5G专网安全需求分析及策略探讨

2021-05-28 05:07沈军刘国荣何明
移动通信 2021年3期
关键词:公网网元安全策略

沈军,刘国荣,何明

(1.中国电信股份有限公司研究院,广东 广州 510639;2.移动互联网系统与应用安全国家工程实验室,上海 200120)

0 引言

随着5G向行业应用市场的不断推进,5G公网已无法完全满足不同行业用户的差异化需求,亟需可按需定制的5G专网。根据行业用户对与5G公网的安全隔离程度、时延等要求的不同,5G专网可分为以下典型的三类[1-3]:

(1)独立专网:与5G公网完全独立的专网,提供独享无线资源、独立的5G核心网等,主要面向对安全性要求非常高的行业用户。

(2)虚拟专网:通过切片、QoS(Quality of Service)和DNN(Date Network Name)定制等技术提供的虚拟专网,主要面向对安全性要求相对稍低的行业用户。

(3)部分共享专网:共享部分核心网元,按需下沉UPF(User Plane Function)、SMF(Session Management Function)、AMF(Access and Mobility Management Function)、UDM(Unified Data Management)等网元,主要面向有数据不出园区和低时延等要求的行业用户。

本文将分析三类5G专网可能面临的安全风险,并探讨相应的安全对策。

1 5G专网安全风险分析

1.1 独立专网安全风险分析

独立专网与5G公网完全独立,安全性不受5G公网影响,此时主要考虑独立专网自身运行的可靠性、稳定性和恶意用户给独立专网所带来的安全风险。而独立专网信令面的管理控制功能都集中在独立5GC(5G Core Network),需要重点分析独立5GC面临的安全风险:

(1)5GC基于云化虚拟化的基础设施构建,虚拟化平台自身可能存在安全漏洞,攻击者可据此攻击虚拟化平台,并进一步攻击VM(Virtual Machine)/容器上承载的5GC网元。当VM/容器之间缺乏有效的隔离管控时,可能会导致VM/容器之间的非法访问。当网元镜像缺乏有效的保护手段时,镜像有可能被篡改和植入恶意代码等。

(2)5GC采用服务化架构,当NRF(Network Repository Function)和NSSF(Network Slice Selection Function)等遭受DoS(Denial of Service)攻击时,有可能导致服务注册/发现、切片选择等业务功能无法进行。当网元间没有开启身份认证时,攻击者有可能假冒网元接入核心网络,进行非法访问。如果没有对网元间传输的数据进行机密性和完整性保护,通信数据会面临被窃听和篡改的风险等。

(3)当独立5GC缺乏有效的可用性保障手段时,一旦遭受攻击或服务失效,有可能导致整个独立专网无法正常运行。

1.2 虚拟专网安全风险分析

虚拟专网主要通过切片等进行隔离,需要重点考虑针对切片的安全风险[5]:

(1)如果切片间没有充分隔离和实施通信保护,某个虚拟专网上传输的用户数据有可能会泄露到其它虚拟专网。

(2)如果没有对虚拟专网进行接入认证,恶意用户可能会非法接入专网。

(3)如果没有资源保障控制措施,一个虚拟专网有可能大量挤占资源,影响其它虚拟专网的正常运行。

(4)在向行业用户开放网络切片配置能力时,如果缺乏认证和管控措施,恶意用户有可能非法获取切片信息甚至影响切片的正常运作。

1.3 部分共享专网安全风险分析

部分共享专网在共享部分面临着与虚拟专网相似的安全风险,而在按需下沉的非共享部分,由于下沉网元连接了公网5GC和用户企业网,且下沉网元的产权和运维有可能归属用户,如果在下沉网元和用户企业网之间、下沉网元和公网5GC之间缺乏有效的安全管控措施,会导致面向专网甚至是公网5GC的安全风险。

(1)如果没有严格限制下沉网元与用户企业网之间可以互访的IP地址和协议,企业网用户可以非授权地访问到下沉网元。一旦下沉网元存在安全漏洞,有可能会被恶意用户利用来攻击甚至是控制下沉网元。同时下沉网元负责业务数据转发和控制信令透传,如果缺乏对数据传输、存储、处理的安全保护,可能被恶意用户窃取,导致敏感信息的泄露。

(2)在下沉网元和公网5GC之间,如果缺乏有效的身份鉴权机制,非授权虚假设备可与公网5GC进行互通。若在转发层面不做隔离控制,非授权的下沉网元可访问到公网5GC的所有网元,增加了公网5GC的安全暴露面。如果缺乏有效的路由信息控制措施,可能导致下沉网元能获取到公网5GC的全部路由信息。在互通接口不做流量限速时,若下沉网元向公网5GC大量发送信令包,可形成对大网的拒绝服务攻击等。

2 5G专网安全策略探讨

本节首先介绍5G专网安全防护的各项关键要素,然后结合三类专网特点提出相应的安全策略。

2.1 独立5GC的安全防护

独立5GC承载了独立专网的关键控制功能,需要重点保障其安全性、可用性。

(1)网元安全加固

应从最小化权限、最小化系统内核、卸载非必需的网络服务和组件、口令复杂度管理、安全补丁更新、开启日志审计等方面对5GC网元进行安全加固。

(2)服务安全

在5GC的非服务化接口上可启用NDS/IP(Network Domain Security-IP Network Layer Security)对数据进行机密性、完整性和抗重放保护,在服务化接口上可启用TLS进行双向身份认证和数据传输的机密性和完整性保护等。

(3)基础平台安全

当5GC构建于开源Kubernetes等基础平台时,应裁剪不必要的功能,并对其进行加固,以降低由于开源软件所引入的开放性风险,同时应对容器、镜像仓库进行加固,支持编排脚本和镜像文件进行加密存储。

(4)安全监测与快速恢复

应配备虚机和容器层面的安全监测机制,在发现异常时可对虚机/容器进行隔离,并快速拉起新的虚机/容器,确保业务正常运行。

2.2 下沉网元的安全防护

在部分共享专网中,可能会以UPF、UPF+SMF、UPF+AMF+SMF等形态下沉,这些网元部署在地市甚至是客户园区等较低的层面,需要做好网元自身的安全加固与防护,本小节将以UPF为例介绍相应的安全策略。

(1)物理安全

下沉UPF可能部署在客户园区,需要重点保障物理安全。首先应采用具备防拆、防盗、防恶意断电等功能的安全机柜来提高物理环境安全。其次,对于具有本地维护console(控制台)口的设备,应在部署完成后应取消console口的登录权限,并禁用系统通过恢复模式从本地修复密码的功能。同时,下沉UPF自身应具备物理链路状态监控的功能,能及时监控到链路的异常,防止链路被恶意挪用;当设备断电/重启、链路网口断开时,应能触发告警;应能管控本地加载系统路径,不允许从外挂的存储设备启动系统,并对升级补丁和程序的来源和完整性进行检测;在条件允许时,可使用可信计算保证物理服务器的可信,确保只有经过验证的代码才可加载、执行。

(2)数据安全

下沉UPF应只在PDU(Packet Data Unit)会话阶段保留用户SUPI(Subscription Permanent Identifier)等敏感信息,待会话结束后应立即清除相关信息。账号密码等敏感信息应加密存储。数据传输过程中,应使用NDS/IP等机制进行机密性、完整性和防重放保护。

(3)平面隔离

下沉式UPF的管理面、信令面、数据面应分别占用独立物理网口,进行物理层面的隔离。对于UPF和MEC(Multi-access Edge Computing)在相同虚拟化平台的一体机,应使UPF的管理和信令面与MEC完全隔离,只允许UPF的数据平面与MEC互通。

(4)认证鉴权

应对下沉式UPF的访问进行双向认证与鉴权,避免与非授权设备进行通信。

(5)流量控制

在信令面,应支持限制发给SMF以及从SMF接收的信令数据的大小,防止信令流的过载。在数据面,应能限制用户带宽,避免单用户大量挤占带宽。

(6)接口访问控制

对于来自DN(Data Network)的N6接口流量,应对目标地址是UPF设备的流量进行过滤,仅允许白名单内的IP地址及对应的协议访问。对于来自SMF的N4接口流量,应设置SMF偶联白名单,仅允许指定IP地址访问。同时,建议不处理和发送存在安全风险的ICMPv4(Internet Control Message Protocol)和ICMPv6消息类型,如重定向、超时错误消息等。

2.3 下沉网元与公网5GC间的安全控制

下沉网元连接了公网5GC和用户企业网,需要做好下沉网元与公网5GC间的安全控制,避免恶意用户以下沉网元为跳板攻击公网5GC。本小节同样将以UPF为例介绍相应的安全策略。

(1)下沉UPF由用户维护

当下沉UPF的产权归属用户,并由用户自行维护时,应将下沉UPF视为不可信实体来进行与公网5GC之间的安全控制,控制内容至少应包括面向N4接口的转发层面、路由层面和业务层面控制,控制点可以考虑在公网的承载网或核心网。

1)基于承载网的安全控制

首先是转发层面,可在承载网连接下沉UPF的设备上通过ACL方式进行控制,只允许下沉UPF与指定SMF之间的PFCP协议报文通过,禁止下沉UPF访问公网5GC的其它网元,防止下沉UPF被恶意控制后攻击公网5GC网元,具体如图1所示。同时应将下沉UPF的IP地址和MAC地址做绑定,避免恶意用户冒用下沉UPF的IP地址接入网络。还应在承载网入方向对下沉UPF做流量限速,避免下沉UPF大量发送流量形成拒绝服务攻击。

图1 基于承载网的ACL控制示意图

在路由层面,应向下沉UPF屏蔽除SMF以外的其它网元的路由信息,例如可将下沉UPF和SMF接入专用的VPN,使下沉UPF只能获取到相关SMF的路由。

在业务层面,应开启下沉UPF和SMF之间的双向认证,避免假冒的UPF与SMF通信。同时应构建针对信令流量的检测与阻断机制,能还原识别下沉UPF发出的异常包,并可通过发送RST包等方式进行封堵。

2)基于核心网的安全控制

基于核心网的安全控制,在核心网入口已有防火墙的情况下,可通过该防火墙进行转发层面的访问控制,具体如图2所示。在没有防火墙时,可在SMF上通过ACL或iptables等方式进行访问控制;但在同时下沉UPF、SMF、AMF等多个网元的情况下,由于交互的网元增多,就需要在核心网的多种网元上开启访问控制,运维复杂度会大大增加,且有可能影响相关网元的性能。

图2 基于核心网防火墙的安全控制示意图

核心网安全控制的另一种思路,是在核心网引入类似SEPP(Security Edge Protection Proxy)、具备信令代理和安全控制功能的网元,下沉网元只与该网元进行直接交互,并由该网元对下沉网元进行转发、路由和业务层面的安全控制,降低对公网5GC可能造成的安全影响,具体如图3所示。

图3 基于类SEPP新增网元的安全控制示意图

(2)下沉UPF由运营商维护

下沉UPF由运营商维护时,对公网5GC带来安全影响的可能性相对较低,此时可着重基于承载网做好对下沉UPF在转发层面的安全控制。

2.4 专网与企业网间的安全控制

专网网元与企业网间应部署防火墙进行安全隔离,对访问企业网和访问专网网元的双向流量进行过滤和管控,具体如图4所示。

图4 专网与企业网间的安全控制示意图

企业网同时可根据实际风险情况,按需部署IPS、沙箱、抗DDoS、蜜罐等安全检测与防护设备,以防范来自外部网络的攻击威胁。

2.5 业务隔离与切片安全

专网利用网络切片、QoS、DNN等技术为用户提供不同程度的定制服务,需要做好相应的业务隔离和安全管控。

(1)业务隔离与资源保障

在无线接入、承载、核心等不同网络域,都应进行业务隔离。在无线接入侧,可通过无线资源管理策略和保护机制进行无线切片间的隔离;对独立专网中有高隔离需求的用户,可为其分配专门的频谱资源。在承载网,可通过VPN、Flex-Slicing、专线等手段实现传输路由隔离。在核心网,对安全性要求较高的网元可进行专用型部署,并设置在独立的物理位置;对安全性要求不高的网元可进行共享型部署,并进行虚拟资源层的网络隔离,限制非授权的虚拟网元间通信,防止网元共享部署场景下的流量攻击、敏感数据窃取。

在共享资源的保障方面,根据用户行业类型、业务特点等特征,综合采用切片、DNN、5G QoS等措施进行保障。同时还应对专网进行持续的资源利用率监控,并按需提供主备、组pool,以及虚拟资源过载控制、快速自愈等高可靠方案,保障可靠性与可用性安全。

(2)接入控制

对于无线资源,可通过对专网用户所在区域的若干小区配置单独PLMN(Public Land Mobile Network)或TAC(Tracking Area Code),或通过配置CAG(Closed Access Group)的方式来控制终端的接入。

在企业网的接入控制上,应支持通过EAP扩展认证架构,与企业网内的DN-AAA认证系统对终端用户接入进行二次身份认证。

切片方面,可根据切片安全策略,在完成主认证后再进行切片内的认证。

(3)切片安全管理

在专网向行业用户开放切片管理域能力的过程中,应加强对切片管理接口的双向认证、远程接入管控,提供保障管理信令机密性、完整性和抗重放攻击的能力。

2.6 安全运维

应对专网的设备和组件制定安全配置基线要求,并定期实施基线核查和漏洞扫描作业,对核查和扫描结果进行处理和管控。

应定期对专网各类日志信息和安全事件信息进行统一分析审计作业,至少包括访问权限、业务和运维操作等方面。

应对专网的版本控制、安全策略和配置的实施、变更等维护操作进行管理,防止因配置不当或误操作而导致的运营安全风险。

2.7 三类5G专网的安全策略

(1)独立专网安全策略

独立专网需要保障独立5GC的可用性和安全性,同时应结合无线侧的TAC/CAG的准入控制做好身份认证,避免非授权用户接入独立专网。

(2)虚拟专网安全策略

虚拟专网需要从无线接入、承载、核心等各层面进行业务隔离与资源保障,通过二次认证或切片认证做好接入控制,并在专网与企业网之间做有效的安全控制。

(3)部分共享专网安全策略

部分共享专网需要做好用户接入控制、共享网元的业务隔离与资源保障,同时要加强下沉网元的安全防护、下沉网元与公网5GC间的安全控制、下沉网元与企业网间的安全控制。

3 结束语

安全是5G专网全面推广应用的基石,本文分析了5G专网可能存在的安全风险,并提出配套安全保障策略,保障5G专网安全可靠的运行。后续还可基于大网安全能力开放,为5G行业用户提供更丰富的差异化安全服务。

猜你喜欢
公网网元安全策略
基于认知负荷理论的叉车安全策略分析
浅析大临铁路公网覆盖方案
基于飞行疲劳角度探究民航飞行员飞行安全策略
公网铁路应急通信质量提升的技术应用
一种全网时钟同步管理方法
浅析涉密信息系统安全策略
基于公网短信的河北省高速公路数据传输应用
我国警用通信专网与公网比较研究
如何加强农村食盐消费安全策略
Java EE平台在综合网元管理系统中的应用研究