51学通信

深度解析 3GPP TS 33.210:第1-4章 基础篇:构建5G网络安全域的蓝图

19分钟阅读

好的,我们继续进行系列的下一篇深度解读。

深度解析 3GPP TS 33.210:第1-4章 基础篇:构建5G网络安全域的蓝图

本文技术原理深度参考了3GPP TS 33.210 V18.1.0 (2024-06) Release 18规范中,关于“第1章 Scope”、“第2章 References”、“第3章 Definitions, symbols and abbreviations”以及“第4章 Overview over network domain security for IP based protocols”的核心章节,旨在为读者提供一个理解5G网络域IP层安全体系基础框架的全景视图。

引言:从“物理边界”到“信任边界”

“陈工,您上次说的‘隐形长城’太酷了!”年轻的网络安全工程师小李,在听完陈默关于TS 33.210的概述后,意犹未尽,“但我还是有个疑问。在物理世界,长城建在国境线上,边界很清晰。但在虚拟的IP世界,数据包满天飞,我们怎么知道哪里是‘国境线’?又该在哪里修建‘边防要塞’呢?”

资深架构师陈默赞许地点点头:“小李,你问到了构建这套安全体系的起点。在IP世界里,物理的边界正在消融,但‘信任’的边界必须被前所未有地强化。TS 33.210的前四章,就是为我们绘制这张‘信任地图’的‘勘测指南’。它不教我们如何砌墙,而是教我们如何定义哪里应该有墙,以及墙内墙外应该遵循什么样的基本法则。”

“今天,我们就从零开始,跟随这份‘勘测指南’,一步步学习3GPP是如何在开放、混乱的IP网络之上,划定出一个个逻辑清晰、规则严明的‘安全域’,并定义好‘安全网关’这个核心角色的职责。掌握了这套顶层设计思想,你才能理解后续所有具体的技术细节,为何要那样设计。”

这篇文章,我们将深入TS 33.210的基石——第1至第4章。我们将一起解开5G网络域安全的顶层设计密码,理解其范围、原则、核心实体和基本架构,为后续深入探索IPsec和IKEv2的“施工细节”打下坚实的基础。

1. 明确使命:这份规范管什么?不管什么? (第1章 Scope)

任何一份严谨的工程蓝图,开篇都必须明确其边界。第1章“Scope (范围)”,用短短几句话,为TS 33.210划定了清晰的“管辖区”。

The present document defines the security architecture for network domain IP based control planes, which shall be applied to NDS/IP-networks (i.e. 3GPP and fixed broadband networks). The scope of network domain control plane security is to cover the control signalling on selected interfaces between network elements of NDS/IP networks.

陈默为小李逐句剖析这段精炼的文字:

  • 对象: network domain IP based control planes。关键词是**“网络域”“控制面”**。

    • “网络域” (Network Domain): 指的是运营商自己拥有和管理的核心网络内部,以及运营商之间的互联网络。它明确地将UE到网络的接入安全排除在外。陈默强调:“记住,33.210不管你手机到基站这段路,那是TS 33.501等规范的事。它只管‘后院’——核心网内部和核心网之间的安全。”

    • “控制面” (Control Planes): 指的是用于网络信令交互的流量,如用户注册、会话建立、移动性管理等信令。它原则上不保护用户面的数据流量 (User Plane)。陈默补充道:“33.210保护的是‘打电话’这个动作的信令,而不是通话内容本身。虽然在附录B中提到了对GTP-U的保护是‘可能的’,但这超出了其核心范围。”

  • 范围: control signalling on selected interfaces between network elements。它不是要保护网络中所有的IP流量,而是有选择性地保护那些在架构中被定义为需要保护的关键接口上的信令。

  • 角色: a central repository for cryptographic profiles。除了定义架构,33.210还扮演着一个“密码学配置库”的角色,为IPsec、TLS等协议提供统一的、经过安全评审的推荐配置。

通过第一章,小李建立了一个清晰的认知:TS 33.210是一部专注于保护运营商核心网控制面信令IP层安全架构规范。

2. 巨人的肩膀:定义与缩写的世界 (第2章 & 第3章)

“要读懂一份法律文件,你必须先学会法律术语。”陈默翻到了第3章,“在3GPP的世界里,精确的定义和统一的缩写,就是我们的‘法律术语’。”

第2章的参考文献和第3章的定义与缩写,共同构成了理解本规范的“语言基础”。陈默挑出了几个最重要的概念,向小林解释。

Security Domain: Networks that are managed by a single administrative authority. Within a security domain the same level of security and usage of security services will be typical.

安全域,是整个架构的基石。你可以把它简单理解为一个运营商的网络。核心思想是,在这个圈子内部,我们拥有统一的安全策略和信任基础。”

Security Gateway (SEG): (from chapter 4) are entities on the borders of the IP security domains and will be used for securing native IP based protocols.

安全网关,就是安全域的‘守门人’。它部署在网络的边界,所有跨越边界的流量都必须经过它。它的职责,就是对这些流量执行安全策略。”

Transport mode: Mode of operation that primarily protects the payload of the IP packet…

Tunnel mode: Mode of operation that protects the whole IP packet by tunnelling it…

传输模式隧道模式,是IPsec的两种工作方式。传输模式像是在信件内容上盖了个加密章,信封(IP头)还是原来的,只保护了信的内容。而隧道模式则是把整个原始信件(包括信封)装进一个全新的、加密的‘保险箱’(新的IP包)里再寄送。规范后续会规定,在跨运营商的Za接口上,必须使用更安全的隧道模式。”

Data integrity: The property that data has not been altered in an unauthorised manner.

Confidentiality: The property that information is not made available or disclosed to unauthorised individuals…

数据完整性保密性,是IPsec提供的两大核心安全服务。完整性是‘防篡改’,确保你收到的信没在半路被人改过一个字。保密性是‘防窃听’,确保即使信被截获了,截获者也看不懂里面的内容。规范强制要求所有受保护的接口都必须有完整性保护,而保密性(加密)则是推荐或在特定场景下强制。”

通过对这些核心术语的理解,小李逐渐掌握了阅读这份“安全宪章”的语言。

3. 划分“楚河汉界”:网络域安全架构概述 (第4章)

第四章是基础篇的重中之-重,它将前面定义的概念,组合成了一幅宏观的、可执行的安全架构蓝图

3.1 安全的边界:安全域与SEG (4.3, 4.4, 4.5)

The network domain control plane of an NDS/IP-network is sectioned into security domains and typically these coincide with operator borders. The border between the security domains is protected by Security Gateways (SEGs).

All NDS/IP traffic shall pass through a SEG before entering or leaving the security domain.

陈默在白板上画出了这张架构图的核心逻辑:

  1. 以运营商为单位,划分安全域。 每个运营商网络,因其统一的管理和策略,构成一个天然的“信任孤岛”。

  2. 在安全域边界部署SEG。 SEG成为所有跨域流量的强制路径点 (choke point)。任何数据包想“出国”或“入境”,都必须经过SEG的检查和处理。

  3. SEG执行安全策略。 SEG是安全策略的执行者。两个运营商之间的漫游协议,最终会转化为SEGa和SEGb上的一系列IPsec策略配置。

“这个设计的核心思想,就是‘边界强制,域内灵活’,”陈默总结道,“我们不信任任何来自域外的流量,所有跨域流量都必须在边界上被强制实施最高等级的安全检查。而在域内,我们可以根据需要,选择性地部署更灵活的安全策略。”

3.2 接口的定义:Za与Zb

为了让这个架构更清晰,规范定义了两类核心接口(在5.6.2节中详述,但其概念在第4章已建立):

  • Za接口 (SEG-SEG):

    位于不同安全域的SEG之间。这是“国与国”之间的接口,安全等级最高。规范强制要求在Za接口上必须使用IPsec隧道模式,提供强制的完整性保护和推荐的加密保护。

  • Zb接口 (NE-SEG / NE-NE):

    位于同一个安全域内部。这是“省与省”或“市与市”之间的接口。规范规定,Zb接口的实现是可选的。如果实现,也推荐使用IPsec。

3.3 架构的运作模式:Hop-by-Hop Security

A chained-tunnel/hub-and-spoke approach is used which facilitates hop-by-hop based security protection between security domains.

跳由跳安全 (Hop-by-Hop Security),是这个架构的灵魂。”陈默解释道。

想象一个数据包要从运营商A的AMF,发送到运营商C的SMF,中间需要经过一个中转运营商B。

  • AMF-A首先将包发送给SEGa。

  • SEGa与SEGb之间建立IPsec隧道,将包安全地传送到SEGb。

  • SEGb解封装后,在B域内转发,再由SEGb’与SEGc建立隧道,传送到SEGc。

  • SEGc最终将包送达SMF-C。

“你看,安全保护是分段实施的,A和B之间一段,B和C之间一段。每一跳的运营商,只负责保护好自己这一段的链路。这种模式,大大简化了密钥管理和策略协商的复杂性,使得大规模的跨网安全互通成为可能。”

结论:一套简约而不简单的顶层设计

“陈工,我明白了!”小林恍然大悟,“TS 33.210的前四章,其实就是在回答三个核心问题:保护谁?(Scope),用什么保护?(IPsec),以及在哪里保护?(Security Domain & SEG)

陈默点头:“总结得很好。这套顶层设计,看似简单,却蕴含着深刻的安全哲学:”

  1. 承认并管理不信任: 它不再假定IP网络是安全的,而是以“零信任”为出发点,在开放网络上通过密码学手段,重新构建起逻辑上的信任边界。

  2. 标准化与互通性: 它没有发明新协议,而是通过对成熟、强大的IETF标准进行严格的“裁剪”,来确保全球运营商之间的安全互通。

  3. 分层与解耦: 它清晰地将网络划分为不同的安全域,将安全职责明确地赋予边界上的SEG,实现了安全策略与网络路由的解耦,大大简化了管理复杂性。

这四章内容,共同构成了5G核心网“隐形长城”的总体设计规划。它虽然没有涉及一砖一瓦(具体的算法和协议细节),但却为整座长城的宏伟、坚固与实用,奠定了最坚实的基础。

FAQ 环节

Q1:安全域(Security Domain)必须是一个运营商的整个网络吗?

A1:不一定。规范中说“typically these coincide with operator borders”(通常与运营商边界一致),但后面也补充道“an operator may at will subsection its network into separate sub-networks”(运营商可以随意地将其网络划分为独立的子网)。例如,一个大型运营商可以将其公众移动网络、物联网专网、政企专网,划分为三个独立的安全域,它们之间也通过SEG进行安全隔离。这可以实现更精细化的策略管控。

Q2:如果gNB和核心网之间也要进行IPsec保护,这条链路属于Za接口还是Zb接口?

A2:属于Zb接口。因为gNB(作为NE)和核心网(其入口通常是一个SEG或具备SEG功能的网元)都属于同一个运营商网络,即同一个安全域。它们之间的安全保护,属于域内安全的范-畴。根据规范,Zb接口的实现是可选的,由运营商根据其安全策略决定是否需要对RAN和核心网之间的N2/N3接口进行IPsec加密。

Q3:为什么规范说在安全域内部(Zb接口),传输模式(Transport Mode)是可选的?

A3:在域内,网络拓扑和路由是可信且可控的。传输模式相比隧道模式,其优点是IP头开销更小,效率稍高。由于它不改变原始的IP头,因此不会影响内部复杂的路由和QoS策略。在确认域内网络路径安全、没有NAT等设备的情况下,使用传输模式是一种更高效的选择。而在必须穿越不受信任网络的Za接口上,则必须使用更能保护路由信息的隧道模式。

Q4:TS 33.210定义的这套NDS/IP安全架构,是如何与5G的服务化架构(SBA)结合的?

A4:它们在不同层面协同工作。SBA架构中,NF之间的接口(SBI)是基于HTTP/2的,其安全主要由TLS在传输层和应用层提供。而NDS/IP则工作在更底层的IP网络层。当两个需要通信的NF(例如AMF和SMF)被部署在不同的安全域(如不同的数据中心,甚至不同的城市),它们之间的IP路由需要穿越不受信任的骨干网时,就可以在底层启用IPsec隧道,对它们之间所有的IP流量(包括承载TLS的TCP流量)进行加密。这形成了TLS over IPsec的深度防御体系。

Q5:学习这几章基础概念,对我理解具体的网络攻击有什么帮助?

A5:帮助巨大。理解了这套架构,你就能从攻击者的视角思考问题。例如:1)攻击平面: 你会知道,攻击的重点目标是运营商之间的Za接口,以及域内缺乏保护的Zb接口。2)攻击手段: 你会明白,攻击者可能会尝试进行IP欺骗、DNS劫持、路由劫持等手段,来绕过或伪装成合法的SEG,试图渗透到安全域内部。3. 防御重点: 你也会明白,防御的核心在于保证SEG自身的安全(物理安全、密钥安全),以及IKEv2密钥协商过程的健壮性,防止密钥被窃取或被弱密码攻击破解。

关系图谱