5G核心网安全技术分析

2020-08-19王佳

通信电源技术 2020年10期

王佳

（中通服咨询设计研究院有限公司，江苏南京 210000）

0 引言

网络安全一直是网络建设的重点和难点，尤其是即将全面普及的5G网络，其核心网的安全性面临极大的市场挑战。为了攻克这一难关，通信行业从不同的技术角度进行预研及验证，并提出了许多切实有效的解决方案。图1提供了一种5G核心网安全的解决方案，下面将以图1为基础来论述分析5G核心网的安全策略。

1 5G核心网的接入安全分析

5G核心网的接入安全要结合UE、接入网和5G核心网3个部分共同考虑，推荐采用多重防护机制[1]。图2是接入安全的一种架构模式图，通过对网络和用户之间的双向认证手段，确保网络和用户之间的可信。对空口、UE、核心网之间通信的数据进行加密，数据加密支持EAP-AKA和5G-AKA认证，并且支持业内主流的数据加密和数据完整性保护算法，可以有效防止数据被窃取。在UE需要访问应用的情况下，根据实际需求建立IPSec/SSL VPN通道，用以保证数据传输的安全性，还可以实时监测和控制数据的访问。在用户没有获取到权限的情况下，不允许用户访问网络切片。此外，设立多重防护机制实现不同安全需求与不同安全终结点之间的匹配。

2 5G核心网的网络安全分析

5G核心网的网络安全是整个安全技术中最重要的组成部分，需要投入的精力最多，下面将从多个方面进行论述。

2.1 网络功能虚拟化安全分析

网络功能虚拟化简称NFV，是5G中重要的网络技术，主要包含VNF、MANO以及VM等功能[2]。

2.1.1 VNF

VNF是虚拟网络功能，在整个运行过程中需要严格把关用户的权限认证和权限管理。VNF有包管理、实例化、实例管理、实例更新以及实例终止等过程，所有过程都有可能面临不同的安全风险。VNF在包管理中的主要安全措施是对上载的文件进行完整性检查，并将其存储在安全区域，同时对文件进行权限设置。VNF的实例化需要再次验证完整性和权限，以避免文件被不法分子篡改。VNF的实例管理核心是权限认证，保证实例状态不被外泄。同理，VNF的实例更新和终止操作也均需先获取用户权限才能发起对应的操作进程。

2.1.2 MANO

MANO是管理和编排，重点是对各个组件进行安全保护和管理。为了确保MANO的平台可信度，消除潜在安全威胁并修复安全漏洞，需要对虚拟化编排NFVO完成安全加固，主要内容包括病毒查杀、病毒库的升级更新以及及时对访问用户进行认证和重新授权操作。在虚拟网络功能管理VNFM中，需要特别关注NFVO防DoS/DDoS攻击，保障虚拟机安全。在虚拟化基础设施管理器中，需加强对通信数据的完整性和机密性的保护，开启双向认证模式，杜绝安全威胁。

2.1.3 VM

图1 5G核心网安全解决方案

图2 多应用场景下的安全认证架构

VM是虚拟机。由于它是虚拟镜像的存在，所以要重点保证虚拟镜像文件的安全，做好系统的安全防护、优化以及访问控制，避免虚拟机资源被恶意使用。虚拟机要遵循最小化原则，及时关闭无用端口，严格分配资源。

2.2 软件定义网络安全分析

软件定义网络简称SDN，主要特征是控制和转发分离[2]，同样面临被黑客攻击的风险。黑客可以采取类似攻击操作系统的手段攻击SDN。黑客的具体做法通常是伪造南北信息，进而可以对控制器发起资源消耗的攻击，因为SDN的控制器本质上属于操作系统的COTS硬件部分。为了有效规避这种被攻击的风险，需要采取实时监视的措施，监视系统资源的利用率。采用Cluster架构对攻击点进行分散，防范DDoS攻击，再结合用户权限认证的方式进行访问控制和远程登录控制。采用SSL接入一方面保护了数据私密性，另一方面限制了远程访问的IP地址，确保了网络接入的安全性。另外，增加日志分析功能，对安全事件进行取证和回溯。操作系统还需要定期进行升级维护和安全加固，采取一系列的措施保障SDN的安全。

2.3 网络安全域隔离

网络安全域隔离需要在5G核心网组网阶段就完成安全域的划分和隔离，划分标准是网元的基本功能属性。图3展现了一种域间隔离的框图。根据用户的网元功能需求界定安全等级，再根据安全等级归类到不同的安全域。对不同的安全域进行合理的基础网络资源分配，并且不同的安全域之间不能共享资源，是实现隔离的必要举措。严格控制域间安全和域内安全，根据使用需求可以开放域内数据传输，而跨域的数据传输则必须受到整个模块安全控制策略的制约。

2.4 网络切片安全分析

网络切片安全需要给用户提供安全的连接模式，这些模式主要是基于IPSeC或SSL VPN来实现，并综合考虑接入策略和协议数据单元回话机制等因素[3]。网络切片安全管控需要满足Slice ID和安全性的基本要求，实现VNF的隔离和FCAPS管理。通过设置白名单保障公共NF和切片NF的安全，利用网络切片选择功能实现AMF和NF的正确连接，并对请求频率进行监测。

图3 实现域间隔离的安全域划分

3 5G核心网管理安全和能力开放安全

5G网络一个非常显著的特征是对用户提供开放式业务，这种业务能力的开放必须经过安全封装才能投入使用。安全开放的核心思想依然是授权，即对运营商的不同需求进行授权，运营商获取相应的权限后才能访问目标业务。网络编排业务中，网络能力开放安全的保障有多种实现方案。例如，可以选择用户接入认证应对不同的终端用户、选择不同的加密等级保护不同的业务、选择用户面数据保护终结点操作有效保护数据、对不同的网络切片赋予不同的安全等级等。熟悉各个模块的应用原理，就可以采取针对性强的措施进行安全保护。

面向更大的业务需求，则需要采取更加系统化的策略。例如，针对门户的安全接入，需要基于核心网完善的管理制度，而整个系统必须在此制度下安全运行。对于账户管理而言，主要措施是对角色分权和分域进行区别化管理。具体实施时，要对账户的用户名和密码、账户的生命周期、密码的复杂度确认以及用户的认证进行严格的管理并执行。

4 5G核心网数据安全

网络用户的数据安全问题在全球范围内受到了重点关注。针对数据安全问题，欧盟起草并制定了《通用数据保护条例》保护欧盟国家的用户数据，而其他国家和地区也相继出台了一些标准及政策。网络数据有收集、传输、处理、存储以及应用等多个阶段，每个阶段都存在安全风险，需要在设计初期就考虑到多个层面的数据保护方案。一些具体的措施如表1所示[4-5]。