5G核心網,誰來負責你的安全

2022.03.30

當海量終端通過傳輸網接入核心網時,誰來保證5G核心網(5GC)的安全? 眾所周知,5G時代,迎接我們的是一個萬物互聯的世界。隨著物聯網的不斷發展,越來越多的設備需要接入5G網絡,但這也意味著這些設備將會成為被不法分子攻擊的潛在目標。你可曾想過,在物聯網時代,病毒有可能感染正在行駛的汽車,感染正在使用的智能家居設備....當海量終端通過傳輸網接入核心網時,誰來保證5G核心網(5GC)的安全? 5GC威脅分析 上述場景也許只是5GC安全威脅的一個縮影。5GC基於雲化架構,通過引入虛擬化技術實現了軟件與硬件的解耦,並通過NFV技術,將虛擬化網元部署在雲化的基礎設施上,不再使用專有通信硬件平臺。因此,原先認為安全的物理環境已經變得不安全。 在基礎設施層(NFVI),除了傳統的物理安全隱患,虛擬化的安全威脅更值得註意,例如病毒木馬攻擊虛擬化雲平臺、濫用虛擬資源、惡意破壞虛機及鏡像等。 在網元功能層(VNFs),存在非法用戶接入網絡、對網元間通信數據的監聽和篡改、針對漫遊用戶的流量欺詐等攻擊。 在管理和編排層(MANO),存在針對管理平面的安全威脅,包括非法用戶訪問、內部人員的惡意操作、權限濫用攻擊、個人數據隱私暴露等。 既然5GC存在諸多潛在的隱患,不法分子或者黑客豈不是可以肆意妄為?No way! 5GC安全架構 針對上述威脅,提出了基於5G安全規範的5GC安全架構。 這個安全架構看上去挺復雜啊! 接下來,小編就帶你從如下5個層面解讀5GC安全架構。 如果把5GC網絡比作全國的公路網,網絡中的數據比作通行的車輛。我們可以簡單地將5GC安全架構的幾個層面簡單地做個類比。 (1) 接入安全 接入安全就像車管所負責車輛年檢,只有符合安全要求的車輛才能上路。類似地,當各類用戶設備(UE)通過基站(NR)接入5G核心網時,5G核心網會對用戶設備進行接入認證、訪問控製等,並在數據傳輸過程中進行數據加密和完整性保護。 在5GC系統中,通過雙向認證方式,確保接入設備接入真實安全的5G核心網,杜絕接入「假基站」,同時通過UDM和AUSF對接入設備進行鑒權認證。對於3GPP接入和非3GPP接入,采用統一的接入流程和認證方式,並支持EPS-AKA、5G-AKA、EAP-AKA』等多種不同的認證方法。5G鑒權過程增強了歸屬網的控製,防止拜訪網中可能存在的欺詐。 (2) 網絡安全 5GC網絡通過劃分不同的網絡平面,傳輸不同類型的數據,從而實現網絡安全。某一網絡平面的數據不會跑到其他網絡平面。這就類似於城市之間有高速公路和國道省道、城市內部有BRT專用車道,體現了分類管理的價值。 (3) 管理安全 管理安全就像交通管理局提供的功能:管理交通並服務於廣大車輛。不同區域的交警負責所在片區的交通安全。類似地,5GC NF通過MANO進行管理和編排。MANO支持分權分域的安全管理場景。 分權管理:為不同級別的用戶提供不同的操作權限,以達到可見/不可見、可管理/不可管理的目的。在系統中,權就是操作集,系統有默認的操作集,包括安全管理員、管理員、操作員、監控員、維護員,也可以自定義操作集。 分域管理:集中控製節點的數據或操作維護功能,按管理域,劃分成多個虛擬管理實體,實現不同域的用戶管理。系統支持地域(行政區域)、業務域(廠商、專業、網元類型)、資源池(資源池以及資源池下的租戶)的域維度。 (4) 能力開放安全 5GC支持網絡能力開放,通過能力開放接口將網絡能力開放給第三方應用,以便第三方按照各自的需求設計定製化的網絡服務。能力開放安全著眼於開放接口的安全防護,使用安全的協議規範。當第三方用戶設備通過API接入時,需要進行認證。 (5) 數據安全 5G時代的數據具有數據量大、數據種類多、暴露面廣等特點,因此建立5GC數據安全體系從而保護5G數據的安全性顯得至關重要。5GC數據安全體系基於數據最小化、匿名化、加密傳輸、訪問控製的數據保護原則建立。 服務化架構安全 由於5GC采用服務化架構,針對全新服務化架構帶來的安全風險,5GC安全架構采用完善的服務註冊、發現、授權安全機製來保障服務化安全。 在NF註冊和發現流程中,NRF和NF間采用雙向認證方式。在NRF和NF認證成功後,NRF判定NF是否被授權執行註冊和發現流程。 在非漫遊場景下,即同一PLMN內時,5G核心網控製面中的各NF之間采用基於Token的授權機製,NF業務訪問者在訪問業務API之前需要進行認證。 在漫遊場景中,即不同PLMN之間的NF授權時,拜訪地的vNRF和歸屬地的hNRF需要做雙向認證。 虛擬化平臺安全 虛擬化平臺提供所有5G核心網NF的部署、管理和執行環境。為了實現虛擬化平臺安全,Hypervisor發揮了重要作用: Hypervisor統一管理物理資源,保證每個虛擬機都能獲得相對獨立的計算資源,並實現物理資源與虛擬資源的隔離。 虛擬機所有的I/O操作都會由Hypervisor截獲處理,Hypervisor保證虛擬機只能訪問分給該虛擬機的物理磁盤,實現不同虛擬機硬盤的隔離。 Hypervisor還負責調度vCPU的上下文切換,使虛擬機操作系統和應用程序運行在不同的指令級別(Ring)上,保證了操作系統與應用程序之間的隔離。 對於用戶而言,通過配置不同的VDC,實現虛擬機之間的通信隔離。通過配置安全組,終端用戶可自行控製虛擬機互通和隔離關系,以增強虛擬機的安全性。 結束語 現在,你知道5G核心網的安全是如何保障的吧。中興通訊提出的5GC安全架構,從接入安全、網絡安全、管理安全、數據安全、能力開放安全等方面,保障5GC網絡安全,大大降低諸如用戶設備非法接入、網元間通信數據泄露等安全威脅。此外,對於多接入邊緣計算(MEC)場景,中興通訊通過提出MEC安全架構和方案,保障MEC場景下的核心網安全。