劉建華（中興通訊股份有限公司，江蘇 南京 210012）

1 零信任安全架構(gòu)

1.1 變化的安全邊界

傳統(tǒng)網(wǎng)絡(luò)安全基于“邊界防護”模型構(gòu)建，企業(yè)關(guān)鍵數(shù)字資產(chǎn)位于內(nèi)網(wǎng)中，默認(rèn)內(nèi)網(wǎng)比外網(wǎng)更安全，安全建設(shè)重點在于隔離內(nèi)外網(wǎng)的防火墻等安全設(shè)備，以抵御來自外部的安全威脅。

云計算、5G 垂直行業(yè)、邊緣計算等多個場景中，數(shù)據(jù)資產(chǎn)位置動態(tài)變更、按需遷移，網(wǎng)絡(luò)物理邊界日益模糊，難以固化。以邊界防護為中心的傳統(tǒng)安全架構(gòu)凸顯出巨大局限性，無法做到安全能力按需部署、動態(tài)配置和有效防護。

安全實踐需要新的安全方法論來指導(dǎo)，以保護云化基礎(chǔ)架構(gòu)，實現(xiàn)安全與行業(yè)應(yīng)用的深度融合。零信任安全架構(gòu)針對傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的局限性提出了新的解決思路。

1.2 核心理念

零信任網(wǎng)絡(luò)（ZTN）安全架構(gòu)由研究機構(gòu)Forrester在2010 年提出，其核心思想為“Never Trust，Always Verify”，即打破物理邊界防護的局限性，不再默認(rèn)信任物理安全邊界內(nèi)外部的任何用戶、設(shè)備或者系統(tǒng)、應(yīng)用，以身份認(rèn)證作為核心，將認(rèn)證和授權(quán)作為訪問控制的基礎(chǔ)。

零信任網(wǎng)絡(luò)要求：無論用戶和資源位置，都要確保所有資源訪問的安全；記錄和檢查所有流量；執(zhí)行最小權(quán)限原則。

1.3 發(fā)展與實踐

Gartner 將零信任列為Top 10 安全技術(shù)之一，并預(yù)測2022年80%的開放應(yīng)用會使用零信任產(chǎn)品；零信任架構(gòu)也成為了分析機構(gòu)、安全廠家和大型企業(yè)的安全研究熱點。

a）CSA 云安全聯(lián)盟的軟件定義邊界（SDP）。SDP架構(gòu)可以認(rèn)為是實施零信任架構(gòu)的最佳實踐指導(dǎo)：對設(shè)備和用戶進行強認(rèn)證，對網(wǎng)絡(luò)連接進行加密；執(zhí)行最小特權(quán)原則，嚴(yán)格按照白名單模型進行訪問控制。

b）美國NIST 的零信任安全草案。2019 年9 月發(fā)布，認(rèn)為零信任架構(gòu)是一種端到端的網(wǎng)絡(luò)安全體系。零信任架構(gòu)提供了相關(guān)概念、思路和組件關(guān)系的集合，旨在消除在信息系統(tǒng)和服務(wù)中實施精準(zhǔn)訪問策略的不確定性。

c）Google BeyondCorp。BeyondCorp 作為Google 的安全訪問平臺，利用持續(xù)驗證的思路，幫助員工訪問內(nèi)部資源。在該系統(tǒng)中，應(yīng)用被分為若干可信任級別，設(shè)備信息和用戶信息通過規(guī)則引擎驗證和綜合判定后確定可訪問的內(nèi)容。

d）Microsoft Azure。利用機器學(xué)習(xí)、實時評估引擎、組織策略等對用戶、終端、位置和設(shè)備等進行綜合判斷，實現(xiàn)持續(xù)自適應(yīng)地訪問多個資源，Azure 可以在cloud、SaaS等多個層面構(gòu)建完整的零信任系統(tǒng)。

2 5G核心網(wǎng)安全從零開始

2.1 5GC安全概況

5G 核心網(wǎng)相對之前的2G/3G/4G 網(wǎng)絡(luò)，對多種接入制式采用統(tǒng)一認(rèn)證，服務(wù)化實體間支持雙向認(rèn)證；引入HTTP/2 作為核心網(wǎng)控制面的互通協(xié)議，并通過OAuth 和HTTPS 等機制來實現(xiàn)授權(quán)與流量安全；NF 之間通過NRF 實現(xiàn)訪問控制；提供了服務(wù)化網(wǎng)元的API接口規(guī)范。

2.1.1 雙向認(rèn)證

EAP-AKA’和5G-AKA 2 種認(rèn)證方案，可以實現(xiàn)用戶和網(wǎng)絡(luò)間的雙向認(rèn)證：用戶5G 卡集成了4G 的雙向鑒權(quán)特性，實現(xiàn)了卡對網(wǎng)絡(luò)的認(rèn)證，一定程度上防止黑客或者偽基站對用戶的攻擊；網(wǎng)絡(luò)對用戶進行認(rèn)證，確保只有合法開戶的終端才能夠接入5G網(wǎng)絡(luò)。

在5G 核心網(wǎng)中，AUSF 提供5G-AKA、EAP-AKA’認(rèn)證方式；UDM 為AUSF 提供基礎(chǔ)鑒權(quán)向量；UDR 存儲用戶標(biāo)識、鑒權(quán)認(rèn)證數(shù)據(jù)等。5G 鑒權(quán)過程增強了歸屬網(wǎng)的控制，防止拜訪網(wǎng)中可能存在的欺詐。

服務(wù)化架構(gòu)中，在服務(wù)提供方NF Producer 和消費者NF consumer 之間，NF 同時支持客戶端和服務(wù)端證書，和其他NF通信時可以互相驗證對方身份，確保NF間通信安全。

2.1.2 流量安全

在5GC 服務(wù)化架構(gòu)中，TLS 作為基本的安全協(xié)議為信令流量提供機密性、抗重放攻擊和完整性保護。

在同一個PLMN 內(nèi)，NF 間和NF 與NRF 間都可以根據(jù)需要啟用TLS 功能；如果部署了SCP，各NF/NRF和SCP間也可以按需啟用TLS功能。

在不同PLMN 間，通過部署SEPP 來保障信令流量安全性，cSEPP 和pSEPP 間使用JWE 和JWS 機制保障流量安全傳輸；PLMN內(nèi)的NF和SEPP間可啟用TLS。

2.1.3 互訪控制

NRF 支持NF 的注冊登記、狀態(tài)監(jiān)測等，實現(xiàn)網(wǎng)絡(luò)功能服務(wù)自動化管理、選擇和可擴展。同時基于運營商配置策略，通過NRF可以控制NF間的互通策略。

例如當(dāng)某2 個NF 不在同一個切片中時，NRF 比較NASSI 和NSI ID 等信息進行授權(quán)判斷，某個切片的NF consumer將無法獲取另外一個切片內(nèi)的NF訪問權(quán)限。

2.1.4 API防護

2.3 空白試驗 對照實驗是開展動物試驗中的基本原則之一。按照國家相關(guān)規(guī)定，科學(xué)選用實驗動物開展藥效檢驗等實驗，必須同時開展“空白試驗”。中國藥典進一步規(guī)范了動物試驗的過程，明確了“空白試驗”的做法，即在不加供試品或以等量溶劑替代供試液的情況下，按同法操作，對比兩者所得的結(jié)果，由此探明實驗結(jié)果和實驗條件之間真實的因果對應(yīng)關(guān)系。

在3GPP 中，對每個NF 可以對外提供的API 接口都進行了詳細(xì)規(guī)定，NF 不會提供協(xié)議規(guī)定之外的API服務(wù)。

CAPIF 被用來設(shè)計保證5G 網(wǎng)絡(luò)對外北向API 的安全性，API 調(diào)用者、CAPIF 和服務(wù)API 提供者之間都通過TLS 來保障安全性，同時考慮了這些API 的監(jiān)控、記錄和審計等安全功能。

2.2 零信任理念，拓展5G安全設(shè)計

5GC安全協(xié)議在設(shè)計時并沒有刻意參考零信任架構(gòu)，但實際上作為移動通信網(wǎng)安全架構(gòu)，3GPP 的安全設(shè)計和零信任存在一定的非嚴(yán)格映射關(guān)系。

a）身份認(rèn)證：UDM/UDR 存儲終端的身份信息，提供終端接入網(wǎng)絡(luò)時的IAM 功能；NRF 通過證書實現(xiàn)對NF身份的校驗認(rèn)證。

b）訪問授權(quán)：NRF 可以看作類似策略引擎，基于NF 身份認(rèn)證結(jié)果、運營商策略、網(wǎng)絡(luò)切片等信息集中控制各NF 間的互訪關(guān)系，并通過OAuth 2.0 完成服務(wù)授權(quán)。

c）流量安全性：TLS 廣泛應(yīng)用于PLMN 內(nèi)各NF間、運營商互通等場景，提供控制面流量的安全防護。

d）最小服務(wù)集：NF/NRF 等5GC 網(wǎng)元僅針對規(guī)定的API提供服務(wù)。

根據(jù)零信任架構(gòu)的核心觀點，5GC 內(nèi)外網(wǎng)的安全威脅級別是一致的：5G 會廣泛應(yīng)用于工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等業(yè)務(wù)場景，部署環(huán)境復(fù)雜；在多個廠家互操作、某些NF 在不安全環(huán)境部署、安全協(xié)議實現(xiàn)理解有差異、特定情況下NF 被惡意感染等多個特殊場景中，信任域內(nèi)的5G NF也一樣面臨風(fēng)險。因此可以使用零信任架構(gòu)的設(shè)計理念對5G安全協(xié)議進一步增強。

2.2.1 單包授權(quán)機制

CSA SDP 架構(gòu)采用單包授權(quán)機制（SPA）來提供啟動通信安全防護，服務(wù)提供方的端口號在SPA 授權(quán)之前不對請求方開啟任何服務(wù)，強制要求先認(rèn)證后連接。SPA 優(yōu)點是可以做到服務(wù)隱藏和按需開啟，減小攻擊面，同時有助于抵御DDoS攻擊。

NF Consumer在正式發(fā)起TLS通信前，可以向策略服務(wù)器（可以是NRF 等）發(fā)送SPA 預(yù)認(rèn)證報文，NRF 通知NF Producer 為該Consumer 打開對應(yīng)的定制安全規(guī)則，允許該NF Consumer 作為客戶端進行連接，該安全規(guī)則可以基于IPtable 等狀態(tài)防火墻機制實現(xiàn)，在SPA完成之前，NF Producer 上防火墻規(guī)則默認(rèn)為All Deny。這樣的預(yù)認(rèn)證實現(xiàn)了防火墻規(guī)則的動態(tài)開關(guān)，避免了知名端口的濫用。SPA 機制可以作為5GC TLS 的增強而非替代。

2.2.2 異常流量監(jiān)控

獲取和分析網(wǎng)絡(luò)流量是邁向零信任架構(gòu)的第1步，通過非侵入式的長期記錄和分析網(wǎng)絡(luò)流量，可以進行流量分類、感知通信模式變化和分析可能的攻擊模式。該功能在IT 中廣泛使用，例如在AWS Web 服務(wù)中的網(wǎng)絡(luò)流量日志記錄功能可以幫助管理員了解和分析數(shù)據(jù)包流量。

5GC 在HTTPS 加密流量情況下，也要提供對應(yīng)的流量監(jiān)控功能：在Indirect 模式下，SCP 作為HTTPS 的轉(zhuǎn)發(fā)節(jié)點，可以提供對應(yīng)的流量監(jiān)控、異常告警、日志記錄和安全審計功能，并通過API方式提供服務(wù)，供管理節(jié)點查詢或連接安全態(tài)勢感知系統(tǒng)；在Direct 模式下，各NF/NRF要具備類似的功能并以API方式提供這些安全能力。

例如當(dāng)一個Access Token 被多個NF 使用、向同一個NF發(fā)起多個連接時，該目標(biāo)NF應(yīng)該進行告警，告知管理員該Access Token 可能已泄露和發(fā)生了中間人攻擊。

2.2.3 API安全防護

API 作為網(wǎng)絡(luò)攻擊的一個典型載體，存在安全風(fēng)險。一些重大API 攻擊在IT 領(lǐng)域也經(jīng)常發(fā)生，惡意攻擊者可以利用系統(tǒng)弱點篡改API 參數(shù)、實現(xiàn)Cookie 篡改、注入惡意內(nèi)容、發(fā)送無效參數(shù)以浪費服務(wù)器資源，造成業(yè)務(wù)中斷。

5GC 能力均通過RESTFul API 方式對外提供，除了在開發(fā)API 時要遵守業(yè)界最佳開發(fā)實踐外，也需要嵌入對應(yīng)的API 防護功能。按照層次化縱深防御理念，Indirect 通信下的SCP 和NF2 個層級、Direct 下的各NF 都要具備相應(yīng)的API 防護能力：實現(xiàn)API 安全策略的預(yù)設(shè)，可以監(jiān)視、分析和限制API 的調(diào)用，發(fā)生API異常調(diào)用時進行告警。

2.2.4 網(wǎng)絡(luò)功能評分

在零信任網(wǎng)絡(luò)中，訪問控制策略和信任應(yīng)該是動態(tài)變化的，可以基于設(shè)備、用戶和環(huán)境的多源環(huán)境數(shù)據(jù)計算出來。零信任網(wǎng)絡(luò)建議持續(xù)監(jiān)控參與者的網(wǎng)絡(luò)活動，并持續(xù)更新其信任評分，將此評分作為授權(quán)策略判定的依據(jù)。這種模糊性的度量機制考慮了用戶網(wǎng)絡(luò)行為的變化，可以用于防御未知威脅。

5GC 在提供對應(yīng)服務(wù)時，應(yīng)考慮引入類似的評分機制，以防止對端NF加載完成并通過可信驗證后的網(wǎng)絡(luò)攻擊行為，該攻擊行為可能是在NF運行期間被攻擊者滲入植入惡意軟件，也可能是軟件設(shè)計不嚴(yán)謹(jǐn)導(dǎo)致的漏洞。NF 根據(jù)對端NF 的運行時間、流量和網(wǎng)絡(luò)行為逐漸積累其信任積分，并根據(jù)攻擊類型的嚴(yán)重等級扣減積分，這樣既避免了偶爾突發(fā)異常造成的誤判導(dǎo)致業(yè)務(wù)中斷，也做到了攻擊持續(xù)發(fā)生時的惡意NF 隔離。

2.2.5 主動授權(quán)撤銷

授權(quán)驗證是IT 安全實踐中驗證用戶信任等級的常見手段。零信任架構(gòu)中控制平面可以依賴授權(quán)驗證來對數(shù)據(jù)平面進行有效干預(yù)，當(dāng)信任等級波動時，可以更改授權(quán)判定，及時撤銷授權(quán)。

在RFC 7009 中定義了OAuth 2.0 中的Token 撤銷機制，允許客戶端向授權(quán)服務(wù)器發(fā)起Token 撤銷請求，通知服務(wù)器端對應(yīng)的Token 不再有效，從而阻止未到生命周期的Token被濫用的可能性。

5GC 的SBA 采用OAuth 2.0 作為認(rèn)證和授權(quán)的機制。當(dāng)SIEM 或者其他安全等控制面系統(tǒng)判定某個NF為惡意/被攻擊NF 需要被隔離時，需要NRF 具備主動撤銷惡意/被攻擊NF Token 的能力，在對應(yīng)Token 生命周期到之前取消該NF的訪問能力。

當(dāng)前5G安全協(xié)議尚不具備類似的授權(quán)撤銷機制，可以考慮作為后續(xù)的安全優(yōu)化方向。

2.2.6 數(shù)據(jù)面防護

零信任網(wǎng)絡(luò)默認(rèn)所有網(wǎng)絡(luò)實體間都不具備信任關(guān)系，因此要提供流量安全機制確保資源訪問安全。在5G 網(wǎng)絡(luò)中，用戶面的加密和完保機制可能不是默認(rèn)開啟的，需要核心網(wǎng)進行策略指示；隨著UPF 的下沉部署，UPF到DN網(wǎng)絡(luò)間的流量也需要進行安全防護。

在關(guān)鍵垂直行業(yè)應(yīng)用中，針對關(guān)鍵網(wǎng)絡(luò)切片，核心網(wǎng)應(yīng)設(shè)置策略指示空口數(shù)據(jù)強制啟用加密和完保，以確?？湛诿襟w面流量安全；UPF 也需要根據(jù)切片和自身環(huán)境部署的安全態(tài)勢，內(nèi)置安全功能，通過防火墻為用戶提供狀態(tài)安全過濾，利用IPSEC功能建立到DN網(wǎng)絡(luò)的安全隧道以提供設(shè)備間的全流量安全傳輸。

3GPP 安全協(xié)議規(guī)定了通過SEPP 為PLMN 間的控制面流量提供安全防護；對于媒體面數(shù)據(jù)，如果采用回歸屬地策略，這些媒體面數(shù)據(jù)也要提供安全防護以確保其安全傳輸。

2.2.7 持續(xù)性檢測

零信任架構(gòu)要求在認(rèn)證授權(quán)后的整個安全過程中，進行持續(xù)安全檢測，隨時評估安全狀況的變化。MITRE ATT&CK 框架可以協(xié)助構(gòu)建和改善安全檢測和響應(yīng)機制。

ATT&CK 根據(jù)真實的觀察數(shù)據(jù)描述和分類攻擊行為，創(chuàng)建了一個網(wǎng)絡(luò)攻擊中使用的已知攻擊戰(zhàn)術(shù)/技術(shù)知識庫并提供了相應(yīng)的應(yīng)用場景。防護方借此可以站在攻擊者視角，重新審視自己的網(wǎng)絡(luò)安全工具，評估現(xiàn)有的安全防護能力。

高級威脅防御方面，可以使用APT 設(shè)備監(jiān)控5GC的HTTPS 流量、管理面流量和關(guān)鍵垂直行業(yè)的流量，如果發(fā)生高級威脅行為，則進行告警。ATT&CK 有助于APT 設(shè)備了解最新的攻擊者戰(zhàn)術(shù)思路和入侵技術(shù)新特征，開發(fā)新攻擊檢測方法和更新防控措施建議，提升APT 的威脅檢測能力；對照ATT&CK，APT 設(shè)備可以檢查自身對于業(yè)界主流攻擊方式的覆蓋程度。

安全防御能力方面，可以利用ATT&CK 進行對抗演習(xí)，測試和驗證防御方案是否生效。例如在試驗網(wǎng)5GC中生成一個惡意NF對其他NF進行滲透和橫向移動，檢測5GC 中安全手段有效性；基于虛擬化架構(gòu)，加入惡意VM，對Hypervisor 發(fā)起滲透攻擊，并向其他VM進行橫向移動，以實現(xiàn)防御手段檢測的目的。防御者根據(jù)對抗結(jié)果有針對性地評估與改進防御手段。

2.3 其他

基于區(qū)塊鏈智能合約來構(gòu)建多方可信關(guān)系、利用基于身份的密碼體制/無證書密碼體系等新機制來減少對PKI 的依賴等安全議題在業(yè)界都有熱烈討論，這些研究也可考慮用來加強5GC網(wǎng)絡(luò)的安全性。

3 總結(jié)展望

以“Never Trust，Always Verify”為核心思想的零信任安全架構(gòu)成為了業(yè)界研究熱點，移動通信5G核心網(wǎng)安全架構(gòu)也引入了基于HTTPS 的SBA 架構(gòu)作為通信基礎(chǔ)。針對當(dāng)前5G核心網(wǎng)安全防護手段，借鑒零信任的基本理念及業(yè)界當(dāng)前實踐經(jīng)驗，將單包授權(quán)、網(wǎng)絡(luò)功能信任評分等7 個潛在方向作為5G 核心網(wǎng)安全設(shè)計的增強改進方向。如何將安全能力沉浸到5GC 中的每個節(jié)點，并實現(xiàn)細(xì)粒度安全控制和自適應(yīng)安全評估與改進會是一個持續(xù)的安全研究課題。