5G网络安全研究

赵亮

移动通信网作为商业化的电信网络，在标准设计之初，就充分考虑了网络接入的移动性、可靠性和安全性。通过SIM/USIM 等身份标识、认证授权、信道与承载加密、访问控制等方式，提供了良好的安全通信能力。经过包括运营商、标准组织以及设备商等在内的电信产业界几十年的锤炼，移动通信网络安全架构日臻完善。

5G 提供了基于统一认证框架的双向认证能力，使终端和网络都能够确认对方身份的合法性。这样不仅能避免非法用户接入网络，也能避免利用伪基站、伪热点进行诈骗或者窃取用户信息。另外，由于对终端进行认证，可以追溯终端使用者的身份和行为轨迹，增加了攻击者的法律风险，可以有效降低攻击的概率。

电信5G网络的标准建设模式，核心网的集中式部署已不能满足新业务的需求。当前工业企业对“技术和应用下沉，应用本地化，内容分布化，计算边缘化”的需求特点，采取纯5G网络逻辑切片、公网&私网共用基站设施、所有网络本地独立部署三种组网模式，保证不同的安全等级需求。通过配置不同的网络切片安全适用于对数据安全性不是特别敏感用户;通过本地边缘云计算，在企业本地化部署相应的MEC边缘计算硬件设备满足企业响应服务需求;对安全需求等级高的企业，对企业部署单独的网络，开放安全能力，按需组合，提供灵活、可定制的差异化安全能力。

一、网络切片安全

切片技术提供了端到端、多种灵活手段、“逻辑+物理”的QoS保障能力，端到端网络切换可以完全专用、也可以共享组成部分（无线、传输、核心网等），在SLA层面满足垂直行业应用差异化的需求，提供更健壮的数据安全保护、更丰富的认证机制支持和更严密的用户隐私。

区别于传统物理专网的私有性与封闭性，5G 网络切片是建立在共享资源之上的虚拟化专用网络，切片安全除了提供传统移动网络安全机制之外（例如接入认证、接入层和非接入层信令和数据的加密与完整性保护等），还需要提供网络切片之间端到端安全隔离机制。

为了满足不同业务的安全等级需求，网络切片结合了各种物理隔离和逻辑隔离机制，来实现网络切片间的隔离防护。5G 网络切片端到端隔离可分为RAN 隔离、承载隔离和核心网隔离。

1.1 RAN 隔离

网络切片在RAN 侧的隔离主要面向无线频谱资源以及基站处理资源。5G OFDMA 系统中，无线频谱从时域、频域、空域维度被划分为不同的资源块，用于承载终端和基站之间数据传输。频谱资源的隔离可以分为物理隔离和逻辑隔离。物理隔离是给网络切片分配专用频谱带宽，这时分配给切片的资源块是连续的。逻辑隔离是资源块按照不同切片的要求按需分配，分配给每个切片的资源块是不连续的，多个切片共享总的频谱资源。

无论是物理隔离还是逻辑隔离，由于资源块的正交性，两者的隔离能力基本相当。但是专用频谱的覆盖范围和覆盖效果通常不如共享频谱，当数据文件较大，或者用户处于小区边缘时，由于无法使用更宽的频谱传输，使用物理隔离的切片往往无法达到更高的传输速率。另外，由于物理隔离方式实现成本较高，资源分配不够灵活，因此频谱租赁代价高昂。

逻辑隔离可以实现基站调度器根据不同切片的传输要求，对资源块动态调配，提高了频谱资源利用率，因此，行业应用在无特殊要求的情况下，应首选逻辑隔离方案。

1.2承载隔离

5G 网络依托数据中心部署，跨越数据中心的物理通信链路需要承载多个切片的业务数据。网络切片在承载侧的隔离可通过软隔离和硬隔离两种方案实现。

软隔离方案基于现有网络机制，通过VLAN 标签与网络切片标识的映射实现。网络切片具备唯一的切片标识，根据切片标识为不同的切片数据映射封装不同的VLAN 标签，通过VLAN 隔离实现切片的承载隔离。

软隔离方案虽然将不同切片的数据进行了VLAN 区分，但是标记有VLAN 标签的所有切片数据仍然混杂在一起进行调度转发。硬隔离方案则引入FlexE 技术，基于以太网协议，在L1（PHY）和L2（MAC）层之间创造另一“垫层”，实现FlexE 分片。

FlexE 分片是基于时隙调度将一个物理以太网端口划分为多个以太网弹性管道，使得承载网络既具备类似于TDM（时分复用）独占时隙、隔离性好的特性，又具备以太网统计复用、网络效率高的特点。

网络切片的承载隔离可以同时使用软隔离和硬隔离的方案，在对网络切片使用VLAN实现逻辑隔离的情况下，进一步利用FlexE 分片技术，实现在时隙层面的物理隔离。

1.3核心网隔离

5G 核心网基于虚拟化基础设施构建，并且由很多种不同的网络功能构成，有些网络功能为切片专用，有些则在多个切片之间共享，因此在核心网侧的隔离需要采用多重隔离机制，包括网络切片间隔离、网络功能隔离和网络切片与用户隔离。

由于网络切片共享统一的核心网基础设施，为了确保一个切片的异常不会影响到其他切片，一方面，核心网可以采用物理隔离的方案，为安全性要求较高的切片分配相对独立的物理资源，另一方面，还可以采用逻辑隔离方案，借助成熟的虚拟化技术，在网络层通过划分VLAN/VXLAN 子网进行隔离，在管理层通过分权分域实现切片管理和编排的隔离。相对于物理隔离方案，逻辑隔离对资源分配更加灵活，更为经济。

不同网络功能（NF）需要根据自身的安全级别要求与信任关系，进行安全域划分，以提供网络功能之间的相互隔离。随着MEC 应用的普及，大量UPF 等网络功能需要从核心网络域下沉至网络边缘，与基站或DU/CU 共址部署，这会使得下沉的NF 與其他核心网NF 被进一步划分到不同的安全子域。切片共享的网络功能与切片内的网络功能互访时，需要设置安全防护机制（例如白名单）进行控制，限制非法访问。

为了避免CN 网络切片遭受来自外部的攻击进而威胁到切片安全、可靠的运行，可以在切片网络和终端用户之间、以及切片网络和行业应用之间部署安全隔离机制。切片网络和终端用户之间的隔离可采用基于切片的接入认证和访问控制等机制。切片网络和行业应用的隔离，可以通过部署虚拟或者物理防火墙，并设置访问策略来进行。

二、MEC安全防护

MEC提供3个对外接口，分别对接5G基站，核心网和企业本地数据中心。采用MEC打造企业内5G网络，企业业务数据不传送到互联网上，保障数据的私密。MEC不对传输的数据内容做存储，不会在MEC节点导致数据泄露。MEC和工业企业本地服务器之间部署防火墙进行数据隔离。

工业互联网应用系统对于可靠性的要求较高，因此MEC自身的硬件配置也需要具有容灾保护，MEC采用虚拟化技术，也考虑的系统的保护，MEC 的安全防护继承了电信云数据中心的安全防护手段，包括云化的基础设施加固，以及虚拟化的网络安全服务等。同时，针对MEC 面临的全新安全挑战，还需要从多个方面进行针对性的加固。

2.1基础设施加固

物理安全：根据不同业务场景，MEC 节点可部署在边缘数据中心、无人值守的站点机房，甚至靠近用户的现场。由于处于相对开放的环境中，MEC 设备更易遭受物理性破坏，需要与场所的提供方一起，共同评估和保障基础设施的物理安全，引入门禁、环境监控等安全措施;对于MEC 设备，还需要加强自身防盗、防破坏方面的结构设计，对设备的I/O接口、调试接口进行控制。此外MEC 节点还必须具备在严苛、恶劣物理环境下的持续工作能力。

平台安全：针对部署在运营商控制较弱区域的MEC 节点，需要引入安全加固措施，加强平台管理安全、数据存储和传输安全，在需要时引入可信计算等技术，从系统启动到上层应用，逐级验证，构建可信的MEC 平台。为保证更高的可用性，同质化的MEC 之间可以建立起“MEC 资源池”，相互之间提供异地灾备能力，当遇到不可抗的外部事件时，可以快速切换到其他MEC，保证业务的连续性。

网络安全：MEC 连接了多重外部网络，传统的边界防御、内外部认证、隔离与加密等防护技术，需要继续在MEC 中使用。从MEC 平台内部来看，MEC 被划为不同的功能域，如管理域、核心网域、基础服务域（位置业务/CDN 等）、第三方应用域等，彼此之间需要划分到不同安全域，引入各种虚拟安全能力，实现隔离和访问控制。同时需要部署入侵检测技术、异常流量分析、反APT 等系统，对恶意软件、恶意攻击等行为进行检测，防止威胁横向扩展。此外，基于边缘分布式的特点，可以在多个MEC 节点部署检测点，相互协作实现对恶意攻击的检测。

2.2运维管理安全增强

MEC 上运行和存储着运营商和行业客户的各种数据资产，同时，5G 核心网用户面的下沉也带来了非法窃听、欺骗性计费等威胁。为了确保MEC 节点中资产与数据的安全，需要对使用MEC 的各方的行为执行认证（Authentication）、授权（Authorization）、审计（Audit），此外，还需要在平台层面、网络层面、业务层面等多个维度，对数据资产的所有权、使用权和运维权进行分权分域的管理。当边缘域与核心域之间涉及到管理、计费等关键性通讯时，需要充分利用PKI 以及TLS/IPSec 等协议，实施认证授权与传输加密。

为了确保运行版本的安全，防止带毒运行，MEC 需要支持针对VNF 版本包在不同交付环节之间的签名（发布方）与验签（接收方），同时需要对发布的版本包做签名校验。

为了避免安全漏洞影响到MEC 节点上其它功能域的安全，在第三方应用引入之前，需要执行严格的管控流程，对其进行全面的安全评估和检测。同时通过应用注册过程对应用权限进行控制，通过审计手段对应用行为进行问责，以规范第三方应用的运行。

2.3數据资产保护

MEC 节点位于网络边缘，处于运营商控制较弱的开放网络环境中，数据窃取、泄露的风险相对较高。企业对数据管控有更严格的要求，要求企业数据不出园区。这对MEC 中数据存储、传输、处理的安全性提出了较高的要求。

在MEC 部署、业务运行过程中，必须对MEC 应用可能涉及的数据进行识别，包括用户的标识、接入位置等。对安全要求高的数据需要采用加密方式存储;对行业高价值资产数据，应尽量使用IPSec/TLS 等安全传输方式，避免传输过程中数据泄露或被篡改。

对数据处理、分析和使用，需要服从当地的数据隐私法律法规，结合数据操作对象的认证、授权等方式规范数据的处理使用，并对操作过程进行记录。如果涉及数据隐私，在使用之前需要对数据进行脱敏处理。

三、安全能力开放

5G 网络能够通过能力开放接口将网络能力对外开放，以便工业企业按照各自的需求编排定制化的网络服务。为了满足不同企业的安全需求，5G 网络通过将安全能力进行抽象、封装，与其他网络能力一起开放给行业应用，配合资源动态部署与按需组合，提供灵活、可定制的差异化安全能力。