51学通信

深度解析 3GPP TS 33.210:5G核心网的“隐形长城”——IP网络层安全

22分钟阅读

深度解析 3GPP TS 33.210:5G核心网的“隐形长城”——IP网络层安全

本文技术原理深度参考了3GPP TS 33.210 V18.1.0 (2024-06) Release 18规范,旨在为读者提供一个5G网络域IP层安全的宏观蓝图与核心思想的全景视图。

引言:一次“幽灵”般的攻击警报

凌晨三点,国家通信网络安全应急中心的红色警报灯无声地闪烁。资深网络安全架构师陈默,被一阵急促的电话从睡梦中惊醒。

“陈默,出事了!”电话那头是同事急切的声音,“我们监测到,有不明来源正试图对我们与欧洲某运营商之间的国际漫游信令接口进行嗅探和中间人攻击。虽然目前我们的防火墙和入侵检测系统挡住了大部分流量,但攻击流量非常诡异,似乎在寻找特定协议的漏洞。我们需要你立刻过来,从架构层面评估风险。”

陈默迅速赶到中心,大屏幕上,代表异常流量的数据包正像幽灵一样,不断冲击着运营商网络的边界。

“这是典型的针对核心网信令的攻击,”陈默的眼神锐利,“攻击者想要的不是普通用户的数据,而是试图窃取或篡改运营商之间的‘信任’——漫游鉴权信息、会话上下文……一旦成功,他们就能伪造用户身份、窃听高价值通信,甚至瘫痪整个漫游服务。”

一位年轻的工程师小李问道:“陈工,我们的防火墙不是很强大吗?为什么还会这么紧张?”

“防火墙是城门,但敌人现在想挖的是连接我们这座城市和邻城的‘地下秘密通道’,”陈默调出了一份名为“3GPP TS 33.210”的规范,“幸运的是,3GPP的先驱们早已为我们设计好了这座‘地下长城’的建造蓝图。这部规范,就是**网络域安全(NDS)**的基石,它定义了如何在IP网络层,为运营商网络之间、以及网络内部的关键信令交互,构建一条加密的、不可篡改的‘装甲隧道’。今天,我们就来看看,这座‘隐形长城’是如何守护我们的5G核心网的。”

这篇文章,将作为我们深度拆解TS 33.210系列的第一篇,带领大家对这部5G核心网的“安全宪章”进行一次全面的鸟瞰,理解其核心设计哲学与架构精髓。

1. 为什么要建一座“长城”?—— NDS/IP的核心思想 (第1-4章概览)

在深入城墙的构造之前,我们必须明白为何需要它。TS 33.210的前四章,就阐述了这套安全体系的基本原则、范围和核心概念

1.1 从“封闭城堡”到“开放邦联”的转变

规范的引言部分,一语道破了天机:

An identified security weakness in GPRS systems is the absence of security in the core network. … Another significant development has been the introduction of IP as the network layer… The implication is that from a security point of view, a whole new set of threats and risks must be faced.

陈默解释道:“在2G/3G的早期,核心网是一个‘封闭城堡’,运营商寥寥无几,彼此之间是专线连接,大家默认内部是安全的。但进入4G,特别是5G时代,核心网全面IP化,变成了一个基于开放IP协议的‘城邦联盟’。这意味着,连接运营商网络的,不再是私有的‘皇家马车道’,而是公共的、充满风险的‘IP高速公路’。任何一个IP网络上存在的威胁,都可能被引入到核心网的内部。”

TS 33.210的使命,就是在这些“IP高速公路”上,建立起一套标准化的安全规则。

1.2 核心概念:安全域与安全网关

为了在开放的IP网络上重建信任,规范引入了两个核心概念:

Security Domain: Networks that are managed by a single administrative authority. Within a security domain the same level of security and usage of security services will be typical.

Security Gateways (SEGs): are entities on the borders of the IP security domains and will be used for securing native IP based protocols.

“我们可以把每个运营商的网络,看作一个独立的**‘安全域’(Security Domain),”陈默在白板上画了一个圈,代表自家运营商,“在这个域内,我们有统一的安全策略和管理。而‘安全网关’(SEG)**,就是部署在我们网络边界的‘边防要塞’。”

他接着画了另一个圈,代表欧洲运营商,并在两个圈的边界各画了一个SEG。“所有进出我们‘国境’的信令流量,都必须经过SEG。SEG负责执行我们与其他运营商之间约定好的安全策略,就像是边境的‘海关’和‘卫兵’。”

规范中的“Figure 1: NDS architecture for IP-based protocols”清晰地描绘了这幅蓝图。图中,运营商A的网络(包含NE A-1, A-2)和运营商B的网络(包含NE B-1, B-2)是两个独立的安全域。它们之间的所有通信,都必须通过各自的SEG(SEGa 和 SEGb)进行。连接SEGa和SEGb的,就是最核心、安全等级最高的Za接口。而在一个安全域内部,普通网元(NE)与SEG之间,或NE与NE之间的通信,则通过Zb接口进行保护。

1.3 武器选择:IPsec协议

面对IP层的威胁,就要用IP层的武器。规范明确了其核心技术选择:

4.2 Protection at the network layer For native IP-based protocols, security shall be provided at the network layer. The security protocols to be used at the network layer are the IETF defined IPsec security protocols as specified in RFC-4301.

IPsec,就是我们建造这座‘隐形长城’所用的‘标准化砖石’,”陈默说,“它能在IP层,为数据包提供强大的加密(保密性)、完整性校验(防篡改)、源认证和抗重放攻击能力。33.210的核心工作,不是重新发明一套安全协议,而是**‘裁剪’和‘规定’**我们应该如何使用IPsec这套强大的工具集。”

2. “长城”的建造规范:IPsec与IKEv2的裁剪与定制 (第5章)

第5章是TS 33.210的技术核心,它详细规定了如何建造和维护这座“长城”。

2.1 安全服务的明确化

5.1 Security services afforded to the protocols For NDS/IP-networks the IPsec security protocol shall always be ESP. …integrity protection/message authentication together with anti-replay protection shall always be used. The security services provided by NDS/IP:

  • data integrity;
  • data origin authentication;
  • anti-replay protection;
  • confidentiality (optional);

陈默解释道:“这里定义了‘长城’必须具备的防御能力。”

  • 必须使用ESP协议: IPsec有两个核心协议,AH和ESP。规范强制要求使用功能更全面的ESP(Encapsulating Security Payload)
  • 强制要求完整性保护: integridad, 数据源认证和抗重放是必须开启的功能。这意味着,每一个通过“装甲隧道”的数据包,都必须确保它“来自正确的人”、“在路上没被动过手脚”,并且“不是一个过时的重放包”。
  • 加密是可选的: Confidentiality (保密性) 被列为可选。这似乎有些奇怪,但规范解释道,在某些接口或特定 annex 中,加密会被要求为强制。但在通用框架下,是否需要对信令内容进行加密,可以由运营商根据安全策略和漫游协议来决定。

2.2 隧道的建立与管理:IPsec SA与Profiling

IPsec通过**安全关联(SA, Security Association)**来工作。SA可以理解为两个SEG之间建立的一条单向的、加密的逻辑隧道。它定义了加密算法、密钥、密钥生命周期等一系列参数。

5.3 Profiling of IPsec This section gives an overview of the features of IPsec that are used by NDS/IP. The overview given here defines a minimum set of features that shall be supported. … this minimum set of features is required for interworking purposes…

“‘Profiling’(剖析/裁剪)是这一章的灵魂,”老王强调,“IETF定义的IPsec标准极其庞大和灵活,支持数十种不同的算法和模式。如果每个运营商都自由选择,那么A运营商的SEG和B运营商的SEG很可能因为‘语言不通’(算法不匹配)而无法建立连接。33.210的作用,就是从中挑选出一个所有人都必须支持的‘最小公共子集’。”

规范详细规定了:

  • 必须支持ESP in Tunnel Mode (隧道模式),即对整个原始IP包进行加密和封装。
  • 必须支持的加密算法(如AES-GCM)。
  • 必须支持的认证算法(如AES-GMAC)。
  • 对IV(初始化向量)构造的严格要求,以防止已知攻击。

2.3 “钥匙”的安全交换:IKEv2的裁剪与定制

IPsec隧道需要密钥,而这些密钥如何安全地在两个SEG之间协商产生?这就要靠IKEv2 (Internet Key Exchange version 2)

5.4 Profiling of IKEv2 The Internet Key Exchange protocol IKEv2 shall be supported for negotiation of IPsec SAs. The following additional requirements apply.

与IPsec一样,5.4节也对IKEv2进行了严格的裁剪,规定了:

  • 必须支持的密钥交换算法(如Diffie-Hellman Group 19)。
  • 必须支持的加密和完整性算法
  • 认证方式(如基于预共享密钥或数字证书)。
  • **重认证(Reauthentication)和重协商密钥(Re-keying)**的机制,以保证密钥的“新鲜度”,防止密钥泄露带来的长期风险。

“通过对IPsec和IKEv2的严格裁剪,”陈默总结道,“33.210确保了全球所有遵循3GPP标准的运营商,他们的‘边防要塞’(SEG)都使用着相同的‘筑城技术’和‘钥匙交换暗号’。这正是实现全球安全漫游的互联互通的基础。”

3. 为特殊通道“加固”:其他协议Profiles与特定场景附录

TS 33.210不仅是一部IPsec的“施工手册”,它还扮演着3GPP网络安全“中央知识库”的角色。

3.1 TLS与其他协议的“样板间” (第6章)

6 Other 3GPP profiles The present document also serves as a repository for 3GPP profiles of protocols above the IP layer.

第6章提供了对TLS (Transport Layer Security)、**JWE/JWS (JSON Web Encryption/Signature)**等IP层以上安全协议的推荐配置。当5G的SBA架构中,NF之间使用HTTPS进行通信时,它们所遵循的TLS版本、密码套件等,就可以参考这里的建议。这确保了整个网络在不同层次上的安全性都有一致的标准。

3.2 保护“老旧设施”:GTP与IMS的安全附录 (Annex B & C)

Annex B (normative): Security protection for GTP Annex C (normative): Security protection of IMS protocols

“规范不仅要考虑新建的5G网络,还要兼容保护一些‘历史遗留’但仍在使用的重要协议,”陈默指着附录解释道。

  • GTP (GPRS Tunnelling Protocol): 这是2G/3G/4G时代用于在核心网内部传输用户数据和信令的核心协议。在漫游等场景下,5G网络仍需处理GTP信令。附录B(规范性)就详细规定了如何使用NDS/IP的IPsec框架,来保护GTP-C(控制面)信令的安全。
  • IMS (IP Multimedia Subsystem): 承载着VoLTE和VoNR等语音业务的核心系统。其信令协议SIP也需要在运营商之间传递。附录C则规定了如何保护跨运营商的IMS信令。

这些规范性附录,是将5.1-5.6章定义的通用安全框架,应用到具体业务场景的“实施细则”。

结论:一座深植于IP世界的“隐形长城”

陈默喝了一口水,看着大屏幕上已经被成功拦截的攻击流量,对小林说:“你看,这次攻击之所以没有造成实质性损害,正是因为我们与欧洲运营商之间的SEG,严格遵循了TS 33.210的规范,建立起了强大的IPsec隧道。攻击者在隧道之外,看到的只是一堆无法解密的、经过完整性保护的‘乱码’,他们的嗅探和篡改,从一开始就注定是徒劳的。”

通过对TS 33.210的这次宏观解读,我们构建了对5G核心网IP层安全的整体认知:

  1. 一个核心理念: 在开放的IP网络之上,通过“安全域”和“安全网关”构建“跳由跳”的信任边界。
  2. 一套核心技术: 以IETF的IPsec/IKEv2为基础,通过严格的Profiling(裁剪),实现全球互通的标准化安全能力。
  3. 两个核心接口: Za接口(域间)强制执行高等级安全策略,是抵御外部威胁的“国门”;Zb接口(域内)提供灵活的安全保护,是强化内部安全的“内墙”。
  4. N个应用场景: 通过规范性附录,将通用安全框架应用到GTP、IMS等关键业务协议上,实现了对存量和新增业务的全面保护。

TS 33.210,这部看似深奥的规范,其本质就是为5G这座日益庞大、开放的“数字城市”,构筑了一套深植于其基础网络层、无处不在的“安全结界”。它或许不像防火墙那样声名显赫,但正是这座“隐形长城”的存在,才确保了全球5G网络的信令血脉,能够安全、可靠地奔流不息。

FAQ 环节

Q1:NDS(网络域安全)和我手机上网的加密有什么关系? A1:没有直接关系。你手机上网的加密,属于接入安全的范畴,主要保护的是你手机(UE)到基站(gNB)这段空口(Uu接口)的安全,以及UE到核心网之间的NAS信令安全。而NDS保护的是网络内部,特别是运营商之间核心网网元之间的信令链路安全。可以理解为:接入安全是保护“你家到社区派出所”这段路的安全,而NDS是保护“不同城市警察局之间”机密文件传输的安全。

Q2:安全网关(SEG)和防火墙(Firewall)是同一个东西吗? A2:不是。防火墙通常工作在网络边缘,主要功能是根据IP地址、端口号等信息,对数据包进行过滤和访问控制,决定“谁能进,谁不能进”。而SEG的核心功能是建立和维护IPsec隧道,对穿越它的流量进行加密和完整性保护。SEG确保的是,即使数据包被允许通过,其内容也是机密的、不可篡改的。在实际部署中,一个边界设备可能同时具备防火墙和SEG的功能,但它们是两种不同的安全机制。

Q3:为什么5G的SBA架构中,NF之间已经用了HTTPS (TLS),还需要NEF之间的IPsec保护? A3:这是深度防御(Defense in Depth)思想的体现,即在不同层次提供安全保护。TLS工作在传输层,保护的是单个TCP连接的应用数据。而IPsec工作在网络层,它可以保护该节点上所有的IP流量(包括TCP, UDP, SCTP等)。在SBA中:1)NF之间的SBI接口(基于HTTP/2)强制要求使用TLS,这是应用层的安全。2)当这些NF部署在不同的安全域(如不同机房、不同云),或者需要穿越不受信任的网络时,可以在底层IP网络上再叠加一层IPsec隧道,这是网络层的安全。这种分层保护,即使某一层被攻破,另一层依然能提供保护。

Q4:Profiling(裁剪)为什么如此重要?它会不会降低安全性? A4:Profiling非常重要,它在保证安全性的前提下,极大地提高了互操作性和简化了实现。IETF标准为了通用性,提供了大量选项,但其中一些算法可能已被证明存在漏洞,或者过于复杂、很少使用。Profiling通过:1)禁用不安全的算法(如MD5, DES);2)强制要求支持最健壮的算法(如AES-GCM);3)统一必要的参数(如IV构造),确保了所有遵循规范的设备都能使用一套经过专家评审的、足够强大的安全配置进行互通。它不是降低安全,而是“去芜存菁”,确保大家都在一个高安全基线上工作。

Q5:TS 33.210是只适用于5G吗? A5:不是。TS 33.210的全称是“IP network layer security”,它是在3GPP网络全面IP化的背景下产生的,其历史可以追溯到UMTS时代。它为3G、4G(EPS)和5G核心网的IP化接口(如Gn, Gp, S6a, S8等)都提供了安全保护框架。随着5G SBA架构的出现,它的重要性被进一步提升,成为了保护所有服务化接口底层IP传输的通用安全规范。因此,它是一部贯穿了多个通信技术代际的基础性安全标准。

关系图谱