是德科技可覆盖整个5G网络安全测试，针对具体的网元，可提供一系列的产品及解决方案

5G网络是移动通信历史上的一次革命，它从传统的“人到人”扩展到“人到物”和“物到物”，其与各行各业形成深度融合，这使得5G网络的安全性更加复杂，重要性也变得尤为重要。

5G网络除了原有网络的安全问题之外，由于5G系统引入了网络虚拟化技术、服务化架构、边缘计算等，这些都增加了系统开发性，使系统面临更多的安全风险和挑战。

从安全的角度来看，越开放、越复杂、越重要的系统面临的安全挑战就越大。是德科技作为业内最重要的测试厂家全方位、多角度地提供了一整套的5G安全测试方案。本篇文章将会为大家详细介绍是德科技5G安全测试方案。

5G网络拓扑

通信网络安全框架和5G系统安全架构

ITU-T X.805为电信网络提供全面的安全框架，它包含四个部分：三个平面、三个安全层、八个安全维度、五类常见的威胁与攻击。

三个平面：网络管理平面、网络控制平面和用户平面。

三个安全层：基础安全、业务安全和应用安全。

八个安全维度：接入控制、认证、不可否认性、数据机密性、通信安全性、数据完整性、可用性和隐私保护。

五类威胁：毁坏、伪造、篡改、侦听、中断。当然安全威胁是不断变化发展的，需要持续关注业界安全事件和持续地开展安全威胁分析。

3GPP定义了5G系统的安全架构，并对安全能力进行了归类，纳入到不同的逻辑网络功能域中。3GPP从用户、接入网、核心网（服务网络、归属网络）、应用、管理的角度提出了安全能力的归纳，称为安全域（Security Domain）。3GPP TS 33.501定义的5G安全框架如下所示：

5G安全架构包括如下域安全：

1、接入域安全（I）：使终端能够安全地通过网络进行认证及接入（包括3GPP和非3GPP接入）服务，特别是防止无线接口的攻击。针对接入安全，也包括从服务网络到接入网络的安全上下文传输。

2、网络域安全（II）：使得网络节点/功能能够安全地交换信令数据和用户面数据

3、用户域安全（III）：对用户接入移动设备进行安全保护

4、应用域安全（IV）：使用户域和应用域中的应用能够安全地交换信息

5、基于SBA的服务域安全（V）：使得SBA的网络功能能够在服务网络内以及和其他网络进行安全通信。具体功能包括网络功能注册、发现和授权安全，以及对基于服务的接口的保护。

6、安全的可视化和可配置性（VI）：使用户能够获知安全功能是否正常运行。

下面我们基于这些方面分别来探讨一下网络安全和测试情况。

接入域安全：

5G网络继承了被大规模验证有效的4G安全特性，并对很多安全特性进行了增强，特别是针对垂直行业需求提供了更强大的扩展安全能力。

5G沿用了4G的双向鉴权，并继续采用AES、SNOW 3G和ZUC算法，同时考虑将算法密钥长度从128位扩展到256位。

5G网络认证一方面继承了AKA框架并在机制和能力上进行了增强，另一方面引入了EAP认证框架作为5G网络的基本认证方法。新增的EAP认证框架和二次鉴权都是5G为支持垂直行业的应用作出的积极变化。考虑到攻击者使用IMSI Catcher等工具获取用户标示，并进一步构造攻击或追踪用户，5G网络利用SIM卡上存储的归属运营商的公钥对用户的IMSI进行加密，不在空口上明文传送，从而更有效地保护了用户的隐私。

用户面新增完整性保护、防止恶意中继篡改，有效地弥补了LTE缺失该功能可能带来的安全风险。

网络域安全：

要保证网络节点之间能够安全地交互信令面和用户面数据，保证从接入网到核心网，服务网络到归属网络整个路径的安全可靠，那么防火墙的设置和采用IPSec等就是必不可少的手段了。

5G系统为了保护运营商之间的信令安全，引入SEPP，所有跨运营商的信令传输都需要通过SEPP进行处理和转发，为了保证信令的安全，SEPP之间采用双向认证的TLS连接进行保护，TLS连接可以提供完整性、机密性和抗重放保护。

用户域安全：

由于5G引入了SUCI，一定程度上降低了用户接入伪基站的风险。

但由于目前的5G终端多为Android，iOS，Linux等具有手机操作系统的智能终端，基本上和电脑没有太大区别，这使得设备面临很大的安全问题。比如通过内存损坏漏洞，攻击者可以访问手机中与隐私相关的各种硬件，完全透明底监视用户。一旦攻击者控制了基带，就可以拨打电话、发短信或进行大量数据传输等。

所以一款安全、可靠的手机安全软件是这些终端的不二选择。

SBA的服务域安全：

在5G的服务化架构中，每个网络功能都可以在网络中注册自己的服务并订阅其他服务。这样一来，一方面虽然各NF可以提供统一的接口便于调用，但是也意味着传统的固定接口模式被打开，每个NF均可以被其它NF所访问；另一方面，服务化带来NF部署和更新便利化的同时，也为攻击者伪造成合法NF构造攻击提供了更加便利的条件。

另外，服务化NF之间的交互以HTTP/2承载，而HTTP/2协议的灵活性，对运营商间的互联互通和互操作安全都产生了影响。

通过TLS加密来保护HTTP/2消息，另外为了解决NF之间灵活的访问所带来的安全问题，需要引入NF请求业务时的授权机制，确保被授权的NF才能访问特定的业务和资源。

传输安全：

为了网络层安全传输采用了IPSec，IPSec通过加密和Hash运算等方式保证了数据机密性和完整性。3GPP TS33.501定义了接口F1-C，F1-U，N2、N3需要支持IPSec，对CU与DU之间，CU与5GC之间的控制面和用户面数据进行加密传输。对于eCPRI采用MACSec进行加密。

User Plane（用户面）数据：在这里就是PHY_High与PHY_Low之间的IQ手机用户数据，是通过eCPRI协议进行封装的。

Sync（同步面）：这里是PHY_High与PHY_Low之间的同步，是RRU与DU之间时钟同步，该服务主要是标准的IEEE1588协议提供，当然也可能采用最新的TSN协议。

控制与管理协议：控制协议是PHY_High与PHY_Low的信令消息。管理协议主要只对RRU的OAM（操作、维护、管理）数据，它通过标准的HTTPs或SSH协议承载。而控制协议，主要用于PHY_High与PHY_Low之间的信令控制，可以通过eCPRI协议承载（MACSec进行保护），也可以通过标准UDP或TCP承载（IPSec进行保护），通常情况下，会通过eCPRI协议来承载。

应用域安全：

为了保证端到端整个路径的安全需要每个环节付出巨大努力才能实现。由于电信网络的独立性，攻击者攻击5G网络可能比较困难，但大量的5G终端可能会成为主要的攻击源。

按照现在“谁投资，谁运维，谁维护”的原则，各个网络运营商除了做好攻击的“防入”，更要做好“防出”。

由于大部分5G终端都是智能终端，一不小心就可能沦为黑客的“肉机”，成为互联网的攻击源，那么为了避免数据泄露，病毒、漏洞攻击等，对数据进行加密，保管好隐私信息，同样采用Firewall和WAF都是非常直接有效的措施。

5G云基础设施安全：

近年来以云计算为代表的IT技术取得了长足发展。SDN和NFV是云计算理念在电信网中的运行和实践，两者共同促进了电信基础设施云的形成。NFV实现了计算资源的按需部署和弹性扩缩容，实现了网元、NF的虚拟化。SDN实现了网络拓扑和路由的有效管理，支持按需分配网络路由和调度流量，实现网络连接的虚拟化。

电信云除了面对传统IT系统、电信网络安全风险外，还需要应对云化、虚拟化带来的新挑战。

虚拟化技术使电信系统的物理安全边界模糊，传统的网络边界防御手段无法适应。

SDN控制器、NFV编排器等集中控制点成为攻击目标，一旦被操纵就会造成灾难性的安全事故。

分层解耦、多厂商集成增加了系统复杂度，对问题定位和溯源困难，跨层的安全策略难以协同和执行，可能导致对攻击的处置响应变慢。

开源软件大量引入，其公开性强，脆弱性以及安全漏洞难以避免，需要有效的安全评估和修复手段。

新的网络架构对安全运维人员的知识、经验、技能都提出了新的挑战。

通过虚拟化安全隔离和MANO（管理和编排）安全加固来确保NFV的安全的重要手段，而对于SDN检测和解决策略冲突时保证软件定义安全、正确执行的重要条件。（D）DOS攻击时针对SDN控制器的最常用的攻击手段，所以SDN需要不遗余力地做好相应防范。

MEC和网络切片安全：

AR/VR、车联网等超高带宽、超高实时性要求的应用对网络提出新的要求，促成了移动边缘计算架构在5G系统中的出现。

由于移动边缘计算平台和移动边缘计算应用部署在最靠近用户的通用服务器上，处于相对不安全的物理环境中，管理控制能力减弱，导致移动边缘计算平台和应用容易遭到非授权访问、敏感数据泄漏、D（DoS）攻击，物理设备遭受物理攻击等安全问题。

边缘计算安全除了考虑基础设施安全外，还应考虑MEC平台安全、MEC APP安全、边缘UPF安全、MEC编排和管理的安全以及组网安全，做好相应的防范。

网络切片是一种按需组网的方式，可以让运营商在统一的基础设施上划分出多个虚拟的端到端网络。对于各个网络切片要保证能够提供相应业务的服务质量，保证切片间的安全隔离，互相不产生干扰。

网络可视化和可配置性：

一张庞大的5G网络除了提供相应的业务，也需要去管理维护。

5G 运行维护方面具有运维粒度细和运营角色多的特点，细粒度的运维要求和运维角色的多样化意味着运维配置错误的风险提升，错误的安全配置可能导致 5G 网络遭受不必要的安全攻击。

最坚固的堡垒往往是从内部攻破的，外部利用管理维护的电脑的漏洞、病毒或者别有用心的人利用管理上的漏洞都可能造成重要数据的泄漏或者导致5G网元设备的瘫痪，严格监控管理系统，定时扫描漏洞可以有效地避免这些潜在的风险。

5G 运营维护要求高，对从业人员操作规范性、业务素养等带来挑战，也会影响 5G 网络的安全性。

IoT设备的安全：

5G不光是“人和人”的网络，更是“物和物“的网络，相对于手机终端可能大量的IoT设备价格更低廉，安全措施更简陋。

IoT设备带来的风险主要是两方面的，一方面由于自己没有有效的安全手段导致被黑客利用漏洞造成重要信息的泄漏，另一方面成为攻击其它网络设备的帮凶。根据以上两点做好两个方面的防范，严格地测试IoT设备比如扫描漏洞，进行DoS攻击的防范测试。而由于IoT设备是海量的，所以网络侧也要积极部署FW/WAF等设备积极应对，避免造成重大冲击。

安全能力服务化：

由于5G网络会更加广泛地服务于各种垂直行业，不同的垂直行业又需要不同强度的认证、隔离、数据安全防护等能力，因此5G网络对安全能力也提出了更精细化、差异化的要求。

作为与时俱进的是德科技也积极为广大用户提供各种安全测试服务，让5G网络变成更加安全、可靠、高效。

是德科技的产品可以覆盖整个5G网络的安全测试，针对具体的网元，测试项目有一系列的产品和解决方案。具体如下图所示：

是德科技作为5G和安全测试领域领先的全球公司为广大客户积极提供各种测试设备、测试方案，不断前行、努力进取让5G网络变得更强大、更安全！