5G网络内生安全技术与实践.pdf

5G5G网络内生安全技术与实践网络内生安全技术与实践中国移动研究院 粟栗2023.12.07目 录3 32 21 15G网络的安全设计5G网络演进的安全风险分析5G内生安全技术实践5G5G作为关键信息基础设施，安全成为关键因素作为关键信息基础设施，安全成为关键因素3G3G跟随跟随 4G 4G并跑并跑 5G 5G领先领先 中国中国5G5G已引领世界，已引领世界，安全安全成为关键因素成为关键因素航运港口政务新闻空中物流工业园区医院工厂5G5G网络，因网络，因“国家安全国家安全”而被限制而被限制5G5G应用，因深度融合而更需要安全应用，因深度融合而更需要安全美国白宫美国白宫2020年3月欧盟委员会欧盟委员会2020年1月以安全为借口，限制中国企业发展以安全为借口，限制中国企业发展网络与业务深度融合，网络与业务深度融合，5G5G安全影响国计民生重要行业安全影响国计民生重要行业美国战略与国际美国战略与国际研究中心研究中心2021年3月美国国安局美国国安局2021年5月5G5G安全的目标：在非信任环境中构建安全的网络安全的目标：在非信任环境中构建安全的网络 5G5G引入通用硬件平台，网络引入通用硬件平台，网络ITIT化化 垂直行业引入大量新的实体垂直行业引入大量新的实体5G5G安全技术与标准：安全技术与标准：5G5G安全是在非信任的前提下，构建安全是在非信任的前提下，构建安全的网络并提供服务。安全的网络并提供服务。多样化的用户设备多样化的用户设备信任模型更加复杂信任模型更加复杂5G5G安全的目标：在非信任环境中构建安全的网络安全的目标：在非信任环境中构建安全的网络5G5G网络除了面临传统的用户非法接入、互联网攻击等，还面临来自网络除了面临传统的用户非法接入、互联网攻击等，还面临来自MECMEC非法访问、虚拟化漏洞备用等新风险非法访问、虚拟化漏洞备用等新风险传统安全风险传统安全风险接入安全：非法接入、恶意流量信令安全：信令风暴、信令篡改管理安全：非法登录、弱口令外部攻击：互联网DDoS、网间攻击等远程篡改远程篡改恶意访问恶意访问隐私泄漏隐私泄漏新增安全风险新增安全风险MEC安全：边缘非法访问核心网租户切片安全：非授权访问其它切片虚拟化安全：虚拟化软件漏洞被利用、虚拟机逃逸等+相比相比4G4G，5G5G网络进行了更安全的设计网络进行了更安全的设计5G5G网络安全在网络安全在数据安全、认证、用户隐私保护及网间信息保护数据安全、认证、用户隐私保护及网间信息保护等方面进行了安全增强等方面进行了安全增强 SEPP安全网关 TLS加密传输更更全面全面的的更丰富更丰富的的更更严密严密的的更更灵活灵活的的数据安全保护数据安全保护 AES、SNOW 3G、ZUC 信令数据、用户数据完整性保护认证机制支持认证机制支持 5G-AKA：抗内外部攻击 EAP-AKA：兼容垂直行业用户隐私用户隐私保护保护网间信息网间信息保护保护 SUPI：不传递 SUCI：由SUPI加密生成4 4个个“更更”使使5G5G具备一定的抵御非信任环境下安全风险的能力具备一定的抵御非信任环境下安全风险的能力相比相比4G4G，5G5G网络进行了更安全的设计网络进行了更安全的设计3GPP定义了网络设备安全保障的方法论（方法论（SECAMSECAM），方法论中明确：1.由GSMAGSMA制定网络设备安全保障的体系框架、安全审计以及测试实验体系框架、安全审计以及测试实验室资质相关的标准室资质相关的标准，即NESASNESAS（Network Equipment Security Assurance Scheme）。2.由3GPP3GPP制定网络设备保障中安全测安全测试的相关标准试的相关标准，即SCASSCAS(SeCurity Assurance Specification)。从从端到端安全要求、安全评测、应用安全端到端安全要求、安全评测、应用安全三方面构建三方面构建5G5G安全标准体系，指导安全标准体系，指导5G5G网络安全建设网络安全建设目 录3 32 21 15G网络的安全设计5G网络演进的安全风险分析5G内生安全技术实践设备：依据标准执行设备：依据标准执行5G5G设备入网安全测评设备入网安全测评 联合信通院、头部厂商构建联合信通院、头部厂商构建5G5G安全测评体系，搭建国家级测试床、自研工具，满足设备级、网络级测评认证能力；安全测评体系，搭建国家级测试床、自研工具，满足设备级、网络级测评认证能力；通过网络建设前的设备测试，通过网络建设前的设备测试，保障设备入网、设备组网安全性保障设备入网、设备组网安全性。设备级测试床信通院网络级测试床中国移动端到端安全测评工具一套；自主开发能力4040余项余项；测试效率提升提升70%70%测评环境和测评工具：测评环境和测评工具：测评报告：测评报告：新问题：在完成入网测试后，实际运行中的安全如何保障？新问题：在完成入网测试后，实际运行中的安全如何保障？测评体系：测评体系：1个体系、5类方法、96项用例核心网：安全域划分保障分域安全核心网：安全域划分保障分域安全5G5G安全域进行了独立设计，安全域进行了独立设计，通过安全域划分，有效防止运行阶段安全风险扩散。通过安全域划分，有效防止运行阶段安全风险扩散。1传统互联网接入域：部署双层异构防火墙、IPS等进行防护和检测（大隔离）2新增承载网接入域：部署防火墙、IPS进行防护和检测（大隔离）3安全子域：安全子域之间VLAN+交换机ACL（小隔离）4安全子域内部：无安全手段，存在网元VM间攻击风险软件软件硬件硬件网络设备不断解耦，功能网络设备不断解耦，功能/服务服务的内部风险不断增多；的内部风险不断增多；边界模糊，安全能力无法边界模糊，安全能力无法“挂载挂载”。软件软件虚拟化层虚拟化层硬件硬件一体化一体化设备设备服务服务软件软件虚拟化层虚拟化层分布式基础资源分布式基础资源网络设备自身解耦网络设备自身解耦内内部部风风险险网络设备向网络设备向软硬件解耦、开放演进，软硬件解耦、开放演进，潜在攻击源不断增加潜在攻击源不断增加，安全防护能力需要与之匹配的细粒度融合，安全防护能力需要与之匹配的细粒度融合风险风险1 1：虚拟化解耦带来安全新风险：虚拟化解耦带来安全新风险风险风险1 1：虚拟化解耦带来安全新风险：虚拟化解耦带来安全新风险在现有防护手段的基础上，在现有防护手段的基础上，5G5G网络内网还存在网络内网还存在横向移动攻击、网元关键文件篡改、漏洞被利用横向移动攻击、网元关键文件篡改、漏洞被利用等风险等风险漏洞利用：网元或虚拟层的漏洞被利用（）横向移动攻击：恶意VM通过业务面（）或管理面（）攻击其它VM关键文件篡改：恶意VM通过业务面篡改其它VM上的关键文件（）.风险风险2 2：多样化部署带来安全新风险：多样化部署带来安全新风险5GC5GC大网大网（可信域）（可信域）AMFUPF中心5G核心网UDMSMF.NRF汇聚环汇聚环接入环接入环地市地市X XUPF&MEP/APPCE企业 MEC2企业网络UPF/AMF/SMFCE企业 MEC1企业网络N2/Xn横向攻击2 23 31 11 14 4因为垂直行业需求，网络部署架构向边缘侧分布式转移，因为垂直行业需求，网络部署架构向边缘侧分布式转移，UPFUPF等部分设备脱离核心网保护。等部分设备脱离核心网保护。4G4G：集中集中部署部署5G5G：边缘：边缘部署部署互联网互联网边界安全边界安全专网安全专网安全行业跨网攻击：包括5G攻击行业网络、行业网络攻击5G核心网企业跨网攻击：企业内部的边缘云之间互通，形成攻击路径外网攻击：外网的恶意攻击者，可能攻击任意一个企业的边缘云目 录3 32 21 15G网络的安全设计5G网络演进的安全风险分析5G内生安全技术实践主动监测主动监测+内生防护解决内生防护解决5G5G演进安全风险演进安全风险对内网进行对内网进行主动主动安全监测，协同内生防护安全监测，协同内生防护手段，全面提升手段，全面提升5G5G网络的安全能力网络的安全能力精细化的安全监测和防护精细化的安全监测和防护主动监测：主动监测：5G5G网络安全机器人（安宝）网络安全机器人（安宝）集中监测内网安全集中监测内网安全5G5G网络安全机器人网络安全机器人 是面向是面向5G5G网络及应用的安全检测工具，具有对网络设备自动化的网络及应用的安全检测工具，具有对网络设备自动化的安全检查、入侵告警、风险安全检查、入侵告警、风险防范、渗透测试、攻击诱捕、自动学习演进防范、渗透测试、攻击诱捕、自动学习演进等能力等能力全全5G5G专业网络覆盖，专业网络覆盖，按需部署，集中管控按需部署，集中管控；已在已在5G5G核心网、核心网、5G5G物联网、工业互联网等场景部署物联网、工业互联网等场景部署采用微服务应用架构采用微服务应用架构具有具有高并发、高扩展、高容错、高性能高并发、高扩展、高容错、高性能等特性等特性集中监测：集中监测：5G5G网络安全机器人（安宝）网络安全机器人（安宝）集中监测内网安全集中监测内网安全5G5G网络机器人是实现网络机器人是实现SaaSSaaS安全监测服务安全监测服务，提供内网安全服务模式，提供内网安全服务模式机器换人机器换人SAASSAAS安宝自研建立面向安宝自研建立面向5G5G的自有安全漏洞库的自有安全漏洞库1717万条万条；创新链路层编码漏洞高速扫描技术，扫描效率创新链路层编码漏洞高速扫描技术，扫描效率提升提升6060倍倍；年节约人工成本约；年节约人工成本约500500万万。内生防护：微隔离内生防护：微隔离+，解决安全监测盲点，解决安全监测盲点基于基于内生理念内生理念，设计基于内生的微隔离，设计基于内生的微隔离+方案，为资源池内的虚拟机方案，为资源池内的虚拟机/容器、进程、文件进行访问控制，并结合容器、进程、文件进行访问控制，并结合OMCOMC分析能力，感知安全攻击，以分析能力，感知安全攻击，以“自身防护自身防护+安全监控安全监控”方式，方式，实现实现东西向流量隔离、可视，攻击可感知东西向流量隔离、可视，攻击可感知l基于内生的微隔离+，实现网元微隔离、攻击感知能力；l能力可独立部署，也可一体部署l微隔离实现VM/容器隔离，内网流量可视l攻击感知实现攻击可检测非法流量进不来非法流量进不来安全攻击可感知安全攻击可感知微隔离微隔离+系统架构系统架构内生防护：内生防护：微隔离微隔离+，解决安全监测盲点：构建，解决安全监测盲点：构建5G5G网络第三层隔离网络第三层隔离 根据安全域划分，根据安全域划分，资源池外部边界、内部安全子域之间，以专用安全设备能力为基础，构建大隔离、小隔离；资源池外部边界、内部安全子域之间，以专用安全设备能力为基础，构建大隔离、小隔离；资源池内安全子域内部，基于内生安全理念资源池内安全子域内部，基于内生安全理念，以网元为单位，部署微隔离，以网元为单位，部署微隔离+，构建，构建5G5G网络第三层隔离网络第三层隔离大隔离、小隔离无法解决安全子域内的大隔离、小隔离无法解决安全子域内的VNFVNF间相互攻击间相互攻击网元内建微隔离网元内建微隔离、攻击感知插件，隔离异常流量、检测网元攻击、攻击感知插件，隔离异常流量、检测网元攻击内生防护：微隔离内生防护：微隔离+，解决安全监测盲点：防护，解决安全监测盲点：防护内网横向移动攻击内网横向移动攻击微隔离微隔离+包含包含微隔离微隔离和和攻击感知攻击感知两个内生的安全能力，防止横向移动攻击，有效解决两个内生的安全能力，防止横向移动攻击，有效解决“一点击破，全网沦陷一点击破，全网沦陷”风险风险主要功能主要功能微隔离能力防护内网东西向异常流量微隔离能力防护内网东西向异常流量攻击感知能力防护网元自身攻击攻击感知能力防护网元自身攻击ii引领微隔离引领微隔离+标准，已完成标准，已完成CCSACCSA行标及企业标准行标及企业标准GSMAGSMA，ITUITU标准推进中标准推进中标准推进标准推进内生防护：设备内置防火墙，降低生产成本内生防护：设备内置防火墙，降低生产成本基于内生安全理念，在基于内生安全理念，在20G20G以下以下I I型型UPF/UPF+UPF/UPF+场景，将防火墙功能内置到场景，将防火墙功能内置到UPF/UPF+UPF/UPF+，充分利用现有空闲资源，降，充分利用现有空闲资源，降低成本、提升运维效率。低成本、提升运维效率。边缘I型UPF/UPF+5GC 园区网络N4CMNetOMCOMCN6/N9OMN3UPF/UPF+UPF/UPF+N6防火墙防火墙l功能：功能：满足移动防火墙/边缘计算安全基础要求，覆盖现网外置防火墙已启用功能l性能：性能：满足边缘部署（中小规模）20G以内吞吐场景l运营：运营：与UPF/UPF+共管，统一运维运行效果：极简交付，免外挂硬墙，功耗节省约运行效果：极简交付，免外挂硬墙，功耗节省约48%48%，占地节省约，占地节省约33%33%（20G20G组网模型）。组网模型）。内生防护：信令安全网关，保障大网信令及拓扑安全内生防护：信令安全网关，保障大网信令及拓扑安全核心网下沉，增加了核心网下沉，增加了5GC5GC暴露面，现有边界安全设备无法阻止畸形信令、拓扑探测等安全攻击。暴露面，现有边界安全设备无法阻止畸形信令、拓扑探测等安全攻击。引入信令安全网关，构建信令安全、拓扑隐藏能力，保障大网、专网安全。引入信令安全网关，构建信令安全、拓扑隐藏能力，保障大网、专网安全。5GC5GC大网大网（可信域）（可信域）信令安全网关信令安全网关AMFAMFSMFSMFNRFNRFNSSFNSSFPCFPCFUDMUDM企业园区侧企业园区侧（非可信域，（非可信域，设备可能被设备可能被黑客操控）黑客操控）UPF应急 CPAMF备用SMF备用UDM备用UPFAMF主用SMF主用UDM1.PFCP1.PFCP泛洪攻击、逻辑攻击泛洪攻击、逻辑攻击4.SBI4.SBI非授权访问非授权访问2.2.假冒网元假冒网元3.3.探测大网拓扑探测大网拓扑n 信令安全防护：信令安全防护：信令检测&消息过滤：识别并过滤畸形报文、flood攻击等 信令限速&熔断：限制会话并发数，流量控制n 拓扑隐藏及开启拓扑隐藏及开启TLS/OauthTLS/Oauth：代理5GC与下沉核心网交互，隐藏拓扑 开启TLS/Oauth5GC边界防护无法防御信令攻击、网络拓扑泄露边界防护无法防御信令攻击、网络拓扑泄露运行效果：目前已完成信令安全网关系列功能验证，产品能力基本符合预期，将逐步在全网部署。运行效果：目前已完成信令安全网关系列功能验证，产品能力基本符合预期，将逐步在全网部署。未来：以未来：以SaaSSaaS方式输出方式输出5G5G网络安全能力网络安全能力 5G5G专网以及边缘计算业务的发展，为专网以及边缘计算业务的发展，为5G5G网络安全能力的输出提供了机会；网络安全能力的输出提供了机会；在在5G5G已有安全能力的基础上，通过已有安全能力的基础上，通过基础安全基础安全+增强安全能力增强安全能力的方式，构建标准化、运营商级的灵活的安全服的方式，构建标准化、运营商级的灵活的安全服务能力。务能力。粟栗，2023.12.07THANKS!谢谢