偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

5G核心網(wǎng)異網(wǎng)漫游安全風(fēng)險(xiǎn)及安全防護(hù)策略

安全
5G異網(wǎng)漫游安全是5G異網(wǎng)漫游業(yè)務(wù)順利開(kāi)展的重要保障,本文首先介紹了5G異網(wǎng)漫游組網(wǎng)架構(gòu)、漫游互通接口及安全防護(hù)邊界代理SEPP安全功能,然后分析5G異網(wǎng)漫游安全風(fēng)險(xiǎn),最后從部署實(shí)施層面提出了相應(yīng)的安全防護(hù)對(duì)策與建議。

5G網(wǎng)絡(luò)建設(shè)是我國(guó)新型基礎(chǔ)設(shè)施建設(shè)的重要組成部分,黨中央多次作出重要指示批示,提出要加快5G網(wǎng)絡(luò)等新型基礎(chǔ)設(shè)施建設(shè)。工信部在《關(guān)于促進(jìn)網(wǎng)絡(luò)開(kāi)放共享 推動(dòng)5G異網(wǎng)漫游的實(shí)施意見(jiàn)》中指出:“堅(jiān)持科學(xué)實(shí)用、適度超前、厲行節(jié)約,引導(dǎo)電信企業(yè)建立健全異網(wǎng)漫游合作機(jī)制,合理制定5G網(wǎng)絡(luò)規(guī)劃,避免重復(fù)建設(shè)?!?/p>

5G異網(wǎng)漫游可以最大限度地利用已建成的5G網(wǎng)絡(luò)為更廣泛的用戶群體提供服務(wù),對(duì)貫徹落實(shí)黨中央關(guān)于加快我國(guó)5G新型基礎(chǔ)設(shè)施建設(shè),促進(jìn)5G網(wǎng)絡(luò)開(kāi)放共享,減少5G網(wǎng)絡(luò)重復(fù)建設(shè),集約高效地實(shí)現(xiàn)5G網(wǎng)絡(luò)覆蓋和業(yè)務(wù)發(fā)展具有重要意義。5G異網(wǎng)漫游安全是5G異網(wǎng)漫游業(yè)務(wù)順利開(kāi)展的重要保障,本文首先介紹了5G異網(wǎng)漫游組網(wǎng)架構(gòu)、漫游互通接口及安全防護(hù)邊界代理SEPP安全功能,然后分析5G異網(wǎng)漫游安全風(fēng)險(xiǎn),最后從部署實(shí)施層面提出了相應(yīng)的安全防護(hù)對(duì)策與建議。

5G核心網(wǎng)異網(wǎng)漫游架構(gòu)

5G核心網(wǎng)漫游是指在獨(dú)立組網(wǎng)(SA)方式下,在漫游區(qū)域內(nèi),歸屬網(wǎng)絡(luò)方用戶通過(guò)接入拜訪網(wǎng)絡(luò)方5G網(wǎng)絡(luò)的方式使用5G業(yè)務(wù)。5G核心網(wǎng)漫游運(yùn)營(yíng)商雙方的5G接入網(wǎng)、核心網(wǎng)獨(dú)立建設(shè)和管理,用戶獨(dú)立管理。5G核心網(wǎng)漫游主要有兩種組網(wǎng)方式,即歸屬地路由(HR,Home Routed)和漫游地路由(LBO,Local Breakout)。歸屬地路由方案如圖1所示,用戶面業(yè)務(wù)流回到歸屬地UPF接入DN。漫游地路由方案如圖2所示,用戶面業(yè)務(wù)流通過(guò)漫游地UPF接入DN,不需要?dú)w屬地網(wǎng)絡(luò)協(xié)助處理。漫游地路由方式雖然具備用戶數(shù)據(jù)傳輸路徑短的優(yōu)點(diǎn),但是無(wú)法進(jìn)行拜訪地和歸屬地之間的計(jì)費(fèi)對(duì)賬,并且歸屬地?zé)o法了解漫出用戶狀況。

image.png

圖1  歸屬地路由組網(wǎng)架構(gòu)

image.png

圖2  漫游地路由組網(wǎng)架構(gòu)

5G核心網(wǎng)異網(wǎng)漫游優(yōu)選歸屬地路由方式,漫游用戶的業(yè)務(wù)數(shù)據(jù)回到歸屬網(wǎng)絡(luò),用戶業(yè)務(wù)由歸屬網(wǎng)絡(luò)處理,向用戶提供業(yè)務(wù)。拜訪運(yùn)營(yíng)商和歸屬運(yùn)營(yíng)商在各自信令面網(wǎng)絡(luò)邊界部署SEPP,實(shí)現(xiàn)信令面數(shù)據(jù)轉(zhuǎn)發(fā)等功能,媒體面通過(guò)UPF進(jìn)行互通,實(shí)現(xiàn)用戶面數(shù)據(jù)轉(zhuǎn)發(fā)功能。漫游互通設(shè)備SEPP和UPF之間可以通過(guò)邊界網(wǎng)關(guān)(BG)進(jìn)行對(duì)接,拜訪運(yùn)營(yíng)商和歸屬運(yùn)營(yíng)商網(wǎng)可在網(wǎng)絡(luò)邊緣部署防火墻設(shè)備。

5G核心網(wǎng)異網(wǎng)漫游互通接口

歸屬地hSEPP與漫游地vSEPP通過(guò)N32接口連接,N32接口分為N32-c接口和N32-f接口。N32-c為SEPP之間的控制面接口,主要完成SEPP之間的握手通信,包括能力協(xié)商和安全參數(shù)交換。N32-f作為SEPP之間的應(yīng)用接口,主要完成跨PLMN的NF之間消息加密/解密和轉(zhuǎn)發(fā),包含IPX的加密信息轉(zhuǎn)發(fā)和解密。AMF與歸屬地UDM通過(guò)N8接口連接,主要完成獲取接入簽約信息。AMF與歸屬地AUSF通過(guò)N12接口連接,主要進(jìn)行接入鑒權(quán)。漫游地vSMF與歸屬地hSMF通過(guò)N16接口連接,主要進(jìn)行會(huì)話消息傳遞。漫游地vPCF與歸屬地hPCF通過(guò)N24接口連接,主要獲取用戶策略。漫游地vNRF與歸屬地hNRF通過(guò)N27接口連接,主要進(jìn)行跨PLMN的服務(wù)發(fā)現(xiàn)、訂閱、通知等。歸屬地hNSSF與漫游地vNSSF通過(guò)N31接口連接,用于接收來(lái)自歸屬地的網(wǎng)絡(luò)切片規(guī)則。歸屬地UPF與漫游地UPF通過(guò)N9接口互通,業(yè)務(wù)流量通過(guò)N9接口由歸屬地UPF進(jìn)入DN。5G核心網(wǎng)異網(wǎng)漫游互通接口如圖3所示,接口列表如表1所示。

image.png

圖3  5G核心網(wǎng)異網(wǎng)漫游互通接口

表 1 5G核心網(wǎng)異網(wǎng)漫游互通接口列表

image.png

基于SEPP的安全機(jī)制

SEPP即安全邊界防護(hù)代理,是5G漫游安全架構(gòu)的重要組成部分,是運(yùn)營(yíng)商核心網(wǎng)控制面之間的邊界網(wǎng)關(guān)。SEPP是一個(gè)非透明代理,實(shí)現(xiàn)跨運(yùn)營(yíng)商網(wǎng)絡(luò)中網(wǎng)絡(luò)功能服務(wù)消費(fèi)者與網(wǎng)絡(luò)功能服務(wù)提供者之間的安全通信,負(fù)責(zé)運(yùn)營(yíng)商之間控制平面接口上的消息過(guò)濾和策略管理,提供了網(wǎng)絡(luò)運(yùn)營(yíng)商網(wǎng)間信令的端到端保護(hù),防范外界獲取運(yùn)營(yíng)商網(wǎng)間的敏感數(shù)據(jù)?;赟EPP的安全機(jī)制主要包括消息過(guò)濾、訪問(wèn)控制和拓?fù)潆[藏。

消息過(guò)濾:在5G漫游過(guò)程中,運(yùn)營(yíng)商需要在其SEPP上對(duì)來(lái)訪的協(xié)議消息進(jìn)行過(guò)濾和控制。

訪問(wèn)控制:SEPP需要實(shí)現(xiàn)對(duì)通信對(duì)端運(yùn)營(yíng)商數(shù)據(jù)的校驗(yàn),包括判斷消息來(lái)源的真實(shí)性、所請(qǐng)求的信息是否只限于對(duì)端運(yùn)營(yíng)商用戶和本網(wǎng)運(yùn)營(yíng)商用戶等。

拓?fù)潆[藏:漫游場(chǎng)景涉及跨PLMN之間的NF通信,在通信過(guò)程中,為避免對(duì)端PLMN基于FQDN信息,獲取本端的拓?fù)湫畔ⅲ枰猄EPP將所有發(fā)往其他PLMN消息中的本端NF的FQDN進(jìn)行拓?fù)潆[藏。

六大安全風(fēng)險(xiǎn)及安全防護(hù)策略

5G核心網(wǎng)異網(wǎng)漫游存在的安全問(wèn)題主要包括漫游傳輸安全問(wèn)題、跨網(wǎng)網(wǎng)元互訪的安全問(wèn)題、互聯(lián)互通接口安全問(wèn)題、信令面安全問(wèn)題、用戶面數(shù)據(jù)安全問(wèn)題、容災(zāi)安全問(wèn)題等。下面我們將對(duì)各種安全問(wèn)題進(jìn)行詳細(xì)分析及闡述。

漫游傳輸安全問(wèn)題

歸屬網(wǎng)絡(luò)與拜訪網(wǎng)絡(luò)間建立漫游連接時(shí),若缺乏有效的端到端防護(hù),攻擊者可借此實(shí)施中間人攻擊,通過(guò)偽造、篡改、竊取連接信令,實(shí)現(xiàn)獲取運(yùn)營(yíng)商網(wǎng)間的敏感數(shù)據(jù)、盜用漫游用戶身份使用業(yè)務(wù)、更改用戶的漫游狀態(tài)、破壞漫游業(yè)務(wù)連續(xù)性等。

針對(duì)漫游傳輸安全風(fēng)險(xiǎn),應(yīng)部署有效的安全傳輸措施。拜訪網(wǎng)絡(luò)方的SEPP與歸屬網(wǎng)絡(luò)方的SEPP間需要采用TLS傳輸層加密,SEPP間直接建立端到端TLS連接進(jìn)行信令轉(zhuǎn)發(fā),保證傳輸過(guò)程的完整性和機(jī)密性。

網(wǎng)元互訪安全問(wèn)題

5G采用基于服務(wù)化的SBA架構(gòu)。在服務(wù)化架構(gòu)中,用網(wǎng)絡(luò)功能NF代替了原來(lái)的網(wǎng)元NE,使得每個(gè)網(wǎng)絡(luò)功能可以對(duì)外呈現(xiàn)通用的服務(wù)化接口,這一機(jī)制促使5G網(wǎng)絡(luò)功能可以以非常靈活的方式在網(wǎng)絡(luò)中進(jìn)行部署和管理,但這一機(jī)制也帶來(lái)了新的安全問(wèn)題。如果網(wǎng)絡(luò)中存在非法的NF向特定NF請(qǐng)求敏感數(shù)據(jù),或者利用合法的網(wǎng)絡(luò)功能實(shí)體去獲取原本不應(yīng)當(dāng)獲取的數(shù)據(jù),均會(huì)出現(xiàn)信息的不當(dāng)泄露,使得原有的安全機(jī)制無(wú)法對(duì)這種攻擊方式進(jìn)行有效防護(hù)。

針對(duì)跨網(wǎng)網(wǎng)元互訪安全風(fēng)險(xiǎn),建議部署必要的安全認(rèn)證及網(wǎng)絡(luò)隔離措施。

  • 一是網(wǎng)內(nèi)設(shè)備與網(wǎng)外設(shè)備之間連接時(shí)支持相互安全認(rèn)證功能。
  • 二是通過(guò)物理或邏輯隔離的方式,對(duì)5G異網(wǎng)漫游網(wǎng)絡(luò)系統(tǒng)的管理、業(yè)務(wù)和存儲(chǔ)3平面進(jìn)行隔離。
  • 三是信令面網(wǎng)絡(luò)邊界部署SEPP實(shí)現(xiàn)內(nèi)外網(wǎng)隔離,并邏輯隔離不同的漫游伙伴。
  • 四是部署網(wǎng)間互通防火墻,避免在不同安全域間跳轉(zhuǎn)帶來(lái)的安全風(fēng)險(xiǎn)。

互聯(lián)互通接口安全問(wèn)題

5G核心網(wǎng)異網(wǎng)漫游互聯(lián)互通接口信令面主要為N32接口,用戶面主要為N9接口。N32接口實(shí)現(xiàn)不同運(yùn)營(yíng)商間信令路由轉(zhuǎn)發(fā),若N32接口未采用有效的訪問(wèn)控制機(jī)制,將面臨接口異常訪問(wèn)或權(quán)限濫用等風(fēng)險(xiǎn),攻擊者可調(diào)用該接口發(fā)送非漫游信令占用接口或者非法請(qǐng)求漫游簽約信息。N9接口主要傳輸用戶面數(shù)據(jù),也需要必要的安全措施,避免被攻擊者利用對(duì)網(wǎng)絡(luò)進(jìn)行流量攻擊。

針對(duì)漫游互聯(lián)互通接口安全風(fēng)險(xiǎn),建議部署必要的訪問(wèn)控制措施。

  • 一是漫游互聯(lián)互通N32接口采用訪問(wèn)控制機(jī)制,通過(guò)異常調(diào)用限制和權(quán)限控制,避免接口異常訪問(wèn)或權(quán)限濫用等風(fēng)險(xiǎn)。
  • 二是SEPP開(kāi)啟協(xié)議控制功能,選擇允許/不允許哪些協(xié)議的報(bào)文進(jìn)入5GC網(wǎng)絡(luò),以保證5GC網(wǎng)絡(luò)的安全。
  • 三是SEPP、UPF、BG開(kāi)啟ACL過(guò)濾功能,可攔截配置的網(wǎng)絡(luò)地址和端口。

核心網(wǎng)安全問(wèn)題

5G異網(wǎng)漫游時(shí),歸屬網(wǎng)絡(luò)方的用戶在漫游服務(wù)區(qū)域內(nèi)接入拜訪網(wǎng)絡(luò)方的5G網(wǎng)絡(luò),由拜訪網(wǎng)絡(luò)核心網(wǎng)為漫游用戶提供5G服務(wù)。漫游用戶在漫游共享5G區(qū)域內(nèi)進(jìn)行注冊(cè)、移動(dòng)、業(yè)務(wù)更新時(shí),都涉及大量信令交互。若信令交互過(guò)程中缺乏有效的安全認(rèn)證、頻率控制等安全機(jī)制,攻擊者通過(guò)偽造虛假漫游請(qǐng)求消息、漫游設(shè)備頻繁上下線等方式,對(duì)拜訪網(wǎng)絡(luò)核心網(wǎng)開(kāi)展DDoS攻擊,將惡意消耗核心網(wǎng)網(wǎng)絡(luò)資源,破壞漫游業(yè)務(wù)甚至影響拜訪網(wǎng)絡(luò)自身網(wǎng)絡(luò)服務(wù)的正常運(yùn)行。

針對(duì)核心網(wǎng)安全風(fēng)險(xiǎn),建議對(duì)漫游注冊(cè)、去注冊(cè)、加密、認(rèn)證等信令傳輸實(shí)施速率限制功能,避免產(chǎn)生信令風(fēng)暴,造成合法信令交互延遲甚至無(wú)法交互,影響漫游服務(wù)正常運(yùn)行。

信令安全問(wèn)題

5G核心網(wǎng)異網(wǎng)漫游網(wǎng)間信令主要面臨敏感信息泄露、信令欺詐等安全風(fēng)險(xiǎn)。運(yùn)營(yíng)商的部署通常是敏感的,不愿意暴露給其他人。由于網(wǎng)間信令中攜帶全局唯一域名FQDN信息、號(hào)段、IP地址等重要的網(wǎng)絡(luò)信息,若未采用加密、混淆等方式進(jìn)行信息轉(zhuǎn)換、修改或替換,網(wǎng)絡(luò)內(nèi)部拓?fù)涞让舾行畔⒖赡鼙┞督o對(duì)方運(yùn)營(yíng)商。因此,跨運(yùn)營(yíng)商的消息傳輸還需要考慮對(duì)拓?fù)涞刃畔⒏訃?yán)密地隱藏。攻擊者可利用安全漏洞,通過(guò)偽造虛假漫游信令攻擊拜訪網(wǎng)絡(luò),造成漫游服務(wù)異常中斷。

針對(duì)5G核心網(wǎng)異網(wǎng)漫游網(wǎng)間信令安全風(fēng)險(xiǎn),建議部署如下安全措施。

  • 一是拜訪網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò)應(yīng)部署安全邊緣保護(hù)代理SEPP等信令保護(hù)機(jī)制,以提供異網(wǎng)漫游信令面數(shù)據(jù)互通安全保護(hù)驗(yàn)證。
  • 二是信令面網(wǎng)絡(luò)邊界部署SEPP實(shí)現(xiàn)拓?fù)潆[藏,避免全局唯一域名FQDN信息、號(hào)段、IP地址等重要的網(wǎng)絡(luò)信息暴露。
  • 三是對(duì)漫游握手等重要過(guò)程提供信令驗(yàn)證機(jī)制,可丟棄格式錯(cuò)誤或信息不匹配的信令消息。
  • 四是提供信令反欺詐機(jī)制,基于SEPP局向歸屬的PLMN,與業(yè)務(wù)信令中攜帶的FQDN、PLMN ID等聯(lián)合檢查是否一致。

用戶面數(shù)據(jù)的安全問(wèn)題

在5G核心網(wǎng)異網(wǎng)漫游中,N9接口傳輸?shù)挠脩裘鏀?shù)據(jù)基本為GTP-U數(shù)據(jù)。由于GTP本身存在安全漏洞問(wèn)題,而GTP安全問(wèn)題會(huì)隨著5G網(wǎng)間流量的增長(zhǎng)而增加,因此需要增加額外的安全措施,以保障在N9接口上傳輸?shù)挠脩裘嫦⒌陌踩?,保護(hù)其網(wǎng)絡(luò)免受無(wú)效的PLMN間N9流量的影響。

對(duì)于5G核心網(wǎng)異網(wǎng)漫游用戶面數(shù)據(jù)的安全問(wèn)題,建議在網(wǎng)絡(luò)邊界部署支持用戶面安全網(wǎng)關(guān)功能的UPF,保護(hù)PLMN間用戶面消息,在漫游地網(wǎng)絡(luò)的UPF與歸屬地網(wǎng)絡(luò)的UPF之間的N9接口實(shí)施GTP-U安全。用戶面安全網(wǎng)關(guān)功能具體安全措施包括:用戶面安全網(wǎng)關(guān)必須僅轉(zhuǎn)發(fā)屬于有效PDU會(huì)話的F-TEID的GTP-U數(shù)據(jù)包,并丟棄其他數(shù)據(jù)包;用戶面安全網(wǎng)關(guān)必須丟棄錯(cuò)誤的GTP-U消息。

責(zé)任編輯:未麗燕 來(lái)源: 通信世界全媒體
相關(guān)推薦

2022-03-30 05:51:47

5G5GC網(wǎng)絡(luò)安全

2023-06-26 23:39:35

5G運(yùn)營(yíng)商

2021-11-18 09:46:59

5G5G網(wǎng)絡(luò)異網(wǎng)漫游

2023-02-15 16:48:17

DPU5G云原生

2021-03-10 21:43:11

5G核心網(wǎng)

2020-06-24 08:43:29

5G核心網(wǎng)通信

2020-09-11 08:39:14

公有云5G核心網(wǎng)

2019-10-14 16:46:48

5G移動(dòng)通信架構(gòu)

2012-12-12 10:39:20

2017-04-05 15:04:32

5G4G架構(gòu)

2021-12-12 22:32:06

5G運(yùn)營(yíng)商漫游

2020-07-13 07:58:18

5G網(wǎng)絡(luò)技術(shù)

2018-09-27 14:10:55

5G網(wǎng)絡(luò)5GC

2021-04-16 10:26:32

5G運(yùn)營(yíng)商網(wǎng)絡(luò)

2020-12-24 15:45:30

5G/網(wǎng)絡(luò)安全

2021-12-23 15:33:25

5G通信行業(yè)標(biāo)準(zhǔn)

2011-03-23 15:44:50

2019-11-19 17:19:42

5G安全漏洞指南

2022-06-09 12:01:51

Wi-Fi協(xié)議無(wú)線局域網(wǎng)

2010-09-26 16:19:18

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)