1 概述

隨著5G網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)建設(shè)投資逐步增加。由于5G 單站價(jià)格高、站址密集、傳輸需求大，5G 網(wǎng)絡(luò)的CAPEX巨增。粗略估算，若建設(shè)70萬個(gè)5G基站，投資估算約2 500 億元；若實(shí)現(xiàn)全國覆蓋，至少需要200 萬個(gè)5G 基站，成本將會(huì)更高。同時(shí)5G 網(wǎng)絡(luò)運(yùn)營成本壓力加大，單個(gè)5G 有源天線的最大功耗約為1 100 W，未來有望降低至800～1 000 W，但仍遠(yuǎn)高于現(xiàn)網(wǎng)RRU（約250 W），能耗巨大。此外，5G AAU 與現(xiàn)網(wǎng)2G/3G/4G 無源天線需相互獨(dú)立部署，天面空間更加緊張。整體來看，相同基站規(guī)模下，5G 網(wǎng)絡(luò)的OPEX 也將數(shù)倍于4G網(wǎng)絡(luò)。

因此，以擴(kuò)覆蓋、降成本、一張網(wǎng)為目標(biāo)，開展5G網(wǎng)絡(luò)共建共享，降本增效，提升資產(chǎn)運(yùn)營效率，是大勢所趨，國內(nèi)外均開展了網(wǎng)絡(luò)共建共享的多種嘗試。例如，中國聯(lián)通與中國電信于2019 年簽署《5G 網(wǎng)絡(luò)共建共享框架合作協(xié)議書》，雙方劃定區(qū)域，分區(qū)建設(shè)，各自負(fù)責(zé)在劃定區(qū)域內(nèi)的5G 網(wǎng)絡(luò)建設(shè)相關(guān)工作，誰建設(shè)、誰投資、誰維護(hù)、誰承擔(dān)網(wǎng)絡(luò)運(yùn)營成本。中國移動(dòng)與中國廣電于2021 年訂立有關(guān)5G 共建共享的具體合作協(xié)議，雙方共同建設(shè)700 MHz無線網(wǎng)絡(luò)，中國移動(dòng)向中國廣電有償共享2.6 GHz 網(wǎng)絡(luò)。歐洲沃達(dá)豐將網(wǎng)絡(luò)共享作為其整體策略，英國、西班牙、意大利、澳大利亞均在實(shí)施，共享方式也基本采用在大城市獨(dú)立建設(shè)以保持網(wǎng)絡(luò)建設(shè)和業(yè)務(wù)的獨(dú)立性，在非核心區(qū)域采取網(wǎng)絡(luò)共享，以節(jié)省成本。2020 年3 月，諾基亞攜手Telenor和Telia在丹麥完成了5G MOCN功能的部署。

采用共建共享方式建設(shè)5G網(wǎng)絡(luò)，可以大大節(jié)省投資成本，實(shí)現(xiàn)帶寬翻倍、速率翻倍、覆蓋翻倍。但是共建共享使得雙方的移動(dòng)網(wǎng)絡(luò)由封閉轉(zhuǎn)向開放，帶來了開放性的安全風(fēng)險(xiǎn)。在目前共建共享?xiàng)l件下，存在多種邊界場景，例如跨運(yùn)營商場景、共享與非共享場景，客觀上也使得共建共享面臨諸多安全挑戰(zhàn)。本文將從5G共建共享網(wǎng)絡(luò)架構(gòu)出發(fā)，分析接入網(wǎng)、承載網(wǎng)、核心網(wǎng)、網(wǎng)管系統(tǒng)等由于共建共享帶來的新的安全風(fēng)險(xiǎn)及相應(yīng)的應(yīng)對策略，從而保障共建共享場景下雙方的網(wǎng)絡(luò)安全。

2 共建共享網(wǎng)絡(luò)架構(gòu)

根據(jù)共享方式和共享程度的不同，網(wǎng)絡(luò)共享網(wǎng)絡(luò)架構(gòu)一般分為以下4種：站址共享、MORAN（Multi-Operator Radio Access Network）、MOCN（Multi-Operator Core Network）和GWCN（Gateway Core Network）。

a）站址共享：運(yùn)營商之間只共享物理站址，包括：機(jī)房、鐵塔、電源、天饋系統(tǒng)等。由于站址投資較大，此種方式可對站址資源共享，減少重復(fù)投資，例如中國鐵塔公司負(fù)責(zé)站址基礎(chǔ)設(shè)施的建設(shè)，由其提供給國內(nèi)的運(yùn)營商使用（見圖1）。

圖1 站址共享示意圖

b）MORAN：即分載頻共享模式，僅共享基帶單元和射頻單元，頻率資源、RRM 和服務(wù)部署獨(dú)立。此種共享方式在站址共享的基礎(chǔ)上將無線接入網(wǎng)的主設(shè)備（即基站設(shè)備）也進(jìn)行共享，不同運(yùn)營商在各自所屬載頻上廣播各自的PLMN。此種模式下，承建方和共享方共享站點(diǎn)的基礎(chǔ)設(shè)施或網(wǎng)絡(luò)設(shè)備，但是每個(gè)運(yùn)營商擁有其獨(dú)立的小區(qū)，這些獨(dú)立的小區(qū)稱為分載頻共享小區(qū)，每個(gè)分載頻共享小區(qū)歸屬于一個(gè)運(yùn)營商，組網(wǎng)示意如圖2所示。此共享方式只共享基站內(nèi)部與無線接入資源無關(guān)的模塊，而小區(qū)和頻點(diǎn)不共享。對手機(jī)來說，與基站不共享是一樣的，各個(gè)運(yùn)營商的小區(qū)和頻點(diǎn)獨(dú)立，手機(jī)接入自己的簽約網(wǎng)絡(luò)。所以，MORAN的實(shí)現(xiàn)比較簡單，共享不夠徹底。

圖2 MORAN組網(wǎng)示意圖

c）MOCN：即共載頻共享模式，共享基帶單元和射頻單元，共享頻率資源，共享RRM，統(tǒng)一服務(wù)部署。此種共享方式在MORAN 只共享基站硬件的基礎(chǔ)上，基站內(nèi)部和無線接入資源相關(guān)的最關(guān)鍵模塊，即小區(qū)和頻點(diǎn)也進(jìn)行共享，需要在相同的載頻上同時(shí)廣播不同運(yùn)營商的PLMN。此種模式下，承建方和共享方共享站點(diǎn)的基礎(chǔ)設(shè)施或網(wǎng)絡(luò)設(shè)備，并且也共享小區(qū)載波，這些共享的小區(qū)稱為共載頻共享小區(qū)，每個(gè)共載頻共享小區(qū)同時(shí)歸屬于共建共享的雙方。組網(wǎng)示意如圖3所示，小區(qū)同時(shí)廣播承建方與共享方運(yùn)營商的PLMN網(wǎng)絡(luò)號(hào)，手機(jī)按自己服務(wù)網(wǎng)絡(luò)的PLMN 接入。由于涉及同一基站內(nèi)部的資源分配，因此此種共享方式比較復(fù)雜，但是共享更為深入，對于拓展用戶覆蓋及共享效果更為有益（見圖3）。

d）GWCN，即共享RAN 和部分核心網(wǎng)，此種共享方式在MOCN 的基礎(chǔ)上，共享部分核心網(wǎng)元，共享程度進(jìn)一步加深。但是由于核心網(wǎng)側(cè)存儲(chǔ)著大量運(yùn)營商專有數(shù)據(jù)及用戶數(shù)據(jù)，會(huì)增加運(yùn)營商管理的復(fù)雜程度，同時(shí)核心網(wǎng)共享會(huì)帶來大量網(wǎng)絡(luò)改造和維護(hù)工作，投入產(chǎn)出比降低（見圖4）。

圖3 MOCN組網(wǎng)示意圖

圖4 GWCN組網(wǎng)示意圖

站址共享、MORAN、MOCN 和GWCN 這幾種網(wǎng)絡(luò)共享方式的共享程度依次加深，涉及到容量和性能的規(guī)劃、參數(shù)的修改等問題，共享難度依次加大。

目前，中國電信與中國聯(lián)通5G網(wǎng)絡(luò)共建共享采用5G MOCN 共享網(wǎng)絡(luò)架構(gòu)，無線基站共建共享，核心網(wǎng)獨(dú)立建設(shè)，多個(gè)運(yùn)營商的5G核心網(wǎng)連接到同一個(gè)NGRAN，共享無線接入網(wǎng)絡(luò)，共享無線資源。

3 共建共享安全風(fēng)險(xiǎn)

共建共享雙方共用的基站（不論是NSA 模式還是SA 模式）都通過承載網(wǎng)的互聯(lián)鏈路實(shí)現(xiàn)互通，使雙方的移動(dòng)網(wǎng)絡(luò)由封閉轉(zhuǎn)向開放，帶來了開放性的安全風(fēng)險(xiǎn)。在目前共建共享?xiàng)l件下，存在多種邊界場景，例如跨運(yùn)營商場景、共享與非共享場景，客觀上也使得共建共享面臨諸多安全挑戰(zhàn)。由于5G 網(wǎng)絡(luò)安全涉及內(nèi)容比較多，本文主要分析5G 網(wǎng)絡(luò)共建共享對接入網(wǎng)、承載網(wǎng)、核心網(wǎng)、網(wǎng)管系統(tǒng)等帶來的影響及新的安全風(fēng)險(xiǎn)和安全需求（見圖5）。

圖5 共建共享安全風(fēng)險(xiǎn)示意圖

3.1 接入網(wǎng)安全風(fēng)險(xiǎn)

MOCN 模式下的共建共享，雙方共享無線基站，承建方運(yùn)營商的基站需要與雙方的核心網(wǎng)相連，共享基站帶來的互聯(lián)互通加大了基站對外暴露的可能性，需要雙方制定切實(shí)可行的措施來保障基站的系統(tǒng)安全、物理安全。若雙方的基站的安全加固不一致、不到位，當(dāng)一方基站出現(xiàn)安全問題時(shí)，也會(huì)影響到對方的網(wǎng)絡(luò)。5G 基站通過N2、N3 接口與核心網(wǎng)相連，通過Xn口與其他基站相連。當(dāng)基站共享后，共享基站與其他網(wǎng)元（如UPF、AMF、其他基站）的回傳接口發(fā)生流量竊聽、重放攻擊的可能性加大。

3.2 承載網(wǎng)安全風(fēng)險(xiǎn)

共建共享雙方的承載網(wǎng)互通是共建共享實(shí)現(xiàn)的基礎(chǔ)，承載能否滿足網(wǎng)絡(luò)要求，將直接影響5G 的網(wǎng)絡(luò)質(zhì)量。而承載網(wǎng)互通加大了與異網(wǎng)運(yùn)營商的暴露面，對互通節(jié)點(diǎn)的路由設(shè)備和組件提出了更高的安全要求。

例如互聯(lián)端口故障可能會(huì)引發(fā)鏈路異常進(jìn)而導(dǎo)致承載的基站無法正常運(yùn)行；與業(yè)務(wù)無關(guān)的、不合規(guī)的外部流量通過攻擊互通節(jié)點(diǎn)，并以此作為跳板來實(shí)施跨網(wǎng)攻擊；路由設(shè)備與組件漏洞可能被攻擊者利用，進(jìn)而對設(shè)備實(shí)施網(wǎng)絡(luò)攻擊或入侵，導(dǎo)致設(shè)備系統(tǒng)資源的可用性下降、路由信息泄露，或者異常流量造成網(wǎng)絡(luò)擁塞；共享互通的承載網(wǎng)絡(luò)將面臨成倍的大流量沖擊，容易出現(xiàn)路由過載、負(fù)載不均衡的情況，導(dǎo)致路由節(jié)點(diǎn)、傳輸設(shè)備性能下降，路由擁塞或不可用等風(fēng)險(xiǎn)。

3.3 核心網(wǎng)安全風(fēng)險(xiǎn)

5G 核心網(wǎng)采用控制轉(zhuǎn)發(fā)分離架構(gòu)，實(shí)現(xiàn)了移動(dòng)性管理和會(huì)話管理的獨(dú)立進(jìn)行；同時(shí)存儲(chǔ)用戶的注冊信息，對用戶進(jìn)行接入認(rèn)證和移動(dòng)性管理、會(huì)話管理、策略控制等。5G 核心網(wǎng)是5G 網(wǎng)絡(luò)的大腦，負(fù)責(zé)對整個(gè)網(wǎng)絡(luò)進(jìn)行管理和控制，需要重點(diǎn)進(jìn)行防護(hù)。傳統(tǒng)模式下5G 核心網(wǎng)連接自己的基站，安全性較高，而共建共享后核心網(wǎng)連接承建方的基站，增加了以承建方基站或者承建方承載網(wǎng)為跳板攻擊5G 核心網(wǎng)絡(luò)的風(fēng)險(xiǎn)。需要關(guān)注由于基站共享對AMF、UPF 網(wǎng)元帶來的攻擊以及5G 核心網(wǎng)與共享基站之間回傳鏈路的通信安全風(fēng)險(xiǎn)。

3.4 網(wǎng)管安全風(fēng)險(xiǎn)

為滿足共享方對共享基站的訪問需求，滿足共建共享雙方對網(wǎng)絡(luò)的運(yùn)營管理需求，可以通過反拉終端和雙北向接口開放2種方式，向共享方開放網(wǎng)管能力。網(wǎng)管開放使得共建共享雙方的網(wǎng)管互通，帶來雙方網(wǎng)管域邊界隔離的安全風(fēng)險(xiǎn)和雙方網(wǎng)管的運(yùn)營維護(hù)流量傳輸時(shí)被竊取篡改的安全風(fēng)險(xiǎn)；增加了網(wǎng)管賬號(hào)的開通及賬號(hào)權(quán)限的分配、賬號(hào)的管理的難度；同時(shí)帶來非授權(quán)訪問、越權(quán)訪問對方網(wǎng)管系統(tǒng)的安全風(fēng)險(xiǎn)。

3.5 安全管理風(fēng)險(xiǎn)

共建共享采用雙方聯(lián)合運(yùn)營方式管理網(wǎng)絡(luò)，改變了傳統(tǒng)網(wǎng)絡(luò)各自運(yùn)營的方式，若雙方安全制度不完善、對接流程不清晰、安全要求不一致，當(dāng)突發(fā)安全事件時(shí)可能會(huì)導(dǎo)致安全事件響應(yīng)不及時(shí)、操作聯(lián)動(dòng)效率低、處置不到位的安全風(fēng)險(xiǎn)。

4 共建共享安全策略分析

共建共享涉及承建方和共享方2 個(gè)主體，雙方應(yīng)遵循公平、公正、對等的原則，保證雙方對于網(wǎng)絡(luò)的內(nèi)部操作不影響對方網(wǎng)絡(luò)，同時(shí)雙方應(yīng)共同采取安全措施，保障共建共享網(wǎng)絡(luò)的設(shè)備安全以及5G網(wǎng)絡(luò)的共建共享持續(xù)健康運(yùn)行。結(jié)合第3章分析的共建共享帶來的新的安全風(fēng)險(xiǎn)，本章將從接入網(wǎng)、承載網(wǎng)、核心網(wǎng)、網(wǎng)管以及安全管理5個(gè)方面，分析共建共享場景下，應(yīng)重點(diǎn)關(guān)注的問題及應(yīng)對策略。

4.1 接入網(wǎng)安全策略分析

5G MOCN 網(wǎng)絡(luò)共享架構(gòu)下，主要共享接入基站，因此共建共享雙方應(yīng)關(guān)注共享的基站網(wǎng)元以及共享基站與核心網(wǎng)絡(luò)之間回傳鏈路的安全，需要雙方采取安全措施確保共享基站的安全，且安全加固要求一致。例如加強(qiáng)gNB 與eNB/gNB 的Xn 接口鏈路以及gNB 與5GC 間的N2、N3 等回傳通信接口的安全防護(hù)，按需通過IPSec 進(jìn)行雙向認(rèn)證和加密，提升網(wǎng)絡(luò)可靠性；從賬戶加固、網(wǎng)絡(luò)加固、系統(tǒng)加固、日志審計(jì)、物理安全等方面對共享基站網(wǎng)元進(jìn)行安全加固，同時(shí)雙方的安全加固要求保持一致；通過建立補(bǔ)丁管理與更新流程、安全基線配置核查機(jī)制、新增安全防護(hù)措施等方法強(qiáng)化網(wǎng)元安全性；通過持續(xù)監(jiān)測網(wǎng)絡(luò)負(fù)載和資源、信令優(yōu)化、擁塞接入控制、容災(zāi)備份與負(fù)載均衡，應(yīng)對可能發(fā)生的信令風(fēng)暴和流量攻擊，保障接入網(wǎng)絡(luò)的可靠性與可用性。

4.2 承載網(wǎng)安全策略分析

5G 共建共享主要在承載網(wǎng)實(shí)現(xiàn)互聯(lián)互通，根據(jù)各運(yùn)營商承載網(wǎng)資源分布的差異，按需共享部分承載網(wǎng)路由。共建共享雙方應(yīng)加強(qiáng)對互通對接點(diǎn)的安全防護(hù)，防止業(yè)務(wù)不相關(guān)的流量未經(jīng)授權(quán)訪問己端網(wǎng)絡(luò)，確保網(wǎng)絡(luò)的安全可靠。例如，在互通對接點(diǎn)采用雙節(jié)點(diǎn)口字型互聯(lián)加強(qiáng)承載網(wǎng)絡(luò)健壯性；通過建設(shè)不同的VPN 網(wǎng)絡(luò)、開啟不同的FlexE 切片等方式在承載網(wǎng)內(nèi)提供不同運(yùn)營商業(yè)務(wù)流量間的安全隔離；承載網(wǎng)互通節(jié)點(diǎn)的路由設(shè)備配置嚴(yán)格的訪問控制策略，通過BGP路由控制與過濾、ACL訪問安全策略等，強(qiáng)化路由的訪問安全，防止泄露敏感路由信息；在承載網(wǎng)設(shè)備的管理平面、控制平面、轉(zhuǎn)發(fā)平面，部署一定的安全策略進(jìn)行安全管控，防止業(yè)務(wù)不相關(guān)的流量未經(jīng)授權(quán)訪問承載網(wǎng)，防范承載網(wǎng)可能遭受的攻擊。

4.3 核心網(wǎng)安全策略分析

基站共享會(huì)導(dǎo)致5G 核心網(wǎng)連接其他運(yùn)營商的共享基站，5G 核心網(wǎng)要關(guān)注與共享基站對接的AMF、UPF 等核心網(wǎng)網(wǎng)元的安全防護(hù)，防止由于基站共享引起的未知接入源帶來的安全風(fēng)險(xiǎn)以及承載網(wǎng)互通可能引發(fā)的潛在跨網(wǎng)攻擊威脅。例如，對5G核心網(wǎng)中與基站對接的AMF、UPF 網(wǎng)元，通過路由過濾策略、ACL訪問策略等安全措施，防范異常流量訪問核心網(wǎng)；共享基站與5GC 之間的回傳鏈路（N2、N3 接口）按需開啟IPSec，以保證通信數(shù)據(jù)不被非法篡改。

4.4 網(wǎng)管安全策略分析

由于共享方對于共享基站的運(yùn)行情況有一定需求，從網(wǎng)絡(luò)運(yùn)營的角度考慮，共建共享雙方一般通過反拉終端或開放北向接口等2種方式開放無線網(wǎng)管能力。其中反拉終端方式是指通過部署專線的方式將承建方OMC 網(wǎng)管終端反拉至共享方，實(shí)現(xiàn)5G 網(wǎng)管能力開放。開放北向接口方式是指承建方通過新增開放北向接口的方式，按照共享方的北向接口規(guī)范，將共享網(wǎng)絡(luò)的配置、性能、告警等多類數(shù)據(jù)上報(bào)至共享方。

雙方應(yīng)加強(qiáng)開放能力的OMC 網(wǎng)管的安全管理，做好網(wǎng)管設(shè)備、接口、終端的安全域劃分，明晰安全域邊界，落實(shí)各邊界接入要求及安全策略。例如在網(wǎng)管域外部邊界部署雙防火墻，對安全域邊界進(jìn)行安全隔離，一主一備預(yù)防單點(diǎn)故障，并實(shí)現(xiàn)負(fù)載均衡；在安全域邊界的防火墻上設(shè)置訪問控制規(guī)則，共享方接入只能訪問共享的5G網(wǎng)管，承建方其他網(wǎng)內(nèi)設(shè)備共享方均不可達(dá)；根據(jù)“工作相關(guān)化和權(quán)限最小化”原則，做好無線網(wǎng)管分權(quán)分域的訪問控制策略，基于承建方、共享方的角色管理網(wǎng)管賬號(hào)的訪問控制權(quán)限，承建方網(wǎng)管賬號(hào)具備網(wǎng)管配置、操作權(quán)限，共享方網(wǎng)管賬號(hào)僅有只讀權(quán)限；同時(shí)所有網(wǎng)管的操作維護(hù)流量通過采取傳輸鏈路隔離、加密、容量保障等安全手段加強(qiáng)保護(hù)，以避免在傳輸過程中被篡改或泄露。

4.5 安全管理策略分析

共建共享采用雙方聯(lián)合運(yùn)營方式管理網(wǎng)絡(luò)，改變了傳統(tǒng)網(wǎng)絡(luò)各自運(yùn)營的方式，對于雙方的安全協(xié)作要求較高，需要具備安全事件聯(lián)合處置能力。因此，需要共建共享的雙方共同制定快速有效的安全協(xié)作與響應(yīng)機(jī)制、安全事件處理流程等，明確各種場景下的安全職責(zé)，確保安全攻擊、安全漏洞等事件信息能夠及時(shí)傳遞共享，能夠及時(shí)快速聯(lián)合處置安全事件；同時(shí)能夠?qū)Π踩录ǜ妗踩录治?、安全事件處理等進(jìn)行記錄，為后續(xù)審計(jì)工作提供數(shù)據(jù)，從而最大程度上保障網(wǎng)絡(luò)安全穩(wěn)定，提高協(xié)同效率。

5 結(jié)束語

5G 網(wǎng)絡(luò)共建共享，可以達(dá)到低成本高效建設(shè)5G網(wǎng)絡(luò)的目標(biāo)，是5G 網(wǎng)絡(luò)部署運(yùn)營的新趨勢，其必要性和戰(zhàn)略意義逐漸凸顯。共建共享過程中承建方和共享方需共同開展聯(lián)合攻關(guān)，注重研究、實(shí)踐和總結(jié)多種共建共享場景下的安全風(fēng)險(xiǎn)和應(yīng)對策略，建立常態(tài)化的聯(lián)合優(yōu)化機(jī)制，確保網(wǎng)絡(luò)健康穩(wěn)定運(yùn)行。后續(xù)隨著共建共享合作及研究的不斷加深，可在安全事件感知及告警、共享數(shù)據(jù)安全、MEC/切片等新技術(shù)新業(yè)務(wù)，在共建共享下的安全增強(qiáng)等層面拓寬共建共享的安全研究范圍，不斷探索共建共享安全合作的新模式。