51学通信

深度解析 3GPP TS 33.501:12-13 网络能力开放与服务化接口安全

22分钟阅读

好的,我们继续深入解读3GPP TS 33.501规范。

深度解析 3GPP TS 33.501:12-13 网络能力开放与服务化接口安全

本文技术原理深度参考了3GPP TS 33.501 V18.9.0 (2025-03) Release 18规范中,关于“12 Security aspects of Network Exposure Function (NEF)”和“13 Service Based Interfaces (SBI)”的核心章节,旨在为读者深入剖析5G核心网在“开放”与“安全”这对矛盾统一体中的精妙设计,揭示SBA架构下API经济的安全基石。

在前面的系列文章中,我们已经详细探讨了5G如何保护“内部公民”(UE)和“内部交通”(网络接口)的安全。然而,5G的雄心远不止于构建一个自给自足的“封闭王国”,它更希望成为未来数字社会的“开放平台”,将自身的网络能力(如定位、QoS、网络状态等)安全地开放给第三方应用,催生丰富的垂直行业创新。

今天,我们将深入解读规范的第12章(NEF安全)第13章(服务化接口安全)。这两章是5G“开放”战略的核心安全支柱,共同回答了两个终极问题:

  • 第12章 NEF安全:当外部的“异邦使节”(第三方应用)前来请求访问网络内部资源时,谁来充当“外交部”和“国宾馆”,如何对其进行严格的身份查验和授权管理?
  • 第13章 SBA接口安全:在5G核心网这个由无数“微服务部门”(NF)组成的庞大“政府机构”内部,部门之间的公文往来(API调用)是如何确保机密、防伪和可追溯的?当涉及到跨国“外交邮袋”(漫游信令)时,又是如何进行应用层的“加密打包”和“验明正身”的?

为了贯穿这些复杂的B2B场景,我们将引入一个新的企业级主角——“飞驰物流”。他们开发了一款智能调度App,需要从运营商5G网络获取其下属无人配送车的实时网络切片质量信息,以动态规划最优配送路线。而核心网工程师“李工”,则将从运营商的视角,为我们揭示这场运营商与企业之间的B2B API调用的全程安全护航机制。

1. 第12章 NEF安全 - 5G网络对外的“安全外交官”

NEF(网络能力开放功能)是5GC与外部世界(第三方应用功能,AF)交互的唯一、受控的“窗口”。它的核心职责,就是在“开放”与“安全”之间找到完美的平衡点。

12.1 General In the 5G system, the Network Functions securely expose capabilities and events to 3rd party Application Functions (AF) via NEF. The NEF also enable secure provision of information in the 3GPP network by authenticated and authorized AFs.

1.1 “外交三部曲”:认证、保护与授权

第12章为NEF定义了清晰的“外交三部曲”,以应对前来访问的“飞驰物流”App后台(AF)。

12.2 Mutual authentication For authentication between NEF and an AF that resides outside the 3GPP operator domain, mutual authentication based on client and server certificates shall be performed between the NEF and AF using TLS.

  1. 双向认证 (Mutual Authentication):这是信任建立的第一步。当“飞驰物流”的AF首次与运营商的NEF建立连接时,双方必须通过基于数字证书的TLS协议进行双向身份认证。AF需要出示由可信第三方CA签发的客户端证书,证明自己是“飞驰物流”;NEF则出示服务器证书,证明自己是合法的运营商NEF。这就像互换国书,确认了彼此的官方身份。

12.3 Protection of the NEF – AF interface TLS shall be used to provide integrity protection, replay protection and confidentiality protection for the interface between the NEF and the AF. The support of TLS is mandatory.

  1. 接口保护 (Protection):身份确认后,双方建立的TLS隧道将为后续所有的API请求和响应提供强制性的机密性、完整性和抗重放保护。所有在NEF和AF之间传输的数据,都必须在这条“加密外交热线”中进行。

12.4 Authorization of Application Function’s requests After the authentication, NEF determines whether the AF is authorized to send requests for the 3GPP Network Entity. The NEF shall authorize the requests from AF using OAuth-based authorization mechanism…

  1. 请求授权 (Authorization):认证和通道保护只是基础。更关键的是,对于每一次具体的API调用,NEF都必须进行精细化的授权。规范强制要求使用基于OAuth 2.0的授权机制。“飞驰物流”的AF在正式请求网络切片数据前,必须先向NEF(或其集成的授权服务器)出示自己的“凭证”(如Client ID/Secret),获取一个有时效性、有范围限制的访问令牌(Access Token)。AF在后续的每个API请求中,都必须携带这个Token。NEF会严格校验Token的有效性、签名、范围(scope)和有效期,来判断这个AF是否有权执行当前的操作。

场景代入: “飞驰物流”的后台服务(AF)需要调用运营商的网络切片监控API。

  1. AF与运营商的NEF通过TLS握手,相互交换并验证了各自的证书。
  2. AF使用其预先注册的Client IDClient Secret,向NEF的token端点请求一个Access Token,请求的scopeslice_monitoring
  3. NEF验证凭证并查询策略,确认“飞驰物流”已付费订阅了该服务,于是为其签发了一个有效期为1小时的Token。
  4. AF向NEF的/slice-monitoring/v1/slices/{sNssai}/status端点发起GET请求,并在HTTP Authorization头中携带了刚刚获取的Token。
  5. NEF在处理请求前,首先验证Token的有效性。验证通过后,NEF再将这个请求“翻译”成核心网内部的SBA请求,发往对应的NF(如NSACF),获取数据,最后返回给AF。

2. 第13章 服务化接口(SBI)安全 - 核心网内部的“公文流转规定”

如果说NEF是处理“对外事务”的,那么第13章就是规范核心网“内部纪律”的。它定义了构成5GC的各个NF(AMF, SMF, PCF, UDM…)之间,通过服务化接口(SBI)进行通信时,必须遵循的安全规则。

2.1 13.1 传输层保护 - 内部的“加密信道”

13.1.0 General All network functions shall support mutually authenticated TLS and HTTPS… TLS client and server certificates shall be compliant with the SBA certificate profile specified in clause 6.1.3c of TS 33.310.

与NEF-AF接口一样,核心网内部所有NF之间的SBI通信,其基础安全保障也是强制性的、基于证书的、双向认证的TLS

  • 每个NF实例(如一个AMF实例)都必须拥有一个由运营商内部CA签发的、符合SBA证书规范的证书。
  • 当一个NF(如AMF,作为客户端)要调用另一个NF(如SMF,作为服务器)的服务时,它们必须首先建立一个mTLS(mutual TLS)连接。

这确保了核心网内部的任何一次API调用,其通信信道都是加密的,且通信双方的身份都是经过密码学验证的。

2.2 13.2 N32接口的应用层安全 (PRINS) - 跨国“外交邮袋”的顶级机密

当SBI通信需要跨越运营商边界时(即漫游场景),情况变得复杂。我们之前在5.9节已经介绍过,这条N32接口由SEPP进行保护。13.2节则以极其详尽的篇幅,定义了SEPP用于保护N32-f(数据面)接口的应用层安全协议——PRINS

PRINS协议的核心,是巧妙地运用了JWE(JSON Web Encryption)和JWS(JSON Web Signature)两种技术,来解决“端到端机密性”与“中间人合法修改”这对核心矛盾。

13.2.4.4 Protection using JSON Web Encryption (JWE) The SEPP shall use JSON Web Encryption (JWE) … for the protection of reformatted HTTP messages between the SEPPs.

场景重现与深化: “飞驰物流”是一家跨国公司,它在日本也部署了无人车。当日本的AMF需要向中国的UDM查询车辆的签约数据时,这个跨国信令将由PRINS协议保驾护航。

  1. 消息重构与JWE加密(在vSEPP)

    • 日本的vSEPP收到来自vAMF的原始HTTP请求后,会先将其“大卸八块”,重构为两个JSON对象:dataToIntegrityProtect(只需完整性保护的明文部分,如HTTP头)和dataToIntegrityProtectAndCipher(需要加密的敏感部分,如SUPI)。
    • 然后,vSEPP使用与中国hSEPP共享的会话密钥,对dataToIntegrityProtectAndCipher进行加密,对dataToIntegrityProtect进行完整性计算,最终生成一个JWE对象。这个JWE对象就是“加密的外交邮袋”。

  2. 中间人修改与JWS签名(在IPX)

    • 中间的漫游代理IPX收到这个JWE邮袋后,它无法打开加密部分,但可以读取明文部分。如果需要,它可以对明文部分进行修改(如修改路由头)。
    • 修改完成后,IPX必须使用自己的私钥,对自己所做的“修改操作”(以JSON Patch格式描述)进行数字签名,生成一个JWS对象。这个JWS对象就像是贴在邮袋上的、经过公证的“修改批注”。

  3. 验证与重组(在hSEPP)

    • 中国的hSEPP收到最终的邮袋(JWE + JWS)后,执行严格的“开箱查验”:
      • 首先,用共享会话密钥解密并验证JWE邮袋本身,确保原始信封未被调包。
      • 然后,取出JWS批注,用IPX的公钥验证其签名,确保修改行为是合法的。
      • 最后,将解密出的原始敏感数据,与经过验证的修改内容进行“合并重组”,还原出一条完整的、可信的请求,再发给内部的UDM。

PRINS协议这套复杂而精妙的“打包-批注-验货”流程,是现代网络安全中“机密性”与“透明度”需求矛盾的经典解决方案,确保了5G漫游信令的极致安全。

2.3 13.3-13.4 认证与授权 - SBA的“门禁卡”与“权限表”

如果说TLS是保护“走廊”的安全,那么基于OAuth 2.0的认证和授权机制,就是决定“你有没有权限进入哪个房间”。

13.3 Authentication and static authorization 13.4 Authorization of NF service access (OAuth 2.0 based)

这部分内容与5.9.2节是一脉相承的,第13章给出了更详细的流程定义。

  • 角色:NRF是授权服务器,NF Producer是资源服务器,NF Consumer是客户端
  • 流程:NF Consumer在访问NF Producer之前,必须先携带自己的身份凭证(如客户端证书或CCA),向NRF请求一个Access Token。NRF在验证其身份和请求的范围(scope)后,签发Token。NF Consumer在后续的每次服务请求中,都必须出示这个Token。NF Producer则负责验证Token的有效性,并根据Token中声明的权限,决定是否提供服务。

这套机制,为5GC内部海量的、动态的服务调用,构建了一套标准、统一、可扩展的精细化访问控制体系。

3. 总结

本章我们深入解读的第12和13章,共同构成了5G服务化架构(SBA)安全的内外两大支柱。

  • NEF安全 (12):作为5G网络对外的“安全外交官”,通过TLS双向认证、强制加密保护、OAuth 2.0授权的“外交三部曲”,确保了网络能力在向第三方开放时,始终处于可信、可控、可审计的状态。
  • SBI安全 (13):作为5GC内部的“安全规章制度”,它为海量的内部服务调用定义了严谨的安全准则。
    • 传输层,通过强制性的mTLS,为所有内部通信铺设了“加密地毯”。
    • 应用层,通过基于OAuth 2.0的令牌机制,为每一次服务访问都配备了“电子门禁卡”,实现了精细化的授权管理。
    • 在最复杂的漫游场景下,通过PRINS协议 (JWE+JWS),为跨国信令设计了一套极致安全的“外交邮袋”传递方案。

这两章所定义的机制,是5G能够从一个封闭的电信网络,演进为一个开放的、赋能千行百业的“应用平台”的安全基石。它们将现代IT领域的API安全最佳实践,与电信网络的高性能、高可靠性需求完美地结合在了一起。

FAQ

Q1:NEF和SEPP都处于网络边缘,处理对外通信,它们有什么本质区别? A1:它们的通信对象和协议栈完全不同。

  • NEF:处理的是与第三方应用(AF)之间的通信。它面向的是广大的开发者和企业,协议栈是标准的HTTPS + RESTful API。它的核心是“能力开放”。
  • SEPP:处理的是与其他运营商的SEPP之间的通信。它面向的是全球的电信运营商伙伴,协议栈是HTTP/2 + PRINS协议(JWE/JWS)。它的核心是“漫游互通”。 NEF是B2C/B2B的API网关,而SEPP是B2B(运营商之间)的、高度专业化的信令网关。

Q2:PRINS协议听起来非常复杂,每次漫游信令都需要这么多加解密和签名操作,会不会很慢? A2:会增加时延,但这是为了最高级别的安全所必需的开销,并且已经过优化。JWE/JWS都是标准化的、有成熟库支持的操作,在现代服务器上处理速度很快。整个PRINS流程增加的端到端时延通常在几十毫秒以内。考虑到跨国信令本身的传输时延就已经很高,这点额外的处理时延是可以接受的。更重要的是,它解决了一个在传统信令(如SS7/Diameter)中难以解决的安全难题,即如何在保证端到端机密性的同时,允许中间网络进行可信的修改。

Q3:核心网内部的NF之间,既然已经有了mTLS(双向TLS)认证,为什么还需要上层的OAuth 2.0令牌授权? A3:这是两个不同层面的安全控制。

  • mTLS:解决的是“你是谁?”的问题。它在连接建立时,通过交换证书,确认了通信双方都是运营商内部合法的、可信的网络功能实例。它保证了“通信信道”本身的安全。
  • OAuth 2.0:解决的是“你能做什么?”的问题。它在已经建立的安全信道上,对每一次具体的服务请求进行授权。例如,mTLS确认了你是一个合法的AMF,但OAuth 2.0的令牌决定了你这次请求,是否有权限访问某个特定用户的签约数据,或者是否有权限去删除一个PDU会话。 mTLS是“进大门”的身份检查,OAuth 2.0是“进具体办公室”的权限检查,两者缺一不可。

Q4:如果一个NF的私钥或证书泄露了,会发生什么? A4:这是一个严重的安全事件,但SBA的安全设计可以限制其影响。如果AMF-1的证书泄露,攻击者可以冒充AMF-1与其他NF建立TLS连接。但是:1) OAuth授权的限制:攻击者仍然需要获取有效的Access Token才能调用其他NF的服务。如果Token的获取和验证机制足够强大,可以部分缓解风险。2) 快速响应:运营商的CA(证书颁发机构)可以立即吊销这个泄露的证书。所有其他NF在与其建立TLS连接时,会通过OCSP或CRL检查证书状态,发现其已被吊销,就会拒绝连接。这可以将风险控制在从泄露到吊销的这个时间窗口内。3. 审计与监控:所有异常的服务调用都会被记录下来,便于事后追踪和溯源。

Q5:这些基于HTTP/TLS/JSON/OAuth的SBA安全机制,是否意味着5G核心网正在变得越来越像一个大型的“互联网数据中心”? A5:是的,这正是5G核心网演进的重要方向。通过全面拥抱这些在互联网和云计算领域经过大规模验证的、成熟开放的技术标准,5G核心网实现了:

  • 前所未有的灵活性和可扩展性:可以像云应用一样快速部署、弹性伸缩。
  • 开放的生态:更易于与第三方应用和服务集成,催生API经济。
  • 开发和运维的简化:可以利用庞大的IT技术人才储备和成熟的开源工具链。 可以说,5G安全的设计,正是这种“IT化”和“云原生化”思想在电信领域的深度体现。

关系图谱