一、核心网概述:什么是电信核心网

说实话,很多刚入行的朋友问我:「核心网到底是个啥?」

我一般会打个比方——你把手机想象成一个快递员,基站就是小区门口的快递驿站,而核心网呢,就是整个快递公司的总部分拣中心。它不直接跟你的手机打交道,但所有通话、上网、短信,最终都得经过它来调度、认证、计费。

嗯,这个比喻虽然糙了点,但道理不差。核心网就是移动通信网络的「大脑」和「心脏」。

核心网(Core Network):负责用户管理、会话控制、移动性管理、数据路由、策略控制等核心功能。它连接着无线接入网(RAN)和外部数据网络(比如互联网、IMS语音网络)。

说白了,没有核心网,你的手机就是一块砖头。基站再牛,也只能干瞪眼。


二、核心网架构演进:从2G到5G,我亲眼见证的变化

我做核心网安全这些年,从2G一路干到5G,感触最深的就是——架构越来越「瘦」,功能越来越「虚」。

2G时代(GSM)—— 笨重但皮实

2G核心网主要由MSC(移动交换中心)、HLR(归属位置寄存器)、VLR(拜访位置寄存器)组成。那时候的设备,一个机柜能占半间屋子。

  • MSC:负责语音交换,说白了就是电话接续
  • HLR:存用户信息,你办了啥套餐、在哪个位置区
  • VLR:临时存访客信息,你漫游到别的地方就靠它

我记得有一次在现网排查一个2G核心网漏洞,发现HLR的MAP协议居然没有做完整性校验。嗯,那时候的安全意识,你懂的。

3G时代(UMTS)—— 开始分家

3G引入了RNC(无线网络控制器),核心网也分成了CS域(电路域)和PS域(分组域)。CS域管语音,PS域管数据。

这个阶段,SGSN和GGSN开始登场。SGSN负责移动性管理,GGSN负责连接外部网络。

避坑指南:我曾经在3G核心网渗透测试中发现,SGSN和GGSN之间的GTP协议(GPRS隧道协议)存在严重的信令风暴风险。攻击者只需要伪造一个GTP-C消息,就能让整个SGSN瘫痪。这个漏洞后来被写进了3GPP的安全规范里。

4G时代(LTE)—— 扁平化,全IP

4G最大的变化就是去掉了CS域,全部走IP。核心网叫EPC(演进分组核心网),关键网元包括MME、SGW、PGW、HSS。

  • MME:移动性管理实体,负责信令控制
  • SGW:服务网关,负责用户面数据转发
  • PGW:PDN网关,连接外部网络
  • HSS:归属用户服务器,存用户签约数据

你想想看,4G核心网把控制面和用户面分开了,但还不够彻底。MME和SGW之间还是紧耦合的。

5G时代(5GC)—— 服务化架构,彻底解耦

5G核心网(5GC)采用了SBA(服务化架构),每个网元都变成了独立的「服务」。关键网元包括AMF、SMF、UPF、AUSF、UDM等。

4G网元 5G对应网元 主要变化
MME AMF + SMF 控制面拆分为接入管理和会话管理
SGW + PGW UPF 用户面完全独立,可分布式部署
HSS UDM + AUSF 用户数据和认证功能分离
PCRF PCF 策略控制功能,更灵活

我个人习惯把5G核心网比作「乐高积木」——每个功能模块都可以独立部署、独立升级、独立扩展。这对安全来说,既是好事也是坏事。好事是攻击面更分散了,坏事是攻击入口也变多了。


三、核心网关键网元介绍

1. MME(移动性管理实体)—— 4G的「大管家」

MME负责所有信令控制,包括用户附着、TAU(跟踪区更新)、切换、寻呼等。说白了,你的手机走到哪、该找谁,MME说了算。

我在一次红队演练中,发现某个运营商的MME居然暴露了S1AP接口到公网。你想想看,攻击者可以直接向MME发送伪造的S1AP消息,模拟基站发起攻击。这个漏洞的利用链,我后面会详细讲。

安全警告:MME是4G核心网中最容易被攻击的网元之一。S1AP、NAS协议都没有强加密,攻击者可以伪造信令消息,实现用户位置追踪、拒绝服务攻击等。

2. HSS(归属用户服务器)—— 用户信息的「金库」

HSS存着所有用户的签约数据、鉴权向量、位置信息。如果HSS被攻破,整个网络就相当于「裸奔」了。

我曾经在测试中发现,某厂商的HSS居然用明文存储用户的IMSI和鉴权密钥Ki。嗯,这个漏洞我直接报给了CNCERT。

3. PGW(PDN网关)—— 数据出口的「守门员」

PGW是用户数据进出外部网络的关口。它负责IP地址分配、计费、策略执行。攻击者如果控制了PGW,就可以窃听所有用户的上网流量。

我记得有一次渗透测试,我们通过GTP-U隧道的漏洞,成功在PGW上实现了用户面流量的中间人攻击。这个攻击手法,现在很多红队还在用。

4. SMF(会话管理功能)—— 5G的「会话调度员」

SMF负责PDU会话的建立、修改、释放。它管理着UPF的选择和策略下发。SMF如果被攻击,攻击者可以劫持用户的会话,甚至重定向流量到恶意服务器。

5. UPF(用户面功能)—— 5G的「数据快递员」

UPF负责用户面数据的转发、QoS执行、流量统计。它是5G核心网中唯一处理用户数据的网元,也是攻击者最想拿下的目标。

你想想看,UPF可以部署在边缘节点,甚至靠近基站。如果边缘UPF被攻破,攻击者可以直接窃听该区域所有用户的上网数据。


四、核心网架构演进图(SVG)

下面这张图,我画了核心网从2G到5G的演进脉络。你可以看到,网元越来越「瘦」,功能越来越「散」。

核心网架构演进(2G → 5G) 2G MSC + HLR + VLR 电路交换,笨重 3G SGSN + GGSN CS域 + PS域 4G MME + SGW + PGW + HSS 全IP,扁平化 5G AMF + SMF + UPF + UDM 服务化架构,解耦 → 功能分离 → → 控制/用户面分离 → → 服务化 → 关键网元对比 2G 3G 4G 5G MSC SGSN MME AMF HLR HLR HSS UDM GGSN PGW UPF 电路交换 分组+电路 全IP 服务化 注:每个时代的核心网都在「瘦身」和「解耦」

五、总结与个人感悟

核心网从2G到5G,说白了就是一条「去中心化、服务化、虚拟化」的路。网元越来越多,但每个网元的功能越来越单一。这对我们做安全的人来说,意味着攻击面更广了,但每个点的攻击深度也更深了。

我个人习惯把核心网安全分为三个层面:

  1. 信令面安全:S1AP、NAS、GTP、HTTP/2等协议的漏洞挖掘
  2. 用户面安全:GTP-U隧道、UPF数据转发路径的劫持
  3. 管理面安全:OAM接口、北向接口的渗透

嗯,后面的章节我会逐一展开。你想想看,一个MME的S1AP接口暴露在公网上,攻击者能做什么?一个UPF的N4接口没有鉴权,攻击者能做什么?这些我都会用实战案例告诉你。

一句话总结:核心网是移动通信的「大脑」,也是红队渗透的「富矿」。从2G到5G,攻击面在扩大,攻击手法也在进化。掌握核心网架构,是漏洞挖掘的第一步。


公众号:蓝海资料掘金营,微信deep3321