51学通信

深度解析 3GPP TS 33.210:第5章 (Part 2) 接口与安全策略的精妙配合

18分钟阅读

好的,我们继续进行系列的下一篇深度解读。

深度解析 3GPP TS 33.210:第5章 (Part 2) 接口与安全策略的精妙配合

本文技术原理深度参考了3GPP TS 33.210 V18.1.0 (2024-06) Release 18规范中,关于“第5章 Key management and distribution architecture for NDS/IP”中5.5和5.6节的核心章节,旨在为读者提供一份关于5G网络域安全中,安全策略粒度与接口架构如何协同工作的深度解析。

引言:从“一刀切”到“精准制导”

“陈工,我们按照‘秘笈’,学会了用IPsec和IKEv2来修建‘隐形长城’。但我还有一个困惑,”在一次安全架构评审会上,小林提出了他的思考,“我们现在是在SEGa和SEGb之间,为所有去往欧洲的流量,都建立了一条‘超级隧道’。但这似乎有点‘一刀切’。难道我们发往欧洲运营商A的漫游信令,和发往他们物联网伙伴B的信令,也要走同一条隧道,享受完全相同的安全保护吗?有没有可能为不同的业务、不同的目的地,提供差异化的‘安保等级’呢?比如,给漫游信令配备‘皇家卫队’,给物联网信令配备‘普通保安’。”

资深架构师陈默赞许地点点头:“小林,你的思考已经触及了安全架构设计的核心——粒度(Granularity)。一座伟大的长城,不仅要有坚固的墙体,更要有灵活的关隘和烽火台,能够对不同方向、不同性质的‘交通’进行差异化管理。TS 33.210第5章的后半部分,5.5和5.6节,正是探讨这个问题。它告诉我们,如何通过对安全策略粒度的精妙把握,和对接口架构的清晰定义,来实现从‘一刀切’到‘精准制导’的安全防护。”

“今天,我们就来学习,如何将我们修建的‘超级隧道’,分解成多条各司其职的‘专属通道’,并为这些通道定义清晰的‘通行规则’和‘管辖范围’。”

1. “安保等级”的划分艺术:Security policy granularity (5.5)

安全策略的粒度,决定了我们能以多精细的程度,对网络流量进行差异化的安全保护。

5.5 Security policy granularity

The policy control granularity afforded by NDS/IP is determined by the degree of control with respect to the ESP Security Association between the NEs or SEGs. The normal mode of operation is that only one ESP Security Association is used between any two NEs or SEGs…

Operators may decide to establish only one ESP Security Association between two communicating security domains. This would make for coarse-grained security granularity. The benefits to this is that it gives a certain amount of protection against traffic flow analysis while the drawback is that one will not be able to differentiate the security protection given between the communicating entities.

1.1 深度解析:粗粒度 vs 细粒度

陈默在白板上画了两种模型:

模型一:粗粒度安全 (Coarse-grained Security)

  • 实现: 在SEGa和SEGb之间,只建立一对IPsec SA(一个方向一条)。

  • 效果: 所有从运营商A到运营商B的信令流量,无论是什么业务、去往哪个具体的NF,都共享这一条隧道,使用相同的加密和认证密钥。

  • 优点 (Benefits):

    1. 抗流量分析: 因为所有业务都混杂在一起,外部攻击者很难通过分析加密流量的特征(如包大小、速率),来判断里面跑的是什么具体业务。

    2. 简单高效: 管理的SA数量少,对SEG的性能和配置要求都较低。

  • 缺点 (Drawback):

    1. 无法差异化保护: 无法为高价值的漫游信令提供比普通信令更强的加密算法或更频繁的密钥更新。

    2. 风险集中: 一旦这条隧道的密钥泄露,所有业务都将面临风险。

模型二:细粒度安全 (Fine-grained Security)

  • 实现: 在SEGa和SEGb之间,根据不同的流量选择器(Traffic Selector),建立多对IPsec SA。

  • 流量选择器可以是什么? 它可以是IP地址、端口号、协议类型等。例如:

    • 为去往运营商B的AMF(特定IP)的流量,建立一对SA。

    • 为去往运营商B的SMF(另一个IP)的流量,建立另一对SA。

    • 甚至可以为不同业务的信令(如漫游注册 vs. IMS语音),如果它们使用不同的端口,建立不同的SA。

  • 优点: 能够实现差异化的、精准的安全保护。

  • 缺点: 管理的SA数量增多,配置更复杂,对SEG的性能要求更高。

规范指出,“正常操作模式(normal mode)”是粗粒度的,即两个SEG间只使用一个SA。但它也明确表示,“This does not preclude negotiation of finer grained security granularity at the discretion of the communicating entities.”(这并不妨碍通信实体自行决定协商更细粒度的安全性)。

2. “关隘”与“哨所”的部署:Network domain security architecture (5.6)

理解了策略粒度的概念后,5.6节则从架构层面,清晰地定义了SEG这个“边防要塞”的角色,以及Za和Zb这两个核心接口的职责。

5.6.1 Network domain security architecture outline

In NDS/IP only the Security Gateways (SEGs) shall engage in direct communication with entities in other security domains…

All NDS/IP traffic from a NE in one security domain towards a NE in a different security domain will be routed via a SEG and will be afforded hop-by-hop security protection towards the final destination.

2.1 SEG:唯一的“外交官”

这段话再次强调了SEG的强制路径点角色。任何一个内部网元(NE),如AMF,不应该直接与其他运营商的NE建立IPsec隧道。所有的跨域通信,都必须通过SEG进行代理。这确保了安全策略能够被集中、统一地在边界上实施。

2.2 接口的职责划分 (5.6.2 Interface description)

Za-interface (SEG-SEG): 国家的“主城门”

The Za-interface covers all NDS/IP traffic between security domains. On the Za-interface, authentication/integrity protection is mandatory and encryption is recommended. …The SEGs use IKEv2 to negotiate, establish and maintain a secure ESP tunnel between them.

  • 深度解析:

    Za接口是“长城”的主体,是运营商之间互信的基石。它的规则是最严格的:

    • 强制保护: 所有跨运营商的信令都必须经过Za接口的IPsec隧道保护。

    • 强制认证/完整性: 确保信令不被篡改。

    • 推荐加密: 强烈建议对信令内容进行加密。

  • 场景化应用:国际漫游的“安全握手”

    当陈默的公司与欧洲运营商建立漫游合作时,双方的网工核心要做的,就是在各自的SEG上,配置好指向对方SEG的IPsec策略,并交换好IKEv2的认证凭据(如预共享密钥或PKI证书)。一旦配置完成,两地的SEG就会自动通过Za接口,完成“安全握手”,建立起一条坚固的跨国信令隧道。文章开头的“幽灵攻击”,正是被这道“主城门”挡在了国门之外。

Zb-interface (NE-SEG / NE-NE): 域内的“哨所”与“关卡”

The Zb-interface is located between SEGs and NEs and between NEs within the same security domain. The Zb-interface is optional for implementation. If implemented, it shall implement ESP in tunnel mode and IKE as described in clause 5.4.

  • 深度解析:

    Zb接口是运营商内部的安全增强措施,它的部署是可选的

    • NE-SEG: 保护内部网元(NE)到边界网关(SEG)的链路。这可以防止在内部网络被渗透的情况下,攻击者伪造信令发往SEG。

    • NE-NE: 保护内部两个网元(如AMF与SMF)之间的链路。这可以实现核心网内部的“零信任”网络,即使两个NE在同一个机房,它们之间的通信也是加密的。

  • 场景化应用:保护核心网的“神经中枢”

    对于一些安全等级极高的专网,如政务网或金融网,运营商可能会选择部署NE-NE的Zb接口。例如,为AMF与UDM之间的N8接口部署IPsec。这样,即使整个核心网数据中心被攻击者渗透,他也无法窃听到最敏感的用户签约和鉴权数据。

    “小林你看,”陈默总结道,“Za接口是我们的‘国防军’,抵御的是外部威胁。而Zb接口则是我们的‘内部卫戍部队’,防止的是‘内部渗透’和‘堡垒从内部被攻破’。是否部署‘卫戍部队’,取决于我们这座城市的安全等级要求。”

结论:策略与架构的协同,构筑深度防御

通过对5.5和5.6节的学习,我们深入到了3GPP NDS/IP架构设计的精髓——策略与架构的协同

  1. 策略的灵活性 (Security policy granularity): 规范在提供了一个简单、高效的“粗粒度”默认模型的同时,也为追求更高安全性的场景,预留了实现“细粒度”差异化保护的接口。这体现了标准化过程中的实用主义与前瞻性的结合。

  2. 架构的清晰性 (Interface description): 通过对Za和Zb接口的明确划分,规范建立了一个层次化的深度防御模型。Za接口构筑了坚实的外部防线,Zb接口则提供了可按需部署的内部隔离手段。

  3. 角色的唯一性 (SEG): 强制所有跨域流量收敛于SEG,实现了安全策略的集中管理和强制执行,极大地简化了运维和审计的复杂性。

这套设计,确保了5G核心网的安全不再是一个个孤立的安全设备功能的堆砌,而是一个逻辑清晰、层次分明、可扩展、可管理的有机体系。它为我们在日益复杂的IP世界中,构建一个既开放互联、又安全可信的5G网络,提供了坚实的架构基础。

FAQ 环节

Q1:在实际网络中,“细粒度安全策略”常用吗?

A1:在运营商之间的公共漫游接口(Za接口)上,为了简化互通和管理,采用粗粒度策略(即一个Peer SEG一对SA)是更常见的做法。但是,“细粒度”策略在特定场景下非常有价值。例如,一个运营商可能通过同一个SEG,同时与多个不同的下游客户(如企业专网、物联网平台)对接。此时,运营商就必须采用细粒度策略,为每一个不同的客户,建立独立的IPsec隧道和安全策略,以实现客户之间的安全隔离。

Q2:如果Zb接口是可选的,那么运营商内部NE之间的通信是不是就是不安全的?

A2:不完全是。说Zb接口是“可选的”,是指在IP层使用IPsec进行保护是可选的。在5G的SBA架构中,NF之间的SBI接口(基于HTTP/2),在传输层强制要求使用TLS进行加密和认证。因此,即使没有部署Zb接口的IPsec,AMF和SMF之间的通信,在TLS层面上依然是安全的。部署Zb接口,相当于在TLS之外,再增加一层IP层的保护,形成TLS over IPsec的深度防御。这种额外的保护层对于抵御来自网络内部的、更底层的攻击(如IP欺骗、嗅探)非常有意义。

Q3:一个SEG可以同时连接多个其他运营商的SEG吗?

A3:可以,而且这是SEG的典型工作模式。一个运营商的国际出口SEG,可能需要同时与全球数十个甚至上百个漫游伙伴的SEG建立Za接口连接。规范中提到:“One SEG of security domain A can be dedicated to only serve a certain subset of security domains… This will limit the number of SAs and tunnels that need to be maintained.” 这意味着,运营商可以通过部署多个SEG,并将不同的漫游伙伴路由到不同的SEG上,来实现负载均衡和故障隔离。

Q4:图中显示的IKE“连接”和ESP“安全关联”是什么关系?

A4:**IKE SA(在图中被简化为IKE “connection”)**是“密钥协商通道”。它的唯一目的,就是为双方安全地协商出用于保护真实数据的密钥。它本身不传输用户信令。**ESP SA(安全关联)**则是“数据保护通道”,它使用由IKE SA协商出来的密钥,来对真正的用户信令(如SIP, GTP-C等)进行加密和认证。可以理解为:IKE是两个外交官用来商讨机密条约的“加密电话线”,而ESP则是根据商讨好的条约,为运输国家宝藏的卡车车队建立的“装甲押运通道”。

Q5:部署了这套NDS/IP安全架构后,对网络性能有什么影响?

A5:会有一定的影响,主要体现在时延增加吞吐量下降两个方面。IPsec的加密和解封装过程,会消耗SEG设备大量的CPU资源,从而增加数据包的处理时延。同时,ESP头和隧道模式的新IP头,会增加每个数据包的长度,降低了链路的有效载荷效率,从而轻微降低了最大吞吐量。因此,SEG设备的性能(特别是其IPsec处理能力,通常用Gbps衡量)是网络边界的一个关键能力瓶颈,需要进行仔细的规划和容量设计。

关系图谱