眾所周知，5G時代，迎接我們的是一個萬物互聯的世界。隨著物聯網的不斷發展，越來越多的設備需要接入5G網絡，但這也意味著這些設備將會成為被不法分子攻擊的潛在目標。你可曾想過，在物聯網時代，病毒有可能感染正在行駛的汽車，感染正在使用的智能家居設備....當海量終端通過傳輸網接入核心網時，誰來保證5G核心網(5GC)的安全?

5GC威脅分析

上述場景也許只是5GC安全威脅的一個縮影。5GC基于云化架構，通過引入虛擬化技術實現了軟件與硬件的解耦，并通過NFV技術，將虛擬化網元部署在云化的基礎設施上，不再使用專有通信硬件平臺。因此，原先認為安全的物理環境已經變得不安全。

• 在基礎設施層(NFVI)，除了傳統的物理安全隱患，虛擬化的安全威脅更值得注意，例如病毒木馬攻擊虛擬化云平臺、濫用虛擬資源、惡意破壞虛機及鏡像等。
• 在網元功能層(VNFs)，存在非法用戶接入網絡、對網元間通信數據的監聽和篡改、針對漫游用戶的流量欺詐等攻擊。
• 在管理和編排層(MANO)，存在針對管理平面的安全威脅，包括非法用戶訪問、內部人員的惡意操作、權限濫用攻擊、個人數據隱私暴露等。

既然5GC存在諸多潛在的隱患，不法分子或者黑客豈不是可以肆意妄為?No way!

5GC安全架構

針對上述威脅，提出了基于5G安全規范的5GC安全架構。

這個安全架構看上去挺復雜啊!

接下來，小編就帶你從如下5個層面解讀5GC安全架構。

如果把5GC網絡比作全國的公路網，網絡中的數據比作通行的車輛。我們可以簡單地將5GC安全架構的幾個層面簡單地做個類比。

(1) 接入安全

接入安全就像車管所負責車輛年檢，只有符合安全要求的車輛才能上路。類似地，當各類用戶設備(UE)通過基站(NR)接入5G核心網時，5G核心網會對用戶設備進行接入認證、訪問控制等，并在數據傳輸過程中進行數據加密和完整性保護。

在5GC系統中，通過雙向認證方式，確保接入設備接入真實安全的5G核心網，杜絕接入“假基站”，同時通過UDM和AUSF對接入設備進行鑒權認證。對于3GPP接入和非3GPP接入，采用統一的接入流程和認證方式，并支持EPS-AKA、5G-AKA、EAP-AKA’等多種不同的認證方法。5G鑒權過程增強了歸屬網的控制，防止拜訪網中可能存在的欺詐。

(2) 網絡安全

5GC網絡通過劃分不同的網絡平面，傳輸不同類型的數據，從而實現網絡安全。某一網絡平面的數據不會跑到其他網絡平面。這就類似于城市之間有高速公路和國道省道、城市內部有BRT專用車道，體現了分類管理的價值。

(3) 管理安全

管理安全就像交通管理局提供的功能：管理交通并服務于廣大車輛。不同區域的交警負責所在片區的交通安全。類似地，5GC NF通過MANO進行管理和編排。MANO支持分權分域的安全管理場景。

• 分權管理：為不同級別的用戶提供不同的操作權限，以達到可見/不可見、可管理/不可管理的目的。在系統中，權就是操作集，系統有默認的操作集，包括安全管理員、管理員、操作員、監控員、維護員，也可以自定義操作集。
• 分域管理：集中控制節點的數據或操作維護功能，按管理域，劃分成多個虛擬管理實體，實現不同域的用戶管理。系統支持地域(行政區域)、業務域(廠商、專業、網元類型)、資源池(資源池以及資源池下的租戶)的域維度。

(4) 能力開放安全

5GC支持網絡能力開放，通過能力開放接口將網絡能力開放給第三方應用，以便第三方按照各自的需求設計定制化的網絡服務。能力開放安全著眼于開放接口的安全防護，使用安全的協議規范。當第三方用戶設備通過API接入時，需要進行認證。

(5) 數據安全

5G時代的數據具有數據量大、數據種類多、暴露面廣等特點，因此建立5GC數據安全體系從而保護5G數據的安全性顯得至關重要。5GC數據安全體系基于數據最小化、匿名化、加密傳輸、訪問控制的數據保護原則建立。

服務化架構安全

由于5GC采用服務化架構，針對全新服務化架構帶來的安全風險，5GC安全架構采用完善的服務注冊、發現、授權安全機制來保障服務化安全。

• 在NF注冊和發現流程中，NRF和NF間采用雙向認證方式。在NRF和NF認證成功后，NRF判定NF是否被授權執行注冊和發現流程。

• 在非漫游場景下，即同一PLMN內時，5G核心網控制面中的各NF之間采用基于Token的授權機制，NF業務訪問者在訪問業務API之前需要進行認證。
• 在漫游場景中，即不同PLMN之間的NF授權時，拜訪地的vNRF和歸屬地的hNRF需要做雙向認證。

虛擬化平臺安全

虛擬化平臺提供所有5G核心網NF的部署、管理和執行環境。為了實現虛擬化平臺安全，Hypervisor發揮了重要作用：

• Hypervisor統一管理物理資源，保證每個虛擬機都能獲得相對獨立的計算資源，并實現物理資源與虛擬資源的隔離。
• 虛擬機所有的I/O操作都會由Hypervisor截獲處理，Hypervisor保證虛擬機只能訪問分給該虛擬機的物理磁盤，實現不同虛擬機硬盤的隔離。
• Hypervisor還負責調度vCPU的上下文切換，使虛擬機操作系統和應用程序運行在不同的指令級別(Ring)上，保證了操作系統與應用程序之間的隔離。

對于用戶而言，通過配置不同的VDC，實現虛擬機之間的通信隔離。通過配置安全組，終端用戶可自行控制虛擬機互通和隔離關系，以增強虛擬機的安全性。

結束語

現在，你知道5G核心網的安全是如何保障的吧。中興通訊提出的5GC安全架構，從接入安全、網絡安全、管理安全、數據安全、能力開放安全等方面，保障5GC網絡安全，大大降低諸如用戶設備非法接入、網元間通信數據泄露等安全威脅。此外，對于多接入邊緣計算(MEC)場景，中興通訊通過提出MEC安全架構和方案，保障MEC場景下的核心網安全。