5G核心網安全技術探討

潘 濤，武 飛

（中通服咨詢設計研究院有限公司，江蘇 南京 210019）

0 引 言

對于網絡建設工作而言，網絡安全技術是非常關鍵的部分。為了提升核心網的安全性，就要匹配專業技術方案，在分析驗證的基礎上解決核心安全問題，從而實現商業化安全應用管理，為5G網絡綜合應用效果優化提供保障。

1 5G核心網概述

5G核心網（見圖1）是建立在傳統網元基礎上，匹配虛擬化處理工序，從而實現軟件和硬件的解耦處理。同時在核心網應用模式中，硬件能脫離專用設備的固定控制，從而應用服務器提升操作效率，大大降低了項目成本，而對應的軟件擴展性也得到了優化[1]。為了保證5G核心網應用效率更加貼合實際需求，技術方面也實現了突破。在大型單個軟件分解為若干個小型模塊化組件后，就能匹配網絡功能服務模式，不僅優化了整個核心網體系的獨立性和自治性，也能借助靈活化接口實現實時性互動交流[2]。

圖1 5G核心網基本架構

2 5G核心網安全威脅和安全技術分析

在5G核心網應用過程中，是借助網絡和用戶之間雙向認證維持信任度。要想保證信息處理和傳遞的安全性，就要全過程監控數據。但是，依然會受到安全威脅，為此要結合數據信息、管理內容以及安全域隔離等方案提高5G核心網的安全運行效果[3]。

2.1 5G核心網安全威脅

2.1.1 CS域

對于5G核心網而言，電路安全具有十分重要的作用，而CS域的核心就是電路的安全運行，若是出現異常運行狀態，則必然會對運營商的服務效果產生負面影響，甚至會出現業務停止供應的問題[4]。基于此，要從信令網和承載網的角度全面分析電路安全域。在實際分析中可知，TDM網和ATM網本身是專用網結構，或者是直接的點對點網結構，安全威脅不大，但是其他共享網絡難免會在運行過程中受到影響，制約整個網絡結構的可控性和靈活性[5]。

2.1.2 GOM域

若是對5G核心網GOM域的安全問題進行分析，就要從系統平臺密碼收到攻擊的方面入手，常常會出現木馬程序和蠕蟲病毒等。而安全域受到的威脅則主要來源于竊聽或者是密鑰盜取等，數據被隨意篡改失真，必然會對整體管理效果和安全維護水平產生影響。

2.1.3 PS域

在5G核心網受到GP/GN外部網絡威脅后，設備就會出現異常運行的故障，其中拒絕服務攻擊較為常見。網關中會同時涌現出大量數據表，利用大范圍數據分析和匹配處理占據網關寬帶，造成服務器運行異常。另外，攻擊問題還會對DNS服務效果產生影響，出現GIP數據溢出等問題，使得服務器長期處于高頻運行和負載超標環境中，必然會對5G核心網整體安全性產生負面影響[6]。

2.2 5G核心網安全技術分析

為了保證5G核心網安全水平，要整合技術要點，建立更加完整的信息分析和數據匯總機制，確保安全技術能發揮其實效性價值，匹配多重保護機制促進數據的安全傳輸和匯總，并配合完整的安全監控方案，避免安全威脅造成的損失。

2.2.1 5G核心網數據安全技術

在5G核心網發展進程中，數據和信息的安全性最關鍵，因此要想維持核心網運行管理的規范性，就要從數據網絡安全入手。匹配網絡數據保護條例中的相關要求，將用戶數據安全共享和使用作為目標，不僅要監督數據的收集過程，還要全程管理數據傳輸和數據存儲節點，從而減少階段性數據管理存在的安全風險。

數據采集階段，數據最小化滿足用戶許可，不涉及5G接入網、核心網以及業務提供商。數據傳輸階段要設置加密環節，并且匹配完整性校驗工作，利用匿名或者是臨時性標識完成設備終端處理，在5G接入網、核心網以及業務提供商處使用臨時性標識[7]。數據處理、存儲及維護階段，在設備終端要匹配數據最小化處理，并控制訪問，配合使用加密處理。而對5G接入網、核心網以及業務提供商，則要利用MEC完成數據安全維護工作。

數據共享不涉及設備終端處理，而在5G接入網、核心網以及業務提供商方面，要利用臨時標識或用戶許可的方式實現數據最小化，減少不安全威脅的概率。

2.2.2 5G核心網應用管理安全

一般而言，要在安全封裝后才能實現5G網絡的投入和使用，也就是說要在明確規定安全性和開放性標準基礎上，實現對應的網絡應用授權，從而減少不安全因素，確保在授權范圍內開展相應的訪問和信息交互。另外，在網絡服務平臺中，要保證網絡容量的開放性和安全性。比如，要借助用戶驗證的方式滿足用戶需求，并且結合服務保密性要求配置對應的加密級別處理機制。除此之外，在5G核心網管理安全體系內對管理模塊進行針對性的防護處理，滿足業務量激增需求的同時，還能制定更加有效且規范的防護戰略方案，完善核心網管理系統，確保系統的安全性和穩定性都能符合標準[8]。

2.2.3 5G核心網安全域隔離處理

所謂安全域隔離工作，就是基于5G核心網的應用要求，在滿足組建標準和階段性應用需求的同時，利用劃分標準實現網元功能性屬性的控制，并且能結合用戶的實際網絡需求維持安全級別的規范性。也就是說，要結合不同的安全要求劃分不同的安全域，針對安全域的資源建立分配機制，保證不同安全域內的信息數據不能共享，利用隔離機制提升安全域獨立安全性。若是需要進行信息交互，就要配合數據傳輸的密鑰機制，依據模塊限制的標準完成分割。

除此之外，軟件網絡安全也是有效利用SDN特征避免攻擊操作的安全處理方式，建立系統資源利用率的實時性監控，減少攻擊點和攻擊風險。

2.3 5G核心網網絡功能虛擬化安全分析

網絡功能虛擬化是5G核心網應用管控工作中非常關鍵的技術內容，能匹配相應的功能模塊提升核心網的應用效率，打造更加合理且可靠的處理控制環境，提升核心網日常工作運行的規范性。

2.3.1 虛擬網絡功能模塊

在5G核心網運行過程中，為了保證用戶的安全性和網絡運營管理的規范效果，就要落實完整的用戶權限認證工序和管理工序。而在虛擬網絡功能模塊中，借助管理、實例化處理以及實例更新等環節，可以打造更加完整的安全風險應對管控機制，減少安全問題和隱患對整個5G核心網產生的影響。常規化管理中能利用安全處理模塊完成上載文件的完整性檢查，確保文件能被存儲在安全的應用管理區域，維持文件的基本權限設置結構，提升對應的控制效果。5G核心網中虛擬網絡功能模塊還能具備實例化處理作用，有效進行完整性和權限的驗證，減少文件被篡改的概率[9]。虛擬網絡功能模塊還能建立完整的實例管理，確保權限認證工序的規范性，維持實例狀態不會被泄漏，極大程度上提高了更新操作的規范水平。

2.3.2 管理和編排模塊

管理和編排模塊主要是對5G核心網中的各個組件予以集中保護和系統化管理。要想維持管理編排模塊的平臺可信度，就要減少安全威脅，并且建立更加匹配的安全漏洞修復處理機制，提升虛擬化編排控制的規范性。最關鍵的是，在管理和編排模塊中還能建立病毒查殺和病毒庫升級等功能，從而及時進行用戶的權限認證，并且開放重新授權等操作。此外，管理和編排模塊的應用能有效提升DoS/DDoS攻擊的處理效果，確保虛擬機時刻處于安全狀態，提升5G核心網基礎設施管理水平，為通信數據完整性和機密性保護提供支持。

2.3.3 網絡切片安全

在5G核心網安全管控體系內，網絡切片安全管控單元能打造較為合理的安全連接模式，并且能依據IPSeC或者是SSL VPN實現對應的網絡結構應用目標，確保接入策略和協議數據單元回話機制都能落實到位，打造更加合理且有效的安全監督管控模式。

另外，在網絡切片（圖2）安全處理機制中，要滿足Slice ID的基本要求，匹配安全方案落實相應工作，建立虛擬網絡功能隔離機制和FCAPS管理機制，利用白名單確保公共安全和切片安全。匹配網絡切片處理機制中選擇功能模塊打造更加完整的連接處理機制，保證請求頻率得以監測。例如，在暴露服務區設置UPF、NEF監控單元，在未暴露服務區和安全服務區設立CMF單元，在管理服務區設置BOSS單元等，有效實現域間隔離安全域劃分目標[10]。與此同時，面對更大的業務需求，要采取系統化策略和處理機制，確保5G核心網能在嚴格執行安全管理機制的基礎上有序工作。

圖2 核心網切片結構

3 結 論

總而言之，5G核心網安全管理工作中要充分發揮不同數據隔離和信息安全控制技術的優勢，配合網絡功能虛擬化安全分析工作，提升使用安全性，建構更加匹配的網絡安全制度，實現安全建設和安全應用的目標，優化綜合應用效率。