51学通信

深度解析 3GPP TS 33.518:5G网络大脑的“安全准则”——NRF 安全保障规范 (SCAS) 全景概览

27分钟阅读

深度解析 3GPP TS 33.518:5G网络大脑的“安全准则”——NRF 安全保障规范 (SCAS) 全景概览

本文技术原理深度参考了3GPP TS 33.518 V18.0.0 (2023-06) Release 18规范,旨在为读者提供一个关于5G核心网“注册中心与发现者”——网络存储库功能(NRF)安全保障规范(SCAS)的全景视图。

引言:一位5G安全架构师的挑战

故事的主角,我们称她为李慧(Li Hui),是一家领先电信运营商“华讯通信”的资深5G安全架构师。近期,华讯通信正在紧锣密鼓地进行全国范围内的5G SA(独立组网)核心网升级部署,而李慧肩负着整个核心网的安全设计与验收的重任。

在她的办公桌上,放着一份打印出来的5G核心网架构图。她的目光久久停留在一个名为“NRF”的网元上。她深知,这个看似不起眼的“网络存储库功能”(Network Repository Function),实际上是整个服务化架构(SBA)的“大脑”和“中枢神经系统”。如果NRF的安全性出现任何纰漏,后果将是灾难性的。

李慧的任务清单上,第一项就是:为即将入网的NRF产品制定一套全面、严苛且标准化的安全验收规范。 她不是要自己凭空创造标准,而是要寻找业界公认的权威依据。很快,她的目光锁定在了这份规范上——3GPP TS 33.518:5G Security Assurance Specification (SCAS) for the Network Repository Function (NRF) network product class

这不仅仅是一份技术文档,更是李慧手中用以捍卫网络安全的“利剑”。今天,我们将跟随李慧的视角,一同深入解读这份至关重要的规范,理解它为何存在,它规定了什么,以及它如何保障5G网络的安全脉搏。

1. NRF:5G服务化架构的心脏

要理解TS 33.518的重要性,我们必须首先明白NRF在5G网络中的核心地位。

1.1 什么是NRF?

在传统的4G EPC网络中,网元之间的接口是点对点的,紧密耦合。而5G核心网采用了服务化架构(Service-Based Architecture, SBA),这是一种革命性的变革。在SBA中,各个网络功能(NF)都以“服务”的形式存在,它们可以相互注册、发现并调用对方的服务。

这种灵活架构的实现,完全依赖于NRF。

您可以将NRF想象成一个功能极其强大的“超级注册中心”和“智能电话黄页”:

  • 服务注册(NF Register): 当任何一个NF(如AMF、SMF、UPF等)启动时,它会做的第一件事就是向NRF“报到”,告诉NRF“我是谁(NF类型)”、“我在哪里(IP地址/FQDN)”、“我能提供什么服务(服务列表)”以及“我的健康状况(负载、容量)”等信息。
  • 服务发现(NF Discover): 当一个NF(我们称之为“消费者NF”)需要使用另一个NF(“生产者NF”)的服务时,它不会直接去连接那个生产者。相反,它会向NRF发起一个查询请求,比如:“你好NRF,我需要一个能够处理用户移动性管理的AMF服务,请帮我找一个当前最合适的。” NRF会根据自己掌握的全网NF信息,返回一个或多个满足条件的AMF实例列表给消费者NF。
  • 服务授权(Authorization): NRF还扮演着“门卫”的角色。当一个NF试图发现或订阅另一个NF的服务时,NRF会根据策略进行授权检查,确保这次通信是合法的、被允许的。例如,它要确保一个来自物联网切片的NF,不能随意发现和访问为eMBB(增强移动宽带)切片服务的NF。

1.2 NRF的安全风险:为何它需要专门的“金钟罩”?

正是由于NRF扮演了如此核心的角色,它也成为了网络中潜在风险最集中的地方。李慧的担忧不无道理,她在一张白板上列出了NRF若被攻破可能导致的几种严重后果:

  • 全网瘫痪: 如果攻击者让NRF宕机(例如通过DDoS攻击),那么全网的NF都将无法发现彼此,新的会话无法建立,整个5G网络将陷入瘫痪。
  • 流量劫持与中间人攻击: 攻击者若能篡改NRF中的数据,比如将某个SMF的地址指向一个恶意节点,那么所有发往该SMF的请求都将被劫持。攻击者可以窃听敏感信息,甚至篡改用户的业务流。
  • 越权访问: 如果NRF的授权机制被绕过,一个低权限的NF(甚至是一个伪装的NF)可能会发现并访问到高权限的、关键的NF(如UDM,存储用户数据),导致大规模的用户数据泄露。
  • 网络切片隔离性破坏: 攻击者可以利用NRF的漏洞,让一个切片的NF发现并干扰另一个切片的服务,彻底破坏了网络切片引以为傲的安全隔离性。

正因如此,3GPP认为,不能仅仅依靠通用的网络安全要求来保护NRF。它需要一套专门的、量身定制的安全保障规范(SCAS),这就是TS 33.518诞生的使命。

2. SCAS的内涵:为网络设备建立安全“度量衡”

在深入TS 33.518的具体内容之前,我们先要理解SCAS(Security Assurance Specification)到底是什么。

SCAS是3GPP为保障5G端到端安全而引入的一套关键机制。它与另一个概念——NESAS(Network Equipment Security Assurance Scheme)紧密相关,后者是GSMA和3GPP联合推出的一个全行业网络设备安全评估框架。

简单来说,SCAS可以被看作是针对某一类网络产品(如NRF、AMF、UPF等)的“标准化安全考卷”。这份考卷定义了该产品必须满足的安全要求,以及如何通过具体的测试用例来验证这些要求是否被满足。

一份SCAS规范的核心目的,正如TS 33.518在其“范围”(Scope)章节中所述:

The present document contains objectives, requirements and test cases that are specific to the NRF network product class. It refers to the Catalogue of General Security Assurance Requirements and formulates specific adaptions of the requirements and test cases given there, as well as specifying requirements and test cases unique to the NRF network product class.

解读: 这段话点明了TS 33.518的精髓。李慧将其解读为三个层次:

  1. 专属性(Specific): 本规范的所有内容——目标、要求、测试用例——都是为NRF这一类网络产品量身定制的。
  2. 继承与改编(Refers and Adaptions): 它不是孤立的,它会引用一个通用的安全需求目录——TS 33.117 “Catalogue of general security assurance requirements”。对于那些通用要求,本规范会明确指出是否需要为NRF做特殊的“改编”或“增强”。
  3. 独特性(Unique): 除了通用要求外,本规范还会定义那些NRF独有的安全需求和测试用例。这些通常源于NRF在5G架构中独特的角色和功能。

对于李慧而言,这意味着她的验收工作将变得有条不紊:她可以拿着TS 33.518这份“考纲”,逐条核对设备供应商提供的NRF产品是否“及格”,甚至是否“优秀”。

3. TS 33.518规范核心内容全景透视

现在,让我们跟随李慧的思路,翻开TS 33.518的正文,看看这份“NRF安全考纲”都包含了哪些核心考点。规范的主体内容集中在第4章:“NRF-specific security requirements and related test cases”。

3.1 考点一:源自3GPP核心规范的功能性安全要求 (Clause 4.2.2)

这是SCAS的第一个,也是最核心的部分。它要求NRF必须严格遵守3GPP核心安全架构和流程规范(主要是TS 33.501 “Security architecture and procedures for 5G system”)中与NRF相关的每一条安全规定。

Security functional requirements derived from TS 33.501 and detailed in clause 4.2.2. … It is assumed for the purpose of the present SCAS that a NRF conforms to all mandatory security-related provisions pertaining to a NRF in:

  • 3GPP TS 33.501: “Security architecture procedures for 5G system”;
  • other 3GPP specifications that make reference to TS 33.501 or are referred to from TS 33.501.

解读: 李慧明白,这一部分是在强调NRF作为5G大家庭的一员,必须首先遵守“家法”。这些“家法”规定了NRF在执行其核心功能(如服务发现)时,必须内置哪些安全机制。

规范中给出了一个非常具体且关键的例子:NF discovery authorization for specific slice(针对特定切片的NF发现授权)

  • 场景模拟: 华讯通信为一家车联网公司部署了一个uRLLC(超可靠低时延通信)切片A,同时为公众用户提供了一个eMBB切片B。车联网公司的自动驾驶汽车相关NF(例如,V2X-CF)只能在切片A内活动。
  • 安全要求: 当切片A内的V2X-CF向NRF请求发现服务时,NRF返回的NF实例列表必须被严格限制在同样属于切片A的NF中。它绝对不能发现到属于切片B的NF。这是保障切片安全隔离的基石。
  • 测试用例(Test Case): TS 33.518为此定义了明确的测试步骤。李慧的团队会模拟一个NF1(属于切片A和B)和一个NF2(只属于切片A)。当NF2向NRF发起一个不带切片信息的通用发现请求时,NRF的返回结果中必须包含NF1。但如果NF2发起一个指定只发现切片B的请求,NRF必须返回一个“403 Forbidden”的错误,明确拒绝这次越界发现。

通过这种方式,规范将抽象的安全原则,转化为了可执行、可验证的具体测试项。

3.2 考点二:通用安全基线——技术底座的加固 (Clause 4.2.3 & 4.3)

即使NRF完美地实现了3GPP定义的所有功能性安全流程,但如果它运行在一个漏洞百出的操作系统之上,或者其存储的数据未加密,那么安全同样是空中楼阁。因此,规范的第二大考点,就是对NRF产品的通用IT安全能力进行约束,我们称之为“安全基线”或“强化要求”(Hardening)。

这部分内容大量引用了通用安全目录TS 33.117。虽然在TS 33.518的许多子章节中都写着“There are no NRF-specific additions to clause X.X.X of TS 33.117”,但这绝不意味着这部分不重要。恰恰相反,它表示NRF必须完全遵守TS 33.117中定义的通用要求。

李慧将这些要求归纳为几个方面:

  • 数据与信息保护 (Clause 4.2.3.2):

    • 防未授权查看: 敏感数据(如NF的身份信息、位置、IP地址等)在任何时候都不能被非授权人员或进程访问。
    • 存储保护: 所有存储在硬盘上的敏感数据都必须被加密。李慧会检查供应商是否明确了加密算法、密钥管理方案。
    • 传输保护: NRF与其它NF之间的所有通信(即Nnrf接口)必须使用TLS进行加密和完整性保护,强制使用安全的协议版本和加密套件。
    • 个人数据访问日志: 尽管NRF主要处理网络功能数据,但一旦涉及与用户相关的标识,对其的访问必须留下不可篡改的日志。

  • 可用性与完整性保护 (Clause 4.2.3.3): NRF必须具备抵御DDoS等拒绝服务攻击的能力,确保其服务的连续性。同时,其内部存储的数据必须有防篡改机制。

  • 身份认证与授权 (Clause 4.2.3.4): 所有对NRF进行管理操作的用户(运维人员)都必须经过严格的身份认证,并基于最小权限原则进行授权。

  • 操作系统、Web服务器及网络设备加固 (Clause 4.3): 这是对NRF产品所依赖的底层基础设施提出的要求。李慧的团队会检查:

    • 操作系统是否移除了所有不必要的服务和端口?
    • 是否设置了强密码策略和登录失败锁定机制?
    • 管理接口是否与业务接口物理或逻辑隔离?
    • 是否及时安装了最新的安全补丁?

这一系列的要求,旨在为NRF构建一个坚固的“城堡地基”,使其免受来自网络协议之外的传统IT攻击。

3.3 考点三:主动的漏洞挖掘——基础脆弱性测试 (Clause 4.4)

前两部分是要求NRF“应该做什么”来构建防御。而第三大考点,则是要求对NRF产品进行主动的“攻击性测试”,以发现潜在的未知漏洞。这就像是要求NRF产品在出厂前,必须先经过自己内部的“红蓝军对抗演练”。

NRF-specific adaptations of basic vulnerability testing requirements and related test cases

这部分要求对NRF产品进行三种基础的脆弱性测试:

  • 端口扫描 (Port Scanning):

    • 要求: 使用Nmap等工具扫描NRF产品的所有网络接口,确保只开放了那些在产品文档中明确声明的、业务所必需的端口。任何非预期的开放端口都被视为一个安全风险。
    • 李慧的实践: 她会要求供应商提供一份详细的“端口使用清单”,然后在测试环境中,对NRF设备进行全面扫描,将扫描结果与清单进行比对。

  • 漏洞扫描 (Vulnerability Scanning):

    • 要求: 使用Nessus、OpenVAS等商业或开源漏洞扫描工具,对NRF的操作系统、Web服务器及上层应用进行扫描,以发现已知的CVE(Common Vulnerabilities and Exposures)漏洞。
    • 李慧的实践: 扫描出的任何中高危漏洞,都必须由供应商提供修复计划和补丁。对于无法立即修复的,则需要提供风险规避措施。

  • 健壮性与模糊测试 (Robustness and fuzz testing):

    • 要求: 这是更深层次的测试。它要求针对NRF对外暴露的接口(主要是基于HTTP/2的Nnrf接口)发送大量的、非预期的、畸形的输入数据(Fuzzing),观察NRF是否会因此崩溃、内存泄漏或出现其它异常行为。
    • 李慧的实践: 这通常需要专业的测试工具。她的团队会模拟一个NF客户端,向NRF的API(例如/nnrf-nfm/v1/nf-instances)发送各种异常的JSON数据包——比如超长字段、错误数据类型、非标准字符等,并监控NRF服务器的稳定性和资源消耗。

这三重测试,构成了一个主动的安全防御网,旨在将大量潜在的、易于被利用的漏洞在产品上线前就予以消除。

4. 从规范到现实:TS 33.518的落地之路

对于李慧和华讯通信来说,TS 33.518不仅仅是一份技术文档,它已经深度融入了设备采购、网络部署和日常运维的全生命周期。

  1. 采购阶段的“准入标准”: 在向各大设备商发出的NRF产品招标书(RFP)中,“通过基于3GPP TS 33.518的第三方安全测试”被列为一项强制性的技术要求。
  2. 入网测试的“标准答案”: 在设备到货后,李慧领导的安全测试团队会依据TS 33.518中定义的测试用例,在实验室环境中对产品进行严格的复测和验证。
  3. 运维阶段的“指导手册”: 规范中关于日志、监控、加固和漏洞扫描的要求,直接转化为了华讯通信运维团队的日常安全操作规程(SOP)。

通过将TS 33.518作为统一的“标尺”,运营商、设备商和测试机构之间就NRF的安全性问题有了共同的语言和评判标准,极大地提升了整个5G生态系统的安全水位。

5. 总结

5G网络以前所未有的深度和广度融入社会,其安全性早已超越了单纯的技术范畴。作为5G服务化架构的“中枢大脑”,NRF的稳定与安全是整个网络正常运行的基石。

3GPP TS 33.518规范,正是为了守护这一“大脑”而生的“安全法典”。它通过三个层次的保障,为NRF构筑了坚实的防线:

  • 功能安全层: 确保NRF在执行其核心任务时,严格遵守5G的安全协议和流程,如切片间的发现授权。
  • 平台加固层: 确保承载NRF的软硬件平台本身是安全的,遵循了业界最佳的IT安全实践。
  • 主动防御层: 通过系统化的脆弱性测试,主动发现并修复潜在的未知漏洞。

对于像李慧这样的通信工程师,TS 33.518是他们手中最锐利的武器;对于整个通信行业而言,它是构建一个安全、可信、稳健的5G世界的关键拼图。这本薄薄的规范,承载着守护亿万连接的重任。

在接下来的系列文章中,我们将逐章逐节,对TS 33.518中的每一个具体要求和测试用例进行更为细致的拆解和深度剖析。

FAQ

Q1:什么是SCAS?它和我们常说的网络安全等级保护有什么区别? A1:SCAS(Security Assurance Specification)是3GPP为5G网络设备定义的标准化安全保障规范。您可以把它理解为针对特定类型网元(如NRF、AMF)的“专项体检标准”。它更侧重于产品本身应具备的安全功能、配置和抗攻击能力。而网络安全等级保护是我国的法律法规要求,它关注的是整个信息系统(可能包含多个网元、应用、服务器等)在特定应用场景下的整体安全防护水平,涵盖了物理、网络、主机、应用、数据等多个层面,以及安全管理制度。SCAS是实现等级保护要求在设备层面的一个重要技术支撑。

Q2:为什么NRF需要一个独立的SCAS规范,而不是直接使用通用的安全要求? A2:因为NRF在5G核心网中的角色极其特殊和关键。作为服务注册和发现中心,它的安全漏洞会产生全局性的、灾难性的影响(如全网瘫痪、切片隔离失效)。因此,除了通用的安全要求(如OS加固),它还有许多独有的安全需求,比如“NF发现授权”逻辑必须绝对正确。这些独特的需求无法被通用规范所覆盖,必须通过一个独立的SCAS规范(TS 33.518)来加以明确和细化。

Q3:TS 33.518和TS 33.117是什么关系? A3:TS 33.117是“通用安全保障要求目录”,它像一本安全要求的“字典”,定义了各种通用的安全需求,如数据加密、日志记录、端口扫描等。而TS 33.518是针对NRF的“专用规范”,它会大量“引用”TS 33.117中的条款,并明确指出这些通用条款是否需要针对NRF的特性进行“改编”或“增强”。同时,TS 33.518还会补充一些TS 33.117中没有的、NRF独有的安全要求。

Q4:作为一名通信专业的学生,学习TS 33.518这样的规范对我有什么帮助? A4:学习TS 33.518能为您提供一个绝佳的视角,去理解理论安全知识是如何在真实的、复杂的通信系统中落地的。您不仅能学到NRF在5G中的作用,更能理解保护这样一个核心网元需要从“协议安全”、“平台安全”和“漏洞测试”等多个维度进行系统性设计。这能帮助您建立起产品级的安全思维,理解安全标准如何制定和执行,为您未来从事5G相关研发、测试或运维工作打下坚实的基础。

Q5:如果一个NRF产品完全符合TS 33.518的所有要求,是否意味着它就是100%安全的? A5:不。安全是一个持续对抗、不断演进的过程,没有绝对的100%安全。符合TS 33.518意味着该NRF产品达到了当前业界公认的、一个非常高的安全基线水平,能够抵御已知的、常见的攻击手段。但这并不排除未来出现新的攻击技术(零日漏洞),或者在网络配置、运维管理等人为环节出现疏漏。因此,符合SCAS是构建安全网络的必要条件,但非充分条件。持续的监控、及时的补丁更新和完善的安全运维管理同样至关重要。

关系图谱