陳文欣

【摘要】? ? 在5G網(wǎng)絡(luò)中，引入了更多IT化的新技術(shù)，從而導致5G網(wǎng)絡(luò)在享受IT新技術(shù)便利的同時，也帶來了IT技術(shù)自帶的安全隱患。本文介紹了5G的安全構(gòu)架，分析了NFV、網(wǎng)絡(luò)切片等新技術(shù)帶來的安全風險，并提供了對這些新技術(shù)進行安全測評的方法。這為全面認識和評估5G網(wǎng)絡(luò)的安全，提供了一個有效的參考方案。

【關(guān)鍵詞】? ? 5G? ? 安全? ? 新特性

引言：

5G是目前最新的移動通信技術(shù)，除了滿足廣大用戶的日常通信，還將應(yīng)用到社會經(jīng)濟各領(lǐng)域，促進社會信息化和產(chǎn)業(yè)化的轉(zhuǎn)型升級。因此，5G的安全重要性無需贅述，而要解決5G的安全問題，就需要充分了解5G網(wǎng)絡(luò)的安全構(gòu)架，建立完善的5G安全體系，保障5G業(yè)務(wù)的安全。

一、5G面臨的安全風險概述

首先，傳統(tǒng)安全風險加劇。當前網(wǎng)絡(luò)安全事件時有發(fā)生，5G作為承載大眾通信的網(wǎng)絡(luò)，也面臨相同的傳統(tǒng)網(wǎng)絡(luò)攻擊威脅。在這一背景下，5G網(wǎng)絡(luò)在抵御外部攻擊和入侵方面面臨著極大的挑戰(zhàn)。其次，5G提供的各種新業(yè)務(wù)場景的應(yīng)用，也導致5G的安全不僅是經(jīng)濟損失那么簡單，還有可能影響到社會公共設(shè)施的正常運轉(zhuǎn)和人們的生命安全。再次，5G新技術(shù)的引入對傳統(tǒng)核心網(wǎng)的安全風險。NFV、網(wǎng)絡(luò)切片等新技術(shù)在5G網(wǎng)絡(luò)的應(yīng)用，以及和傳統(tǒng)2G、4G核心網(wǎng)的互聯(lián)，使得移動通信網(wǎng)傳統(tǒng)的安全體系受到新的挑戰(zhàn)。

二、5G的安全構(gòu)架

要分析5G網(wǎng)絡(luò)面臨的安全風險，必須先了解5G的安全構(gòu)架，下面對5G的安全構(gòu)架進行介紹。

2.1 3GPP的標準安全構(gòu)架

5G的3GPP標準安全構(gòu)架如圖1所示。

2.2 5G業(yè)務(wù)的安全構(gòu)架擴充

在5G 3GPP安全架構(gòu)的基礎(chǔ)上，結(jié)合5G網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)，對安全構(gòu)架進行擴充，具體如圖2所示。

圖2的安全構(gòu)架從業(yè)務(wù)的角度，說明了5G安全涵蓋了業(yè)務(wù)保護安全、網(wǎng)絡(luò)切片安全、管理系統(tǒng)安全等。

三、5G新的安全風險分析

在5G網(wǎng)絡(luò)中，引入了NFV、SBA架構(gòu)等IT新技術(shù)，給移動通信網(wǎng)絡(luò)帶來了IT化的靈活性和便捷性。同時，也引入了IT技術(shù)固有的安全風險，使得IT安全成為重點。

3.1 SDN/NFV安全

SDN的三層以及南北向接口均存在安全風險，包括：

1.應(yīng)用層：攻擊者假冒SDN控制器，獲取應(yīng)用層APP的敏感數(shù)據(jù);APP之間未做好安全隔離，導致APP遭受來自其它APP的信息竊取等攻擊。

2.控制層：SDN控制器易遭受來自應(yīng)用層和數(shù)據(jù)層的攻擊，包括APP和轉(zhuǎn)發(fā)設(shè)備大量訪問造成的（D）DoS攻擊、使用Openflow協(xié)議大量數(shù)據(jù)報文上送造成的（D）DoS攻擊，惡意APP利用流表沖突繞過安全策略或者導致信息泄露等。另外，作為集中控制點，SDN控制器易遭受滲透攻擊。

3.數(shù)據(jù)層：易遭受假冒控制器獲取敏感數(shù)據(jù)、流表項溢出、（D）DoS攻擊等。

4.南北向接口：傳輸?shù)臄?shù)據(jù)遭受攔截、篡改、重放等攻擊。

NFV的NFVI、業(yè)務(wù)通信系統(tǒng)及管理系統(tǒng)均面臨安全安全風險，包括：

1. NFVI安全：與云計算基礎(chǔ)設(shè)施的安全風險類似，包括硬件服務(wù)器被物理破壞等的物理安全風險，虛擬化軟件漏洞、宿主機及虛機OS的漏洞利用，虛擬機逃逸，虛擬機之間相互攻擊，虛擬機之間未安全隔離導致的信息泄露等。

2.業(yè)務(wù)通信系統(tǒng)安全：同傳統(tǒng)業(yè)務(wù)通信系統(tǒng)的安全風險，包括協(xié)議的安全漏洞被利用，通信內(nèi)容泄露、篡改或重放等。

3.管理安全：管理系統(tǒng)（MANO）網(wǎng)元自身的漏洞被利用，管理系統(tǒng)內(nèi)部接口或管理系統(tǒng)與外部其它系統(tǒng)之間的接口上的數(shù)據(jù)被攔截、篡改或重放等。另外，賬號、口令、日志的安全管理風險同傳統(tǒng)網(wǎng)絡(luò)，并且由于虛擬化、彈性擴縮容，NFV涉及的賬號、口令管理會更多，變化會相對頻繁，帶來管理復雜度的增加。

4.組網(wǎng)安全：未對管理、控制和存儲流量進行隔離，未劃分安全域，導致風險相互影響。

3.2網(wǎng)絡(luò)切片安全

切片之間安全域未能正確劃分與隔離， 將導致數(shù)據(jù)泄露、 數(shù)據(jù)篡改、 資源侵占等風險，切片本身的技術(shù)復雜性給管理帶來的難度遠高于傳統(tǒng)網(wǎng)絡(luò)。切片安全風險包括：

1.終端接入安全風險：在同一個終端上面，可以同時跑不同的切片應(yīng)用，這就存在終端接入過程中可能出現(xiàn)未授權(quán) UE 訪問特定切片服務(wù)、終端訪問錯誤切片從而暴露信息等風險。

2.核心網(wǎng)側(cè)切片安全風險：各切片的控制面數(shù)據(jù)使用同一安全上下文，針對安全級別要求高的切片，可能會存在機密性、完整性保護強度不夠的風險;惡意用戶可能會發(fā)起對共用網(wǎng)元的（D）Dos 攻擊，以耗盡其資源影響切片的正常運作。同時，由于虛擬機逃逸等虛擬化漏洞等的存在，不同切片的 VNF 間可能存在通過統(tǒng)一的物理資源及虛擬化管理資源攻擊、非法占用及連接的風險;切片的故障或資源使用可能會影響其他切片的運行。

3.切片管理風險：包括切片模板可能存在缺陷帶來的隱患，以及切片在運行周期中可能受到的攥改、數(shù)據(jù)泄露等。

3.3邊緣計算安全

NFV環(huán)境中部署的MEC安全風險包括來自NFV系統(tǒng)、MEC平臺、MEC編排管理系統(tǒng)、UPF以及ME App的安全風險：1. NFV系統(tǒng)安全風險：包括NFVI、業(yè)務(wù)通信系統(tǒng)和管理系統(tǒng)安全風險。2. MEC平臺安全風險：MEC平臺軟件本身的漏洞被利用、MEC平臺軟件或者其鏡像被篡改、MEC平臺存儲的敏感數(shù)據(jù)泄露，MEC平臺被ME App非法訪問，導致DoS攻擊、數(shù)據(jù)泄露等。3. MEC編排管理系統(tǒng)安全風險：編排管理系統(tǒng)，包括MEC平臺管理器、MEC應(yīng)用編排器、虛擬基礎(chǔ)設(shè)施管理，如果平臺管理系統(tǒng)使用不當，會引起較大的安全風險。4. UPF安全風險：UPF遭受物理接觸攻擊，篡改分流策略，導致數(shù)據(jù)傳輸錯誤。攻擊者有可能借助受破壞的UPF進一步攻擊核心網(wǎng);惡意APP也可能向UPF發(fā)起（D）DoS攻擊。5. ME App安全風險：ME App軟件本身的漏洞被利用、ME App軟件或者鏡像被篡改、敏感數(shù)據(jù)泄露，用戶非法訪問App等。6. MEC物理環(huán)境安全風險：MEC設(shè)備是下沉到諸如園區(qū)的核心網(wǎng)邊緣，設(shè)備環(huán)境比不上核心機房的安全，受到物理攻擊的可能性增加。

3.4 SBA安全

在SBA中，攻擊者可能構(gòu)建虛假的合法網(wǎng)元來進行攻擊。由于任意網(wǎng)元均可以訪問其它網(wǎng)元，攻擊者可利用一個受控網(wǎng)元向目標網(wǎng)元發(fā)起攻擊。SBA通過HTTP/2協(xié)議承載，相對于SS7和Diameter，HTTP/2的協(xié)議靈活性更大，可能會引入一些未知風險。

四、5G新特性的安全測評

4.1 NFV隔離與訪問控制

評估要點：1.同一物理機上的不同虛擬化網(wǎng)絡(luò)資源具有安全隔離能力。2.多臺物理機上的大量虛擬化網(wǎng)絡(luò)資源具有安全隔離能力。

評估方法：1.在同一臺物理主機上同時創(chuàng)建多個虛擬機;2.在其中某一虛擬機運行類似nping軟件查看網(wǎng)絡(luò)可通、網(wǎng)絡(luò)流量情況;3.在多臺物理機上創(chuàng)建獨立的虛擬機;4.進行安全域劃分，并測試互通情況。

評估預(yù)期結(jié)果：1.同一物理機的不同虛擬機的虛擬化網(wǎng)絡(luò)資源實現(xiàn)隔離。2.不同物理機的大量虛擬化資源可劃分不同安全域進行隔離。

4.2網(wǎng)絡(luò)切片安全

評估要點：1.網(wǎng)絡(luò)切片認證的能力。

評估方法：1.查看網(wǎng)管系統(tǒng)或者登錄網(wǎng)元查看相關(guān)配置，核實是否具備網(wǎng)絡(luò)切片認證能力;2.針對特定切片S，配置切片接入認證策略為支持切片認證;3.使用測試終端簽約切片（類型為S）;4.測試終端開機附著網(wǎng)絡(luò);5.跟蹤信令流程，確定測試終端是否成功附著切片S。

評估預(yù)期結(jié)果：1.網(wǎng)絡(luò)啟用并具備網(wǎng)絡(luò)切片認證能力。

4.3邊緣計算安全

評估要點：1.MEC平臺具備應(yīng)對DoS攻擊的能力。2.MEC具備入侵檢測能力。

評估方法：1.了解MEC平臺安全防護方案，查看是否部署抗攻擊、入侵檢測手段;2.通過測試評估：測試終端附著此平臺，使用該終端發(fā)送大量TCP鏈接報文（SYN報文），查看平臺是否依然穩(wěn)定運行;3.進行安全漏洞掃描等操作，查看平臺是否檢測到攻擊。

評估預(yù)期結(jié)果：1.MEC平臺具備入侵檢測和DoS攻擊防護能力。

4.4 SBA安全

評估要點：1.驗證NF間服務(wù)化接口傳輸層進行TLS認證;2.MEC具備入侵檢測能力。

評估方法：1.網(wǎng)絡(luò)中硬件平臺、MANO平臺工作狀態(tài)正常，各功能網(wǎng)元系統(tǒng)及操作維護平臺正常;2.按照TLS配置文件要求配置NF1和NF2的服務(wù)化接口，觀察 NF1和NF2服務(wù)化接口的TLS連接;3.不滿足TLS配置文件要求配置NF1和NF2的服務(wù)化接口（配置缺少協(xié)議版本或者密碼算法）;觀察NF1和NF2服務(wù)化接口的TLS 連接。

評估預(yù)期結(jié)果：1.TLS配置文件符合3GPP TS 33.310要求，則NF1和NF2可成功建立TLSA連接;否則，NF1和NF2無法建立TLS連接。

五、結(jié)束語

網(wǎng)絡(luò)的安全是一個攻擊和防御不斷互相提升的動態(tài)過程，因此，需要網(wǎng)絡(luò)維護人員增強安全意識，不斷跟進新技術(shù)的發(fā)展，才能保障網(wǎng)絡(luò)的安全。

參? 考? 文? 獻

[1] 華為技術(shù)有限公司，《5G安全架構(gòu)白皮書》，[EB]，2017年11月。

[2] 中華人民共和國工業(yè)和信息化部，《5G移動通信網(wǎng)-安全技術(shù)要求》，[S] ，2019年12月。

[3] IMT-2020（5G）推進組，《5G安全試驗 設(shè)備安全保障測試規(guī)范-核心網(wǎng)設(shè)備》，[S] ，2020年5月。