深度解析 3GPP TS 33.501:5.9 Core network security (核心网安全)
本文技术原理深度参考了3GPP TS 33.501 V18.9.0 (2025-03) Release 18规范中,关于“5.9 Core network security”的核心章节,旨在为读者深度剖析5G核心网内部以及运营商之间的安全防护机制,揭示这座“数字堡垒”的运作之道。
在前面的文章中,我们已经详细探讨了5G安全的“前线阵地”——终端(UE)和基站(gNB)。它们如同坚固的城墙和警惕的哨兵,抵御着来自空中接口的直接威胁。然而,一座真正坚不可摧的堡垒,其核心区域的内部防御和外交渠道的安全,同样至关重要。
今天,我们将深入这座“5G数字堡垒”的内部,解读规范的5.9节——核心网安全。这一章将我们的视角从无线接入侧,彻底转向了网络的大脑和中枢神经系统——5G核心网(5GC)。我们将探讨核心网内部是如何实现“零信任”的,以及当不同的“堡垒”(运营商)之间需要通信时,又是如何通过“外交信使”来确保信息安全传递的。
我们的老朋友“安安”已经安全地乘坐高铁跨越了不同的区域。而今天,我们将把视角更多地放在核心网工程师“李工”身上。他正坐在网络操作中心(NOC),面对着闪烁的数据流,他将为我们揭示,在安安进行VoNR通话、跨国漫游的每一个瞬间,核心网内部那些看不见的安全机制是如何精密运作的。
1. 5.9.1 信任边界 (Trust boundaries) - 核心网的“安全分区”
在构建任何复杂的安全体系时,第一步都是划分“信任区”和“非信任区”。一个庞大的核心网并非铁板一块,其内部也存在不同的信任等级。
It is assumed for the set of requirements in this sub-clause that mobile network operators subdivide their networks into trust zones. Subnetworks of different operators are assumed to lie in different trust zones. Messages that traverse trust boundaries shall follow the requirements in sub-clause 5.9.2 of the present document, if not protected end to end by NDS/IP as specified in TS 33.210.
这段话为核心网安全定下了一个基本前提:网络是被划分为不同信任区域的。
- 内部边界:在李工负责的运营商网络内部,可能会根据设备供应商、地理位置或功能重要性划分出不同的信任区。例如,来自多个供应商的设备可能会被置于不同的安全域,它们之间的通信被视为“跨边界”通信。
- 外部边界:李工的运营商网络和另一家运营商的网络,天然就属于两个不同的信任域。
规范要求,任何跨越信任边界的消息,都必须受到严格的安全保护。这就像一座军事堡垒,核心指挥部和外围营区之间有哨卡,堡垒与堡垒之间更有重兵把守的关隘。
2. 5.9.2 服务化架构 (SBA) 安全 - “微服务”间的“零信任”罗网
5G核心网最大的变革之一就是采用了服务化架构(SBA),各个网络功能(NF)都像独立的“微服务”,相互调用以完成复杂的业务。这种灵活性也带来了新的安全挑战:如何确保每一次服务调用都是合法、授权且安全的?5.9.2节就是为了回答这个问题。
2.1 通用要求:注册、发现与授权 (5.9.2.1)
这是SBA安全的总纲。
NF Service based discovery and registration shall support confidentiality, integrity, and replay protection. NRF shall be able to ensure that NF Discovery and registration requests are authorized. NF Service Request and Response procedure shall support mutual authentication between NF Service Consumer and NF Service Producer.
这些要求构建了一个完整的“零信任”交互模型:
- 安全注册/发现:当一个NF(如SMF)启动后,它向NRF(网络功能仓库)“报到”(注册)的过程,以及另一个NF(如AMF)向NRF查询“哪里有可用的SMF”(发现)的过程,都必须是加密、完整性保护且防重放的。
- 授权查询:NRF必须有能力判断,发起查询的AMF是否有权限知道SMF的存在。
- 双向认证:当AMF最终与SMF直接通信时,它们之间必须进行双向认证,确保对方都是“如假包换”的合法实体。
场景代入:安安在她的手机上拨打了一个VoNR高清语音电话。这个看似简单的动作,在李工的核心网里触发了一场“微服务”的交响乐。
- AMF(负责安安的接入)需要建立一个承载语音数据的PDU会话,因此它需要一个SMF(会话管理)的服务。
- AMF向NRF(网络功能仓库)发起一个加密的、带签名的查询:“请给我一个能处理安安VoNR业务的SMF的地址”。
- NRF验证了AMF的身份和权限后,从自己的“注册表”中找到了一个合适的SMF,并将SMF的地址和授权信息(Token)返回给AMF。
- AMF拿着授权信息,向SMF发起了“创建会话”的服务请求。在正式处理请求前,AMF和SMF会通过TLS握手,相互交换证书,完成双向认证。
- 认证通过后,SMF才开始为安安的VoNR通话创建数据通道。
2.2 NRF 的安全职责 (5.9.2.2) - 核心网的“授权中心”
NRF在SBA安全中扮演着至关重要的角色。
The Network Repository Function (NRF) receives NF Discovery Requests from an NF instance, provides the information of the discovered NF instances / NF service instance to the requesting NF instance or SCP, and maintains NF profiles. The NRF shall act as authorization server.
NRF不仅是“地图”和“电话本”,它还是“授权服务器”。它基于OAuth 2.0框架,为请求服务的NF(消费者)签发访问令牌(Access Token)。NF生产者在收到服务请求时,会检验这个令牌的有效性,从而决定是否提供服务。
场景代入:李工将NRF比作他所在公司的IT部门。“任何一个新上线的应用(NF),都必须先到IT部门(NRF)注册备案。当一个员工(NF Consumer)想要访问另一个应用(NF Producer)的敏感数据时,他不能直接去,必须先到IT部门申请一个有时效性的‘访问令牌’。目标应用只认令牌,不认人。”
2.3 NEF 的安全边界 (5.9.2.3) - 对外开放的“安全窗口”
NEF(网络能力开放功能)是5GC与外部第三方应用(AF)交互的网关。
The interface between the NEF and the Application Function shall fulfil the following requirements:
- Integrity protection, replay protection and confidentiality protection for communication…
- Mutual authentication between the NEF and Application Function shall be supported.
- SUPI shall not be sent outside the 3GPP operator domain by NEF.
NEF的职责是确保网络能力“开放”的同时,安全和隐私“可控”。
- 强安全通道:NEF与AF之间必须建立安全的TLS通道。
- 身份守门员:NEF必须严格认证AF的身份。
- 隐私防火墙:最关键的一条——NEF绝不能将用户的永久身份SUPI发送到3GPP网络之外。当需要标识用户时,应使用GPSI(通用公共订阅标识符)等外部标识符。
2.4 SCP 的安全代理 (5.9.2.4) - 间接通信的“安全中继”
在大型、复杂的网络中,并非所有NF都直接相连,它们可能通过SCP(服务通信代理)进行间接通信。
Mutual authentication shall be performed between the SCP and NFs, and between the two SCPs within the PLMN… All communication between the SCP and NFs and between SCPs shall be confidentiality, integrity and replay protected.
规范要求,SCP必须与其通信的所有NF以及其他SCP进行双向认证,并且所有经过它的通信都必须得到端到端的安全保护。SCP就像一个受信任的“内部快递中转站”,确保了即使信件需要中转,其安全性和保密性也不会降低。
3. 5.9.3 端到端互联安全 - 运营商间的“外交信使”SEPP
当安安的手机漫游到海外时,安全挑战从网内扩展到了网间。5.9.3节定义的机制,特别是SEPP,就是为了应对这一挑战。
3.1 通用原则 (5.9.3.1)
A solution for e2e core network interconnection security shall satisfy the following requirements. The solution shall support application layer mechanisms for addition, deletion and modification of message elements by Roaming intermediaries… The solution shall provide confidentiality and/or integrity end-to-end between source and destination network for specific message elements…
这里提出了一个核心需求:既要保证核心信息在两个运营商之间(例如,从vPLMN的AMF到hPLMN的UDM)是端到端加密的,又要允许中间的漫游代理(Roaming Intermediaries,如IPX提供商)对消息的某些部分进行合法的修改(例如,修改路由信息)。
这是一个矛盾的需求,解决方案就是PRINS协议,由SEPP来执行。
3.2 SEPP 的核心职责 (5.9.3.2) - 跨国通信的“安全守门员”
SEPP(安全边缘保护代理)是运营商网络的“外交使节”和“海关”。
The SEPP shall act as a non-transparent proxy node. The SEPP shall protect application layer control plane messages between two NFs belonging to different PLMNs… The SEPP shall perform topology hiding by limiting the internal topology information visible to external parties. The SEPP shall be able to clearly differentiate between certificates used for authentication of peer SEPPs and certificates used for authentication of Roaming Intermediaries performing message modifications.
SEPP的职责极其复杂,我们可以概括为以下几点:
- 应用层安全代理:SEPP工作在应用层(HTTP/2),它能理解信令消息的具体内容。它会对需要端到端保护的敏感字段(如用户身份、密钥材料)进行加密,形成一个JWE(JSON Web Encryption)对象。
- 拓扑隐藏:SEPP对外只暴露自己的地址,从而隐藏了内部网络(如AMF、UDM的具体地址和数量)的拓扑结构。
- 中介修改的可验证性:对于允许中间漫游代理修改的字段,SEPP会要求漫游代理对自己的修改行为进行数字签名,形成JWS(JSON Web Signature)对象。接收方的SEPP可以验证这些签名,确保所有修改都是来自合法的、可追溯的实体。
- 身份区分:SEPP必须能够清晰地区分通信对端是另一个运营商的SEPP,还是一个漫游代理。这通常通过不同的证书和信任链来实现。
场景代入:安安在日本漫游,日本的vAMF需要向中国的hUDM请求她的签约数据。李工的视角:
- vAMF将请求发给日本运营商的vSEPP。
- vSEPP像一个“打包员”,它拿出请求报文,将其中最机密的“用户数据”部分单独拿出来,用双方约定好的对称密钥加密,放入一个“加密内胆”(JWE的密文部分)。然后将报文的其余部分和加密内胆的元数据一起,作为“明文内容”(JWE的AAD部分)。最后生成一个完整的JWE对象。
- 这个JWE对象被发往中间的漫游代理IPX。IPX无法解密“加密内胆”,但它可以读取“明文内容”,并根据需要修改其中的路由信息。IPX必须为自己的修改行为签名,附上一个“修改说明及签名”(JWS对象)。
- 消息到达李工所在运营商的hSEPP。hSEPP首先验证了vSEPP的身份,然后解密JWE对象,还原出原始请求。接着,它检查附加的JWS对象,验证了IPX的签名,确认修改合法,并将修改应用到报文中。
- 最后,hSEPP将一个干净、完整、可信的原始请求转发给内部的hUDM。
这个复杂的过程,完美地解决了端到端安全与中间节点合法修改之间的矛盾,是5G漫游安全的核心所在。
4. 总结
5.9节为我们描绘了一幅5G核心网的深度安全防御图景,其核心思想是“无处不设防,处处需授权”。
- 在网内(Intra-PLMN),通过以NRF为核心的服务化架构安全机制,实现了对每个网络功能、每次服务调用的精细化认证和授权,构建了“零信任”的内部环境。
- 在网间(Inter-PLMN),通过以SEPP为核心的互联安全机制,实现了跨运营商信令的端到端应用层保护,既保障了核心信息的机密性,又兼顾了漫游代理的业务灵活性,实现了“外交”层面的安全可信。
这些机制共同构成了5G核心网的“免疫系统”,确保了在日益复杂和开放的网络环境下,核心数据和控制指令的安全。
FAQ
Q1:5G核心网的SBA安全与传统IT领域的“微服务安全”有什么异同? A1:相同点在于核心理念,都遵循“零信任”原则,即不再假设内部网络是可信的,每一次服务调用都需要认证和授权。两者都大量使用了成熟的IT技术,如TLS用于传输层安全,OAuth 2.0用于授权框架,RESTful API作为接口标准。不同点在于电信领域的特殊要求:1) 超大规模和高性能:5G核心网需要支持亿万级的用户和海量的信令交互,对认证和授权系统的性能、时延要求极高。2) 标准化:所有NF之间的接口、安全参数、令牌格式等都必须遵循3GPP的严格标准化,以确保不同厂商设备间的互操作性。3) 与电信业务深度绑定:安全策略与用户的签约数据、移动性状态、切片需求等电信特有属性紧密相关。
Q2:NRF和DNS在功能上有什么类似之处?为什么5G不直接用DNS? A2:NRF的功能之一是服务发现,这与DNS的域名解析功能非常类似。AMF问NRF:“s-nssai-X的SMF服务在哪里?”就好像浏览器问DNS:“www.google.com的IP地址是什么?”。但NRF的功能远不止于此,它还扮演着授权服务器和NF能力仓库的角色,这是DNS不具备的。NRF不仅告诉AMF去哪里找SMF,还会给AMF一个“通行证”(Access Token),并且它存储的NF Profile中包含了该NF支持的切片、容量、版本等丰富信息,使得服务发现更加智能和策略化。因此,NRF是为SBA量身定制的、功能远超DNS的“超级注册发现与授权中心”。
Q3:SEPP保护的是应用层,那运营商之间的传输层(比如IP层)还需要保护吗? A3:需要,这是纵深防御的体现。SEPP提供的PRINS协议是在HTTP/2应用层进行加密和签名,它能提供非常精细的字段级保护,并允许中间节点合法修改。但这并不能替代传输层的保护。规范在13.1.2节中提到,SEPP之间的TLS连接(用于N32-c)和可选的TLS VPN或NDS/IP(用于保护PRINS流量)可以提供额外的传输层安全。这就像“外交信使”本身乘坐的是一辆“装甲车”。应用层安全和传输层安全相结合,即使其中一层被攻破,另一层仍能提供保护。
Q4:Roaming Intermediary(如IPX)为什么需要修改运营商之间的信令? A4:这主要是出于路由和策略控制的需要。IPX(IP eXchange)是全球漫游的枢纽,它连接着成百上千的运营商。当日本的运营商要发信令给中国的运营商时,它可能并不知道具体的路由路径,它只需要把信令发给它的IPX合作伙伴。IPX会根据复杂的路由表和商业协议,负责将信令正确地转发到中国运营商的IPX伙伴,最终送达目标SEPP。在这个过程中,IPX可能需要在信令的某些头部或属性中添加或修改路由信息,以引导信令的正确流转。SEPP的JWS机制就是为了确保这种修改是可控和可审计的。
Q5:这些复杂的核心网安全机制,对手机的耗电量和网络时延有影响吗? A5:有影响,但被控制在可接受的范围内。所有的加密、解密、签名、验签操作都需要消耗计算资源,从而增加时延和耗电。但3GPP在设计时已经充分考虑了性能问题:1) 硬件加速:现代通信芯片(包括UE的基带芯片和网络设备中的处理器)都内置了专门的密码学硬件加速引擎,可以极大地提升AES、SHA等算法的运算效率。2) 密钥协商的开销:像TLS握手、AKA认证这样开销较大的非对称密码学操作,只在连接建立之初或需要重新认证时进行。在后续大量的通信中,使用的是高效的对称加密。3) 协议优化:如TLS 1.3相比之前的版本,大大减少了握手的往返次数。SBA中的令牌机制也通过缓存来减少重复的授权请求。总的来说,5G安全是在性能和安全性之间取得了精妙平衡的结果。