据全球移动供应商协会(GSA)6月发布的最新数据,到2021年6月,全球有超过440家运营商投资5G网络(包括获得牌照、试验或部署),42个国家/地区的79家运营商正在投资公共5G SA网络(包括试验、计划或实际部署),至少有9个国家和地区的12家运营商开通了5G SA商用网络,包括中国移动、中国电信、中国联通、美国T-Mobile、西班牙电信和沃达丰等。据统计,在2019年5月到2021年5月期间,已经发布和商用的5G SA设备数量持续增长,如下图所示。
图1 已经发布和商用的5G SA设备数量
与4G网络相比,5G在核心网设计了突破性的服务化网络架构,不仅可以支持新业务快速上线,还提供了网络能力开放的新模式,可基于CAPIF、NEF等网络能力开放方式,在专网建设运营、MEC等不同的能力开放场景下,面向第三方的差异化需求开放对应的能力。
2021年6月21日,诺基亚宣布将在亚马逊网络服务(AWS)上为DISH Network网络公司部署5G SA核心网。作为全球首次在公有云中部署5G的实例,DISH将通过AWS公有云基础设施托管5G核心网和无线接入网,诺基亚为DISH提供语音核心、云分组核心、网络安全,以及专业的端到端安全服务等,使DISH能为消费者和企业客户提供5G公网和5G专网服务。与传统电信运营商独立建设部署方式不同,在公有云中部署5G核心网的新模式,不仅引入了云服务商等新的第三方角色,同时也将5G的专网建设运营、网络切片等能力开放落地,开启了运营商、设备商、云服务商共建共享、垂直行业用户以及个人用户共用的新模式。
未来,随着能力开放的逐步落地,将带来新的模式和新的生态,而能力开放引发的安全风险和问题也应引起广泛重视。
一是网络能力开放通信安全风险。在CAPIF开放方式中,CAPIF与部署在运营商可信域内的API调用者通过CAPIF-1和CAPIF-2参考点进行通信,与部署在运营商可信域外的API调用者通过CAPIF-1e和CAPIF2e参考点进行通信。而在NEF开放方式中,NEF与AF之间通过Nnef接口进行通信。在上述功能实体或模块之间进行能力开放的通信过程中,由于TLS等通信机密性、完整性、防重放等防护手段缺失或不完善,可能引发开放请求重放攻击、开放信息泄露与篡改等安全风险。风险点如图所示。
图2 CAPIF与API调用者通信安全风险点示意图
图3 NEF与AF之间通信安全风险点示意图
二是网络能力开放接口存在的安全风险。一方面,在CAPIF开放方式下进行服务API调用时,或在NEF开放方式下AF请求与NF进行交互时,当能力开放请求认证授权及数据包合法性校验等防护手段缺失或不完善时,攻击者可能会伪装成合法请求能力开放的第三方,非授权访问能力开放接口,劫持能力开放连接或恶意发送配置数据,可能引发开放参数篡改、恶意调用开放接口、拒绝服务(DoS)攻击或逃避能力开放计费等安全风险。另一方面,网络能力开放接口采用互联网通用协议,会进一步将互联网已有的安全风险引入到5G网络,攻击者可通过对向第三方开放的接口进行攻击横向入侵5G核心网。例如,攻击者利用协议存在的漏洞,通过一定方式绕过认证环节,导致鉴权机制失效,进而非法入侵5G核心网。
三是数据和资源安全风险。网络能力开放将终端移动状态信息、通信状态信息、漫游状态信息、位置状态信息等用户个人数据,MEC路由分流策略配置、QoS策略配置、切片生命周期管理等网络类能力开放数据等从运营商内部的封闭平台中开放出来,运营商对数据的管理控制能力减弱。在数据采集、传输、存储、使用、开放共享和销毁等过程中对数据的分类分级、敏感数据保护、权限控制等手段缺失或不完善可能引发能力开放相关数据丢失、泄露、篡改等安全风险。
未来,在5G专网、边缘计算等场景中,运营商将越来越多地与设备商、云服务商、第三方应用和内容提供商、安全企业等开展合作,构建网络能力开放共建部署模式,打造能力开放共享生态体系,满足垂直行业用户业务新需求。
因此,在运营商网络能力开放的过程中,应加强风险应对,保障能力开放安全有序发展,促进大网安全能力输出。
一是从监管层面加强对能力开放安全建设部署的指导。依托运营商、设备商、安全企业、研究机构等信息通信产业和网络安全产业生态中的优势力量,加快研究制定指引指南,有效规范和指导运营商能力开放过程的安全能力建设。
二是增强运营商层面风险防范应对并推动大网安全能力输出模式构建。加强运营商与其他能力开放合作主体协同,依托自身实践经验强化落实运营商主体责任,同时推动以能力开放赋能垂直行业场景安全能力提升。
三是加强能力开放平台安全防护能力实效验证。针对能力开放平台部署的安全解决方案、实现的安全能力等开展整体性的安全能力实效验证,切实发现安全风险和脆弱点,推动能力开放过程安全性保障切实提升。
附录:缩略语
下列缩略语适用于本文:
AF | Application Function | 应用功能 |
API | Application Programming Interface | 应用程序编程接口 |
CAPIF | Common API Framework | 通用API框架 |
MEC | Multi-Access Edge Computing | 多接入边缘计算 |
NEF | Network Exposure Function | 网络开放功能 |
NF | Network Function | 网络功能 |
QoS | Quality of Service | 服务质量 |
TLS | Transport Layer Security | 传输层安全 |
声明:本文来自网络安全卓越验证示范中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。