眾所周知，5G時代，迎接我們的是一個萬物互聯(lián)的世界。隨著物聯(lián)網(wǎng)的不斷發(fā)展，越來越多的設備需要接入5G網(wǎng)絡，但這也意味著這些設備將會成為被不法分子攻擊的潛在目標。你可曾想過，在物聯(lián)網(wǎng)時代，病毒有可能感染正在行駛的汽車，感染正在使用的智能家居設備....當海量終端通過傳輸網(wǎng)接入核心網(wǎng)時，誰來保證5G核心網(wǎng)(5GC)的安全?

5GC威脅分析

上述場景也許只是5GC安全威脅的一個縮影。5GC基于云化架構(gòu)，通過引入虛擬化技術實現(xiàn)了軟件與硬件的解耦，并通過NFV技術，將虛擬化網(wǎng)元部署在云化的基礎設施上，不再使用專有通信硬件平臺。因此，原先認為安全的物理環(huán)境已經(jīng)變得不安全。

• 在基礎設施層(NFVI)，除了傳統(tǒng)的物理安全隱患，虛擬化的安全威脅更值得注意，例如病毒木馬攻擊虛擬化云平臺、濫用虛擬資源、惡意破壞虛機及鏡像等。
• 在網(wǎng)元功能層(VNFs)，存在非法用戶接入網(wǎng)絡、對網(wǎng)元間通信數(shù)據(jù)的監(jiān)聽和篡改、針對漫游用戶的流量欺詐等攻擊。
• 在管理和編排層(MANO)，存在針對管理平面的安全威脅，包括非法用戶訪問、內(nèi)部人員的惡意操作、權(quán)限濫用攻擊、個人數(shù)據(jù)隱私暴露等。

既然5GC存在諸多潛在的隱患，不法分子或者黑客豈不是可以肆意妄為?No way!

5GC安全架構(gòu)

針對上述威脅，提出了基于5G安全規(guī)范的5GC安全架構(gòu)。

這個安全架構(gòu)看上去挺復雜啊!

接下來，小編就帶你從如下5個層面解讀5GC安全架構(gòu)。

如果把5GC網(wǎng)絡比作全國的公路網(wǎng)，網(wǎng)絡中的數(shù)據(jù)比作通行的車輛。我們可以簡單地將5GC安全架構(gòu)的幾個層面簡單地做個類比。

(1) 接入安全

接入安全就像車管所負責車輛年檢，只有符合安全要求的車輛才能上路。類似地，當各類用戶設備(UE)通過基站(NR)接入5G核心網(wǎng)時，5G核心網(wǎng)會對用戶設備進行接入認證、訪問控制等，并在數(shù)據(jù)傳輸過程中進行數(shù)據(jù)加密和完整性保護。

在5GC系統(tǒng)中，通過雙向認證方式，確保接入設備接入真實安全的5G核心網(wǎng)，杜絕接入“假基站”，同時通過UDM和AUSF對接入設備進行鑒權(quán)認證。對于3GPP接入和非3GPP接入，采用統(tǒng)一的接入流程和認證方式，并支持EPS-AKA、5G-AKA、EAP-AKA’等多種不同的認證方法。5G鑒權(quán)過程增強了歸屬網(wǎng)的控制，防止拜訪網(wǎng)中可能存在的欺詐。

(2) 網(wǎng)絡安全

5GC網(wǎng)絡通過劃分不同的網(wǎng)絡平面，傳輸不同類型的數(shù)據(jù)，從而實現(xiàn)網(wǎng)絡安全。某一網(wǎng)絡平面的數(shù)據(jù)不會跑到其他網(wǎng)絡平面。這就類似于城市之間有高速公路和國道省道、城市內(nèi)部有BRT專用車道，體現(xiàn)了分類管理的價值。

(3) 管理安全

管理安全就像交通管理局提供的功能：管理交通并服務于廣大車輛。不同區(qū)域的交警負責所在片區(qū)的交通安全。類似地，5GC NF通過MANO進行管理和編排。MANO支持分權(quán)分域的安全管理場景。

• 分權(quán)管理：為不同級別的用戶提供不同的操作權(quán)限，以達到可見/不可見、可管理/不可管理的目的。在系統(tǒng)中，權(quán)就是操作集，系統(tǒng)有默認的操作集，包括安全管理員、管理員、操作員、監(jiān)控員、維護員，也可以自定義操作集。
• 分域管理：集中控制節(jié)點的數(shù)據(jù)或操作維護功能，按管理域，劃分成多個虛擬管理實體，實現(xiàn)不同域的用戶管理。系統(tǒng)支持地域(行政區(qū)域)、業(yè)務域(廠商、專業(yè)、網(wǎng)元類型)、資源池(資源池以及資源池下的租戶)的域維度。

(4) 能力開放安全

5GC支持網(wǎng)絡能力開放，通過能力開放接口將網(wǎng)絡能力開放給第三方應用，以便第三方按照各自的需求設計定制化的網(wǎng)絡服務。能力開放安全著眼于開放接口的安全防護，使用安全的協(xié)議規(guī)范。當?shù)谌接脩粼O備通過API接入時，需要進行認證。

(5) 數(shù)據(jù)安全

5G時代的數(shù)據(jù)具有數(shù)據(jù)量大、數(shù)據(jù)種類多、暴露面廣等特點，因此建立5GC數(shù)據(jù)安全體系從而保護5G數(shù)據(jù)的安全性顯得至關重要。5GC數(shù)據(jù)安全體系基于數(shù)據(jù)最小化、匿名化、加密傳輸、訪問控制的數(shù)據(jù)保護原則建立。

服務化架構(gòu)安全

由于5GC采用服務化架構(gòu)，針對全新服務化架構(gòu)帶來的安全風險，5GC安全架構(gòu)采用完善的服務注冊、發(fā)現(xiàn)、授權(quán)安全機制來保障服務化安全。

• 在NF注冊和發(fā)現(xiàn)流程中，NRF和NF間采用雙向認證方式。在NRF和NF認證成功后，NRF判定NF是否被授權(quán)執(zhí)行注冊和發(fā)現(xiàn)流程。

• 在非漫游場景下，即同一PLMN內(nèi)時，5G核心網(wǎng)控制面中的各NF之間采用基于Token的授權(quán)機制，NF業(yè)務訪問者在訪問業(yè)務API之前需要進行認證。
• 在漫游場景中，即不同PLMN之間的NF授權(quán)時，拜訪地的vNRF和歸屬地的hNRF需要做雙向認證。

虛擬化平臺安全

虛擬化平臺提供所有5G核心網(wǎng)NF的部署、管理和執(zhí)行環(huán)境。為了實現(xiàn)虛擬化平臺安全，Hypervisor發(fā)揮了重要作用：

• Hypervisor統(tǒng)一管理物理資源，保證每個虛擬機都能獲得相對獨立的計算資源，并實現(xiàn)物理資源與虛擬資源的隔離。
• 虛擬機所有的I/O操作都會由Hypervisor截獲處理，Hypervisor保證虛擬機只能訪問分給該虛擬機的物理磁盤，實現(xiàn)不同虛擬機硬盤的隔離。
• Hypervisor還負責調(diào)度vCPU的上下文切換，使虛擬機操作系統(tǒng)和應用程序運行在不同的指令級別(Ring)上，保證了操作系統(tǒng)與應用程序之間的隔離。

對于用戶而言，通過配置不同的VDC，實現(xiàn)虛擬機之間的通信隔離。通過配置安全組，終端用戶可自行控制虛擬機互通和隔離關系，以增強虛擬機的安全性。

結(jié)束語

現(xiàn)在，你知道5G核心網(wǎng)的安全是如何保障的吧。中興通訊提出的5GC安全架構(gòu)，從接入安全、網(wǎng)絡安全、管理安全、數(shù)據(jù)安全、能力開放安全等方面，保障5GC網(wǎng)絡安全，大大降低諸如用戶設備非法接入、網(wǎng)元間通信數(shù)據(jù)泄露等安全威脅。此外，對于多接入邊緣計算(MEC)場景，中興通訊通過提出MEC安全架構(gòu)和方案，保障MEC場景下的核心網(wǎng)安全。