51学通信

深度解析 3GPP TS 33.515:4.2.2.1 用户面安全策略的权杖 (策略优先级与切换校验)

20分钟阅读

深度解析 3GPP TS 33.515:4.2.2.1 用户面安全策略的权杖 (策略优先级与切换校验)

本文技术原理深度参考了3GPP TS 33.515 V18.1.0 (2023-12) Release 18规范中,关于“4.2 SMF-specific adaptations of security functional requirements and related test cases”及其子章节“4.2.2.1 Security functional requirements on the SMF deriving from 3GPP specifications”的核心内容,特别是“4.2.2.1.1 Priority of UP security policy”与“4.2.2.1.3 …SMF checking UP security policy”。本文将带您深入5G会话管理的核心决策区,揭示SMF如何执掌用户面安全策略的“权杖”,在会话建立和移动切换的关键时刻,做出最安全、最权威的裁决。

“总指挥部”的第一道军令:确保最高指令的绝对权威

在完成了“CommandCore-SMF”项目的奠基仪式后,新人工程师李娜在资深架构师王工的指导下,正式开始了核心安全功能的开发。他们首先要攻克的,是SMF作为“流量总指挥”最核心的职责之一——安全策略管理

王工在白板上画出了SMF的决策流程图:“李娜,你看。SMF的每一个决策,都基于来自四面八方的情报。其中,关于用户能享受何种安全等级,主要有两个情报来源:一是来自‘最高统帅部’UDM的‘签约档案’,里面记录了用户与我们运营商签订的‘服务合同’;二是我们‘指挥部’本地的‘通用作战手册’,即SMF的本地默认配置。当这两份情报冲突时,听谁的?这就是我们今天的第一道军令:确立最高指令的绝对权威。”

“此外,”王工继续画了一个动态的场景,“当我们的王牌用户,电竞选手‘Zero’,在赛场内高速移动,他的手机从一个基站无缝切换到另一个基站时,新的基站会向我们汇报它为Zero准备的安全通道规格。如果我们盲目相信这个汇报,而这个新基站恰好是恶意的或被配置错误的,后果不堪设想。这就是我们的第二道军令:在防区交接时,必须对下级单位的汇报进行严格政审。”

这两道“军令”,正是TS 3.515中4.2.2.1.1和4.2.2.1.3节的核心精髓。它们共同确保了SMF手中的“安全策略权杖”,在任何时候都能发出最正确、最安全的指令。

1. 引言与基础:SBA接口安全的基石 (4.2.2.1.0 General)

在深入具体的功能要求之前,规范首先在4.2.2.1.0节为SMF的安全讨论设定了基调。

4.2.2.1.0 General The general approach in TS 33.117 clause 4.2.2.1 and all the requirements and test cases in TS 33.117 clause 4.2.2.2 related to SBA/SBI aspect apply to the SMF network product class.

深度解读: 这段话看似简单,实则为SMF的所有对外通信都设置了一道坚固的“防火墙”。它强制要求SMF必须完整地实现并遵从通用安全规范TS 33.117中关于**服务化架构/接口(SBA/SBI)**的所有安全要求。这意味着:

  • 强制TLS:SMF与UDM、AMF、PCF、CHF之间的所有HTTP/2通信,都必须封装在TLS 1.2/1.3的加密隧道中。
  • NRF授权:SMF必须通过NRF进行服务注册和发现,并且必须验证所有调用其服务的“客户端”(如AMF)都经过了NRF的授权。 这是后续所有安全功能得以可信执行的基础。没有这个基础,后面讨论的策略和指令都可能是在不安全的信道中传输,从而被轻易窃听或篡改。

2. 策略优先级 (4.2.2.1.1):“签约”大于“配置”的铁律

这是SMF在会话建立时做出的第一个,也是最重要的安全决策。

2.1 威胁:当“默认配置”稀释了“VIP服务”

王工向李娜描述了“Zero”场景下的具体威胁:“假设我们的王牌电竞选手Zero,他花费重金订购了‘赛事级’安全套餐,这个套餐的签约数据存储在UDM中,明确要求其所有游戏流量都必须经过强制的用户面加密和完整性保护(策略为‘Required’)。然而,我们指挥部的一位运维工程师,为了方便调试,在SMF上配置了一条本地的、全局的默认策略:用户面安全保护为‘可选’(Optional)。当Zero发起PDU会話建立请求时,如果我们的SMF‘犯糊涂’,用了本地的‘可选’策略,会发生什么?”

李娜立刻回答:“SMF会向AMF和UPF下达一个‘安全可选’的指令。这意味着网络可能不会为Zero的游戏流量开启加密保护。他的顶级套餐就等于白买了!更严重的是,他的比赛数据可能在空口被对手的分析师实时窃听,分析他的战术习惯。这不仅是服务质量问题,更是严重的安全和商业问题。”

2.2 规范原文

4.2.2.1.1 Priority of UP security policy Requirement Name: Priority of UP security policy Requirement Reference: TS 23.501, clause 5.10.3 Requirement Description: User Plane Security Policy from UDM takes precedence over locally configured User Plane Security Policy as specified in TS 23.501, clause 5.10.3 Threat References: TR 33.926, clause J.2.2.1 Non-compliant UP security policy handling

Test Case: Test Name: TC_UP_POLICY_PRECEDENCE_SMF Purpose: Verify that the user plane security policy from the UDM takes precedence at the SMF under test over locally configured user plane security policy.

2.3 深度解读与测试实践

需求解读 (The “What” and “Why”)

  • 核心要求:在决定一个PDU会话的用户面安全策略时,从UDM获取的、基于用户签约的签约策略,其优先级必须高于SMF上本地配置的本地策略。SMF必须采纳UDM的策略作为最终决策。
  • 为何重要?
    • 保障用户权益与SLA:确保用户购买的高等级安全服务能够被网络不折不扣地执行。
    • 防止配置错误:网络管理员的本地配置可能存在错误或疏漏,签约策略作为最终权威,可以覆盖这些错误,提供一道安全“护栏”。
    • 实现差异化服务:这是5G网络实现差异化、精细化安全服务的基础。如果所有人都只能用SMF的本地策略,那么安全就变成“一刀切”了。

测试用例解读 (The “How to Verify”)

  • 前提条件 (Pre-Conditions)
    1. 在一个包含模拟AMF和模拟UDM的测试环境中部署待测的SMF。
    2. 核心配置:在模拟UDM中,为测试用户配置一个明确的用户面安全策略(例如,"Required")。同时,在待测的SMF上,配置一个与之不同的本地默认策略(例如,"Optional")。
  • 执行步骤 (Execution Steps)
    1. 测试工具模拟AMF,向SMF的Nsmf_PDUSession_CreateSMContext服务接口发送一个PDU会话建立请求。
    2. SMF在处理此请求时,会向UDM查询签约数据,从而同时获得了“签约策略”和“本地策略”。
    3. SMF做出决策后,会向AMF发送一个Namf_Communication_N1N2MessageTransfer消息,这个消息中包含了需要传递给基站的N2 SM信息。
    4. 测试人员需要捕获并解析这个发往AMF的消息。
  • 预期结果 (Expected Results)
    • 在捕获的Namf_Communication_N1N2MessageTransfer消息中,其携带的N2 SM Information里,必须包含一个Security Indication IE(安全指示信息元素)。
    • 这个IE的值,必须与我们在UDM中配置的策略("Required")完全一致,而不是与SMF本地配置的策略("Optional")一致。
    • 这个结果,铁证如山地证明了SMF正确地执行了“签约优先”的原则。

(注:规范原文中4.2.2.1.2章节标记为Void,即“空”,表示此章节无内容。我们在解读中也遵循此结构,直接跳过。)

3. 切换中的策略校验 (4.2.2.1.3):“交接班”时的严格政审

保障了会话建立时的策略正确性,接下来就要面对更动态、更危险的场景——移动性切换。

3.1 威胁:切换过程中的“降级攻击”

王工继续“Zero”的场景:“Zero正在赛场东区激烈对战,他的手机连接在gNB-1上,享受着‘强制加密’的安全服务。现在,战局转移,他迅速移动到了西区,手机需要无缝切换到gNB-2。在切换流程中,gNB-2会通过AMF,向SMF汇报它为Zero准备的承载信息,其中就包括了它所支持的用户面安全策略。假设gNB-2是一个被黑客攻破的恶意基站,它故意向SMF谎报:‘我为Zero准备的策略是‘安全可选’(Optional)’。如果我们的SMF轻信了这个汇报,会发生什么?”

李娜神情凝重:“SMF可能会接受这个降级后的策略,并据此更新会话上下文。Zero的‘加密通道’,就在他毫不知情的情况下,在他最需要网络保护的时候,被悄无声息地‘降级’成了‘裸奔通道’!这是一种经典的降级攻击(Downgrade Attack)。”

3.2 规范原文

4.2.2.1.3 Security functional requirements on the SMF checking UP security policy Requirement Name: UP security policy check. Requirement Reference: TS 33.501, clause 6.6.1 Requirement Description: According to TS 33.501, clause 6.6.1, the SMF verifies that the UE’s UP security policy received from the target ng-eNB/gNB is the same as the UE’s UP security policy that the SMF has locally stored. If there is a mismatch, the SMF sends its locally stored UE’s UP security policy of the corresponding PDU sessions to the target gNB… The SMF logs capabilities for this event and may take additional measures, such as raising an alarm.

TEST CASE: Test Name: TC_UP_SECURITY_POLICY_SMF Purpose: Verify that the SMF checks the UP security policy that is sent by the ng-eNB/gNB during handover.

3.3 深度解读与测试实践

需求解读 (The “What” and “Why”)

  • 核心要求:在移动性切换(Handover)过程中,SMF必须将从目标gNB收到的用户面安全策略,与自己为该PDU会话本地存储的、权威的安全策略进行比对
  • 如果不匹配怎么办?
    1. 纠正错误 (Correction):SMF必须拒绝目标gNB上报的错误策略。并且,它必须在后续的响应消息(如Path-Switch Acknowledge)中,将自己存储的那个正确的、权威的策略,重新下发给目标gNB,强制其执行。
    2. 记录在案 (Logging):SMF必须记录这次策略不匹配事件。
    3. 可选告警 (Alarming):SMF可以采取进一步措施,例如,产生一个安全告警,通知网络运维人员可能存在一个被错误配置或恶意的基站。
  • 为何重要? 这是防止在移动性场景下发生安全策略降级攻击的唯一防线。SMF在这里扮演了会话安全上下文的“守护者”,它确保了一个PDU会话的安全等级在其整个生命周期中,都能保持一致和稳定,不会因为位置的移动而被削弱。

测试用例解读 (The “How to Verify”)

  • 前提条件 (Pre-Conditions)
    1. 在SMF中,已经存在一个活跃的PDU会话,并且SMF为其**预先配置(或存储)**了一个权威的用户面安全策略(例如,"Required")。
  • 执行步骤 (Execution Steps)
    1. 测试工具模拟AMF,向SMF发送一个Nsmf_PDUSession_UpdateSMContext Request消息,这个消息模拟的是切换场景下,目标gNB通过AMF上报的信息。
    2. 核心操作:在这个请求消息中,故意包含一个与SMF中存储的策略不同的用户面安全策略(例如,发送一个"Optional")。
    3. 捕获SMF返回的Nsmf_PDUSession_UpdateSMContext Response消息。
  • 预期结果 (Expected Results)
    • 在捕获的响应消息中,其携带的n2SmInfo(需要传给gNB的N2信息)IE里,必须包含那个SMF预先配置的、正确的安全策略("Required")。
    • 这个结果证明了SMF成功地检测到了策略不匹配,并启动了纠正机制,将权威的策略重新下发,从而挫败了这次模拟的“降级攻击”。

总结:SMF,安全策略不动摇的“定海神针”

通过今天对这两项核心功能要求的深入学习,李娜对SMF的安全角色有了全新的认识。SMF不仅仅是会话的建立者和管理者,更是5G网络中,用户面安全策略的**“定海神针”**。

  1. 在会话建立时,它扮演“最高法官”,通过策略优先级原则,裁定UDM的“签约合同”高于一切本地“通用条例”,确保用户得到其应有的安全服务。
  2. 在移动切换时,它扮演“忠诚卫士”,通过策略校验机制,严格审查每一次“防区交接”,挫败任何试图在动态过程中削弱安全防护的“降级攻击”。

这两项要求,从静态和动态两个维度,共同铸就了SMF在安全策略管理上的权威性和健壮性,确保了无论用户在何时、何地,其数据连接的安全等级都能得到稳定、可靠的保障。

FAQ 环节

Q1:用户面安全策略(UP Security Policy)具体是指什么? A1:它是一个指示网络是否需要对一个PDU会话的用户面数据进行加密(机密性保护)和/或完整性保护的策略。这个策略最终会影响到UE与gNB之间的无线承载(DRBs)和gNB与UPF之间的N3隧道的安全配置。

Q2:如果UDM没有为用户提供签约的安全策略,SMF应该怎么办? A2:在这种情况下,规范允许SMF使用其本地配置的策略作为决策依据。运营商可以根据网络的安全等级要求,为SMF配置一个合理的默认策略(例如,对于所有互联网访问都默认“可选”,对于访问企业内网的都默认“必需”)。

Q3:在切换场景中,SMF本地存储的那个“权威的”安全策略是从哪里来的? A3:它正是在该PDU会话最初建立时,SMF根据“策略优先级”原则(我们讨论的第一个要求)所确定的那个策略。一旦会话建立,这个策略就被SMF记录在会话上下文中,并成为该会话整个生命周期内的“黄金标准”,用于后续所有切换时的比对。

Q4:为什么规范要求SMF在检测到策略不匹配时,除了纠正,还要“记录日志”和“产生告警”? A4:这是一个完整的“防御-检测-响应”安全闭环思想的体现。

  • 防御:强制纠正策略,是实时的防御措施,能立即阻止攻击。
  • 检测:记录日志,是为了事后审计和分析,是检测威胁的手段。一个基站频繁上报错误的策略,通过日志分析就能被发现。
  • 响应:产生告警,是触发人工介入或自动化响应流程的起点。运维人员收到告警后,就可以立即去排查那个有问题的基站,看是配置错误还是真的被攻击了。

Q5:这个切换中的策略检查,是在所有类型的切换中都会执行吗? A5:是的,只要切换流程涉及到SMF,需要更新PDU会话的路径(例如,Xn-based handover或N2-based handover中,UPF需要重选或路径需要更新),目标gNB上报的N2 SM信息就需要经过SMF的处理。此时,SMF就有责任和机会去执行这个关键的安全校验。这确保了移动性管理过程的安全性。

关系图谱