5G网络建设是我国新型基础设施建设的重要组成部分。党中央多次作出重要指示,提出要加快5G网络等新型基础设施建设。工信部在《关于促进网络开放共享推动5G异网漫游的实施意见》中指出:“坚持科学实用、适度超前、从严节约,引导电信企业建立健全跨网漫游合作机制,合理制定5G网络规划,避免重复建设。”5G跨网漫游可以最大限度地利用已经建成的5G网络,为更广泛的用户群体提供服务。对贯彻落实党中央关于加快我国5G新型基础设施建设,推进5G网络开放共享,减少5G网络重复建设,实现5G网络覆盖和业务集约化发展具有重要意义。有效率的。意义重大。5G多网漫游安全是5G多网漫游业务顺利开展的重要保障。本文首先介绍了5G多网漫游组网架构、漫游互通接口、安全防护边界代理SEPP安全功能,然后分析了5G多网漫游的安全风险。最后从部署实施的角度提出了相应的安全防护对策和建议。5G核心网异网漫游架构5G核心网漫游是指在独立组网(SA)模式下,在漫游区域内,归属网络的用户通过访问来访网络的5G网络使用5G服务。5G核心网漫游运营商的5G接入网和核心网独立建设和管理,用户独立管理。5G核心网漫游的组网方式主要有两种,即归属路由(HR,HomeRouted)和漫游路由(LBO,LocalBreakout)。归属路由方案如图1所示。用户平面流量流回归属UPF接入DN。漫游路由方案如图2所示,用户面业务流通过漫游UPF接入DN,不需要归属网络的协助。漫游路由方式虽然具有用户数据传输路径短的优点,但是无法在拜访地和归属地之间进行计费对账,归属地也无法获知漫游用户的状态。图1归属路由网络架构图2漫游路由网络架构5G核心网跨网漫游首选归属路由。漫游用户的业务数据返回归属网络,用户业务由归属网络处理,为用户提供服务。拜访运营商和归属运营商在各自信令面的网络边界部署SEPP,实现信令面的数据转发等功能。媒体面通过UPF进行通信,实现用户面的数据转发功能。漫游互通设备SEPP和UPF可以通过边界网关(BG)连接,来访运营商和归属运营商网络可以在网络边缘部署防火墙设备。5G核心网漫游互通接口的归属hSEPP通过N32接口与漫游vSEPP相连,N32接口分为N32-c接口和N32-f接口。N32-c是SEPP之间的控制面接口,主要完成SEPP之间的握手通信,包括能力协商和安全参数交换。N32-f作为SEPP之间的应用接口,主要完成NF之间跨PLMN的消息加解密和转发,包括IPX加密信息的转发和解密。AMF通过N8接口与本地UDM相连,主要完成接入订阅信息的获取。AMF通过N12接口与归属AUSF相连,主要进行接入认证。漫游vSMF通过N16接口连接归属hSMF,主要用于会话消息传递。漫游vPCF通过N24接口与归属地hPCF相连,主要获取用户策略。漫游vNRF通过N27接口与归属地hNRF相连,主要进行跨PLMN的业务发现、订阅和通知。homehNSSF通过N31接口连接到漫游vNSSF,用于接收来自home站点的网络切片规则。归属UPF通过N9接口与漫游UPF通信,业务流量从归属UPF通过N9接口进入DN。图3为5G核心网跨不同网络的漫游互通接口,接口列表如表1所示。图35G核心网漫游互通接口表15G核心网漫游互通接口列表SEPP-basedsecuritymechanismSEPP是安全边界保护代理,是5G漫游安全架构的重要组成部分,是运营商核心网控制面边界网关之间的接口。SEPP是非透明代理,实现跨运营商网络中网络功能服务消费者和网络功能服务提供者之间的安全通信,负责运营商之间控制面接口上的消息过滤和策略管理,提供网络运营端-业务网络之间信令的端到端保护,防止外界获取运营商网络之间的敏感数据。基于SEPP的安全机制主要包括消息过滤、访问控制和拓扑隐藏。消息过滤:在5G漫游过程中,运营商需要在SEPP上对传入的协议消息进行过滤和控制。访问控制:SEPP需要验证通信对端运营商的数据,包括判断消息来源的真实性,请求的信息是否仅限于对端运营商用户和本地网络运营商用户等。拓扑隐藏:漫游场景涉及跨PLMN之间的NF通信。在通信过程中,为了防止对端PLMN根据FQDN信息获取本地拓扑信息,SEPP需要在发送给其他PLMN的所有消息中发送本地NF的FQDN。做拓扑隐藏。六大安全风险及安全防护策略5G核心网跨网漫游安全问题主要包括漫游传输安全问题、网元间互访安全问题、互联接口安全问题、信令面安全问题、用户面数据安全问题.安全问题、容灾安全问题等等,下面我们将对各种安全问题进行详细的分析和阐述。漫游传输安全问题在归属网络和拜访网络之间建立漫游连接时,如果没有有效的端到端保护,攻击者可以借此进行中间人攻击,获取两者之间的信息通过伪造、篡改或窃取连接信令来攻击运营商的网络。敏感数据、窃取漫游用户身份使用服务、改变用户漫游状态、扰乱漫游业务连续性等。针对漫游传输的安全风险,应部署有效的安全传输措施。拜访网络侧SEPP和归属网络侧SEPP需要使用TLS传输层加密,SEPP之间直接建立端到端的TLS连接进行信令转发,保证传输过程的完整性和保密性.5G采用基于服务的SBA架构。在面向服务的架构中,网络功能NF用于替代原有的网元NE,使每个网络功能对外呈现一个通用的面向服务的接口。这种机制使得5G网络功能在网络和管理上可以非常灵活的部署,但是这种机制也带来了新的安全问题。如果网络中存在非法的NF向特定的NF请求敏感数据,或者利用合法的网络功能实体获取不该获取的数据,就会出现不当的信息泄露,使得原有的安全机制无法发挥作用。对此类攻击采取有效防护。鉴于网元间互访存在安全风险,建议部署必要的安全认证和网络隔离措施。一是支持网络内设备与网络外设备连接时的相互安全认证功能。二是通过物理或逻辑隔离,对5G跨网漫游网络系统的管理、业务、存储平面进行隔离。三是在信令面的网络边界部署SEPP,隔离内外网络,逻辑上隔离不同的漫游伙伴。四是部署跨网互通防火墙,避免不同安全域间跳转带来的安全风险。互连接口安全问题5G核心网网间漫游互连接口信令面主要是N32接口,用户面主要是N9接口。N32接口实现不同运营商之间的信令路由和转发。N32接口如果不采用有效的访问控制机制,将面临接口异常访问或权限滥用等风险。攻击者可以调用该接口发送非漫游信令占用接口或非法请求。漫游订阅信息。N9接口主要传输用户面数据,也需要采取必要的安全措施来防止攻击者对网络进行流量攻击。鉴于漫游互联接口存在安全风险,建议部署必要的访问控制措施。首先,漫游互联N32接口采用访问控制机制,通过异常呼叫限制和权限控制,规避接口异常访问或权限滥用等风险。二是SEPP开启协议控制功能,选择允许或不允许哪些协议进入5GC网络,保证5GC网络的安全。三是SEPP、UPF、BG开启ACL过滤功能,可以拦截配置的网络地址和端口。核心网安全问题5G跨网络漫游时,属于网络方的用户在漫游服务区内接入访问方网络方的5G网络,访问方网络核心网为漫游用户提供5G服务。漫游用户在5G共享区域漫游注册、移动、更新业务时,会涉及到大量的信令交互。如果在信令交互过程中没有有效的安全认证、频率控制等安全机制,攻击者将通过伪造虚假的漫游请求消息、频繁登录和退出漫游设备等方式对拜访网络的核心网络进行DDoS攻击,这将恶意消耗核心网络。资源、漫游业务中断,甚至影响被访网络自身网络业务的正常运行。鉴于核心网的安全风险,建议对漫游注册、注销、加密、鉴权等信令传输实现限速功能,避免信令风暴,导致合法信令交互延迟甚至失败,并影响漫游服务的正常运行。信令安全问题5G核心网跨网漫游主要面临敏感信息泄露、信令欺诈等安全风险。运营商部署通常是敏感的,不想暴露给其他人。由于网间信令中携带着全球唯一域名FQDN信息、号码段、IP地址等重要网络信息,如果不采用加密、混淆等方式对信息进行转换、修改或替换,敏感信息如网络的内部拓扑结构可能会暴露给公众。对方运营商。因此,跨运营商的消息传输也需要更紧密地考虑隐藏拓扑等信息。攻击者可以利用安全漏洞,通过伪造虚假漫游信令攻击访问网络,导致漫游业务异常中断。针对5G核心网跨网漫游的跨网信令安全风险,建议部署如下安全措施。首先,拜访网络和归属网络应部署安全边缘保护代理SEPP等信令保护机制,为网间漫游信令面数据互通提供安全保护验证。二是在信令面网络边界部署SEPP,隐藏拓扑结构,避免全球唯一域名FQDN信息、号码段、IP地址等重要网络信息外露。三是为漫游握手等重要过程提供信令验证机制,可以丢弃格式错误或信息不匹配的信令消息。四是提供信令防欺诈机制,基于SEPP局所属PLMN与业务信令中携带的FQDN和PLMNID联合检测。用户面数据的安全问题5G核心网在不同网络之间漫游,N9接口传输的用户面数据基本都是GTP-U数据。由于GTP本身存在安全漏洞,并且GTP安全问题会随着5G网络流量的增长而增加,因此需要增加额外的安全措施来保证N9接口上传输的用户面报文的安全,保护其网络不受无效影响PLMN间N9流量。为了5G核心网不同网络用户面数据漫游的安全,建议在网络边界部署支持用户面安全网关功能的UPF,保护PLMN之间的用户面消息。N9接口实现了GTP-U安全。用户面安全网关功能的具体安全措施包括:用户面安全网关必须只转发属于有效PDU会话的F-TEID的GTP-U数据包,丢弃其他数据包;用户面安全网关必须丢弃错误的GTP-U消息。
