2024年5G核心网安全架构及关键技术白皮书
AI智能总结
中国联通5G核心网安全架 构及关键技术白皮书 中国联合网络通信有限公司研究院 下一代互联网宽带业务应用国家工程研究中心2024年8月 版权声明 本报告版权属于中国联合网络通信有限公司研究院,并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的,应注明“来源:中国联通研究院”。违反上述声明者,本院将追究其相关法律责任。 目录 一、网络安全面临的挑战4 (一)网络多制式并存的复杂度到达新的水平4 (二)核心网部署集中故障容忍度低4 (三)网络安全影响生产安全5 (四)智能化、数字化演进5 二、5G网络容灾架构及关键技术6 (一)网络可靠性架构6 1.网元内可靠性6 2.网元间可靠性6 3.网络级可靠性7 (二)通信云虚拟层可靠性7 1.软件可靠性8 2.硬件可靠性9 (三)网络安全关键技术10 1.组网安全10 2.MEC安全11 3.网络接入安全12 4.数据安全12 5.信令风暴预防14 (四)5G网络安全部署策略15 1.网元容灾15 2.业务及数据逃生15 3.亚健康恢复16 三、专网安全17 (一)专网架构带来的安全风险17 (二)专网安全解决方案19 1.专网用户接入安全方案19 2.专网传输通道安全方案19 3.专网边界安全方案20 4.专网设备自身安全21 -1- 四、智能化网络安全体系22 (一)5G核心网智能化架构及演进23 (二)5G核心网智能化架构安全增强26 1.核心网智能化系统自身的安全27 2.利用NWDAF增强网络安全28 3.NWDAF在网络安全的应用场景举例28 (三)网络能力开放安全架构34 五、未来网络内生安全架构39 六、总结及展望41 缩略语43 前言 5G核心网引入了网络功能虚拟化、边缘计算、服务化架构等新技术,使得网络架构发生重大变化,也带来了新的安全挑战。 一方面,用户及产业对网络的要求越来越高,对网络的依赖性越来越强,使得网络承担了更多的使命和责任;另一方面,运营商自身的建设投资及运维压力较之前显著增大。如何既能保证业务体验,又能降低成本,既能保证网络的安全可靠,又可以灵活部署,降低压力,是当前运营商面临的重大课题之一。 5G核心网容灾本质上是对网络运营成本和网络服务质量的平衡把控。对运营商网络安全和健壮性的考量也不仅仅是要求核心网应用层网元具备相应功能流程要求,而是一种基于网络整体的综合能力评估。本白皮书对5G核心网安全容灾架构及关键技术等多个方面提出部署策略、建议和要求,并提出对未来网络安全体系的思考和展望。 本白皮书由中国联通研究院编制,未经授权,任何单位或个人不得复制或拷贝本白皮书之部分或全部内容。 本白皮书由中国联通研究院牵头编制,联合编制单位(排名不分先后):华为技术有限公司、中兴通讯股份有限公司、上海诺基亚贝尔股份有限公司。 一、网络安全面临的挑战 (一)网络多制式并存的复杂度到达新的水平 移动通信网络经过多年的演进,逐渐形成了一张四代同堂 (2/3/4/5G)、三网并存(CS/PS/IMS)的超级复杂网络,在不同代际与不同业务网之间有多种不同组合。如果算上几乎同步演进的承载网、终端和基站,整个电信网的复杂程度已无以复加。此外,5G核心网引入了服务化架构,实现简化部署和配置的同时也带来了集中注册和状态管理的风险。 (二)核心网部署集中故障容忍度低 5G核心网逐步采用大区化部署,单大区数据中心规划容量过亿,故障影响巨大。5G核心网多省份共享大区数据中心,两两容灾,单数据中心规模增长2~3倍,用户容量达到千万级规模,未来将超过1亿。 从应用层视角,由于APP要求永远在线,现代智能终端在不能连接数据网络时不断重试。由于大区数据中心集中,加剧了信令浪涌风险,大区间容灾倒换信令流量是平时200倍以上,业界重大恶性事故大多跟信令浪涌有关。 基站到大区控制面距离也超千公里,中间经过几十个传输路由设备,容易发生故障。如果是省干路由器故障将影响全省业务,业界已经发生过影响全省语音业务的严重事故。传输距离长导致传输时延大, 容易出现通信亚健康导致业务受损。 电信领域首次大规模采用云存储、SDN等云化技术。新技术带来架构解耦和简化配置的同时也带来的网络高稳风险。集中部署或几种控制容易导致通信网络整体故障。 此外,在多代、多网络、多协议并存的场景下,电信设备及系统本身的业务复杂度和实现难度已经大幅提高。此时,再叠加上异厂家集成,系统可靠性就变得更加不可控了。 (三)网络安全影响生产安全 5G网络大量应用在垂直行业,需要依赖大量的设备来实现其功能,这些设备在运行过程中可能会出现故障或异常。如果设备的安全性能不足或维护不当,将可能导致生产事故的发生。同时在5G网络中传输的数据量巨大且种类繁多,包括生产数据、用户信息等敏感信息。如果这些数据没有得到妥善保护,将面临泄露的风险。一旦数据泄露,将对企业的生产运营和用户的隐私安全造成威胁。因此,加强数据的安全管理和保护也是5G应用到垂直行业时必须重视的问题。 (四)智能化、数字化演进 随着技术的不断发展,网络复杂程度越来越高、遭受的攻击手段越来越复杂,传统的手段已经难以适应这种变化。随着智能化、数字化的演进,可以进一步探索网络安全体系的智能化演进,用各种新工具和手段实现网络的安全运营。 二、5G网络容灾架构及关键技术 (一)网络可靠性架构 5G网络的高可靠架构和高可靠产品是网络安全运行的基石。5G云化核心网从网元内、网元间、网络级三个层面构建局部到整体的高可靠安全网络。 1.网元内可靠性 云化核心网设备基于业务和数据分离的无状态架构设计,实现业务无损的资源弹性,弹性过程用户状态数据不丢失,保证业务连续性。 业务组件支持1+1或者N+M全负荷分担,一个组件故障其他组件可实时接管,业务无感。 网元内同类型虚机或容器互斥部署,分布在不同物理主机或裸机上,当主机运行故障时,虚机或容器可以进行本地自愈或异地重生,完成故障自恢复。 2.网元间可靠性 5G云化核心网支持网元间负荷分担(POOL)、1+1互备等不同备份方式,根据网元类型确定合适备份容灾方式,当发生单网元故障时充分利用网元的容灾机制实现网元间容灾快速恢复业务。随着AMF/MME、SMF/GW-C、UPF/GW-U网元支持热备功能在网络中部署,接管效能进一步提升,实现终端无重连的平滑接管。 Bypass功能也是一种有效的可靠性保障机制,在某类容灾网元 都发生故障时,邻接网元的Bypass功能生效,可以及时旁路故障网元,损失少量业务能力最大限度保障用户业务可持续。比如,AMF在进入Bypass机制后,通过网络侧存储的安全上下文完成终端认证免鉴权,使用缓存的签约数据或本地配置最小签约数据,完成注册、切换等业务流程,使得24小时内用户重新注册、跨AMF移动、4/5G互操作及常规在线业务均可用。SMF在进入Bypass机制后,使用缓存的签约数据或本地配置最小签约数据,完成PDU会话的建立、更新等业务流程。 3.网络级可靠性 为保障云化网络整体可靠性,在网络规划建设时满足多级容灾要求,资源池按照DC方案建设,DC尽量部署在异地,实现异地容灾。一旦发生资源池和机房级故障,业务快速容灾到异地机房,实现业务快速接管。 此外,网元的对外网络也需要支持可靠性,包括不同功能的接口在VPN层面进行逻辑隔离,减少网络底层的互相影响。同一个逻辑接口,采用多链路组网、采用负荷分担或者主备进行链路级容灾,防止网络单点故障。 (二)通信云虚拟层可靠性 作为通信云的重要组成部分--虚拟化层,也必须支持高可靠性,才能满足上层网元的可靠性要求。 1.软件可靠性 通信云要求具备虚拟机热迁移能力,迁移期间保证虚拟机上业务连续性,保证在系统维护时做到业务不受影响。支持虚拟机看门狗功能,通过看门狗检测到虚拟机操作系统运行不正常时可以对虚拟机进行复位,使虚拟机尽快恢复正常。支持主动对虚拟机进行检测,在检测到虚拟机异常时对虚拟机发起复位操作,使虚拟机尽快恢复正常。通信云要求支持虚拟机的异地重生,即系统可以主动检测物理机 异常,并且在检测到物理机异常后,能够将该物理机上的虚拟机在其他物理机上重新启动,以减少业务损失。支持虚拟机的反亲和性部署。冗余备份的多个虚拟机需要部署在两台以上、不同的服务器上,以便在主用虚拟机所在的服务器故障时,其他服务器上的冗余虚拟机能够接管业务,例如,主备虚拟机和负荷分担虚拟机不能部署在同一块服务器单板上。 通信云要求支持虚拟机状态的检测和自愈功能。当虚拟化层检测到虚拟机故障或物理硬件故障时,需要能在本机恢复,或迁移至其他服务器上重生。支持控制节点的集群配置,在控制节点出现单点故障时能够及时切换,减少系统服务中断的时间,并且在控制节点发生异常并进行切换时,计算节点上运行的虚拟机不受影响。还应支持云系统配置数据以及数据库的定时自动及手工备份,保证在系统因硬件原因出现异常时,能够快速从备份的数据恢复正常运行。 2.硬件可靠性 为了提供通信云的可靠性,组成通信云的硬件设备也必须有可靠性设计。 对于计算资源,要求机架、机框、服务器采用N+M冗余配置,电源/风扇采用N+M冗余配置,物理主机网卡Bond,主备或负荷分担,BMC支持开机和定时自检,对硬件进行主被动监视,并上报PIM。服务器至少采用双网卡,主备或者负荷分担方式灵活进行配置,提高网络可靠性,当其中一块网卡故障,所有流量转移到另外一块网卡上处理。 对于存储资源,采用磁阵或分布式存储来实现。控制器、内置SAS交换等所有环节均采用冗余配置,磁盘采用RAID方式冗余。分布式存储支持1+M多副本方式,存储设备内置电池和监视模块,通过带外方式受PIM监视。存储资源需要配置多路径、冗余链路,防止单点故障,其中一块网卡或者链路故障,所有流量转移到另一条链路。存储设备必须为APP提供统一的云存储,替代本地磁盘,提升数据的可靠性。支持存储多路径访问、存储链路检测、及恢复后的路径自动补全;支持采用1+1/1+M多副本,提供数据的冗余保护。 对于网络资源,要求网络设备(包括TOR,EOR,DCGW)采用1+1配置,采用设备M-Lag等技术组网,并采用多平面组网,在网络路径、接口、设备和路由上均采用负荷分担实现。网络设备需 要内置监视模块,通过带外方式受PIM监视。 (三)网络安全关键技术 5G云化核心网处于可信域范围内,信息安全威胁较低。云化核心网产品采取可信的安全技术标准,将可信安全融入产品,构建可信安全网络架构,为云化环境中的核心网运行提供可信的安全保障。 1.组网安全 VNF内部平面包括管理面和控制面,采用vNIC/VLAN/VXLAN隔离。VNF外部平面包括外部管理面、控制面、媒体面,采用vNIC/VLAN/VXLAN/vRouter隔离。 要求对网元进行必要的安全域划分,每个NF网元只能属于一个安全域,每个安全域分配专用的硬件资源池。用户安全域、接口服务安全域建议设置为非信任域,安全域之间访问要通过虚拟安全设备、防火墙等做防护。安全域内可根据网元种类、归属地区等划分子域。通信云的资源池应提供FW/VPN/WAF/IPS/IDS等安全服务。 针对5G网络中的SBA架构,部署TLS安全隧道传输保证信令面机密性与完整性。NF与NF之间采用静态或动态授权认证,NF与NRF之间静态或动态授权认证。NF与NRF之间基于Oauth2.0授权认证,提高通信时的安全。 在漫游场景下,漫游运营商与归属运营商分别部署SEPP,负责HTTP信令安全保护,拜访SEPP和归属SEPP之间采用静态配置, 网络内所有漫游相关HTTP信令均送往SEPP。SEPP实现网络拓扑隐藏,将HTTP信令中各NF的FQDN替换为TelescopicFQDN,再转发至其他PLMN。 根据部署场景方式不同,SEPP可通过两种方式实现信令安全保护:通过TLS实现传输层安全加密传输,适用于SEPP间直连,无IPX转接场景;或者通过ALS(ApplicationLayerSecurity)实
