摘要:5G核心网相对于4G网络在架构、功能、业务能力提供方面有较大的革新,同时也带来了安全风险和挑战,本文重点对5G核心网安全进行了风险因素的识别,提出了具体的安全解决方案以及核心网隔离方案,对未来5G网络安全研究方向进行了展望分析。
关键词:5G核心网、网络安全、虚拟化、切片、NFV
引言
5G核心网相比于传统3G/4G网络在架构和功能上提供更泛在的接入支持、更灵活的控制和转发机制,能与云化基础设施结合,为普通消费者、应用提供商和垂直行业提供网络切片、边缘计算等新型业务能力。5G核心网基于NFV的核心架构,在提供多种网络新业务的同时,也带来了安全风险和挑战。如何识别网络的安全风险以及提出网络安全防护措施已是网络建设重要关注的问题。
1 5G安全风险分析
5G面临的新安全风险和挑战主要包括:基础设施基于虚拟化池建设,设备安全边界模糊,开放端口成为数据泄露的脆弱点,多样化终端的安全能力差异大,容易成为新的攻击目标以及新业务场景下安全责任归属问题等。
1.1虚拟化基础设施安全
基础设施虚拟化云化给网络安全带来了突出挑战,具体表现在以下几个方面:虚拟化服务化架构模糊了传统网络边界,给虚拟化软件及虚拟机间的通信安全带来风险;集中的控制点容易成为网络攻击的“重灾区”;分层解耦、多厂商集成导致安全问题快速定位和溯源困难;开源软件的脆弱性及安全漏洞,给自动化安全评估和修复带来挑战。
1.2边缘计算安全
移动边缘计算(MEC)基础设施通常部署在网络边缘,客观缩短了攻击者与MEC物理设施之间的距离,使得攻击者更容易接触到MEC网络基础设施,被攻击后可能会造成物理设备毁坏、服务中断、用户隐私和数据泄露等严重后果。
1.3网络切片安全
5G不同的网络切片承载不同的5G业务,但网络切片共享网络基础设施,这就对切片的安全隔离能力带来挑战。若网络切片的认证和授权能力不足,则可能造成敏感信息和/或隐私信息泄漏,并且被攻击者所利用。
1.4网络能力开放安全
5G网络能力开放架构可能会面临网络能力的非授权访问和使用、数据泄露、用户和网络敏感信息泄露等安全风险,同时攻击者还可以利用5G网络能力开放架构提供的应用程序编程接口(API)对网络进行拒绝服务攻击,在跨行业数据共享过程中一旦发生用户数据泄露等安全事件,将面临主体间的责任划分不清的风险。
1.5多样化的终端
5G时代海量多样化终端会给5G网络带来安全风险。巨量化、泛在化的智能终端易被利用成为新攻击源。一方面在mMTC场景下,未来将有数以百亿计的终端接入物联网,一旦这些终端被入侵利用,形成规模化的设备僵尸网络;另一方面,物联网终端提供的数据信息量巨大,分类众多,应用场景多元化,但缺乏统一的安全标识和认证管理机制,这也增加了网络管理的难度。
2 5G核心网安全解决方案
2.1接入安全
5G核心网的接入安全,需要联合UE、无线接入网整体考虑,需要对用户和网络进行双向认证,保证用户和网络之间的相互可信。
2.2网络安全解决方案
2.2.1NFV安全
在VNF包管理中,软件包/模板面临被非法访问、篡改、删除风险,因此需要上载过程中,进行完整性、可信性检查,存储在安全可靠区域,如需访问则需要认证与授权。在VNF实例化前,需要进行完整性验证、认证和权限验证,避免由于软件包/模板被篡改实例化成为非法的VNF。
2.2.2SDN安全
SDN面临与操作系统相同的漏洞风险,攻击者可能通过伪造南北向信息,向控制器发起DoS或者其他方式的资源消耗攻击。这就需要监视资源利用率,Cluster架构分散攻击点,防DDoS攻击,基于角色的访问控制,基于认证的远程合法登录访问。
2.2.3管理安全和能力开放安全
对于不同用户,选择用户接入认证方式;对于不同业务,可以选择不同等级的加密和完整性保护方式;对于不同用户数据,选择用户面数据保护终结点;对于不同切片,赋予不同安全等级。
2.2.4数据安全
用户数据在5G网络的数据收集、传输、处理、存储、维护、共享、应用等各个阶段都存在安全性风险。因此,在5G网络的设计阶段,从终端、网络、业务提供商各个层面,对信息的请求、提交、传输、存储、处理、使用操作对关键数据的保护。
3 5G核心网隔离解决方案
5G核心网基于虚拟化基础设施构建,并且由很多种不同的网络功能构成,有些网络功能为切片专用,有些则在多个切片之间共享,因此在核心网侧的隔离需要采用多重隔离机制,如下图所示。
.png)
图1 5G核心网隔离方案示意图
3.1网络切片隔离
由于网络切片共享统一的核心网基础设施,为了确保一个切片的异常不会影响到其他切片,一方面,核心网可以采用物理隔离的方案,为安全性要求较高的切片分配相对独立的物理资源,另一方面,还可以采用逻辑隔离方案,借助成熟的虚拟化技术,在网络层通过划分VLAN/VXLAN子网进行隔离,在管理层通过分权分域实现切片管理和编排的隔离。
3.2网络功能隔离
不同网络功能(NF)需要根据自身的安全级别要求与信任关系,进行安全域划分,以提供网络功能之间的相互隔离。
3.3网络切片与用户隔离
为了避免CN网络切片遭受来自外部的攻击进而威胁到切片安全、可靠的运行,可以在切片网络和终端用户之间、以及切片网络和行业应用之间部署安全隔离机制。切片网络和终端用户之间的隔离可采用基于切片的接入认证和访问控制等机制。
4 未来5G网络安全解决思路
应对和解决5G安全问题,可以基于现有4G安全管理框架和技术保障措施,针对新的安全风险和不确定性,未来5G核心网安全解决思路如下:
4.1加强防火墙及安全软件的安装维护应用
从病毒现象在NFV架构下核心网中出现的现状分析,加强防火墙及安全软件的安装及维护,则为提升NFV架构下核心网安全运行的主要措施。
4.2落实核心网存储阵列维护及处理模组更新
在NFV架构下的核心网运行中,系统硬件存储阵列故障为造成系统运行异常的主要原因。分析在实际发展中为有效地提升NFV架构下核心网的运行安全性,落实核心网存储阵列维护,以及处理模组的更新,则为有效的改善措施。
4.3落实多模组网络通信技术
网络通信作为NFV架构下核心网运行的基础模块,为减少核心网运行中因网络通信故障造成的系统运行异常现象。应用单位在实际发展中可通过构建多模组网络通信技术的方式进行NFV架构下的核心网运行应用。
结束语
随着5G产业的快速发展,在网络建设的同时,网络安全建设也应随之同步,面对安全风险和挑战,应该全面全方位的识别5G网络的安全风险因素,制定应对风险的策略,提出网络安全解决方案,构建灵活高效安全的5G核心网网络。随着网络安全标准的演进5G移动网络的开放性将更加突出、网络的安全性也将更加牢固。
参考文献:
[1]、中国信息通信研究院IMT-2020(5G)推进组,5G安全报告-2020.2;
[2]、方琰崴,5G核心网安全解决方案,移动通信,2019年第10期
[3]、高聪慧,基于NFV架构下核心网安全问题,信息系统工程2019年9月
作者简介:陈莉硕士研究生、现就职于辽宁邮电规划设计院有限公司,专业技术副总工。