5G网络内生安全技术与实践.pptx

5G网络内生安全技术与实践中国移动研究院 粟栗2023.12.07

目 录3215G网络的安全设计5G网络演进的安全风险分析5G内生安全技术实践

5G作为关键信息基础设施，安全成为关键因素3G跟随4G并跑5G领先中国5G已引领世界，安全成为关键因素航运港口政务新闻空中物流工业园区医院工厂5G网络，因“国家安全”而被限制5G应用，因深度融合而更需要安全美国白宫2020年3月欧盟委员会2020年1月以安全为借口，限制中国企业发展网络与业务深度融合，5G安全影响国计民生重要行业美国战略与国际研究中心2021年3月美国国安局2021年5月

5G安全的目标：在非信任环境中构建安全的网络5G引入通用硬件平台，网络IT化垂直行业引入大量新的实体《5G安全技术与标准》：5G安全是在非信任的前提下，构建安全的网络并提供服务。多样化的用户设备信任模型更加复杂

5G安全的目标：在非信任环境中构建安全的网络5G网络除了面临传统的用户非法接入、互联网攻击等，还面临来自MEC非法访问、虚拟化漏洞备用等新风险传统安全风险接入安全：非法接入、恶意流量信令安全：信令风暴、信令篡改管理安全：非法登录、弱口令外部攻击：互联网DDoS、网间攻击等远程篡改恶意访问隐私泄漏新增安全风险MEC安全：边缘非法访问核心网租户切片安全：非授权访问其它切片虚拟化安全：虚拟化软件漏洞被利用、虚拟机逃逸等+

相比4G，5G网络进行了更安全的设计5G网络安全在数据安全、认证、用户隐私保护及网间信息保护等方面进行了安全增强SEPP安全网关TLS加密传输更全面的更丰富的更严密的更灵活的数据安全保护AES、SNOW3G、ZUC信令数据、用户数据完整性保护认证机制支持5G-AKA：抗内外部攻击EAP-AKA’：兼容垂直行业用户隐私保护网间信息保护SUPI：不传递SUCI：由SUPI加密生成4个“更”使5G具备一定的抵御非信任环境下安全风险的能力

相比4G，5G网络进行了更安全的设计3GPP定义了网络设备安全保障的方法论（SECAM），方法论中明确：由GSMA制定网络设备安全保障的体系框架、安全审计以及测试实验室资质相关的标准，即NESAS（NetworkEquipmentSecurityAssuranceScheme）。由3GPP制定网络设备保障中安全测试的相关标准，即SCAS(SeCurityAssuranceSpecification)。从端到端安全要求、安全评测、应用安全三方面构建5G安全标准体系，指导5G网络安全建设

目 录3215G网络的安全设计5G网络演进的安全风险分析5G内生安全技术实践

设备：依据标准执行5G设备入网安全测评设备级测试床—信通院端到端安全测评工具一套；自主开发能力40余项；测试效率提升70%联合信通院、头部厂商构建5G安全测评体系，搭建国家级测试床、自研工具，满足设备级、网络级测评认证能力；通过网络建设前的设备测试，保障设备入网、设备组网安全性。? 测评体系： ? 测评环境和测评工具： ? 测评报告：1个体系、5类方法、96项用例 网络级测试床—中国移动新问题：在完成入网测试后，实际运行中的安全如何保障？

核心网：安全域划分保障分域安全5G安全域进行了独立设计，通过安全域划分，有效防止运行阶段安全风险扩散。传统互联网接入域：部署双层异构防火墙、IPS等进行防护和检测（大隔离）新增承载网接入域：部署防火墙、IPS进行防护和检测（大隔离）安全子域：安全子域之间VLAN+交换机ACL（小隔离）安全子域内部：无安全手段，存在网元VM间攻击风险

软件硬件网络设备不断解耦，功能/服务的内部风险不断增多；边界模糊，安全能力无法“挂载”。软件虚拟化层硬件一体化设备服务软件虚拟化层分布式基础资源网络设备自身解耦内部风险网络设备向软硬件解耦、开放演进，潜在攻击源不断增加，安全防护能力需要与之匹配的细粒度融合风险1：虚拟化解耦带来安全新风险

风险1：虚拟化解耦带来安全新风险在现有防护手段的基础上，5G网络内网还存在横向移动攻击、网元关键文件篡改、漏洞被利用等风险漏洞利用：网元或虚拟层的漏洞被利用（①）横向移动攻击：恶意VM通过业务面（②）或管理面（③）攻击其它VM关键文件篡改：恶意VM通过业务面篡改其它VM上的关键文件（②）......

风险2：多样化部署带来安全新风险AMFUPF5GC大网 中心5G核心网（可信域）UDM SMF...NRF汇聚环接入环地市XCEUPFMEP/APP企业MEC2企业网络CEUPF/AMF/SMF企业MEC1N2/Xn横向攻击23企业网络114因为垂直行业需求，网络部署架构向边缘侧分布式转移，UPF等部分设备脱离核心网保护。4G：集中部署 5G：边缘部署互联网边界安全 专