5G網(wǎng)絡(luò)建設(shè)是我國新型基礎(chǔ)設(shè)施建設(shè)的重要組成部分，黨中央多次作出重要指示批示，提出要加快5G網(wǎng)絡(luò)等新型基礎(chǔ)設(shè)施建設(shè)。工信部在《關(guān)于促進網(wǎng)絡(luò)開放共享 推動5G異網(wǎng)漫游的實施意見》中指出：“堅持科學(xué)實用、適度超前、厲行節(jié)約，引導(dǎo)電信企業(yè)建立健全異網(wǎng)漫游合作機制，合理制定5G網(wǎng)絡(luò)規(guī)劃，避免重復(fù)建設(shè)?！?/p>

5G異網(wǎng)漫游可以最大限度地利用已建成的5G網(wǎng)絡(luò)為更廣泛的用戶群體提供服務(wù)，對貫徹落實黨中央關(guān)于加快我國5G新型基礎(chǔ)設(shè)施建設(shè)，促進5G網(wǎng)絡(luò)開放共享，減少5G網(wǎng)絡(luò)重復(fù)建設(shè)，集約高效地實現(xiàn)5G網(wǎng)絡(luò)覆蓋和業(yè)務(wù)發(fā)展具有重要意義。5G異網(wǎng)漫游安全是5G異網(wǎng)漫游業(yè)務(wù)順利開展的重要保障，本文首先介紹了5G異網(wǎng)漫游組網(wǎng)架構(gòu)、漫游互通接口及安全防護邊界代理SEPP安全功能，然后分析5G異網(wǎng)漫游安全風(fēng)險，最后從部署實施層面提出了相應(yīng)的安全防護對策與建議。

5G核心網(wǎng)異網(wǎng)漫游架構(gòu)

5G核心網(wǎng)漫游是指在獨立組網(wǎng)（SA）方式下，在漫游區(qū)域內(nèi)，歸屬網(wǎng)絡(luò)方用戶通過接入拜訪網(wǎng)絡(luò)方5G網(wǎng)絡(luò)的方式使用5G業(yè)務(wù)。5G核心網(wǎng)漫游運營商雙方的5G接入網(wǎng)、核心網(wǎng)獨立建設(shè)和管理，用戶獨立管理。5G核心網(wǎng)漫游主要有兩種組網(wǎng)方式，即歸屬地路由（HR，Home Routed）和漫游地路由（LBO，Local Breakout）。歸屬地路由方案如圖1所示，用戶面業(yè)務(wù)流回到歸屬地UPF接入DN。漫游地路由方案如圖2所示，用戶面業(yè)務(wù)流通過漫游地UPF接入DN，不需要歸屬地網(wǎng)絡(luò)協(xié)助處理。漫游地路由方式雖然具備用戶數(shù)據(jù)傳輸路徑短的優(yōu)點，但是無法進行拜訪地和歸屬地之間的計費對賬，并且歸屬地?zé)o法了解漫出用戶狀況。

圖1  歸屬地路由組網(wǎng)架構(gòu)

圖2  漫游地路由組網(wǎng)架構(gòu)

5G核心網(wǎng)異網(wǎng)漫游優(yōu)選歸屬地路由方式，漫游用戶的業(yè)務(wù)數(shù)據(jù)回到歸屬網(wǎng)絡(luò)，用戶業(yè)務(wù)由歸屬網(wǎng)絡(luò)處理，向用戶提供業(yè)務(wù)。拜訪運營商和歸屬運營商在各自信令面網(wǎng)絡(luò)邊界部署SEPP，實現(xiàn)信令面數(shù)據(jù)轉(zhuǎn)發(fā)等功能，媒體面通過UPF進行互通，實現(xiàn)用戶面數(shù)據(jù)轉(zhuǎn)發(fā)功能。漫游互通設(shè)備SEPP和UPF之間可以通過邊界網(wǎng)關(guān)（BG）進行對接，拜訪運營商和歸屬運營商網(wǎng)可在網(wǎng)絡(luò)邊緣部署防火墻設(shè)備。

5G核心網(wǎng)異網(wǎng)漫游互通接口

歸屬地hSEPP與漫游地vSEPP通過N32接口連接，N32接口分為N32-c接口和N32-f接口。N32-c為SEPP之間的控制面接口，主要完成SEPP之間的握手通信，包括能力協(xié)商和安全參數(shù)交換。N32-f作為SEPP之間的應(yīng)用接口，主要完成跨PLMN的NF之間消息加密/解密和轉(zhuǎn)發(fā)，包含IPX的加密信息轉(zhuǎn)發(fā)和解密。AMF與歸屬地UDM通過N8接口連接，主要完成獲取接入簽約信息。AMF與歸屬地AUSF通過N12接口連接，主要進行接入鑒權(quán)。漫游地vSMF與歸屬地hSMF通過N16接口連接，主要進行會話消息傳遞。漫游地vPCF與歸屬地hPCF通過N24接口連接，主要獲取用戶策略。漫游地vNRF與歸屬地hNRF通過N27接口連接，主要進行跨PLMN的服務(wù)發(fā)現(xiàn)、訂閱、通知等。歸屬地hNSSF與漫游地vNSSF通過N31接口連接，用于接收來自歸屬地的網(wǎng)絡(luò)切片規(guī)則。歸屬地UPF與漫游地UPF通過N9接口互通，業(yè)務(wù)流量通過N9接口由歸屬地UPF進入DN。5G核心網(wǎng)異網(wǎng)漫游互通接口如圖3所示，接口列表如表1所示。

圖3  5G核心網(wǎng)異網(wǎng)漫游互通接口

表 1 5G核心網(wǎng)異網(wǎng)漫游互通接口列表

基于SEPP的安全機制

SEPP即安全邊界防護代理，是5G漫游安全架構(gòu)的重要組成部分，是運營商核心網(wǎng)控制面之間的邊界網(wǎng)關(guān)。SEPP是一個非透明代理，實現(xiàn)跨運營商網(wǎng)絡(luò)中網(wǎng)絡(luò)功能服務(wù)消費者與網(wǎng)絡(luò)功能服務(wù)提供者之間的安全通信，負(fù)責(zé)運營商之間控制平面接口上的消息過濾和策略管理，提供了網(wǎng)絡(luò)運營商網(wǎng)間信令的端到端保護，防范外界獲取運營商網(wǎng)間的敏感數(shù)據(jù)?；赟EPP的安全機制主要包括消息過濾、訪問控制和拓?fù)潆[藏。

消息過濾：在5G漫游過程中，運營商需要在其SEPP上對來訪的協(xié)議消息進行過濾和控制。

訪問控制：SEPP需要實現(xiàn)對通信對端運營商數(shù)據(jù)的校驗，包括判斷消息來源的真實性、所請求的信息是否只限于對端運營商用戶和本網(wǎng)運營商用戶等。

拓?fù)潆[藏：漫游場景涉及跨PLMN之間的NF通信，在通信過程中，為避免對端PLMN基于FQDN信息，獲取本端的拓?fù)湫畔?，需要SEPP將所有發(fā)往其他PLMN消息中的本端NF的FQDN進行拓?fù)潆[藏。

六大安全風(fēng)險及安全防護策略

5G核心網(wǎng)異網(wǎng)漫游存在的安全問題主要包括漫游傳輸安全問題、跨網(wǎng)網(wǎng)元互訪的安全問題、互聯(lián)互通接口安全問題、信令面安全問題、用戶面數(shù)據(jù)安全問題、容災(zāi)安全問題等。下面我們將對各種安全問題進行詳細(xì)分析及闡述。

漫游傳輸安全問題

歸屬網(wǎng)絡(luò)與拜訪網(wǎng)絡(luò)間建立漫游連接時，若缺乏有效的端到端防護，攻擊者可借此實施中間人攻擊，通過偽造、篡改、竊取連接信令，實現(xiàn)獲取運營商網(wǎng)間的敏感數(shù)據(jù)、盜用漫游用戶身份使用業(yè)務(wù)、更改用戶的漫游狀態(tài)、破壞漫游業(yè)務(wù)連續(xù)性等。

針對漫游傳輸安全風(fēng)險，應(yīng)部署有效的安全傳輸措施。拜訪網(wǎng)絡(luò)方的SEPP與歸屬網(wǎng)絡(luò)方的SEPP間需要采用TLS傳輸層加密，SEPP間直接建立端到端TLS連接進行信令轉(zhuǎn)發(fā)，保證傳輸過程的完整性和機密性。

網(wǎng)元互訪安全問題

5G采用基于服務(wù)化的SBA架構(gòu)。在服務(wù)化架構(gòu)中，用網(wǎng)絡(luò)功能NF代替了原來的網(wǎng)元NE，使得每個網(wǎng)絡(luò)功能可以對外呈現(xiàn)通用的服務(wù)化接口，這一機制促使5G網(wǎng)絡(luò)功能可以以非常靈活的方式在網(wǎng)絡(luò)中進行部署和管理，但這一機制也帶來了新的安全問題。如果網(wǎng)絡(luò)中存在非法的NF向特定NF請求敏感數(shù)據(jù)，或者利用合法的網(wǎng)絡(luò)功能實體去獲取原本不應(yīng)當(dāng)獲取的數(shù)據(jù)，均會出現(xiàn)信息的不當(dāng)泄露，使得原有的安全機制無法對這種攻擊方式進行有效防護。

針對跨網(wǎng)網(wǎng)元互訪安全風(fēng)險，建議部署必要的安全認(rèn)證及網(wǎng)絡(luò)隔離措施。

• 一是網(wǎng)內(nèi)設(shè)備與網(wǎng)外設(shè)備之間連接時支持相互安全認(rèn)證功能。
• 二是通過物理或邏輯隔離的方式，對5G異網(wǎng)漫游網(wǎng)絡(luò)系統(tǒng)的管理、業(yè)務(wù)和存儲3平面進行隔離。
• 三是信令面網(wǎng)絡(luò)邊界部署SEPP實現(xiàn)內(nèi)外網(wǎng)隔離，并邏輯隔離不同的漫游伙伴。
• 四是部署網(wǎng)間互通防火墻，避免在不同安全域間跳轉(zhuǎn)帶來的安全風(fēng)險。

互聯(lián)互通接口安全問題

5G核心網(wǎng)異網(wǎng)漫游互聯(lián)互通接口信令面主要為N32接口，用戶面主要為N9接口。N32接口實現(xiàn)不同運營商間信令路由轉(zhuǎn)發(fā)，若N32接口未采用有效的訪問控制機制，將面臨接口異常訪問或權(quán)限濫用等風(fēng)險，攻擊者可調(diào)用該接口發(fā)送非漫游信令占用接口或者非法請求漫游簽約信息。N9接口主要傳輸用戶面數(shù)據(jù)，也需要必要的安全措施，避免被攻擊者利用對網(wǎng)絡(luò)進行流量攻擊。

針對漫游互聯(lián)互通接口安全風(fēng)險，建議部署必要的訪問控制措施。

• 一是漫游互聯(lián)互通N32接口采用訪問控制機制，通過異常調(diào)用限制和權(quán)限控制，避免接口異常訪問或權(quán)限濫用等風(fēng)險。
• 二是SEPP開啟協(xié)議控制功能，選擇允許/不允許哪些協(xié)議的報文進入5GC網(wǎng)絡(luò)，以保證5GC網(wǎng)絡(luò)的安全。
• 三是SEPP、UPF、BG開啟ACL過濾功能，可攔截配置的網(wǎng)絡(luò)地址和端口。

核心網(wǎng)安全問題

5G異網(wǎng)漫游時，歸屬網(wǎng)絡(luò)方的用戶在漫游服務(wù)區(qū)域內(nèi)接入拜訪網(wǎng)絡(luò)方的5G網(wǎng)絡(luò)，由拜訪網(wǎng)絡(luò)核心網(wǎng)為漫游用戶提供5G服務(wù)。漫游用戶在漫游共享5G區(qū)域內(nèi)進行注冊、移動、業(yè)務(wù)更新時，都涉及大量信令交互。若信令交互過程中缺乏有效的安全認(rèn)證、頻率控制等安全機制，攻擊者通過偽造虛假漫游請求消息、漫游設(shè)備頻繁上下線等方式，對拜訪網(wǎng)絡(luò)核心網(wǎng)開展DDoS攻擊，將惡意消耗核心網(wǎng)網(wǎng)絡(luò)資源，破壞漫游業(yè)務(wù)甚至影響拜訪網(wǎng)絡(luò)自身網(wǎng)絡(luò)服務(wù)的正常運行。

針對核心網(wǎng)安全風(fēng)險，建議對漫游注冊、去注冊、加密、認(rèn)證等信令傳輸實施速率限制功能，避免產(chǎn)生信令風(fēng)暴，造成合法信令交互延遲甚至無法交互，影響漫游服務(wù)正常運行。

信令安全問題

5G核心網(wǎng)異網(wǎng)漫游網(wǎng)間信令主要面臨敏感信息泄露、信令欺詐等安全風(fēng)險。運營商的部署通常是敏感的，不愿意暴露給其他人。由于網(wǎng)間信令中攜帶全局唯一域名FQDN信息、號段、IP地址等重要的網(wǎng)絡(luò)信息，若未采用加密、混淆等方式進行信息轉(zhuǎn)換、修改或替換，網(wǎng)絡(luò)內(nèi)部拓?fù)涞让舾行畔⒖赡鼙┞督o對方運營商。因此，跨運營商的消息傳輸還需要考慮對拓?fù)涞刃畔⒏訃?yán)密地隱藏。攻擊者可利用安全漏洞，通過偽造虛假漫游信令攻擊拜訪網(wǎng)絡(luò)，造成漫游服務(wù)異常中斷。

針對5G核心網(wǎng)異網(wǎng)漫游網(wǎng)間信令安全風(fēng)險，建議部署如下安全措施。

• 一是拜訪網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò)應(yīng)部署安全邊緣保護代理SEPP等信令保護機制，以提供異網(wǎng)漫游信令面數(shù)據(jù)互通安全保護驗證。
• 二是信令面網(wǎng)絡(luò)邊界部署SEPP實現(xiàn)拓?fù)潆[藏，避免全局唯一域名FQDN信息、號段、IP地址等重要的網(wǎng)絡(luò)信息暴露。
• 三是對漫游握手等重要過程提供信令驗證機制，可丟棄格式錯誤或信息不匹配的信令消息。
• 四是提供信令反欺詐機制，基于SEPP局向歸屬的PLMN，與業(yè)務(wù)信令中攜帶的FQDN、PLMN ID等聯(lián)合檢查是否一致。

用戶面數(shù)據(jù)的安全問題

在5G核心網(wǎng)異網(wǎng)漫游中，N9接口傳輸?shù)挠脩裘鏀?shù)據(jù)基本為GTP-U數(shù)據(jù)。由于GTP本身存在安全漏洞問題，而GTP安全問題會隨著5G網(wǎng)間流量的增長而增加，因此需要增加額外的安全措施，以保障在N9接口上傳輸?shù)挠脩裘嫦⒌陌踩?，保護其網(wǎng)絡(luò)免受無效的PLMN間N9流量的影響。

對于5G核心網(wǎng)異網(wǎng)漫游用戶面數(shù)據(jù)的安全問題，建議在網(wǎng)絡(luò)邊界部署支持用戶面安全網(wǎng)關(guān)功能的UPF，保護PLMN間用戶面消息，在漫游地網(wǎng)絡(luò)的UPF與歸屬地網(wǎng)絡(luò)的UPF之間的N9接口實施GTP-U安全。用戶面安全網(wǎng)關(guān)功能具體安全措施包括：用戶面安全網(wǎng)關(guān)必須僅轉(zhuǎn)發(fā)屬于有效PDU會話的F-TEID的GTP-U數(shù)據(jù)包，并丟棄其他數(shù)據(jù)包；用戶面安全網(wǎng)關(guān)必須丟棄錯誤的GTP-U消息。