5G核心网的相关安全技术 .pdfVIP

5G核心网的相关安全技术介绍

5G移动网络的开放性，首先体现在接入的多样性上。前几代的

移动网络仅支持宏蜂窝基站以及家庭基站方式的接入，这些接入方式

都是基于3GPP无线制式的。前几代移动网络对于其他接入方式（如

Wi-Fi、Cable、有线等）的支持都是十分有限的，基本上采用独立的

与接入相关的非3GPP网络来服务使用相应接入方式的用户，再通过

网络间的有限交互实现低层次的互通。

5G移动网络针对多制式的接入方式，采用了统一的认证框架（见

下图）：

▲5G统一认证框架示意

无论终端用户采用何种制式，5G移动网络都可以使用这个统一

的认证框架与终端用户实现相互认证，真正做到了认证的接入无关。

5G移动网络的统一认证框架中，SEAF为安全锚点，与4G移动

网络中的MME的认证功能相似，而新增的AUSF主要用于支持基于

可扩展认证协议（EAP）框架的认证。EAP认证框架是目前所知最能

满足5G统一认证需求的方案，它是一个能封装各种认证协议的统一

框架，框架本身并不提供安全功能，认证期望取得的安全目标，由所

封装的认证协议来实现，它支持多种认证协议，如预共享密钥

（EAP-PSK），传输层安全（EAP-TLS），鉴权和密钥协商（EAP-AKA’）

等。5G移动网络支持不同制式的接入方式，而不同的接入网使用不

同的协议，这意味着5G移动网络需要一个能适配各种认证协议的统

一框架，EAP正好能满足这样的应用场景和技术实现的要求。统一认

证框架扩展了5G移动网络的认证能力，考虑到5G还将允许垂直行

业的设备和网络使用其特有的技术接入，统一认证框架将为满足这一

需求提供极大的便利。统一认证框架还能使5G移动网络实现统一的

密钥层次体系，进而可实现用户在不同接入网间的无缝切换。

由于支持多接入不仅仅是网络的需求，也是终端的需求，这势必

会导致终端与5G核心网间的信令存在多个连接的情况。为了应对这

一新增场景，5G核心网需要隔离同一个用户的不同信令连接，以防

止其中一个连接上的信息泄露威胁到其他连接上的数据。5G核心网

目前采用了简单的多连接共享核心网密钥及算法的方案，为了实现不

同连接的安全隔离，不同连接采用不同的密钥流生成参数以及消息校

验码生成参数，这样做简化了同步技术，有利于实现移动场景下的无

缝多路传输。

5G移动网络的开放性也体现在向第三方开放的网络能力上。5G

核心网的各网络功能采用基于业务的架构（SBA——

ServiceBasedArchitecture），可实现类似于受控的fullmesh方式的交互，

这区别于前几代的点到点静态网状互联方式，使网络的一些功能可以

通过RESTful接口开放给第三方业务或垂直行业。这其中也包括了5G

移动网络的安全功能，主要体现在以下几方面：基于网络接入认证向

第三方提供业务层的访问认证，即如果业务层与网络层互信，用户在

通过网络接入认证后可以直接访问第三方业务，这简化了用户访问业

务的认证流程并提高了业务访问效率；基于终端智能卡（如UICC、

嵌入式UICC）的安全能力，拓展业务层的认证维度，增强业务认证

的安全性。通过网络安全能力开放，可以让第三方应用便捷地使用移

动网络的安全能力，从而让第三方业务提供商能有更多的时间和精力

专注于具体应用业务逻辑的开发，进而快速、灵活地部署各种新业务，

以满足用户不断变化的需求；同时，运营商也通过提供更开放的5G

网络能力，拓展全新的业务渠道。网络能力的开放对调用者认证和访

问授权提出了更高的要求，因此专门设计了5G移动网络通用API框

架（CAPIF——CommonAPIFramework）来保障能力开放的安全，具体

如下图所示。

▲通用API框架功能安全模型示意

G移动网络能力开放的一种终极手段就是网络切片，即通过虚拟

化一个完整的5G移动核心网来定制化地满足特定业务或特定业务提

供方的移动通信需求。5G移动网络通过引入网络功能虚拟化（NFV）

技术和软件定义网络（SDN）架构，实现了切片化。目前5G移动网

络的切片架构分为公共域和切片相关域，如下图所示：

▲切片安全机制