中国联通山东省分公司 山东省济南市 250101
摘要:文章主要分析了零信任架构模式下的5G核心网安全改进。包括零信任架构基本概述,5G核心网安全现状分析,以及零信任架构支持下的5G核心网安全改进措施分析。经分析发现,在当今的5G网络应用过程中,虽然双向认证、流量、互访控制以及API防护等都为其安全提供了有效保障,但是在实际应用中,研究者与技术人员还需要将当前先进的零信任架构作为支持,对5G核心网进行合理的安全改进,包括单包授权机制的应用、流量异常的监控、API安全防护的增设、网络功能评分的实施、主动授权撤销的干预、数据面防护工作的开展以及持续性的安全检测等。希望通过本次的研究,可以为零信任架构的合理应用与5G核心网络安全性能的提升提供一定参考,以此来充分满足现代用户对于5G核心网的应用安全需求。
关键词:5G技术;5G核心网;零信任架构;网络安全改进
前言
随着当今5G网络技术的全面应用和普及,人们的工作和生活都变得更加便利。但是由于5G网络的物理边界较为模糊,且难以固化,所以传统的边界防护型安全架构在现代5G网络安全防护中便呈现出了越来越显著的局限性,其安全能力也无法按实际需求来部署,且动态配置与安全防护等方面也存在较大难度。为有效解决上述问题,提升5G核心网络的安全性,研究者和技术人员就需要将当前先进的零信任架构作为支持,采取合理的措施对5G核心网进行安全改进。通过这样的方式,才可以使5G核心网具备更高的安全性,促进5G核心网络的健康良性发展。
一、零信任架构基本概述
(一)基本内涵
零信任架构又叫做零信任网络安全架构,该架构是2010年Forrester提出的一种新型网络安全防护架构,其核心思想是将传统网络安全防护中的物理边界防护局限打破,不再将物理安全边界内部及其外部的任何设备、用户以及系统等默认为信任,而是将认证与授权用作网络安全访问及其控制的基础,通过严格的身份认证与授权机制来确保网络安全性。就目前的零信任架构来看,其主要的网络要求包括以下几点:第一是无论资源或用户处于任何物理位置,都要使全部的资源访问足够安全;第二是对网络中的所有流量进行详细记录与严格检查;第三是对最小权限这一原则加以严格执行[1]。
(二)应用现状
自零信任架构提出以来,此种新型防护模式便在现代网络安全防护中得到了良好应用。就目前来看,零信任架构在网络安全领域中的主要应用及其实践情况包括以下几方面:1)Gartner已经将该架构纳入到了网络安全技术中的Top10范围内,并预测了未来几年内以零信任架构为基础的网络安全产品将会得到开放性的应用。同时,零信任架构也成为了现代很多大型企业、安全厂家以及分析机构等在网络安全领域中的研究热点。2)在CSA云安全联盟提出的SDP软件定义边界实践中,便是将零信任架构用作最佳指导思想,强行进行设备与用户认证,对网络连接实施加密处理,并执行了最小特权这一原则,严格按白名单模型来控制访问。3)在Google的BeyondCorp安全访问平台中,应用的也是零信任架构中的持续性验证思路,以此来为用户内部资源的访问提供帮助。为达到这一目标,研究者与技术人员特按照多个信任级别对整体系统进行了划分,并采用规则引擎验证以及综合评定的方式来判断用户和设备信息可以访问的内容。4)在美国2019年发布的NIST零信任安全草案中,研究者将零信任架构定为一种端到端形式的网络安全体系,并按照该架构的概念、思路以及组件关系等消除信息服务与信息系统中不确定的访问策略。5)Microsoft Azure管网对用户、位置、终端以及设备等实施综合评价时应用的也是零信任架构,其中的Azure可在多个层面上实现零信任系统的科学构建,以此来保障整体系统的网络安全性。
二、5G核心网安全现状分析
(一)双向认证安全现状
在5G核心网络中,主要的安全认证方案有两种,其一是EAP-AKA’认证,其二是5G-AKA认证。通过这两种安全认证方案的合理应用,可使用户与网络层之间达到双向安全认证效果。同时,用户的5G卡里也实现了4G双向鉴权特征的有效结合,可对网络安全进行认证,并在一定程度上避免伪基站或黑客攻击用户网络。另外,5G网络也可以对用户实施严格的安全认证,只能允许合法开户终端接入5G网络。
而在5G核心网络里,AUSF可将EAP-AKA’以及5G-AKA这两种安全认证方式提供给用户;借助于UDM,可将基础鉴权向量提供给AUSF,并通过UDR来实施用户标识以及鉴权认证数据等的存储。此种5G鉴权模式可对归属网做出更加有效的控制,以免拜访网络中的欺诈问题产生。
就服务化架构而言,NF Producter服务供应方与NF consumer消费方之间的NF可同时为服务端与客户端证书提供支持,在与其他NF通信过程中可相互实施对方身份验证,以此来为NF之间的安全通信提供保障。
(二)流量安全现状
对于5G服务化架构而言,TLS是最为基本的一个安全协议,该协议可将机密性保护、完整性保护以及抗重放攻击保护提供给信令流量。在同一个PLMN里,无论是NF之间的通信,还是NF和NRF之间的通信,都可以按需将TLS功能启动。同时,如果网络中设置了SCP,在各个NF/NRF以及SCP之间的通信过程中,也可以按需将TLS功能启动。而在不同的PLMN之间,通过SEPP的合理部署,便可为信令流量安全提供良好保障。将JWE机制以及JWS机制合理应用到cSEPP以及pSEPP之间,便可为其流量传输的安全性提供良好保障。而在PLMN内部,NF以及SEPP之间等的通信也可以按需将TLS启用,以此来为通信安全提供有力支持[2]。
(三)互访控制安全现状
5G核心网络中的NRF可以为NF注册登记及其状态监测等提供有力支持,并自动化管理网络功能服务,使其具备更多的选择性与可拓展性。同时,在5G核心网络的实际应用中,用户也可以将运营商配置策略作为基础,借助于NRF对NF之间的互通策略加以控制。比如,在某两个NF处于不同切片时,NRF会对NASSI以及NSI ID等信息加以比对,以此来实施授权判断。在此种模式下,一个切片里的NF consumer将不能获取到另一个切片里的NF访问权限。通过这样的方式,便可为5G核心网络中的互访双方提供足够有效的安全保障。
(四)API防护安全现状
5G核心网络里的3GPP对每一个NF提供给外部的API接口都做出了详细的安全规定,使NF不可将规定协议以外的任何API服务提供给对外接口。同时,在5G核心网络的设计中,设计者也通过CAPIF来确保其提供给外部API的安全性。对于API的调用者、API服务的提供者以及CAPIF之间,都采用TLS来实施安全保障,并为API的监控、审计及其记录等提供了非常全面的安全防护与安全保障功能。
三、零信任架构支持下的5G核心网安全改进措施分析
虽然5G核心网络中的安全协议在最初设计时并未对零信任架构做到科学参考,但是就实际来看,其中的3GPP安全架构在安全设计方面与零信任之间却具有一些非严格映射关系,比如身份认证、访问权限、流量安全以及最小服务集等。基于此,在5G核心网络的安全设计及其提升中,研究者与技术人员可将零信任架构作为支持,对其实施合理改进。
(一)单包授权机制的应用
在当前的5G核心网安全改进中,单包授权机制是基于零信任架构的一种典型改进措施。在零信任架构中,CSA SDP应用的是SPA单包授权机制,该机制可为通信安全防护的启动提供有力支持。在SPA授权以前,提供该服务一方的端口号不会将任何服务开启给请求一方,而是强制要求认证通过之后才可以连接。SPA的主要优势是服务隐藏以及按需开启,这样便可使网络攻击面得以有效缩小,从而为DDoS攻击的抵御提供有力支持。在正式将TLS发起之前,NF Consumer可将SPA预认证报文发送给NRF策略服务器,NRF会将相应的通知发送给NF Producer,使其中的Consumer能及时将相应的定制安全规则开启,并允许这个NF Consumer以客户端的形式与之连接。具体应用时,此种安全规则可在IPtable等状态防火墙机制的基础上实现。而在完成SPA前,NF Producer中的防火墙规则会应用默认的All Denty规则[3]。因此,在此种预认证模式下,防火墙规则便具备了动态开关功能,以免知名端口被滥用。而在此过程中,技术人员只能将零信任架构中的SPA机制用作5G核心网中的TLS增强机制,并不能将其取代。
(二)流量异常的监控
在5G核心网络向零信任架构发展的过程中,网络流量的获取和分析属于第一步,同时也是最为基础和关键的一步。借助于非侵入形式对网络流量进行长期的记录与分析,便可对其做出科学分类,并对通信模式变化所导致的攻击模式做出及时感知。目前,此项功能已经被广泛应用到了IT领域中。而在5G核心网络的HTTPS加密流量模式下,技术人员也要将与流量相对应的监控功能提供给网络系统。在Indirect模式中,技术人员可将SCP用作HTTPS中的转发节点,将相应的安全审计、日志记录、异常告警以及流量监控等功能提供给5G核心网络,并将相应的服务以API的形式提供出来,从而使各个管理节点的连接、查询等安全势态得到及时准确的感知。而在Direct模式中,每一个NF/NRF的功能都应该蕾西,并通过API的形式将安全服务提供给5G核心网。比如,在多个NF同时应用同一个Access Token,并将多个连接同时发送向NF时,目标NF便会立即发出告警,以便管理人员及时获取到相应的泄露与攻击等信息。
(三)API安全防护的增设
API是最为典型的一个网络攻击载体,在当今的IT领域中,重大的API攻击依然时有发生。攻击者会通过系统弱点将API参数篡改,从而篡改Cookie,将恶意内容注入其中,或将无效的参数发送给服务器,以此来浪费其资源,导致业务中断。为避免此类情况的发生,5G核心网开发人员需要将零信任机制条件下的API防护功能嵌入其中,将层次化纵深防御理念作为依据,分别将API安全策略合理预设到Inderect通信模式下的NF2以及SCP这两个层级中,以此来实现5G核心网API调用的合理监视、分析与限制,并及时针对异常调用API的行为做出告警
[4]。
(四)网络功能评分的实施
对于零信任网络而言,其信任以及访问控制策略均为动态变化,其中的多源环境数据可根据环境、用户以及设备等来进行计算。因此,在通过零信任架构对5G核心网进行改进的过程中,技术人员需要对其信任评分做到及时更新,并将其评分用作判定授权策略的主要依据。在通过5G核心网为用户提供服务时,技术人员都需要将此类评分机制引入其中,以免对端NF在完成可信任验证之后遭到恶意植入软件或其他漏洞的网络攻击。在此过程中,技术人员需将对端NF的实际运行时间、网络行为及其流量等作为依据,通过NF对其进行累积信任评分,并将相应攻击类型的严重度作为依据,合理扣除其中的积分。这样不仅可将持续发生的攻击行为从对端NF中隔离出去,也可以有效防止偶发性异常事件造成的业务中断情况。
(五)主动授权撤销的干预
在IT领域中,授权验证是最常用的用户信任等级认证手段。而零信任架构控制平面则可以此为依据来有效干预数据平面,若信任等级出现波动,零信任架构便可对其授权判定进行及时更改,以便及时将授权撤销。因此,在具体的5G核心网改进时,技术人员便可将零信任架构模式下的O Auth 2.0-Token撤销机制定义在RFC 70009里,允许客户端将Token撤销请求发送给授权服务器,通知其相应Token已经失效,这样便可避免Token在没有到达生命周期时被滥用,从而为5G核心网的安全性提供良好保障。
(六)数据面防护工作的开展
在零信任架构中,默认全部网络实体之间都没有信任关系,所以在资源访问时,该架构需通过流量安全机制来确保其安全性。而在5G核心网条件下,用户加密机制以及完保机制默认关闭,需在核心网络发出策略提示的情况下才能开启。因此在具体的安全改进时,技术人员需要再部署UPF下沉时对其与DN之间的流量实施安全防护。为达到这一目标,技术人员可采用零信任架构中的SEPP对PLMN之间的控制面流量实施安全防护;如果媒体面数据应用的是回归属地策略,技术人员也需要对其数据实施安全防护,以此来保障其数据传输的安全性。在此过程中,技术人员可通过安全防火墙来过滤用户安全状态,通过零信任架构模式下的IPSEC功能在DN网络之间建立安全隧道,以此来确保设备之间通信的安全性[5]。
(七)持续性的安全检测
在通过零信任架构进行授权认证之后,该架构将会对整体网络通信全过程实施持续性的安全检测,并对其安全情况的实际变化展开随时评估。借助于零信任架构中的MITRE ATT&CK框架,技术人员可在5G核心网络中构建一个安全检测与响应机制,以此来改善整体5G核心网的安全性。将该框架应用到5G核心网HTTPS流量监控、流量面管理及其垂直行业流量管理中,便可对高级安全行为做出及时告警;而将其应用到预防方案测试中,则可以对5G核心网中实施的所有安全手段进行合理的安全性检测,以此来尽最大限度提升5G核心网络的安全防御能力。
结束语
综上所述,零信任架构是当前IT行业中最为典型且常用的一种先进安全防护结构模式。尤其是在5G核心网的安全改进工作中,零信任架构更是发挥着不可或缺的应用优势。基于此,技术人员一定要对零信任架构以及5G核心网的安全防护现状做到充分了解,然后再结合实际情况,将零信任架构合理引入到5G核心网的安全改进中。通过这样的方式,才可以进一步提升5G核心网的安全性,使其在当今时代中更具应用优势。
参考文献:
[1]苗守野. 关于5G网络内生安全的思考[J]. 信息通信技术,2023(04):56-62.
[2]张奕鸣,刘彩霞,刘树新,潘菲. 基于马尔可夫过程的5G网络功能信任预测机制[J]. 信息安全学报,2023(04):46-61.
[3]郝立谦. 5G随行专网的安全技术研究与应用[J]. 邮电设计技术,2023(04):1-4.
[4]朱颖. 5G核心网的NF服务安全增强机制设计与实现[D].战略支援部队信息工程大学,2023.
[5]古良辉. 零信任在5GC SBA架构中的应用研究[D].东南大学,2022.