5G核心网安全解决方案

5G核心网安全解决方案【摘要】介绍了5G网络面临的安全性挑战，论述了核心网安全解决方案架构，分析了56核心网的接入安全、网络安全、管理安全、能力开放安全、数据安全等关键技术，提出了5G网络安全运营的组织架构。【核心网】5G核心网；安全方案；安全运营引言工信部发放56牌照以来，电信运营商加快了5G建设和商用部署的步伐。5G核心网基于NFV（NetworkFunctionVirtualization，网络功能虚拟化）/SDN（SoftwareDefinedNetwork，软件定义网络）的虚拟化网络平台，部署在电信云平台。与传统安全防护中每个物理环境相对独立的情况不同，NFV组件的开放，带来组件交互的开放性安全风险，新增网元及虚拟化平台的引入也会带来新的安全风险点。在云化后，56核心网的所有虚拟机共享资源，虚拟机和应用程序随时可能移动或变更，来自于内外部的攻击等安全风险也呈现多样化。本文从5仃核心网的安全需求与架构角度出发，结合组网和运营实践，对5G核心网的安全解决方案的关键技术进行探讨。56核心网面临的安全挑战5G核心网的部署面临着来自于接入安全、网络安全、管理安全、能力开放、数据安全等诸多方面的安全性挑战。在接入方式和业务场景上，5G支持多种不同能力的终端接入网络并支持多种接入技术接入5G网络。而且，由于垂直行业和移动网络的深度融合，催生了多种应用场景，5G网络需要为不同应用提供差异化的安全服务。5G网络的三大典型场景对安全的要求存在差异，在eMBB场景下，个人业务要求隐私数据加密，行业应用要求对所有环境信息加密，所使用的加密算法也有差异；在uRLLC场景下，需要提供隐私、关键数据的安全保护，接入认证、数据传输安全、安全上下文切换、安全终结点加解密等引发的时延必须满足低时延业务要求；在mMTC场景下，需要解决海量终端接入时的高效认证，降低信令风暴，提供轻量安全算法，简化安全协议，满足资源受限需求的低功耗轻量化安全接入。因此，5G网络需要统一的认证框架，以便为用户提供无感知的、连续的、可靠的统一安全接入方法。由于5G核心网以虚拟功能网元形式部署在云化基础设施上，网络功能由软件实现。这对网络安全和管理安全带来了诸多风险：由于NFV/SDN技术虚拟网络共享物理资源，安全边界变得模糊，网络虚拟化、开放化使得攻击更容易，安全威胁传播更快、波及更广，在网络安全方面需要关注安全接入、防攻击、安全加固、路由协议安全等诸多风险，在管理安全方面则需要解决分权分域、身份鉴权、API保护、组件安全通信、数据库加固等多方面问题。5G核心网的网络服务和管理功能都提供开放功能，能力使用者通过API（ApplicationProgrammingInterface，应用程序接口）、Web方式按需调用开放能力，快速提供服务，这种能力开放的特性为垂直行业、第三方应用提供灵活、快速、可定制的网络服务，同时也打破了传统电信网络以能力封闭换取能力提供者自身安全性的传统思路，使得能力外部使用者对能力提供者即对5G网络的攻击成为可能，因此研究网络能力服务安全保证机制应对能力开放安全问题已经成为亟待解决的重大问题。

在5G时代，业务更加多样化，网络更加开放化，使隐私数据从封闭平台转移到开放平台，大数据和人工智能的结合，这都加大了数据信息泄露的风险。尤其是在工业控制场景中，数据安全保护涉及到工业安全和商业风险，数据安全显得尤为重要。5G核心网安全解决方案和关键技术如图1所示，需要从接入安全、网络安全、管理安全、能力开放、数据忘B网络管理MANOEMSHOSS©能力开放物理资源®SDN虚报交换机SDNTA①5G©能力开放物理资源®SDN虚报交换机SDNTA①5G核心网三②虚拟网络公其虚拟网完AMFAUSFiinxi①接人安全＞£8层安全＞MAN思安仝②网络安全＞山概因络去生③管理安全＞MAN口安生＞SDN拄制器安交④能力开放A储力期用安全＞开成接口安全⑤数据安全＞存精安全＞棺梅安条＞使用安全图I5U核心网安全解决方案3.1 接入安全56核心网的接入安全，需要联合UE、无线接入网整体考虑，部署如图2所示的多重防护机制。密钥派图2多应用场景下的安全认证架构—SG修心网南钳派牛J当口用户面保护用户面加密，完保加密、完,保加密、完保UE和核心网的用户面保护认if点认证服务器统一认证邮密钥派图2多应用场景下的安全认证架构—SG修心网南钳派牛J当口用户面保护用户面加密，完保加密、完,保加密、完保UE和核心网的用户面保护认if点认证服务器统一认证邮控制面空口信今次“加密、工保加密、完保NA懦手保护客户制认证程序用户签性］信息AMHSEAF学过gAU5F统一认征电UDM在这种安全认证架构下，需要对用户和网络进行双向认证，保证用户和网络之间的相互可信。为提供空口和/或UE到核心网之间的用户面加密和完整性保护，防止被嗅探窃取，需要对空口、UE和核心网之间数据加密，支持EAP-AKA（ExtensibleAuthenticationProtocol-AuthenticationandKeyAgreement，可扩展认证协议认证与密钥协商）、5G-AKA（5GAuthenticationandKeyAgreement，5G认证与密钥协商）认证，支持主流的加密和完整性保护算法。在UE访问应用时候，按需建立IPSec（IPSecurity，Internet协议安全性）/SSL（SecuritySocketLayer，安全层）VPN隧道，保证数据传输安全，并实行访问控制，防止接入用户的非授权访问网络切片。根据不同的安全需求，选择不同的安全终结点。3.2 网络安全（1）NFV安全在VNF（VirtualNetworkFunction,虚拟网络功能）的整个生命周期中，都需要严格做好安全认证和权限管理。在VNF包管理中，软件包/模板面临被非法访问、篡改、删除风险，因此需要上载过程中，进行完整性、可信性检查，存储在安全可靠区域，如需访问则需要认证与授权。在VNF实例化前，需要进行完整性验证、认证和权限验证，避免由于软件包/模板被篡改实例化成为非法的VNF。在VNF实例管理、VNF弹性伸缩过程中，需要充分的认证和权限验证，避免攻击者非法获取VNF实例状态、资源使用情况，篡改弹性伸缩阈值条件，消耗资源。在VNF更新过程中，需要结合认证和权限验证做包完整性检查，避免非法发起更新流程、篡改更新软件包。在VNF实例终止时，需要结合认证和权限验证，彻底擦除资源，避免非法终止实例，VNF实例敏感数据信息被外部获取。在MANO（ManagementandOrchestration，管理和编排）管理中，也需要对各个组件进行完备的安全管理举措。需要对NFVO（NetworkFunctionVirtualizationOrchestration，虚拟化编排）进行安全加固，包括病毒查杀、及时升级病毒库，对访问进行认证和授权，以保证MANO平台可信，消除共有安全威胁，解除实体自身漏洞，防范病毒/蠕虫/木马攻击和内容被非法访问。在VNFM中，则需要注重NFVO防DoS（DenialofService，拒绝服务）/DDoS（DistributedDenialofService，分布式拒绝服务）攻击，保证运行VNFM/VIM的虚拟机安全，解除VNF频繁上报告警导致NFVO处理能力下降和虚拟机引发的VNFM/VIM威胁风险。在VIM（VirtualizedInfrastructureManager，虚拟化基础设施管理器）中，需要对通信内容进行完整性、机密性、抗重放保护，实体间进行双向认证，部署安全隧道IPsec，防范通信安全威胁，防止通信内容被篡改、拦截、窃听、重放。在VM（VirtualMachine，虚拟机）管理中，VM需要做好系统安全加固、安全防护和访问控制，防止虚拟机镜像文件或自身防护不足，虚拟机被滥用、逃逸以及虚拟机间嗅探。随机保存内存地址，进行完整性和真实性检查，遵循最小化原则，关闭协议无关端口，强化补丁管理要求、加强用户认证，防止利用Hypervisor漏洞取得高级别运行等级，获得对物理资源的访问控制，甚至利用虚拟机对外发起攻击的高风险事件。VNF所在的硬件资源也需要做好物理主机防病毒、防入侵，做好资源隔离和物理环境安全，防止遭受来自VM发起的安全攻击和DDoS/蠕虫，病毒攻击。（2）SDN安全SDN具备控制和转发分离的特性。SDN控制器是直接运行在操作系统上的COTS硬件，面临与操作系统相同的漏洞风险，攻击者可能通过伪造南北向信息，向控制器发起DoS或者其他方式的资源消耗攻击。这就需要监视资源利用率，Cluster架构分散攻击点，防DDoS攻击，基于角色的访问控制，基于认证的远程合法登录访问。SSL接入提供数据私密性，限制远程访问的IP地址，保障安全接入。引入日志分析，确保安全事件取证，建立事后回溯机制。采用漏扫和合规工具，实现操作系统层面的安全加固。SDN数据平面与控制平面解耦，攻击者可能以SDN转发节点为跳板，发起针对其他转发节点或控制器的攻击。设置上送CPU的报文优先级，限制上送队列速率。数据平面与SDN控制器进行双向安全认证，强制采用TLS保护措施，防止被伪造的SDN控制器接管。采用多级限速和多级流量调度功能，抑制DDoS攻击。设置严格的远程访问身份认证策略，防止非法登录。MD5（MessageDigestAlgorith5，消息摘要算法第五版）加密认证OSPF（OpenShortestPathFirst，开放式最短路径优先）、RIP（RoutingInformationProtocol，路由信息协议）、BGP（BorderGatewayProtocol，边界网关协议）等路由协议保障路由协议安全。

SDN南北向接口如果缺少安全通信机制的强制要求，也存在相当大的安全隐患，因此需要在SDN控制器与转发设备之间，在APP与SDN控制器之间，都采用双向认证，防止攻击者冒充合法的设备接入网络，并加载完整性及加密保护，防止信息被泄露、重放、篡改。（3）安全域隔离在组网阶段，就需要把5仃核心网划分为如图3所示的安全域，实现域间隔离。根据运营需求和网元功能，将网元进行安全等级分类，为不同的安全等级设置不同的安全域，每个功能网元或管理网元仅能归属于其中的一个安全域。每个安全域可以分配得到专用的基础网络资源池，不同安全域不能共享资源池。ExposedService Nozxposed SoemreService ManagementZvne ExposedService Nozxposed SoemreService ManagementZvne Zone Zone Zotit至3实现域其隔禹的安全域划分域间和域内安全策略也必须得到严格的安全策略控制。根据需要，域内的数据传输可选配置安全控制，例如VNF之间配置防火墙，VNF之间增加相互认证机制等；而跨域的数据传输，则必须受安全策略控制，例如在域间配置防火墙、VPN等。（4）切片安全需要根据SliceID和安全性要求，提供特定切片的FCAPS（Fault/Configuration/Accounting/Performance/Security，故障/配置/计费/性能/安全）管理，提供VNF的隔离。在切片接入安全中，需要综合考虑接入策略控制、PDU（ProtocolDataUnit，协议数据单元）会话机制，提供基于IPSec或SSLVPN的安全连接。在公共NF与切片NF的安全方面，设置白名单机制，控制是否访问，由NSSF（NetworkSliceSelectionFunction，网络切片选择功能）保证AMF连接正确的NF，并在AMF中监测请求频率。在不同切片之间，设置VLAN/VxLAN网络隔离，并对VM/容器进行资源隔离。不同VNF互相鉴权保证通信信息安全，并通过IPSec确保安全连接。管理安全和能力开放安全5G网络重要的特性之一是提供开放的业务能力。如图4所示，这种业务能力开放必须经过安全封装，包括向租户开放的网络能力必须经过运营商授权，不同的授权访问不同的能力。在网络编排中，有多种手段可以加强网络能力开放的安全性。对于不同用户，选择用户接入认证方式；对于不同业务，可以选择不同等级的加密和完整性保护方式；对于不同用户数据，选择用户面数据保护终结点；对于不同切片，赋予不同安全等级。对于门户的安全接入，则需要建立完善的管理手段，保障系统安全运行。对于账户管理，需要支持角色分权分域管理，账户生命周期管理，密码复杂度策略管理（长度、有效期）。对于认证管理，需要进行集中认证管理，认证采用OAuth2.0，在WebUI与NFVO/VNFM间采用RESTful接口，实行统一的审计管理。对于网络接入，要求IPSecVPN、SSLVPN、HTTPS。对于应用场景，必须基于网络能力开放接入、租户接入，要求其接受日常的管理维护、安全审计。在日常集中日志和审计中，需要对采集到的日志进行实时分析审计和告警响应，帮助管理员实时了解系统的安全事件和运行状况。数据安全用户数据安全已经成为社会广泛关注的重要问题，欧盟为此制定了《通用数据保护条例》，保护欧盟用户的数据隐私。用户数据在5G网络的数据收集、传输、处理、存储、维护、共享、应用等各个阶段都存在安全性风险。因此，在5G网络的设计阶段，从终端、网络、业务提供商各个层面，对信息的请求、提交、传输、存储、处理、使用操作，采用如表1所示的技术和管理手段实现对关键数据的保护。星】$行利2美压广&亮安4侥护综”类型垛备缮端生接人”：文酸，..•*.3疝供概故也呆室魏晶嗣讹、用户许可7产驶礴.不涉世.一躺嫩刖胳、完筌性校赛।£名，瞌时标识加南、完座空楼赣、1喏M标识加密、完整性校验工啮时标识】：不完整性标户、石名，临时标识数据蛇理、洋健.堆井1数据最访问控制、力晦工工最”讹.力同三制.那宙、用户许可蜘眄闻匕访问控利，加密、.用户许可散报最小叱、市同稼制、加密、用户点可故拒拄》：不涉版网帼识，弟/■许可、数甩最…出1姗1标识.用户许可.效擢最小化船乐陆文前户许数据第I*七45G网络安全运营组织架构建议电信业已经深入国民经济的各个行业，电信行业的安全与健康发展的重要性毋庸置疑。作为工业自动化的基础设施，56核心网乃至整个5G网络的安全，都将会提升到前所未有的高度。如图5所示，电信网络的安全运营，一方面需要建设完善的安全机制，另一方面需要把安全深入到日常的运营和维护工作中。

网络安个现H.从津打司；最世•丈巴语利同庭十出台现检£1企业用J」网络安1-舞I'1七件际.应纤i网络安个现H.从津打司；最世•丈巴语利同庭十出台现检£1企业用J」网络安1-舞I'1七件际.应纤i二洛|：星放道6口分析也甲连安哈委员