5G專網(wǎng)安全需求分析及策略探討

沈軍，劉國榮，何明

（1.中國電信股份有限公司研究院，廣東 廣州 510639；2.移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室，上海 200120）

0 引言

隨著5G向行業(yè)應(yīng)用市場的不斷推進(jìn)，5G公網(wǎng)已無法完全滿足不同行業(yè)用戶的差異化需求，亟需可按需定制的5G專網(wǎng)。根據(jù)行業(yè)用戶對與5G公網(wǎng)的安全隔離程度、時延等要求的不同，5G專網(wǎng)可分為以下典型的三類[1-3]：

（1）獨立專網(wǎng)：與5G公網(wǎng)完全獨立的專網(wǎng)，提供獨享無線資源、獨立的5G核心網(wǎng)等，主要面向?qū)Π踩砸蠓浅８叩男袠I(yè)用戶。

（2）虛擬專網(wǎng)：通過切片、QoS（Quality of Service）和DNN（Date Network Name）定制等技術(shù)提供的虛擬專網(wǎng)，主要面向?qū)Π踩砸笙鄬ι缘偷男袠I(yè)用戶。

（3）部分共享專網(wǎng)：共享部分核心網(wǎng)元，按需下沉UPF（User Plane Function）、SMF（Session Management Function）、AMF（Access and Mobility Management Function）、UDM（Unified Data Management）等網(wǎng)元，主要面向有數(shù)據(jù)不出園區(qū)和低時延等要求的行業(yè)用戶。

本文將分析三類5G專網(wǎng)可能面臨的安全風(fēng)險，并探討相應(yīng)的安全對策。

1 5G專網(wǎng)安全風(fēng)險分析

1.1 獨立專網(wǎng)安全風(fēng)險分析

獨立專網(wǎng)與5G公網(wǎng)完全獨立，安全性不受5G公網(wǎng)影響，此時主要考慮獨立專網(wǎng)自身運行的可靠性、穩(wěn)定性和惡意用戶給獨立專網(wǎng)所帶來的安全風(fēng)險。而獨立專網(wǎng)信令面的管理控制功能都集中在獨立5GC（5G Core Network），需要重點分析獨立5GC面臨的安全風(fēng)險：

（1）5GC基于云化虛擬化的基礎(chǔ)設(shè)施構(gòu)建，虛擬化平臺自身可能存在安全漏洞，攻擊者可據(jù)此攻擊虛擬化平臺，并進(jìn)一步攻擊VM（Virtual Machine）/容器上承載的5GC網(wǎng)元。當(dāng)VM/容器之間缺乏有效的隔離管控時，可能會導(dǎo)致VM/容器之間的非法訪問。當(dāng)網(wǎng)元鏡像缺乏有效的保護(hù)手段時，鏡像有可能被篡改和植入惡意代碼等。

（2）5GC采用服務(wù)化架構(gòu)，當(dāng)NRF（Network Repository Function）和NSSF（Network Slice Selection Function）等遭受DoS（Denial of Service）攻擊時，有可能導(dǎo)致服務(wù)注冊/發(fā)現(xiàn)、切片選擇等業(yè)務(wù)功能無法進(jìn)行。當(dāng)網(wǎng)元間沒有開啟身份認(rèn)證時，攻擊者有可能假冒網(wǎng)元接入核心網(wǎng)絡(luò)，進(jìn)行非法訪問。如果沒有對網(wǎng)元間傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)，通信數(shù)據(jù)會面臨被竊聽和篡改的風(fēng)險等。

（3）當(dāng)獨立5GC缺乏有效的可用性保障手段時，一旦遭受攻擊或服務(wù)失效，有可能導(dǎo)致整個獨立專網(wǎng)無法正常運行。

1.2 虛擬專網(wǎng)安全風(fēng)險分析

虛擬專網(wǎng)主要通過切片等進(jìn)行隔離，需要重點考慮針對切片的安全風(fēng)險[5]：

（1）如果切片間沒有充分隔離和實施通信保護(hù)，某個虛擬專網(wǎng)上傳輸?shù)挠脩魯?shù)據(jù)有可能會泄露到其它虛擬專網(wǎng)。

（2）如果沒有對虛擬專網(wǎng)進(jìn)行接入認(rèn)證，惡意用戶可能會非法接入專網(wǎng)。

（3）如果沒有資源保障控制措施，一個虛擬專網(wǎng)有可能大量擠占資源，影響其它虛擬專網(wǎng)的正常運行。

（4）在向行業(yè)用戶開放網(wǎng)絡(luò)切片配置能力時，如果缺乏認(rèn)證和管控措施，惡意用戶有可能非法獲取切片信息甚至影響切片的正常運作。

1.3 部分共享專網(wǎng)安全風(fēng)險分析

部分共享專網(wǎng)在共享部分面臨著與虛擬專網(wǎng)相似的安全風(fēng)險，而在按需下沉的非共享部分，由于下沉網(wǎng)元連接了公網(wǎng)5GC和用戶企業(yè)網(wǎng)，且下沉網(wǎng)元的產(chǎn)權(quán)和運維有可能歸屬用戶，如果在下沉網(wǎng)元和用戶企業(yè)網(wǎng)之間、下沉網(wǎng)元和公網(wǎng)5GC之間缺乏有效的安全管控措施，會導(dǎo)致面向?qū)＞W(wǎng)甚至是公網(wǎng)5GC的安全風(fēng)險。

（1）如果沒有嚴(yán)格限制下沉網(wǎng)元與用戶企業(yè)網(wǎng)之間可以互訪的IP地址和協(xié)議，企業(yè)網(wǎng)用戶可以非授權(quán)地訪問到下沉網(wǎng)元。一旦下沉網(wǎng)元存在安全漏洞，有可能會被惡意用戶利用來攻擊甚至是控制下沉網(wǎng)元。同時下沉網(wǎng)元負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)和控制信令透傳，如果缺乏對數(shù)據(jù)傳輸、存儲、處理的安全保護(hù)，可能被惡意用戶竊取，導(dǎo)致敏感信息的泄露。

（2）在下沉網(wǎng)元和公網(wǎng)5GC之間，如果缺乏有效的身份鑒權(quán)機(jī)制，非授權(quán)虛假設(shè)備可與公網(wǎng)5GC進(jìn)行互通。若在轉(zhuǎn)發(fā)層面不做隔離控制，非授權(quán)的下沉網(wǎng)元可訪問到公網(wǎng)5GC的所有網(wǎng)元，增加了公網(wǎng)5GC的安全暴露面。如果缺乏有效的路由信息控制措施，可能導(dǎo)致下沉網(wǎng)元能獲取到公網(wǎng)5GC的全部路由信息。在互通接口不做流量限速時，若下沉網(wǎng)元向公網(wǎng)5GC大量發(fā)送信令包，可形成對大網(wǎng)的拒絕服務(wù)攻擊等。

2 5G專網(wǎng)安全策略探討

本節(jié)首先介紹5G專網(wǎng)安全防護(hù)的各項關(guān)鍵要素，然后結(jié)合三類專網(wǎng)特點提出相應(yīng)的安全策略。

2.1 獨立5GC的安全防護(hù)

獨立5GC承載了獨立專網(wǎng)的關(guān)鍵控制功能，需要重點保障其安全性、可用性。

（1）網(wǎng)元安全加固

應(yīng)從最小化權(quán)限、最小化系統(tǒng)內(nèi)核、卸載非必需的網(wǎng)絡(luò)服務(wù)和組件、口令復(fù)雜度管理、安全補(bǔ)丁更新、開啟日志審計等方面對5GC網(wǎng)元進(jìn)行安全加固。

（2）服務(wù)安全

在5GC的非服務(wù)化接口上可啟用NDS/IP（Network Domain Security-IP Network Layer Security）對數(shù)據(jù)進(jìn)行機(jī)密性、完整性和抗重放保護(hù)，在服務(wù)化接口上可啟用TLS進(jìn)行雙向身份認(rèn)證和數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性保護(hù)等。

（3）基礎(chǔ)平臺安全

當(dāng)5GC構(gòu)建于開源Kubernetes等基礎(chǔ)平臺時，應(yīng)裁剪不必要的功能，并對其進(jìn)行加固，以降低由于開源軟件所引入的開放性風(fēng)險，同時應(yīng)對容器、鏡像倉庫進(jìn)行加固，支持編排腳本和鏡像文件進(jìn)行加密存儲。

（4）安全監(jiān)測與快速恢復(fù)

應(yīng)配備虛機(jī)和容器層面的安全監(jiān)測機(jī)制，在發(fā)現(xiàn)異常時可對虛機(jī)/容器進(jìn)行隔離，并快速拉起新的虛機(jī)/容器，確保業(yè)務(wù)正常運行。

2.2 下沉網(wǎng)元的安全防護(hù)

在部分共享專網(wǎng)中，可能會以UPF、UPF+SMF、UPF+AMF+SMF等形態(tài)下沉，這些網(wǎng)元部署在地市甚至是客戶園區(qū)等較低的層面，需要做好網(wǎng)元自身的安全加固與防護(hù)，本小節(jié)將以UPF為例介紹相應(yīng)的安全策略。

（1）物理安全

下沉UPF可能部署在客戶園區(qū)，需要重點保障物理安全。首先應(yīng)采用具備防拆、防盜、防惡意斷電等功能的安全機(jī)柜來提高物理環(huán)境安全。其次，對于具有本地維護(hù)console（控制臺）口的設(shè)備，應(yīng)在部署完成后應(yīng)取消console口的登錄權(quán)限，并禁用系統(tǒng)通過恢復(fù)模式從本地修復(fù)密碼的功能。同時，下沉UPF自身應(yīng)具備物理鏈路狀態(tài)監(jiān)控的功能，能及時監(jiān)控到鏈路的異常，防止鏈路被惡意挪用；當(dāng)設(shè)備斷電/重啟、鏈路網(wǎng)口斷開時，應(yīng)能觸發(fā)告警；應(yīng)能管控本地加載系統(tǒng)路徑，不允許從外掛的存儲設(shè)備啟動系統(tǒng)，并對升級補(bǔ)丁和程序的來源和完整性進(jìn)行檢測；在條件允許時，可使用可信計算保證物理服務(wù)器的可信，確保只有經(jīng)過驗證的代碼才可加載、執(zhí)行。

（2）數(shù)據(jù)安全

下沉UPF應(yīng)只在PDU（Packet Data Unit）會話階段保留用戶SUPI（Subscription Permanent Identifier）等敏感信息，待會話結(jié)束后應(yīng)立即清除相關(guān)信息。賬號密碼等敏感信息應(yīng)加密存儲。數(shù)據(jù)傳輸過程中，應(yīng)使用NDS/IP等機(jī)制進(jìn)行機(jī)密性、完整性和防重放保護(hù)。

（3）平面隔離

下沉式UPF的管理面、信令面、數(shù)據(jù)面應(yīng)分別占用獨立物理網(wǎng)口，進(jìn)行物理層面的隔離。對于UPF和MEC（Multi-access Edge Computing）在相同虛擬化平臺的一體機(jī)，應(yīng)使UPF的管理和信令面與MEC完全隔離，只允許UPF的數(shù)據(jù)平面與MEC互通。

（4）認(rèn)證鑒權(quán)

應(yīng)對下沉式UPF的訪問進(jìn)行雙向認(rèn)證與鑒權(quán)，避免與非授權(quán)設(shè)備進(jìn)行通信。

（5）流量控制

在信令面，應(yīng)支持限制發(fā)給SMF以及從SMF接收的信令數(shù)據(jù)的大小，防止信令流的過載。在數(shù)據(jù)面，應(yīng)能限制用戶帶寬，避免單用戶大量擠占帶寬。

（6）接口訪問控制

對于來自DN（Data Network）的N6接口流量，應(yīng)對目標(biāo)地址是UPF設(shè)備的流量進(jìn)行過濾，僅允許白名單內(nèi)的IP地址及對應(yīng)的協(xié)議訪問。對于來自SMF的N4接口流量，應(yīng)設(shè)置SMF偶聯(lián)白名單，僅允許指定IP地址訪問。同時，建議不處理和發(fā)送存在安全風(fēng)險的ICMPv4（Internet Control Message Protocol）和ICMPv6消息類型，如重定向、超時錯誤消息等。

2.3 下沉網(wǎng)元與公網(wǎng)5GC間的安全控制

下沉網(wǎng)元連接了公網(wǎng)5GC和用戶企業(yè)網(wǎng)，需要做好下沉網(wǎng)元與公網(wǎng)5GC間的安全控制，避免惡意用戶以下沉網(wǎng)元為跳板攻擊公網(wǎng)5GC。本小節(jié)同樣將以UPF為例介紹相應(yīng)的安全策略。

（1）下沉UPF由用戶維護(hù)

當(dāng)下沉UPF的產(chǎn)權(quán)歸屬用戶，并由用戶自行維護(hù)時，應(yīng)將下沉UPF視為不可信實體來進(jìn)行與公網(wǎng)5GC之間的安全控制，控制內(nèi)容至少應(yīng)包括面向N4接口的轉(zhuǎn)發(fā)層面、路由層面和業(yè)務(wù)層面控制，控制點可以考慮在公網(wǎng)的承載網(wǎng)或核心網(wǎng)。

1）基于承載網(wǎng)的安全控制

首先是轉(zhuǎn)發(fā)層面，可在承載網(wǎng)連接下沉UPF的設(shè)備上通過ACL方式進(jìn)行控制，只允許下沉UPF與指定SMF之間的PFCP協(xié)議報文通過，禁止下沉UPF訪問公網(wǎng)5GC的其它網(wǎng)元，防止下沉UPF被惡意控制后攻擊公網(wǎng)5GC網(wǎng)元，具體如圖1所示。同時應(yīng)將下沉UPF的IP地址和MAC地址做綁定，避免惡意用戶冒用下沉UPF的IP地址接入網(wǎng)絡(luò)。還應(yīng)在承載網(wǎng)入方向?qū)ο鲁罸PF做流量限速，避免下沉UPF大量發(fā)送流量形成拒絕服務(wù)攻擊。

圖1 基于承載網(wǎng)的ACL控制示意圖

在路由層面，應(yīng)向下沉UPF屏蔽除SMF以外的其它網(wǎng)元的路由信息，例如可將下沉UPF和SMF接入專用的VPN，使下沉UPF只能獲取到相關(guān)SMF的路由。

在業(yè)務(wù)層面，應(yīng)開啟下沉UPF和SMF之間的雙向認(rèn)證，避免假冒的UPF與SMF通信。同時應(yīng)構(gòu)建針對信令流量的檢測與阻斷機(jī)制，能還原識別下沉UPF發(fā)出的異常包，并可通過發(fā)送RST包等方式進(jìn)行封堵。

2）基于核心網(wǎng)的安全控制

基于核心網(wǎng)的安全控制，在核心網(wǎng)入口已有防火墻的情況下，可通過該防火墻進(jìn)行轉(zhuǎn)發(fā)層面的訪問控制，具體如圖2所示。在沒有防火墻時，可在SMF上通過ACL或iptables等方式進(jìn)行訪問控制；但在同時下沉UPF、SMF、AMF等多個網(wǎng)元的情況下，由于交互的網(wǎng)元增多，就需要在核心網(wǎng)的多種網(wǎng)元上開啟訪問控制，運維復(fù)雜度會大大增加，且有可能影響相關(guān)網(wǎng)元的性能。

圖2 基于核心網(wǎng)防火墻的安全控制示意圖

核心網(wǎng)安全控制的另一種思路，是在核心網(wǎng)引入類似SEPP（Security Edge Protection Proxy）、具備信令代理和安全控制功能的網(wǎng)元，下沉網(wǎng)元只與該網(wǎng)元進(jìn)行直接交互，并由該網(wǎng)元對下沉網(wǎng)元進(jìn)行轉(zhuǎn)發(fā)、路由和業(yè)務(wù)層面的安全控制，降低對公網(wǎng)5GC可能造成的安全影響，具體如圖3所示。

圖3 基于類SEPP新增網(wǎng)元的安全控制示意圖

（2）下沉UPF由運營商維護(hù)

下沉UPF由運營商維護(hù)時，對公網(wǎng)5GC帶來安全影響的可能性相對較低，此時可著重基于承載網(wǎng)做好對下沉UPF在轉(zhuǎn)發(fā)層面的安全控制。

2.4 專網(wǎng)與企業(yè)網(wǎng)間的安全控制

專網(wǎng)網(wǎng)元與企業(yè)網(wǎng)間應(yīng)部署防火墻進(jìn)行安全隔離，對訪問企業(yè)網(wǎng)和訪問專網(wǎng)網(wǎng)元的雙向流量進(jìn)行過濾和管控，具體如圖4所示。

圖4 專網(wǎng)與企業(yè)網(wǎng)間的安全控制示意圖

企業(yè)網(wǎng)同時可根據(jù)實際風(fēng)險情況，按需部署IPS、沙箱、抗DDoS、蜜罐等安全檢測與防護(hù)設(shè)備，以防范來自外部網(wǎng)絡(luò)的攻擊威脅。

2.5 業(yè)務(wù)隔離與切片安全

專網(wǎng)利用網(wǎng)絡(luò)切片、QoS、DNN等技術(shù)為用戶提供不同程度的定制服務(wù)，需要做好相應(yīng)的業(yè)務(wù)隔離和安全管控。

（1）業(yè)務(wù)隔離與資源保障

在無線接入、承載、核心等不同網(wǎng)絡(luò)域，都應(yīng)進(jìn)行業(yè)務(wù)隔離。在無線接入側(cè)，可通過無線資源管理策略和保護(hù)機(jī)制進(jìn)行無線切片間的隔離；對獨立專網(wǎng)中有高隔離需求的用戶，可為其分配專門的頻譜資源。在承載網(wǎng)，可通過VPN、Flex-Slicing、專線等手段實現(xiàn)傳輸路由隔離。在核心網(wǎng)，對安全性要求較高的網(wǎng)元可進(jìn)行專用型部署，并設(shè)置在獨立的物理位置；對安全性要求不高的網(wǎng)元可進(jìn)行共享型部署，并進(jìn)行虛擬資源層的網(wǎng)絡(luò)隔離，限制非授權(quán)的虛擬網(wǎng)元間通信，防止網(wǎng)元共享部署場景下的流量攻擊、敏感數(shù)據(jù)竊取。

在共享資源的保障方面，根據(jù)用戶行業(yè)類型、業(yè)務(wù)特點等特征，綜合采用切片、DNN、5G QoS等措施進(jìn)行保障。同時還應(yīng)對專網(wǎng)進(jìn)行持續(xù)的資源利用率監(jiān)控，并按需提供主備、組pool，以及虛擬資源過載控制、快速自愈等高可靠方案，保障可靠性與可用性安全。

（2）接入控制

對于無線資源，可通過對專網(wǎng)用戶所在區(qū)域的若干小區(qū)配置單獨PLMN（Public Land Mobile Network）或TAC（Tracking Area Code），或通過配置CAG（Closed Access Group）的方式來控制終端的接入。

在企業(yè)網(wǎng)的接入控制上，應(yīng)支持通過EAP擴(kuò)展認(rèn)證架構(gòu)，與企業(yè)網(wǎng)內(nèi)的DN-AAA認(rèn)證系統(tǒng)對終端用戶接入進(jìn)行二次身份認(rèn)證。

切片方面，可根據(jù)切片安全策略，在完成主認(rèn)證后再進(jìn)行切片內(nèi)的認(rèn)證。

（3）切片安全管理

在專網(wǎng)向行業(yè)用戶開放切片管理域能力的過程中，應(yīng)加強(qiáng)對切片管理接口的雙向認(rèn)證、遠(yuǎn)程接入管控，提供保障管理信令機(jī)密性、完整性和抗重放攻擊的能力。

2.6 安全運維

應(yīng)對專網(wǎng)的設(shè)備和組件制定安全配置基線要求，并定期實施基線核查和漏洞掃描作業(yè)，對核查和掃描結(jié)果進(jìn)行處理和管控。

應(yīng)定期對專網(wǎng)各類日志信息和安全事件信息進(jìn)行統(tǒng)一分析審計作業(yè)，至少包括訪問權(quán)限、業(yè)務(wù)和運維操作等方面。

應(yīng)對專網(wǎng)的版本控制、安全策略和配置的實施、變更等維護(hù)操作進(jìn)行管理，防止因配置不當(dāng)或誤操作而導(dǎo)致的運營安全風(fēng)險。

2.7 三類5G專網(wǎng)的安全策略

（1）獨立專網(wǎng)安全策略

獨立專網(wǎng)需要保障獨立5GC的可用性和安全性，同時應(yīng)結(jié)合無線側(cè)的TAC/CAG的準(zhǔn)入控制做好身份認(rèn)證，避免非授權(quán)用戶接入獨立專網(wǎng)。

（2）虛擬專網(wǎng)安全策略

虛擬專網(wǎng)需要從無線接入、承載、核心等各層面進(jìn)行業(yè)務(wù)隔離與資源保障，通過二次認(rèn)證或切片認(rèn)證做好接入控制，并在專網(wǎng)與企業(yè)網(wǎng)之間做有效的安全控制。

（3）部分共享專網(wǎng)安全策略

部分共享專網(wǎng)需要做好用戶接入控制、共享網(wǎng)元的業(yè)務(wù)隔離與資源保障，同時要加強(qiáng)下沉網(wǎng)元的安全防護(hù)、下沉網(wǎng)元與公網(wǎng)5GC間的安全控制、下沉網(wǎng)元與企業(yè)網(wǎng)間的安全控制。

3 結(jié)束語

安全是5G專網(wǎng)全面推廣應(yīng)用的基石，本文分析了5G專網(wǎng)可能存在的安全風(fēng)險，并提出配套安全保障策略，保障5G專網(wǎng)安全可靠的運行。后續(xù)還可基于大網(wǎng)安全能力開放，為5G行業(yè)用戶提供更豐富的差異化安全服務(wù)。