5G網(wǎng)絡(luò)建設(shè)是我國(guó)新型基礎(chǔ)設(shè)施建設(shè)的重要組成部分，黨中央多次作出重要指示批示，提出要加快5G網(wǎng)絡(luò)等新型基礎(chǔ)設(shè)施建設(shè)。工信部在《關(guān)于促進(jìn)網(wǎng)絡(luò)開(kāi)放共享 推動(dòng)5G異網(wǎng)漫游的實(shí)施意見(jiàn)》中指出：“堅(jiān)持科學(xué)實(shí)用、適度超前、厲行節(jié)約，引導(dǎo)電信企業(yè)建立健全異網(wǎng)漫游合作機(jī)制，合理制定5G網(wǎng)絡(luò)規(guī)劃，避免重復(fù)建設(shè)?！?/p>

5G異網(wǎng)漫游可以最大限度地利用已建成的5G網(wǎng)絡(luò)為更廣泛的用戶群體提供服務(wù)，對(duì)貫徹落實(shí)黨中央關(guān)于加快我國(guó)5G新型基礎(chǔ)設(shè)施建設(shè)，促進(jìn)5G網(wǎng)絡(luò)開(kāi)放共享，減少5G網(wǎng)絡(luò)重復(fù)建設(shè)，集約高效地實(shí)現(xiàn)5G網(wǎng)絡(luò)覆蓋和業(yè)務(wù)發(fā)展具有重要意義。5G異網(wǎng)漫游安全是5G異網(wǎng)漫游業(yè)務(wù)順利開(kāi)展的重要保障，本文首先介紹了5G異網(wǎng)漫游組網(wǎng)架構(gòu)、漫游互通接口及安全防護(hù)邊界代理SEPP安全功能，然后分析5G異網(wǎng)漫游安全風(fēng)險(xiǎn)，最后從部署實(shí)施層面提出了相應(yīng)的安全防護(hù)對(duì)策與建議。

5G核心網(wǎng)異網(wǎng)漫游架構(gòu)

5G核心網(wǎng)漫游是指在獨(dú)立組網(wǎng)（SA）方式下，在漫游區(qū)域內(nèi)，歸屬網(wǎng)絡(luò)方用戶通過(guò)接入拜訪網(wǎng)絡(luò)方5G網(wǎng)絡(luò)的方式使用5G業(yè)務(wù)。5G核心網(wǎng)漫游運(yùn)營(yíng)商雙方的5G接入網(wǎng)、核心網(wǎng)獨(dú)立建設(shè)和管理，用戶獨(dú)立管理。5G核心網(wǎng)漫游主要有兩種組網(wǎng)方式，即歸屬地路由（HR，Home Routed）和漫游地路由（LBO，Local Breakout）。歸屬地路由方案如圖1所示，用戶面業(yè)務(wù)流回到歸屬地UPF接入DN。漫游地路由方案如圖2所示，用戶面業(yè)務(wù)流通過(guò)漫游地UPF接入DN，不需要?dú)w屬地網(wǎng)絡(luò)協(xié)助處理。漫游地路由方式雖然具備用戶數(shù)據(jù)傳輸路徑短的優(yōu)點(diǎn)，但是無(wú)法進(jìn)行拜訪地和歸屬地之間的計(jì)費(fèi)對(duì)賬，并且歸屬地?zé)o法了解漫出用戶狀況。

圖1  歸屬地路由組網(wǎng)架構(gòu)

圖2  漫游地路由組網(wǎng)架構(gòu)

5G核心網(wǎng)異網(wǎng)漫游優(yōu)選歸屬地路由方式，漫游用戶的業(yè)務(wù)數(shù)據(jù)回到歸屬網(wǎng)絡(luò)，用戶業(yè)務(wù)由歸屬網(wǎng)絡(luò)處理，向用戶提供業(yè)務(wù)。拜訪運(yùn)營(yíng)商和歸屬運(yùn)營(yíng)商在各自信令面網(wǎng)絡(luò)邊界部署SEPP，實(shí)現(xiàn)信令面數(shù)據(jù)轉(zhuǎn)發(fā)等功能，媒體面通過(guò)UPF進(jìn)行互通，實(shí)現(xiàn)用戶面數(shù)據(jù)轉(zhuǎn)發(fā)功能。漫游互通設(shè)備SEPP和UPF之間可以通過(guò)邊界網(wǎng)關(guān)（BG）進(jìn)行對(duì)接，拜訪運(yùn)營(yíng)商和歸屬運(yùn)營(yíng)商網(wǎng)可在網(wǎng)絡(luò)邊緣部署防火墻設(shè)備。

5G核心網(wǎng)異網(wǎng)漫游互通接口

歸屬地hSEPP與漫游地vSEPP通過(guò)N32接口連接，N32接口分為N32-c接口和N32-f接口。N32-c為SEPP之間的控制面接口，主要完成SEPP之間的握手通信，包括能力協(xié)商和安全參數(shù)交換。N32-f作為SEPP之間的應(yīng)用接口，主要完成跨PLMN的NF之間消息加密/解密和轉(zhuǎn)發(fā)，包含IPX的加密信息轉(zhuǎn)發(fā)和解密。AMF與歸屬地UDM通過(guò)N8接口連接，主要完成獲取接入簽約信息。AMF與歸屬地AUSF通過(guò)N12接口連接，主要進(jìn)行接入鑒權(quán)。漫游地vSMF與歸屬地hSMF通過(guò)N16接口連接，主要進(jìn)行會(huì)話消息傳遞。漫游地vPCF與歸屬地hPCF通過(guò)N24接口連接，主要獲取用戶策略。漫游地vNRF與歸屬地hNRF通過(guò)N27接口連接，主要進(jìn)行跨PLMN的服務(wù)發(fā)現(xiàn)、訂閱、通知等。歸屬地hNSSF與漫游地vNSSF通過(guò)N31接口連接，用于接收來(lái)自歸屬地的網(wǎng)絡(luò)切片規(guī)則。歸屬地UPF與漫游地UPF通過(guò)N9接口互通，業(yè)務(wù)流量通過(guò)N9接口由歸屬地UPF進(jìn)入DN。5G核心網(wǎng)異網(wǎng)漫游互通接口如圖3所示，接口列表如表1所示。

圖3  5G核心網(wǎng)異網(wǎng)漫游互通接口

表 1 5G核心網(wǎng)異網(wǎng)漫游互通接口列表

基于SEPP的安全機(jī)制

SEPP即安全邊界防護(hù)代理，是5G漫游安全架構(gòu)的重要組成部分，是運(yùn)營(yíng)商核心網(wǎng)控制面之間的邊界網(wǎng)關(guān)。SEPP是一個(gè)非透明代理，實(shí)現(xiàn)跨運(yùn)營(yíng)商網(wǎng)絡(luò)中網(wǎng)絡(luò)功能服務(wù)消費(fèi)者與網(wǎng)絡(luò)功能服務(wù)提供者之間的安全通信，負(fù)責(zé)運(yùn)營(yíng)商之間控制平面接口上的消息過(guò)濾和策略管理，提供了網(wǎng)絡(luò)運(yùn)營(yíng)商網(wǎng)間信令的端到端保護(hù)，防范外界獲取運(yùn)營(yíng)商網(wǎng)間的敏感數(shù)據(jù)?；赟EPP的安全機(jī)制主要包括消息過(guò)濾、訪問(wèn)控制和拓?fù)潆[藏。

消息過(guò)濾：在5G漫游過(guò)程中，運(yùn)營(yíng)商需要在其SEPP上對(duì)來(lái)訪的協(xié)議消息進(jìn)行過(guò)濾和控制。

訪問(wèn)控制：SEPP需要實(shí)現(xiàn)對(duì)通信對(duì)端運(yùn)營(yíng)商數(shù)據(jù)的校驗(yàn)，包括判斷消息來(lái)源的真實(shí)性、所請(qǐng)求的信息是否只限于對(duì)端運(yùn)營(yíng)商用戶和本網(wǎng)運(yùn)營(yíng)商用戶等。

拓?fù)潆[藏：漫游場(chǎng)景涉及跨PLMN之間的NF通信，在通信過(guò)程中，為避免對(duì)端PLMN基于FQDN信息，獲取本端的拓?fù)湫畔ⅲ枰猄EPP將所有發(fā)往其他PLMN消息中的本端NF的FQDN進(jìn)行拓?fù)潆[藏。

六大安全風(fēng)險(xiǎn)及安全防護(hù)策略

5G核心網(wǎng)異網(wǎng)漫游存在的安全問(wèn)題主要包括漫游傳輸安全問(wèn)題、跨網(wǎng)網(wǎng)元互訪的安全問(wèn)題、互聯(lián)互通接口安全問(wèn)題、信令面安全問(wèn)題、用戶面數(shù)據(jù)安全問(wèn)題、容災(zāi)安全問(wèn)題等。下面我們將對(duì)各種安全問(wèn)題進(jìn)行詳細(xì)分析及闡述。

漫游傳輸安全問(wèn)題

歸屬網(wǎng)絡(luò)與拜訪網(wǎng)絡(luò)間建立漫游連接時(shí)，若缺乏有效的端到端防護(hù)，攻擊者可借此實(shí)施中間人攻擊，通過(guò)偽造、篡改、竊取連接信令，實(shí)現(xiàn)獲取運(yùn)營(yíng)商網(wǎng)間的敏感數(shù)據(jù)、盜用漫游用戶身份使用業(yè)務(wù)、更改用戶的漫游狀態(tài)、破壞漫游業(yè)務(wù)連續(xù)性等。

針對(duì)漫游傳輸安全風(fēng)險(xiǎn)，應(yīng)部署有效的安全傳輸措施。拜訪網(wǎng)絡(luò)方的SEPP與歸屬網(wǎng)絡(luò)方的SEPP間需要采用TLS傳輸層加密，SEPP間直接建立端到端TLS連接進(jìn)行信令轉(zhuǎn)發(fā)，保證傳輸過(guò)程的完整性和機(jī)密性。

網(wǎng)元互訪安全問(wèn)題

5G采用基于服務(wù)化的SBA架構(gòu)。在服務(wù)化架構(gòu)中，用網(wǎng)絡(luò)功能NF代替了原來(lái)的網(wǎng)元NE，使得每個(gè)網(wǎng)絡(luò)功能可以對(duì)外呈現(xiàn)通用的服務(wù)化接口，這一機(jī)制促使5G網(wǎng)絡(luò)功能可以以非常靈活的方式在網(wǎng)絡(luò)中進(jìn)行部署和管理，但這一機(jī)制也帶來(lái)了新的安全問(wèn)題。如果網(wǎng)絡(luò)中存在非法的NF向特定NF請(qǐng)求敏感數(shù)據(jù)，或者利用合法的網(wǎng)絡(luò)功能實(shí)體去獲取原本不應(yīng)當(dāng)獲取的數(shù)據(jù)，均會(huì)出現(xiàn)信息的不當(dāng)泄露，使得原有的安全機(jī)制無(wú)法對(duì)這種攻擊方式進(jìn)行有效防護(hù)。

針對(duì)跨網(wǎng)網(wǎng)元互訪安全風(fēng)險(xiǎn)，建議部署必要的安全認(rèn)證及網(wǎng)絡(luò)隔離措施。

• 一是網(wǎng)內(nèi)設(shè)備與網(wǎng)外設(shè)備之間連接時(shí)支持相互安全認(rèn)證功能。
• 二是通過(guò)物理或邏輯隔離的方式，對(duì)5G異網(wǎng)漫游網(wǎng)絡(luò)系統(tǒng)的管理、業(yè)務(wù)和存儲(chǔ)3平面進(jìn)行隔離。
• 三是信令面網(wǎng)絡(luò)邊界部署SEPP實(shí)現(xiàn)內(nèi)外網(wǎng)隔離，并邏輯隔離不同的漫游伙伴。
• 四是部署網(wǎng)間互通防火墻，避免在不同安全域間跳轉(zhuǎn)帶來(lái)的安全風(fēng)險(xiǎn)。

互聯(lián)互通接口安全問(wèn)題

5G核心網(wǎng)異網(wǎng)漫游互聯(lián)互通接口信令面主要為N32接口，用戶面主要為N9接口。N32接口實(shí)現(xiàn)不同運(yùn)營(yíng)商間信令路由轉(zhuǎn)發(fā)，若N32接口未采用有效的訪問(wèn)控制機(jī)制，將面臨接口異常訪問(wèn)或權(quán)限濫用等風(fēng)險(xiǎn)，攻擊者可調(diào)用該接口發(fā)送非漫游信令占用接口或者非法請(qǐng)求漫游簽約信息。N9接口主要傳輸用戶面數(shù)據(jù)，也需要必要的安全措施，避免被攻擊者利用對(duì)網(wǎng)絡(luò)進(jìn)行流量攻擊。

針對(duì)漫游互聯(lián)互通接口安全風(fēng)險(xiǎn)，建議部署必要的訪問(wèn)控制措施。

• 一是漫游互聯(lián)互通N32接口采用訪問(wèn)控制機(jī)制，通過(guò)異常調(diào)用限制和權(quán)限控制，避免接口異常訪問(wèn)或權(quán)限濫用等風(fēng)險(xiǎn)。
• 二是SEPP開(kāi)啟協(xié)議控制功能，選擇允許/不允許哪些協(xié)議的報(bào)文進(jìn)入5GC網(wǎng)絡(luò)，以保證5GC網(wǎng)絡(luò)的安全。
• 三是SEPP、UPF、BG開(kāi)啟ACL過(guò)濾功能，可攔截配置的網(wǎng)絡(luò)地址和端口。

核心網(wǎng)安全問(wèn)題

5G異網(wǎng)漫游時(shí)，歸屬網(wǎng)絡(luò)方的用戶在漫游服務(wù)區(qū)域內(nèi)接入拜訪網(wǎng)絡(luò)方的5G網(wǎng)絡(luò)，由拜訪網(wǎng)絡(luò)核心網(wǎng)為漫游用戶提供5G服務(wù)。漫游用戶在漫游共享5G區(qū)域內(nèi)進(jìn)行注冊(cè)、移動(dòng)、業(yè)務(wù)更新時(shí)，都涉及大量信令交互。若信令交互過(guò)程中缺乏有效的安全認(rèn)證、頻率控制等安全機(jī)制，攻擊者通過(guò)偽造虛假漫游請(qǐng)求消息、漫游設(shè)備頻繁上下線等方式，對(duì)拜訪網(wǎng)絡(luò)核心網(wǎng)開(kāi)展DDoS攻擊，將惡意消耗核心網(wǎng)網(wǎng)絡(luò)資源，破壞漫游業(yè)務(wù)甚至影響拜訪網(wǎng)絡(luò)自身網(wǎng)絡(luò)服務(wù)的正常運(yùn)行。

針對(duì)核心網(wǎng)安全風(fēng)險(xiǎn)，建議對(duì)漫游注冊(cè)、去注冊(cè)、加密、認(rèn)證等信令傳輸實(shí)施速率限制功能，避免產(chǎn)生信令風(fēng)暴，造成合法信令交互延遲甚至無(wú)法交互，影響漫游服務(wù)正常運(yùn)行。

信令安全問(wèn)題

5G核心網(wǎng)異網(wǎng)漫游網(wǎng)間信令主要面臨敏感信息泄露、信令欺詐等安全風(fēng)險(xiǎn)。運(yùn)營(yíng)商的部署通常是敏感的，不愿意暴露給其他人。由于網(wǎng)間信令中攜帶全局唯一域名FQDN信息、號(hào)段、IP地址等重要的網(wǎng)絡(luò)信息，若未采用加密、混淆等方式進(jìn)行信息轉(zhuǎn)換、修改或替換，網(wǎng)絡(luò)內(nèi)部拓?fù)涞让舾行畔⒖赡鼙┞督o對(duì)方運(yùn)營(yíng)商。因此，跨運(yùn)營(yíng)商的消息傳輸還需要考慮對(duì)拓?fù)涞刃畔⒏訃?yán)密地隱藏。攻擊者可利用安全漏洞，通過(guò)偽造虛假漫游信令攻擊拜訪網(wǎng)絡(luò)，造成漫游服務(wù)異常中斷。

針對(duì)5G核心網(wǎng)異網(wǎng)漫游網(wǎng)間信令安全風(fēng)險(xiǎn)，建議部署如下安全措施。

• 一是拜訪網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò)應(yīng)部署安全邊緣保護(hù)代理SEPP等信令保護(hù)機(jī)制，以提供異網(wǎng)漫游信令面數(shù)據(jù)互通安全保護(hù)驗(yàn)證。
• 二是信令面網(wǎng)絡(luò)邊界部署SEPP實(shí)現(xiàn)拓?fù)潆[藏，避免全局唯一域名FQDN信息、號(hào)段、IP地址等重要的網(wǎng)絡(luò)信息暴露。
• 三是對(duì)漫游握手等重要過(guò)程提供信令驗(yàn)證機(jī)制，可丟棄格式錯(cuò)誤或信息不匹配的信令消息。
• 四是提供信令反欺詐機(jī)制，基于SEPP局向歸屬的PLMN，與業(yè)務(wù)信令中攜帶的FQDN、PLMN ID等聯(lián)合檢查是否一致。

用戶面數(shù)據(jù)的安全問(wèn)題

在5G核心網(wǎng)異網(wǎng)漫游中，N9接口傳輸?shù)挠脩裘鏀?shù)據(jù)基本為GTP-U數(shù)據(jù)。由于GTP本身存在安全漏洞問(wèn)題，而GTP安全問(wèn)題會(huì)隨著5G網(wǎng)間流量的增長(zhǎng)而增加，因此需要增加額外的安全措施，以保障在N9接口上傳輸?shù)挠脩裘嫦⒌陌踩?，保護(hù)其網(wǎng)絡(luò)免受無(wú)效的PLMN間N9流量的影響。

對(duì)于5G核心網(wǎng)異網(wǎng)漫游用戶面數(shù)據(jù)的安全問(wèn)題，建議在網(wǎng)絡(luò)邊界部署支持用戶面安全網(wǎng)關(guān)功能的UPF，保護(hù)PLMN間用戶面消息，在漫游地網(wǎng)絡(luò)的UPF與歸屬地網(wǎng)絡(luò)的UPF之間的N9接口實(shí)施GTP-U安全。用戶面安全網(wǎng)關(guān)功能具體安全措施包括：用戶面安全網(wǎng)關(guān)必須僅轉(zhuǎn)發(fā)屬于有效PDU會(huì)話的F-TEID的GTP-U數(shù)據(jù)包，并丟棄其他數(shù)據(jù)包；用戶面安全網(wǎng)關(guān)必須丟棄錯(cuò)誤的GTP-U消息。