5G核心网技术基础自学系列 | 网络域安全

Posted 2022-11-26 COCOgsta

书籍来源：《5G核心网 赋能数字化时代》

一边学习一边整理内容，并与大家分享，侵权即删，谢谢支持！

附上汇总贴：5G核心网技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客

---

8.4.1 引言

到目前为止，本章大部分描述涉及的都是网络接入的安全，即UE接入5GS的安全性功能。但是， 如本章开篇所述， 重要的还包括PLMN内部和PLMN之间的网络内部接口的安全性。

不过情况并非总是如此。当开发2G(GSM/GERAN) 时， 就没有指定解决方案来保护核心网中的数据。人们认为这不是问题， 因为GSM网络通常由少数大型机构控制， 并且是受信任的实体。此外， 最初的GSM网络仅运行电路交换的业务。这些网络使用特定于电路交换的语音业务的协议和接口， 并且通常只有大型电信运营商才能访问。随着GPRS和IP传输的引入， 3GPP网络中的信令和用户面传输开始在更开放的网络和协议上运行，意味着少数大型电信机构外的其他人也更易访问3GPP网络， 这就带来了增强对运行在核心网接口上的数据的保护的需求。例如，核心网接口可能穿越第三方IP传输网络，或者在漫游情况下， 接口可能跨越运营商边界， 因此， 3GPP制定了规范， 说明如何在核心网中以及在一个核心网和另一个(核心)网络之间也确保基于IP的数据的安全。另一方面，应该注意的是，即使在今天，如果核心网接口运行在受信任的网络(例如，运营商拥有的、具有物理保护的传输网络)上，则几乎不需要这种附加保护。

下面， 我们将讨论已经为3G和4G制定的并用于5GS的通用的网络域安全(NDS)解决方案， 还将讨论专门为基于服务的接口(即使用HTTP/2的接口) 开发的新的5GS解决方案。在这方面， 域之间的接口尤其重要， 包括PLMN之间的漫游接口(N32) 以及5GS和第三方之间的用于网络开放的接口。

8.4.2 基于服务的接口的安全考虑

基于服务的接口是3GPP引入的3GPP网络中新的设计原则。为此， 3GPP还定义了新的安全功能，以适应核心网实体之间的新型交互方式。例如，当NF服务使用者希望访问NF服务提供者提供的服务时，5GS支持在允许对NF服务的访问之前，对使用者进行鉴权和授权。这些功能在PLMN内是可选的， 并且运营商可以决定例如依赖物理安全， 而不是为NF服务部署鉴权/授权框架。下面，我们将概括性描述基于服务的接口的安全功能，包括鉴权和授权支持。

为了保护基于服务的接口， 所有网络功能均应支持TLS。除非运营商通过其他方式实现网络安全性， 否则TLS也可用于PLMN内的传输保护。不过， TLS是可选的， 作为替代方案， 运营商还可以使用PLMN中的网络域安全(NDS/IP) ， 这将在8.4.4节中详细介绍。如果接口被认为是可信的，例如，它们是受物理保护的运营商内部接口，则运营商还可以决定不在PLMN中使用加密保护。

PLMN内的网络功能之间也支持鉴权， 方法取决于链路的保护方式。如果如上所述运营商在基于TLS的传输层上使用保护， 则TLS提供的基于证书的鉴权将用于NF之间的鉴权。但是， 如果PLMN不使用基于TLS的传输层保护， 则可以通过使用NDS/IP或链路的物理安全将一个PLMN内NF之间的鉴权视为隐式的。

除了在NF之间进行鉴权外，基于服务的接口的服务器端还需要授权客户端访问某个NF服务， 授权框架采用RFC 6749(RFC 6749) 中指定的OAuth 2.0框架。OAuth 2.0框架是IETF开发的用于授权的行业标准协议， 它支持一个基于令牌的框架， 服务使用者可以在该框架中从授权服务器获取令牌。该令牌可以用于访问NF服务提供者的特定服务。在5GS中， NRF充当OAuth 2.0授权服务器， 因此一个NF服务使用者在要访问某个NF 服务时将向NRF请求令牌。NRF可以接受NF服务使用者的请求， 并为其提供令牌， 该令牌属于某个特定的NF服务提供者。当NF服务使用者尝试访问NF服务提供者的某个NF服务时， NF服务使用者将在请求中提供令牌。NF服务提供者通过使用NRF的公共密钥或共享密钥来检查令牌的有效性(完整性) ， 具体取决于为OAuth 2.0框架部署了哪种密钥。如果验证成功，则NF服务提供者将执行请求的服务，并响应NF服务使用者。

上述框架是当一个NF访问任何其他NF所提供的服务时的通用框架。不过，在这种情况下，NRF是一个特殊的服务提供者， 因为NRF为NF发现、NF服务发现、NF注册、NF服务注册和OAuth 2.0令牌请求服务提供了服务， 即提供对整个基于服务的框架的服务。当NF想要使用NRF服务(即注册、发现或请求访问令牌) 时， 上述传输安全性(基于TLS)和鉴权(基于TLS或隐式鉴权) 的一般功能也适用。但是， NF和NRF之间不需要用于授权的OAuth 2.0访问令牌， 取而代之的是， NRF会根据期望的NF/NF服务的特征和NF服务使用者的类型来允许请求。同时基于目标NF/NF服务的特征和NF服务使用者的类型， NRF确定NF服务使用者是否可以发现期望的NF实例。当应用网络切片时，NRF根据网络切片的配置对请求进行授权，以便，例如，期望的NF实例只能由同一网络切片中的其他NF发现。

8.4.3 漫游时PLMN之间的基于服务的接口

网间互连允许在不同PLMN中的服务使用者和服务提供者进行安全通信。安全性是通过两个网络中的安全边缘保护代理(SEPP) 来支持的， 每个PLMN中至少有一个SEPP。SEPP执行有关应用层安全的保护策略， 从而确保对那些要保护的实体进行完整性和机密性保护。SEPP还允许隐藏拓扑， 以避免内部网络拓扑显示给外部网络。

大多数情况下， 在具有漫游协议的PLMN之间存在一个中间网络， 该中间网络在PLMN之间提供中介服务， 即所谓的漫游IP交换或IPX。IPX因而提供了不同运营商之间的互连。每个PLMN与一个或多个IPX提供者有业务关联。因此， 在大多数情况下， 两个PLMN中的SEPP之间将存在一个或多个互连提供者。互连提供者在IPX中可以拥有自己的实体/代理， 这些实体/代理为IPX提供者执行某些限制和策略。图8.11描述了提供服务的PLMN的示例， 其中NF想要访问由归属PLMN中的NF提供的服务。服务PLMN具有使用者的SEPP(cSEPP) ， 而归属PLMN具有提供者的SEPP(pSEPP) 。每个PLMN与IPX运营商都有业务关系。cSEPP的运营商与互连提供商(使用者的IPX或cIPX) 具有业务关系， 而pSEPP的运营商与互连提供商(提供者的IPX或pIPX) 具有业务关系。lPX和pIPX之间可能还有其他的互连提供者， 但此处未显示。

图8.11 PLMN(N32) 之间的安全性概览

互连运营商(图中的pIPX和cIPX) 可以修改在PLMN之间交换的消息， 以提供中介服务， 例如， 为漫游伙伴提供增值服务。如果SEPP之间存在检查或修改消息的IPX实体， 则TLS不能在N32上使用， 因为它是一种传输网络保护， 不允许中间人检查或修改消息。相反， 对于SEPP之间的保护需要采用应用层的安全性措施。应用层安全性意味着该消息在HTTP/2消息体内受到保护， 它允许对消息中的某些信元进行加密，而其他信元以明文形式发送。对于IPX提供者有理由检查的信元， 将以明文形式发送，而其他不应泄露给中间实体的信元则被加密。使用应用层安全性还允许中间实体修改消息。SEPP使用JSON Web加密（RFC 7516中指定的JWE）来保护N32接口上的消息，而IPX提供者使用JSON Web签名（RFC 7515中指定的JWS）来对其中介服务所需的修改进行签名。需要说明的是，在这种情况下， 即使TLS不被用来保护两个SEPP之间携带的NF到NF消息，两个SEPP仍会建立TLS连接， 以便为了应用层安全性的目的， 协商安全配置参数。

如果SEPP之间没有IPX实体， 则使用TLS保护两个SEPP上携带的NF到NF的消息。在这种情况下，无须查看SEPP之间携带的消息的内部或修改其中的任何部分。

8.4.4 基于IP通信的网络域安全

有关如何保护基于IP的控制面数据的规范称为基于IP的控制面(NDS/IP) 的网络域安全， 是在3GPP TS 33.210中描述的。该规范最初是针对3G开发的， 后来针对4G进行了扩展， 主要涵盖基于IP的控制面数据(例如Diameter和GTP-C) 。并且它也适用于5G网络， 以提供网络层保护。NDS/IP基于IKEv2/IPsec， 因此适用于任何类型的IP通信，包括与5GS一起使用的HTTP/2。

NDS/IP使用安全域的概念。安全域是由单个管理机构管理的网络， 因此， 在安全域内，安全级别和可用的安全服务一般是相同的。安全域的示例可以是单个电信运营商的网络，也可以是单个运营商将其网络划分为多个安全域。在安全域的边界上，网络运营商放置安全网关(SEG) ， 以保护流入和流出域的控制面数据。来自一个安全域的网络实体的所有NDS/IP数据在离开该域之前， 都将通过一个SEG路由到另一个安全域。SEG之间的通信使用IPsec保护， 或更确切地说， 使用隧道模式下的IPsec封装安全载荷(ESP) 。SEG之间使用Internet密钥交换(IKE) 协议版本2， 即IKEv2， 以建立IPsec安全关联。图8.12给出示例场景(来自3GPP TS 33.210) 。

图8.12 部署NDS/IP的两个安全域的示例

尽管最初NDS/IP主要用于保护控制面信令， 但是可以使用类似的机制来用户面数据。

此外， 在安全域内(即在不同的网络实体之间或在网络实体与SEG之间) ， 运营商可以选择使用IPsec保护数据。因此， 两个安全域中两个网络实体之间的端到端路径以逐跳的方式受到保护。

8.4.5 N2和N3接口的安全考虑

如第3章所述， N2是AMF与5G-AN之间的参考点。它特别用于在3GPP和非3GPP接入上、在UE和AMF之间承载NAS信令。N3是5G-AN和UPF之间的参考点， 它用于将GTP隧道用户面数据从UE传送到UPF。

使用gNB和5GC之间的加密解决方案保护N2和N3， 在某些部署中非常重要， 因为此种情况下可能不能保证到gNB的链路在物理上是安全的。不过， 这是运营商的决定。如果将gNB放置在物理安全环境中， 则“安全环境”除了gNB之外还应包含其他节点和链路。

为了使用加密解决方案保护N2和N3参考点， 规范要求在gNB和5GC之间使用基于IPsec ESP和IKEv2证书的鉴权。在核心网侧， 可以使用SEG(如针对NDS/IP所述) 终结IPsec隧道， 这为通过N2传输控制面数据提供了完整性、机密性和重放保护。

对于N2接口， 除了IPsec， 规范还允许使用DTLS提供完整性保护、重放保护和机密性保护。但是， 根据NDS/IP， 通过DTLS提供传输层安全并不排除使用网络层保护。实际上， IPsec还具有提供拓扑隐藏的优势。

8.4.6 网络开放/NEF的安全考虑

如第3章所述， NF可以通过NEF向第三方AF开放其能力和事件。这一开放包括外部AF对事件的监视以及出于策略和计费目的提供会话信息。NEF还支持向5GS提供信息，例如允许外部AF将预测到的UE行为信息(例如移动模式)提供给5G，或者影响边缘计算用例的流量路由。为了安全开放5GS的能力及提供信息，如果AF被视为网络部署的一部分，那么这些功能应仅提供给通过了相应的隐式或显式鉴权和授权的AF。

对于NEF和驻留在3GPP运营商管理域之外的AF之间的鉴权， 应使用TLS在NEF和AF之间执行基于客户端和服务器证书的相互鉴权。TLS还用来为NEF和AF之间的接口提供保护。鉴权后， NEF确定AF是否有权发送请求。