陳彬

【摘要】? ? 隨著我國(guó)社會(huì)經(jīng)濟(jì)的不斷發(fā)展，人們的生活水在不斷的提高，互聯(lián)網(wǎng)逐漸成為了人們生活與工作不可或缺的一部分，為了滿足人們?nèi)找嬖鲩L(zhǎng)的需求，互聯(lián)網(wǎng)近年來也在不斷的朝著5G網(wǎng)絡(luò)時(shí)代發(fā)展。各大通信運(yùn)營(yíng)商為了搶占市場(chǎng)，在5G信息網(wǎng)絡(luò)中投入了大量的資源進(jìn)行建設(shè)和研究，其中5G網(wǎng)的核心就是組網(wǎng)方案和技術(shù)演變，核心網(wǎng)安全技術(shù)對(duì)于5G信息時(shí)代來說具有重要的意義和價(jià)值。本文將針對(duì)5G核心網(wǎng)安全技術(shù)展開相關(guān)的討論分析。

【關(guān)鍵詞】? ? 5G? ? 核心網(wǎng)? ? 安全技術(shù)? ? 探討

網(wǎng)絡(luò)安全技術(shù)一直以來就是網(wǎng)絡(luò)建設(shè)中的難點(diǎn)和重點(diǎn)，尤其是在5G網(wǎng)絡(luò)全面普及的今天，核心網(wǎng)的安全更加重要，在互聯(lián)網(wǎng)網(wǎng)絡(luò)搭建的過程中，核心網(wǎng)的安全性面臨著巨大的挑戰(zhàn)，為了確保5G網(wǎng)絡(luò)和信網(wǎng)的安全，必須要從專業(yè)的技術(shù)角度進(jìn)行分析驗(yàn)證，成功地解決5G核心網(wǎng)安全問題。5G網(wǎng)絡(luò)是目前最為先進(jìn)的數(shù)據(jù)搭載工具對(duì)核心網(wǎng)有更高的要求，然而目前的5G網(wǎng)絡(luò)想要達(dá)到理想中的效果，實(shí)現(xiàn)商業(yè)化的應(yīng)用，必須要對(duì)5G核心網(wǎng)進(jìn)行全面的開發(fā)和應(yīng)用。

一、5G核心網(wǎng)介紹

傳統(tǒng)的網(wǎng)元是一種軟硬件緊密耦合的黑盒設(shè)計(jì)。引入虛擬化后，軟硬件實(shí)現(xiàn)了解耦。從此，硬件可以擺脫專用設(shè)備的束縛，使用通用服務(wù)器，大大降低了成本。同時(shí)，軟件不再關(guān)注底層硬件，可擴(kuò)展性大大提高。然而，這樣的軟件仍然是一個(gè)單一的結(jié)構(gòu)。如果你只想升級(jí)或擴(kuò)展一個(gè)內(nèi)部模塊，你必須扣動(dòng)扳機(jī)并移動(dòng)整個(gè)身體，這一點(diǎn)都不靈活。因此，專家們借鑒it系統(tǒng)中微服務(wù)的體系結(jié)構(gòu)，將大型的單個(gè)軟件進(jìn)一步分解為若干個(gè)小型的模塊化組件，稱之為網(wǎng)絡(luò)功能服務(wù)。它們具有高度的獨(dú)立性和自治性，通過開放的接口相互通信，可以組合成構(gòu)建塊等大型網(wǎng)絡(luò)功能，提高業(yè)務(wù)部署的靈活性和靈活性[1]。

二、5G核心網(wǎng)接入安全分析

在5G核心網(wǎng)當(dāng)中，接入安全包括UE、接入網(wǎng)及核心網(wǎng)三個(gè)組成，為了確保5G核心網(wǎng)的接入安全，最好是使用多重保護(hù)機(jī)制。訪問安全的體系結(jié)構(gòu)圖，它通過網(wǎng)絡(luò)和用戶之間的雙向認(rèn)證來確保網(wǎng)絡(luò)和用戶之間的信任。5G核心網(wǎng)數(shù)據(jù)加密主要是EAP-AKA認(rèn)證法，適用于業(yè)界的所有主流加密，能夠確保數(shù)據(jù)完整性。當(dāng)UE需要進(jìn)行訪問時(shí)，則應(yīng)當(dāng)根據(jù)其需要建立IPSec/sslvpn通道，以確保數(shù)據(jù)能夠安全傳輸，并對(duì)傳輸數(shù)據(jù)進(jìn)行安全監(jiān)控。如果沒有官方許可，則不允許普通用戶訪問[2]。

三、5G核心網(wǎng)安全威脅分析

3.1 CS域安全威脅分析

電路安全域是CS域的核心，當(dāng)其發(fā)生故障時(shí)，會(huì)直接對(duì)運(yùn)行商的服務(wù)造成影響，嚴(yán)重時(shí)會(huì)導(dǎo)致業(yè)務(wù)供應(yīng)停止。5G核心網(wǎng)中的電路安全域主要是由信令網(wǎng)和承載網(wǎng)組成，其中信令網(wǎng)的安全性高于承載網(wǎng)。電路安全域網(wǎng)絡(luò)主要是由TDM、ATM和IP中的兩種或兩種以上網(wǎng)絡(luò)組成。對(duì)于TDM和ATM網(wǎng)絡(luò)，由于其屬于專用網(wǎng)或直接點(diǎn)對(duì)點(diǎn)網(wǎng)，安全威脅較小。

3.2Gom域安全威脅分析

GOM域的安全威脅主要來源于系統(tǒng)平臺(tái)的密碼攻擊、IP欺騙木馬程序、蠕蟲病毒等攻擊。安全域外部會(huì)出現(xiàn)竊聽、欺騙都方式來換取數(shù)據(jù)或篡改數(shù)據(jù)的異常情況，由于賬號(hào)和密碼管理的不安全性，維護(hù)界面的攻擊與GOM域相同[3]。

3.3 PS域安全威脅分析

PS域安全威脅主要是因?yàn)槭艿紾P/GN及外部網(wǎng)絡(luò)的攻擊，而且前者是最容易受到攻擊和入侵的地方，設(shè)備也是最容易受到攻擊的位置，常出現(xiàn)的威脅是拒絕服務(wù)攻擊，拒絕服務(wù)攻擊會(huì)出現(xiàn)大量數(shù)據(jù)表發(fā)送到網(wǎng)關(guān)的情況，通過利用大量的數(shù)據(jù)表來侵占網(wǎng)關(guān)帶寬，進(jìn)而對(duì)服務(wù)器正常運(yùn)行產(chǎn)生影響。次攻擊還會(huì)導(dǎo)致DNS服務(wù)起及GIP數(shù)據(jù)出現(xiàn)溢出的情況，導(dǎo)致DNS服務(wù)器處于高頻運(yùn)載中，最終無法順利工作。

四、5G核心網(wǎng)安全技術(shù)分析

4.1 5G核心網(wǎng)數(shù)據(jù)安全

用戶的網(wǎng)絡(luò)數(shù)據(jù)安全是世界的重點(diǎn)關(guān)注問題，為了專門針對(duì)數(shù)據(jù)網(wǎng)絡(luò)安全問題，世界各國(guó)都有相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)保護(hù)條例，以保護(hù)國(guó)內(nèi)的用戶數(shù)據(jù)，不同的國(guó)家和地區(qū)也有不同的規(guī)定，對(duì)于網(wǎng)絡(luò)數(shù)據(jù)的收集、傳輸及存儲(chǔ)應(yīng)用，各個(gè)階段都會(huì)存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。如表1所示[4]。

4.2 5G核心網(wǎng)管理安全

5g網(wǎng)絡(luò)只有經(jīng)過安全封裝后才能投入使用。網(wǎng)絡(luò)要確保安全性和開放性為了，確保安全性和開放性并存需要進(jìn)行授權(quán)，針對(duì)運(yùn)營(yíng)商的的需求開展相應(yīng)授權(quán)，在其獲取授權(quán)之后，才能夠開展訪問。在網(wǎng)絡(luò)服務(wù)中，應(yīng)當(dāng)保證網(wǎng)絡(luò)容量的開放性及安全性。例如通過用戶認(rèn)證來對(duì)終端用戶需求進(jìn)行處理，同時(shí)也可以根據(jù)服務(wù)的保密性要求設(shè)置相應(yīng)的加密級(jí)別，從而實(shí)現(xiàn)對(duì)終端用戶數(shù)據(jù)信息的良好保護(hù)，這樣也就實(shí)現(xiàn)了對(duì)不同網(wǎng)絡(luò)片的不同安全控制級(jí)別。對(duì)于此網(wǎng)內(nèi)的各個(gè)管理模塊應(yīng)當(dāng)確保熟練掌握，從而便于采取針對(duì)性的防護(hù)措施[5]。而為了保證業(yè)務(wù)量增長(zhǎng)的需求，則需要制定更系統(tǒng)的防護(hù)戰(zhàn)略，例如在訪問門戶網(wǎng)站時(shí)，需要建立更完善的核心網(wǎng)管理系統(tǒng)，這樣才能夠保證系統(tǒng)運(yùn)行的安全性與穩(wěn)定性。對(duì)于賬戶管理，主要措施是管理角色分散和領(lǐng)域差異化。在實(shí)施5G核心網(wǎng)管理安全時(shí)，要對(duì)賬戶的用戶名密碼和密碼復(fù)雜性進(jìn)行反復(fù)的確認(rèn)和認(rèn)證，從而進(jìn)行嚴(yán)格的管理。如圖1所示。

4.3網(wǎng)絡(luò)安全域隔離

安全域隔離是在核心網(wǎng)組建階段需要完成的內(nèi)容，明確其安全劃分標(biāo)準(zhǔn)，并且依據(jù)網(wǎng)元的功能屬性，同時(shí)根據(jù)用戶的網(wǎng)絡(luò)需求進(jìn)行安全級(jí)別的定義，根據(jù)不同的安全要求，可以劃分不同的安全域，然后針對(duì)安全域內(nèi)的資源進(jìn)行整合與分配，確保不同安全域內(nèi)的資源不能實(shí)現(xiàn)共享，這是確保網(wǎng)絡(luò)安全及隔離必須要滿足的條件。其次要實(shí)現(xiàn)對(duì)安全性能的良好控制，根據(jù)用戶需求對(duì)域內(nèi)數(shù)據(jù)傳輸情況進(jìn)行開放，如果必須要跨區(qū)域傳輸，必須要確保安全控制，并且要進(jìn)行模塊限制[6]。如圖2所示。

4.4軟件網(wǎng)絡(luò)安全分析

SDN（Software Defined Network）具有控制及轉(zhuǎn)發(fā)分離特性，但同時(shí)也容易出現(xiàn)被黑客攻擊的情況，會(huì)利用SDN的特點(diǎn)進(jìn)行攻擊操作。由于SDN控制器實(shí)質(zhì)上就是操作系統(tǒng)中的硬件組成，遭受攻擊的方式主要是通過偽造信息，然后對(duì)控制器進(jìn)行資源消耗攻擊所致。為了防止出現(xiàn)黑客攻擊，需要對(duì)系統(tǒng)資源的利用情況進(jìn)行實(shí)時(shí)的監(jiān)控，確保發(fā)生黑客攻擊時(shí)能夠察覺到系統(tǒng)資源使用異常狀況，并且要利用好集群體系結(jié)構(gòu)將攻擊點(diǎn)分散，從而對(duì)DDOS攻擊起到防御作用，通過用戶權(quán)限認(rèn)證，可以完成相應(yīng)的訪問及登錄需求，從而減少被攻擊的風(fēng)險(xiǎn)。

對(duì)此，一方面能夠保護(hù)數(shù)據(jù)隱私，另一方面又可以通過對(duì)遠(yuǎn)程訪問進(jìn)行限制而保證訪問的安全性。此外，還具備日志分析功能，用于收集證據(jù)和追溯安全事件。

五、網(wǎng)絡(luò)功能虛擬化安全分析

5.1 VNF

Vnf是一種虛擬網(wǎng)絡(luò)功能，在操作的過程中要對(duì)用戶權(quán)限認(rèn)證和權(quán)限進(jìn)行嚴(yán)格的管理和控制。Vnf的使用過程主要包括管理實(shí)例化，其在更新使用的過程中，每個(gè)階段都會(huì)面臨著不同的安全問題。Vnf在管理中要對(duì)所上傳的文件進(jìn)行檢查，確保上傳文件沒有問題后，將文件存儲(chǔ)在安全區(qū)域內(nèi)，并設(shè)置好相應(yīng)的權(quán)限，避免出現(xiàn)非法訪問。其次的實(shí)例化過程，要對(duì)文件的完整性和權(quán)限進(jìn)行驗(yàn)證，確保文件的完整性和有使用權(quán)限后，才可進(jìn)行能夠有效避免文件被篡改。

5.2 MANO

為了確保平臺(tái)的安全性，要進(jìn)行全面的檢查，對(duì)潛在的安全威脅和漏洞進(jìn)行消除和修復(fù)，并完成虛擬化的加固。在檢查的過程中要對(duì)病毒庫進(jìn)行升級(jí)和更新并完成全面的病毒查殺，在使用的過程中要對(duì)用戶進(jìn)行身份驗(yàn)證和重新授權(quán)，這樣才能確保用戶身份信息的準(zhǔn)確和安全。在虛擬網(wǎng)絡(luò)功能管理的過程中，要防止DDOS的攻擊，確保虛擬機(jī)的使用安全。

六、結(jié)束語

綜上所述，5G核心網(wǎng)安全技術(shù)所應(yīng)用的方面非常多，只有加大投入力度，實(shí)現(xiàn)網(wǎng)絡(luò)安全制度的建立健全，才能夠保證5G網(wǎng)絡(luò)的安全建設(shè)及安全應(yīng)用。

參? 考? 文? 獻(xiàn)

[1]游偉，李英樂，柏溢，陳云杰.5G核心網(wǎng)內(nèi)生安全技術(shù)研究[J].無線電通信技術(shù)，2020，46（04）：385-390.

[2]王佳.5G核心網(wǎng)安全技術(shù)分析[J].通信電源技術(shù)，2020，37（10）：150-152.

[3]賈妍婕，田玉璋.3G核心網(wǎng)安全隱患及其容災(zāi)技術(shù)探討[J].中國(guó)管理信息化，2011，14（11）：71-72.

[4]聞?dòng)⒂?，喻嘉，趙博，趙宏. 3G核心網(wǎng)安全體系及GTP協(xié)議分析過濾技術(shù)研究[A]. 信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室.全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)論文集（下冊(cè)）[C].信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室：中國(guó)通信學(xué)會(huì)，2007：6.

[5]劉德昌.3G核心網(wǎng)安全隱患及其容災(zāi)技術(shù)探討[J].中國(guó)新通信，2007（07）：23-27.

[6]劉德昌.3G核心網(wǎng)安全隱患及其容災(zāi)技術(shù)探討[J].廣東通信技術(shù)，2007（03）：20-24.