电子说
1 引言
随着 5G 商用时代的到来,5G 支持的新业务将进入人们的生活和社会活动中。5G 支持 三大应用场景为:eMBB 增强移动宽带,例如 VR 业务;URLLC 超高可靠超低时延通信, 例如无人驾驶等业务,mMTC 大连接物联网,针对大规模物联网业务。5G 网络切片技术为 5G 应用的开展提供了良好的网络基础和资源,它能将 5G 物理网络划分为多个虚拟网络, 每一个虚拟网络根据不同的服务需求,比如时延、带宽、安全性和可靠性等来划分,以灵活 的应对不同的网络应用场景,使能不同垂直行业的业务发展。
5G 新技术将进一步促进产业型互联网的发展,未来将更多地应用在物联网、车联网、 工业互联网等领域中,这些领域都对网络和信息安全提出了很高的需求,要求底层的 5G 网 络能够提供良好的安全支持和保障,其中的 5G 网络切片安全显得尤为重要。
目前 5G 网络切片安全是业界研究的热点问题,国内外设备制造商都在研究 5G 网络切 片安全技术解决方案,运营商在积极进行 5G 网络切片安全的试点试验,国际标准组织 3GPP 和国内标准组织 CCSA 也正在制定相关标准。本文将对 5G 网络切片面临的安全威胁、采用 的安全技术以及安全发展情况进行研究。
2 5G 网络切片技术架构
5G 网络切片允许运营商为特定用户提供定制网络,根据优先级、计费、策略控制、安 全性等提供不同的功能要求,根据时延、移动性、可靠性和速率等提供不同的性能要求。一 个 5G 网络切片需要提供一个完整网络的功能,包括接入网功能和核心网功能。一个网络可 能支持一个或多个网络切片。
5G 网络通过引入网络功能虚拟化(NFV)技术和软件定义网络(SDN)架构,实现了 切片化。在 5G 网络切片管理架构中,网络功能以虚拟 化网络功能 VNF的方式运行在基础设施平台 NFVI 上,NFVI 中虚拟机之间的连接使用 SDN 进行配置。虚拟网络功能(VNF)构成的网络切片的重要组成部分,使用 NFV MANO 提供 的管理界面进行网络服务的生命周期管理、VNF 的生命周期管理、支撑 VNF 虚拟资源的性 能管理、故障管理和配置管理。
5G 网络切片的引入给网络带来了极大的灵活性,主要体现在切片可按需定制、实时部 署、动态保障。为了实现这些功能,对于上层业务由 VNF 形成的每个切片实例,需要引入 专门的管理网元 CSMF/NSMF/NSSMF,来实现切片实例的全生命周期管理,包含设计、实 例化、配置、激活、运行、终结(去激活)阶段。端到端切片的实现不仅需要端对端的管理, 还需要从物理层到资源层到切片层到应用层跨各层次的关联管理。
3 5G 网络切片安全威胁
根据 5G 网络切片架构,5G 网络切片依靠底层的虚拟化网络功能设施,为特定用户按需 提供网络切片服务,因此 5G 网络切片安全威胁主要在于网络切片自身,以及网络虚拟化带 来的安全威胁。
3.1 5G 网络切片自身的安全威胁
5G 网络切片的是 5G 网络最重要的特性之一,提供灵活快速的按需定制网络能力,5G 灵活的网络切片机制会带来新的安全威胁。
(1)切片间的信息泄露、干扰和攻击 当用户访问多个网络切片时,切片间的数据信息机密性和完整性可能受到攻击,如果网 络切片间出现了信息泄露,则会造成网络数据和用户数据的泄露。另外攻击者在访问一个切 片时,可能消耗其他切片的资源,导致资源不足,可能会对其他切片发起 DoS 攻击。切片 间的信息泄露、干扰和攻击等就要求为网络切片配置相应的安全机制,以限制数据信息在切 片间的流动。
(2)切片的非授权访问 非法用户对切片进行违法操作、或者合法用户以未授权的方式对切片进行操作,都会造 成对切片的非授权访问,从而影响切片的合法接入、用户无法正常进行通信,或数据信息被 拦截、窃听等。
(3)切片间的通信安全 当网络切片实现专用网络功能时,切片间通信是不可避免的。不同网络切片之间信、 RAN 网络切片和核心网络切片之间都需要进行通信。在所有网间切片通信中,网络切片之 间的接口可能受到攻击,破坏了网络切片的机密性和完整性,导致网络切片无法正常工作。
(4)与第三方交互的安全 网络切片为授权的第三方提供通过合适的 API 创建和管理网络切片配置的能力,通过 API 可以获取切片信息,并通过 API 请求对切片的管理,攻击者可能利用第三方的 API 对 切片发起攻击,非法获取切片的数据信息或者影响切片的正常通信功能。
3.2 5G 网络虚拟化安全威胁
5G 网络的虚拟化为 5G 网络切片实施提供了技术基础,实现了 5G 网络灵活性和弹性等 特点,5G 网络切片部署由于引进虚拟化技术而产生了安全问题。
(1)VNF 安全威胁
在 5G 虚拟网络中,网络管理和编排系统会根据业务需要创建、删除和更新虚拟化网元 功能(VNF),实现对 VNF 的生命周期的管理。在 VNF 生命周期各个阶段 VNF 存在不同的 安全威胁。在 VNF 软件包管理中非法访问、篡改、删除 VNF 软件包及相关模板。在 VNF 实例初始化时,篡改 VNF 软件包及相关模板导致实例化一个非法的 VNF,或者非法执行 VNF 实例。在 VNF 实例管理时非法获取 VNF 实例状态、资源使用情况。对于 VNF 弹性伸 缩,会篡改 VNF 弹性伸缩阈值条件,消耗业务运行需求的资源。在 VNF 实例更新时非法发 起 VNF 更新流程,篡改更新软件包。在 VNF 实例终止时,非法终止 VNF 实例,获取 VNF 实例敏感数据信息。
(2)NFVI 安全威胁
NFVI 的安全威胁可以分为虚拟机、硬件资源、基础网络安全威胁三个方面。虚拟机面 临的安全威胁来自于虚拟机逃逸、虚拟机间嗅探、虚拟机被滥用、虚拟机镜像文件或自身防 护不足、Hypervisor 软件漏洞等方面。硬件资源的安全威胁主要存在于网络使用的高性能服 务器和大容量存储的硬件资源集合带来的安全威胁,例如遭受 DoS/DDoS、蠕虫、病毒、物 理设备被偷窃等。基础网络的安全威胁主要由于 SDN 的引入导致的网络动态化产生的新的 安全威胁,例如安全漏洞、向节点或控制器发起 Dos 攻击、开放接口滥用等。
(3)MANO安全威胁
MANO 实体共有的安全威胁:利用 MANO 实体的自身漏洞进行攻击,或者遭受外界的 病毒蠕虫攻击,对 MANO 存储内容进行篡改或非法访问等。 MANO 实体独有的安全威胁:NFVO 遭受 DDoS 攻击,例如攻击者控制多个 VNF,不 停地向 NFVO 上报告警信息,导致 NFVO 处理能力下降等。由虚拟机安全引发的虚拟机逃 逸、虚拟机隔离失败等安全威胁。 MANO 实体间交互安全威胁:通信内容被篡改、窃听或拦截,例如攻击者以获取资源调 度优先级为目的,通过篡改 VNF 上报给 NFVO/VNFM 的网络动态监测和统计数据,以获取 非授权/高质量的虚拟化资源。还有 MANO 实体间交互可能存在中间人攻击。 MANO 管理的安全威胁:MANO 管理在权限、日志、账号口令等方面存在冒用、越权、 非法操作等问题。
4 5G 网络切片安全技术
加一段话对以下两方面工作的总体描述。 为了防范 5G 网络切片的安全威胁,5G 网络切片应在 5G 网络切片自身安全和 5G 网络虚拟 化安全两方面强化技术手段,保障 5G 网络切片安全,
4.1 5G 网络切片自身安全技术
(1)切片隔离
根据网络切片要求的定义功能,基于签约数据、网络策略和能力用户分配到网络切片的 不同实例中,每个切片应该具有独立的安全策略,以稳固的方式相互隔离。当单个用户通过 多个网络切片访问服务时,要提供切片间的安全隔离。网络切片安全隔离需要考虑网络切片 实例的标识、切片选择和漫游场景,应确保网络切片实例资源不会相互影响。
(2)切片接入认证
为了确保能够为用户正确选择和访问切片,将合适的网络切片分配给适当的签约用户, 要保证切片的接入认证安全。当用户接入切片时,对切片进行注册,通过切片访问控制保证 用户接入正确切片,通过会话机制防止用户的未授权访问。其次提供在切片选择过程中交互 的消息的真实性、完整性和机密性的能力。
(3)安全机制的差异化
5G 网络切片应支持在认证方法、凭证类型、用户存储库、控制策略和安全策略方面的 安全机制差异化。安全策略可能包括隔离策略、加密算法、完整性保护算法、密钥长度以及 密钥到期策略。应为每个网络切片定义不同的访问安全机制以及会话安全机制。
(4)切片的通信安全
根据网络切片功能的敏感级别和网络租户的需求,对网间切片接口和通信进行保护。在 切片和外部网络进行通信时,切片内 VNF 与外部网络 VNF 之间相互进行认证,设置允许 VNF 之间访问的白名单防止非法通信,且设置访问频率监控防止 DoS/DDoS 攻击。在不同
切片间的通信时,切片间在管理层通过分权分域实现切片管理和编排的隔离,通过在网络层 划分 VLAN 实现切片之间的逻辑安全隔离,通过硬件资源的物理隔离保证一个切片的异常 不会影响其他切片功能,切片之间通过加密隧道保证通信安全。在切片内 VNF 之间进行通 信时,VNF 之间进行相互认证保证通信双方可信,VNF 之间建立加密隧道保证通信安全。
(5)与第三方用户交互的安全
第三方垂直行业用户应通过标准化服务接口访问网络切片服务,必须对用户使用 TLS 执行双向认证,在双向认证之后采用 OAuth 的授权机制对发送的服务请求进行授权,并通 过 TLS 方式提供接口之间的完整性保护、抗重放保护和机密性保护。
4.2 5G 网络虚拟化安全技术
(1)VNF 安全
在 VNF 生命周期各个阶段对 VNF 要提出安全技术要求。在对 VNF 软件包进行安全管 理时,例如上载前、实例化以及更新时进行完整性验证;在 VNF 实例化、实例管理、VNF 弹性伸缩、实例终止过程中对 VNF 进行访问控制,例如认证和权限验证;VNF 实例终止时 需彻底清除 VNF 实例所占用的虚拟内存以及存储资源上的信息。
(2)NFVI 安全
虚拟机的安全要求主要包括虚拟机系统安全加固和防护、系统访问控制和完整性验证、 Hypervisor 安全等方面。硬件资源安全要求包括通用服务器和存储硬件资源的安全,物理主 机应具备防病毒、防入侵的要求,硬件资源所处的环境需要具备物理安全要求,如机房环境 安全、防盗等。基础网络安全要求包括 SDN 控制器安全、转发层安全、南北向 API 安全等, SDN 控制器安全要具备防 DDOS 攻击、访问控制、日志分析、安全加固等,转发层安全保 证路由协议安全、抑制 DDOS 攻击等,南北向 API 安全要采用双向认证、启动 SSL 等安全 传输协议保证加密和完整性保护。
(3)MANO 安全
MANO 实体在安全方面应防止非法访问、敏感信息泄露;安装防病毒软件,定期检查 查杀病毒以及升级病毒库;进行安全加固,实现安全服务最小化原则、最小影响原则。MANO 实体(如 NFVO)需防 DDoS 攻击,当实体运行在虚拟机上时,需要保证虚拟机的安全隔离。 MANO 实体间交互时通信内容需受到机密性和完整性保护,实体间双向认证。MANO 的安 全管理在权限、日志、账号口令等方面提出授权、审计和合理设置的要求。
5 5G 网络切片安全标准进展
5.1 国际标准进展
5G 网络切片安全标准化工作主要在 3GPP SA3 开展。在 Rel-14 阶段,3GPP SA3 在 TR 33.899 Study on the security aspects of the next generation system 对网络切片进行了研究,主要 集中在切片隔离、网络切片安全机制差异化、接入安全、切片通信那安全等方面。
在 Rel-15 阶段,2017 年 3 月 3GPP SA3 开始进行 TS 33.501 Security architecture and procedures for 5G system 标准制定工作,其中对网络切片管理提出了技术要求,规定了 TLS 执行双向认证,采用 OAuth 的授权机制进行授权,采用 TLS 方式提供接口之间的安全等。
在 Rel-16 阶段,2018 年 10 月 3GPP SA3 开始 TR 33.813 Study on security aspects of network slicing enhancement 的研究工作,增强的网络切片安全主要对前阶段遗留的开放性问 题进行了研究,包括接入特定网络切片的认证、密钥隔离、NSaas 安全功能以及安全隐私方 面。
ETSI 在 NFV 下专门成立了安全子组对 NFV 安全进行深入研究,目前已经在敏感 NFV 组件的执行架构、NFV 安全管理和监视、MANO 组件和接口安全、NFV 安全增强架构等方 面进行了标准规定。ONF 和 ITU-T 在 SDN 安全方面也进行了相关的标准化工作。
5.2 国内标准进展
5G 安全国内标准推进主要由中国通信标准化协会 TC5 WG5 组织开展。2019 年 4 月开 始开展 5G 网络切片安全项目的研究。2019 年 8 月完成了 5G 移动通信网 安全技术要求标 准制定工作,其中对网络切片安全管理要求进行了规定,包括双向认证、管理服务生产者与 使用者之间管理交互的安全保护、管理服务请求消息的授权验证等。同时 2019 年 8 月启动 了 5G 网络切片安全技术要求的立项,计划明年年底完成。
6 5G 网络切片安全发展
5G 网络切片作为 5G 网络的关键技术,目前 5G 端到端网络切片及安全技术还在试验验 证和应用示范过程中,中国移动、中国电信、中国联通运营商都未进入商用阶段。5G 网络 切片及安全技术标准还不够完善,切片安全增强的方案还在研究当中,还需要进一步标准化。 另外面对垂直行业的不同应用场景和需求,例如工业互联网、车联网、远程医疗等,要制定 合理的 5G 网络切片安全解决方案。对于以上问题,对 5G 网络切片安全发展提出以下建议:
(1)推动 5G 网络切片安全的标准制定工作,包括安全功能、安全级别、安全测评等, 建立一套有约束力和公信力的安全标准,推动 5G 网络切片安全的技术研发、设备研制,为 垂直行业的应用提供参考。
(2)加强 5G 网络切片安全建设,加大相关 5G 安全建设的投入。在 5G 网络设计、部 署过程中要充分考虑 5G 切片安全技术,例如认证、隔离等,建设相关动态感知、风险监测 和预警的技术手段,提高 5G 网络切片安全防护水平。
(3)开展 5G 网络切片安全的试点示范,并逐步扩大在垂直行业的应用和领域范围, 促进技术产业成熟。通过试点示范,进一步明确 5G 网络切片安全技术的适用场景,推动 5G 网络切片安全技术的发展。
7 结束语
本文主要分析了 5G 网络切片面临的安全威胁,研究了 5G 网络切片安全技术,阐述了 5G 网络切片安全标准进展,针对 5G 网络切片存在的问题提出了相关发展建议。随着 5G 网 络切片安全标准的完善、5G 网络切片安全试点示范的深入推进,5G 端到端网络切片及安全 技术将逐步成熟,5G 网络切片安全将更好地为垂直行业服务,为构建安全的 5G 应用生态 奠定良好的基础。
责任编辑:tzh
全部0条评论
快来发表一下你的评论吧 !