎng)；安全方案；安全運營引言工信部發(fā)放56牌照以來，電信運營商加快了5G建設(shè)和商用部署的步伐。5G核心網(wǎng)基于NFV（NetworkFunctionVirtualization，網(wǎng)絡功能虛擬化）/SDN（SoftwareDefinedNetwork，軟件定義網(wǎng)絡）的虛擬化網(wǎng)絡平臺，部署在電信云平臺。與傳統(tǒng)安全防護中每個物理環(huán)境相對獨立的情況不同，NFV組件的開放，帶來組件交互的開放性安全風險，新增網(wǎng)元及虛擬化平臺的引入也會帶來新的安全風險點。在云化后，56核心網(wǎng)的所有虛擬機共享資源，虛擬機和應用程序隨時可能移動或變更，來自于內(nèi)外部的攻擊等安全風險也呈現(xiàn)多樣化。本文從5仃核心網(wǎng)的安全需求與架構(gòu)角度出發(fā)，結(jié)合組網(wǎng)和運營實踐，對5G核心網(wǎng)的安全解決方案的關(guān)鍵技術(shù)進行探討。56核心網(wǎng)面臨的安全挑戰(zhàn)5G核心網(wǎng)的部署面臨著來自于接入安全、網(wǎng)絡安全、管理安全、能力開放、數(shù)據(jù)安全等諸多方面的安全性挑戰(zhàn)。在接入方式和業(yè)務場景上，5G支持多種不同能力的終端接入網(wǎng)絡并支持多種接入技術(shù)接入5G網(wǎng)絡。而且，由于垂直行業(yè)和移動網(wǎng)絡的深度融合，催生了多種應用場景，5G網(wǎng)絡需要為不同應用提供差異化的安全服務。5G網(wǎng)絡的三大典型場景對安全的要求存在差異，在eMBB場景下，個人業(yè)務要求隱私數(shù)據(jù)加密，行業(yè)應用要求對所有環(huán)境信息加密，所使用的加密算法也有差異；在uRLLC場景下，需要提供隱私、關(guān)鍵數(shù)據(jù)的安全保護，接入認證、數(shù)據(jù)傳輸安全、安全上下文切換、安全終結(jié)點加解密等引發(fā)的時延必須滿足低時延業(yè)務要求；在mMTC場景下，需要解決海量終端接入時的高效認證，降低信令風暴，提供輕量安全算法，簡化安全協(xié)議，滿足資源受限需求的低功耗輕量化安全接入。因此，5G網(wǎng)絡需要統(tǒng)一的認證框架，以便為用戶提供無感知的、連續(xù)的、可靠的統(tǒng)一安全接入方法。由于5G核心網(wǎng)以虛擬功能網(wǎng)元形式部署在云化基礎(chǔ)設(shè)施上，網(wǎng)絡功能由軟件實現(xiàn)。這對網(wǎng)絡安全和管理安全帶來了諸多風險：由于NFV/SDN技術(shù)虛擬網(wǎng)絡共享物理資源，安全邊界變得模糊，網(wǎng)絡虛擬化、開放化使得攻擊更容易，安全威脅傳播更快、波及更廣，在網(wǎng)絡安全方面需要關(guān)注安全接入、防攻擊、安全加固、路由協(xié)議安全等諸多風險，在管理安全方面則需要解決分權(quán)分域、身份鑒權(quán)、API保護、組件安全通信、數(shù)據(jù)庫加固等多方面問題。5G核心網(wǎng)的網(wǎng)絡服務和管理功能都提供開放功能，能力使用者通過API（ApplicationProgrammingInterface，應用程序接口）、Web方式按需調(diào)用開放能力，快速提供服務，這種能力開放的特性為垂直行業(yè)、第三方應用提供靈活、快速、可定制的網(wǎng)絡服務，同時也打破了傳統(tǒng)電信網(wǎng)絡以能力封閉換取能力提供者自身安全性的傳統(tǒng)思路，使得能力外部使用者對能力提供者即對5G網(wǎng)絡的攻擊成為可能，因此研究網(wǎng)絡能力服務安全保證機制應對能力開放安全問題已經(jīng)成為亟待解決的重大問題。

在5G時代，業(yè)務更加多樣化，網(wǎng)絡更加開放化，使隱私數(shù)據(jù)從封閉平臺轉(zhuǎn)移到開放平臺，大數(shù)據(jù)和人工智能的結(jié)合，這都加大了數(shù)據(jù)信息泄露的風險。尤其是在工業(yè)控制場景中，數(shù)據(jù)安全保護涉及到工業(yè)安全和商業(yè)風險，數(shù)據(jù)安全顯得尤為重要。5G核心網(wǎng)安全解決方案和關(guān)鍵技術(shù)如圖1所示，需要從接入安全、網(wǎng)絡安全、管理安全、能力開放、數(shù)據(jù)忘B網(wǎng)絡管理MANOEMSHOSS?能力開放物理資源?SDN虛報交換機SDNTA①5G?能力開放物理資源?SDN虛報交換機SDNTA①5G核心網(wǎng)三②虛擬網(wǎng)絡公其虛擬網(wǎng)完AMFAUSFiinxi①接人安全＞￡8層安全＞MAN思安仝②網(wǎng)絡安全＞山概因絡去生③管理安全＞MAN口安生＞SDN拄制器安交④能力開放A儲力期用安全＞開成接口安全⑤數(shù)據(jù)安全＞存精安全＞棺梅安條＞使用安全圖I5U核心網(wǎng)安全解決方案3.1 接入安全56核心網(wǎng)的接入安全，需要聯(lián)合UE、無線接入網(wǎng)整體考慮，部署如圖2所示的多重防護機制。密鑰派圖2多應用場景下的安全認證架構(gòu)—SG修心網(wǎng)南鉗派牛J當口用戶面保護用戶面加密，完保加密、完,保加密、完保UE和核心網(wǎng)的用戶面保護認if點認證服務器統(tǒng)一認證郵密鑰派圖2多應用場景下的安全認證架構(gòu)—SG修心網(wǎng)南鉗派牛J當口用戶面保護用戶面加密，完保加密、完,保加密、完保UE和核心網(wǎng)的用戶面保護認if點認證服務器統(tǒng)一認證郵控制面空口信今次“加密、工保加密、完保NA懦手保護客戶制認證程序用戶簽性］信息AMHSEAF學過gAU5F統(tǒng)一認征電UDM在這種安全認證架構(gòu)下，需要對用戶和網(wǎng)絡進行雙向認證，保證用戶和網(wǎng)絡之間的相互可信。為提供空口和/或UE到核心網(wǎng)之間的用戶面加密和完整性保護，防止被嗅探竊取，需要對空口、UE和核心網(wǎng)之間數(shù)據(jù)加密，支持EAP-AKA（ExtensibleAuthenticationProtocol-AuthenticationandKeyAgreement，可擴展認證協(xié)議認證與密鑰協(xié)商）、5G-AKA（5GAuthenticationandKeyAgreement，5G認證與密鑰協(xié)商）認證，支持主流的加密和完整性保護算法。在UE訪問應用時候，按需建立IPSec（IPSecurity，Internet協(xié)議安全性）/SSL（SecuritySocketLayer，安全層）VPN隧道，保證數(shù)據(jù)傳輸安全，并實行訪問控制，防止接入用戶的非授權(quán)訪問網(wǎng)絡切片。根據(jù)不同的安全需求，選擇不同的安全終結(jié)點。3.2 網(wǎng)絡安全（1）NFV安全在VNF（VirtualNetworkFunction,虛擬網(wǎng)絡功能）的整個生命周期中，都需要嚴格做好安全認證和權(quán)限管理。在VNF包管理中，軟件包/模板面臨被非法訪問、篡改、刪除風險，因此需要上載過程中，進行完整性、可信性檢查，存儲在安全可靠區(qū)域，如需訪問則需要認證與授權(quán)。在VNF實例化前，需要進行完整性驗證、認證和權(quán)限驗證，避免由于軟件包/模板被篡改實例化成為非法的VNF。在VNF實例管理、VNF彈性伸縮過程中，需要充分的認證和權(quán)限驗證，避免攻擊者非法獲取VNF實例狀態(tài)、資源使用情況，篡改彈性伸縮閾值條件，消耗資源。在VNF更新過程中，需要結(jié)合認證和權(quán)限驗證做包完整性檢查，避免非法發(fā)起更新流程、篡改更新軟件包。在VNF實例終止時，需要結(jié)合認證和權(quán)限驗證，徹底擦除資源，避免非法終止實例，VNF實例敏感數(shù)據(jù)信息被外部獲取。在MANO（ManagementandOrchestration，管理和編排）管理中，也需要對各個組件進行完備的安全管理舉措。需要對NFVO（NetworkFunctionVirtualizationOrchestration，虛擬化編排）進行安全加固，包括病毒查殺、及時升級病毒庫，對訪問進行認證和授權(quán)，以保證MANO平臺可信，消除共有安全威脅，解除實體自身漏洞，防范病毒/蠕蟲/木馬攻擊和內(nèi)容被非法訪問。在VNFM中，則需要注重NFVO防DoS（DenialofService，拒絕服務）/DDoS（DistributedDenialofService，分布式拒絕服務）攻擊，保證運行VNFM/VIM的虛擬機安全，解除VNF頻繁上報告警導致NFVO處理能力下降和虛擬機引發(fā)的VNFM/VIM威脅風險。在VIM（VirtualizedInfrastructureManager，虛擬化基礎(chǔ)設(shè)施管理器）中，需要對通信內(nèi)容進行完整性、機密性、抗重放保護，實體間進行雙向認證，部署安全隧道IPsec，防范通信安全威脅，防止通信內(nèi)容被篡改、攔截、竊聽、重放。在VM（VirtualMachine，虛擬機）管理中，VM需要做好系統(tǒng)安全加固、安全防護和訪問控制，防止虛擬機鏡像文件或自身防護不足，虛擬機被濫用、逃逸以及虛擬機間嗅探。隨機保存內(nèi)存地址，進行完整性和真實性檢查，遵循最小化原則，關(guān)閉協(xié)議無關(guān)端口，強化補丁管理要求、加強用戶認證，防止利用Hypervisor漏洞取得高級別運行等級，獲得對物理資源的訪問控制，甚至利用虛擬機對外發(fā)起攻擊的高風險事件。VNF所在的硬件資源也需要做好物理主機防病毒、防入侵，做好資源隔離和物理環(huán)境安全，防止遭受來自VM發(fā)起的安全攻擊和DDoS/蠕蟲，病毒攻擊。（2）SDN安全SDN具備控制和轉(zhuǎn)發(fā)分離的特性。SDN控制器是直接運行在操作系統(tǒng)上的COTS硬件，面臨與操作系統(tǒng)相同的漏洞風險，攻擊者可能通過偽造南北向信息，向控制器發(fā)起DoS或者其他方式的資源消耗攻擊。這就需要監(jiān)視資源利用率，Cluster架構(gòu)分散攻擊點，防DDoS攻擊，基于角色的訪問控制，基于認證的遠程合法登錄訪問。SSL接入提供數(shù)據(jù)私密性，限制遠程訪問的IP地址，保障安全接入。引入日志分析，確保安全事件取證，建立事后回溯機制。采用漏掃和合規(guī)工具，實現(xiàn)操作系統(tǒng)層面的安全加固。SDN數(shù)據(jù)平面與控制平面解耦，攻擊者可能以SDN轉(zhuǎn)發(fā)節(jié)點為跳板，發(fā)起針對其他轉(zhuǎn)發(fā)節(jié)點或控制器的攻擊。設(shè)置上送CPU的報文優(yōu)先級，限制上送隊列速率。數(shù)據(jù)平面與SDN控制器進行雙向安全認證，強制采用TLS保護措施，防止被偽造的SDN控制器接管。采用多級限速和多級流量調(diào)度功能，抑制DDoS攻擊。設(shè)置嚴格的遠程訪問身份認證策略，防止非法登錄。MD5（MessageDigestAlgorith5，消息摘要算法第五版）加密認證OSPF（OpenShortestPathFirst，開放式最短路徑優(yōu)先）、RIP（RoutingInformationProtocol，路由信息協(xié)議）、BGP（BorderGatewayProtocol，邊界網(wǎng)關(guān)協(xié)議）等路由協(xié)議保障路由協(xié)議安全。

SDN南北向接口如果缺少安全通信機制的強制要求，也存在相當大的安全隱患，因此需要在SDN控制器與轉(zhuǎn)發(fā)設(shè)備之間，在APP與SDN控制器之間，都采用雙向認證，防止攻擊者冒充合法的設(shè)備接入網(wǎng)絡，并加載完整性及加密保護，防止信息被泄露、重放、篡改。（3）安全域隔離在組網(wǎng)階段，就需要把5仃核心網(wǎng)劃分為如圖3所示的安全域，實現(xiàn)域間隔離。根據(jù)運營需求和網(wǎng)元功能，將網(wǎng)元進行安全等級分類，為不同的安全等級設(shè)置不同的安全域，每個功能網(wǎng)元或管理網(wǎng)元僅能歸屬于其中的一個安全域。每個安全域可以分配得到專用的基礎(chǔ)網(wǎng)絡資源池，不同安全域不能共享資源池。ExposedService Nozxposed SoemreService ManagementZvne ExposedService Nozxposed SoemreService ManagementZvne Zone Zone Zotit至3實現(xiàn)域其隔禹的安全域劃分域間和域內(nèi)安全策略也必須得到嚴格的安全策略控制。根據(jù)需要，域內(nèi)的數(shù)據(jù)傳輸可選配置安全控制，例如VNF之間配置防火墻，VNF之間增加相互認證機制等；而跨域的數(shù)據(jù)傳輸，則必須受安全策略控制，例如在域間配置防火墻、VPN等。（4）切片安全需要根據(jù)SliceID和安全性要求，提供特定切片的FCAPS（Fault/Configuration/Accounting/Performance/Security，故障/配置/計費/性能/安全）管理，提供VNF的隔離。在切片接入安全中，需要綜合考慮接入策略控制、PDU（ProtocolDataUnit，協(xié)議數(shù)據(jù)單元）會話機制，提供基于IPSec或SSLVPN的安全連接。在公共NF與切片NF的安全方面，設(shè)置白名單機制，控制是否訪問，由NSSF（NetworkSliceSelectionFunction，網(wǎng)絡切片選擇功能）保證AMF連接正確的NF，并在AMF中監(jiān)測請求頻率。在不同切片之間，設(shè)置VLAN/VxLAN網(wǎng)絡隔離，并對VM/容器進行資源隔離。不同VNF互相鑒權(quán)保證通信信息安全，并通過IPSec確保安全連接。管理安全和能力開放安全5G網(wǎng)絡重要的特性之一是提供開放的業(yè)務能力。如圖4所示，這種業(yè)務能力開放必須經(jīng)過安全封裝，包括向租戶開放的網(wǎng)絡能力必須經(jīng)過運營商授權(quán)，不同的授權(quán)訪問不同的能力。在網(wǎng)絡編排中，有多種手段可以加強網(wǎng)絡能力開放的安全性。對于不同用戶，選擇用戶接入認證方式；對于不同業(yè)務，可以選擇不同等級的加密和完整性保護方式；對于不同用戶數(shù)據(jù)，選擇用戶面數(shù)據(jù)保護終結(jié)點；對于不同切片，賦予不同安全等級。對于門戶的安全接入，則需要建立完善的管理手段，保障系統(tǒng)安全運行。對于賬戶管理，需要支持角色分權(quán)分域管理，賬戶生命周期管理，密碼復雜度策略管理（長度、有效期）。對于認證管理，需要進行集中認證管理，認證采用OAuth2.0，在WebUI與NFVO/VNFM間采用RESTful接口，實行統(tǒng)一的審計管理。對于網(wǎng)絡接入，要求IPSecVPN、SSLVPN、HTTPS。對于應用場景，必須基于網(wǎng)絡能力開放接入、租戶接入，要求其接受日常的管理維護、安全審計。在日常集中日志和審計中，需要對采集到的日志進行實時分析審計和告警響應，幫助管理員實時了解系統(tǒng)的安全事件和運行狀況。數(shù)據(jù)安全用戶數(shù)據(jù)安全已經(jīng)成為社會廣泛關(guān)注的重要問題，歐盟為此制定了《通用數(shù)據(jù)保護條例》，保護歐盟用戶的數(shù)據(jù)隱私。用戶數(shù)據(jù)在5G網(wǎng)絡的數(shù)據(jù)收集、傳輸、處理、存儲、維護、共享、應用等各個階段都存在安全性風險。因此，在5G網(wǎng)絡的設(shè)計階段，從終端、網(wǎng)絡、業(yè)務提供商各個層面，對信息的請求、提交、傳輸、存儲、處理、使用操作，采用如表1所示的技術(shù)和管理手段實現(xiàn)對關(guān)鍵數(shù)據(jù)的保護。星】$行利2美壓廣&亮安4僥護綜”類型垛備繕端生接人”：文酸，..?*.3疝供概故也呆室魏晶嗣訛、用戶許可7產(chǎn)駛礴.不涉世.一躺嫩刖胳、完筌性校賽?￡名，瞌時標識加南、完座空樓贛、1喏M標識加密、完整性校驗工嚙時標識】：不完整性標戶、石名，臨時標識數(shù)據(jù)蛇理、洋健.堆井1數(shù)據(jù)最訪問控制、力晦工工最”訛.力同三制.那宙、用戶許可蜘眄聞匕訪問控利，加密、.用戶許可散報最小叱、市同稼制、加密、用戶點可故拒拄》：不涉版網(wǎng)幗識，弟/■許可、數(shù)甩最…出1姍1標識.用戶許可.效擢最小化船樂陸文前戶許數(shù)據(jù)第I*七45G網(wǎng)絡安全運營組織架構(gòu)建議電信業(yè)已經(jīng)深入國民經(jīng)濟的各個行業(yè)，電信行業(yè)的安全與健康發(fā)展的重要性毋庸置疑。作為工業(yè)自動化的基礎(chǔ)設(shè)施，56核心網(wǎng)乃至整個5G網(wǎng)絡的安全，都將會提升到前所未有的高度。如圖5所示，電信網(wǎng)絡的安全運營，一方面需要建設(shè)完善的安全機制，另一方面需要把安全深入到日常的運營和維護工作中。

網(wǎng)絡安個現(xiàn)H.從津打司；最世?丈巴語利同庭十出臺現(xiàn)檢￡1企業(yè)用J」網(wǎng)絡安1-舞I'1七件際.應纖i網(wǎng)絡安個現(xiàn)H.從津打司；最世?丈巴語利同庭十出臺現(xiàn)檢￡1企業(yè)用J」網(wǎng)絡安1-舞I'1七件際.應纖i二洛|：星放道6口分析也甲連安哈委員