劉建華（中興通訊股份有限公司，江蘇 南京 210012）

1 零信任安全架構(gòu)

1.1 變化的安全邊界

傳統(tǒng)網(wǎng)絡(luò)安全基于“邊界防護(hù)”模型構(gòu)建，企業(yè)關(guān)鍵數(shù)字資產(chǎn)位于內(nèi)網(wǎng)中，默認(rèn)內(nèi)網(wǎng)比外網(wǎng)更安全，安全建設(shè)重點(diǎn)在于隔離內(nèi)外網(wǎng)的防火墻等安全設(shè)備，以抵御來自外部的安全威脅。

云計(jì)算、5G 垂直行業(yè)、邊緣計(jì)算等多個(gè)場(chǎng)景中，數(shù)據(jù)資產(chǎn)位置動(dòng)態(tài)變更、按需遷移，網(wǎng)絡(luò)物理邊界日益模糊，難以固化。以邊界防護(hù)為中心的傳統(tǒng)安全架構(gòu)凸顯出巨大局限性，無法做到安全能力按需部署、動(dòng)態(tài)配置和有效防護(hù)。

安全實(shí)踐需要新的安全方法論來指導(dǎo)，以保護(hù)云化基礎(chǔ)架構(gòu)，實(shí)現(xiàn)安全與行業(yè)應(yīng)用的深度融合。零信任安全架構(gòu)針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的局限性提出了新的解決思路。

1.2 核心理念

零信任網(wǎng)絡(luò)（ZTN）安全架構(gòu)由研究機(jī)構(gòu)Forrester在2010 年提出，其核心思想為“Never Trust，Always Verify”，即打破物理邊界防護(hù)的局限性，不再默認(rèn)信任物理安全邊界內(nèi)外部的任何用戶、設(shè)備或者系統(tǒng)、應(yīng)用，以身份認(rèn)證作為核心，將認(rèn)證和授權(quán)作為訪問控制的基礎(chǔ)。

零信任網(wǎng)絡(luò)要求：無論用戶和資源位置，都要確保所有資源訪問的安全；記錄和檢查所有流量；執(zhí)行最小權(quán)限原則。

1.3 發(fā)展與實(shí)踐

Gartner 將零信任列為Top 10 安全技術(shù)之一，并預(yù)測(cè)2022年80%的開放應(yīng)用會(huì)使用零信任產(chǎn)品；零信任架構(gòu)也成為了分析機(jī)構(gòu)、安全廠家和大型企業(yè)的安全研究熱點(diǎn)。

a）CSA 云安全聯(lián)盟的軟件定義邊界（SDP）。SDP架構(gòu)可以認(rèn)為是實(shí)施零信任架構(gòu)的最佳實(shí)踐指導(dǎo)：對(duì)設(shè)備和用戶進(jìn)行強(qiáng)認(rèn)證，對(duì)網(wǎng)絡(luò)連接進(jìn)行加密；執(zhí)行最小特權(quán)原則，嚴(yán)格按照白名單模型進(jìn)行訪問控制。

b）美國NIST 的零信任安全草案。2019 年9 月發(fā)布，認(rèn)為零信任架構(gòu)是一種端到端的網(wǎng)絡(luò)安全體系。零信任架構(gòu)提供了相關(guān)概念、思路和組件關(guān)系的集合，旨在消除在信息系統(tǒng)和服務(wù)中實(shí)施精準(zhǔn)訪問策略的不確定性。

c）Google BeyondCorp。BeyondCorp 作為Google 的安全訪問平臺(tái)，利用持續(xù)驗(yàn)證的思路，幫助員工訪問內(nèi)部資源。在該系統(tǒng)中，應(yīng)用被分為若干可信任級(jí)別，設(shè)備信息和用戶信息通過規(guī)則引擎驗(yàn)證和綜合判定后確定可訪問的內(nèi)容。

d）Microsoft Azure。利用機(jī)器學(xué)習(xí)、實(shí)時(shí)評(píng)估引擎、組織策略等對(duì)用戶、終端、位置和設(shè)備等進(jìn)行綜合判斷，實(shí)現(xiàn)持續(xù)自適應(yīng)地訪問多個(gè)資源，Azure 可以在cloud、SaaS等多個(gè)層面構(gòu)建完整的零信任系統(tǒng)。

2 5G核心網(wǎng)安全從零開始

2.1 5GC安全概況

5G 核心網(wǎng)相對(duì)之前的2G/3G/4G 網(wǎng)絡(luò)，對(duì)多種接入制式采用統(tǒng)一認(rèn)證，服務(wù)化實(shí)體間支持雙向認(rèn)證；引入HTTP/2 作為核心網(wǎng)控制面的互通協(xié)議，并通過OAuth 和HTTPS 等機(jī)制來實(shí)現(xiàn)授權(quán)與流量安全；NF 之間通過NRF 實(shí)現(xiàn)訪問控制；提供了服務(wù)化網(wǎng)元的API接口規(guī)范。

2.1.1 雙向認(rèn)證

EAP-AKA’和5G-AKA 2 種認(rèn)證方案，可以實(shí)現(xiàn)用戶和網(wǎng)絡(luò)間的雙向認(rèn)證：用戶5G 卡集成了4G 的雙向鑒權(quán)特性，實(shí)現(xiàn)了卡對(duì)網(wǎng)絡(luò)的認(rèn)證，一定程度上防止黑客或者偽基站對(duì)用戶的攻擊；網(wǎng)絡(luò)對(duì)用戶進(jìn)行認(rèn)證，確保只有合法開戶的終端才能夠接入5G網(wǎng)絡(luò)。

在5G 核心網(wǎng)中，AUSF 提供5G-AKA、EAP-AKA’認(rèn)證方式；UDM 為AUSF 提供基礎(chǔ)鑒權(quán)向量；UDR 存儲(chǔ)用戶標(biāo)識(shí)、鑒權(quán)認(rèn)證數(shù)據(jù)等。5G 鑒權(quán)過程增強(qiáng)了歸屬網(wǎng)的控制，防止拜訪網(wǎng)中可能存在的欺詐。

服務(wù)化架構(gòu)中，在服務(wù)提供方NF Producer 和消費(fèi)者NF consumer 之間，NF 同時(shí)支持客戶端和服務(wù)端證書，和其他NF通信時(shí)可以互相驗(yàn)證對(duì)方身份，確保NF間通信安全。

2.1.2 流量安全

在5GC 服務(wù)化架構(gòu)中，TLS 作為基本的安全協(xié)議為信令流量提供機(jī)密性、抗重放攻擊和完整性保護(hù)。

在同一個(gè)PLMN 內(nèi)，NF 間和NF 與NRF 間都可以根據(jù)需要啟用TLS 功能；如果部署了SCP，各NF/NRF和SCP間也可以按需啟用TLS功能。

在不同PLMN 間，通過部署SEPP 來保障信令流量安全性，cSEPP 和pSEPP 間使用JWE 和JWS 機(jī)制保障流量安全傳輸；PLMN內(nèi)的NF和SEPP間可啟用TLS。

2.1.3 互訪控制

NRF 支持NF 的注冊(cè)登記、狀態(tài)監(jiān)測(cè)等，實(shí)現(xiàn)網(wǎng)絡(luò)功能服務(wù)自動(dòng)化管理、選擇和可擴(kuò)展。同時(shí)基于運(yùn)營商配置策略，通過NRF可以控制NF間的互通策略。

例如當(dāng)某2 個(gè)NF 不在同一個(gè)切片中時(shí)，NRF 比較NASSI 和NSI ID 等信息進(jìn)行授權(quán)判斷，某個(gè)切片的NF consumer將無法獲取另外一個(gè)切片內(nèi)的NF訪問權(quán)限。

2.1.4 API防護(hù)

2.3 空白試驗(yàn) 對(duì)照實(shí)驗(yàn)是開展動(dòng)物試驗(yàn)中的基本原則之一。按照國家相關(guān)規(guī)定，科學(xué)選用實(shí)驗(yàn)動(dòng)物開展藥效檢驗(yàn)等實(shí)驗(yàn)，必須同時(shí)開展“空白試驗(yàn)”。中國藥典進(jìn)一步規(guī)范了動(dòng)物試驗(yàn)的過程，明確了“空白試驗(yàn)”的做法，即在不加供試品或以等量溶劑替代供試液的情況下，按同法操作，對(duì)比兩者所得的結(jié)果，由此探明實(shí)驗(yàn)結(jié)果和實(shí)驗(yàn)條件之間真實(shí)的因果對(duì)應(yīng)關(guān)系。

在3GPP 中，對(duì)每個(gè)NF 可以對(duì)外提供的API 接口都進(jìn)行了詳細(xì)規(guī)定，NF 不會(huì)提供協(xié)議規(guī)定之外的API服務(wù)。

CAPIF 被用來設(shè)計(jì)保證5G 網(wǎng)絡(luò)對(duì)外北向API 的安全性，API 調(diào)用者、CAPIF 和服務(wù)API 提供者之間都通過TLS 來保障安全性，同時(shí)考慮了這些API 的監(jiān)控、記錄和審計(jì)等安全功能。

2.2 零信任理念，拓展5G安全設(shè)計(jì)

5GC安全協(xié)議在設(shè)計(jì)時(shí)并沒有刻意參考零信任架構(gòu)，但實(shí)際上作為移動(dòng)通信網(wǎng)安全架構(gòu)，3GPP 的安全設(shè)計(jì)和零信任存在一定的非嚴(yán)格映射關(guān)系。

a）身份認(rèn)證：UDM/UDR 存儲(chǔ)終端的身份信息，提供終端接入網(wǎng)絡(luò)時(shí)的IAM 功能；NRF 通過證書實(shí)現(xiàn)對(duì)NF身份的校驗(yàn)認(rèn)證。

b）訪問授權(quán)：NRF 可以看作類似策略引擎，基于NF 身份認(rèn)證結(jié)果、運(yùn)營商策略、網(wǎng)絡(luò)切片等信息集中控制各NF 間的互訪關(guān)系，并通過OAuth 2.0 完成服務(wù)授權(quán)。

c）流量安全性：TLS 廣泛應(yīng)用于PLMN 內(nèi)各NF間、運(yùn)營商互通等場(chǎng)景，提供控制面流量的安全防護(hù)。

d）最小服務(wù)集：NF/NRF 等5GC 網(wǎng)元僅針對(duì)規(guī)定的API提供服務(wù)。

根據(jù)零信任架構(gòu)的核心觀點(diǎn)，5GC 內(nèi)外網(wǎng)的安全威脅級(jí)別是一致的：5G 會(huì)廣泛應(yīng)用于工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等業(yè)務(wù)場(chǎng)景，部署環(huán)境復(fù)雜；在多個(gè)廠家互操作、某些NF 在不安全環(huán)境部署、安全協(xié)議實(shí)現(xiàn)理解有差異、特定情況下NF 被惡意感染等多個(gè)特殊場(chǎng)景中，信任域內(nèi)的5G NF也一樣面臨風(fēng)險(xiǎn)。因此可以使用零信任架構(gòu)的設(shè)計(jì)理念對(duì)5G安全協(xié)議進(jìn)一步增強(qiáng)。

2.2.1 單包授權(quán)機(jī)制

CSA SDP 架構(gòu)采用單包授權(quán)機(jī)制（SPA）來提供啟動(dòng)通信安全防護(hù)，服務(wù)提供方的端口號(hào)在SPA 授權(quán)之前不對(duì)請(qǐng)求方開啟任何服務(wù)，強(qiáng)制要求先認(rèn)證后連接。SPA 優(yōu)點(diǎn)是可以做到服務(wù)隱藏和按需開啟，減小攻擊面，同時(shí)有助于抵御DDoS攻擊。

NF Consumer在正式發(fā)起TLS通信前，可以向策略服務(wù)器（可以是NRF 等）發(fā)送SPA 預(yù)認(rèn)證報(bào)文，NRF 通知NF Producer 為該Consumer 打開對(duì)應(yīng)的定制安全規(guī)則，允許該NF Consumer 作為客戶端進(jìn)行連接，該安全規(guī)則可以基于IPtable 等狀態(tài)防火墻機(jī)制實(shí)現(xiàn)，在SPA完成之前，NF Producer 上防火墻規(guī)則默認(rèn)為All Deny。這樣的預(yù)認(rèn)證實(shí)現(xiàn)了防火墻規(guī)則的動(dòng)態(tài)開關(guān)，避免了知名端口的濫用。SPA 機(jī)制可以作為5GC TLS 的增強(qiáng)而非替代。

2.2.2 異常流量監(jiān)控

獲取和分析網(wǎng)絡(luò)流量是邁向零信任架構(gòu)的第1步，通過非侵入式的長期記錄和分析網(wǎng)絡(luò)流量，可以進(jìn)行流量分類、感知通信模式變化和分析可能的攻擊模式。該功能在IT 中廣泛使用，例如在AWS Web 服務(wù)中的網(wǎng)絡(luò)流量日志記錄功能可以幫助管理員了解和分析數(shù)據(jù)包流量。

5GC 在HTTPS 加密流量情況下，也要提供對(duì)應(yīng)的流量監(jiān)控功能：在Indirect 模式下，SCP 作為HTTPS 的轉(zhuǎn)發(fā)節(jié)點(diǎn)，可以提供對(duì)應(yīng)的流量監(jiān)控、異常告警、日志記錄和安全審計(jì)功能，并通過API方式提供服務(wù)，供管理節(jié)點(diǎn)查詢或連接安全態(tài)勢(shì)感知系統(tǒng)；在Direct 模式下，各NF/NRF要具備類似的功能并以API方式提供這些安全能力。

例如當(dāng)一個(gè)Access Token 被多個(gè)NF 使用、向同一個(gè)NF發(fā)起多個(gè)連接時(shí)，該目標(biāo)NF應(yīng)該進(jìn)行告警，告知管理員該Access Token 可能已泄露和發(fā)生了中間人攻擊。

2.2.3 API安全防護(hù)

API 作為網(wǎng)絡(luò)攻擊的一個(gè)典型載體，存在安全風(fēng)險(xiǎn)。一些重大API 攻擊在IT 領(lǐng)域也經(jīng)常發(fā)生，惡意攻擊者可以利用系統(tǒng)弱點(diǎn)篡改API 參數(shù)、實(shí)現(xiàn)Cookie 篡改、注入惡意內(nèi)容、發(fā)送無效參數(shù)以浪費(fèi)服務(wù)器資源，造成業(yè)務(wù)中斷。

5GC 能力均通過RESTFul API 方式對(duì)外提供，除了在開發(fā)API 時(shí)要遵守業(yè)界最佳開發(fā)實(shí)踐外，也需要嵌入對(duì)應(yīng)的API 防護(hù)功能。按照層次化縱深防御理念，Indirect 通信下的SCP 和NF2 個(gè)層級(jí)、Direct 下的各NF 都要具備相應(yīng)的API 防護(hù)能力：實(shí)現(xiàn)API 安全策略的預(yù)設(shè)，可以監(jiān)視、分析和限制API 的調(diào)用，發(fā)生API異常調(diào)用時(shí)進(jìn)行告警。

2.2.4 網(wǎng)絡(luò)功能評(píng)分

在零信任網(wǎng)絡(luò)中，訪問控制策略和信任應(yīng)該是動(dòng)態(tài)變化的，可以基于設(shè)備、用戶和環(huán)境的多源環(huán)境數(shù)據(jù)計(jì)算出來。零信任網(wǎng)絡(luò)建議持續(xù)監(jiān)控參與者的網(wǎng)絡(luò)活動(dòng)，并持續(xù)更新其信任評(píng)分，將此評(píng)分作為授權(quán)策略判定的依據(jù)。這種模糊性的度量機(jī)制考慮了用戶網(wǎng)絡(luò)行為的變化，可以用于防御未知威脅。

5GC 在提供對(duì)應(yīng)服務(wù)時(shí)，應(yīng)考慮引入類似的評(píng)分機(jī)制，以防止對(duì)端NF加載完成并通過可信驗(yàn)證后的網(wǎng)絡(luò)攻擊行為，該攻擊行為可能是在NF運(yùn)行期間被攻擊者滲入植入惡意軟件，也可能是軟件設(shè)計(jì)不嚴(yán)謹(jǐn)導(dǎo)致的漏洞。NF 根據(jù)對(duì)端NF 的運(yùn)行時(shí)間、流量和網(wǎng)絡(luò)行為逐漸積累其信任積分，并根據(jù)攻擊類型的嚴(yán)重等級(jí)扣減積分，這樣既避免了偶爾突發(fā)異常造成的誤判導(dǎo)致業(yè)務(wù)中斷，也做到了攻擊持續(xù)發(fā)生時(shí)的惡意NF 隔離。

2.2.5 主動(dòng)授權(quán)撤銷

授權(quán)驗(yàn)證是IT 安全實(shí)踐中驗(yàn)證用戶信任等級(jí)的常見手段。零信任架構(gòu)中控制平面可以依賴授權(quán)驗(yàn)證來對(duì)數(shù)據(jù)平面進(jìn)行有效干預(yù)，當(dāng)信任等級(jí)波動(dòng)時(shí)，可以更改授權(quán)判定，及時(shí)撤銷授權(quán)。

在RFC 7009 中定義了OAuth 2.0 中的Token 撤銷機(jī)制，允許客戶端向授權(quán)服務(wù)器發(fā)起Token 撤銷請(qǐng)求，通知服務(wù)器端對(duì)應(yīng)的Token 不再有效，從而阻止未到生命周期的Token被濫用的可能性。

5GC 的SBA 采用OAuth 2.0 作為認(rèn)證和授權(quán)的機(jī)制。當(dāng)SIEM 或者其他安全等控制面系統(tǒng)判定某個(gè)NF為惡意/被攻擊NF 需要被隔離時(shí)，需要NRF 具備主動(dòng)撤銷惡意/被攻擊NF Token 的能力，在對(duì)應(yīng)Token 生命周期到之前取消該NF的訪問能力。

當(dāng)前5G安全協(xié)議尚不具備類似的授權(quán)撤銷機(jī)制，可以考慮作為后續(xù)的安全優(yōu)化方向。

2.2.6 數(shù)據(jù)面防護(hù)

零信任網(wǎng)絡(luò)默認(rèn)所有網(wǎng)絡(luò)實(shí)體間都不具備信任關(guān)系，因此要提供流量安全機(jī)制確保資源訪問安全。在5G 網(wǎng)絡(luò)中，用戶面的加密和完保機(jī)制可能不是默認(rèn)開啟的，需要核心網(wǎng)進(jìn)行策略指示；隨著UPF 的下沉部署，UPF到DN網(wǎng)絡(luò)間的流量也需要進(jìn)行安全防護(hù)。

在關(guān)鍵垂直行業(yè)應(yīng)用中，針對(duì)關(guān)鍵網(wǎng)絡(luò)切片，核心網(wǎng)應(yīng)設(shè)置策略指示空口數(shù)據(jù)強(qiáng)制啟用加密和完保，以確?？湛诿襟w面流量安全；UPF 也需要根據(jù)切片和自身環(huán)境部署的安全態(tài)勢(shì)，內(nèi)置安全功能，通過防火墻為用戶提供狀態(tài)安全過濾，利用IPSEC功能建立到DN網(wǎng)絡(luò)的安全隧道以提供設(shè)備間的全流量安全傳輸。

3GPP 安全協(xié)議規(guī)定了通過SEPP 為PLMN 間的控制面流量提供安全防護(hù)；對(duì)于媒體面數(shù)據(jù)，如果采用回歸屬地策略，這些媒體面數(shù)據(jù)也要提供安全防護(hù)以確保其安全傳輸。

2.2.7 持續(xù)性檢測(cè)

零信任架構(gòu)要求在認(rèn)證授權(quán)后的整個(gè)安全過程中，進(jìn)行持續(xù)安全檢測(cè)，隨時(shí)評(píng)估安全狀況的變化。MITRE ATT&CK 框架可以協(xié)助構(gòu)建和改善安全檢測(cè)和響應(yīng)機(jī)制。

ATT&CK 根據(jù)真實(shí)的觀察數(shù)據(jù)描述和分類攻擊行為，創(chuàng)建了一個(gè)網(wǎng)絡(luò)攻擊中使用的已知攻擊戰(zhàn)術(shù)/技術(shù)知識(shí)庫并提供了相應(yīng)的應(yīng)用場(chǎng)景。防護(hù)方借此可以站在攻擊者視角，重新審視自己的網(wǎng)絡(luò)安全工具，評(píng)估現(xiàn)有的安全防護(hù)能力。

高級(jí)威脅防御方面，可以使用APT 設(shè)備監(jiān)控5GC的HTTPS 流量、管理面流量和關(guān)鍵垂直行業(yè)的流量，如果發(fā)生高級(jí)威脅行為，則進(jìn)行告警。ATT&CK 有助于APT 設(shè)備了解最新的攻擊者戰(zhàn)術(shù)思路和入侵技術(shù)新特征，開發(fā)新攻擊檢測(cè)方法和更新防控措施建議，提升APT 的威脅檢測(cè)能力；對(duì)照ATT&CK，APT 設(shè)備可以檢查自身對(duì)于業(yè)界主流攻擊方式的覆蓋程度。

安全防御能力方面，可以利用ATT&CK 進(jìn)行對(duì)抗演習(xí)，測(cè)試和驗(yàn)證防御方案是否生效。例如在試驗(yàn)網(wǎng)5GC中生成一個(gè)惡意NF對(duì)其他NF進(jìn)行滲透和橫向移動(dòng)，檢測(cè)5GC 中安全手段有效性；基于虛擬化架構(gòu)，加入惡意VM，對(duì)Hypervisor 發(fā)起滲透攻擊，并向其他VM進(jìn)行橫向移動(dòng)，以實(shí)現(xiàn)防御手段檢測(cè)的目的。防御者根據(jù)對(duì)抗結(jié)果有針對(duì)性地評(píng)估與改進(jìn)防御手段。

2.3 其他

基于區(qū)塊鏈智能合約來構(gòu)建多方可信關(guān)系、利用基于身份的密碼體制/無證書密碼體系等新機(jī)制來減少對(duì)PKI 的依賴等安全議題在業(yè)界都有熱烈討論，這些研究也可考慮用來加強(qiáng)5GC網(wǎng)絡(luò)的安全性。

3 總結(jié)展望

以“Never Trust，Always Verify”為核心思想的零信任安全架構(gòu)成為了業(yè)界研究熱點(diǎn)，移動(dòng)通信5G核心網(wǎng)安全架構(gòu)也引入了基于HTTPS 的SBA 架構(gòu)作為通信基礎(chǔ)。針對(duì)當(dāng)前5G核心網(wǎng)安全防護(hù)手段，借鑒零信任的基本理念及業(yè)界當(dāng)前實(shí)踐經(jīng)驗(yàn)，將單包授權(quán)、網(wǎng)絡(luò)功能信任評(píng)分等7 個(gè)潛在方向作為5G 核心網(wǎng)安全設(shè)計(jì)的增強(qiáng)改進(jìn)方向。如何將安全能力沉浸到5GC 中的每個(gè)節(jié)點(diǎn)，并實(shí)現(xiàn)細(xì)粒度安全控制和自適應(yīng)安全評(píng)估與改進(jìn)會(huì)是一個(gè)持續(xù)的安全研究課題。