5G安全構(gòu)架和新特性分析

陳文欣

【摘要】? ? 在5G網(wǎng)絡(luò)中，引入了更多IT化的新技術(shù)，從而導(dǎo)致5G網(wǎng)絡(luò)在享受IT新技術(shù)便利的同時(shí)，也帶來了IT技術(shù)自帶的安全隱患。本文介紹了5G的安全構(gòu)架，分析了NFV、網(wǎng)絡(luò)切片等新技術(shù)帶來的安全風(fēng)險(xiǎn)，并提供了對(duì)這些新技術(shù)進(jìn)行安全測(cè)評(píng)的方法。這為全面認(rèn)識(shí)和評(píng)估5G網(wǎng)絡(luò)的安全，提供了一個(gè)有效的參考方案。

【關(guān)鍵詞】? ? 5G? ? 安全? ? 新特性

引言：

5G是目前最新的移動(dòng)通信技術(shù)，除了滿足廣大用戶的日常通信，還將應(yīng)用到社會(huì)經(jīng)濟(jì)各領(lǐng)域，促進(jìn)社會(huì)信息化和產(chǎn)業(yè)化的轉(zhuǎn)型升級(jí)。因此，5G的安全重要性無需贅述，而要解決5G的安全問題，就需要充分了解5G網(wǎng)絡(luò)的安全構(gòu)架，建立完善的5G安全體系，保障5G業(yè)務(wù)的安全。

一、5G面臨的安全風(fēng)險(xiǎn)概述

首先，傳統(tǒng)安全風(fēng)險(xiǎn)加劇。當(dāng)前網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，5G作為承載大眾通信的網(wǎng)絡(luò)，也面臨相同的傳統(tǒng)網(wǎng)絡(luò)攻擊威脅。在這一背景下，5G網(wǎng)絡(luò)在抵御外部攻擊和入侵方面面臨著極大的挑戰(zhàn)。其次，5G提供的各種新業(yè)務(wù)場(chǎng)景的應(yīng)用，也導(dǎo)致5G的安全不僅是經(jīng)濟(jì)損失那么簡(jiǎn)單，還有可能影響到社會(huì)公共設(shè)施的正常運(yùn)轉(zhuǎn)和人們的生命安全。再次，5G新技術(shù)的引入對(duì)傳統(tǒng)核心網(wǎng)的安全風(fēng)險(xiǎn)。NFV、網(wǎng)絡(luò)切片等新技術(shù)在5G網(wǎng)絡(luò)的應(yīng)用，以及和傳統(tǒng)2G、4G核心網(wǎng)的互聯(lián)，使得移動(dòng)通信網(wǎng)傳統(tǒng)的安全體系受到新的挑戰(zhàn)。

二、5G的安全構(gòu)架

要分析5G網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)，必須先了解5G的安全構(gòu)架，下面對(duì)5G的安全構(gòu)架進(jìn)行介紹。

2.1 3GPP的標(biāo)準(zhǔn)安全構(gòu)架

5G的3GPP標(biāo)準(zhǔn)安全構(gòu)架如圖1所示。

2.2 5G業(yè)務(wù)的安全構(gòu)架擴(kuò)充

在5G 3GPP安全架構(gòu)的基礎(chǔ)上，結(jié)合5G網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)，對(duì)安全構(gòu)架進(jìn)行擴(kuò)充，具體如圖2所示。

圖2的安全構(gòu)架從業(yè)務(wù)的角度，說明了5G安全涵蓋了業(yè)務(wù)保護(hù)安全、網(wǎng)絡(luò)切片安全、管理系統(tǒng)安全等。

三、5G新的安全風(fēng)險(xiǎn)分析

在5G網(wǎng)絡(luò)中，引入了NFV、SBA架構(gòu)等IT新技術(shù)，給移動(dòng)通信網(wǎng)絡(luò)帶來了IT化的靈活性和便捷性。同時(shí)，也引入了IT技術(shù)固有的安全風(fēng)險(xiǎn)，使得IT安全成為重點(diǎn)。

3.1 SDN/NFV安全

SDN的三層以及南北向接口均存在安全風(fēng)險(xiǎn)，包括：

1.應(yīng)用層：攻擊者假冒SDN控制器，獲取應(yīng)用層APP的敏感數(shù)據(jù);APP之間未做好安全隔離，導(dǎo)致APP遭受來自其它APP的信息竊取等攻擊。

2.控制層：SDN控制器易遭受來自應(yīng)用層和數(shù)據(jù)層的攻擊，包括APP和轉(zhuǎn)發(fā)設(shè)備大量訪問造成的（D）DoS攻擊、使用Openflow協(xié)議大量數(shù)據(jù)報(bào)文上送造成的（D）DoS攻擊，惡意APP利用流表沖突繞過安全策略或者導(dǎo)致信息泄露等。另外，作為集中控制點(diǎn)，SDN控制器易遭受滲透攻擊。

3.數(shù)據(jù)層：易遭受假冒控制器獲取敏感數(shù)據(jù)、流表項(xiàng)溢出、（D）DoS攻擊等。

4.南北向接口：傳輸?shù)臄?shù)據(jù)遭受攔截、篡改、重放等攻擊。

NFV的NFVI、業(yè)務(wù)通信系統(tǒng)及管理系統(tǒng)均面臨安全安全風(fēng)險(xiǎn)，包括：

1. NFVI安全：與云計(jì)算基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)類似，包括硬件服務(wù)器被物理破壞等的物理安全風(fēng)險(xiǎn)，虛擬化軟件漏洞、宿主機(jī)及虛機(jī)OS的漏洞利用，虛擬機(jī)逃逸，虛擬機(jī)之間相互攻擊，虛擬機(jī)之間未安全隔離導(dǎo)致的信息泄露等。

2.業(yè)務(wù)通信系統(tǒng)安全：同傳統(tǒng)業(yè)務(wù)通信系統(tǒng)的安全風(fēng)險(xiǎn)，包括協(xié)議的安全漏洞被利用，通信內(nèi)容泄露、篡改或重放等。

3.管理安全：管理系統(tǒng)（MANO）網(wǎng)元自身的漏洞被利用，管理系統(tǒng)內(nèi)部接口或管理系統(tǒng)與外部其它系統(tǒng)之間的接口上的數(shù)據(jù)被攔截、篡改或重放等。另外，賬號(hào)、口令、日志的安全管理風(fēng)險(xiǎn)同傳統(tǒng)網(wǎng)絡(luò)，并且由于虛擬化、彈性擴(kuò)縮容，NFV涉及的賬號(hào)、口令管理會(huì)更多，變化會(huì)相對(duì)頻繁，帶來管理復(fù)雜度的增加。

4.組網(wǎng)安全：未對(duì)管理、控制和存儲(chǔ)流量進(jìn)行隔離，未劃分安全域，導(dǎo)致風(fēng)險(xiǎn)相互影響。

3.2網(wǎng)絡(luò)切片安全

切片之間安全域未能正確劃分與隔離， 將導(dǎo)致數(shù)據(jù)泄露、 數(shù)據(jù)篡改、 資源侵占等風(fēng)險(xiǎn)，切片本身的技術(shù)復(fù)雜性給管理帶來的難度遠(yuǎn)高于傳統(tǒng)網(wǎng)絡(luò)。切片安全風(fēng)險(xiǎn)包括：

1.終端接入安全風(fēng)險(xiǎn)：在同一個(gè)終端上面，可以同時(shí)跑不同的切片應(yīng)用，這就存在終端接入過程中可能出現(xiàn)未授權(quán) UE 訪問特定切片服務(wù)、終端訪問錯(cuò)誤切片從而暴露信息等風(fēng)險(xiǎn)。

2.核心網(wǎng)側(cè)切片安全風(fēng)險(xiǎn)：各切片的控制面數(shù)據(jù)使用同一安全上下文，針對(duì)安全級(jí)別要求高的切片，可能會(huì)存在機(jī)密性、完整性保護(hù)強(qiáng)度不夠的風(fēng)險(xiǎn);惡意用戶可能會(huì)發(fā)起對(duì)共用網(wǎng)元的（D）Dos 攻擊，以耗盡其資源影響切片的正常運(yùn)作。同時(shí)，由于虛擬機(jī)逃逸等虛擬化漏洞等的存在，不同切片的 VNF 間可能存在通過統(tǒng)一的物理資源及虛擬化管理資源攻擊、非法占用及連接的風(fēng)險(xiǎn);切片的故障或資源使用可能會(huì)影響其他切片的運(yùn)行。

3.切片管理風(fēng)險(xiǎn)：包括切片模板可能存在缺陷帶來的隱患，以及切片在運(yùn)行周期中可能受到的攥改、數(shù)據(jù)泄露等。

3.3邊緣計(jì)算安全

NFV環(huán)境中部署的MEC安全風(fēng)險(xiǎn)包括來自NFV系統(tǒng)、MEC平臺(tái)、MEC編排管理系統(tǒng)、UPF以及ME App的安全風(fēng)險(xiǎn)：1. NFV系統(tǒng)安全風(fēng)險(xiǎn)：包括NFVI、業(yè)務(wù)通信系統(tǒng)和管理系統(tǒng)安全風(fēng)險(xiǎn)。2. MEC平臺(tái)安全風(fēng)險(xiǎn)：MEC平臺(tái)軟件本身的漏洞被利用、MEC平臺(tái)軟件或者其鏡像被篡改、MEC平臺(tái)存儲(chǔ)的敏感數(shù)據(jù)泄露，MEC平臺(tái)被ME App非法訪問，導(dǎo)致DoS攻擊、數(shù)據(jù)泄露等。3. MEC編排管理系統(tǒng)安全風(fēng)險(xiǎn)：編排管理系統(tǒng)，包括MEC平臺(tái)管理器、MEC應(yīng)用編排器、虛擬基礎(chǔ)設(shè)施管理，如果平臺(tái)管理系統(tǒng)使用不當(dāng)，會(huì)引起較大的安全風(fēng)險(xiǎn)。4. UPF安全風(fēng)險(xiǎn)：UPF遭受物理接觸攻擊，篡改分流策略，導(dǎo)致數(shù)據(jù)傳輸錯(cuò)誤。攻擊者有可能借助受破壞的UPF進(jìn)一步攻擊核心網(wǎng);惡意APP也可能向UPF發(fā)起（D）DoS攻擊。5. ME App安全風(fēng)險(xiǎn)：ME App軟件本身的漏洞被利用、ME App軟件或者鏡像被篡改、敏感數(shù)據(jù)泄露，用戶非法訪問App等。6. MEC物理環(huán)境安全風(fēng)險(xiǎn)：MEC設(shè)備是下沉到諸如園區(qū)的核心網(wǎng)邊緣，設(shè)備環(huán)境比不上核心機(jī)房的安全，受到物理攻擊的可能性增加。

3.4 SBA安全

在SBA中，攻擊者可能構(gòu)建虛假的合法網(wǎng)元來進(jìn)行攻擊。由于任意網(wǎng)元均可以訪問其它網(wǎng)元，攻擊者可利用一個(gè)受控網(wǎng)元向目標(biāo)網(wǎng)元發(fā)起攻擊。SBA通過HTTP/2協(xié)議承載，相對(duì)于SS7和Diameter，HTTP/2的協(xié)議靈活性更大，可能會(huì)引入一些未知風(fēng)險(xiǎn)。

四、5G新特性的安全測(cè)評(píng)

4.1 NFV隔離與訪問控制

評(píng)估要點(diǎn)：1.同一物理機(jī)上的不同虛擬化網(wǎng)絡(luò)資源具有安全隔離能力。2.多臺(tái)物理機(jī)上的大量虛擬化網(wǎng)絡(luò)資源具有安全隔離能力。

評(píng)估方法：1.在同一臺(tái)物理主機(jī)上同時(shí)創(chuàng)建多個(gè)虛擬機(jī);2.在其中某一虛擬機(jī)運(yùn)行類似nping軟件查看網(wǎng)絡(luò)可通、網(wǎng)絡(luò)流量情況;3.在多臺(tái)物理機(jī)上創(chuàng)建獨(dú)立的虛擬機(jī);4.進(jìn)行安全域劃分，并測(cè)試互通情況。

評(píng)估預(yù)期結(jié)果：1.同一物理機(jī)的不同虛擬機(jī)的虛擬化網(wǎng)絡(luò)資源實(shí)現(xiàn)隔離。2.不同物理機(jī)的大量虛擬化資源可劃分不同安全域進(jìn)行隔離。

4.2網(wǎng)絡(luò)切片安全

評(píng)估要點(diǎn)：1.網(wǎng)絡(luò)切片認(rèn)證的能力。

評(píng)估方法：1.查看網(wǎng)管系統(tǒng)或者登錄網(wǎng)元查看相關(guān)配置，核實(shí)是否具備網(wǎng)絡(luò)切片認(rèn)證能力;2.針對(duì)特定切片S，配置切片接入認(rèn)證策略為支持切片認(rèn)證;3.使用測(cè)試終端簽約切片（類型為S）;4.測(cè)試終端開機(jī)附著網(wǎng)絡(luò);5.跟蹤信令流程，確定測(cè)試終端是否成功附著切片S。

評(píng)估預(yù)期結(jié)果：1.網(wǎng)絡(luò)啟用并具備網(wǎng)絡(luò)切片認(rèn)證能力。

4.3邊緣計(jì)算安全

評(píng)估要點(diǎn)：1.MEC平臺(tái)具備應(yīng)對(duì)DoS攻擊的能力。2.MEC具備入侵檢測(cè)能力。

評(píng)估方法：1.了解MEC平臺(tái)安全防護(hù)方案，查看是否部署抗攻擊、入侵檢測(cè)手段;2.通過測(cè)試評(píng)估：測(cè)試終端附著此平臺(tái)，使用該終端發(fā)送大量TCP鏈接報(bào)文（SYN報(bào)文），查看平臺(tái)是否依然穩(wěn)定運(yùn)行;3.進(jìn)行安全漏洞掃描等操作，查看平臺(tái)是否檢測(cè)到攻擊。

評(píng)估預(yù)期結(jié)果：1.MEC平臺(tái)具備入侵檢測(cè)和DoS攻擊防護(hù)能力。

4.4 SBA安全

評(píng)估要點(diǎn)：1.驗(yàn)證NF間服務(wù)化接口傳輸層進(jìn)行TLS認(rèn)證;2.MEC具備入侵檢測(cè)能力。

評(píng)估方法：1.網(wǎng)絡(luò)中硬件平臺(tái)、MANO平臺(tái)工作狀態(tài)正常，各功能網(wǎng)元系統(tǒng)及操作維護(hù)平臺(tái)正常;2.按照TLS配置文件要求配置NF1和NF2的服務(wù)化接口，觀察 NF1和NF2服務(wù)化接口的TLS連接;3.不滿足TLS配置文件要求配置NF1和NF2的服務(wù)化接口（配置缺少協(xié)議版本或者密碼算法）;觀察NF1和NF2服務(wù)化接口的TLS 連接。

評(píng)估預(yù)期結(jié)果：1.TLS配置文件符合3GPP TS 33.310要求，則NF1和NF2可成功建立TLSA連接;否則，NF1和NF2無法建立TLS連接。

五、結(jié)束語

網(wǎng)絡(luò)的安全是一個(gè)攻擊和防御不斷互相提升的動(dòng)態(tài)過程，因此，需要網(wǎng)絡(luò)維護(hù)人員增強(qiáng)安全意識(shí)，不斷跟進(jìn)新技術(shù)的發(fā)展，才能保障網(wǎng)絡(luò)的安全。

參? 考? 文? 獻(xiàn)

[1] 華為技術(shù)有限公司，《5G安全架構(gòu)白皮書》，[EB]，2017年11月。

[2] 中華人民共和國(guó)工業(yè)和信息化部，《5G移動(dòng)通信網(wǎng)-安全技術(shù)要求》，[S] ，2019年12月。

[3] IMT-2020（5G）推進(jìn)組，《5G安全試驗(yàn) 設(shè)備安全保障測(cè)試規(guī)范-核心網(wǎng)設(shè)備》，[S] ，2020年5月。