陳彬

【摘要】? ? 隨著我國社會經(jīng)濟的不斷發(fā)展，人們的生活水在不斷的提高，互聯(lián)網(wǎng)逐漸成為了人們生活與工作不可或缺的一部分，為了滿足人們?nèi)找嬖鲩L的需求，互聯(lián)網(wǎng)近年來也在不斷的朝著5G網(wǎng)絡(luò)時代發(fā)展。各大通信運營商為了搶占市場，在5G信息網(wǎng)絡(luò)中投入了大量的資源進行建設(shè)和研究，其中5G網(wǎng)的核心就是組網(wǎng)方案和技術(shù)演變，核心網(wǎng)安全技術(shù)對于5G信息時代來說具有重要的意義和價值。本文將針對5G核心網(wǎng)安全技術(shù)展開相關(guān)的討論分析。

【關(guān)鍵詞】? ? 5G? ? 核心網(wǎng)? ? 安全技術(shù)? ? 探討

網(wǎng)絡(luò)安全技術(shù)一直以來就是網(wǎng)絡(luò)建設(shè)中的難點和重點，尤其是在5G網(wǎng)絡(luò)全面普及的今天，核心網(wǎng)的安全更加重要，在互聯(lián)網(wǎng)網(wǎng)絡(luò)搭建的過程中，核心網(wǎng)的安全性面臨著巨大的挑戰(zhàn)，為了確保5G網(wǎng)絡(luò)和信網(wǎng)的安全，必須要從專業(yè)的技術(shù)角度進行分析驗證，成功地解決5G核心網(wǎng)安全問題。5G網(wǎng)絡(luò)是目前最為先進的數(shù)據(jù)搭載工具對核心網(wǎng)有更高的要求，然而目前的5G網(wǎng)絡(luò)想要達到理想中的效果，實現(xiàn)商業(yè)化的應(yīng)用，必須要對5G核心網(wǎng)進行全面的開發(fā)和應(yīng)用。

一、5G核心網(wǎng)介紹

傳統(tǒng)的網(wǎng)元是一種軟硬件緊密耦合的黑盒設(shè)計。引入虛擬化后，軟硬件實現(xiàn)了解耦。從此，硬件可以擺脫專用設(shè)備的束縛，使用通用服務(wù)器，大大降低了成本。同時，軟件不再關(guān)注底層硬件，可擴展性大大提高。然而，這樣的軟件仍然是一個單一的結(jié)構(gòu)。如果你只想升級或擴展一個內(nèi)部模塊，你必須扣動扳機并移動整個身體，這一點都不靈活。因此，專家們借鑒it系統(tǒng)中微服務(wù)的體系結(jié)構(gòu)，將大型的單個軟件進一步分解為若干個小型的模塊化組件，稱之為網(wǎng)絡(luò)功能服務(wù)。它們具有高度的獨立性和自治性，通過開放的接口相互通信，可以組合成構(gòu)建塊等大型網(wǎng)絡(luò)功能，提高業(yè)務(wù)部署的靈活性和靈活性[1]。

二、5G核心網(wǎng)接入安全分析

在5G核心網(wǎng)當中，接入安全包括UE、接入網(wǎng)及核心網(wǎng)三個組成，為了確保5G核心網(wǎng)的接入安全，最好是使用多重保護機制。訪問安全的體系結(jié)構(gòu)圖，它通過網(wǎng)絡(luò)和用戶之間的雙向認證來確保網(wǎng)絡(luò)和用戶之間的信任。5G核心網(wǎng)數(shù)據(jù)加密主要是EAP-AKA認證法，適用于業(yè)界的所有主流加密，能夠確保數(shù)據(jù)完整性。當UE需要進行訪問時，則應(yīng)當根據(jù)其需要建立IPSec/sslvpn通道，以確保數(shù)據(jù)能夠安全傳輸，并對傳輸數(shù)據(jù)進行安全監(jiān)控。如果沒有官方許可，則不允許普通用戶訪問[2]。

三、5G核心網(wǎng)安全威脅分析

3.1 CS域安全威脅分析

電路安全域是CS域的核心，當其發(fā)生故障時，會直接對運行商的服務(wù)造成影響，嚴重時會導(dǎo)致業(yè)務(wù)供應(yīng)停止。5G核心網(wǎng)中的電路安全域主要是由信令網(wǎng)和承載網(wǎng)組成，其中信令網(wǎng)的安全性高于承載網(wǎng)。電路安全域網(wǎng)絡(luò)主要是由TDM、ATM和IP中的兩種或兩種以上網(wǎng)絡(luò)組成。對于TDM和ATM網(wǎng)絡(luò)，由于其屬于專用網(wǎng)或直接點對點網(wǎng)，安全威脅較小。

3.2Gom域安全威脅分析

GOM域的安全威脅主要來源于系統(tǒng)平臺的密碼攻擊、IP欺騙木馬程序、蠕蟲病毒等攻擊。安全域外部會出現(xiàn)竊聽、欺騙都方式來換取數(shù)據(jù)或篡改數(shù)據(jù)的異常情況，由于賬號和密碼管理的不安全性，維護界面的攻擊與GOM域相同[3]。

3.3 PS域安全威脅分析

PS域安全威脅主要是因為受到GP/GN及外部網(wǎng)絡(luò)的攻擊，而且前者是最容易受到攻擊和入侵的地方，設(shè)備也是最容易受到攻擊的位置，常出現(xiàn)的威脅是拒絕服務(wù)攻擊，拒絕服務(wù)攻擊會出現(xiàn)大量數(shù)據(jù)表發(fā)送到網(wǎng)關(guān)的情況，通過利用大量的數(shù)據(jù)表來侵占網(wǎng)關(guān)帶寬，進而對服務(wù)器正常運行產(chǎn)生影響。次攻擊還會導(dǎo)致DNS服務(wù)起及GIP數(shù)據(jù)出現(xiàn)溢出的情況，導(dǎo)致DNS服務(wù)器處于高頻運載中，最終無法順利工作。

四、5G核心網(wǎng)安全技術(shù)分析

4.1 5G核心網(wǎng)數(shù)據(jù)安全

用戶的網(wǎng)絡(luò)數(shù)據(jù)安全是世界的重點關(guān)注問題，為了專門針對數(shù)據(jù)網(wǎng)絡(luò)安全問題，世界各國都有相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)保護條例，以保護國內(nèi)的用戶數(shù)據(jù)，不同的國家和地區(qū)也有不同的規(guī)定，對于網(wǎng)絡(luò)數(shù)據(jù)的收集、傳輸及存儲應(yīng)用，各個階段都會存在網(wǎng)絡(luò)安全風險。如表1所示[4]。

4.2 5G核心網(wǎng)管理安全

5g網(wǎng)絡(luò)只有經(jīng)過安全封裝后才能投入使用。網(wǎng)絡(luò)要確保安全性和開放性為了，確保安全性和開放性并存需要進行授權(quán)，針對運營商的的需求開展相應(yīng)授權(quán)，在其獲取授權(quán)之后，才能夠開展訪問。在網(wǎng)絡(luò)服務(wù)中，應(yīng)當保證網(wǎng)絡(luò)容量的開放性及安全性。例如通過用戶認證來對終端用戶需求進行處理，同時也可以根據(jù)服務(wù)的保密性要求設(shè)置相應(yīng)的加密級別，從而實現(xiàn)對終端用戶數(shù)據(jù)信息的良好保護，這樣也就實現(xiàn)了對不同網(wǎng)絡(luò)片的不同安全控制級別。對于此網(wǎng)內(nèi)的各個管理模塊應(yīng)當確保熟練掌握，從而便于采取針對性的防護措施[5]。而為了保證業(yè)務(wù)量增長的需求，則需要制定更系統(tǒng)的防護戰(zhàn)略，例如在訪問門戶網(wǎng)站時，需要建立更完善的核心網(wǎng)管理系統(tǒng)，這樣才能夠保證系統(tǒng)運行的安全性與穩(wěn)定性。對于賬戶管理，主要措施是管理角色分散和領(lǐng)域差異化。在實施5G核心網(wǎng)管理安全時，要對賬戶的用戶名密碼和密碼復(fù)雜性進行反復(fù)的確認和認證，從而進行嚴格的管理。如圖1所示。

4.3網(wǎng)絡(luò)安全域隔離

安全域隔離是在核心網(wǎng)組建階段需要完成的內(nèi)容，明確其安全劃分標準，并且依據(jù)網(wǎng)元的功能屬性，同時根據(jù)用戶的網(wǎng)絡(luò)需求進行安全級別的定義，根據(jù)不同的安全要求，可以劃分不同的安全域，然后針對安全域內(nèi)的資源進行整合與分配，確保不同安全域內(nèi)的資源不能實現(xiàn)共享，這是確保網(wǎng)絡(luò)安全及隔離必須要滿足的條件。其次要實現(xiàn)對安全性能的良好控制，根據(jù)用戶需求對域內(nèi)數(shù)據(jù)傳輸情況進行開放，如果必須要跨區(qū)域傳輸，必須要確保安全控制，并且要進行模塊限制[6]。如圖2所示。

4.4軟件網(wǎng)絡(luò)安全分析

SDN（Software Defined Network）具有控制及轉(zhuǎn)發(fā)分離特性，但同時也容易出現(xiàn)被黑客攻擊的情況，會利用SDN的特點進行攻擊操作。由于SDN控制器實質(zhì)上就是操作系統(tǒng)中的硬件組成，遭受攻擊的方式主要是通過偽造信息，然后對控制器進行資源消耗攻擊所致。為了防止出現(xiàn)黑客攻擊，需要對系統(tǒng)資源的利用情況進行實時的監(jiān)控，確保發(fā)生黑客攻擊時能夠察覺到系統(tǒng)資源使用異常狀況，并且要利用好集群體系結(jié)構(gòu)將攻擊點分散，從而對DDOS攻擊起到防御作用，通過用戶權(quán)限認證，可以完成相應(yīng)的訪問及登錄需求，從而減少被攻擊的風險。

對此，一方面能夠保護數(shù)據(jù)隱私，另一方面又可以通過對遠程訪問進行限制而保證訪問的安全性。此外，還具備日志分析功能，用于收集證據(jù)和追溯安全事件。

五、網(wǎng)絡(luò)功能虛擬化安全分析

5.1 VNF

Vnf是一種虛擬網(wǎng)絡(luò)功能，在操作的過程中要對用戶權(quán)限認證和權(quán)限進行嚴格的管理和控制。Vnf的使用過程主要包括管理實例化，其在更新使用的過程中，每個階段都會面臨著不同的安全問題。Vnf在管理中要對所上傳的文件進行檢查，確保上傳文件沒有問題后，將文件存儲在安全區(qū)域內(nèi)，并設(shè)置好相應(yīng)的權(quán)限，避免出現(xiàn)非法訪問。其次的實例化過程，要對文件的完整性和權(quán)限進行驗證，確保文件的完整性和有使用權(quán)限后，才可進行能夠有效避免文件被篡改。

5.2 MANO

為了確保平臺的安全性，要進行全面的檢查，對潛在的安全威脅和漏洞進行消除和修復(fù)，并完成虛擬化的加固。在檢查的過程中要對病毒庫進行升級和更新并完成全面的病毒查殺，在使用的過程中要對用戶進行身份驗證和重新授權(quán)，這樣才能確保用戶身份信息的準確和安全。在虛擬網(wǎng)絡(luò)功能管理的過程中，要防止DDOS的攻擊，確保虛擬機的使用安全。

六、結(jié)束語

綜上所述，5G核心網(wǎng)安全技術(shù)所應(yīng)用的方面非常多，只有加大投入力度，實現(xiàn)網(wǎng)絡(luò)安全制度的建立健全，才能夠保證5G網(wǎng)絡(luò)的安全建設(shè)及安全應(yīng)用。

參? 考? 文? 獻

[1]游偉，李英樂，柏溢，陳云杰.5G核心網(wǎng)內(nèi)生安全技術(shù)研究[J].無線電通信技術(shù)，2020，46（04）：385-390.

[2]王佳.5G核心網(wǎng)安全技術(shù)分析[J].通信電源技術(shù)，2020，37（10）：150-152.

[3]賈妍婕，田玉璋.3G核心網(wǎng)安全隱患及其容災(zāi)技術(shù)探討[J].中國管理信息化，2011，14（11）：71-72.

[4]聞英友，喻嘉，趙博，趙宏. 3G核心網(wǎng)安全體系及GTP協(xié)議分析過濾技術(shù)研究[A]. 信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室.全國網(wǎng)絡(luò)與信息安全技術(shù)研討會論文集（下冊）[C].信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室：中國通信學(xué)會，2007：6.

[5]劉德昌.3G核心網(wǎng)安全隱患及其容災(zāi)技術(shù)探討[J].中國新通信，2007（07）：23-27.

[6]劉德昌.3G核心網(wǎng)安全隱患及其容災(zāi)技術(shù)探討[J].廣東通信技術(shù)，2007（03）：20-24.