5G核心網，誰來負責你的安全

當海量終端通過傳輸網接入核心網時，誰來保證5G核心網（5GC）的安全？ 眾所周知，5G時代，迎接我們的是一個萬物互聯的世界。隨著物聯網的不斷發展，越來越多的設備需要接入5G網絡，但這也意味著這些設備將會成為被不法分子攻擊的潛在目標。你可曾想過，在物聯網時代，病毒有可能感染正在行駛的汽車，感染正在使用的智能家居設備....當海量終端通過傳輸網接入核心網時，誰來保證5G核心網(5GC)的安全? 5GC威脅分析 上述場景也許只是5GC安全威脅的一個縮影。5GC基於雲化架構，通過引入虛擬化技術實現了軟件與硬件的解耦，並通過NFV技術，將虛擬化網元部署在雲化的基礎設施上，不再使用專有通信硬件平臺。因此，原先認為安全的物理環境已經變得不安全。 在基礎設施層(NFVI)，除了傳統的物理安全隱患，虛擬化的安全威脅更值得註意，例如病毒木馬攻擊虛擬化雲平臺、濫用虛擬資源、惡意破壞虛機及鏡像等。 在網元功能層(VNFs)，存在非法用戶接入網絡、對網元間通信數據的監聽和篡改、針對漫遊用戶的流量欺詐等攻擊。 在管理和編排層(MANO)，存在針對管理平面的安全威脅，包括非法用戶訪問、內部人員的惡意操作、權限濫用攻擊、個人數據隱私暴露等。 既然5GC存在諸多潛在的隱患，不法分子或者黑客豈不是可以肆意妄為?No way! 5GC安全架構 針對上述威脅，提出了基於5G安全規範的5GC安全架構。 這個安全架構看上去挺復雜啊! 接下來，小編就帶你從如下5個層面解讀5GC安全架構。 如果把5GC網絡比作全國的公路網，網絡中的數據比作通行的車輛。我們可以簡單地將5GC安全架構的幾個層面簡單地做個類比。 (1) 接入安全 接入安全就像車管所負責車輛年檢，只有符合安全要求的車輛才能上路。類似地，當各類用戶設備(UE)通過基站(NR)接入5G核心網時，5G核心網會對用戶設備進行接入認證、訪問控製等，並在數據傳輸過程中進行數據加密和完整性保護。 在5GC系統中，通過雙向認證方式，確保接入設備接入真實安全的5G核心網，杜絕接入「假基站」，同時通過UDM和AUSF對接入設備進行鑒權認證。對於3GPP接入和非3GPP接入，采用統一的接入流程和認證方式，並支持EPS-AKA、5G-AKA、EAP-AKA』等多種不同的認證方法。5G鑒權過程增強了歸屬網的控製，防止拜訪網中可能存在的欺詐。 (2) 網絡安全 5GC網絡通過劃分不同的網絡平面，傳輸不同類型的數據，從而實現網絡安全。某一網絡平面的數據不會跑到其他網絡平面。這就類似於城市之間有高速公路和國道省道、城市內部有BRT專用車道，體現了分類管理的價值。 (3) 管理安全 管理安全就像交通管理局提供的功能：管理交通並服務於廣大車輛。不同區域的交警負責所在片區的交通安全。類似地，5GC NF通過MANO進行管理和編排。MANO支持分權分域的安全管理場景。 分權管理：為不同級別的用戶提供不同的操作權限，以達到可見/不可見、可管理/不可管理的目的。在系統中，權就是操作集，系統有默認的操作集，包括安全管理員、管理員、操作員、監控員、維護員，也可以自定義操作集。 分域管理：集中控製節點的數據或操作維護功能，按管理域，劃分成多個虛擬管理實體，實現不同域的用戶管理。系統支持地域(行政區域)、業務域(廠商、專業、網元類型)、資源池(資源池以及資源池下的租戶)的域維度。 (4) 能力開放安全 5GC支持網絡能力開放，通過能力開放接口將網絡能力開放給第三方應用，以便第三方按照各自的需求設計定製化的網絡服務。能力開放安全著眼於開放接口的安全防護，使用安全的協議規範。當第三方用戶設備通過API接入時，需要進行認證。 (5) 數據安全 5G時代的數據具有數據量大、數據種類多、暴露面廣等特點，因此建立5GC數據安全體系從而保護5G數據的安全性顯得至關重要。5GC數據安全體系基於數據最小化、匿名化、加密傳輸、訪問控製的數據保護原則建立。 服務化架構安全 由於5GC采用服務化架構，針對全新服務化架構帶來的安全風險，5GC安全架構采用完善的服務註冊、發現、授權安全機製來保障服務化安全。 在NF註冊和發現流程中，NRF和NF間采用雙向認證方式。在NRF和NF認證成功後，NRF判定NF是否被授權執行註冊和發現流程。 在非漫遊場景下，即同一PLMN內時，5G核心網控製面中的各NF之間采用基於Token的授權機製，NF業務訪問者在訪問業務API之前需要進行認證。 在漫遊場景中，即不同PLMN之間的NF授權時，拜訪地的vNRF和歸屬地的hNRF需要做雙向認證。 虛擬化平臺安全 虛擬化平臺提供所有5G核心網NF的部署、管理和執行環境。為了實現虛擬化平臺安全，Hypervisor發揮了重要作用： Hypervisor統一管理物理資源，保證每個虛擬機都能獲得相對獨立的計算資源，並實現物理資源與虛擬資源的隔離。 虛擬機所有的I/O操作都會由Hypervisor截獲處理，Hypervisor保證虛擬機只能訪問分給該虛擬機的物理磁盤，實現不同虛擬機硬盤的隔離。 Hypervisor還負責調度vCPU的上下文切換，使虛擬機操作系統和應用程序運行在不同的指令級別(Ring)上，保證了操作系統與應用程序之間的隔離。 對於用戶而言，通過配置不同的VDC，實現虛擬機之間的通信隔離。通過配置安全組，終端用戶可自行控製虛擬機互通和隔離關系，以增強虛擬機的安全性。 結束語 現在，你知道5G核心網的安全是如何保障的吧。中興通訊提出的5GC安全架構，從接入安全、網絡安全、管理安全、數據安全、能力開放安全等方面，保障5GC網絡安全，大大降低諸如用戶設備非法接入、網元間通信數據泄露等安全威脅。此外，對於多接入邊緣計算(MEC)場景，中興通訊通過提出MEC安全架構和方案，保障MEC場景下的核心網安全。