5G核心网安全解决方案

【摘  要】介绍了5G网络面临的安全性挑战，论述了核心网安全解决方案架构，分析了5G核心网的接入安全、网络安全、管理安全、能力开放安全、数据安全等关键技术，提出了5G网络安全运营的组织架构。

【关键词】5G核心网;安全方案;安全运营

1   引言

工信部发放5G牌照以来，电信运营商加快了5G建设和商用部署的步伐。5G核心网基于NFV（Network Function Virtualization，网络功能虚拟化）/SDN（Software Defined Network，软件定义网络）的虚拟化网络平台，部署在电信云平台。与传统安全防护中每个物理环境相对独立的情况不同，NFV组件的开放，带来组件交互的开放性安全风险，新增网元及虚拟化平台的引入也会带来新的安全风险点。在云化后，5G核心网的所有虚拟机共享资源，虚拟机和应用程序随时可能移动或变更，来自于内外部的攻击等安全风险也呈现多样化。本文从5G核心网的安全需求与架构角度出发，结合组网和运营实践，对5G核心网的安全解决方案的关键技术进行探讨。

2   5G核心网面临的安全挑战

5G核心网的部署面临着来自于接入安全、网络安全、管理安全、能力开放、数据安全等诸多方面的安全性挑战。

在接入方式和业务场景上，5G支持多种不同能力的终端接入网络并支持多种接入技术接入5G网络。而且，由于垂直行业和移动网络的深度融合，催生了多种应用场景，5G网络需要为不同应用提供差异化的安全服务。5G网络的三大典型场景对安全的要求存在差异，在eMBB场景下，个人业务要求隐私数据加密，行业应用要求对所有环境信息加密，所使用的加密算法也有差异;在uRLLC场景下，需要提供隐私、关键数据的安全保护，接入认证、数据传输安全、安全上下文切换、安全终结点加解密等引发的时延必须满足低时延业务要求;在mMTC场景下，需要解决海量终端接入时的高效认证，降低信令风暴，提供轻量安全算法，简化安全协议，满足资源受限需求的低功耗轻量化安全接入。因此，5G网络需要统一的认证框架，以便为用户提供无感知的、连续的、可靠的统一安全接入方法。

由于5G核心网以虚拟功能网元形式部署在云化基础设施上，网络功能由软件实现。这对网络安全和管理安全带来了诸多风险：由于NFV/SDN技术虚拟网络共享物理资源，安全边界变得模糊，网络虚拟化、开放化使得攻击更容易，安全威胁传播更快、波及更广，在网络安全方面需要关注安全接入、防攻击、安全加固、路由协议安全等诸多风险，在管理安全方面则需要解决分权分域、身份鉴权、API保护、组件安全通信、数据库加固等多方面问题。

5G核心网的网络服务和管理功能都提供开放功能，能力使用者通过API（Application Programming Interface，应用程序接口）、Web方式按需调用开放能力，快速提供服务，这种能力开放的特性为垂直行业、第三方应用提供灵活、快速、可定制的网络服务，同时也打破了传统电信网络以能力封闭换取能力提供者自身安全性的传统思路，使得能力外部使用者对能力提供者即对5G网络的攻击成为可能，因此研究网络能力服务安全保证机制应对能力开放安全问题已经成为亟待解决的重大问题。

在5G时代，业务更加多样化，网络更加开放化，使隐私数据从封闭平台转移到开放平台，大数据和人工智能的结合，这都加大了数据信息泄露的风险。尤其是在工业控制场景中，数据安全保护涉及到工业安全和商业风险，数据安全显得尤为重要。

3   5G核心网安全解决方案和关键技术

如图1所示，需要从接入安全、网络安全、管理安全、能力开放、数据安全这五个方面出发，部署5G核心网安全方案架构。

3.1  接入安全

5G核心网的接入安全，需要联合UE、无线接入网整体考虑，部署如图2所示的多重防护机制。

在这种安全认证架构下，需要对用户和网络进行双向认证，保证用户和网络之间的相互可信。为提供空口和/或UE到核心网之间的用户面加密和完整性保护，防止被嗅探窃取，需要对空口、UE和核心网之间数据加密，支持EAP-AKA（Extensible Authentication Protocol-Authentication and Key Agreement，可扩展认证协议认证与密钥协商）、5G-AKA（5G Authentication and Key Agreement，5G认证与密钥协商）认证，支持主流的加密和完整性保护算法。

在UE访问应用时候，按需建立IPSec（IP Security，Internet协议安全性）/SSL（Security Socket Layer，安全层）VPN隧道，保证数据传输安全，并实行访问控制，防止接入用户的非授权访问网络切片。根据不同的安全需求，选择不同的安全终结点。

3.2  网络安全

（1）NFV安全

在VNF（Virtual Network Function，虚拟网络功能）的整个生命周期中，都需要严格做好安全认证和权限管理。在VNF包管理中，软件包/模板面臨被非法访问、篡改、删除风险，因此需要上载过程中，进行完整性、可信性检查，存储在安全可靠区域，如需访问则需要认证与授权。在VNF实例化前，需要进行完整性验证、认证和权限验证，避免由于软件包/模板被篡改实例化成为非法的VNF。在VNF实例管理、VNF弹性伸缩过程中，需要充分的认证和权限验证，避免攻击者非法获取VNF实例状态、资源使用情况，篡改弹性伸缩阈值条件，消耗资源。在VNF更新过程中，需要结合认证和权限验证做包完整性检查，避免非法发起更新流程、篡改更新软件包。在VNF实例终止时，需要结合认证和权限验证，彻底擦除资源，避免非法终止实例，VNF实例敏感数据信息被外部获取。

在MANO（Management and Orchestration，管理和编排）管理中，也需要对各个组件进行完备的安全管理举措。需要对NFVO（Network Function Virtualization Orchestration，虚拟化编排）进行安全加固，包括病毒查杀、及时升级病毒库，对访问进行认证和授权，以保证MANO平台可信，消除共有安全威胁，解除实体自身漏洞，防范病毒/蠕虫/木马攻击和内容被非法访问。在VNFM中，则需要注重NFVO防DoS（Denial of Service，拒绝服务）/DDoS（Distributed Denial of Service，分布式拒绝服务）攻击，保证运行VNFM/VIM的虚拟机安全，解除VNF频繁上报告警导致NFVO处理能力下降和虚拟机引发的VNFM/VIM威胁风险。在VIM（Virtualized Infrastructure Manager，虚拟化基础设施管理器）中，需要对通信内容进行完整性、机密性、抗重放保护，实体间进行双向认证，部署安全隧道IPsec，防范通信安全威胁，防止通信内容被篡改、拦截、窃听、重放。

在VM（Virtual Machine，虚拟机）管理中，VM需要做好系统安全加固、安全防护和访问控制，防止虚拟机镜像文件或自身防护不足，虚拟机被滥用、逃逸以及虚拟机间嗅探。随机保存内存地址，进行完整性和真实性检查，遵循最小化原则，关闭协议无关端口，强化补丁管理要求、加强用户认证，防止利用Hypervisor漏洞取得高级别运行等级，获得对物理资源的访问控制，甚至利用虚拟机对外发起攻击的高风险事件。

VNF所在的硬件资源也需要做好物理主机防病毒、防入侵，做好资源隔离和物理环境安全，防止遭受来自VM发起的安全攻击和DDoS/蠕虫/病毒攻击。

（2）SDN安全

SDN具备控制和转发分离的特性。SDN控制器是直接运行在操作系统上的COTS硬件，面临与操作系统相同的漏洞风险，攻击者可能通过伪造南北向信息，向控制器发起DoS或者其他方式的资源消耗攻击。这就需要监视资源利用率，Cluster架构分散攻击点，防DDoS攻击，基于角色的访问控制，基于认证的远程合法登录访问。SSL接入提供数据私密性，限制远程访问的IP地址，保障安全接入。引入日志分析，确保安全事件取证，建立事后回溯机制。采用漏扫和合规工具，实现操作系统层面的安全加固。

SDN数据平面与控制平面解耦，攻击者可能以SDN转发节点为跳板，发起针对其他转发节点或控制器的攻击。设置上送CPU的报文优先级，限制上送队列速率。数据平面与SDN控制器进行双向安全认证，强制采用TLS保护措施，防止被伪造的SDN控制器接管。采用多级限速和多级流量调度功能，抑制DDoS攻击。设置严格的远程访问身份认证策略，防止非法登录。MD5（Message Digest Algorith5，消息摘要算法第五版）加密认证OSPF（Open Shortest Path First，开放式最短路径优先）、RIP（Routing Information Protocol，路由信息协议）、BGP（Border Gateway Protocol，边界网关协议）等路由协议保障路由协议安全。

SDN南北向接口如果缺少安全通信机制的强制要求，也存在相当大的安全隐患，因此需要在SDN控制器与转发设备之间，在APP与SDN控制器之间，都采用双向认证，防止攻击者冒充合法的设备接入网络，并加载完整性及加密保护，防止信息被泄露、重放、篡改。

（3）安全域隔离

在组网阶段，就需要把5G核心网划分为如图3所示的安全域，实现域间隔离。根据运营需求和网元功能，将网元进行安全等级分类，为不同的安全等级设置不同的安全域，每个功能网元或管理网元仅能归属于其中的一个安全域。每个安全域可以分配得到专用的基础网络资源池，不同安全域不能共享资源池。

域间和域内安全策略也必须得到严格的安全策略控制。根据需要，域内的数据传输可选配置安全控制，例如VNF之间配置防火墙，VNF之间增加相互认证机制等;而跨域的数据传输，则必须受安全策略控制，例如在域间配置防火墙、VPN等。

（4）切片安全

需要根据Slice ID和安全性要求，提供特定切片的FCAPS（Fault/Configuration/Accounting/Performance/Security，故障/配置/计费/性能/安全）管理，提供VNF的隔离。

在切片接入安全中，需要综合考虑接入策略控制、PDU（Protocol Data Unit，协议数据单元）会话机制，提供基于IPSec或SSL VPN的安全连接。在公共NF与切片NF的安全方面，设置白名单机制，控制是否访问，由NSSF（Network Slice Selection Function，网络切片选择功能）保证AMF连接正确的NF，并在AMF中监测请求频率。在不同切片之间，设置VLAN/VxLAN网络隔离，并对VM/容器进行资源隔离。不同VNF互相鉴权保证通信信安全，并通过IPSec确保安全连接。

3.3  管理安全和能力开放安全

5G网络重要的特性之一是提供开放的业务能力。如图4所示，这种业务能力开放必须经过安全封装，包括向租户开放的网络能力必须经过运营商授权，不同的授权访问不同的能力。

在网络编排中，有多种手段可以加强网络能力开放的安全性。对于不同用户，选择用户接入認证方式;对于不同业务，可以选择不同等级的加密和完整性保护方式;对于不同用户数据，选择用户面数据保护终结点;对于不同切片，赋予不同安全等级。

对于门户的安全接入，则需要建立完善的管理手段，保障系统安全运行。对于账户管理，需要支持角色分权分域管理，账户生命周期管理，密码复杂度策略管理（长度、有效期）。对于认证管理，需要进行集中认证管理，认证采用OAuth2.0，在Web UI与NFVO/VNFM间采用RESTful接口，实行统一的审计管理。对于网络接入，要求IPSec VPN、SSL VPN、HTTPS。对于应用场景，必须基于网络能力开放接入、租户接入，要求其接受日常的管理维护、安全审计。

在日常集中日志和审计中，需要对采集到的日志进行实时分析审计和告警响应，帮助管理员实时了解系统的安全事件和运行状况。

3.4  数据安全

用户数据安全已经成为社会广泛关注的重要问题，欧盟为此制定了《通用数据保護条例》，保护欧盟用户的数据隐私。

用户数据在5G网络的数据收集、传输、处理、存储、维护、共享、应用等各个阶段都存在安全性风险。因此，在5G网络的设计阶段，从终端、网络、业务提供商各个层面，对信息的请求、提交、传输、存储、处理、使用操作，采用如表1所示的技术和管理手段实现对关键数据的保护。

4   5G网络安全运营组织架构建议

电信业已经深入国民经济的各个行业，电信行业的安全与健康发展的重要性毋庸置疑。作为工业自动化的基础设施，5G核心网乃至整个5G网络的安全，都将会提升到前所未有的高度。

如图5所示，电信网络的安全运营，一方面需要建设完善的安全机制，另一方面需要把安全深入到日常的运营和维护工作中。

在电信运营管理层下设置直属的安全委员会，并牵头组建安全实验室和OMSIRT（Operation and Maintenance Security Incident Response Team，操作维护安全事件响应团队）。OMSIRT是专门负责接收供应商安全相关漏洞的应急响应组织，为5G运营提供全局处理的解决方案，包括响应并处理供应商提交的安全事件，响应并处理行业协会公布的安全事件，制定5G运营重大信息安全事件管理策略和安全事件处理方案，验证系统软件提供商和专业安全厂商发布的漏洞及补丁等。

安全实验室采用漏洞扫描工具执行安全漏洞扫描，及时发现网络是否存在CVE（Common Vulnerabilities & Exposures，公共漏洞和暴露）。通过不断的安全累积更新、外部事件触发以及内部定期扫描，建立5G网络的安全漏洞加固基线，并不断发布、更新、升级。安全实验室还制作配置核查工具，指导运营维护团队优化数据中心各组件的配置项，形成网络运营的安全配置加固基线，有效地降低安全风险发生的概率。

5   结束语

核心网的安全扫描和安全加固已经成为各电信运营商部署5G必须考虑的关键问题。电信运营商需要全面筛查5G核心网中潜在的安全威胁，将现有安全产品技术合理部署以便与电信云相互融合、提高效率，充分利用云计算技术和思想来创新变革现有的安全防护技术和产品，以零风险为原则，从网络部署、架构、运营和维护等多个方面，形成全方位、无死角的防护方案和快速响应措施，才能为5G电信网络的发展提供稳固可靠的安全保障。

参考文献：

[1] 方琰崴，陈亚权. 基于虚拟化的电信云网络安全解决方案[J]. 移动通信， 2018，42（12）： 1-7.

[2] 陈亚权，刘西亮，方琰崴. 中兴通讯SBA+SBA向eSBA演进之路[J]. 通信世界， 2019（6）： 39-40.

[3] ETSI. ETSI GS NFV 001： Network Functions Virtualization （NFV）; Use Cases[S]. 2016.

[4] ETSI. ETSI GS NFV 002： Network Functions Virtualization （NFV）; Architectural Framework[S]. 2016.

[5] ETSI. ETSI GS NFV 003： Network Functions Virtualization （NFV）; Terminology for Main Concepts in NFV[S]. 2016.

[6] ETSI. ETSI GS NFV 004： Network Functions Virtualization （NFV）; Virtualization Requirements[S]. 2016.

[7] ETSI. ETSI GS NFV-INF 001： Network Functions Virtualization; Infrastructure Overview[S]. 2016.

[8] ETSI. ETSI GS NFV-MAN 001： Network Functions Virtualization （NFV）; Management and Orchestration[S]. 2016.

[9] ETSI. ETSI GS NFV-SWA 001： Network Functions Virtualization （NFV）; Virtual Network Function Architecture[S]. 2016.

[10] 孙志刚，汪兆锋，方琰崴. 助力5G边缘计算变革 巨通量基础设施首当其冲[J]. 通信世界， 2019（17）： 27-28.

[11] 张岩，张艳菲，张曼君. 电信云安全分析与思考[J]. 邮电设计技术， 2019（4）： 63-66.

[12] 高枫，马铮，张曼君，等. 5G网安全部署探讨[J]. 邮电设计技术， 2019（4）： 45-48.

[13] 王全，方琰崴. 5G电信云网络安全解决方案[J]. 邮电设计技术， 2018（11）： 57-62.

[14] 谢振华. 5G移动网络安全技术分析[J]. 邮电设计技术， 2019（4）： 49-52.

[15] 王全. 端到端5G网络切片关键技术研究[J]. 数字通信世界， 2018（3）： 52-53.

[16] General Data Protection Regulation[EB/OL]. [2019-09-01]. https：//gdpr-info.eu/， https：//eugdpr.org/.

[17] 方琰崴. 面向云化的电信运营转型方案、关键技术和发展策略[J]. 信息通信技术， 2018（2）： 58-65.