众所周知,5G时代,迎接我们的是一个万物互联的世界。随着物联网的不断发展,越来越多的设备需要接入5G网络,但这也意味着这些设备将会成为被不法分子攻击的潜在目标。你可曾想过,在物联网时代,病毒有可能感染正在行驶的汽车,感染正在使用的智能家居设备....当海量终端通过传输网接入核心网时,谁来保证5G核心网(5GC)的安全?
5GC威胁分析
上述场景也许只是5GC安全威胁的一个缩影。5GC基于云化架构,通过引入虚拟化技术实现了软件与硬件的解耦,并通过NFV技术,将虚拟化网元部署在云化的基础设施上,不再使用专有通信硬件平台。因此,原先认为安全的物理环境已经变得不安全。
在基础设施层(NFVI),除了传统的物理安全隐患,虚拟化的安全威胁更值得注意,例如病毒木马攻击虚拟化云平台、滥用虚拟资源、恶意破坏虚机及镜像等。
在网元功能层(VNFs),存在非法用户接入网络、对网元间通信数据的监听和篡改、针对漫游用户的流量欺诈等攻击。
在管理和编排层(MANO),存在针对管理平面的安全威胁,包括非法用户访问、内部人员的恶意操作、权限滥用攻击、个人数据隐私暴露等。
5GC安全架构
这个安全架构看上去挺复杂啊!
接下来,小编就带你从如下5个层面解读5GC安全架构。
如果把5GC网络比作全国的公路网,网络中的数据比作通行的车辆。我们可以简单地将5GC安全架构的几个层面简单地做个类比。
服务化架构安全
由于5GC采用服务化架构,针对全新服务化架构带来的安全风险,5GC安全架构采用完善的服务注册、发现、授权安全机制来保障服务化安全。
在NF注册和发现流程中,NRF和NF间采用双向认证方式。在NRF和NF认证成功后,NRF判定NF是否被授权执行注册和发现流程。
在非漫游场景下,即同一PLMN内时,5G核心网控制面中的各NF之间采用基于Token的授权机制,NF业务访问者在访问业务API之前需要进行认证。
在漫游场景中,即不同PLMN之间的NF授权时,拜访地的vNRF和归属地的hNRF需要做双向认证。
虚拟化平台安全
虚拟化平台提供所有5G核心网NF的部署、管理和执行环境。为了实现虚拟化平台安全,Hypervisor发挥了重要作用。
Hypervisor统一管理物理资源,保证每个虚拟机都能获得相对独立的计算资源,并实现物理资源与虚拟资源的隔离。
虚拟机所有的I/O操作都会由Hypervisor截获处理,Hypervisor保证虚拟机只能访问分给该虚拟机的物理磁盘,实现不同虚拟机硬盘的隔离。
Hypervisor还负责调度vCPU的上下文切换,使虚拟机操作系统和应用程序运行在不同的指令级别(Ring)上,保证了操作系统与应用程序之间的隔离。
对于用户而言,通过配置不同的VDC,实现虚拟机之间的通信隔离。通过配置安全组,终端用户可自行控制虚拟机互通和隔离关系,以增强虚拟机的安全性。
结束语
现在,你知道5G核心网的安全是如何保障的吧。中兴通讯提出的5GC安全架构,从接入安全、网络安全、管理安全、数据安全、能力开放安全等方面,保障5GC网络安全,大大降低诸如用户设备非法接入、网元间通信数据泄露等安全威胁。此外,对于多接入边缘计算(MEC)场景,中兴通讯通过提出MEC安全架构和方案,保障MEC场景下的核心网安全。
你最关心的网络安全,都有什么呢?欢迎在留言区留言~
我们是一群平均从业年限5+的通信专业工程师。
关注我们,带你了解通信世界的精彩!
