众所周知,在5G时代,迎接我们的将是一个万物互联的世界。随着物联网的不断发展,越来越多的设备需要接入5G网络,但这也意味着这些设备将成为不法分子攻击的潜在目标。你有没有想过,在物联网时代,病毒可能会感染行驶中的汽车和使用中的智能家居设备……当大量终端通过传输网接入核心网,谁来保障5G核心网(5GC)安全吗?5GC威胁分析以上场景可能只是5GC安全威胁的一个缩影。5GC基于云架构,通过引入虚拟化技术实现软硬件解耦,通过NFV技术将虚拟化网元部署在云基础设施上,而不是使用专有的通信硬件平台。结果,以前认为安全的物理环境变得不安全。在基础设施层(NFVI),除了传统的物理安全风险外,虚拟化安全威胁更值得关注,如病毒木马攻击虚拟化云平台、滥用虚拟资源、恶意破坏虚拟机和镜像等。在网元功能层(VNF),存在非法用户接入网络、监听和篡改网元间通信数据、针对漫游用户的流量欺诈等攻击。在管理与编排层(ManagementandOrchestrationLayer,MANO),管理平面存在安全威胁,包括非法用户访问、内部人员恶意操作、特权滥用攻击、个人数据隐私暴露等。5GC存在诸多潜在隐患,不法分子或黑客能否肆无忌惮?决不!5GC安全架构针对上述威胁,提出了基于5G安全规范的5GC安全架构。这个安全架构看起来相当复杂!接下来,小编将从以下五个层面带大家解读5GC安全架构。如果把5GC网络比作全国公路网,网络中的数据就是过往的车辆。我们可以简单地将5GC安全架构的几个层次进行类比。(1)准入安全准入安全就像车管所负责对车辆进行年检,只有符合安全要求的车辆才能上路。同样,当各种用户设备(UE)通过基站(NR)接入5G核心网时,5G核心网会对用户设备进行接入认证、接入控制等,并在数据传输过程中进行数据加密和完整性保护。.性保护。5GC系统采用双向认证,确保接入设备接入真实安全的5G核心网,杜绝接入“虚假基站”。同时,接入设备通过UDM和AUSF进行认证。对于3GPP接入和非3GPP接入,采用统一的接入流程和认证方式,支持EPS-AKA、5G-AKA、EAP-AKA’等多种认证方式。5G鉴权过程增强了对归属网络的控制,防止了拜访网络可能存在的欺诈行为。(2)网络安全5GC网络通过划分不同的网络平面,传输不同类型的数据来实现网络安全。某个网络平面的数据不会去到其他网络平面。这类似于城市之间有高速公路、国道和省道,城市内部有BRT专用车道,体现了分类管理的价值。(3)管理安全管理安全就像交管局的职能:管理交通,服务广大车友。不同地区的交警负责本地区的交通安全。同样,5GCNF通过MANO进行管理和编排。MANO支持权域分离的安全管理场景。分散管理:为不同级别的用户提供不同的操作权限,以达到可见/不可见、可管理/不可管理的目的。在系统中,权限就是操作集合。系统有默认的操作集合,包括安全管理员、管理员、操作员、监控员和维护员。您还可以自定义操作集。域管理:对节点的数据或运维功能进行集中控制,按照管理域划分为多个虚拟管理实体,实现用户在不同域内的管理。系统支持地域(行政区域)、业务域(厂商、专业、网元类型)、资源池(资源池及资源池下的租户)的域维度。(4)能力开放安全5GC支持网络能力开放,通过能力开放接口将网络能力开放给第三方应用,第三方可以根据自身需求设计定制化网络服务。能力开放安全侧重于开放接口的安全保护,采用安全协议规范。第三方用户设备通过API接入时,需要进行鉴权。(五)数据安全5G时代的数据具有数据量大、数据类型多样、暴露面广等特点。因此,建立5GC数据安全体系,保障5G数据安全显得尤为重要。5GC数据安全体系建立在数据最小化、匿名化、加密传输、访问控制的数据保护原则之上。面向服务的架构安全由于5GC采用了面向服务的架构,针对新的面向服务架构带来的安全风险,5GC安全架构采用完善的服务注册、发现、授权安全机制,确保面向服务安全。在NF注册和发现过程中,NRF和NF之间采用双向认证。NRF和NF认证成功后,NRF判断NF是否被授权执行注册和发现过程。在非漫游场景下,即在同一个PLMN下,5G核心网控制面的NF采用基于token的授权机制,NF业务访问者在访问业务API前需要进行鉴权。在漫游场景下,即不同PLMN之间授权NF时,拜访地的vNRF和归属地的hNRF需要进行相互认证。虚拟化平台安全虚拟化平台为所有5G核心网NF提供部署、管理和执行环境。为了实现虚拟化平台的安全,Hypervisor扮演着重要的角色:Hypervisor统一管理物理资源,保证每个虚拟机都能获得相对独立的计算资源,实现物理资源和虚拟资源的隔离.虚拟机的所有I/O操作都会被Hypervisor拦截和处理。Hypervisor保证虚拟机只能访问分配给虚拟机的物理磁盘,实现了不同虚拟机硬盘的隔离。Hypervisor还负责调度vCPU的上下文切换,使虚拟机操作系统和应用程序运行在不同的指令级(Ring)上,保证操作系统和应用程序之间的隔离。对于用户来说,可以通过配置不同的VDC来实现虚拟机之间的通信隔离。通过配置安全组,最终用户可以控制虚拟机的互通和隔离关系,增强虚拟机的安全性。结语现在,你知道5G核心网的安全是如何保障的了吧。中兴通讯提出的5GC安全架构从接入安全、网络安全、管理安全、数据安全、能力暴露安全等方面保障5GC网络安全,大大降低用户设备非法接入、网元间通信数据泄露等安全问题。威胁。此外,针对多接入边缘计算(MEC)场景,中兴通讯提出了MEC安全架构和解决方案,保障MEC场景下核心网的安全。
