5G网络安全笔记
2024-08-20 19:50:56 0 举报AI智能生成
5G网络安全笔记
作者其他创作
大纲/内容
5G内生安全方案
为什么网络安全在5G中至关重要
千行百业,安全是5G承载行业应用的保障
媒体直播、智能操控、智慧人工、智能电网、智能农业、智慧医疗、城市安防、智慧教育、智能驾驶
安全是5G承载行业应用的关键保障
挑战:
1、运营商网络使能行业应用,行业数据通过运营商网络承载
2、企业内网与运营商网络互通
应用场景:
MEC下沉到边缘,集成第三方应用,对外提供API
安全诉求:
5G网络成为企业ICT基础设施的一部分,安全保护升级
如何建设5G网络安全
NIST CSF IPDRR 方法论,围绕安全事件构筑韧性
Identify 识别
Protect 保护
Detect 检测
Respond响应
Recover 恢复
1、减少风险敞口期,月级-> 小时级
2、缩短威胁发现时间,月级->分钟级
3、避免危害扩大,快速恢复,天极->分钟级
5G安全风险
挑战和诉求
5G网络的4层安全挑战
网元安全
设备被入侵、非法控制∶设备承载的业务价值更高,边缘云等进入企业园区,造成设备被入侵攻击、非法控制的风险更高。
网络安全
网络安全和业务安全∶网络本身通用的安全解决方案,业务系统基于自身属性的安全解决方案。
运维安全
安全的运维∶安全运维本质“经验”积累,如何沉淀对抗经验,图形化,自动化提升运维效率成为关键。
行业安全
使能行业安全∶客户对电信网络安全性要求提升,提供安全可信的网络服务和安全增值服务是使能;G的关键。
内生安全解决方案设计
分层
设备安全
设备级的纵向可信,确保设备的软硬件可
信,防止设备被非法入侵、控制
网络安全
电信级的横向网络韧性,确保设备间网络
通讯的机密性、完整性、可用性
运维安全
感知业务的安全策略编排
感知业务的安全事件检测
提升安全有效性和运维安全效率
使能安全
基于网+云的安全能力,保护行业客户5G
应用安全,实现安全能力变现
内生安全解决方案架构
架构
网元安全
最后的防线、可信、有效、高效
系统隔离保护:软硬件系统安全保护
机密数据保护:证书/秘钥可信根管理
软件大包防篡改:软件完整性校验
网元监控防护:无处不在的监控和防护
网络/业务安全
网元之外,通信安全 IPDRR 面向业务,感知业务
业务安全
无线业务安全:伪基站检测,无线信令风暴
承载业务安全:DDOS,违法私接
5GC业务安全:信令/漫游安全,隐私保护
网络安全
策略管理:纵深防御,精细化管控
风险管理:资产感知,风险感知,脆弱性感知
威胁管理:边界威胁检测,区域内威胁检测
运维安全
从研发态,到运维态 向管理,要效益“网络之外”的攻击
安全运维
5G E2E 安全态势感知/安全中台:关联分析,跨越处置,“经验”积累
运维安全
运维“零信任”:防黑、防呆、防内
行业安全
消除顾略,构建信任 价值感知和兑现
终端接入安全
应用安全
数据传输安全
基础网络安全
网元安全
构建多层级纵深防御
设备内生安全
操作系统防护
硬件安全加固
内存防护
内核防护
隔离沙箱
进程防护
虚拟化隔离
容器隔离
机密数据保护
软件防篡改
安全监测
管理/控制/用户三面隔离
空口三面隔离
控制面/用户面协议栈分离
控制面加密/完整性保护
用户面加密/或完整性保护
设备三面隔离
传输三面隔离
设备安全
构建网元级威胁感知、防护能力
基于可信计算构建启动态、运行态的设备软件防篡改、实时感知能力
逐层启动 网元
可信启动
网络安全
RAN基站安全部署
出厂预置工厂证书,开站基于证书的强身份认证入网
运行阶段安全传输能力支持基站满规格运行,支持容灾备份安全组网
RAN安全防护
◆ 物理安全防护
通过安全门锁、环境告警、一体化防拆结构等措施,保障基站的物理安全。
◆ 系统安全加固
最小化安装,关闭不必要的服务,禁用Telnet等不安全服务。
最小化权限,避免使用root权限。
漏洞修补,及时升级最新版本和补丁。
◆ 设备端口保护
关闭基站不使用的物理端口,如果打开,向网管上报告警。
◆ 系统可信启动
基于内置硬件芯片可信根的安全启动,启动过程中对软件签名校验。
◆ 内置安全防护组件
内置防火墙∶配置ACL,过滤非法数据报文。
抗DDoS攻击∶设置报文的接收速率,DDOS攻击场景下自动限速自我保护。
子主题 3
承载网HA方案:物理拓扑冗余+协议保护
高可用设计及关键技术
多方面措施保障MEC和第三方应用安全
UPF/MEC下沉边缘后主要安全措施∶
1、传输安全∶边缘UPF与核心网之间的接口Na/Ng接口要支持IPSEC传输,确保传输安全。
2、边界安全∶边缘UPF与Internet之间部署Firewall等防护设备。
3、数据安全∶UPF无IMSIMSISDN等用户标识信息;UPF透明转发用户面数据;
4、设备安全∶软件包数字签名校验、可信启动、动态度量支持软硬件防篡改,保护设备安全;支持VM之间通信认证/授权/加密/完整性保护
5、APP安全∶对APP安全性检测,APP支持数字签名(采用运营商证书)。MEAO/NFVO对APP进行编排、安装APP时校验APP的完整性;
6、部署隔离边缘uPF与APP,高可信APP与低可信APP隔离部署;硬件隔离;VM 隔离;安全组隔离;
7、AP接口安全∶能力开放API接口访问支持认证、鉴权;API接口访问流控
5GC 纵深防御
防火墙优先级部署策略
基于IPDRR构建网络韧性,增强5GC业务安全
运维安全
终端管理,账号管理,业务管理打造融合打造零信任体系,最终使能安全运维自动驾驶
身份多维验证、终端环境感知、信任实时评估、权限精细控制
· 人∶
■用户名密码;二次认证;短信息认证;行为画像
· 终端
■终端类型;接入区域;外网隔离;非法外连;病毒事件
· 工单
■工作时间;资产对象;运维目的;操作List;审批人员
· 设备
■可信状态;异常事件;异常登录;业务类型
难点在于评估,多系统配合
网元业务配置、通用配置合规管理能力
单域安全态势感知
安全中台
运维安全-为安全人员、运维人员打造安全数字化装备,增量不增人
行业使能安全
行业安全解决方案框架
终端安全
5G终端安全
传统终端接入CPE访问控制
链路安全
切片隔离
网络传输安全
边界安全
边界防护
安全服务防护
MEC安全
运营商与企业客户界面安全防护
APP安全防护
安全运营/安全服务
Secaas(MEC App防护)
企业态势感知与安全管理
企业应用和数据安全
运营商代维模式,确保入驻MEC的企业应用安全
3GPP 5G安全标准
33.501
集成到了hcsp-5G security 认证
3GPP致力于提供更好的业务体验、更安全的数据传输
3GPP组成
监管机构
运营商
设备商
芯片
终端
三个版本5G安全标准特性
R15
统一鉴权
二次认证
运营商/PLMN间安全性
IMSI隐私保护
用户面完保
R16
基本准入:SCAS设备安全认证1.0
可用于垂直行业的功能增强
URLLC高可靠低时延安全机制
切片安全机制
AKMA基于3GPP安全架构的安全能力开放
TOB场景安全增强:
5G Vertical LAN 安全
5G V2X车联网安全
R17
基本准入:SCAS设备安全认证2.0
进一步增强
AI安全
eNA智能网络安全
UC3S数据用户授权
场景安全能力扩展
IIOT工业物联网安全增强
eEDGE边缘计算安全
AKMA安全能力开放增强
eNPN私网安全
UAV无人机安全
MBS广播安全
R18
基本准入:SCAS设备安全认证3.0
256位加密算法
基于3GPP安全架构的安全能力开放
R15基本安全架构和安全特性
2G到5G的安全标准演进
R15主要安全增强
保障UE合法接入、空口机密性/完整性和
子主题 4
R16开启使能行业的安全标准
R16安全标准概况
TSN安全-确定性网络的定义
确定性网络在移动网络中为特定流提供有界时延和抖动以及提高的可靠性的确定性传输功能,同时支持端到端高精度的时间同步
TSN switch
保障带宽
抖动
同步
时延
Best-Effort
宽松的时延&抖动,长尾效应
宽松的丢包率
典型业务:网页
Deterministic
有界的时延&抖动
极严苛的丢包率
典型业务:工业控制/电力业务
场景
基于无线网络的确定性部署场景
切片+Det NET实现
5GS作为逻辑TSN桥(黑盒模式)
DS-TT(device-side tsn translator)和UE合一或者独立部署
NW-TT(network-side tsn translator)和UPF合一
5G内部(例如N3接口)可以使用TSN部署,但现在不在3GPP定义
切片认证流程
primary接入
emf
应用身份认证和秘钥管理
AKMA秘钥分发以及存储
能力开放给第三方
R17深化使能行业的安全标准
MEC安全
eNPN
eNA
新增加网元NWDAF
NWDAF∶网络数据分析功能,用于∶识别网络切片实例。加载网络切片实例的负载级别信息。·
网络数据分析功能可使NF消费者订阅或取消订阅定期通知,并在超过阈值的情况下,通知消费者。
本功能还未正式使用,未来投入使用后流程可能存在差异。·
无人机安全
UAV和3GPP系统间的身份识别、认证与授权
256算法
目前使用AES-128、SNOW 3G-128、ZUC-128
为了抵御量子攻击对对称密码算法的影响
其他安全增强点
多播广播业务安全
LTE用户面完整性保护
5G安全知识库-基线
5G端到端架构及关键技术
5G业务介绍及进展
演进
5G演进确定:
2015年10月26日至30日,在瑞士日内瓦召开的2015无线电通信全会上,国际电联无线电通信部门(ITU-R)正式批准了三项有利于推进未来<G研究进程的决议,并正式确定了5G的法定名称是“IMT-2020”
6G官方名字“IMT-2030”
伴随着ITU5G计划的推出和实施,中国推进5G网络的步伐明显加速。中国5G技术研发试验在政府的领导下,依托国家科技重大专项,由国内IMT-2020(5G)推进组负责,正在积极实施
业务需求
三高、两低、一快
高速率、高连接数、高移动性
低时延、低成本
业务快速部署
4G :350km/h 5G:500km/h
三大业务场景
移动互联网业务
eMBB
物联网业务
大连接(mMTC)
m :massive
低时延高可靠(URLLC)
八大关键性能指标
时延
移动性
频谱效率
用户体验速率
峰值速率
区域流量
网络能效
5G标准进展介绍
5G第一个版本:Rel-15,时间2017年年底,两个阶段,针对eMBB标准化
非独立组网场景 2017年12月
独立组网场景 2018年6月
5G第二个版本:Rel-16,时间2020年6月第一个支持三大业务版本,支持完整业务版本
持续提升NR竞争力
新多址
eMBB Sub6GHz增强
IAB(接入回传一体化)
开创行业数字化
uRLLC增强
mMTC
D2D
V2X
非授权频谱接入
预计2023年,第三个版本会发布
商用环境
标准发布后半年,2018年韩国,nsa网络
标准发布后一年,商用终端发布
3G 发展5亿用户 10年,2001年-2010年
4G 发展5亿用户 5年,2009年-2014年
5G 发展5亿用户 3年,2019年-2022年
终端芯片发展
华为
高通
三星
联发科
5G网络架构介绍
组网方案
EPC 4GC
eNB 4G基站
NGC 5GC
gNB 5G基站
只要接入网4G\5G在一起混合接入组网的 都是NSA
NSA
MR-DC:multiple-RAT Dual Connection(4G+5G)
EN-DC
option 3
NE-DC
option 4
NGEN-DC
option 5
SA
网元
NGC
AMF
移动性管理
AUSF
鉴权管理
SMF
PDN会话管理
UPF
用户面数据转发
PCF
对应4G网元PCRF 计费及策略控制
UDM
对应4G网元HSS 用户数据库
NG-RAN
gNB
特点
通用硬件、特定软件
用户面与承载面分离
模块化设计
切片
5G独立组网场景下,核心网的变化相对于EPC 变化比较大,5G网络在定义NGC架构时,有如下特点∶
■ 网络基于NVF和SDN技术,实现逻辑功能和硬
件的解耦
■参考现有EPC架构,用户面和承载面绝对分离
■逻辑功能模块化设计,实现灵活的网络切片
5G网络名称
■ 无线网络NR(New RAN)
■ 核心网NG(Next Generation)Core
接口与协议栈介绍
基站与终端接口
空口 radio interface
UE空口控制面板协议栈:物理层-数据链路层-RLC-PDCP-RRC-NAS
gNB控制面板协议栈:物理层-数据链路层-RLC-PDCP-RRC
UE空口用户面协议栈:物理层-数据链路层-RLC-PDCP-SDAP
gNB用户面板协议栈:物理层-数据链路层-RLC-PDCP-SDAP
PDCP:用来空口传输安全机制
5G口空协议层支持原生的安全协议
在空中接口,PDCP协议层用于执行空口安全的流程。
UE空口的安全性包括NAS和AS两层,NAS层只有控制面,AS层包括控制面和用户面。
基站到网管
gNB-EMS :OM OM channel
协议栈,TCP/IP 物理层-数据链路层-IP-TCP-FTP/HTTP
基站到核心网
NG-U
协议栈 TCP/IP
底层:物理层-数据链路层-ip
控制面
SCTP
NG-AP
用户面
UDP-GTP-U
User-plane PDUs
5G端到端关键技术介绍
无线网络关键技术
eMBB速率提升关键技术
资源
频率(带宽/利用率)
传输效率
单位资源传输数据量大小
5G NR 新空口 提速关键技术
新频谱(C-band/毫米波):大带宽
新波形(F-OFDM)利用率
路更宽
多天线:Massive MIMO
高架桥
提升效率:新调制(更高阶调制技术256QAM)
把人装车里。双层巴士
5G频段
3GPP协议中,5G总体频谱资源,2大段频率成为FR(frequency Range)
FR1
Sub6G频段,也就是我们说的低频频段,5G主用频段,覆盖好,容量差;其中3Ghz以下的频率我们称之为sub3G,其余频段成为C-band
目前主流 100M带宽
频率范围:450MHz-6000MHz
FR2
毫米波,也就是我们说的高频频段,为5G的扩展频段,频谱资源丰富,覆盖差,资源丰富
以28 39 60 73Ghz为主 ,频率 波长 光速
400M带宽 热点eMBB容量补充
WTTX应用
频率范围:24250MHz-52600MHz
国内
移动
2515-2675
2.6Ghz N41
160MHZ
4800-4900
100MHz N79
C波段 和2.6G是主用波段
联通
3500-3600
N78
3.5G
100MHZ
联通、电信、光电共享室内100MHz 3300-3400
电信
3400-3500
N78
3.5G
100MHZ
广电
N79
4.9G
60MHz
4900-4960
热点eMBB,WTTx自回传
1,毫米波用于热点eMBB
室内外热点,视距场景
2,毫米波用于WTTx
WTTx接入
CPE可以室外或室内安装
3,毫米波用于无线回传
集成5G接入和回传功能,基于时间,频率,空间等纬度进行动态调度
通过自回传,站点部署更方便
5G小区带宽
sub6G :5M 10M 15 20 25 40 50 60 80M 100M
mmWave: 50M 100M 200M 400M
子载波规格,详见38.101协议
部署策略
sub3G
频段低 覆盖性能好
C-band
NR新增频段,频谱资源丰富,小区带宽大
劣势及部署策略
毫米波
NR新增频段,小区带宽最大
在初期部署阶段,由于容量或覆盖的巨大劣势,Sub2.4GHz和Above6GHz的部署场景都比较少,当前运营商主要选择的频段是C-Band以及TDD的2.6GHz,可以同时兼顾覆盖以及容量。
部分FDD频段可以作为SUL频段部署,提升上行覆盖及容量。高频更适合于热点及室内覆盖等场景的部署。
5G无线空口技术框架
信道编码技术
大规模天线技术(mimo)
FDM
载波和载波之间有保护带
OFDM
采用正交技术,载波之间可以重叠,通过特殊计算,保证载波之间干扰消除
F-OFDM
TDM
CDM
分支主题
多址接入技术
分支主题
5G调制技术
5G信道编码
目的:通过增加冗余数据提升数据传输的可靠性
控制信道:polar码
业务信道:ldpc码
NR massive MIMO技术
提升收发天线数量提升复用能力
5G
下行
8流 8T8R
上行
4流 4T4R
终端
4T8R
5G空口安全关键技术
5G空口安全威胁
伪基站攻击
伪基站检测-华为定义
· 伪基站通常由简易无线设备和专用开源软件组成。它可以通过模拟目标基站,依据相关协
议向目标终端发送信令,获取目标终端相关信息。
· 2G的系统设计中仅设计了网络对终端的单向认证,终端无法判断接入的基站和网络是否可
信。攻击者可以伪冒基站和网络,让用户连接到恶意网络,从而实现进一步攻击。例如,给用户发送短信诱骗用户点击恶意链接、下载恶意软件或者伪冒服务电话对用户实施诈骗等。
3G和4G在网络设计时,已经实现了双向认证,其中4G网络双向鉴权过程如图。但对于多·
模手机来说,存在用户回落到2G网络的场景。攻击者可以利用这个特点,制造条件让终端回落到2G的伪基站,实现相同的攻击。
伪基站识别
真实基站会触发ANR测量将伪基站加入邻区列表,从而触发到伪基站的切换。
由于真实基站和伪基站之间没有心灵交互而导致切换失败,此时指向同一邻区切换成功率变差,就可以作为过滤甄别伪基站小区的条件
同时ANR测量过程中UE上报的测量报告中包含NCGI和TAC
1、PLMN、gNB ID 明显跟现网的不符,则很可能是伪基站
2、TAC与周围伪基站不一致,也很可能是伪基站
非法用户接入
5G接入鉴权-3GPP定义
5G鉴权概述
目的:完成对用户鉴别;根据根秘钥派生出相关的安全密钥,用于后续安全流程
鉴权关键点:
支持双向鉴权,降低伪基站的攻击威胁(3G和4G也支持)
采用的通用鉴权框架-AKA(authentication and key agreement)鉴权和秘钥约定,作为基础的秘钥派生算法,基于对称加密技术
5G鉴权支持如下两种AKA算法
5G AKA 支持用户在归属地和拜访地二次鉴权
EAP-AKA' 仅支持用户在归属地鉴权( EAP:Extensible Authentication Protocol )
UDM签约进行控制
鉴权流程
RAND\AUTN\XRES\IK'\CK'
AUTN\XRES 根秘钥算的
随机数\鉴权\
手机-根据K值和rand数 算出AUTN和UDM比较。
EAP-AKA'
分支主题
鉴权主要步骤如下∶
■ UE向AMF发送注册请求,AMF携带鉴权UEID
■ AMF选择AUSF,向AUSF发送鉴权请求。AUSF向UDM请求鉴权数据
■ UDM向AUSF下发鉴权向量,AUSF将RAND和AUTN转发给AMF,AMF通过NAS消息将
鉴权向量转发给UE
■ UE根据AUTN对网络进行鉴权。鉴权成功后,UE通过RAND计算鉴权结果,并将结果
上报给AMF
■ AMF将结果转发给AUSF。AUSF对终端进行鉴权。鉴权成功后,AUSF下发相应的安全
密钥给AMF
■ AMF通过NAS消息下发加密和完整性保护算法,激活NAS安全流程
5G-AKA
RAND/AUTN/
分支主题
5G-AKA算法时的不同点∶
■ 权签向量不同
■ AMF和AUSF分别对用户执行鉴权
■ 秘钥派生流程不同
共有6个秘钥
AMF NAS 秘钥
DDOS攻击
DDOS攻击防护-华为定义
DDoS攻击就是攻击者借助于"Distributed"技术,将多个被攻击者完全控制的终端联合起来作为攻击平台,对单个或多个攻击目标发动DoS攻击,大量的信息流到攻击目标中,占用攻击目标的资源,导致攻击目标因超负荷而拒绝为其他用户提供服务
随着无线业务快速发展,基站支持海量物联网(Internetof Things,loT)连接,而大量物联网终端为“弱终端”,其安全能力不足。如果将这部分弱终端部署在无人值守的区域,容易被攻击者接触并劫持、利用来集中向基站发起空口DDoS攻击,可能导致基站无法提供正常业务或瘫痪。
分布式拒绝服务(DDOS,Distributed Denial of Service)攻击是指多个安全遭受危害的系统对
单个目标系统进行攻击,大量的信息流到目标系统中,占用目标系统的资源,导致目标系统因超负荷而拒绝为其他用户提供服务。在5G网络中,如果大量UE接入尝试或发送信令,为了处理这些请求将耗尽gNodeB资源,最终导致小区的正常业务中
提升硬件
提升软件
提升大带宽传输
数据窃取或篡改
空口数据加密及完整性保护-PDCP协议层-3GPP定义
空口安全保护的数据类型
分支主题
空口安全功能实体
NSA
SA
子主题 1
空口完整性保护和加密:
由空口的PDCP层完成
关键参数:安全算法和安全密钥
数据完整性保护和校验
发送方:通过完整性算法计算出MAC-I (message authentication code for integrity)
接收方:通过完整性算法计算出X-MAC(expected MAC-I)接收方
通过比较MAC-I和X-MAC一致,保证数据不被篡改
完整性保护是指发送方和接收方通过RRC消息协商出某一完整性保护算法,发送方使用协商的完整性保护算法基于消息计算出该消息的验证码MAC-I,然后将消息和该消息的验证码MAC-I一起发送给接收方,接收方使用协商的完整性保护算法基于接收到的消息计算出该消息的验证码×-MAC,并比较验证码MAC-I和验证码×-MAC∶
■ 如果两个验证码不一致,则接收方确认此消息被篡改
■ 如果两个验证码一致,则接收方确认此消息没有被篡改,通过完整性验证
数据加密与解密
分支主题
空口加密是指发送方和接收方通过RRC消息协商出某一加密算法,发送方使用协商的加密算
法对消息进行加密,然后将加密后的消息发送给接收方,接收方使用协商的加密算法对加密的消息进行解密。
密钥派生概述
加密密钥和完整性密钥是加密和完整性保护算法的重要输入,如果这些密钥通过无线接口传输,则可能会被拦截。因此,为了保证秘钥安全,这些秘钥不会在空口传递给用户,而是由用户和网络侧分别根据根秘钥进行派生,因为根秘钥和AKA算法相同,因此可以确保派生出的秘钥也相同
UE秘钥派生UE根据USIM卡的根秘钥派生出相应的安全流程秘钥
网络侧秘钥派生∶基于UDM里的根秘钥,AMF和gNodeB派生出相应的安全流程秘钥
SA组网秘钥派生架构
SA组网秘钥派生架构·
·NAS安全秘钥
KNASint∶NAS信令完整性保护秘钥KNASenc∶NAS信令加密秘钥
·RRC安全秘钥∶
KRRCint∶RRC信令完整性保护秘钥 KRRCenc∶RRC信令加密秘钥
KuPint∶空口用户面完整性保护秘钥
Kupenc∶空口用户面加密秘钥
分支主题
密钥派生过程中的中间密钥说明
安全算法介绍
NAS层安全和RRC层安全采用相同的安全算法
● NAS层安全算法由AMF根据UE的安全能力进行选择
● AS层安全算法由gNodeB根据UE的安全能力进行选择
下表中是3GPP规范中定义的安全算法
NIA:NR Integration Algorithm
NEA∶NR Encryption Algorithm
5G空口加密算法强度提升,实现抗量子攻击
核心网关键技术
服务化架构
服务化架构
架构基本框架
服务注册流程
服务去注册流程
服务注册更新流程
服务发现流程
切片管理架构
E2E管理面架构
网络切片基于SBA(Service Based Architecture)架构实现,由CSMF、NSMF和NSSMF提供网络切片的管理功能,实现跨RAN、TN、CN的端到端网络切片的协同和全生命周期管理。· 切片管理系统根据功能分层,有如下几个功能模块组成∶
■ CSMF(Communication Service Management Function)为通信服务管理功能,负责将通信业务需求翻译为网络切片需求ServiceProfile,并传递给NSMF进行网络设计。CSMF 属于BSS(Business Support System)功能的一部分。
■ NSMF (Network Slice Management Function)为网络切片管理功能,负责端到端的切片管理与设计。NSMF将网络切片需求分解为切片子网需求SliceProfile传递到NSSMF。
■ NSSMF(Network Slice Subnet Management Function)为网络切片子网管理功能,负责子域/子网的切片管理与设计。NSSMF将子域/子网的能力上报给NSMF,得到NSMF的分解部署需求后,实现子域/子网内的NSSI的自治部署和使能,并在运行过程中,对子域/子网的切片网络进行管理和监控。无线、传输、核心网的NSSMF一般由华为的MAE-M、NCE、MAE-CN产品提供。
MAE提供标准的NSMF-NSSMF接口,支持与NSMF和其它系统对接,使能切片端到端生命周期管理。用户的OSS系统可以通过该接口实现切片的生命周期管理,采用业界通用的RESTful接口,使对接更简单高效。
切片
特点
切片特点:
在一个物理网络能够在一个物理网络之上构建多个专用的、虚拟的、隔离的、按需的逻辑网络
提供差异化性能,满足不同业务的SLA
网络隔离及安全性
业务独立运营
管理架构
切片业务管理CSMF
做端到端(E2E)需求转换 业务需求-网络需求
实例管理NSMF
切片需求分解
下发给子网切片管理 NSSMF-AN
子网管理功能,负责子域/子网的切片管理与设计
切片选择辅助信息
NSSAI
网络切片选择辅助信息,是S-NSSAI的集合
用与无线和承载
NSSAI类型
requested
subscribed
configured
allowed
切片
标准类型:SST: 0-127
SSD: NULL
所有运营商网络
选择流程
用户角度
注册阶段:签约了哪些,决定可以使用的切片--用户能力、网络能力 选定 AMF
会话创建:使用阶段1的结果创建切片下的会话,选定SMF/UPF
UE只有在会话建立后才会真正使用切片的资源,在会话建立流程中确定的
网络角度
注册成功
会话建立
仅携带一个S-NSSAI时
选定SMF&UPF
多个时
NSSAI:网络切片选择辅助信息是S-NSSAI集合
NSSAI:Network Slice Selection Assistance Information,包含一组S-NSSAls,最多8个∶
分支主题
NSSAI类型:requested、subscribed、configured、allowed
分支主题
· Configured NSSAl:
■ 每个PLMN配置一个ConfiguredNSSAl,表示本PLMN网络规划和部署的网络切片能力· Requested NSSAl:
■ Registration流程中,将请求的NSSA携带给AMF,用于请求接入的切片逻辑网络
■ UE根据保存的Configured NASSI、Allowed NSSAI、Service PLMN、TAI位置以及切片优
先级确定
· Subscribed NSSAl:
■ 用户在UDM中签约的S-NSSAl列表,可定义一个或者多个缺省的S-NSSAl,每个S-NSSAI可定义DNN列表和一个默认的DNN。
· Allowed NSSAI:
■ Registration流程中,UE注册成功时AMF向UE下发的允许其使用的NSSAl
■ AMF根据UE签约的Subscribed S-NSSAIS和UE请求的Requested NSSAI取交集下发给UE
· Rejected NSSAl:
■ Registration流程中,UE注册成功但存在部分切片拒绝接入时,AMF向UE下发的拒绝接入的S-NSSAIS
■ 同时下发原因值表明是PLMN网络内拒绝接入,或者当前注册区域内拒绝接入
切片业务隔离
在N3接口上,UPF基于切片规划独立的VLAN和IP地址,实现和承载网切片的映射。· 在N6接口上,如果多个切片使用相同的UPF,则通过DNN以及隧道技术实现业务的隔离。
承载网关键技术
4大技术特征
面向业务 4大技术特征
1、服务化的网络架构
2、控制承载分离(CUPS)
3、移动边缘计算(MEC)
4、网络切片(逻辑、专网)
5GC服务化架构介绍
服务化架构特性
网络功能解耦和模块化
服务化接口
网络功能按需组合部署
NF服务独立升级,可编排
网络服务对外开放
新业务高效支持
CUPS最大化提升用户体验和网络效率
中心DC
信令面集中、简化运维
服务化架构利于敏捷运维
本地DC
75%的流量本地化
无缝移动业务锚点
边缘DC
用户体验20倍提升
3GPP原生MEC能力
核心网控制面和用户面的分离使得网络部署更加灵活,控制面优先采用大集中部署,降低·
部署成本,提升效率。而用户面则采用下沉式部署,提升业务体验。
前传中传回传
5G语音方案
EPS FB
分支主题
VoNR
分支主题
5G核心网安全
5G核心网架构与新技术回顾
3GPP what
ETSI how
S-NSSAI
UDM签约
PCF选用
SST+SD
0-255 移动用1和128
TOB 128 03FFFF
特点
不同网络服务,不同SLA
独立隔离运维
快速TTM&敏捷运营,满足不同业务诉求
5G核心网安全防护目标与安全架构
目标:
保护核心资产、增强网络韧性、防敏感数据泄露
策略:
1、建立5GC安全风险识别及防护体系
识别
保护
2、建立5G安全监测处置体系
监测
响应
3、5G安全灾备恢复体系
恢复
4、满足安全合规要求
满足等保2.0
架构
UE-UDM匹配
UE-AMF-AUSF-UDM逐个匹配后
ARPF
认证凭据存储库和处理功能,内嵌到UDM中
AUSF
认证服务器功能
归属AUSF
SEAF
安全锚点功能
SCMF
安全上下文管理功能
5G核心网业务安全方案
3GPP 5G安全目标与特性增强
确保合法访问网络
UE和网络之间进行双向认证
鉴权流程
5G AKA认证
1 鉴权向量获取
AMF AUSF UDM
生成归属环境(HE)向量( AV)所有鉴权所需的向量(rand、autn xres* kausf)
autn 令牌,天王盖地虎 ,发给用户,用户判断网络的
xres:宝塔镇河妖,
kausf:加密
2 拜访网络双向鉴权
rand和autn 发给用户
autn 密文
rand 随机数
终端通过AUTN验证网络
计算RES*
AMF校验第一次,比较通过后,把用户的RES值透传发送给AUSF,比较RES和XRES,如果相同,则验证成功
KAUSF -> Kseaf K值不断派生 ,完成加密认证
3 归属网络鉴权
5G
终端认证网络
网络认证终端
EAP-AKA'鉴权
UE-AMF-AUSF-UDM
4/5G秘钥架构对比
5G秘钥 K是营业厅开卡时,烧录到sim卡中
6= 3*2
3组 每组2个
加密
完整性保护
5G接入二次鉴权--AAA二次鉴权标准流程
5G两种身份验证类型
所有设备都必须执行一次主身份验证才能访问移动网络服务
还可以结合企业AAA进行二次身份验证-鉴权、授权、计费 AAA服务器来进行二次鉴权认证
5G两种身份验证类型
所有设备都必须执行一次主身份验证才能访问移动网络服务
还可以结合企业AAA进行二次身份验证-鉴权、授权、计费 AAA服务器来进行二次鉴权认证
UE-基站-upf-用户aaa服务器
临时方案
UE-基站-AMF-SMF-UPF-用户aaa服务器
成熟方案
5G用户接入区域限制方案
AMF(access mobile management)配置TAC(tracking area code跟踪区)小区与终端绑定关系,限制终端接入5G生产网络位置范围
PCF(policy charging function)位置、选网、业务,通过UPCF签约实现SIM卡+终端+NGCI小区绑定
确保空口的保密性和完整性
增加IMSI加密,保护用户隐私
4G和5G各类标识对比
4G IMSI号码(SIM卡序列号15位) 在5G
SUPI
5G统一标识
SUCI
加密SUPI,5G更安全
只有UDM认识
通过 Routing indicator可以寻址AUSF和UDM
4G-IMEI(设备序列号)在5G
PEI
5G统一标识
4G MSISDN(手机号)在5G GPSI
5G统一标识
TAI
4G TAC:2字节
5G TAC:3字节
临时
5G-GUTI
5G-S-TMSI
用户面完整性保护
完整性5G新增的
KUPint
用户面完整性保护 是新增的
加密算法秘钥使用256位秘钥
应对量子计算机破解
确保3GPP网元之间连接的安全
3GPP网元之间使用IPSec保护信息安全
业务通信安全:IPsec保证网元间安全,TLS保证功能模块间安全
无线(信任域)-ipsec(非信任域)-5GC(信任域)
3GPP个网元间支持使用ipsec保护传递信息安全
ipsec加密盒校验确保数据传输的机密性和完整性
ipsec认证保证数据源的真实性
5GC功能模块间使用HTTPS保护传递信息安全
通过TLS对传输数据进行加密、完整性保护
TLS双向身份认证防止假冒NF接入网络
SBA NF 授权
5GC业务功能之间使用HTTPS
SEPP用于保证5GC归属域和漫游域之间的安全
5G漫游安全由SEPP保证,实现消息过滤,拓扑隐藏,SEPP进行两个运营商消息转发
4G引入DEA实现
5G核心网部署与运维安全方案
5G核心安全区域划分与边界安全防护
用户面
TOB域
边缘DC中的MEC(客户园区)
MEC=MEP APP
TOC域
UPF
控制平面
5GC DMZ1
SEPP
隐藏拓扑、和其他运营商对接
5GC DMZ2
NEF
能力开放
开放第三方应用使用
5GC信任区域1-控制
AMF SMF PCF NRF NSSF
5GC信任区域2-数据
AUSF UDM
5GC信任区域3-计费
CHF
管理平面
网管域
EMS系统/MANO/NSMF
安全区域划分
分支主题
边界防护:
朝向互联网和第三方运营商构建外部边界防护能力,朝向内部网管、计费等构建内部边界防护能力
防火墙、IPS、WAF、Anti-DDOS
外部接口
· Anti-DDoS∶传统流量型DDoS攻击防护、应用层攻击的防护、IPv4-IPv6双栈防护等功能,全面防御100多种攻击类型,真正保护用户业务安全;
·Internet防火墙∶南北向流量安全隔离防护,抵御来自Internet的已知安全威胁;可通过深度识别流量内容,发现和拦截异常的外传敏感数据行为;对VPN业务IPSec加密等;
·IPS∶在对外链路上进行分光部署入侵防御IPS/IDS,提供漏洞和威胁签名库,应用层威胁防御
·WAF∶防护5GC内的NEF等能力开放、网管等WEB站点,支持HTTP/HTTPS流量解析,识别SQL注入、跨站攻击等,TCP协议加速,支持网页防篡改,WEB站点隐藏
内部接口
防火墙:南北向流量安全隔离防护,抵御来自Internet的已知安全威胁可通过深度识别流量内容,发现和拦截异常的外传敏感数据行为
VPN GW∶运营商共享基站场景通常会部署VPNGW,用于接入信令面IPSec VPN流量;VPN GW可与信令面FW共设备
IPS∶在对外链路上进行分光部署入侵防御IPS/IDS,提供漏洞和威胁签名库,应用层威胁防御
域间安全防护
防火墙、白名单ACL、流量探针
5GC内不同的安全域之间构建安全防护能力,如控制域、数据域、网管域等之间的安全防护
域内安全防护
白名单ACL、流量探针
同一安全域内东西向流量的过滤保护
冗余部署、实现韧性
容灾
pool模式
负荷分担
有难同当
并发、地域类的使用
SMF AMF UPF
1+1主备模式
一个干 一个不干
PCF/PCRF AUSF/UDM/HSS/HLR
1+1互备模式
两个人一起干活,我干我的,你干你的,我干不了你干,你干不了了我干
PCF/PCRF AUSF/UDM/HSS/HLR
UDM
BE
后端数据存储
FE
前段数据处理
5Gcore 链路检测机制
服务化接口
https
非服务化接口
ran-upf n3 upf-upf n9 GTP-U echo
SCTP PFCP GTP-U ICMP协议互通,
NMS域面临的主要安全风险
运维面临风险
运维客户端安全管控弱,容易被攻击
运维客户端之间横向渗透,获取高安全域的运维访问权限
运维人员越权访问EMS或者设备
网元间通过NMS域横向渗透
网元间通过EMS网元未跳板机渗透到其他网元
2B切片业务门户到NSMF等的访问风险
安全运维六要素
网管域安全架构
问责与流程
特权接入工作站(PAW)
被管网络设备
用户接入控制
子主题日志与审计
加强5G网络安全运维能力
技术措施
网络安全:构建独立的管理面网络,与Internet隔离,部署防火墙、入侵检测、数据泄露等安全防护措施。
账户安全:提供多因素认证,验证运维人员登录,并通过堡垒机管理EMS服务器的所有 运维账户,实现统一接入、认证、授权和审计。
操作安全:使用堡垒机强制控制所有运维操作,这些操作都有日志和审计。SSO(单点登录)
运维流量加密:对从运维终端到被管设备的所有运维流量进行加密。
日志记录和审计:记录和审计所有运维活动,构建管理面网络全面的安全态势感知能力。
管理措施
建立完整的运维流程和体系,定期进行风险评估。
为设备厂商建立严格的运维接入管理流程,包括工单触发、提前审批、网络接入最低权限、 运营监控、日志审计等。
0 条评论
下一页
