51学通信

深度解析 3GPP TR 21.918:21.3 Automated certificate management in SBA (SBA中的自动化证书管理)

20分钟阅读

好的,我们继续解读TR 21.918的后续章节。

深度解析 3GPP TR 21.918:21.3 Automated certificate management in SBA (SBA中的自动化证书管理)

本文技术原理深度参考了3GPP TR 21.918 V18.0.0 (2025-03) Release 18规范中,关于“21.3 Automated certificate management in SBA”的核心章节,旨在为读者深入剖析5G-Advanced如何通过引入标准化的自动化证书管理框架,为日益复杂的、服务化的5G核心网,构建一个更安全、更高效、更“自愈”的信任基石。

在5G核心网的基于服务的架构(SBA)中,成百上千的网络功能(NF)实例,像“微服务”一样,通过TLS加密的API接口进行着频繁的交互。这张复杂的服务网,其安全的根基是什么?答案是数字证书。每一个NF实例,都必须持有一个由运营商信任的证书颁发机构(CA)签发的数字证书,用以在建立TLS连接时,向对方证明“我是谁,我是合法的”。

然而,随着网络规模的扩大和云原生技术的引入,NF的生命周期变得极度动态化:新的NF实例被随时“拉起”,旧的实例被随时“销毁”,证书会过期、会被吊销……传统的、依赖人工的证书管理方式——手动生成证书签名请求(CSR)、邮件发送给CA管理员、再手动导入到NF中——已然成为网络运维的一场噩梦。效率低下、易于出错,更隐藏着巨大的安全风险。

为了解决这一运维“痛点”,3GPP在Release 18中,正式引入了**SBA中的自动化证书管理(ACM_SBA)**框架。

今天,我们的主角,是一家大型运营商的核心网安全运维主管,陈姐。她负责管理着数千个核心网NF实例的数字证书。最近,一个NF因证书过期而导致区域性业务中断的事故,让她下定决心,必须推动全网的证书管理自动化。让我们跟随陈姐的探索,深入21.3章节,看看3GPP是如何为她打造这套“一劳永逸”的自动化解决方案的。

1. 问题的根源:手动管理的“三宗罪”

在引入自动化方案之前,陈姐首先向管理层汇报了当前手动证书管理模式面临的“三宗罪”:

  1. 效率低下: 为一个新上线的NF申请、签发、部署证书,整个流程可能需要数天,完全跟不上云原生环境下NF“分钟级”的部署速度。
  2. 风险高: 人工操作容易出错,例如,证书配错、私钥泄露、忘记更新导致证书过期等。每一次失误,都可能导致服务中断或严重的安全漏洞。
  3. 缺乏标准化: 不同设备商的NF,其证书管理接口和流程五花八门,运维人员需要学习和维护多套不同的管理工具,复杂度极高。

Digital certificates in 5G Core are used for different purposes, such as TLS authentication or validation of signatures. …The feature fixes the potential issues coming from manual management of certificates and inconsistencies in the associated procedures by profiling CMP (Certificate Management Protocol), and by adding requirements and recommendations that support the automation and security…

规范明确指出了手动管理的弊端,并提出了解决方案的核心:对业界成熟的**CMP(Certificate Management Protocol,证书管理协议)**进行适配和“剖析”(Profiling),使其能够满足5G SBA场景的特定需求。

2. ACM_SBA的核心框架:三大关键流程

21.3章节为陈姐设计的自动化框架,主要包含了三大核心流程,覆盖了证书的整个生命周期。

The feature covers the following procedures:

  • Set up of initial trust between NF… and operator RA (Registration Authority)/CA (Certification Authority)…
  • Certificate enrolment and renewal based on CMP…
  • Certification revocation schemas (CRL, OCSP, OCSP Stapling).

2.1 流程一:初始信任的建立 (Initial Trust Setup)

挑战: 一个全新的NF实例(例如,一个新的AMF)被首次部署到网络中。此时,它没有任何证书,就像一个“黑户”。它如何安全地向运营商的CA/RA(证书颁发/注册机构)证明自己的“合法身份”,并申请第一张证书?

  • Set up of initial trust between NF (Network Function) and operator RA (Registration Authority)/CA (Certification Authority) for the certificate enrolment, facilitated by the OAM system.

解决方案: 引入**OAM(运维管理系统)**作为“担保人”。

  1. 带外(Out-of-band)配置: 在NF实例被部署时,OAM系统会为其生成一对初始的认证凭证(例如,一个一次性的密码或共享密钥),并通过安全的、带外的方式(例如,通过云平台的安全通道)注入到这个新实例中。
  2. 首次“报到”: NF实例启动后,会使用这个初始凭证,向RA发起第一次认证。
  3. 身份确认: RA收到请求后,会向OAM系统进行“核实”:“这个自称是AMF-01的家伙,带着凭证XYZ来报到了,是你的人吗?”。OAM确认后,初始信任关系建立。

这个流程,安全地解决了自动化系统中的“第一个鸡蛋”问题。

2.2 流程二:证书的申请与续期 (Enrolment and Renewal)

挑战: 初始信任建立后,NF需要申请一张正式的、用于业务的TLS证书。并且,在这张证书过期前,需要自动地申请一张新的证书来替换它。

  • Certificate enrolment and renewal based on CMP:
  • Profiling of CMP protocol for 5G Core Network Functions.
  • Validation of the Network Function instances identifiers.

解决方案: 标准化基于CMPv2协议的申请和续期流程。

  • 统一“语言”——CMPv2: 所有5GC的NF,都必须支持标准的CMPv2协议。这意味着,无论是哪个厂商的设备,它们申请和更新证书的“话术”都是统一的。陈姐的CA系统,只需要实现一套标准的CMPv2服务端即可。
  • 申请 (Enrolment): NF通过CMPv2的Initialization Request (ir)消息,向RA/CA发送证书签名请求(CSR)。这个请求中,会包含NF的公钥、身份信息(如NF Type, FQDN等)。
  • 签发: RA/CA验证请求的合法性后,使用其私钥对CSR进行签名,生成数字证书,并通过CMPv2的Initialization Response (ip)消息返回给NF。
  • 自动续期 (Renewal): NF内部会维护一个定时器。在证书即将过期的前一段时间(例如,提前30天),NF会自动地、在后台发起一次CMPv2的Key Update Request (kur)流程,申请一张新的证书,并在获取到新证书后,无缝地替换掉旧证书。

这个流程,将证书的整个生命周期管理,从“人工驱动”变为了“NF自驱动”,彻底解放了陈姐的运维团队。

2.3 流程三:证书的吊销与状态检查 (Revocation)

挑战: 如果一个NF的私钥疑似泄露,或者这个NF被永久下线,陈姐需要立即“废除”它的证书,防止被非法冒用。同时,其他NF在与这个NF建立连接时,需要有一种机制,来实时地检查对方证书的“有效性”。

  • Certification revocation schemas (CRL, OCSP, OCSP Stapling).

解决方案: 支持业界标准的三种证书吊销状态检查机制。

  • CRL (证书吊销列表): CA会定期发布一个“黑名单”(CRL文件),列出所有已被吊销的证书序列号。NF可以定期下载这个列表。优点是简单,缺点是实时性差。
  • OCSP (在线证书状态协议): 当一个NF(客户端)收到另一个NF(服务端)的证书时,它可以向一个专门的OCSP服务器发起一次“在线查询”:“请问这个序列号的证书还好吗?”。OCSP服务器会实时地返回“有效”、“已吊销”或“未知”。优点是实时性高,缺点是增加了额外的查询延迟和服务器负载。
  • OCSP Stapling (OCSP装订): 这是一种优化方案。服务端NF自己定期地向OCSP服务器查询自己的证书状态,并将获得的、带有时间戳和CA签名的“有效”证明,“装订”在自己的证书上。当客户端NF来连接时,服务端NF会将证书连同这个“新鲜的”有效性证明,一并发送给客户端。客户端只需验证这个证明的签名和时效性即可,无需自己再去进行在线查询。

通过支持这三种机制,5G核心网的信任体系,不仅能“建立”,还能“维护”和“修复”,形成了一个完整的安全闭环。

3. “5G特色”的剖析(Profiling)

仅仅支持CMPv2协议还不够,还需要根据5G SBA的特点,对其进行“量身定制”的剖析(Profiling)。

  • Validation of the Network Function instances identifiers.

一个关键的“5G特色”,就是对NF身份标识的严格验证。在CMP的证书请求中,NF的身份信息(如Subject Alternative Name字段)必须包含其在5GC中注册的、唯一的身份标识,例如NF Instance IDNF FQDN。CA在签发证书时,必须严格校验这些信息与网络注册信息的一致性。这确保了证书的身份,与NF在SBA服务发现(通过NRF)中的身份,是强绑定的,杜绝了身份冒用的可能。

总结

3GPP TR 21.918的21.3章节,通过引入**ACM_SBA(SBA中的自动化证书管理)**框架,为5G核心网的“零信任”安全体系,补上了最关键、也是最基础的一块拼图。它将过去高度依赖人工、充满风险的证书管理工作,转变为一个标准化的、自动化的、NF自驱动的流程。

  • 通过OAM担保的初始信任建立,解决了自动化流程的“第一推动力”问题。
  • 通过剖析和统一CMPv2协议,实现了证书“申请”与“续期”的全生命周期自动化。
  • 通过支持CRL/OCSP/OCSP Stapling,构建了完善的证书“吊销”与“状态验证”机制。
  • 通过对NF身份标识的严格绑定,将证书的信任链,与SBA的服务化架构深度融合。

对于像陈姐这样的安全运维负责人,ACM_SBA的出现,意味着一场“运维革命”。它将运维人员从繁琐、重复、高风险的“证书裱糊匠”工作中解放出来,让他们可以专注于更高级的安全策略制定和威胁分析。

对于整个5G网络,一个自动化、智能化的信任基石,将极大地提升其安全性、稳定性和运维效率,为迎接未来更大规模、更动态的云原生网络演进,做好了最充分的准备。

FAQ - 常见问题解答

Q1:什么是CMP(证书管理协议)?为什么3GPP选择它作为自动化管理的基础? A1:CMP (Certificate Management Protocol) 是IETF定义的一套用于在公钥基础设施(PKI)中,进行证书创建和管理的标准化协议(RFC 4210)。它定义了一整套完整的消息格式和流程,涵盖了证书生命周期的方方面面,如初始化、认证、密钥更新、吊销请求等。3GPP选择它的主要原因是:1)标准化与成熟度:CMP是一个开放的、经过长期验证的国际标准,拥有成熟的理论基础和广泛的实现。2)功能完备性:它提供了比简单的CSR(证书签名请求)更丰富、更完整的管理能力,特别是在密钥更新、恢复等方面。3GPP并非重新发明轮子,而是通过“剖析”(Profiling)——即在CMP的框架内,根据5G网络的特定需求,做一些选择、约束和扩展——来快速地构建起自己的自动化证书管理体系。

Q2:在自动化续期流程中,如果一个NF因为网络问题,未能成功更新证书就过期了,会发生什么? A2:这将导致服务中断。一旦NF的证书过期,它将无法与其他NF建立新的TLS连接,也无法验证来自其他NF的连接请求。这意味着它将从SBA的服务网中被“隔离”出去。这就是为什么自动化续期流程中,需要有健壮的容错和告警机制。例如:1)提前量:NF会在证书过期前很长一段时间(如30天)就开始尝试续期。2)重试机制:如果第一次续期失败,NF会按照一定的退避算法,进行多次重试。3)紧急告警:如果在多次重试后,离过期时间已经非常近了(如最后24小时)还未成功,NF必须向OAM系统上报一个高优先级的告警,通知运维人员(如陈姐)立即进行人工干预。

Q3:OCSP Stapling听起来很高效,为什么还需要支持传统的CRL和OCSP? A3:主要是为了兼容性灵活性。1)兼容性:CRL是最古老、最简单的机制,几乎所有的PKI系统都支持它。在一些简单的、对实时性要求不高的网络中,它依然是一种可行的选择。OCSP则是实时查询的标准。2)灵活性与容错:OCSP Stapling虽然高效,但它依赖于服务端NF的主动行为。如果服务端NF因为故障或配置错误,未能及时获取并“装订”最新的OCSP响应,那么客户端NF在连接它时,就需要有一种“降级”(Fallback)机制。此时,客户端NF可以降级为使用传统的OCSP在线查询,来验证服务端证书的有效性。同时支持多种机制,为网络提供了更强的鲁棒性。

Q4:这个自动化证书管理框架,是只适用于5G核心网的NF,还是也适用于RAN(基站)? A4:21.3章节定义的ACM_SBA框架,其主要目标是5G核心网内部的NF。RAN(基站)的证书管理,在3GPP中有另外一套独立但原理相似的自动化管理框架,它定义在TS 33.310等规范中,通常被称为“RAN Certificate Management”。虽然两者都可能使用CMP等底层协议,但它们所处的安全域、信任模型、以及证书中需要包含的身份标识(如gNB ID)都有所不同。因此,3GPP为核心网和接入网,分别定义了各自的自动化证书管理方案。

Q5:实现了ACM_SBA之后,网络运维人员在证书管理方面,还需要做什么工作? A5:运维人员的工作重心将从**“执行者”转变为“管理者”“审计者”**。他们不再需要手动为每个NF申请证书,但他们需要:1)管理CA/RA本身:确保CA/RA系统自身的安全、高可用,并管理其根证书和中间证书。2)制定和下发策略:通过OAM系统,制定全网的证书策略,例如,证书的有效期是多长?密钥的算法和长度要求是什么?允许哪些NF自动续期?3.)审计与监控:监控自动化管理系统的健康状况,审计证书的签发和吊销日志,确保所有操作都符合安全规程。4)处理异常: 处理自动化流程无法解决的异常情况,例如,因网络隔离导致的证书续期失败告警。

关系图谱