网络架构安全与网元交互安全：5G核心网网元服务异常检测

本文转自：人民邮电报

文章图片

文章图片

基于服务的5G核心网架构。

文章图片

文章图片

检测原型设计图。
5G作为新一代移动通信技术，目标是为移动设备之间的通信提供更高的速率与容量，并可以通过网络切片功能依据业务场景实现网络功能的定制化，例如针对车联网场景需要提供低延迟传输，针对流媒体业务需要提供高带宽等。为了实现上述功能， 5G核心网（5G Core ， 5GC）采用了服务化架构（Service Based Architecture ， SBA）。SBA对网元进行了拆分，所有的网元又通过接口接入系统中，使得5GC的服务以比传统网元更精细的粒度运行，并且彼此松耦合，允许升级单个服务，而对其他服务的影响最小，进而使得5GC的配置、扩容与升级更加便利。相比4G网络， 5GC的暴露面更大，因此5GC面临许多新的安全问题，其中，网元服务安全是5GC面临的新的安全威胁。
5GC网元服务
3GPP TS 23.501将网元之间的交互集定义为服务。该规范将5G架构的定义分为两种表示方式：基于服务的表示方式和基于网元间交互的表示方式。基于服务的5G核心网架构中， Namf、Nausf、Nsmf等表示各个网元所展示的基于服务的接口，每个网元根据自身功能特性为5GC的正常运行提供服务。其中， AF的功能为应用功能、AMF的功能为接入和移动管理功能、AUSF的功能为认证服务功能、NEF的功能为网络开放功能、NRF的功能为网络存储库功能、NSSF的功能为网络切片选择功能、PCF的功能为控制策略功能、SMF的功能为会话管理功能、UDM的功能为统一数据管理功能、UPF的功能为用户平面功能、（R）AN的功能为接入网（基站）、UE的功能为终端。
5GC网元服务安全风险
N1、N2、N4接口分别使用5GNAS协议、NGAP协议和PFCP协议进行通信。对这3个接口进行异常检测，需要从各自所采用的协议可能存在的风险与协议自身的规范和特性入手建立基线。
在5GC中，攻击者可以利用网元的漏洞攻陷某个网元，并从该网元对其他网元的开放接口发起请求，导致网元访问的序列出现异常。例如在UE注册的鉴权流程中， AMF先向AUSF发起鉴权请求，再由AUSF向UDM请求生成鉴权向量。而如果AMF被攻击者攻陷，可直接调用UDM生成鉴权向量的接口，窃取用户的鉴权信息。
又例如， NRF网元提供网络仓储功能，维护可用的NF实例及其支持的服务的NF配置文件。如果该网元存在漏洞，攻击者可以利用此漏洞注册恶意网元，将地址和URI都指向该恶意网元，那么攻击者可以利用该恶意网元与其他网元进行通信，导致网元调用逻辑出现异常。
5GC控制面网元利用API进行通信，攻击者可利用API的脆弱性，向网元发送恶意请求，以达到窃取数据、恶意注册/注销网元、使部分用户被拒绝服务等目的。
5GC网元服务异常检测策略
【网络架构安全与网元交互安全：5G核心网网元服务异常检测】异常检测所采用的基本检测技术是全流量分析，通过分析核心网运行过程中产生的流量数据进行异常行为的检测。攻击者在尚未摸清网元服务的工作方式之前，往往要进行攻击试探，试探过程中产生的流量与网元正常工作时产生的流量有较大差异时，是检测出攻击行为的最好时机。此外，攻击者在对网元服务进行攻击的过程中，也会产生异常流量。鉴于攻击试探与攻击行为发生过程中产生的流量与正常业务工作过程中产生流量的差异性，对5G全流量数据进行分析处理，建立检测基线，利用基线检测异常流量，进而定位攻击行为，可实现5G核心网中的网元服务异常检测。