5G網絡安全研究

趙亮

移動通信網作為商業化的電信網絡，在標準設計之初，就充分考慮了網絡接入的移動性、可靠性和安全性。通過SIM/USIM 等身份標識、認證授權、信道與承載加密、訪問控制等方式，提供了良好的安全通信能力。經過包括運營商、標準組織以及設備商等在內的電信產業界幾十年的錘煉，移動通信網絡安全架構日臻完善。

5G 提供了基于統一認證框架的雙向認證能力，使終端和網絡都能夠確認對方身份的合法性。這樣不僅能避免非法用戶接入網絡，也能避免利用偽基站、偽熱點進行詐騙或者竊取用戶信息。另外，由于對終端進行認證，可以追溯終端使用者的身份和行為軌跡，增加了攻擊者的法律風險，可以有效降低攻擊的概率。

電信5G網絡的標準建設模式，核心網的集中式部署已不能滿足新業務的需求。當前工業企業對“技術和應用下沉，應用本地化，內容分布化，計算邊緣化”的需求特點，采取純5G網絡邏輯切片、公網&私網共用基站設施、所有網絡本地獨立部署三種組網模式，保證不同的安全等級需求。通過配置不同的網絡切片安全適用于對數據安全性不是特別敏感用戶;通過本地邊緣云計算，在企業本地化部署相應的MEC邊緣計算硬件設備滿足企業響應服務需求;對安全需求等級高的企業，對企業部署單獨的網絡，開放安全能力，按需組合，提供靈活、可定制的差異化安全能力。

一、網絡切片安全

切片技術提供了端到端、多種靈活手段、“邏輯+物理”的QoS保障能力，端到端網絡切換可以完全專用、也可以共享組成部分（無線、傳輸、核心網等），在SLA層面滿足垂直行業應用差異化的需求，提供更健壯的數據安全保護、更豐富的認證機制支持和更嚴密的用戶隱私。

區別于傳統物理專網的私有性與封閉性，5G 網絡切片是建立在共享資源之上的虛擬化專用網絡，切片安全除了提供傳統移動網絡安全機制之外（例如接入認證、接入層和非接入層信令和數據的加密與完整性保護等），還需要提供網絡切片之間端到端安全隔離機制。

為了滿足不同業務的安全等級需求，網絡切片結合了各種物理隔離和邏輯隔離機制，來實現網絡切片間的隔離防護。5G 網絡切片端到端隔離可分為RAN 隔離、承載隔離和核心網隔離。

1.1 RAN 隔離

網絡切片在RAN 側的隔離主要面向無線頻譜資源以及基站處理資源。5G OFDMA 系統中，無線頻譜從時域、頻域、空域維度被劃分為不同的資源塊，用于承載終端和基站之間數據傳輸。頻譜資源的隔離可以分為物理隔離和邏輯隔離。物理隔離是給網絡切片分配專用頻譜帶寬，這時分配給切片的資源塊是連續的。邏輯隔離是資源塊按照不同切片的要求按需分配，分配給每個切片的資源塊是不連續的，多個切片共享總的頻譜資源。

無論是物理隔離還是邏輯隔離，由于資源塊的正交性，兩者的隔離能力基本相當。但是專用頻譜的覆蓋范圍和覆蓋效果通常不如共享頻譜，當數據文件較大，或者用戶處于小區邊緣時，由于無法使用更寬的頻譜傳輸，使用物理隔離的切片往往無法達到更高的傳輸速率。另外，由于物理隔離方式實現成本較高，資源分配不夠靈活，因此頻譜租賃代價高昂。

邏輯隔離可以實現基站調度器根據不同切片的傳輸要求，對資源塊動態調配，提高了頻譜資源利用率，因此，行業應用在無特殊要求的情況下，應首選邏輯隔離方案。

1.2承載隔離

5G 網絡依托數據中心部署，跨越數據中心的物理通信鏈路需要承載多個切片的業務數據。網絡切片在承載側的隔離可通過軟隔離和硬隔離兩種方案實現。

軟隔離方案基于現有網絡機制，通過VLAN 標簽與網絡切片標識的映射實現。網絡切片具備唯一的切片標識，根據切片標識為不同的切片數據映射封裝不同的VLAN 標簽，通過VLAN 隔離實現切片的承載隔離。

軟隔離方案雖然將不同切片的數據進行了VLAN 區分，但是標記有VLAN 標簽的所有切片數據仍然混雜在一起進行調度轉發。硬隔離方案則引入FlexE 技術，基于以太網協議，在L1（PHY）和L2（MAC）層之間創造另一“墊層”，實現FlexE 分片。

FlexE 分片是基于時隙調度將一個物理以太網端口劃分為多個以太網彈性管道，使得承載網絡既具備類似于TDM（時分復用）獨占時隙、隔離性好的特性，又具備以太網統計復用、網絡效率高的特點。

網絡切片的承載隔離可以同時使用軟隔離和硬隔離的方案，在對網絡切片使用VLAN實現邏輯隔離的情況下，進一步利用FlexE 分片技術，實現在時隙層面的物理隔離。

1.3核心網隔離

5G 核心網基于虛擬化基礎設施構建，并且由很多種不同的網絡功能構成，有些網絡功能為切片專用，有些則在多個切片之間共享，因此在核心網側的隔離需要采用多重隔離機制，包括網絡切片間隔離、網絡功能隔離和網絡切片與用戶隔離。

由于網絡切片共享統一的核心網基礎設施，為了確保一個切片的異常不會影響到其他切片，一方面，核心網可以采用物理隔離的方案，為安全性要求較高的切片分配相對獨立的物理資源，另一方面，還可以采用邏輯隔離方案，借助成熟的虛擬化技術，在網絡層通過劃分VLAN/VXLAN 子網進行隔離，在管理層通過分權分域實現切片管理和編排的隔離。相對于物理隔離方案，邏輯隔離對資源分配更加靈活，更為經濟。

不同網絡功能（NF）需要根據自身的安全級別要求與信任關系，進行安全域劃分，以提供網絡功能之間的相互隔離。隨著MEC 應用的普及，大量UPF 等網絡功能需要從核心網絡域下沉至網絡邊緣，與基站或DU/CU 共址部署，這會使得下沉的NF 與其他核心網NF 被進一步劃分到不同的安全子域。切片共享的網絡功能與切片內的網絡功能互訪時，需要設置安全防護機制（例如白名單）進行控制，限制非法訪問。

為了避免CN 網絡切片遭受來自外部的攻擊進而威脅到切片安全、可靠的運行，可以在切片網絡和終端用戶之間、以及切片網絡和行業應用之間部署安全隔離機制。切片網絡和終端用戶之間的隔離可采用基于切片的接入認證和訪問控制等機制。切片網絡和行業應用的隔離，可以通過部署虛擬或者物理防火墻，并設置訪問策略來進行。

二、MEC安全防護

MEC提供3個對外接口，分別對接5G基站，核心網和企業本地數據中心。采用MEC打造企業內5G網絡，企業業務數據不傳送到互聯網上，保障數據的私密。MEC不對傳輸的數據內容做存儲，不會在MEC節點導致數據泄露。MEC和工業企業本地服務器之間部署防火墻進行數據隔離。

工業互聯網應用系統對于可靠性的要求較高，因此MEC自身的硬件配置也需要具有容災保護，MEC采用虛擬化技術，也考慮的系統的保護，MEC 的安全防護繼承了電信云數據中心的安全防護手段，包括云化的基礎設施加固，以及虛擬化的網絡安全服務等。同時，針對MEC 面臨的全新安全挑戰，還需要從多個方面進行針對性的加固。

2.1基礎設施加固

物理安全：根據不同業務場景，MEC 節點可部署在邊緣數據中心、無人值守的站點機房，甚至靠近用戶的現場。由于處于相對開放的環境中，MEC 設備更易遭受物理性破壞，需要與場所的提供方一起，共同評估和保障基礎設施的物理安全，引入門禁、環境監控等安全措施;對于MEC 設備，還需要加強自身防盜、防破壞方面的結構設計，對設備的I/O接口、調試接口進行控制。此外MEC 節點還必須具備在嚴苛、惡劣物理環境下的持續工作能力。

平臺安全：針對部署在運營商控制較弱區域的MEC 節點，需要引入安全加固措施，加強平臺管理安全、數據存儲和傳輸安全，在需要時引入可信計算等技術，從系統啟動到上層應用，逐級驗證，構建可信的MEC 平臺。為保證更高的可用性，同質化的MEC 之間可以建立起“MEC 資源池”，相互之間提供異地災備能力，當遇到不可抗的外部事件時，可以快速切換到其他MEC，保證業務的連續性。

網絡安全：MEC 連接了多重外部網絡，傳統的邊界防御、內外部認證、隔離與加密等防護技術，需要繼續在MEC 中使用。從MEC 平臺內部來看，MEC 被劃為不同的功能域，如管理域、核心網域、基礎服務域（位置業務/CDN 等）、第三方應用域等，彼此之間需要劃分到不同安全域，引入各種虛擬安全能力，實現隔離和訪問控制。同時需要部署入侵檢測技術、異常流量分析、反APT 等系統，對惡意軟件、惡意攻擊等行為進行檢測，防止威脅橫向擴展。此外，基于邊緣分布式的特點，可以在多個MEC 節點部署檢測點，相互協作實現對惡意攻擊的檢測。

2.2運維管理安全增強

MEC 上運行和存儲著運營商和行業客戶的各種數據資產，同時，5G 核心網用戶面的下沉也帶來了非法竊聽、欺騙性計費等威脅。為了確保MEC 節點中資產與數據的安全，需要對使用MEC 的各方的行為執行認證（Authentication）、授權（Authorization）、審計（Audit），此外，還需要在平臺層面、網絡層面、業務層面等多個維度，對數據資產的所有權、使用權和運維權進行分權分域的管理。當邊緣域與核心域之間涉及到管理、計費等關鍵性通訊時，需要充分利用PKI 以及TLS/IPSec 等協議，實施認證授權與傳輸加密。

為了確保運行版本的安全，防止帶毒運行，MEC 需要支持針對VNF 版本包在不同交付環節之間的簽名（發布方）與驗簽（接收方），同時需要對發布的版本包做簽名校驗。

為了避免安全漏洞影響到MEC 節點上其它功能域的安全，在第三方應用引入之前，需要執行嚴格的管控流程，對其進行全面的安全評估和檢測。同時通過應用注冊過程對應用權限進行控制，通過審計手段對應用行為進行問責，以規范第三方應用的運行。

2.3數據資產保護

MEC 節點位于網絡邊緣，處于運營商控制較弱的開放網絡環境中，數據竊取、泄露的風險相對較高。企業對數據管控有更嚴格的要求，要求企業數據不出園區。這對MEC 中數據存儲、傳輸、處理的安全性提出了較高的要求。

在MEC 部署、業務運行過程中，必須對MEC 應用可能涉及的數據進行識別，包括用戶的標識、接入位置等。對安全要求高的數據需要采用加密方式存儲;對行業高價值資產數據，應盡量使用IPSec/TLS 等安全傳輸方式，避免傳輸過程中數據泄露或被篡改。

對數據處理、分析和使用，需要服從當地的數據隱私法律法規，結合數據操作對象的認證、授權等方式規范數據的處理使用，并對操作過程進行記錄。如果涉及數據隱私，在使用之前需要對數據進行脫敏處理。

三、安全能力開放

5G 網絡能夠通過能力開放接口將網絡能力對外開放，以便工業企業按照各自的需求編排定制化的網絡服務。為了滿足不同企業的安全需求，5G 網絡通過將安全能力進行抽象、封裝，與其他網絡能力一起開放給行業應用，配合資源動態部署與按需組合，提供靈活、可定制的差異化安全能力。