中国联通5G网络安全 原子能力白皮书 中国联通研究院2022年12月 版权声明 本报告版权属于中国联合网络通信有限公司研究院,并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的,应注明“来源:中国联通研究院”。违反上述声明者,本院将追究其相关法律责任。 目录 前言1 15G网络安全概述3 1.15G网络安全挑战3 1.25G安全增强特性4 1.35G行业应用安全需求5 25G网络安全原子能力框架8 35G设备级内生安全功能9 45G网络级、平台级安全原子能力10 4.1网络级安全原子能力10 4.1.1接入安全原子能力10 4.1.2边缘安全原子能力13 4.1.3核心网安全原子能力17 4.1.4运维安全原子能力20 4.1.5切片安全原子能力21 4.2平台级安全原子能力25 4.2.1DDoS攻击防护能力25 4.2.25G安全态势感知能力27 4.2.3网站安全防护能力29 4.2.4密码云平台能力30 4.2.55G专网信令流量安全分析能力33 4.2.6云原生应用安全防护能力34 4.2.75G数据安全防护能力36 4.2.85G终端零信任接入能力39 4.2.9安全基础能力40 5面向行业的场景级安全原子能力42 5.1终端安全42 5.2网络安全44 5.3数据安全47 5.4应用安全49 6未来展望52 附录A设备级安全功能53 A.1终端安全功能53 A.1.1终端接入认证功能53 A.1.2终端信令和用户面数据保护功能53 A.1.3用户凭证安全功能55 A.1.4终端访问控制功能55 A.2基站安全功能56 A.2.1基站信令和用户面数据保护功能56 A.2.2基站可用性保护功能58 A.3MEC安全功能59 A.3.1MEC1:安全隔离59 A.3.2MEC2:边界安全防护60 A.3.3MEC3:流量安全控制60 A.3.4MEC4:API接口安全60 A.3.5MEC5:终端访问安全61 A.3.6MEC6:业务连续性安全61 A.3.7MEC7:应用安全防护功能61 A.3.8MEC8:通信安全防护功能62 A.3.9MEC9:数据安全防护62 A.3.10MEC10:虚拟化安全防护功能63 A.3.11MEC11:能力开放安全防护功能64 A.45GC网元安全功能64 A.4.15GC通用安全功能64 A.4.2UPF安全功能66 A.4.3AMF安全功能67 A.4.4SMF安全功能69 A.4.5AUSF安全功能70 A.4.6UDM安全功能71 A.4.7PCF安全功能71 A.4.8NRF安全功能71 A.4.9NEF安全功能72 A.4.10NSSF安全功能73 A.4.11NSSAAF安全功能73 A.4.12SEPP安全功能73 附录B缩略语75 附录C参考文献80 前言 5G作为新一代信息通信技术演进升级的重要方向,是实现万物互联的关键信息基础设施、经济社会数字化转型的重要驱动力量。随着5G的发展,5G安全成为了各国关注的焦点。 国际上,美国一直力图在5G技术创新、应用发展、安全建设等方面占据全球领先地位。2020年3月23日,白宫发布了《美国5G安全国家战略》,计划与盟友合作共同领导全球安全可靠的5G通信基础设施的开发、部署和管理。欧盟也高度重视5G发展,并着力构建各成员国统一的安全框架。2020年1月29日,欧委会通过欧盟5G安全工具箱,通过一系列战略和技术措施解决《欧盟5G网络安全风险评估报告》中所有已识别出的风险。 国际高度关注5G安全问题的同时,我国也积极推动5G网络安全工作,从政策、标准、技术等方面持续完善安全保障措施,统筹规划5G安全相关工作。工信部于2021年出台5G网络安全实施指南,全面梳理分析5G安全风险和应对措施,为5G产业链各环节客观认识和应对5G安全问题提供技术指引。在2021年7月,工信部联合网信办、发改委等9部门印发《5G应用“扬帆”行动计划(2021-2023年)》,针对5G应用安全保障能力提出了目标和要求,明确指出要加快构建与5G应用发展相适应的安全保障体系。 5G安全是全球面临的共同问题,全行业可通过共同的5G安全理念、共识的5G安全框架及共建的5G安全能力,应对潜在的安全挑战。本白皮书面向5G网络自身安全运营和5G行业应用安全需求, -1- 提出可为不同垂直行业赋能的安全原子能力,灵活组合对外赋能,打造与行业应用相适应的安全能力体系,助力全行业安全数字化转型。本白皮书旨在为5G网络安全建设和垂直行业业务拓展提供综 合性安全技术指导,从5G网络的角度促进5G+垂直行业的安全、可靠、高质量发展。目标读者包括但不限于移动运营商、通信设备提供商、安全产品提供商、安全服务提供商、系统集成商,以及其他关心5G网络安全相关的机构和个人。 编写组成员: 中国联合网络通信有限公司研究院:徐雷、张曼君、谢泽铖、王蕴实、陆勰、姚戈、程筱彪、王姗姗、郭新海、贾宝军、陶冶、丁攀、刘安、侯乐、胡慧、蓝鑫冲、苏俐竹、刘伟、杨双仕、王戈、王莹 中国联合网络通信有限公司广东省分公司:莫俊彬、潘桂新、李文彬、彭健、聂勋坦 联通数字科技有限公司:周凯,蒋小燕,范勇杰,祝少波华为技术有限公司:田超斌、李科、程帅 恒安嘉新(北京)科技股份公司:高华、刘志强、王赫北京神州绿盟科技有限公司:雷新、贾少华、封宏涛 -2- 15G网络安全概述 1.15G网络安全挑战 深化5G与经济社会各领域的融合应用,将对政治、经济、文化、社会等各领域发展带来全方位影响。5G造福社会的同时,其开放性、切片化、大连接、大数据等特性,对5G安全带来了全新的挑战。 开放性安全风险,一方面是多终端接入带来更多认证、访问控制的挑战,运营商网络边界将进一步模糊化,传统纵向护城河式的防护策略将难以继续适用;另一方面5G网络将进一步面向各行业开放,全面赋能,这也意味着更多第三方应用将可能和运营商网络设备紧耦合部署,安全规划、安全基线、安全能力建设将不再局限于对运营商自身网络的防护,对运营商的网络与信息安全管控能力提出了更高的要求。 切片化安全风险,主要是5G切片需要满足行业个性化需求,在共享的资源上实现逻辑隔离。如果没有采取适当的安全隔离机制和措施,若某个低防护能力的网络切片受到攻击,则攻击者可以以此为跳板攻击其他切片,进而影响其他切片的正常运行。 大连接安全风险,主要是大连接场景下更易引入DDoS攻击和信令风暴。大量功耗低、计算和存储资源有限的终端难以部署复杂的安全策略,一旦被攻击容易形成僵尸网络,成为攻击源,进而引发对网络系统和用户应用的攻击,带来网络中断、系统瘫痪等安全风险,造成的危害将比传统终端带来的危害更大。 -3- 大数据安全风险,5G网络的多终端、多行业接入,带来了更多元化的数据,运营商管控的数据类型和数量可能快速增加,数据安全的防护面和防护对象数量将同步扩大。同时,由于5G网络业务需求,传统B、M、O域数据将进一步融合,数据的安全边界也更加模糊化,需要重构运营商数据安全防护策略。 1.25G安全增强特性 为应对网络安全挑战,全行业正共同致力于应对5G架构、技术、业务面临的新的安全风险,通过统一的5G安全标准、共同的5G安全理念及共识的5G安全框架,应对潜在的安全挑战。目前,5G网络在以下几方面进行了安全增强: (1)更好的空口安全:在2G/3G/4G中用户和网络之间用户数据机密性保护的基础之上,5G网络进一步支持用户数据的完整性保护机制,防范用户数据的篡改攻击。 (2)更强的用户隐私保护:在2G/3G/4G时,移动用户身份标识IMSI在部分场景下是通过空口明文发送的,攻击者可以利用这一缺陷追踪用户。在5G中,用户永久身份SUPI将以加密形式发送,以防范“IMSIcatcher”攻击。 (3)更安全的网络漫游:运营商之间通常需要通过转接运营商来建立连接。攻击者可以通过控制转接运营商设备的方法,假冒合法的核心网节点,发起类似SS7的攻击。5G的SBA架构中新定义了SEPP,对运营商间的信令面数据进行安全保护,使得运营商间的转 接设备无法窃听核心网之间交互的敏感信息(如密钥、用户身份、短信等)。 (4)更强的密码算法:为了应对量子计算机对密码算法的影响,5G在未来版本可能需要支持256bit算法。目前5GR15标准已定义256bit密钥传输等相关机制,为未来引入256bit算法做好准备。 (5)更安全的SBA:5G核心网的SBA新架构将网络功能服务化,标准定义了SBA架构的服务安全机制。包含更细粒度的网元间授权机制,更强的运营商间的用户面数据传输保护等,以保障核心网内部信令面及用户面数据的传输安全。 1.35G行业应用安全需求 5G网络基于全新的架构,将传统的人与人通信延伸到人与物、物与物之间智能互联,应用场景从互联网拓展到工业互联网、车联网、物联网等更多领域。5G为垂直行业带来了更大带宽、更低时延、更多接入的通信技术能力,将会深度与垂直行业业务融合,5G行业应用有以下几个重点安全需求: (1)5G终端接入安全。传统网络中,企业网络是封闭的,各种设备终端从园区局域内网接入,应用只对内部开放,数据主要在企业园区内流动。通过5G网络接入后,打破了原有的物理边界,需要更加严谨、细粒度的访问控制来约束终端的上网行为,避免异常终端接入。同时,终端设备本身,包括所用芯片、嵌入式操作系统、编码规范、第三方应用软件等,可能存在漏洞、缺陷、后门等安全问题, 暴露在相对开放的5G网络中,存在被利用的风险,多种类终端接入加剧了恶意应用威胁渗透,易被利用成为新攻击源,进而对企业应用、后台系统等发起攻击,造成巨大损失。 (2)网络安全防护。5G虚拟专网、共享切片、资源云化等行业应用的服务模式导致出现更多虚拟网络边界(例如边缘计算云平台上的虚拟资源之间、APP之间等),运营商与垂直行业之间需要明确在混合组网、共享云平台等场景下的安全责任边界划分,并在物理边界和虚拟边界部署入侵检测、安全隔离等安全防护措施。 (3)数据安全。从信息安全三要素CIA(机密性、完整性和可用性)来看,5G网络与其他公共通信网络一样,需要保障垂直行业的数据在网络中传输、交换和存储的信息的机密性、完整性,不被未经授权的篡改、泄露和破坏,同时,保障系统连续可靠地运行,不中断地为上层应用提供通信服务。 (4)应用安全。应用包括运营商应用和第三方应用,提供行业应用服务。5GMEC支持用户面下沉部署,利用无线接入网就近提供用户所需服务和计算能力,实现通信和业务深度融合。MEC应用主要面临不可用、滥用、隐私泄露等安全风险,需要规范应用开发和上线,降低安全风险,同时加强开放API的安全管控。 图1-15G行业应用安全需求 25G网络安全原子能力框架 结合5G网络相比4G网络在网元设备级、网络级安全能力的增强提升以及融合安全系统的检测防御能力,面向5G网络自身安全运营和5G行业应用安全需求,构建“设备级-网络级+平台级-场景级”的5G网络安全原子能力三层架构。其中设备级安全功能主要为终端设备、基站、MEC、5GC等5G网络各网元设备的安全功能,偏向于底层网元,是网络级安全原子能力的基础;网络级安全原子能力依托于设备级的安全功能,整合需要多设备网元共同提供的安全能力;平台级安全原子能力整合了5G网络中安全系统的能力,为行业客户提供更全面的安全防护;场景级安全原子能力在梳理各垂直行业的安全需求场景基础上,拉通多个网络级、平台级安全原子能力,提供不同场景的安全能力。 图2-15G网络安全原子能力框架 35G设备级内生安全功能 5G网络中的终端设备和各网元设备均具有一定的内生安全功能,如终端具备接入认证、用户隐私保护等安全功能;基站具备空口信令和用户数据的加密完保、伪基站检测等安全功能;MEC具备API接口安全、虚拟化安全防护等功能;5GC网元具备网元间相互认证、网元虚拟化隔离等安全功能。这些设备级安全功能是5G网络安全原子能力中最基础的安全功能,为上层网络级、场景级的安全原子能