2024年5G核心網安全架構及關鍵技術白皮書

目錄一網安全臨的戰(zhàn) 4（）網多制并存復雜到達的水平 4（）核網部集中障容度低 4（）網安影生產全 5四）智化、字化進 5二5G網容災構及關技術 6（）網可靠架構 6網內可性 6網間可性 6網級可性 7（）通云虛層可性 7軟可靠性 8硬可靠性 9（）網安關技術 10組安全 10MEC安全 11網接入全 12數(shù)安全 12信風暴防 14四）5G網安全署策略 15網容災 15業(yè)及數(shù)逃生 15亞康恢復 16三專安全 17（）專架構來的全風險 17（）專安全決方案 19專用戶入安方案 19專傳輸?shù)腊卜桨?19專邊界全方案 20專設備身安全 21-1-四、智化網安全系 22（）5G核網智化架及演進 23（）5G核網智化架安全強 26核網智化系自身安全 27利用NWDAF增網絡全 28NWDAF在絡安的應場景例 28（）網能力放安架構 34五未網絡生安架構 39六總及展望 41縮語 43前言5G核心網引入了網絡功能虛擬化、邊緣計算、服務化架構活部署，降低壓力，是當前運營商面臨的重大課題之一。5G5G全體系的思考和展望。人不得復制或拷貝本白皮書之部分或全部內容。（先后亞貝爾股份有限公司。一、網絡安全面臨的挑戰(zhàn)（一）網絡多制式并存的復雜度到達新的水平移動通信網絡經過多年的演進，逐漸形成了一張四代同堂P5G（二）核心網部署集中故障容忍度低5G5G2~31億。APP要求永遠在線，現(xiàn)代智能終端在不能200倍以上，業(yè)界重大惡性電信領域首次大規(guī)模采用云存儲、SDN等云化技術。新技術帶（三）網絡安全影響生產安全5G5G網絡5G（四）智能化、數(shù)字化演進二、5G網絡容災架構及關鍵技術（一）網絡可靠性架構5G5G網元內可靠性1+1N+M網元內同類型虛機或容器互斥部署，分布在不同物理主機或裸機上，當主機運行故障時，虛機或容器可以進行本地自愈或異地重生，完成故障自恢復。網元間可靠性5G云化核心網支持網元間負荷分擔（POOL）、1+1互備等不障時充分利用網元的容災機制實現(xiàn)網元間容災快速恢復業(yè)務。隨著AGUPUBypass功能也是一種有效的可靠性保障機制，在某類容災網元Bypass，AMF在進入Bypass4AFG互操作及常規(guī)在線業(yè)務均可用。SMFBypass機制后，使用緩存的簽約數(shù)據(jù)或本地配置最小簽約數(shù)據(jù)，完成PDU網絡級可靠性DC在VPN層面進行邏輯隔離，減少網絡底層的互相影響。同一個邏輯（二）通信云虛擬層可靠性作為通信云的重要組成部分--虛擬化層，也必須支持高可靠性，才能滿足上層網元的可靠性要求。軟件可靠性硬件可靠性對于計算資源，要求機架、機框、服務器采用N+M/風扇采用N+MCP。對于存儲資源，采用磁陣或分布式存儲來實現(xiàn)?？刂破?、內置ASRD1+M過帶外方式受PM監(jiān)視。存儲資源需要配置多路徑、冗余鏈路，防APP提供統(tǒng)一的云存儲，替代本地磁盤，提升M包括TEODCG采1+1配置，采用設備M-Lag等技術組網，并采用多平面組網，要內置監(jiān)視模塊，通過帶外方式受PM（三）網絡安全關鍵技術5G組網安全F內部平面包括管理面和控制面，采用VAXAN隔離。VNF外部平面包括外部管理面、控制面、媒體面，采用VAXARtrNF通信云的資源池應提供PPDS等安全服務。5GSBATLSF與FF與RFF與F之間基于Oa0SEPPSEPP網絡內所有漫游相關HTTP信令均送往SEPPSEPP隱藏，將TP信令中各F的N替換為Telic，再轉發(fā)至其他PLMN。護：通過TLS實現(xiàn)傳輸層安全加密傳輸，適用于SEPPPX轉接場景；或者通過AS（Aiainaereriy）實現(xiàn)應用層信令參數(shù)加密，適用于EPP間通過PX5GlieD提供FI提供物MECMEC防止惡意接入和破壞。通過配置安全組、ACL或部署虛擬防火墻對（AIAPP完APOAECAIEAP網絡接入安全3GPP5GEPA',GA的加密和完整性保護算法，例如A,wG,UC。提供空口和NAS/UE在無線網絡與核心網之間N2RAN到核心網的Pec組網，可選擇部署DTS，并啟用AL提升網絡接入層面的4接口支持PecPec實現(xiàn)P地址綁定，只和配置的P數(shù)據(jù)安全照定義對信息獲取進行嚴格限制。RD（）信令風暴預防AE以及語音網元BC作為入口網元基于后端USTPS、CPU負荷、吞吐量、鏈路狀態(tài)等對消息進行靈活的處理，保護本網元/無法恢復，可以提供對故障網元的旁路處理，臨時采用本地策略或者慣性運行，等故障解決后，再解除旁路功能，恢復服務質量。UE和基站R。（四）5G網絡安全部署策略網元容災5GNF第三DCDCDC業(yè)務及數(shù)據(jù)逃生1）基礎設施故障逃生存儲故障bypass：共享存儲（共享磁陣或云存儲）故障不影響業(yè)務正常運行。管理面故障bypass網元O&M故障bypass2）UDM故障NRF故障bypass：NRF資源池全故障，周邊網元能夠繼續(xù)降級業(yè)務，周邊網元本地緩存NF狀態(tài)數(shù)據(jù)并進行下游NF故障探測。PCF故障bypass：PCF資源池全故障，周邊網元能夠繼續(xù)降級業(yè)務，降級的含義是可會采用默認的承載QoS和流量配置策略。該功能需要人工開啟。GOS故障yGOS用戶數(shù)據(jù)三方備份：用戶數(shù)據(jù)三方備份，需要手工恢復數(shù)據(jù)。3）業(yè)務逃生新通話降級逃生：故障回落普通呼叫。亞健康恢復網元PIPI持無碼化發(fā)布恢復UseCaseCPU（CPU30（）。三、專網安全（一）專網架構帶來的安全風險（二）專網安全解決方案專網用戶接入安全方案用戶接入專網之前，除了進行3GPP標準的移動用戶主認證之外，還需要支持專網的二次鑒權，通過在專網部署DN-AAA設備和安全網關，對用戶訪問專網的合法性進行管理。二次鑒權流程中，可選支持驗證用戶的號碼DEUP,PDAA用戶的業(yè)務訪問可通過DI到具體的人，在用戶終端動態(tài)獲取PPP專網傳輸通道安全方案IRB密和完整性保護。2)傳輸域安全支持不同級別的傳輸隔離機制，如PN軟隔離，leE硬隔離等。支持在基站與核心網用戶面網元UPF之間的傳輸通道之上疊加啟用Pe3)核心網域安全UPF或者專享UPF滿支持通過VPN，GRE用Pec專網邊界安全方案AirtlalAraer支持在管理面、控制面、用戶面提供ALAstrlit，自信任地址或網絡的訪問，并對訪問接口進行流控。2)安全域隔離專網設備自身安全硬件服務器的本地串口、本地調試口、USBUPF產品開發(fā)過程應遵循業(yè)界最佳實踐的安全開發(fā)流程，應通過權威3GPP&GSMA的NESAS/SCAS使用端口及和最小化授權等)，病毒掃描，漏洞掃描；消除開源軟件漏洞，減少攻擊面，提升平臺的安全性。UPF具備上行流量防地址欺騙檢查能力，若報文的源地址UPF具備下行流量防地址欺詐能力，若目的地址與手機地UPF具備對沒有匹配PDP上下文/UPFDDoS攻擊檢測和過濾，防止惡意或者被控制的移動用戶作為攻擊源發(fā)起DDoSUPF具備四、智能化網絡安全體系和服務，積極探索G核心網與AI的融合創(chuàng)新，實現(xiàn)網絡智能化水AI（一）5G核心網智能化架構及演進GP在Rl5階段定義了核心網服務化網元網絡數(shù)據(jù)分析功能DF網元erkDtaAaltsti)，用于網NWDAF核心網NFOAM或AF原始數(shù)據(jù)。NWDAF5GNF或AFNWDAF的分析結果信息開放給AF時，需要通過網絡開放功能網元NEF與AF3GPP在R16絡流程，梳理了業(yè)務體驗、網元負荷、網絡性能、UE移動性、UE5G核心網引入NWDAF1NWDAF后的智能化網絡架構示意圖GP在Rel7對智能網絡架構進一步增強，包括DFUEWLAN性能、會DNDF功能分解如圖2，包括DDtalletinadrdiatinti)、ARaltisDtaReiryti)、Aalyicialti)、TelTraigialt)等智能化網元，可為網絡、業(yè)務、用戶2NWDAF功能分解圖AFNWDAFNWDAFNF合并部署或NWDAF下級NWDAFNWDAFNWDAF服務區(qū)域，并將各自負責區(qū)域內的數(shù)據(jù)統(tǒng)一上報至上級D3NWDAF多實例分布式部署3GPPR18繼續(xù)網絡智能架構增強，包括如何緩解數(shù)據(jù)孤島、漫游、網絡優(yōu)化策略推薦、網絡部署建議等。3GPP定的多NWDAFUE、RAN、CN、應用間數(shù)據(jù)、模型等共享和協(xié)同，跨層協(xié)同包括網元層與運維（二）5G核心網智能化架構安全增強5GGP引入G核心網AI單元（DF），現(xiàn)階段已形成數(shù)數(shù)據(jù)分析體系架構。作為5G網絡自動化的核心網元目前NWDAFNWDAFUE及網元收集數(shù)據(jù)時的安全保護，包括隱私NWDAF及其相關功能支持檢測的網絡攻擊和網元異常事NWDAF核心網智能化系統(tǒng)自身的安全NWDAFNWDAF也支持網絡安全的功能措施，如SBA與NWDAFDDoSTMP的防護，還有OAMNWDAF（應用或者僅僅能調用AI服務的AI引起網絡的DoS攻擊，因此需要引入例如策略優(yōu)先級、策略排序、利用NWDAF5GDFNWADF提供有關特定區(qū)域的網絡狀態(tài)信息、網絡資源DF根據(jù)用戶需求和業(yè)務場景提供個性化的QoS服務保障，提高用戶滿以與UE5G標準中的網絡自動化功能網元NWDAFNWDAFlieadeelAlyi在GPRl7階NWDAF者NFNWDAFNWDAF將切片特定網絡狀態(tài)分析信息通知給訂閱它的消費者NF（PCF、NSSFAMF）NFNWDAF服務體驗的分析OrederieEeieeAalt)在GPRel6NWDAFUE或UEPAE、AF或OAM。NWDAF（如V2XWeb。FadAalt在GPRel6NF負荷提供給另一個NFNF或OAM。通過持續(xù)的采集監(jiān)測和數(shù)據(jù)訓練負荷分析還可以實現(xiàn)長期和短期的預測模型輸出提供給邊緣或外部系統(tǒng)。4）網絡性能的分析網絡性能的分析etrkPerraeAalt)在GPRel6AF可以提供所選區(qū)域中BgNBPUDein，O等）。此外，DF可以提供該區(qū)域中的UE的數(shù)服務消費者可以是NF（例如PCF、NEF、AF）或OAM。5）UEUEUEreltedAalt在GPRel6義，并在Re7DF可以提供UEUEiliyaalti、UEUEitinaaltiUEEeedUEeairalaraetrsreltedetrkdaaaaltis）、與異常行為相關的網絡數(shù)據(jù)分析ArleairreltedetrkdaaaaltiDaaledierinTratindieinaalti。在符合國家的用戶數(shù)據(jù)安全相關的法律法規(guī)和用戶隱私的前提下，根據(jù)用戶或客戶需求，5G核心網可以合理智能的分析利用這些UE例如，異常行為分析arleairaaltis）可以5GCUE：UE喚醒、疑似DDoS攻擊、異常目的地址、超頻服務請求、異常DF服務用于向消費者PAF或A）公開來自NWDAF的網元或UE用戶數(shù)據(jù)擁塞的分析UerDtaetinAlyi)在GPRl6階段定義。會話管理擁塞控制體驗分析eintetintrlEeieeAalt)在GPRel7NWDAFNF費者可以是NF（，NEF、AF、PCF）。5G的QoS，5GCAF，指導AF基于5GC的智能擁塞管控可充分實現(xiàn)對網絡擁塞狀況實時感知和智能預測，提升用戶的業(yè)務體驗，提高網絡資源調度水平。QoSS預測及可保持性分析StaiailityAayi)在GPRel65GQoS參數(shù)或性能的預測結果，或者特定的QoS參數(shù)是否超過了上報的門域。服務消費者可以是NF（例如AF）。冗余傳輸體驗相關的分析（RedatTraiinEeie在GPRl7這些分析可由SMF確定是否應在N3/N9或者（如果已激活）PCFPDU會話的URSP服務消費者可以是NF（例如SMF、PCF）。9）DNNDNerraeaalti在GPR7可以提供DN服務消費者提供用戶平面性能分析（即平均/最大流量率、平均/最大數(shù)據(jù)包延遲、平均數(shù)據(jù)包丟失率）。DNUPFUE、UEUE的特定邊DI上的UUE組或任何UEUEUEUE服務消費者可以是NF（SMF）或AF。5G聯(lián)邦學習與網絡健壯性和安全相結合的應用場景。（三）網絡能力開放安全架構本白皮書重點討論網絡能力的開放安全etrkA)，針對GP定義的標準能力開放架構APFTrmOeraisAOOS等T流程AI，5G5GaaaGP在R5標準中定義了通用AI框架（nAIraerAPGAR16/R17/R18APF是GP定義的標準能力開放架構，可以視為G網絡4APIFAI使用者（AIker）是需要調用G網絡能力的第三方PLMN5G核心網內部功能實體的包括APFAFreti、AI開放功能（AIEigtin）、AI發(fā)布功能（AIPliigtin）和AI管理功能（AIaaeettin）這4個功能實體。在實際部署時，這4個功能實體可以根據(jù)網絡情況和實際需求進行合設或者分設，例如可以選擇將這個功能實體合設并體現(xiàn)為網絡開放功能（etrkEretiE也可以將APFNEF。因為APFAPF3GPP5APIFAPF安全架構涉及的接口眾多，總體上可以分為兩類：可信域內通信接口和可信域外通信接口，前者包括AP7接口，后者包括APeeeeee這些接口采用的協(xié)議都是TPTA7接口的安全性強制支持傳輸層安全性協(xié)議TS（Trartayreri。Aeee接口的安全性支持DP以確保不同P安全域之間的通信安全。通過利用規(guī)定的DP安全程序，避免了AI提供域和AF運營商在進行G網絡能力開放部署時，可能會選擇將APF中的AI開放功能、AI發(fā)布功能和AI管理功能合設為E，作為GAIG該部署方案下，NEF只需要與運營商網絡內的能力開放平臺進行對接，實現(xiàn)AI開放。這樣APF的眾多接口被收斂為EF與AIGTAI例如3GPP定義的安全策略之外增加安全網關等更多防護設備），實5G的互聯(lián)互通和漫游GA在3C發(fā)布了OenGaeyAI)此外，為了幫助第三方應用更好地構建業(yè)務安全能力，5G網絡5G5G6G要采用AI技術，即ETAI。關于自治網絡，對于確定性網絡需要ETAI五、未來網絡內生安全架構3GPP標準定義了網元安全配置及網元圖6未來網絡內生安全架構統(tǒng)邊界防護設備協(xié)同配合應對核心網面臨的高級威脅。關鍵技術包括：GAGGAG未來5G-A/6G核心網內生安全相對比傳統(tǒng)外掛式安全軟件主要優(yōu)勢有：性知識，構建確定性的白名單和行為基線，提供全面精準的檢測能力。六、總結及展望5G5G縮略語縮寫英文全稱中文名稱3GPP3rdGenerationPartnershipProject第三代合作伙伴計劃5G5hGenratonMoileComuniatinTechnology第五代移