5G網(wǎng)安全部署探討

高 楓，馬 錚，張曼君，張小梅，丁 攀（中國(guó)聯(lián)通網(wǎng)絡(luò)技術(shù)研究院，北京，100048）

0 前言

當(dāng)前，全球5G網(wǎng)絡(luò)部署的步伐不斷加速，國(guó)內(nèi)運(yùn)營(yíng)商積極開(kāi)展5G內(nèi)外場(chǎng)功能驗(yàn)證和規(guī)模組網(wǎng)試驗(yàn)。5G技術(shù)發(fā)展演進(jìn)，5G移動(dòng)技術(shù)與IT技術(shù)不斷融合，帶來(lái)了網(wǎng)絡(luò)架構(gòu)的變革，使得網(wǎng)絡(luò)能夠靈活地支撐多種應(yīng)用場(chǎng)景。網(wǎng)絡(luò)架構(gòu)的演進(jìn)及業(yè)務(wù)的創(chuàng)新，為5G網(wǎng)絡(luò)安全帶來(lái)了新的需求和挑戰(zhàn)。

從5G網(wǎng)絡(luò)的安全威脅分析入手，分析5G網(wǎng)絡(luò)安全需求，在此基礎(chǔ)上對(duì)5G網(wǎng)絡(luò)安全部署進(jìn)行探討。

1 5G網(wǎng)絡(luò)安全威脅分析

1.1 5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施

1.1.1 NFV

NFV的引入使5G網(wǎng)絡(luò)具有網(wǎng)元功能軟件化、資源共享、部署集中化的特點(diǎn)，這些特點(diǎn)導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)安全發(fā)生了變化。網(wǎng)元功能軟件化使傳統(tǒng)硬件網(wǎng)元設(shè)備物理邊界消失，軟件安全問(wèn)題突出；計(jì)算、存儲(chǔ)及網(wǎng)絡(luò)資源共享化，把虛擬機(jī)安全、虛擬化軟件安全和數(shù)據(jù)安全等問(wèn)題引入移動(dòng)網(wǎng)絡(luò)；部署集中化使病毒傳播速度加快，此外，攻擊者可能利用通用硬件漏洞發(fā)起攻擊。

1.1.2 SDN

SDN使設(shè)備的控制面和數(shù)據(jù)面解耦，控制面實(shí)現(xiàn)集中控制，開(kāi)放可編程接口供應(yīng)用層使用，實(shí)現(xiàn)了靈活的定義網(wǎng)絡(luò)。

集中控制使安全威脅由轉(zhuǎn)發(fā)面轉(zhuǎn)移到控制面，控制器安全風(fēng)險(xiǎn)增大，一旦控制器受到攻擊，整個(gè)SDN網(wǎng)絡(luò)都會(huì)受到影響，甚至癱瘓。采用標(biāo)準(zhǔn)化的接口和統(tǒng)一的協(xié)議，更容易被攻擊者利用進(jìn)而發(fā)起攻擊；應(yīng)用層開(kāi)放可編程的特性加大了攻擊者通過(guò)軟件進(jìn)行攻擊的風(fēng)險(xiǎn)。

SDN安全威脅主要來(lái)源于應(yīng)用層、控制層、數(shù)據(jù)層以及南向和北向接口，如圖1所示。

圖1 SDN安全威脅

1.1.3 云計(jì)算

5G網(wǎng)絡(luò)應(yīng)用云計(jì)算技術(shù)，面臨的安全威脅包括：

a）傳統(tǒng)安全問(wèn)題。虛擬化軟件同樣面臨傳統(tǒng)網(wǎng)絡(luò)安全問(wèn)題，如訪問(wèn)控制、安全隔離、操作系統(tǒng)/應(yīng)用程序的漏洞攻擊、防病毒/惡意代碼等。

b）虛擬化引入新的安全問(wèn)題。虛擬化技術(shù)的引入帶來(lái)了新的攻擊面，如虛擬化軟件VM、虛擬化管理軟件VMM等；由于傳統(tǒng)安全設(shè)備對(duì)虛擬化網(wǎng)絡(luò)流量不可見(jiàn)，虛擬化網(wǎng)絡(luò)流量安全問(wèn)題可能存在；用戶對(duì)其本身的數(shù)據(jù)控制能力減弱，數(shù)據(jù)及隱私安全保護(hù)要求提高。

1.2 網(wǎng)絡(luò)切片

在5G網(wǎng)絡(luò)中引入網(wǎng)絡(luò)切片技術(shù)，可實(shí)現(xiàn)靈活的資源編排和調(diào)度，為不同業(yè)務(wù)類型提供差異化的服務(wù)能力。網(wǎng)絡(luò)切片面臨的安全威脅主要包括：

a）UE訪問(wèn)未經(jīng)授權(quán)的網(wǎng)絡(luò)切片。

b）網(wǎng)絡(luò)切片密碼泄漏，導(dǎo)致攻擊者獲取其他網(wǎng)絡(luò)切片的數(shù)據(jù)。

c）越權(quán)進(jìn)行網(wǎng)絡(luò)切片運(yùn)維。

d）非法占用資源影響其他網(wǎng)絡(luò)切片，導(dǎo)致資源過(guò)度消耗的DDoS攻擊。

e）當(dāng)1個(gè)終端同時(shí)用2個(gè)切片時(shí)，攻擊者從1個(gè)切片獲取另1個(gè)切片信息等。

1.3 異構(gòu)接入網(wǎng)絡(luò)

5G網(wǎng)絡(luò)兼容多種異構(gòu)接入方式，包括3GPP接入和非3GPP接入，異構(gòu)接入網(wǎng)絡(luò)帶來(lái)的安全威脅包括：

a）接入性能問(wèn)題。不同的接入技術(shù)可能使用不同的認(rèn)證機(jī)制，如WLAN、蜂窩、D2D的認(rèn)證機(jī)制各不相同。使用不同認(rèn)證機(jī)制的終端接入網(wǎng)絡(luò)后，核心網(wǎng)需對(duì)不同認(rèn)證機(jī)制采取不同的安全信息管理（如認(rèn)證信息），由此產(chǎn)生的資源開(kāi)銷，將影響終端接入網(wǎng)絡(luò)的性能。

b）不同接入網(wǎng)絡(luò)間切換時(shí)的安全性問(wèn)題。終端在不同的接入網(wǎng)之間進(jìn)行切換，不同網(wǎng)絡(luò)的認(rèn)證機(jī)制、安全等級(jí)可能不同。攻擊者如從較低安全等級(jí)的網(wǎng)絡(luò)接入后，切換至較高安全等級(jí)的網(wǎng)絡(luò)，則可能獲取到不應(yīng)獲得的敏感信息。

2 5G網(wǎng)絡(luò)安全需求分析

2.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全

2.1.1 NFV

NFV的安全需求主要包括：

a）VNF安全。VNF軟件包安全管理；訪問(wèn)控制，敏感數(shù)據(jù)保護(hù)。

b）NFVI安全。保障虛擬機(jī)及其管理器安全。

c）NFV網(wǎng)絡(luò)安全需求。通信雙方相互認(rèn)證，對(duì)通信內(nèi)容進(jìn)行保護(hù)；邊界防護(hù)、安全域劃分及流量隔離等。

d）MANO安全需求。MANO實(shí)體安全加固，防止敏感信息泄露；安裝防病毒軟件；實(shí)體間雙向認(rèn)證，保護(hù)通信內(nèi)容；嚴(yán)格配置MANO系統(tǒng)賬號(hào)與管理權(quán)限。

2.1.2 SDN

SDN的安全需求主要包括：

a）應(yīng)用層的安全需求。APP對(duì)控制器身份進(jìn)行認(rèn)證；APP和控制器之間的通信保護(hù)；APP自身安全加固。

b）控制器的安全需求。具備DDoS/DoS防護(hù)能力；服務(wù)器安全加固，滿足安全服務(wù)最小化原則；執(zhí)行策略沖突檢測(cè)和防止機(jī)制；對(duì)接入的APP進(jìn)行身份認(rèn)證和權(quán)限檢查。

c）轉(zhuǎn)發(fā)層的安全需求。滿足安全服務(wù)最小化原則；具備限速功能。

d）南北向接口的安全需求。雙向認(rèn)證；對(duì)通信內(nèi)容進(jìn)行機(jī)密性、完整性和防重放保護(hù)；對(duì)協(xié)議強(qiáng)壯性進(jìn)行分析和測(cè)試，并修復(fù)漏洞。

2.1.3 云計(jì)算

a）虛擬機(jī)安全需求。病毒/惡意軟件入侵防護(hù)；虛擬機(jī)之間隔離；虛擬機(jī)之間通信安全，遷移安全，鏡像存儲(chǔ)安全；虛擬機(jī)訪問(wèn)控制等。

b）虛擬機(jī)管理器（VMM）安全需求。代碼可靠性；病毒入侵防護(hù)，防止非法訪問(wèn)；安全配置和管理等。

c）虛擬化網(wǎng)絡(luò)安全。結(jié)合虛擬化后的網(wǎng)絡(luò)拓?fù)?，重建網(wǎng)絡(luò)安全域；判斷虛機(jī)之間的流量通信是否符合安全策略，判斷是否存在網(wǎng)絡(luò)攻擊；虛擬機(jī)網(wǎng)絡(luò)始化時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的自動(dòng)部署，虛擬機(jī)遷移時(shí)，保證遷移前后網(wǎng)絡(luò)安全配置環(huán)境一致。

2.2 網(wǎng)絡(luò)切片安全

網(wǎng)絡(luò)切片安全需求主要包括：

a）網(wǎng)絡(luò)資源隔離，不同切片采用不同密鑰。

b）切片ID驗(yàn)證，避免未經(jīng)授權(quán)的切片訪問(wèn)。

c）不同切片使用不同Key加密傳輸，防止Key泄露引發(fā)的切片攻擊。

d）BSS/OSS系統(tǒng)和切片管理系統(tǒng)分離，切片運(yùn)維權(quán)限受控。

e）運(yùn)維審計(jì)，操作可追溯。

f）對(duì)合法用戶異常行為進(jìn)行抑制，限制接入，強(qiáng)制下線。

2.3 異構(gòu)接入安全

a）統(tǒng)一認(rèn)證機(jī)制。5G網(wǎng)絡(luò)兼容多種異構(gòu)接入方式，包括3GPP接入和非3GPP接入，因此，5G網(wǎng)絡(luò)需構(gòu)建兼容多種認(rèn)證機(jī)制的統(tǒng)一認(rèn)證框架。

b）安全互操作。終端可能在異構(gòu)網(wǎng)絡(luò)間進(jìn)行切換，需保證異構(gòu)網(wǎng)絡(luò)間切換的安全互操作，如安全上下文的傳遞、密鑰的更新、安全上下文的隔離等。

3 5G網(wǎng)絡(luò)安全目標(biāo)及部署

3.1 總體目標(biāo)

5G網(wǎng)絡(luò)安全總體目標(biāo)包括：

a）保障通信及數(shù)據(jù)安全。提供機(jī)密性及完整性保護(hù)；提供增強(qiáng)的隱私保護(hù)，保護(hù)用戶隱私。

b）保障異構(gòu)接入安全。提供統(tǒng)一認(rèn)證框架，支持多種接入方式和接入憑證，保障終端設(shè)備安全接入網(wǎng)絡(luò)。

c）保障新型網(wǎng)絡(luò)架構(gòu)安全。提供SDN/NFV安全機(jī)制；提供網(wǎng)絡(luò)切片安全機(jī)制。

d）支持差異化安全。提供按需的安全保護(hù)，滿足多種應(yīng)用場(chǎng)景的差異化安全需求。

e）開(kāi)放安全能力，保障能力開(kāi)放安全。支持?jǐn)?shù)字身份管理、認(rèn)證能力等的安全能力開(kāi)放；提供全面的安全機(jī)制。

3.2 安全部署架構(gòu)

如圖2所示，5G網(wǎng)絡(luò)安全部署架構(gòu)劃分為接入安全域、核心安全域、業(yè)務(wù)安全域與管理安全域。

3.2.1 接入安全域

由于該域處于用戶側(cè)網(wǎng)絡(luò)環(huán)境之中，為保障網(wǎng)絡(luò)和業(yè)務(wù)的安全性，應(yīng)重點(diǎn)保證用戶鑒權(quán)功能的可用性，對(duì)用戶數(shù)據(jù)和信令進(jìn)行保護(hù)。

3.2.2 核心安全域

該域需要與內(nèi)外部業(yè)務(wù)平臺(tái)對(duì)接，因此要做好入侵檢測(cè)、攻擊防御、數(shù)據(jù)保護(hù)等工作，同時(shí)針對(duì)該域的云化、軟件化特性也需要對(duì)集中控制器、南北向接口等進(jìn)行重點(diǎn)防護(hù)。

考慮非安全區(qū)域小基站通過(guò)安全網(wǎng)關(guān)接入核心網(wǎng)域，安全網(wǎng)關(guān)在核心網(wǎng)域進(jìn)行部署，與基站之間通過(guò)雙向認(rèn)證后建立并管理IPSec隧道，通過(guò)該安全隧道，為無(wú)線側(cè)與核心網(wǎng)之間控制面信令、用戶面數(shù)據(jù)提供完整性和機(jī)密性保障，從而實(shí)現(xiàn)安全接入。

3.2.3 業(yè)務(wù)安全域

該域包括能力開(kāi)放平臺(tái)、自營(yíng)及第三方業(yè)務(wù)平臺(tái)等，因此既要防護(hù)網(wǎng)絡(luò)側(cè)對(duì)業(yè)務(wù)的攻擊和濫用，也要防止利用平臺(tái)和應(yīng)用對(duì)網(wǎng)絡(luò)發(fā)起的攻擊。

在該域各類平臺(tái)中部署病毒防護(hù)、漏洞掃描等軟硬件，并對(duì)相關(guān)業(yè)務(wù)操作進(jìn)行認(rèn)證、授權(quán)及審計(jì)。同時(shí)，通過(guò)核心網(wǎng)域的防火墻與核心網(wǎng)域?qū)崿F(xiàn)對(duì)接，有效進(jìn)行安全隔離和訪問(wèn)控制。

3.2.4 管理安全域

管理安全域主要包括運(yùn)營(yíng)系統(tǒng)，其防護(hù)策略與平臺(tái)類防護(hù)類似，在該域各類平臺(tái)中部署病毒防護(hù)、漏洞掃描等軟硬件，并對(duì)相關(guān)操作進(jìn)行認(rèn)證、授權(quán)及審計(jì)。

圖2 5G網(wǎng)絡(luò)安全部署架構(gòu)

4 結(jié)束語(yǔ)

多樣化的場(chǎng)景、接入方式以及新型網(wǎng)絡(luò)架構(gòu)，使5G網(wǎng)絡(luò)除滿足基本通信安全外，也能為不同業(yè)務(wù)場(chǎng)景提供差異化安全服務(wù)，適應(yīng)新型網(wǎng)絡(luò)架構(gòu)及創(chuàng)新業(yè)務(wù)模式。本文研究分析了5G網(wǎng)絡(luò)面臨的主要安全威脅，分析了NFV、SDN、云計(jì)算、網(wǎng)絡(luò)切片、異構(gòu)接入的安全需求，在此基礎(chǔ)上，提出了接入安全域、核心安全域、業(yè)務(wù)安全域與管理安全域的安全部署策略，對(duì)5G網(wǎng)絡(luò)安全部署架構(gòu)進(jìn)行了探討。