5G網(wǎng)絡安全方案

概要2G、3G、4G網(wǎng)絡的控制面協(xié)議絕大部分預定義于設備中，是對外封閉的，只預留了少量的幾個參數(shù)可以對外調整。5G提出了以IT為中心的網(wǎng)絡架構，引入SDN、NFV、云計算等技術，將控制面從設備分離出來，通過可編程的外部控制器對網(wǎng)絡進行動態(tài)調整。5G開放性的網(wǎng)絡結構，相比現(xiàn)有的相對封閉的移動通信系統(tǒng)，對網(wǎng)絡安全提出了新的挑戰(zhàn)。安全架構網(wǎng)元組成5G中增加的安全網(wǎng)元1、AUSF/ARPF（認證服務器功能/認證憑證庫和處理功能）網(wǎng)元可完成傳統(tǒng)EAP框架下的認證服務器功能。2、AMF和AUSF/ARPF為不同的接入提供認證服務，實現(xiàn)用戶在不同接入網(wǎng)間進行無縫切換。3、安全邊緣保護代理（SEPP，SecurityEdgeProtectionProxy）保護PLMN之間的交互安全。特性5G安全防護架構延用了原來4G安全參考架構，增加了新功能。1、統(tǒng)一認證框架：認證協(xié)議上使用了EAP-AKA以實現(xiàn)統(tǒng)一框架下的雙向認證，支持非3GPP的接入。2、使用5G-AKA增強歸屬網(wǎng)絡控制。3、用戶身份隱私保護：使用公鑰認證，使用公鑰加密IMSI，解決用戶身份泄露問題。4、新增加安全網(wǎng)元AUSF（認證服務器功能）、ARPF（認證憑證庫和處理功能）、安全邊緣保護代理（SEPP）。5、在物聯(lián)網(wǎng)中可以按需選擇用戶面加密和完整性保護。6、二次認證：對第三方提供服務認證。7、支持主流的加密和完整性保護算法，例如AES、SNOW-3G、ZUC。8、支持層次化的密鑰派生機制。9、支持網(wǎng)絡切片的安全性。10、NFV/SDN引入情況下，支持網(wǎng)絡應用開放環(huán)境的安全性。架構5G網(wǎng)絡安全架構如圖所示：5G網(wǎng)絡安全架構分為以下八個安全域：1、網(wǎng)絡接入安全：保障用戶接入網(wǎng)絡的數(shù)據(jù)安全。2、網(wǎng)絡域安全：保障網(wǎng)元之間信令和用戶數(shù)據(jù)的安全交換。3、首次認證和密鑰管理：UE與3GPP運營商網(wǎng)絡之間的認證，認證成功后用戶數(shù)據(jù)保護的密鑰管理，以及建立統(tǒng)一的認證框架。4、二次認證和密鑰管理：UE與外部數(shù)據(jù)網(wǎng)絡（如業(yè)務提供方）之間的業(yè)務認證以及密鑰管理。5G網(wǎng)絡對于業(yè)務接入5G網(wǎng)絡時的授權。5、安全能力開放：5G網(wǎng)元與外部業(yè)務提供方的安全能力開放，包括開放數(shù)字身份管理與認證能力。6、應用安全：保證用戶和業(yè)務提供方之間的安全通信。7、切片安全：切片的安全保護，例如UE接入切片的授權安全，切片隔離安全等。8、安全功能可視化和可配置。關鍵技術認證框架1、5G支持多種接入技術（如5G接入、4G接入、WLAN接入）。不同的接入網(wǎng)絡使用不同的接入認證技術。2、為了更好地支持物聯(lián)網(wǎng)設備接入5G網(wǎng)絡，3GPP還將允許垂直行業(yè)的設備和網(wǎng)絡使用其特有的接入技術。3、為了使用戶可以在不同接入網(wǎng)間實現(xiàn)無縫切換，5G網(wǎng)絡將采用統(tǒng)一的認證框架，建立統(tǒng)一的密鑰體系，靈活高效地支持各種應用場景下的雙向身份鑒權?？蓴U展認證協(xié)議(Extensibleauthenticationprotocol,EAP)1、EAP（可擴展認證協(xié)議）認證框架是能滿足5G統(tǒng)一認證需求的推薦方案之一。2、EAP是一個能封裝各種認證協(xié)議的統(tǒng)一框架?？蚣鼙旧聿⒉惶峁┌踩δ?，認證期望取得的安全目標，由所封裝的認證協(xié)議來實現(xiàn)。3、EAP（可擴展認證協(xié)議）支持多種認證協(xié)議，如EAP-PSK（預共享密鑰），EAP-TLS（傳輸層安全），EAP-AKA（鑒權和密鑰協(xié)商）等。4、在5G統(tǒng)一認證框架里，各種接入方式均可在EAP框架下接入5G核心網(wǎng)：5G新空口接入時，可使用EAP-AKA認證；WLAN接入時，可使用EAP-AKA’認證；有線接入時，可采用IEEE802.1x認證。5、采取統(tǒng)一的認證框架，用戶終端對安全上下文的共享，可以降低安全管理的復雜度。6、采取統(tǒng)一的EAP認證機制，不同類型的接入網(wǎng)絡之間可以共享使用安全上下文用于認證。用戶終端網(wǎng)絡間切換時，可以直接使用現(xiàn)有的安全上下文來實現(xiàn)快速的網(wǎng)絡接入認證，而不再需要像現(xiàn)在的機制那樣首先要對用戶業(yè)務訂購數(shù)據(jù)庫發(fā)起新的認證數(shù)據(jù)請求。降低網(wǎng)絡接入延遲/時延。7、5G將其認證范圍延伸至第三方服務，對第三方服務提供方進行認證：用戶身份的隱私保護5GRelease15增加了公鑰IMSI加密是最大的亮點。手機首次入網(wǎng)或手機移動到其它MME覆蓋范圍后，MME中無法從網(wǎng)絡中查詢到手機的GUTI/TMSI，需要手機上報自己的真實身份。偽基站通過高信號強度不停向手機發(fā)送身份驗證請求消息——“IdentityRequest”，手機就會上報真實身份。這種獲取工具稱為IMSICatcher。IMSICatcher可以獲取IMSI，TMSI，IMEI。5G引入公鑰機制實現(xiàn)用戶IMSI傳輸中的身份隱藏和認證。公鑰公開，用來加密。私鑰保留，用來解密。將公鑰存放在手機端，私鑰存放在運營商手里。只有運營商可以解密手機的真正的身份信息，攻擊者只能拿到加密后的信息，沒有私鑰而無法解出IMSI。手機的真實身份在5G里稱為SUPI（SUbscriptionPermanentIdentifier，簽約永久標識符）（類似IMSI），通過公鑰加密后的密文稱為SUCI（SUbscriptionConcealedIdentifier）。SUCI傳送給基站后，基站直接上傳至核心網(wǎng)。終端的SUCI加密方案終端的Eph.keypairgeneration，產(chǎn)生終端的公鑰和私鑰對。這兩對秘鑰均采用橢圓曲線加密算法ECC生成。私鑰可以衍生出唯一的公鑰，但是從公鑰不能反推出私鑰。終端存儲運營商網(wǎng)絡的公鑰。終端生成的私鑰與網(wǎng)絡提供的公鑰結合，生成一對共享加密秘鑰（用來加密的原始秘鑰），派生出加密的主密鑰masterkey。取主密鑰的高有效位，對SUPI進行對稱加密，得到SUCI。.取主密鑰的低有效位，對終端參數(shù)等信息，進行完整性保護。終端發(fā)出的消息包括：終端生成的公鑰、SUCI和終端參數(shù)等。網(wǎng)絡側對終端身份進行SUCI驗證的方案網(wǎng)絡側采用私鑰與終端所發(fā)送的公鑰，組合成共享秘鑰；由共享秘鑰派生出主密鑰masterkey。網(wǎng)絡側先通過主密鑰masterkey的低有效位校驗消息的完整性與否。如果消息經(jīng)過篡改，則該步驟的驗證無法通過。只有驗證通過，才會進一步將信令轉發(fā)至UDM中執(zhí)行SIDF(Subscriptionidentifierde-concealingfunction，簽約標識符去隱藏功能)的過程，解密得到SUPI。加密算法和完保算法5G系統(tǒng)的加密算法，和4G的加密算法是一樣。5G系統(tǒng)的完整性保護算法，和4G的完整性完保算法是一樣。ZUC（EEA3/EIA3）祖沖之算法集祖沖之算法集是中國自主設計的流密碼算法，包括祖沖之算法（ZUC算法）、加密算法（128-EEA3）和完整性算法（128-EIA3）。ZUC算法由3個基本部分組成：比特重組；非線性函數(shù)F；線性反饋移位寄存器（LFSR)。ZUC算法是中國第一個成為國際密碼標準的密碼算法。ZUC算法和SNOW3G、AES并稱為LTE的三大算法。切片安全控制機制5G網(wǎng)絡采用網(wǎng)絡切片技術來應對不同的應用場景。切片安全控制機制：（1）對UE進行鑒權，從而保證接入網(wǎng)絡的UE是合法的；（2）AMF通過UE的NSSAI（網(wǎng)絡切片選擇輔助信息）為UE選擇正確的切片；（3）當UE訪問不同切片內(nèi)的業(yè)務時，會建立不同的PDU會話，不同的網(wǎng)絡切片不能共享PDU會話。（4）建立PDU會話的信令流程中增加鑒權和加密過程。（5）UE的每個切片的PDU會話可以根據(jù)切片策略，采用不同的安全機制。（6）網(wǎng)管平臺對各個NF進行授權，包括每個NF可以被哪些NF訪問，每個NF可以訪問哪些NF。（7）切片內(nèi)NF之間通信前，先進行認證，保證對方NF是可信NF。（8）在切片內(nèi)NF與外網(wǎng)設備間，部署虛擬防火墻或物理防火墻，保護切片內(nèi)網(wǎng)與外網(wǎng)的安全。（9）各個切片內(nèi)的NF之間需要進行安全隔離。保證每個切片都能獲得相對獨立的物理資源，保證一個切片異常后不會影響到其他切片。（10）通過建立安全隧道保證通訊安全，如IPSec。安全功能虛擬化（SecurityFunctionVirtualization）防止虛擬機一旦受到攻擊，病毒可能從一個虛擬機傳播到另一個，或從一個主機上的虛擬機傳播到其它主機上，最終蔓延整個網(wǎng)絡。安全挑戰(zhàn)5G網(wǎng)絡構架主要面臨的安全挑戰(zhàn)DDoS攻擊例如：來自接入網(wǎng)側海量終端發(fā)起的控制面和用戶面DDoS攻擊，引發(fā)網(wǎng)絡擁塞甚至崩潰；來自互聯(lián)網(wǎng)DDoS攻擊；DDOS緩解機制：1.終端上的惡意軟件向云服務發(fā)送惡意IP包。2.分析引擎檢測到異常。3.SDN控制器動態(tài)修改防火墻規(guī)則，阻撓攻擊。軟件漏洞攻擊1、5G網(wǎng)絡可以通過API接口開放給第三方業(yè)務（如業(yè)務提供商、企業(yè)、垂直行業(yè)等），讓第三方業(yè)務能便捷地使用移動網(wǎng)絡功能，進而快速、靈活地部署各種新業(yè)務，以滿足用戶不斷