眾所周知，5G時(shí)代，迎接我們的是一個(gè)萬物互聯(lián)的世界。隨著物聯(lián)網(wǎng)的不斷發(fā)展，越來越多的設(shè)備需要接入5G網(wǎng)絡(luò)，但這也意味著這些設(shè)備將會(huì)成為被不法分子攻擊的潛在目標(biāo)。你可曾想過，在物聯(lián)網(wǎng)時(shí)代，病毒有可能感染正在行駛的汽車，感染正在使用的智能家居設(shè)備....當(dāng)海量終端通過傳輸網(wǎng)接入核心網(wǎng)時(shí)，誰來保證5G核心網(wǎng)(5GC)的安全?

5GC威脅分析

上述場景也許只是5GC安全威脅的一個(gè)縮影。5GC基于云化架構(gòu)，通過引入虛擬化技術(shù)實(shí)現(xiàn)了軟件與硬件的解耦，并通過NFV技術(shù)，將虛擬化網(wǎng)元部署在云化的基礎(chǔ)設(shè)施上，不再使用專有通信硬件平臺(tái)。因此，原先認(rèn)為安全的物理環(huán)境已經(jīng)變得不安全。

• 在基礎(chǔ)設(shè)施層(NFVI)，除了傳統(tǒng)的物理安全隱患，虛擬化的安全威脅更值得注意，例如病毒木馬攻擊虛擬化云平臺(tái)、濫用虛擬資源、惡意破壞虛機(jī)及鏡像等。
• 在網(wǎng)元功能層(VNFs)，存在非法用戶接入網(wǎng)絡(luò)、對網(wǎng)元間通信數(shù)據(jù)的監(jiān)聽和篡改、針對漫游用戶的流量欺詐等攻擊。
• 在管理和編排層(MANO)，存在針對管理平面的安全威脅，包括非法用戶訪問、內(nèi)部人員的惡意操作、權(quán)限濫用攻擊、個(gè)人數(shù)據(jù)隱私暴露等。

既然5GC存在諸多潛在的隱患，不法分子或者黑客豈不是可以肆意妄為?No way!

5GC安全架構(gòu)

針對上述威脅，提出了基于5G安全規(guī)范的5GC安全架構(gòu)。

這個(gè)安全架構(gòu)看上去挺復(fù)雜啊!

接下來，小編就帶你從如下5個(gè)層面解讀5GC安全架構(gòu)。

如果把5GC網(wǎng)絡(luò)比作全國的公路網(wǎng)，網(wǎng)絡(luò)中的數(shù)據(jù)比作通行的車輛。我們可以簡單地將5GC安全架構(gòu)的幾個(gè)層面簡單地做個(gè)類比。

(1) 接入安全

接入安全就像車管所負(fù)責(zé)車輛年檢，只有符合安全要求的車輛才能上路。類似地，當(dāng)各類用戶設(shè)備(UE)通過基站(NR)接入5G核心網(wǎng)時(shí)，5G核心網(wǎng)會(huì)對用戶設(shè)備進(jìn)行接入認(rèn)證、訪問控制等，并在數(shù)據(jù)傳輸過程中進(jìn)行數(shù)據(jù)加密和完整性保護(hù)。

在5GC系統(tǒng)中，通過雙向認(rèn)證方式，確保接入設(shè)備接入真實(shí)安全的5G核心網(wǎng)，杜絕接入“假基站”，同時(shí)通過UDM和AUSF對接入設(shè)備進(jìn)行鑒權(quán)認(rèn)證。對于3GPP接入和非3GPP接入，采用統(tǒng)一的接入流程和認(rèn)證方式，并支持EPS-AKA、5G-AKA、EAP-AKA’等多種不同的認(rèn)證方法。5G鑒權(quán)過程增強(qiáng)了歸屬網(wǎng)的控制，防止拜訪網(wǎng)中可能存在的欺詐。

(2) 網(wǎng)絡(luò)安全

5GC網(wǎng)絡(luò)通過劃分不同的網(wǎng)絡(luò)平面，傳輸不同類型的數(shù)據(jù)，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全。某一網(wǎng)絡(luò)平面的數(shù)據(jù)不會(huì)跑到其他網(wǎng)絡(luò)平面。這就類似于城市之間有高速公路和國道省道、城市內(nèi)部有BRT專用車道，體現(xiàn)了分類管理的價(jià)值。

(3) 管理安全

管理安全就像交通管理局提供的功能：管理交通并服務(wù)于廣大車輛。不同區(qū)域的交警負(fù)責(zé)所在片區(qū)的交通安全。類似地，5GC NF通過MANO進(jìn)行管理和編排。MANO支持分權(quán)分域的安全管理場景。

• 分權(quán)管理：為不同級別的用戶提供不同的操作權(quán)限，以達(dá)到可見/不可見、可管理/不可管理的目的。在系統(tǒng)中，權(quán)就是操作集，系統(tǒng)有默認(rèn)的操作集，包括安全管理員、管理員、操作員、監(jiān)控員、維護(hù)員，也可以自定義操作集。
• 分域管理：集中控制節(jié)點(diǎn)的數(shù)據(jù)或操作維護(hù)功能，按管理域，劃分成多個(gè)虛擬管理實(shí)體，實(shí)現(xiàn)不同域的用戶管理。系統(tǒng)支持地域(行政區(qū)域)、業(yè)務(wù)域(廠商、專業(yè)、網(wǎng)元類型)、資源池(資源池以及資源池下的租戶)的域維度。

(4) 能力開放安全

5GC支持網(wǎng)絡(luò)能力開放，通過能力開放接口將網(wǎng)絡(luò)能力開放給第三方應(yīng)用，以便第三方按照各自的需求設(shè)計(jì)定制化的網(wǎng)絡(luò)服務(wù)。能力開放安全著眼于開放接口的安全防護(hù)，使用安全的協(xié)議規(guī)范。當(dāng)?shù)谌接脩粼O(shè)備通過API接入時(shí)，需要進(jìn)行認(rèn)證。

(5) 數(shù)據(jù)安全

5G時(shí)代的數(shù)據(jù)具有數(shù)據(jù)量大、數(shù)據(jù)種類多、暴露面廣等特點(diǎn)，因此建立5GC數(shù)據(jù)安全體系從而保護(hù)5G數(shù)據(jù)的安全性顯得至關(guān)重要。5GC數(shù)據(jù)安全體系基于數(shù)據(jù)最小化、匿名化、加密傳輸、訪問控制的數(shù)據(jù)保護(hù)原則建立。

服務(wù)化架構(gòu)安全

由于5GC采用服務(wù)化架構(gòu)，針對全新服務(wù)化架構(gòu)帶來的安全風(fēng)險(xiǎn)，5GC安全架構(gòu)采用完善的服務(wù)注冊、發(fā)現(xiàn)、授權(quán)安全機(jī)制來保障服務(wù)化安全。

• 在NF注冊和發(fā)現(xiàn)流程中，NRF和NF間采用雙向認(rèn)證方式。在NRF和NF認(rèn)證成功后，NRF判定NF是否被授權(quán)執(zhí)行注冊和發(fā)現(xiàn)流程。

• 在非漫游場景下，即同一PLMN內(nèi)時(shí)，5G核心網(wǎng)控制面中的各NF之間采用基于Token的授權(quán)機(jī)制，NF業(yè)務(wù)訪問者在訪問業(yè)務(wù)API之前需要進(jìn)行認(rèn)證。
• 在漫游場景中，即不同PLMN之間的NF授權(quán)時(shí)，拜訪地的vNRF和歸屬地的hNRF需要做雙向認(rèn)證。

虛擬化平臺(tái)安全

虛擬化平臺(tái)提供所有5G核心網(wǎng)NF的部署、管理和執(zhí)行環(huán)境。為了實(shí)現(xiàn)虛擬化平臺(tái)安全，Hypervisor發(fā)揮了重要作用：

• Hypervisor統(tǒng)一管理物理資源，保證每個(gè)虛擬機(jī)都能獲得相對獨(dú)立的計(jì)算資源，并實(shí)現(xiàn)物理資源與虛擬資源的隔離。
• 虛擬機(jī)所有的I/O操作都會(huì)由Hypervisor截獲處理，Hypervisor保證虛擬機(jī)只能訪問分給該虛擬機(jī)的物理磁盤，實(shí)現(xiàn)不同虛擬機(jī)硬盤的隔離。
• Hypervisor還負(fù)責(zé)調(diào)度vCPU的上下文切換，使虛擬機(jī)操作系統(tǒng)和應(yīng)用程序運(yùn)行在不同的指令級別(Ring)上，保證了操作系統(tǒng)與應(yīng)用程序之間的隔離。

對于用戶而言，通過配置不同的VDC，實(shí)現(xiàn)虛擬機(jī)之間的通信隔離。通過配置安全組，終端用戶可自行控制虛擬機(jī)互通和隔離關(guān)系，以增強(qiáng)虛擬機(jī)的安全性。

結(jié)束語

現(xiàn)在，你知道5G核心網(wǎng)的安全是如何保障的吧。中興通訊提出的5GC安全架構(gòu)，從接入安全、網(wǎng)絡(luò)安全、管理安全、數(shù)據(jù)安全、能力開放安全等方面，保障5GC網(wǎng)絡(luò)安全，大大降低諸如用戶設(shè)備非法接入、網(wǎng)元間通信數(shù)據(jù)泄露等安全威脅。此外，對于多接入邊緣計(jì)算(MEC)場景，中興通訊通過提出MEC安全架構(gòu)和方案，保障MEC場景下的核心網(wǎng)安全。