核心網(wǎng)引入NFV后的安全防護方案探討

邵永平，鐘正泉，楊旭，宋小明（中國移動通信集團設(shè)計院有限公司，北京 100080）

SHAO Yong-ping， ZHONG Zheng-quan， YANG Xu， SONG Xiao-ming（China Mobile Group Design Institute Co.， Ltd.， Beijing 100080， China）

?

核心網(wǎng)引入NFV后的安全防護方案探討

邵永平，鐘正泉，楊旭，宋小明
（中國移動通信集團設(shè)計院有限公司，北京 100080）

摘 要本文先以VoLTE為例介紹了傳統(tǒng)核心網(wǎng)的安全防護方案和安全域的劃分，接著探討引入NFV后核心網(wǎng)發(fā)生了哪些變化，再提出NFV的安全域劃分建議，分別對VNF和NFVI層進行安全防護方案的探討。

關(guān)鍵詞NFV；安全防護；VoLTE

1　前言

基于云計算架構(gòu)的系統(tǒng)具有業(yè)務(wù)實現(xiàn)靈活快速、且彈性可伸縮的優(yōu)點，隨著云計算技術(shù)的快速發(fā)展，產(chǎn)業(yè)鏈的進一步完善，以及電信市場競爭日益激烈的需要，電信網(wǎng)絡(luò)云化逐漸成為業(yè)界的共識，特別是核心網(wǎng)云化（即NFV）從前幾年的概念提出進入到了現(xiàn)在各大運營商具體落地部署試點階段。本文主要探討核心網(wǎng)引入NFV以后，NFV與傳統(tǒng)網(wǎng)元之間的關(guān)系，NFV安全防護方案探討。

2　現(xiàn)有核心網(wǎng)的安全防護

VoLTE核心網(wǎng)是目前最為復(fù)雜的移動核心網(wǎng)網(wǎng)絡(luò)，以IMS為中心，還涉及了CS、PS和信令網(wǎng)各大核心網(wǎng)子系統(tǒng)?？紤]到核心網(wǎng)各子系統(tǒng)安全防護方案的思路和原則是一致的，本文對VoLTE IMS域（系統(tǒng)接口繁多，其面臨的安全問題在核心網(wǎng)各大子系統(tǒng)中也是最多的）為例進行安全防護方案介紹。

為保證不同業(yè)務(wù)與功能流量的安全隔離，VoLTE在部署時，把VoLTE安全域劃分為VoLTE核心控制域、VoLTE接入域、VoLTE數(shù)據(jù)域、VoLTE網(wǎng)間互聯(lián)域、VoLTE應(yīng)用域、VoLTE應(yīng)用接入域、VoLTE計費域、VoLTE業(yè)務(wù)管理域、VoLTE網(wǎng)管域等9個安全域。不同安全域之間的子網(wǎng)或設(shè)備有不同的安全保護需求，需要采用不同的安全措施進行隔離與防護。在同一個安全域再劃分為控制平面、媒體平面、管理平面等多個平面，不同平面之間的訪問也進行一定的安全隔離。圖1為安全域劃分示意圖。

3　NFV安全防護方案探討

3.1引入NFV以后的網(wǎng)絡(luò)結(jié)構(gòu)

圖1　VoLTE安全域劃分示意圖

核心網(wǎng)引入NFV后，其虛擬化后的網(wǎng)元與現(xiàn)網(wǎng)的物理網(wǎng)元功能上沒有區(qū)別，即虛擬化后的網(wǎng)元與現(xiàn)網(wǎng)可以進行融合組網(wǎng)，可以與現(xiàn)網(wǎng)網(wǎng)元組Pool，當(dāng)然也可以進行獨立組網(wǎng)。NFV上層的信令流程和業(yè)務(wù)流程未發(fā)生改變，圖2以vIMS為例，其與HSS、VoLTE AS S-CSCFI-CSCF、VoLTE SBC之間的邏輯關(guān)系沒有發(fā)生變化，可以與現(xiàn)網(wǎng)S-CSCFI-CSCF組成一個Pool。

基于NFV架構(gòu)的核心網(wǎng)與傳統(tǒng)核心網(wǎng)最大的變化在于底層的物理形態(tài)發(fā)生了變化，由原先的專用設(shè)備變成了通用的服務(wù)器、網(wǎng)絡(luò)設(shè)備和存儲設(shè)備，設(shè)備的物理連接方式也發(fā)生了較大的變化。同時NFV引入了虛擬化層和云管理平臺，便于上層對底層的計算、網(wǎng)絡(luò)、存儲資源的靈活調(diào)度。

3.2NFV的安全域劃分探討

本文仍以VoLTE為例，進行安全防護方案的探討。通過以上分析，NFV與其它網(wǎng)絡(luò)的邏輯關(guān)系也未發(fā)生變化，因此其上層VNF——網(wǎng)元功能虛擬化層的安全域劃分原則也未發(fā)生改變。基于NFV架構(gòu)的VoLTE，其安全域可以與傳統(tǒng)VoLTE一致，可以劃分為VoLTE核心控制域、VoLTE接入域、VoLTE數(shù)據(jù)域、VoLTE網(wǎng)間互聯(lián)域、VoLTE應(yīng)用域、VoLTE應(yīng)用接入域、VoLTE計費域、VoLTE業(yè)務(wù)管理域、VoLTE網(wǎng)管域等9個安全域。

圖2　vIMS與傳統(tǒng)IMS組Pool示意圖

底層的安全隔離則發(fā)生了較大的變化，原先是各網(wǎng)元單獨配置接口板卡，為了系統(tǒng)安全，接入不同域配置不同物理端口，而且要求信令和媒體接口分開，進行端口上的物理隔離。而采用NFV架構(gòu)的系統(tǒng)，其服務(wù)器配置的網(wǎng)卡接口數(shù)量有限，一般情況下每臺服務(wù)器配置2～6個以太網(wǎng)口，一般情況下通過劃分子接口的方式進行隔離。

3.2安全域邊界防護方案

3.2.1VNF層邊界防護方案

根據(jù)圖2，VoLTE與其他系統(tǒng)有對接的域有VoLTE接入域、VoLTE網(wǎng)間互聯(lián)域、VoLTE應(yīng)用接入域、VoLTE計費域、VoLTE業(yè)務(wù)管理域、VoLTE網(wǎng)管域等6個域，即此6個域需要設(shè)置邊界防護策略，保證系統(tǒng)的安全可靠。

（1）VoLTE接入域

VoLTE接入域的設(shè)備主要包括vSBC。vSBC與網(wǎng)管網(wǎng)和EPC核心網(wǎng)對接，EPC核心網(wǎng)部分接口承載在CMNet上，存在遭到公網(wǎng)攻擊的可能性，需要布置防火墻、IDS、異常流量監(jiān)測等網(wǎng)絡(luò)安全設(shè)備來防護。

（2）VoLTE網(wǎng)間互聯(lián)域

VoLTE網(wǎng)間互聯(lián)域的設(shè)備主要包括vMGCF/IMMGW、H-DRA、GMSC等網(wǎng)間互聯(lián)設(shè)備。VoLTE網(wǎng)間互聯(lián)域的控制平面和媒體平面通過IP專用承載網(wǎng)相連，需要考慮IP專用承載的其他系統(tǒng)遭到攻擊可能出現(xiàn)的跳板攻擊，需要部署防火墻并配置訪問控制策略進行安全防護。

（3）VoLTE應(yīng)用接入域

VoLTE應(yīng)用接入域提供用戶接入應(yīng)用域的用戶請求處理和代理轉(zhuǎn)發(fā)等功能，包括用戶自助服務(wù)Portal，Web Proxy和應(yīng)用接入服務(wù)器等相關(guān)設(shè)備。VoLTE應(yīng)用接入域的控制平面和媒體平面與CMNet直接連接，可以提供VoLTE應(yīng)用或終端的接入，有可能會遭到來自公網(wǎng)的攻擊，因此需要在邊界進行特別的安全防護，包括部署雙層異構(gòu)防火墻配置嚴(yán)格的訪問控制策略。VoLTE應(yīng)用接入域設(shè)備建議設(shè)置在防火墻的DMZ區(qū)域。

（4）VoLTE計費域

VoLTE計費域主要包括用于話單采集和進行計費統(tǒng)計與處理的計費網(wǎng)關(guān)、直采機以及相關(guān)的各種服務(wù)器或工作站。VoLTE系統(tǒng)計費設(shè)備通過內(nèi)部專用計費網(wǎng)絡(luò)與相關(guān)系統(tǒng)對接，建議配置訪問控制策略避免計費采集協(xié)議以外的流量通過，并只允許單向發(fā)起計費采集請求。

（5）VoLTE業(yè)務(wù)管理域

VoLTE業(yè)務(wù)管理域主要包括提供VoLTE業(yè)務(wù)開通和配置的網(wǎng)元，主要包括業(yè)務(wù)管理點（SMP）、業(yè)務(wù)控制點（SCP）、智能外設(shè)UAP、生產(chǎn)充值中心（生產(chǎn)VC）等設(shè)備。VoLTE業(yè)務(wù)管理域設(shè)備通過內(nèi)部專用計費網(wǎng)絡(luò)與相關(guān)系統(tǒng)對接，相對比較安全，由于業(yè)務(wù)管理域存在業(yè)務(wù)參數(shù)的變更和用戶屬性的配置功能，權(quán)限相對較大，因此也需要部署防火墻進行相應(yīng)的隔離，同時避免業(yè)務(wù)配置平面直接對VoLTE設(shè)備進行管理或訪問計費平面。

（6）VoLTE網(wǎng)管域

VoLTE網(wǎng)管域主要用于部署VoLTE系統(tǒng)的核心設(shè)備的監(jiān)視和管理等相關(guān)的服務(wù)器、操作維護客戶端，提供VoLTE系統(tǒng)的設(shè)備狀態(tài)信息采集、系統(tǒng)狀態(tài)監(jiān)視、設(shè)備管理等功能，提供本地和遠程的性能監(jiān)視、故障排除和異常響應(yīng)等。

VoLTE系統(tǒng)的管理平面主要用于對VoLTE所有設(shè)備的管理，接入網(wǎng)管網(wǎng)，不涉及業(yè)務(wù)的管理、信令控制、媒體傳媒及計費，因此在邊界上需要和其它的平面進行隔離，包括在邊界上部署安全網(wǎng)關(guān)對接入進行嚴(yán)格認證，并對所有的操作進行記錄與審計，同時通過防火墻的訪問控制措施，避免管理平面訪問其它的業(yè)務(wù)平面，同時需要進行信息防泄露的監(jiān)測與防護，防止用戶信息和VoLTE核心設(shè)備信息的泄露。

VNF層的安全邊界防護可以考慮部署虛擬化的安全設(shè)備，例如vFW、vNAT、vIPS、vIDS、vLB等，充分發(fā)揮虛擬化網(wǎng)元靈活、快速等優(yōu)點，與底層NFVI層進行有區(qū)別的、針對性的防護，VNF層的防護主要針對網(wǎng)絡(luò)層以上應(yīng)用的防護。

3.2.2NFVI層邊界防護方案

以上對VNF層的設(shè)備進行安全域邊界防護方案的探討，引入NFV后，還需要考慮底層服務(wù)器、網(wǎng)絡(luò)設(shè)備和存儲設(shè)備的安全防護。VoLTE的安全邊界分析可以得出，VoLTE對外連接的網(wǎng)絡(luò)主要有CMNet、IP承載網(wǎng)、計費網(wǎng)和網(wǎng)管網(wǎng)，其中CMNet是公網(wǎng)，其他3張網(wǎng)都是內(nèi)部專用網(wǎng)絡(luò)。同時，根據(jù)對VoLTE消息承載平面進行的分類，CMNet 和IP承載網(wǎng)主要承載控制平面和媒體平面的消息，計費網(wǎng)承載計費平面消息，網(wǎng)管網(wǎng)承載網(wǎng)管平面消息。VoLTE網(wǎng)絡(luò)對外部的網(wǎng)絡(luò)連接和主要消息類型如圖3所示。

針對所連接網(wǎng)絡(luò)的特點和承載消息的情況，采用不同的安全防護方案：

（1）在CMNet出口處建議部署防雙層異構(gòu)火墻、抗DDOS、入侵檢測系統(tǒng)等安全設(shè)備和系統(tǒng)。

雙層異構(gòu)防火墻：外層防火墻主要對DMZ域與Internet的訪問策略進行控制；內(nèi)層防火墻主要保證各業(yè)務(wù)系統(tǒng)核心生產(chǎn)區(qū)的安全，并對核心生產(chǎn)區(qū)與DMZ、內(nèi)部互聯(lián)接口區(qū)、測試區(qū)、管理維護區(qū)的訪問策略進行控制。

抗DDOS：防止攻擊者發(fā)起DDOS攻擊，保證用戶能夠正常接入VoLTE網(wǎng)絡(luò)。

（2）在IP專用承載網(wǎng)出口處建議部署異常流量監(jiān)測等安全設(shè)備和系統(tǒng)。

（3）在計費網(wǎng)出口處建議部署防火墻和訪問控制策略。

（4）在網(wǎng)管網(wǎng)出口處建議部署防火墻和訪問控制策略。

3.3安全域內(nèi)部安全防護方案

3.3.1VNF層內(nèi)部安全防護方案

內(nèi)部安全防護主要防止入侵者偽裝成某個網(wǎng)元，對其它網(wǎng)元進行攻擊和相關(guān)數(shù)據(jù)竊取，從而達到攻擊網(wǎng)絡(luò)和竊取用戶信息等目的。建議采用如下手段進行防護。

（1）VoLTE核心控制域的拓撲隱藏；

（2）保證VoLTE-SBC是唯一的外部網(wǎng)絡(luò)可以接入的點，即外部網(wǎng)絡(luò)不能直接訪問其它網(wǎng)元；

圖3　VoLTE與外部網(wǎng)絡(luò)關(guān)系圖

（3）網(wǎng)元之間的信令信息需要保證其機密性、完整性與一致性從而保證VoLTE內(nèi)部的網(wǎng)元是可信的；

（4）不同的平面承載著不同的業(yè)務(wù)數(shù)據(jù)，平面間應(yīng)進行數(shù)據(jù)隔離保護，不同的數(shù)據(jù)流應(yīng)通過VLAN或ACL等方式進行隔離，無法隔離或資源有限時可以采用區(qū)分賬號、權(quán)限或用戶角色的方式來間接隔離。

3.3.2NFVI層內(nèi)部安全防護方案

（1）接入相應(yīng)的4A平臺

為了保證基礎(chǔ)設(shè)施層的系統(tǒng)安全，NFV系統(tǒng)所配置的服務(wù)器、交換機、防火墻、存儲設(shè)備均需要接入相應(yīng)的4A平臺。通過4A管控平臺使得系統(tǒng)和安全管理人員可以對系統(tǒng)中的用戶和各種資源進行集中管理、集中權(quán)限分配、集中審計，從技術(shù)上保證系統(tǒng)安全策略的實施。

（2）部署防病毒系統(tǒng)

虛擬化軟件和云管理平臺采用開源的軟件后，存在更大的病毒入侵風(fēng)險。建議按照服務(wù)器/客戶端方式建設(shè)集中防病毒系統(tǒng)，即在所有x86服務(wù)器、虛擬機上部署代理軟件，進行日常病毒查殺和異常事件上報。

（3）部署漏洞掃描系統(tǒng)

通過部署漏洞掃描系統(tǒng)，掃描發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟件的漏洞情況，配置掃描任務(wù)進行定期掃描，匯總結(jié)果并上報高風(fēng)險漏洞預(yù)警等。

（4）防止內(nèi)存泄漏

系統(tǒng)虛擬化后，存在不同的系統(tǒng)使用同一個物理內(nèi)存的場景，因此要通過提前規(guī)劃，并且區(qū)分安全等級，安全等級相同的可以使用相同的物理機等方式來方式內(nèi)存泄漏等問題。

4　小結(jié)

核心網(wǎng)引入NFV后，其底層架構(gòu)發(fā)生了根本性的變化，從原有的專用硬件設(shè)備轉(zhuǎn)變?yōu)橥ㄓ梅?wù)器設(shè)備，從各廠家特有的軟件平臺轉(zhuǎn)變?yōu)橥ㄓ玫脑朴嬎丬浖脚_，從封閉的網(wǎng)絡(luò)轉(zhuǎn)變?yōu)殚_放的網(wǎng)絡(luò)，從而帶來一系列云計算所面臨的安全問題，需要我們?nèi)ヌ接懭绾螛?gòu)建更加安全可靠的網(wǎng)絡(luò)。云計算與其它新技術(shù)一樣，除了帶來一些新的安全威脅，還帶來新的安全解決方案，需要我們在部署新的網(wǎng)絡(luò)之前去充分評估和探討。

SHAO Yong-ping， ZHONG Zheng-quan， YANG Xu， SONG Xiao-ming（China Mobile Group Design Institute Co.， Ltd.， Beijing 100080， China）

News

Discussion on the security protection scheme of NFV core network

KeywordsNFV； securityprotection；VoLTE

AbstractIn this paper， we first tookVoLTE as an example to introduce the security protection scheme and the partition of the security domain of the traditional core network，then discussd the change of the core network after NFV，and then put forward the partition of security domain NFV recommendations，respectively investigate security protection scheme ofVNF and NFVI layer.

中圖分類號TN929.5

文獻標(biāo)識碼A

文章編號1008-5599（2016）05-0018-05

收稿日期：2016-04-15