5G核心网安全技术探讨

潘 涛，武 飞

（中通服咨询设计研究院有限公司，江苏 南京 210019）

0 引 言

对于网络建设工作而言，网络安全技术是非常关键的部分。为了提升核心网的安全性，就要匹配专业技术方案，在分析验证的基础上解决核心安全问题，从而实现商业化安全应用管理，为5G网络综合应用效果优化提供保障。

1 5G核心网概述

5G核心网（见图1）是建立在传统网元基础上，匹配虚拟化处理工序，从而实现软件和硬件的解耦处理。同时在核心网应用模式中，硬件能脱离专用设备的固定控制，从而应用服务器提升操作效率，大大降低了项目成本，而对应的软件扩展性也得到了优化[1]。为了保证5G核心网应用效率更加贴合实际需求，技术方面也实现了突破。在大型单个软件分解为若干个小型模块化组件后，就能匹配网络功能服务模式，不仅优化了整个核心网体系的独立性和自治性，也能借助灵活化接口实现实时性互动交流[2]。

图1 5G核心网基本架构

2 5G核心网安全威胁和安全技术分析

在5G核心网应用过程中，是借助网络和用户之间双向认证维持信任度。要想保证信息处理和传递的安全性，就要全过程监控数据。但是，依然会受到安全威胁，为此要结合数据信息、管理内容以及安全域隔离等方案提高5G核心网的安全运行效果[3]。

2.1 5G核心网安全威胁

2.1.1 CS域

对于5G核心网而言，电路安全具有十分重要的作用，而CS域的核心就是电路的安全运行，若是出现异常运行状态，则必然会对运营商的服务效果产生负面影响，甚至会出现业务停止供应的问题[4]。基于此，要从信令网和承载网的角度全面分析电路安全域。在实际分析中可知，TDM网和ATM网本身是专用网结构，或者是直接的点对点网结构，安全威胁不大，但是其他共享网络难免会在运行过程中受到影响，制约整个网络结构的可控性和灵活性[5]。

2.1.2 GOM域

若是对5G核心网GOM域的安全问题进行分析，就要从系统平台密码收到攻击的方面入手，常常会出现木马程序和蠕虫病毒等。而安全域受到的威胁则主要来源于窃听或者是密钥盗取等，数据被随意篡改失真，必然会对整体管理效果和安全维护水平产生影响。

2.1.3 PS域

在5G核心网受到GP/GN外部网络威胁后，设备就会出现异常运行的故障，其中拒绝服务攻击较为常见。网关中会同时涌现出大量数据表，利用大范围数据分析和匹配处理占据网关宽带，造成服务器运行异常。另外，攻击问题还会对DNS服务效果产生影响，出现GIP数据溢出等问题，使得服务器长期处于高频运行和负载超标环境中，必然会对5G核心网整体安全性产生负面影响[6]。

2.2 5G核心网安全技术分析

为了保证5G核心网安全水平，要整合技术要点，建立更加完整的信息分析和数据汇总机制，确保安全技术能发挥其实效性价值，匹配多重保护机制促进数据的安全传输和汇总，并配合完整的安全监控方案，避免安全威胁造成的损失。

2.2.1 5G核心网数据安全技术

在5G核心网发展进程中，数据和信息的安全性最关键，因此要想维持核心网运行管理的规范性，就要从数据网络安全入手。匹配网络数据保护条例中的相关要求，将用户数据安全共享和使用作为目标，不仅要监督数据的收集过程，还要全程管理数据传输和数据存储节点，从而减少阶段性数据管理存在的安全风险。

数据采集阶段，数据最小化满足用户许可，不涉及5G接入网、核心网以及业务提供商。数据传输阶段要设置加密环节，并且匹配完整性校验工作，利用匿名或者是临时性标识完成设备终端处理，在5G接入网、核心网以及业务提供商处使用临时性标识[7]。数据处理、存储及维护阶段，在设备终端要匹配数据最小化处理，并控制访问，配合使用加密处理。而对5G接入网、核心网以及业务提供商，则要利用MEC完成数据安全维护工作。

数据共享不涉及设备终端处理，而在5G接入网、核心网以及业务提供商方面，要利用临时标识或用户许可的方式实现数据最小化，减少不安全威胁的概率。

2.2.2 5G核心网应用管理安全

一般而言，要在安全封装后才能实现5G网络的投入和使用，也就是说要在明确规定安全性和开放性标准基础上，实现对应的网络应用授权，从而减少不安全因素，确保在授权范围内开展相应的访问和信息交互。另外，在网络服务平台中，要保证网络容量的开放性和安全性。比如，要借助用户验证的方式满足用户需求，并且结合服务保密性要求配置对应的加密级别处理机制。除此之外，在5G核心网管理安全体系内对管理模块进行针对性的防护处理，满足业务量激增需求的同时，还能制定更加有效且规范的防护战略方案，完善核心网管理系统，确保系统的安全性和稳定性都能符合标准[8]。

2.2.3 5G核心网安全域隔离处理

所谓安全域隔离工作，就是基于5G核心网的应用要求，在满足组建标准和阶段性应用需求的同时，利用划分标准实现网元功能性属性的控制，并且能结合用户的实际网络需求维持安全级别的规范性。也就是说，要结合不同的安全要求划分不同的安全域，针对安全域的资源建立分配机制，保证不同安全域内的信息数据不能共享，利用隔离机制提升安全域独立安全性。若是需要进行信息交互，就要配合数据传输的密钥机制，依据模块限制的标准完成分割。

除此之外，软件网络安全也是有效利用SDN特征避免攻击操作的安全处理方式，建立系统资源利用率的实时性监控，减少攻击点和攻击风险。

2.3 5G核心网网络功能虚拟化安全分析

网络功能虚拟化是5G核心网应用管控工作中非常关键的技术内容，能匹配相应的功能模块提升核心网的应用效率，打造更加合理且可靠的处理控制环境，提升核心网日常工作运行的规范性。

2.3.1 虚拟网络功能模块

在5G核心网运行过程中，为了保证用户的安全性和网络运营管理的规范效果，就要落实完整的用户权限认证工序和管理工序。而在虚拟网络功能模块中，借助管理、实例化处理以及实例更新等环节，可以打造更加完整的安全风险应对管控机制，减少安全问题和隐患对整个5G核心网产生的影响。常规化管理中能利用安全处理模块完成上载文件的完整性检查，确保文件能被存储在安全的应用管理区域，维持文件的基本权限设置结构，提升对应的控制效果。5G核心网中虚拟网络功能模块还能具备实例化处理作用，有效进行完整性和权限的验证，减少文件被篡改的概率[9]。虚拟网络功能模块还能建立完整的实例管理，确保权限认证工序的规范性，维持实例状态不会被泄漏，极大程度上提高了更新操作的规范水平。

2.3.2 管理和编排模块

管理和编排模块主要是对5G核心网中的各个组件予以集中保护和系统化管理。要想维持管理编排模块的平台可信度，就要减少安全威胁，并且建立更加匹配的安全漏洞修复处理机制，提升虚拟化编排控制的规范性。最关键的是，在管理和编排模块中还能建立病毒查杀和病毒库升级等功能，从而及时进行用户的权限认证，并且开放重新授权等操作。此外，管理和编排模块的应用能有效提升DoS/DDoS攻击的处理效果，确保虚拟机时刻处于安全状态，提升5G核心网基础设施管理水平，为通信数据完整性和机密性保护提供支持。

2.3.3 网络切片安全

在5G核心网安全管控体系内，网络切片安全管控单元能打造较为合理的安全连接模式，并且能依据IPSeC或者是SSL VPN实现对应的网络结构应用目标，确保接入策略和协议数据单元回话机制都能落实到位，打造更加合理且有效的安全监督管控模式。

另外，在网络切片（图2）安全处理机制中，要满足Slice ID的基本要求，匹配安全方案落实相应工作，建立虚拟网络功能隔离机制和FCAPS管理机制，利用白名单确保公共安全和切片安全。匹配网络切片处理机制中选择功能模块打造更加完整的连接处理机制，保证请求频率得以监测。例如，在暴露服务区设置UPF、NEF监控单元，在未暴露服务区和安全服务区设立CMF单元，在管理服务区设置BOSS单元等，有效实现域间隔离安全域划分目标[10]。与此同时，面对更大的业务需求，要采取系统化策略和处理机制，确保5G核心网能在严格执行安全管理机制的基础上有序工作。

图2 核心网切片结构

3 结 论

总而言之，5G核心网安全管理工作中要充分发挥不同数据隔离和信息安全控制技术的优势，配合网络功能虚拟化安全分析工作，提升使用安全性，建构更加匹配的网络安全制度，实现安全建设和安全应用的目标，优化综合应用效率。