［肖洪 方嘉宇 曾禮榮］

1 引言

隨著網(wǎng)絡技術全面應用與通信技術的高速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為生產(chǎn)工作中不可或缺的一部分，越來越多的IT生產(chǎn)系統(tǒng)逐步完成了互聯(lián)網(wǎng)化改造，帶來了遠程辦公便利的同時，也滋生了一些安全問題。企業(yè)IT 系統(tǒng)中存儲了大量公司敏感商業(yè)信息和用戶數(shù)據(jù)，與公司內(nèi)網(wǎng)的生產(chǎn)系統(tǒng)普遍存在網(wǎng)絡連接，是黑客入侵的重要目標。與此同時，近年來國家層面對網(wǎng)絡安全的要求不斷提高，頒布并實施了《中華人民共和國網(wǎng)絡安全法》、“等保2.0”等法規(guī)標準，對網(wǎng)絡運營者的安全責任和安全管理規(guī)范提出了具體的要求。

在上述背景下，伴隨著5G 邊緣計算技術的發(fā)展，5G專網(wǎng)應運而生，實現(xiàn)了基于通信大網(wǎng)的原生VPN 專網(wǎng)能力，其在傳輸?shù)目煽啃?、保密性及適用便捷性上均有較大的優(yōu)勢，將用戶手機終端打造成可隨身攜帶的SD-WAN（Software Defined Wide Area NetworkSoftware Defined Wide Area Network，軟件定義廣域網(wǎng)）設備。但5G 專網(wǎng)在應用過程中，依然存在熱點分享、權限管理不當?shù)劝踩L險，本文擬通過通用的IT 軟件系統(tǒng)，與通信體系下的5G 專網(wǎng)進行結(jié)合，實現(xiàn)5G 專網(wǎng)下的二次鑒權能力，進一步提升5G 專網(wǎng)接入的安全性。

2 研究背景

2.1 5G 專網(wǎng)存在的風險

5G 專網(wǎng)雖然在可控的通信網(wǎng)絡中實現(xiàn)了專有私網(wǎng)，與傳統(tǒng)虛擬專網(wǎng)相比在傳輸速率、保密性等方面具有明顯優(yōu)勢，但在實際應用的過程中，依然存在一定的安全風險，主要表現(xiàn)為為以下4 點。

（1）熱點分享風險：用戶可通過手機熱點，快速將5G專網(wǎng)的訪問鏈路分享給其他無線設備，導致“專網(wǎng)不專”，使得未經(jīng)授權的設備接入到存在敏感數(shù)據(jù)的專用網(wǎng)絡中。

（2）賬號管理風險：當企業(yè)人員離職時，需要通過運營商核心網(wǎng)配置以取消離職人員5G 專網(wǎng)的接入權限，無法與企業(yè)自有的人力系統(tǒng)、IT 賬號管理系統(tǒng)自動聯(lián)動，管理成本較大，賬號注銷不及時，存在業(yè)務未及時退訂、接入權限離職后依然存在的風險。

（3）權限管理風險：終端接入5G 專網(wǎng)后，在網(wǎng)絡上可以訪問專網(wǎng)內(nèi)的全部資源，無法進一步實現(xiàn)細粒度的訪問控制。

（4）傳輸加密風險：終端接入5G 專網(wǎng)時，傳輸鏈路未加密，在傳輸層面存在數(shù)據(jù)竊取、篡改等中間人攻擊風險。

2.2 安全形勢

隨著《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》和《關鍵信息基礎設施保護條例》三法一條例的陸續(xù)實施，我國對網(wǎng)絡信息安全的監(jiān)管力度不斷加大。伴隨著網(wǎng)絡強國戰(zhàn)略落地，數(shù)字化轉(zhuǎn)型、電子政務工作不斷推進完善，越來越多公民的個人信息存儲在信息系統(tǒng)中，相關系統(tǒng)遭受安全攻擊的威脅也與日俱增，5G 政務專網(wǎng)作為政務行業(yè)的解決方案，相比其他組網(wǎng)安全要求更高，需要更加完善的解決方案以避免政務系統(tǒng)遭受惡意攻擊，導致敏感信息泄露。

2.3 5G 專網(wǎng)標準化二次鑒權方案介紹

5G SA 網(wǎng)絡架構在設計之初提出了網(wǎng)絡切片技術，將物理網(wǎng)絡分割成多個邏輯網(wǎng)絡，每個邏輯網(wǎng)絡之間相互隔離，帶來了移動網(wǎng)絡技術的大變革，將普通公眾用戶與行業(yè)客戶獨立開來，實現(xiàn)行業(yè)客戶對網(wǎng)絡的差異化需求。通過不同的網(wǎng)絡切片為不同的應用提供服務。在安全性方面，系統(tǒng)內(nèi)生地支持用戶接入二次身份認證，以保護數(shù)據(jù)網(wǎng)絡免遭非法用戶的侵害。5G SA 網(wǎng)絡架構如圖1 所示[1]。

圖1 5G SA 網(wǎng)絡組網(wǎng)架構圖

用戶終端在初始注冊與接入5G 網(wǎng)絡訪問數(shù)據(jù)業(yè)務網(wǎng)絡前，包含了與UDM 及AUSF 之間的主認證及授權過程。3GPP 定義的UDM 主要負責用戶簽約數(shù)據(jù)管理，包括簽約身份、接入和移動性簽約數(shù)據(jù)、會話簽約數(shù)據(jù)等。AUSF 網(wǎng)元為認證服務器功能，將終端SUCI/SUPI 信息暫存，將認證請求進行判斷鑒權。主認證完成后，由SMF網(wǎng)元為其建立用戶面數(shù)據(jù)通道，并根據(jù)簽約信息決定是否發(fā)起二次身份認證。5G二次身份認證遵循EAP（Extensible Authentication Protocol，可擴展身份認證協(xié)議），EAP 是基于端口的訪問控制標準，是一種授權架構、允許或阻止流量通過端口訪問網(wǎng)絡，主要由請求方、認證方和認證服務器三部分組成。二次認證消息由5G NAS 信令承載，終端UE 為被請求方（Client），SMF 網(wǎng)元為認證方（Authenticator），AAA 為認證服務器（Server），整體認證流程如圖2 所示。

圖2 基于第三方5G 二次身份認證流程圖

SMF 向終端發(fā)起EAP 認證，請求獲取身份標識信息，終端通過AMF 向SMF 返回EAP 請求的身份標識信息。SMF 通過UPF 建立N4 會話，并轉(zhuǎn)發(fā)UE 提供的SM PDU DN 請求容器給DN。UPF 將EAP 獲取身份標識的認證信息轉(zhuǎn)發(fā)給DN 的AAA 服務器，終端與AAA 服務器之間通過N4 與NAS 消息進行EAP 認證交互，認證完成，AAA服務器將EAP 認證成功消息發(fā)送給SMF，EAP 認證結(jié)束[2]。SMF 通過AMF 將PDU 會話建立成功確認消息轉(zhuǎn)發(fā)給終端，為終端建立到數(shù)據(jù)網(wǎng)絡的連接。在二次身份認證方案中，運營商為行業(yè)用戶提供了底層認證通道，由用戶自己選擇或定制具體的算法和協(xié)議進行二次認證。AAA 服務器可以部署在用戶數(shù)據(jù)網(wǎng)絡（DN）中通過UPF 與SMF 連接，也可以直接部署在運營商機房5GC 內(nèi)與SMF 直接連接，不經(jīng)過UPF。

3 基于SDP 技術的5G 專網(wǎng)二次鑒權設計

5G 專網(wǎng)雖然基于AAA 技術實現(xiàn)了標準化的二次身份認證，但只是解決了5G 終端入網(wǎng)的鑒權過程，上述方案依然存在以下幾個問題。

（1）該方案需要運營商SMF、UPF 等網(wǎng)元配合實施，對設備兼容性有一定要求，目前無法保證各地運營商網(wǎng)元設備均支持該方案，方案落地存在一定門檻。

（2）無法實現(xiàn)數(shù)據(jù)加密傳輸，如用戶使用明文協(xié)議提供業(yè)務，將可能導致數(shù)據(jù)竊聽、篡改等風險。

（3）該方案僅可實現(xiàn)用戶終端設備的準入鑒權，無法在網(wǎng)絡接入后實現(xiàn)細粒度訪問控制，控制用戶訪問專網(wǎng)內(nèi)特定IP 地址的權限；同時在用戶手機終端通過二次身份認證后，通過接入其提供的熱點，即可無需鑒權入網(wǎng)，依然存在熱點分享風險。

本文擬通過IT（信息技術）與CT（通信技術）的結(jié)合，弱化5G 專網(wǎng)安全手段對通信網(wǎng)絡的依賴性和耦合度，通過通用IT 技術實現(xiàn)網(wǎng)絡邊界的可信、可管、可控。針對當前5G 專網(wǎng)標準方案存在的熱點攻擊、賬號管理、權限管理等安全風險，可在用戶側(cè)部署SDP（軟件定義邊界，Software Defined Perimeter）網(wǎng)關，通過SDP網(wǎng)關對專網(wǎng)用戶訪問專網(wǎng)設備的流量進行全局管控，實現(xiàn)用戶對5G 專網(wǎng)權限的自服務管理和精細化控制。

3.1 SDP 網(wǎng)關總體網(wǎng)絡拓撲

為實現(xiàn)對應用系統(tǒng)的邊界訪問控制，SDP 網(wǎng)關一般部署在用戶側(cè)機房的DMZ 區(qū)域，由用戶側(cè)防火墻將應用系統(tǒng)的5G 專網(wǎng)映射地址統(tǒng)一映射到SDP 網(wǎng)關的私網(wǎng)地址上，實現(xiàn)終端側(cè)訪問流量統(tǒng)一經(jīng)過SDP 網(wǎng)關控制。用戶終端將通過SSL 協(xié)議連接至SDP 服務上，當用戶流量滿足SDP 網(wǎng)關配置的身份認證、訪問授權策略時，由SDP 網(wǎng)關將可信流量轉(zhuǎn)發(fā)到目標應用系統(tǒng)，總體網(wǎng)絡拓撲如圖3 所示。

圖3 SDP 網(wǎng)關總體網(wǎng)絡拓撲示意圖

3.2 業(yè)務流程

SDP 網(wǎng)關采用“認證-授權-訪問”的邏輯，用戶側(cè)管理員需預先在SDP 管理平臺中預置用戶賬號信息及訪問授權配置，通過SDP 網(wǎng)關，可限制不同的用戶訪問不同的IP 端口。具體訪問流程如下。

（1）用戶訪問SDP 網(wǎng)關認證地址，輸入賬號口令信息完成認證；

（2）認證通過后，SDP 網(wǎng)關向用戶終端授權安全令牌，建立加密的安全訪問隧道，并根據(jù)預配置信息，顯示用戶具備訪問權限的應用；

（3）用戶點擊應用圖標，訪問進入應用界面；當用戶嘗試訪問不具備權限的應用資源時，連接請求將被拒絕；

（4）當其他終端未預先認證或接入該設備提供的熱點嘗試訪問應用系統(tǒng)時，由于請求中未包含安全令牌，連接將被拒絕；

（5）當用戶離職時，管理員可在請求運營商注銷該用戶專網(wǎng)權限前，在SDP 平臺停用該用戶賬號，即可避免用戶離職后依然可接入5G 專網(wǎng)并訪問內(nèi)網(wǎng)。

4 結(jié)束語

隨著信息與通信技術的不斷創(chuàng)新，5G 技術的發(fā)展帶來垂直行業(yè)與移動網(wǎng)絡的深度融合，實現(xiàn)了低時延、大帶寬、可移動、穩(wěn)定的網(wǎng)絡，形成了車聯(lián)網(wǎng)、遠程醫(yī)療、智能制造等多種應用場景實現(xiàn)產(chǎn)業(yè)升級。然而現(xiàn)有的網(wǎng)絡架構安全模型無法適應當前終端面臨的嚴峻挑戰(zhàn)，如何利用5G 安全模型，保障多種應用場景需求下的通信安全，是當前5G 網(wǎng)絡面臨的關鍵問題。本文針對5G 網(wǎng)絡當前面臨的熱點分享、賬號管理、權限管理和傳輸加密四項風險，提出了基于SDP 的二次認證技術作為5G 網(wǎng)絡的一種簡單有效的安全防護手段，針對上述風險通過IT 技術手段予以解決，其實現(xiàn)方式與通信系統(tǒng)耦合度較低，可以靈活實施落地。后續(xù)將從安全審計的角度出發(fā)，對進入5G 專網(wǎng)的流量進行深度分析實現(xiàn)用戶行為溯源，進一步提升專網(wǎng)資源的安全性。