5G网络安全笔记
2024-08-20 19:50:56 0 举报AI智能生成
登录查看完整内容
5G网络安全笔记
作者其他创作
大纲/内容
千行百业,安全是5G承载行业应用的保障媒体直播、智能操控、智慧人工、智能电网、智能农业、智慧医疗、城市安防、智慧教育、智能驾驶
安全是5G承载行业应用的关键保障挑战:1、运营商网络使能行业应用,行业数据通过运营商网络承载2、企业内网与运营商网络互通应用场景:MEC下沉到边缘,集成第三方应用,对外提供API安全诉求:5G网络成为企业ICT基础设施的一部分,安全保护升级
为什么网络安全在5G中至关重要
NIST CSF IPDRR 方法论,围绕安全事件构筑韧性Identify 识别Protect 保护Detect 检测Respond响应Recover 恢复
1、减少风险敞口期,月级-> 小时级2、缩短威胁发现时间,月级->分钟级3、避免危害扩大,快速恢复,天极->分钟级
如何建设5G网络安全
5G安全风险
设备被入侵、非法控制∶设备承载的业务价值更高,边缘云等进入企业园区,造成设备被入侵攻击、非法控制的风险更高。
网元安全
网络安全和业务安全∶网络本身通用的安全解决方案,业务系统基于自身属性的安全解决方案。
网络安全
安全的运维∶安全运维本质“经验”积累,如何沉淀对抗经验,图形化,自动化提升运维效率成为关键。
运维安全
使能行业安全∶客户对电信网络安全性要求提升,提供安全可信的网络服务和安全增值服务是使能;G的关键。
行业安全
5G网络的4层安全挑战
设备级的纵向可信,确保设备的软硬件可信,防止设备被非法入侵、控制
设备安全
电信级的横向网络韧性,确保设备间网络通讯的机密性、完整性、可用性
感知业务的安全策略编排感知业务的安全事件检测提升安全有效性和运维安全效率
基于网+云的安全能力,保护行业客户5G应用安全,实现安全能力变现
使能安全
分层
Build-in安全产品设计开发部署Build-in安全5G通讯业务Build-in安全网络运维流程Build-in安全5G应用使能Build-in安全
原则
内生安全解决方案设计
挑战和诉求
最后的防线、可信、有效、高效
系统隔离保护:软硬件系统安全保护
机密数据保护:证书/秘钥可信根管理
软件大包防篡改:软件完整性校验
网元监控防护:无处不在的监控和防护
网元之外,通信安全 IPDRR 面向业务,感知业务
无线业务安全:伪基站检测,无线信令风暴
承载业务安全:DDOS,违法私接
5GC业务安全:信令/漫游安全,隐私保护
业务安全
策略管理:纵深防御,精细化管控
风险管理:资产感知,风险感知,脆弱性感知
威胁管理:边界威胁检测,区域内威胁检测
网络/业务安全
从研发态,到运维态 向管理,要效益“网络之外”的攻击
5G E2E 安全态势感知/安全中台:关联分析,跨越处置,“经验”积累
安全运维
运维“零信任”:防黑、防呆、防内
消除顾略,构建信任 价值感知和兑现
终端接入安全
应用安全
数据传输安全
基础网络安全
架构
硬件安全加固
内存防护
内核防护
隔离沙箱
进程防护
虚拟化隔离
容器隔离
操作系统防护
机密数据保护
软件防篡改
安全监测
设备内生安全
控制面/用户面协议栈分离
控制面加密/完整性保护
用户面加密/或完整性保护
空口三面隔离
设备三面隔离
传输三面隔离
管理/控制/用户三面隔离
构建网元级威胁感知、防护能力
可信启动
逐层启动 网元
基于可信计算构建启动态、运行态的设备软件防篡改、实时感知能力
构建多层级纵深防御
出厂预置工厂证书,开站基于证书的强身份认证入网运行阶段安全传输能力支持基站满规格运行,支持容灾备份安全组网
RAN安全防护◆ 物理安全防护通过安全门锁、环境告警、一体化防拆结构等措施,保障基站的物理安全。◆ 系统安全加固最小化安装,关闭不必要的服务,禁用Telnet等不安全服务。最小化权限,避免使用root权限。漏洞修补,及时升级最新版本和补丁。◆ 设备端口保护关闭基站不使用的物理端口,如果打开,向网管上报告警。◆ 系统可信启动基于内置硬件芯片可信根的安全启动,启动过程中对软件签名校验。◆ 内置安全防护组件内置防火墙∶配置ACL,过滤非法数据报文。抗DDoS攻击∶设置报文的接收速率,DDOS攻击场景下自动限速自我保护。
子主题 3
RAN基站安全部署
高可用设计及关键技术
承载网HA方案:物理拓扑冗余+协议保护
UPF/MEC下沉边缘后主要安全措施∶1、传输安全∶边缘UPF与核心网之间的接口Na/Ng接口要支持IPSEC传输,确保传输安全。2、边界安全∶边缘UPF与Internet之间部署Firewall等防护设备。3、数据安全∶UPF无IMSIMSISDN等用户标识信息;UPF透明转发用户面数据;4、设备安全∶软件包数字签名校验、可信启动、动态度量支持软硬件防篡改,保护设备安全;支持VM之间通信认证/授权/加密/完整性保护5、APP安全∶对APP安全性检测,APP支持数字签名(采用运营商证书)。MEAO/NFVO对APP进行编排、安装APP时校验APP的完整性;6、部署隔离边缘uPF与APP,高可信APP与低可信APP隔离部署;硬件隔离;VM 隔离;安全组隔离;7、AP接口安全∶能力开放API接口访问支持认证、鉴权;API接口访问流控
多方面措施保障MEC和第三方应用安全
防火墙优先级部署策略
5GC 纵深防御
基于IPDRR构建网络韧性,增强5GC业务安全
身份多维验证、终端环境感知、信任实时评估、权限精细控制· 人∶■用户名密码;二次认证;短信息认证;行为画像· 终端■终端类型;接入区域;外网隔离;非法外连;病毒事件· 工单■工作时间;资产对象;运维目的;操作List;审批人员· 设备■可信状态;异常事件;异常登录;业务类型
难点在于评估,多系统配合
终端管理,账号管理,业务管理打造融合打造零信任体系,最终使能安全运维自动驾驶
网元业务配置、通用配置合规管理能力
单域安全态势感知
安全中台
运维安全-为安全人员、运维人员打造安全数字化装备,增量不增人
5G终端安全
传统终端接入CPE访问控制
终端安全
切片隔离
网络传输安全
链路安全
边界防护
安全服务防护
边界安全
运营商与企业客户界面安全防护
APP安全防护
MEC安全
Secaas(MEC App防护)
企业态势感知与安全管理
安全运营/安全服务
运营商代维模式,确保入驻MEC的企业应用安全
企业应用和数据安全
行业安全解决方案框架
行业使能安全
内生安全解决方案架构
5G内生安全方案
集成到了hcsp-5G security 认证
3GPP致力于提供更好的业务体验、更安全的数据传输
监管机构
运营商
设备商
芯片
终端
3GPP组成
统一鉴权
二次认证
运营商/PLMN间安全性
IMSI隐私保护
用户面完保
R15
URLLC高可靠低时延安全机制
切片安全机制
AKMA基于3GPP安全架构的安全能力开放
TOB场景安全增强:5G Vertical LAN 安全5G V2X车联网安全
R16基本准入:SCAS设备安全认证1.0可用于垂直行业的功能增强
eNA智能网络安全
UC3S数据用户授权
AI安全
IIOT工业物联网安全增强
eEDGE边缘计算安全
AKMA安全能力开放增强
eNPN私网安全
UAV无人机安全
MBS广播安全
场景安全能力扩展
R17基本准入:SCAS设备安全认证2.0进一步增强
256位加密算法
基于3GPP安全架构的安全能力开放
R18基本准入:SCAS设备安全认证3.0
三个版本5G安全标准特性
2G到5G的安全标准演进
R15主要安全增强
保障UE合法接入、空口机密性/完整性和
子主题 4
R15基本安全架构和安全特性
R16安全标准概况
确定性网络在移动网络中为特定流提供有界时延和抖动以及提高的可靠性的确定性传输功能,同时支持端到端高精度的时间同步
保障带宽
抖动
同步
时延
TSN switch
宽松的时延&抖动,长尾效应
宽松的丢包率
典型业务:网页
Best-Effort
有界的时延&抖动
极严苛的丢包率
典型业务:工业控制/电力业务
Deterministic
TSN安全-确定性网络的定义
切片+Det NET实现
基于无线网络的确定性部署场景
DS-TT(device-side tsn translator)和UE合一或者独立部署
NW-TT(network-side tsn translator)和UPF合一
5G内部(例如N3接口)可以使用TSN部署,但现在不在3GPP定义
5GS作为逻辑TSN桥(黑盒模式)
5G系统对外表现为TSN logical bridge(black box)· 控制面∶AF(TSN Translator CP)用于适配5G系统接口和TSN协议及参数。· 用户面∶5Glogical bridge用户面通过TSN Translator(网络侧NW-TT和设备侧DS-TT)向TSN网络提供TSN端口特性。
场景
emf
primary接入
切片认证流程
AKMA秘钥分发以及存储
能力开放给第三方
应用身份认证和秘钥管理
R16开启使能行业的安全标准
eNPN
新增加网元NWDAFNWDAF∶网络数据分析功能,用于∶识别网络切片实例。加载网络切片实例的负载级别信息。·网络数据分析功能可使NF消费者订阅或取消订阅定期通知,并在超过阈值的情况下,通知消费者。本功能还未正式使用,未来投入使用后流程可能存在差异。·
eNA
UAV和3GPP系统间的身份识别、认证与授权
无人机安全
目前使用AES-128、SNOW 3G-128、ZUC-128
为了抵御量子攻击对对称密码算法的影响
256算法
多播广播业务安全
LTE用户面完整性保护
其他安全增强点
R17深化使能行业的安全标准
5G安全知识库-基线
3GPP 5G安全标准33.501
5G演进确定:2015年10月26日至30日,在瑞士日内瓦召开的2015无线电通信全会上,国际电联无线电通信部门(ITU-R)正式批准了三项有利于推进未来<G研究进程的决议,并正式确定了5G的法定名称是“IMT-2020” 6G官方名字“IMT-2030”伴随着ITU5G计划的推出和实施,中国推进5G网络的步伐明显加速。中国5G技术研发试验在政府的领导下,依托国家科技重大专项,由国内IMT-2020(5G)推进组负责,正在积极实施
演进
三高、两低、一快高速率、高连接数、高移动性低时延、低成本业务快速部署4G :350km/h 5G:500km/h
业务需求
eMBB
移动互联网业务
大连接(mMTC)m :massive
低时延高可靠(URLLC)
物联网业务
三大业务场景
移动性
频谱效率
用户体验速率
峰值速率
区域流量
网络能效
八大关键性能指标
非独立组网场景 2017年12月
独立组网场景 2018年6月
5G第一个版本:Rel-15,时间2017年年底,两个阶段,针对eMBB标准化
新波形
Numerology,帧结构
编码、调制&信道
mMIMO
灵活双工
构建NR技术框架
上下行解耦
CU-DU高层切分
NSA/SA
网络架构Ready
uRLLC
行业应用基础设计
概要
新多址
eMBB Sub6GHz增强
IAB(接入回传一体化)
持续提升NR竞争力
uRLLC增强
mMTC
D2D
V2X
非授权频谱接入
开创行业数字化
5G第二个版本:Rel-16,时间2020年6月第一个支持三大业务版本,支持完整业务版本
预计2023年,第三个版本会发布
5G标准进展介绍
标准发布后半年,2018年韩国,nsa网络标准发布后一年,商用终端发布
3G 发展5亿用户 10年,2001年-2010年4G 发展5亿用户 5年,2009年-2014年5G 发展5亿用户 3年,2019年-2022年
商用环境
华为
高通
三星
联发科
终端芯片发展
2019年Q3-2019年Q4第二代,集成 SoC ,华为麒麟、高通 SD芯片
第三代,
发展
5G业务介绍及进展
eNB 4G基站
EPC 4GC
gNB 5G基站
NGC 5GC
只要接入网4G\\5G在一起混合接入组网的 都是NSA
组网方案
option 2 和option 5 SA
其他的NSA
现网中SA 用的是option 2
现网中NSA用的是option 3X
option 3
EN-DC
option 4
NE-DC
option 5
NGEN-DC
MR-DC:multiple-RAT Dual Connection(4G+5G)
NSA
移动性管理
AMF
鉴权管理
AUSF
PDN会话管理
SMF
用户面数据转发
UPF
对应4G网元PCRF 计费及策略控制
PCF
对应4G网元HSS 用户数据库
UDM
NGC
gNB
NG-RAN
网元
通用硬件、特定软件
用户面与承载面分离
模块化设计
切片
5G独立组网场景下,核心网的变化相对于EPC 变化比较大,5G网络在定义NGC架构时,有如下特点∶■ 网络基于NVF和SDN技术,实现逻辑功能和硬件的解耦■参考现有EPC架构,用户面和承载面绝对分离■逻辑功能模块化设计,实现灵活的网络切片5G网络名称■ 无线网络NR(New RAN)■ 核心网NG(Next Generation)Core
特点
SA
UE空口控制面板协议栈:物理层-数据链路层-RLC-PDCP-RRC-NAS
gNB控制面板协议栈:物理层-数据链路层-RLC-PDCP-RRC
UE空口用户面协议栈:物理层-数据链路层-RLC-PDCP-SDAP
gNB用户面板协议栈:物理层-数据链路层-RLC-PDCP-SDAP
PDCP:用来空口传输安全机制
空口 radio interface
5G口空协议层支持原生的安全协议
在空中接口,PDCP协议层用于执行空口安全的流程。UE空口的安全性包括NAS和AS两层,NAS层只有控制面,AS层包括控制面和用户面。
基站与终端接口
协议栈,TCP/IP 物理层-数据链路层-IP-TCP-FTP/HTTP
gNB-EMS :OM OM channel
基站到网管
NG-U
NG-AP
SCTP
控制面
User-plane PDUs
UDP-GTP-U
用户面
底层:物理层-数据链路层-ip
协议栈 TCP/IP
基站到核心网
接口与协议栈介绍
5G网络架构介绍
频率(带宽/利用率)
资源
单位资源传输数据量大小
传输效率
路更宽
新频谱(C-band/毫米波):大带宽新波形(F-OFDM)利用率
高架桥
多天线:Massive MIMO
把人装车里。双层巴士
提升效率:新调制(更高阶调制技术256QAM)
5G NR 新空口 提速关键技术
eMBB速率提升关键技术
Sub6G频段,也就是我们说的低频频段,5G主用频段,覆盖好,容量差;其中3Ghz以下的频率我们称之为sub3G,其余频段成为C-band
目前主流 100M带宽
频率范围:450MHz-6000MHz
FR1
毫米波,也就是我们说的高频频段,为5G的扩展频段,频谱资源丰富,覆盖差,资源丰富
以28 39 60 73Ghz为主 ,频率 波长 光速
400M带宽 热点eMBB容量补充
WTTX应用
频率范围:24250MHz-52600MHz
FR2
3GPP协议中,5G总体频谱资源,2大段频率成为FR(frequency Range)
C波段 和2.6G是主用波段
2515-26752.6Ghz N41160MHZ4800-4900100MHz N79
移动
联通、电信、光电共享室内100MHz 3300-3400
3500-3600N783.5G100MHZ
联通
3400-3500N783.5G100MHZ
电信
N794.9G60MHz4900-4960
广电
国内
室内外热点,视距场景
1,毫米波用于热点eMBB
WTTx接入
CPE可以室外或室内安装
2,毫米波用于WTTx
集成5G接入和回传功能,基于时间,频率,空间等纬度进行动态调度
通过自回传,站点部署更方便
3,毫米波用于无线回传
热点eMBB,WTTx自回传
sub6G :5M 10M 15 20 25 40 50 60 80M 100M
mmWave: 50M 100M 200M 400M
子载波规格,详见38.101协议
5G小区带宽
5G频段
频段低 覆盖性能好
sub3G
劣势及部署策略
NR新增频段,频谱资源丰富,小区带宽大
C-band
NR新增频段,小区带宽最大
毫米波
在初期部署阶段,由于容量或覆盖的巨大劣势,Sub2.4GHz和Above6GHz的部署场景都比较少,当前运营商主要选择的频段是C-Band以及TDD的2.6GHz,可以同时兼顾覆盖以及容量。部分FDD频段可以作为SUL频段部署,提升上行覆盖及容量。高频更适合于热点及室内覆盖等场景的部署。
部署策略
信道编码技术
大规模天线技术(mimo)
F-OFDM
OFDM采用正交技术,载波之间可以重叠,通过特殊计算,保证载波之间干扰消除
FDM载波和载波之间有保护带
TDM
CDM
分支主题
5G无线空口技术框架
多址接入技术
5G调制技术
目的:通过增加冗余数据提升数据传输的可靠性
控制信道:polar码
业务信道:ldpc码
5G信道编码
提升收发天线数量提升复用能力
8流 8T8R
下行
4流 4T4R
上行
5G
4T8R
NR massive MIMO技术
无线网络关键技术
· 伪基站通常由简易无线设备和专用开源软件组成。它可以通过模拟目标基站,依据相关协议向目标终端发送信令,获取目标终端相关信息。· 2G的系统设计中仅设计了网络对终端的单向认证,终端无法判断接入的基站和网络是否可信。攻击者可以伪冒基站和网络,让用户连接到恶意网络,从而实现进一步攻击。例如,给用户发送短信诱骗用户点击恶意链接、下载恶意软件或者伪冒服务电话对用户实施诈骗等。3G和4G在网络设计时,已经实现了双向认证,其中4G网络双向鉴权过程如图。但对于多·模手机来说,存在用户回落到2G网络的场景。攻击者可以利用这个特点,制造条件让终端回落到2G的伪基站,实现相同的攻击。
伪基站检测-华为定义
真实基站会触发ANR测量将伪基站加入邻区列表,从而触发到伪基站的切换。由于真实基站和伪基站之间没有心灵交互而导致切换失败,此时指向同一邻区切换成功率变差,就可以作为过滤甄别伪基站小区的条件
同时ANR测量过程中UE上报的测量报告中包含NCGI和TAC1、PLMN、gNB ID 明显跟现网的不符,则很可能是伪基站2、TAC与周围伪基站不一致,也很可能是伪基站
伪基站识别
伪基站攻击
目的:完成对用户鉴别;根据根秘钥派生出相关的安全密钥,用于后续安全流程
鉴权关键点:支持双向鉴权,降低伪基站的攻击威胁(3G和4G也支持)采用的通用鉴权框架-AKA(authentication and key agreement)鉴权和秘钥约定,作为基础的秘钥派生算法,基于对称加密技术
5G鉴权支持如下两种AKA算法5G AKA 支持用户在归属地和拜访地二次鉴权EAP-AKA' 仅支持用户在归属地鉴权( EAP:Extensible Authentication Protocol )UDM签约进行控制
5G鉴权概述
RAND\\AUTN\\XRES\\IK'\\CK'AUTN\\XRES 根秘钥算的随机数\\鉴权\\
手机-根据K值和rand数 算出AUTN和UDM比较。
鉴权主要步骤如下∶■ UE向AMF发送注册请求,AMF携带鉴权UEID■ AMF选择AUSF,向AUSF发送鉴权请求。AUSF向UDM请求鉴权数据■ UDM向AUSF下发鉴权向量,AUSF将RAND和AUTN转发给AMF,AMF通过NAS消息将鉴权向量转发给UE■ UE根据AUTN对网络进行鉴权。鉴权成功后,UE通过RAND计算鉴权结果,并将结果上报给AMF■ AMF将结果转发给AUSF。AUSF对终端进行鉴权。鉴权成功后,AUSF下发相应的安全密钥给AMF■ AMF通过NAS消息下发加密和完整性保护算法,激活NAS安全流程
EAP-AKA'
RAND/AUTN/
5G-AKA算法时的不同点∶■ 权签向量不同■ AMF和AUSF分别对用户执行鉴权■ 秘钥派生流程不同
5G-AKA
共有6个秘钥 AMF NAS 秘钥
鉴权流程
5G接入鉴权-3GPP定义
非法用户接入
DDoS攻击就是攻击者借助于"Distributed"技术,将多个被攻击者完全控制的终端联合起来作为攻击平台,对单个或多个攻击目标发动DoS攻击,大量的信息流到攻击目标中,占用攻击目标的资源,导致攻击目标因超负荷而拒绝为其他用户提供服务
随着无线业务快速发展,基站支持海量物联网(Internetof Things,loT)连接,而大量物联网终端为“弱终端”,其安全能力不足。如果将这部分弱终端部署在无人值守的区域,容易被攻击者接触并劫持、利用来集中向基站发起空口DDoS攻击,可能导致基站无法提供正常业务或瘫痪。分布式拒绝服务(DDOS,Distributed Denial of Service)攻击是指多个安全遭受危害的系统对单个目标系统进行攻击,大量的信息流到目标系统中,占用目标系统的资源,导致目标系统因超负荷而拒绝为其他用户提供服务。在5G网络中,如果大量UE接入尝试或发送信令,为了处理这些请求将耗尽gNodeB资源,最终导致小区的正常业务中
DDOS攻击防护-华为定义
提升硬件提升软件提升大带宽传输
DDOS攻击
空口数据加密及完整性保护-PDCP协议层-3GPP定义
数据窃取或篡改
5G空口安全威胁
空口安全保护的数据类型
子主题 1
空口完整性保护和加密:由空口的PDCP层完成关键参数:安全算法和安全密钥
空口安全功能实体
发送方:通过完整性算法计算出MAC-I (message authentication code for integrity)接收方:通过完整性算法计算出X-MAC(expected MAC-I)接收方通过比较MAC-I和X-MAC一致,保证数据不被篡改完整性保护是指发送方和接收方通过RRC消息协商出某一完整性保护算法,发送方使用协商的完整性保护算法基于消息计算出该消息的验证码MAC-I,然后将消息和该消息的验证码MAC-I一起发送给接收方,接收方使用协商的完整性保护算法基于接收到的消息计算出该消息的验证码×-MAC,并比较验证码MAC-I和验证码×-MAC∶■ 如果两个验证码不一致,则接收方确认此消息被篡改■ 如果两个验证码一致,则接收方确认此消息没有被篡改,通过完整性验证
数据完整性保护和校验
空口加密是指发送方和接收方通过RRC消息协商出某一加密算法,发送方使用协商的加密算法对消息进行加密,然后将加密后的消息发送给接收方,接收方使用协商的加密算法对加密的消息进行解密。
数据加密与解密
加密密钥和完整性密钥是加密和完整性保护算法的重要输入,如果这些密钥通过无线接口传输,则可能会被拦截。因此,为了保证秘钥安全,这些秘钥不会在空口传递给用户,而是由用户和网络侧分别根据根秘钥进行派生,因为根秘钥和AKA算法相同,因此可以确保派生出的秘钥也相同UE秘钥派生UE根据USIM卡的根秘钥派生出相应的安全流程秘钥网络侧秘钥派生∶基于UDM里的根秘钥,AMF和gNodeB派生出相应的安全流程秘钥
密钥派生概述
密钥派生过程中的中间密钥说明
SA组网秘钥派生架构··NAS安全秘钥KNASint∶NAS信令完整性保护秘钥KNASenc∶NAS信令加密秘钥·RRC安全秘钥∶KRRCint∶RRC信令完整性保护秘钥 KRRCenc∶RRC信令加密秘钥 KuPint∶空口用户面完整性保护秘钥Kupenc∶空口用户面加密秘钥
SA组网秘钥派生架构
NAS层安全和RRC层安全采用相同的安全算法● NAS层安全算法由AMF根据UE的安全能力进行选择● AS层安全算法由gNodeB根据UE的安全能力进行选择下表中是3GPP规范中定义的安全算法NIA:NR Integration Algorithm NEA∶NR Encryption Algorithm
5G空口加密算法强度提升,实现抗量子攻击
安全算法介绍
5G空口安全关键技术
服务化架构
服务发现流程
服务注册更新流程
服务去注册流程
服务注册流程
架构基本框架
网络切片基于SBA(Service Based Architecture)架构实现,由CSMF、NSMF和NSSMF提供网络切片的管理功能,实现跨RAN、TN、CN的端到端网络切片的协同和全生命周期管理。· 切片管理系统根据功能分层,有如下几个功能模块组成∶■ CSMF(Communication Service Management Function)为通信服务管理功能,负责将通信业务需求翻译为网络切片需求ServiceProfile,并传递给NSMF进行网络设计。CSMF 属于BSS(Business Support System)功能的一部分。■ NSMF (Network Slice Management Function)为网络切片管理功能,负责端到端的切片管理与设计。NSMF将网络切片需求分解为切片子网需求SliceProfile传递到NSSMF。■ NSSMF(Network Slice Subnet Management Function)为网络切片子网管理功能,负责子域/子网的切片管理与设计。NSSMF将子域/子网的能力上报给NSMF,得到NSMF的分解部署需求后,实现子域/子网内的NSSI的自治部署和使能,并在运行过程中,对子域/子网的切片网络进行管理和监控。无线、传输、核心网的NSSMF一般由华为的MAE-M、NCE、MAE-CN产品提供。MAE提供标准的NSMF-NSSMF接口,支持与NSMF和其它系统对接,使能切片端到端生命周期管理。用户的OSS系统可以通过该接口实现切片的生命周期管理,采用业界通用的RESTful接口,使对接更简单高效。
E2E管理面架构
切片特点:在一个物理网络能够在一个物理网络之上构建多个专用的、虚拟的、隔离的、按需的逻辑网络提供差异化性能,满足不同业务的SLA网络隔离及安全性业务独立运营
做端到端(E2E)需求转换 业务需求-网络需求
切片业务管理CSMF
切片需求分解
实例管理NSMF
子网管理功能,负责子域/子网的切片管理与设计
下发给子网切片管理 NSSMF-AN
管理架构
网络切片选择辅助信息,是S-NSSAI的集合
用与无线和承载
requested
subscribed
configured
allowed
NSSAI类型
NSSAI
所有运营商网络
SSD: NULL
标准类型:SST: 0-127
注册阶段:签约了哪些,决定可以使用的切片--用户能力、网络能力 选定 AMF
会话创建:使用阶段1的结果创建切片下的会话,选定SMF/UPF
UE只有在会话建立后才会真正使用切片的资源,在会话建立流程中确定的
用户角度
注册成功
选定SMF&UPF
仅携带一个S-NSSAI时
多个时
会话建立
网络角度
选择流程
切片选择辅助信息
NSSAI:网络切片选择辅助信息是S-NSSAI集合NSSAI:Network Slice Selection Assistance Information,包含一组S-NSSAls,最多8个∶
· Configured NSSAl:■ 每个PLMN配置一个ConfiguredNSSAl,表示本PLMN网络规划和部署的网络切片能力· Requested NSSAl:■ Registration流程中,将请求的NSSA携带给AMF,用于请求接入的切片逻辑网络■ UE根据保存的Configured NASSI、Allowed NSSAI、Service PLMN、TAI位置以及切片优先级确定· Subscribed NSSAl:■ 用户在UDM中签约的S-NSSAl列表,可定义一个或者多个缺省的S-NSSAl,每个S-NSSAI可定义DNN列表和一个默认的DNN。· Allowed NSSAI:■ Registration流程中,UE注册成功时AMF向UE下发的允许其使用的NSSAl■ AMF根据UE签约的Subscribed S-NSSAIS和UE请求的Requested NSSAI取交集下发给UE · Rejected NSSAl:■ Registration流程中,UE注册成功但存在部分切片拒绝接入时,AMF向UE下发的拒绝接入的S-NSSAIS■ 同时下发原因值表明是PLMN网络内拒绝接入,或者当前注册区域内拒绝接入
NSSAI类型:requested、subscribed、configured、allowed
在N3接口上,UPF基于切片规划独立的VLAN和IP地址,实现和承载网切片的映射。· 在N6接口上,如果多个切片使用相同的UPF,则通过DNN以及隧道技术实现业务的隔离。
切片业务隔离
切片管理架构
核心网关键技术
面向业务 4大技术特征1、服务化的网络架构2、控制承载分离(CUPS)3、移动边缘计算(MEC)4、网络切片(逻辑、专网)
4大技术特征
网络功能解耦和模块化
服务化接口
网络功能按需组合部署
NF服务独立升级,可编排
网络服务对外开放
新业务高效支持
服务化架构特性
信令面集中、简化运维
服务化架构利于敏捷运维
中心DC
75%的流量本地化
无缝移动业务锚点
本地DC
用户体验20倍提升
3GPP原生MEC能力
边缘DC
核心网控制面和用户面的分离使得网络部署更加灵活,控制面优先采用大集中部署,降低·部署成本,提升效率。而用户面则采用下沉式部署,提升业务体验。
CUPS最大化提升用户体验和网络效率
5GC服务化架构介绍
前传中传回传
承载网关键技术
5G端到端关键技术介绍
EPS FB
VoNR
5G语音方案
5G端到端架构及关键技术
3GPP what
ETSI how
UDM签约
PCF选用
0-255 移动用1和128
TOB 128 03FFFF
SST+SD
不同网络服务,不同SLA
独立隔离运维
快速TTM&敏捷运营,满足不同业务诉求
S-NSSAI
5G核心网架构与新技术回顾
保护核心资产、增强网络韧性、防敏感数据泄露
目标:
识别
保护
1、建立5GC安全风险识别及防护体系
监测
响应
2、建立5G安全监测处置体系
恢复
3、5G安全灾备恢复体系
满足等保2.0
4、满足安全合规要求
策略:
UE-AMF-AUSF-UDM逐个匹配后
UE-UDM匹配
认证凭据存储库和处理功能,内嵌到UDM中
ARPF
归属AUSF
认证服务器功能
安全锚点功能
SEAF
安全上下文管理功能
SCMF
内嵌到AMF中
5G核心网安全防护目标与安全架构
AMF AUSF UDM
1 鉴权向量获取
AMF校验第一次,比较通过后,把用户的RES值透传发送给AUSF,比较RES和XRES,如果相同,则验证成功
终端通过AUTN验证网络计算RES*
rand和autn 发给用户autn 密文rand 随机数
KAUSF -> Kseaf K值不断派生 ,完成加密认证
2 拜访网络双向鉴权
3 归属网络鉴权
终端认证网络
网络认证终端
5G AKA认证
UE-AMF-AUSF-UDM
EAP-AKA'鉴权
5G秘钥 K是营业厅开卡时,烧录到sim卡中
加密
完整性保护
6= 3*23组 每组2个
用户与核心网交互后 获得5G手机信号1、NAS(non access)信令交互 ,手机到基站(as)
基站
用户
KNASenc
KNSAint
完整性
手机到AMF (NAS信令)
KRRCenc
KRRCint
手机到基站 (AS信令面)
KUPenc
用户面完整性保护 是新增的
KUPint
手机到internet(AS用户面)
KN3IWF是non-3GPP
第一次鉴权 运营商来做
4/5G秘钥架构对比
UE和网络之间进行双向认证
所有设备都必须执行一次主身份验证才能访问移动网络服务
还可以结合企业AAA进行二次身份验证-鉴权、授权、计费 AAA服务器来进行二次鉴权认证
5G两种身份验证类型
临时方案
UE-基站-upf-用户aaa服务器
成熟方案
UE-基站-AMF-SMF-UPF-用户aaa服务器
5G接入二次鉴权--AAA二次鉴权标准流程
AMF(access mobile management)配置TAC(tracking area code跟踪区)小区与终端绑定关系,限制终端接入5G生产网络位置范围
PCF(policy charging function)位置、选网、业务,通过UPCF签约实现SIM卡+终端+NGCI小区绑定
5G用户接入区域限制方案
确保合法访问网络
5G统一标识
SUPI
通过 Routing indicator可以寻址AUSF和UDM
只有UDM认识
加密SUPI,5G更安全
SUCI
4G IMSI号码(SIM卡序列号15位) 在5G
PEI
4G-IMEI(设备序列号)在5G
4G MSISDN(手机号)在5G GPSI
4G TAC:2字节
5G TAC:3字节
TAI
5G-GUTI
5G-S-TMSI
临时
4G和5G各类标识对比
增加IMSI加密,保护用户隐私
完整性5G新增的
用户面完整性保护
应对量子计算机破解
加密算法秘钥使用256位秘钥
确保空口的保密性和完整性
无线(信任域)-ipsec(非信任域)-5GC(信任域)
3GPP个网元间支持使用ipsec保护传递信息安全ipsec加密盒校验确保数据传输的机密性和完整性ipsec认证保证数据源的真实性
5GC功能模块间使用HTTPS保护传递信息安全通过TLS对传输数据进行加密、完整性保护TLS双向身份认证防止假冒NF接入网络
业务通信安全:IPsec保证网元间安全,TLS保证功能模块间安全
SBA NF 授权
3GPP网元之间使用IPSec保护信息安全
5GC业务功能之间使用HTTPS
5G漫游安全由SEPP保证,实现消息过滤,拓扑隐藏,SEPP进行两个运营商消息转发
4G引入DEA实现
SEPP用于保证5GC归属域和漫游域之间的安全
确保3GPP网元之间连接的安全
3GPP 5G安全目标与特性增强
5G核心网业务安全方案
MEC=MEP APP
边缘DC中的MEC(客户园区)
TOB域
TOC域
隐藏拓扑、和其他运营商对接
SEPP
5GC DMZ1
开放第三方应用使用
能力开放
NEF
5GC DMZ2
AMF SMF PCF NRF NSSF
5GC信任区域1-控制
AUSF UDM
5GC信任区域2-数据
CHF
5GC信任区域3-计费
控制平面
EMS系统/MANO/NSMF
网管域
管理平面
5G核心安全区域划分与边界安全防护
· Anti-DDoS∶传统流量型DDoS攻击防护、应用层攻击的防护、IPv4-IPv6双栈防护等功能,全面防御100多种攻击类型,真正保护用户业务安全;
·Internet防火墙∶南北向流量安全隔离防护,抵御来自Internet的已知安全威胁;可通过深度识别流量内容,发现和拦截异常的外传敏感数据行为;对VPN业务IPSec加密等;
·IPS∶在对外链路上进行分光部署入侵防御IPS/IDS,提供漏洞和威胁签名库,应用层威胁防御
·WAF∶防护5GC内的NEF等能力开放、网管等WEB站点,支持HTTP/HTTPS流量解析,识别SQL注入、跨站攻击等,TCP协议加速,支持网页防篡改,WEB站点隐藏
外部接口
防火墙:南北向流量安全隔离防护,抵御来自Internet的已知安全威胁可通过深度识别流量内容,发现和拦截异常的外传敏感数据行为
VPN GW∶运营商共享基站场景通常会部署VPNGW,用于接入信令面IPSec VPN流量;VPN GW可与信令面FW共设备
IPS∶在对外链路上进行分光部署入侵防御IPS/IDS,提供漏洞和威胁签名库,应用层威胁防御
内部接口
朝向互联网和第三方运营商构建外部边界防护能力,朝向内部网管、计费等构建内部边界防护能力防火墙、IPS、WAF、Anti-DDOS
边界防护:
5GC内不同的安全域之间构建安全防护能力,如控制域、数据域、网管域等之间的安全防护
防火墙、白名单ACL、流量探针
域间安全防护
同一安全域内东西向流量的过滤保护
白名单ACL、流量探针
域内安全防护
安全区域划分
SMF AMF UPF
并发、地域类的使用
有难同当
负荷分担
pool模式
PCF/PCRF AUSF/UDM/HSS/HLR
一个干 一个不干
1+1主备模式
两个人一起干活,我干我的,你干你的,我干不了你干,你干不了了我干
1+1互备模式
容灾
冗余部署、实现韧性
后端数据存储
BE
前段数据处理
FE
BE-FE厂家内部接口
https
ran-upf n3 upf-upf n9 GTP-U echo
SCTP PFCP GTP-U ICMP协议互通,
非服务化接口
5Gcore 链路检测机制
运维客户端安全管控弱,容易被攻击
运维客户端之间横向渗透,获取高安全域的运维访问权限
运维人员越权访问EMS或者设备
网元间通过NMS域横向渗透
网元间通过EMS网元未跳板机渗透到其他网元
2B切片业务门户到NSMF等的访问风险
运维面临风险
网管域安全架构
问责与流程
特权接入工作站(PAW)
被管网络设备
用户接入控制
子主题日志与审计
安全运维六要素
NMS域面临的主要安全风险
网络安全:构建独立的管理面网络,与Internet隔离,部署防火墙、入侵检测、数据泄露等安全防护措施。
账户安全:提供多因素认证,验证运维人员登录,并通过堡垒机管理EMS服务器的所有 运维账户,实现统一接入、认证、授权和审计。
操作安全:使用堡垒机强制控制所有运维操作,这些操作都有日志和审计。SSO(单点登录)
运维流量加密:对从运维终端到被管设备的所有运维流量进行加密。
日志记录和审计:记录和审计所有运维活动,构建管理面网络全面的安全态势感知能力。
技术措施
建立完整的运维流程和体系,定期进行风险评估。
为设备厂商建立严格的运维接入管理流程,包括工单触发、提前审批、网络接入最低权限、 运营监控、日志审计等。
管理措施
加强5G网络安全运维能力
5G核心网部署与运维安全方案
5G核心网安全
5G网络安全相关
0 条评论
回复 删除
下一页
