1、广播与电视技术 2023年 第50卷 第2期106安全播出与监测监管 Safe Broadcasting&Monitoring and Supervision融合媒体环境下5G核心网全流量 安全检测分析系统的设计与实现【摘 要】本文首先从5G全方位赋能融合媒体体系的5G媒体应用场景出发,阐述了5G核心网信令面和用户面可能面临的多种安全风险,然后针对异常终端接入和信令风暴等风险,重点给出了5G核心网全流量安全检测与分析系统的设计要点,包括系统架构设计、5G核心网接口数据采集、5G核心网4大类协议解析、信息关联回填和系统部署,最后描述了系统的功能实现,包括终端异常或非法接入检测、信令风暴检测、异常
2、信令分析、切片安全审计与分析和用户面UPF业务综合分析。【关键词】5G,核心网安全,信令风暴,全流量安全分析【中图分类号】TP915.08 【文献标识码】A 【DOI编码】10.16171/ki.rtbe.20230002021【本文献信息】黄振川.融合媒体环境下5G核心网全流量安全检测分析系统的设计与实现J.广播与电视技术,2023,Vol.50(2).Design and Implementation of the Full-flow Security Detection and Analysis System for 5G Core Network in Converged Media
3、EnvironmentHuang Zhenchuan(China Media Group,Beijing 100020,China)Abstract Starting from the 5G media application scenarios of the 5G converged media system,this paper first describes the various security risks that the 5G core network signaling plane and user plane may face.Then,in view of the risk
4、s of abnormal terminal access and signaling storms that may be faced,the design of the 5G core network full-flow security detection and analysis system is discussed,including system architecture design,5G core network interface data collection,5G core network four major types of protocol analysis,in
5、formation association backfill and system deployment.Finally,the six major functional implementations of the system are described,including terminal abnormal or illegal access monitoring,signaling storm monitoring,abnormal signaling analysis,network slice security audit and analysis,and user plane f
6、unction UPF service comprehensive analysis.Keywords 5G,Core network security,Signaling storm,Full-flow security analysis黄振川(中央广播电视总台,北京 100020)0 引言5G 应用的爆发式增长,推动了万物互联、万物皆媒的发展,使得“即时拍摄、瞬时导播、实时投屏”逐渐成为可能。2021 年以来,中央广播电视总台深化“5G+4K/8K+AI”战略布局,充分发挥媒体融合传播优势,强化技术引领,广泛创新和应用新技术新手段。对于时效性要求较高的节目,特别是针对时政节目要求外采新闻快
7、速高质量回传,利用 5G 网络的高速度传输,实现高清视频素材边拍边回传,将现场视频信号采集与新闻生产同步进行,使得编辑人员可以实时进行新闻编辑制作,确保新闻生产的 时效性。5G 核心网网络架构服务化(SBA),所具有的云化、虚拟化、软件化和开放性的特点,使其在为融合媒体等垂直行业提供便利性的同时也更容易引入僵木蠕、拒绝服务攻击和APT 攻击等安全风险。比如针对 SDN 控制器和策略编排器的攻击,一旦掌握了它们的控制权限,那么整个 5G 就会面临被控制和攻击的风险,而且风险传播更快速、影响更广泛、后果更严重,攻易防难。因此,如何确保 5G 核心网的安全正逐渐成为融媒行业用户和运营商的一个难题。广
8、播与电视技术 2023年 第50卷 第2期107Safe Broadcasting&Monitoring and Supervision 安全播出与监测监管1 5G媒体应用场景利用 5G 实现外场高清视频边拍边传边采边编的媒体业务,可以全面提高新闻生产的时效性,完美地满足媒体服务对于无线通信技术的天然需求,“到得了,拍得着,传得回”是电视节目特别是新闻报道的重要诉求。5G 全方位赋能新型视频采集回传、视频素材云端制作以及超高清视频节目播出环节。在采集回传环节,基于 5G 模组的编码推流设备和摄像机背包设备可为 4K/8K/VR 摄像机等各种设备提供稳定的实时传输服务。在视频素材云端制作环节,5
9、G 可以助力超高清视频制作突破端侧硬件限制,在云端完成内容管理、剪辑包装、渲染制作等全部环节,降低成本投入,优化产业生态体系。在超高清视频节目播出环节,通过 5G 网络将视频数据传送到视频播放、存储及分发端,可以免除传统线缆传输对显示终端的束缚。5G 媒体制播应用的总体框架如图 1 所示。外场直播和制作设备可通过 CPE、手机等 5G 接入设备无线连接至室外宏站 RRU,信号和数据经 BBU 进入 5G 的接入网、承载网和核心网,相关云端服务可以在 5G 核心网提供,针对媒体服务 5G 网络传输还可提供切片服务能力。总台园区的内部基础网络可以通过无线空口或光纤专线的方式就近接入 5G 网络,根
10、据需要可以在 BBU 侧或核心网侧部署边缘计算节点。经过内部基础网络接入后,信号和数据可以进入台内各制播系统,如总控、IP 演播室、制作系统、5G新媒体平台、剧场等,从而形成整套基于 5G 的媒体应用 体系。2 5G核心网主要风险5G 核心网以虚拟功能网元形式部署在云化基础设施上,网络功能通过软件定义网络(SDN)和网络功能虚拟化(NFV)技术软件实现。这对网络安全和管理安全带来了诸多风险,如 NFV/SDN 技术虚拟网络共享物理资源,安全边界变得模糊,网络虚拟化、开放化使得漏洞更容易被攻击者发现,病毒更容易迅速传播,攻击更容易,安全威胁传播更快,波及更广。5G 媒体应用作为融合媒体行业与 5
11、G 移动网络深度融合的典型应用场景,安全风险融合化趋势明显,在 eMBB 场景、uRLLC 场景和 mMTC 场景下均有不同的安全需求,比如在 eMBB 场景下,侧重于个人业务隐私数据加密、行业应用信息加密等;在 uRLLC 场景下,5G 推动了“万物互联、万物皆媒”,媒体应用在收集资料和内容分发时,面对的智能终端更加多样化,需要解决海量终端接入和异常接入,发现并降低信令风暴可能引起的网络拥塞和崩溃的问题;在 mMTC 场景下,核心网元(比如 UPF)按需下沉到边缘侧,使得网络暴露面和被攻击面扩大,并且难以复用大网的安全措施,因此往往会成为攻击大网的跳板或 入口。3GPP 定义了 5G 安全架
12、构,它是分层分域的,整体来看,5G 整体安全框架涉及接入域安全、网络域安全、用户域安全、应用域安全、服务域安全、安全可视化管理安全六个 部分。本文重点聚焦在 5G 核心网全流量安全检测与分析内容上,重点解决信令风暴、信令攻击、用户面业务安全问题检测和分析的问题。3 5G核心网全流量安全分析系统设计3.1 5G核心网全流量安全分析系统架构5G 全流量安全分析系统包括全流量分析取证系统和威胁分析一体机两个子系统组成。5G 全流量分析取证系统(含探针)实现 5G 核心网流量数据采集、协议解析送到全流量分析系统,结合沙箱、威胁情报、场景化分析、攻击链分析等机图1 5G媒体制播应用总体框架外场5G网络传
13、输园区及应用便携式直播移动外场制作VR直播手机室外宏站CPE切片管理切片1切片2MEC节点BBU5G核心网云服务MEC节点BBU室内分布天线系统园区室外室外宏站剧场总控IP演播室制作系统5G接入网5G接入网承载网承载网5G新媒体平台广播与电视技术 2023年 第50卷 第2期108安全播出与监测监管 Safe Broadcasting&Monitoring and Supervision制实现全流量安全检测分析。系统也可以与态势感知和蜜罐等系统联动,结合自动化检测分析与响应机制,进而实现智能的安全威胁分析。核心网全流量安全分析系统架构具体如图 2 所示。3.2 5G核心网信令接口数据采集与协议
14、解析5G 核心网信令接口采集支持 5G标准规范 Release 16 规定的 5G 核心网信令接口,包括:N1、N2、N3、N4、N5、N6、N8、N9、N11、N12、N14、N22、N33 等接口。同时支持对流量中出现的文件传输行为进行发现和还原。核心网全流量安全分析系统部署架构如图 3 所示。此外,还支持 NGAP、PFCP、GTPv2、HTTP2、NAS 等5G 协议解析,并支持对 5G 已加密的 NAS 层信令进行解密。支持情况具体如表 1 所示。表 1 中实现 12 个接口协议的全流量解析,其中包括了N1、N2 接口使用的 NG-AP NAS 协议。3GPP TS33.501 规定
15、,可以激活 NAS 的 128 加密机制,来实现对 NAS 信令消息的机密性和完整性保护,也就是说,接口消息是加密的。我们为了解析这个接口消息,就需要拿到鉴权 Key。那么,如何获得鉴权 Key?通过解析 N12 和 N8 接口的 HTTP2 协议中所携带的 JSON 就可以拿到 Kseaf,也就是鉴权 Key,这样就可以达到解密 NAS 的目的。图2 5G核心网全流量安全分析系统架构图3 5G核心网全流量安全分析系统部署架构全流量分析取证系统10倍速数据包回溯检测包分析引擎全量元数据提取全流数据模块联动第三方系统行为分析模块全包存储文件还原5G协议解析模块5G网络流量-信令/数据数据外发Ka
16、a取证参数数据回传威胁分析一体机5G协议分析攻击检测威胁情报动态沙箱场景分析溯源分析态势感知蜜罐威胁情报态势感知SOAR攻击事件攻击行为攻击路径本地取证自动化自动化自动化自动化自动化自动化证据回传证据链确认事件日志外发Kaa边缘MEPNSSFAUSFUDMNEFNSSFAUSFUDMNEFAMFSMFPCFUE(R)ANUPFAFN1N2N14N3N9N6N4N15N5N7N11N22N12N8N10N29N30N33N13广播与电视技术 2023年 第50卷 第2期109Safe Broadcasting&Monitoring and Supervision 安全播出与监测监管3.3 5G核心网用户面和数据面信息关联回填关联和关联信息回填是进行信令检测的关键技术。关联指的是手机号码、设备编码和用户 ID 等这些网络用户设备信息的自动关联。目的是进行实时的信息关联回填。信息关联回填的数据会填入 CDR(呼叫详细记录)中,我们将 5G 多个接口的 CDR 日志进行组装,目的是实现用户设备的业务跟踪和统计。当然了,如果有异常终端、不当言论等行为发生的话,也可以精准定位此类恶意用户和终端的位
