安全在5G无线接入网络(RAN)和核心网络部署中的挑战与关系
2020年4月发布的一份关于5G无线接入网络(RAN)和核心网络分离的安全性技术描述文件指出,尽管当前在5G网络中尚未制定出分离RAN和核心功能的标准规则或指导方针,3GPP标准相对灵活,但实际的分离取决于特定的5G用例以及运营商的商业策略。此外,分布式RAN、分割RAN、O-RAN和CPRI/eCPRI联盟等技术发展和举措进一步分散了RAN功能的部署,带来了安全问题。
该文档主要针对监管机构,同时也面向运营商决策者,旨在澄清RAN在确保信息安全方面的重要性,其与核心网络相似。文中指出,虽然一些论文可能认为RAN在5G网络中是一个不那么重要的部分,不能影响5G服务的机密性和完整性,但从技术角度来看,这一观点是错误的。gNB作为加密和完整性保护的终端点,以及潜在的用户平面以明文形式被访问(除非使用端到端的外部加密)。因此,在没有使用外部加密的情况下,用户平面流量对控制该gNB或其实现的任何人都可能是可访问的。
文件还强调了技术术语的模糊性可能导致决策者误解系统安全性,进而导致不安全的系统。例如,“分离”一词在不同方中可能指的是不同的概念,这可能会误导决策者,导致系统不安全。文件指出,尽管3GPP标准定义的“分离”假设功能安全部署、正确实现,并不含恶意组件,但若这一假设失效,则安全无法保证。
文件进一步探讨了3GPP标准与实际部署之间的关系。在3GPP定义的5G架构中,RAN和5G核心之间存在明确的功能分离,通过N1、N2和N3参考点表示。在现有移动网络(如3G和4G)中,RAN和核心通常在地理上不同的位置部署。然而,5G及其实施技术的最新进展提供了灵活的部署可能性,如单站点、边缘计算、云和容器等。这些部署选择并非由3GPP标准定义,而是由商业决策确定。因此,为了满足终端用户对低延迟服务的需求,运营商可能会采用仅需要有限地分离RAN和核心即可实现5G独特能力的部署方式。
在讨论RAN和核心的分离时,文件还考虑了更广泛的科技演变,这些演变超越了5G标准。随着大部分网络功能虚拟化并基于云部署,它们可以根据应用场景的不同方式部署。例如,移动宽带应用可能仍然依赖于集中式核心网络,而物联网和制造相关的应用则可能需要将核心网络(或至少用户平面功能)部署得更靠近或与RAN共址,以支持所需的低延迟和高吞吐量。因此,同站点部署RAN和核心提出了一个问题:在实践中实现RAN和核心的分离是否真的可行?
此外,边缘计算也允许在相同的物理站点部署其他关键网络应用,这进一步模糊了RAN、核心和IT云之间的界限。
文件总结了在5G RAN和核心部署中的安全考虑,强调了在不同部署场景下(如连接5G RAN至5G核心网络或4G网络)的安全措施,并讨论了RAN安全问题,包括5G网络中的4G安全考量。