5G專網安全需求分析及策略探討

沈軍，劉國榮，何明

（1.中國電信股份有限公司研究院，廣東 廣州 510639；2.移動互聯網系統與應用安全國家工程實驗室，上海 200120）

0 引言

隨著5G向行業應用市場的不斷推進，5G公網已無法完全滿足不同行業用戶的差異化需求，亟需可按需定制的5G專網。根據行業用戶對與5G公網的安全隔離程度、時延等要求的不同，5G專網可分為以下典型的三類[1-3]：

（1）獨立專網：與5G公網完全獨立的專網，提供獨享無線資源、獨立的5G核心網等，主要面向對安全性要求非常高的行業用戶。

（2）虛擬專網：通過切片、QoS（Quality of Service）和DNN（Date Network Name）定制等技術提供的虛擬專網，主要面向對安全性要求相對稍低的行業用戶。

（3）部分共享專網：共享部分核心網元，按需下沉UPF（User Plane Function）、SMF（Session Management Function）、AMF（Access and Mobility Management Function）、UDM（Unified Data Management）等網元，主要面向有數據不出園區和低時延等要求的行業用戶。

本文將分析三類5G專網可能面臨的安全風險，并探討相應的安全對策。

1 5G專網安全風險分析

1.1 獨立專網安全風險分析

獨立專網與5G公網完全獨立，安全性不受5G公網影響，此時主要考慮獨立專網自身運行的可靠性、穩定性和惡意用戶給獨立專網所帶來的安全風險。而獨立專網信令面的管理控制功能都集中在獨立5GC（5G Core Network），需要重點分析獨立5GC面臨的安全風險：

（1）5GC基于云化虛擬化的基礎設施構建，虛擬化平臺自身可能存在安全漏洞，攻擊者可據此攻擊虛擬化平臺，并進一步攻擊VM（Virtual Machine）/容器上承載的5GC網元。當VM/容器之間缺乏有效的隔離管控時，可能會導致VM/容器之間的非法訪問。當網元鏡像缺乏有效的保護手段時，鏡像有可能被篡改和植入惡意代碼等。

（2）5GC采用服務化架構，當NRF（Network Repository Function）和NSSF（Network Slice Selection Function）等遭受DoS（Denial of Service）攻擊時，有可能導致服務注冊/發現、切片選擇等業務功能無法進行。當網元間沒有開啟身份認證時，攻擊者有可能假冒網元接入核心網絡，進行非法訪問。如果沒有對網元間傳輸的數據進行機密性和完整性保護，通信數據會面臨被竊聽和篡改的風險等。

（3）當獨立5GC缺乏有效的可用性保障手段時，一旦遭受攻擊或服務失效，有可能導致整個獨立專網無法正常運行。

1.2 虛擬專網安全風險分析

虛擬專網主要通過切片等進行隔離，需要重點考慮針對切片的安全風險[5]：

（1）如果切片間沒有充分隔離和實施通信保護，某個虛擬專網上傳輸的用戶數據有可能會泄露到其它虛擬專網。

（2）如果沒有對虛擬專網進行接入認證，惡意用戶可能會非法接入專網。

（3）如果沒有資源保障控制措施，一個虛擬專網有可能大量擠占資源，影響其它虛擬專網的正常運行。

（4）在向行業用戶開放網絡切片配置能力時，如果缺乏認證和管控措施，惡意用戶有可能非法獲取切片信息甚至影響切片的正常運作。

1.3 部分共享專網安全風險分析

部分共享專網在共享部分面臨著與虛擬專網相似的安全風險，而在按需下沉的非共享部分，由于下沉網元連接了公網5GC和用戶企業網，且下沉網元的產權和運維有可能歸屬用戶，如果在下沉網元和用戶企業網之間、下沉網元和公網5GC之間缺乏有效的安全管控措施，會導致面向專網甚至是公網5GC的安全風險。

（1）如果沒有嚴格限制下沉網元與用戶企業網之間可以互訪的IP地址和協議，企業網用戶可以非授權地訪問到下沉網元。一旦下沉網元存在安全漏洞，有可能會被惡意用戶利用來攻擊甚至是控制下沉網元。同時下沉網元負責業務數據轉發和控制信令透傳，如果缺乏對數據傳輸、存儲、處理的安全保護，可能被惡意用戶竊取，導致敏感信息的泄露。

（2）在下沉網元和公網5GC之間，如果缺乏有效的身份鑒權機制，非授權虛假設備可與公網5GC進行互通。若在轉發層面不做隔離控制，非授權的下沉網元可訪問到公網5GC的所有網元，增加了公網5GC的安全暴露面。如果缺乏有效的路由信息控制措施，可能導致下沉網元能獲取到公網5GC的全部路由信息。在互通接口不做流量限速時，若下沉網元向公網5GC大量發送信令包，可形成對大網的拒絕服務攻擊等。

2 5G專網安全策略探討

本節首先介紹5G專網安全防護的各項關鍵要素，然后結合三類專網特點提出相應的安全策略。

2.1 獨立5GC的安全防護

獨立5GC承載了獨立專網的關鍵控制功能，需要重點保障其安全性、可用性。

（1）網元安全加固

應從最小化權限、最小化系統內核、卸載非必需的網絡服務和組件、口令復雜度管理、安全補丁更新、開啟日志審計等方面對5GC網元進行安全加固。

（2）服務安全

在5GC的非服務化接口上可啟用NDS/IP（Network Domain Security-IP Network Layer Security）對數據進行機密性、完整性和抗重放保護，在服務化接口上可啟用TLS進行雙向身份認證和數據傳輸的機密性和完整性保護等。

（3）基礎平臺安全

當5GC構建于開源Kubernetes等基礎平臺時，應裁剪不必要的功能，并對其進行加固，以降低由于開源軟件所引入的開放性風險，同時應對容器、鏡像倉庫進行加固，支持編排腳本和鏡像文件進行加密存儲。

（4）安全監測與快速恢復

應配備虛機和容器層面的安全監測機制，在發現異常時可對虛機/容器進行隔離，并快速拉起新的虛機/容器，確保業務正常運行。

2.2 下沉網元的安全防護

在部分共享專網中，可能會以UPF、UPF+SMF、UPF+AMF+SMF等形態下沉，這些網元部署在地市甚至是客戶園區等較低的層面，需要做好網元自身的安全加固與防護，本小節將以UPF為例介紹相應的安全策略。

（1）物理安全

下沉UPF可能部署在客戶園區，需要重點保障物理安全。首先應采用具備防拆、防盜、防惡意斷電等功能的安全機柜來提高物理環境安全。其次，對于具有本地維護console（控制臺）口的設備，應在部署完成后應取消console口的登錄權限，并禁用系統通過恢復模式從本地修復密碼的功能。同時，下沉UPF自身應具備物理鏈路狀態監控的功能，能及時監控到鏈路的異常，防止鏈路被惡意挪用；當設備斷電/重啟、鏈路網口斷開時，應能觸發告警；應能管控本地加載系統路徑，不允許從外掛的存儲設備啟動系統，并對升級補丁和程序的來源和完整性進行檢測；在條件允許時，可使用可信計算保證物理服務器的可信，確保只有經過驗證的代碼才可加載、執行。

（2）數據安全

下沉UPF應只在PDU（Packet Data Unit）會話階段保留用戶SUPI（Subscription Permanent Identifier）等敏感信息，待會話結束后應立即清除相關信息。賬號密碼等敏感信息應加密存儲。數據傳輸過程中，應使用NDS/IP等機制進行機密性、完整性和防重放保護。

（3）平面隔離

下沉式UPF的管理面、信令面、數據面應分別占用獨立物理網口，進行物理層面的隔離。對于UPF和MEC（Multi-access Edge Computing）在相同虛擬化平臺的一體機，應使UPF的管理和信令面與MEC完全隔離，只允許UPF的數據平面與MEC互通。

（4）認證鑒權

應對下沉式UPF的訪問進行雙向認證與鑒權，避免與非授權設備進行通信。

（5）流量控制

在信令面，應支持限制發給SMF以及從SMF接收的信令數據的大小，防止信令流的過載。在數據面，應能限制用戶帶寬，避免單用戶大量擠占帶寬。

（6）接口訪問控制

對于來自DN（Data Network）的N6接口流量，應對目標地址是UPF設備的流量進行過濾，僅允許白名單內的IP地址及對應的協議訪問。對于來自SMF的N4接口流量，應設置SMF偶聯白名單，僅允許指定IP地址訪問。同時，建議不處理和發送存在安全風險的ICMPv4（Internet Control Message Protocol）和ICMPv6消息類型，如重定向、超時錯誤消息等。

2.3 下沉網元與公網5GC間的安全控制

下沉網元連接了公網5GC和用戶企業網，需要做好下沉網元與公網5GC間的安全控制，避免惡意用戶以下沉網元為跳板攻擊公網5GC。本小節同樣將以UPF為例介紹相應的安全策略。

（1）下沉UPF由用戶維護

當下沉UPF的產權歸屬用戶，并由用戶自行維護時，應將下沉UPF視為不可信實體來進行與公網5GC之間的安全控制，控制內容至少應包括面向N4接口的轉發層面、路由層面和業務層面控制，控制點可以考慮在公網的承載網或核心網。

1）基于承載網的安全控制

首先是轉發層面，可在承載網連接下沉UPF的設備上通過ACL方式進行控制，只允許下沉UPF與指定SMF之間的PFCP協議報文通過，禁止下沉UPF訪問公網5GC的其它網元，防止下沉UPF被惡意控制后攻擊公網5GC網元，具體如圖1所示。同時應將下沉UPF的IP地址和MAC地址做綁定，避免惡意用戶冒用下沉UPF的IP地址接入網絡。還應在承載網入方向對下沉UPF做流量限速，避免下沉UPF大量發送流量形成拒絕服務攻擊。

圖1 基于承載網的ACL控制示意圖

在路由層面，應向下沉UPF屏蔽除SMF以外的其它網元的路由信息，例如可將下沉UPF和SMF接入專用的VPN，使下沉UPF只能獲取到相關SMF的路由。

在業務層面，應開啟下沉UPF和SMF之間的雙向認證，避免假冒的UPF與SMF通信。同時應構建針對信令流量的檢測與阻斷機制，能還原識別下沉UPF發出的異常包，并可通過發送RST包等方式進行封堵。

2）基于核心網的安全控制

基于核心網的安全控制，在核心網入口已有防火墻的情況下，可通過該防火墻進行轉發層面的訪問控制，具體如圖2所示。在沒有防火墻時，可在SMF上通過ACL或iptables等方式進行訪問控制；但在同時下沉UPF、SMF、AMF等多個網元的情況下，由于交互的網元增多，就需要在核心網的多種網元上開啟訪問控制，運維復雜度會大大增加，且有可能影響相關網元的性能。

圖2 基于核心網防火墻的安全控制示意圖

核心網安全控制的另一種思路，是在核心網引入類似SEPP（Security Edge Protection Proxy）、具備信令代理和安全控制功能的網元，下沉網元只與該網元進行直接交互，并由該網元對下沉網元進行轉發、路由和業務層面的安全控制，降低對公網5GC可能造成的安全影響，具體如圖3所示。

圖3 基于類SEPP新增網元的安全控制示意圖

（2）下沉UPF由運營商維護

下沉UPF由運營商維護時，對公網5GC帶來安全影響的可能性相對較低，此時可著重基于承載網做好對下沉UPF在轉發層面的安全控制。

2.4 專網與企業網間的安全控制

專網網元與企業網間應部署防火墻進行安全隔離，對訪問企業網和訪問專網網元的雙向流量進行過濾和管控，具體如圖4所示。

圖4 專網與企業網間的安全控制示意圖

企業網同時可根據實際風險情況，按需部署IPS、沙箱、抗DDoS、蜜罐等安全檢測與防護設備，以防范來自外部網絡的攻擊威脅。

2.5 業務隔離與切片安全

專網利用網絡切片、QoS、DNN等技術為用戶提供不同程度的定制服務，需要做好相應的業務隔離和安全管控。

（1）業務隔離與資源保障

在無線接入、承載、核心等不同網絡域，都應進行業務隔離。在無線接入側，可通過無線資源管理策略和保護機制進行無線切片間的隔離；對獨立專網中有高隔離需求的用戶，可為其分配專門的頻譜資源。在承載網，可通過VPN、Flex-Slicing、專線等手段實現傳輸路由隔離。在核心網，對安全性要求較高的網元可進行專用型部署，并設置在獨立的物理位置；對安全性要求不高的網元可進行共享型部署，并進行虛擬資源層的網絡隔離，限制非授權的虛擬網元間通信，防止網元共享部署場景下的流量攻擊、敏感數據竊取。

在共享資源的保障方面，根據用戶行業類型、業務特點等特征，綜合采用切片、DNN、5G QoS等措施進行保障。同時還應對專網進行持續的資源利用率監控，并按需提供主備、組pool，以及虛擬資源過載控制、快速自愈等高可靠方案，保障可靠性與可用性安全。

（2）接入控制

對于無線資源，可通過對專網用戶所在區域的若干小區配置單獨PLMN（Public Land Mobile Network）或TAC（Tracking Area Code），或通過配置CAG（Closed Access Group）的方式來控制終端的接入。

在企業網的接入控制上，應支持通過EAP擴展認證架構，與企業網內的DN-AAA認證系統對終端用戶接入進行二次身份認證。

切片方面，可根據切片安全策略，在完成主認證后再進行切片內的認證。

（3）切片安全管理

在專網向行業用戶開放切片管理域能力的過程中，應加強對切片管理接口的雙向認證、遠程接入管控，提供保障管理信令機密性、完整性和抗重放攻擊的能力。

2.6 安全運維

應對專網的設備和組件制定安全配置基線要求，并定期實施基線核查和漏洞掃描作業，對核查和掃描結果進行處理和管控。

應定期對專網各類日志信息和安全事件信息進行統一分析審計作業，至少包括訪問權限、業務和運維操作等方面。

應對專網的版本控制、安全策略和配置的實施、變更等維護操作進行管理，防止因配置不當或誤操作而導致的運營安全風險。

2.7 三類5G專網的安全策略

（1）獨立專網安全策略

獨立專網需要保障獨立5GC的可用性和安全性，同時應結合無線側的TAC/CAG的準入控制做好身份認證，避免非授權用戶接入獨立專網。

（2）虛擬專網安全策略

虛擬專網需要從無線接入、承載、核心等各層面進行業務隔離與資源保障，通過二次認證或切片認證做好接入控制，并在專網與企業網之間做有效的安全控制。

（3）部分共享專網安全策略

部分共享專網需要做好用戶接入控制、共享網元的業務隔離與資源保障，同時要加強下沉網元的安全防護、下沉網元與公網5GC間的安全控制、下沉網元與企業網間的安全控制。

3 結束語

安全是5G專網全面推廣應用的基石，本文分析了5G專網可能存在的安全風險，并提出配套安全保障策略，保障5G專網安全可靠的運行。后續還可基于大網安全能力開放，為5G行業用戶提供更豐富的差異化安全服務。