5G傳輸網(wǎng)絡(luò)安全現(xiàn)狀

余瀅鑫 余曉光 翟亞紅 陽陳錦劍 解曉青

1(華為技術(shù)有限公司西安研究所 西安 710075)

2(華為技術(shù)有限公司松山湖研究所 廣東東莞 523808)

3(中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心 北京 100020)

(yuyingxin@huawei.com)

1 5G傳輸面臨的安全性挑戰(zhàn)

無線基站到核心網(wǎng)之間的IP承載網(wǎng)和光傳輸網(wǎng)，是整個5G網(wǎng)絡(luò)的基礎(chǔ)骨架，如果被入侵破壞，很可能導(dǎo)致5G業(yè)務(wù)大范圍的受損甚至中斷，因此傳輸網(wǎng)絡(luò)的安全保護至關(guān)重要[1].

與4G網(wǎng)絡(luò)相比，5G網(wǎng)絡(luò)要求信息在傳輸過程中要具有更快的速度、更高的可靠性、更大的帶寬和更低的時延.如果傳輸網(wǎng)絡(luò)受到DDoS攻擊、病毒攻擊、路由注入攻擊或PE設(shè)備受到非法訪問等，可能造成PE設(shè)備故障、承載網(wǎng)路由振蕩、接入網(wǎng)內(nèi)部合法業(yè)務(wù)受損、合法路由數(shù)量減少等安全事故.對一些安全等級高的敏感業(yè)務(wù)，承載網(wǎng)需要保障業(yè)務(wù)數(shù)據(jù)的安全，避免通信數(shù)據(jù)流量被竊聽或者篡改，還要做好不同業(yè)務(wù)流量的安全隔離.另外，考慮到承載網(wǎng)對智慧城市業(yè)務(wù)運行和社會運轉(zhuǎn)的重要意義，承載網(wǎng)需要保障自身的HA高可用性，滿足電信級高可靠要求.

傳輸網(wǎng)絡(luò)面臨的典型安全威脅如下：

1) 接入側(cè)風(fēng)險.

骨干網(wǎng)中PE設(shè)備受到的傳統(tǒng)攻擊威脅包括：非法訪問PE設(shè)備、DDoS攻擊、病毒泛濫、惡意注入非法路由、注入路由數(shù)量過多.這些威脅可能造成PE設(shè)備故障、承載網(wǎng)路由振蕩、網(wǎng)絡(luò)流量不能到達目的地致合法業(yè)務(wù)受損、將流量引流到黑客所在網(wǎng)絡(luò)進行信息竊取、合法路由數(shù)量減少致目標(biāo)網(wǎng)絡(luò)流量過載DDoS等危害.

承載網(wǎng)與互聯(lián)網(wǎng)互訪受到的傳統(tǒng)邊界威脅包括：IP承載網(wǎng)受到互聯(lián)網(wǎng)中病毒威脅、DDoS攻擊，公網(wǎng)大量路由泄露到IP承載網(wǎng).這些威脅可能造成IP承載網(wǎng)核心設(shè)備故障、非法流量致帶寬損失、核心業(yè)務(wù)受到影響、路由泄露致承載網(wǎng)內(nèi)部路由泛濫等危害.

2) 管理面的安全威脅.

來自網(wǎng)管的管理面安全威脅包括網(wǎng)管終端直連互聯(lián)網(wǎng),Windows等操作系統(tǒng)易感染病毒，網(wǎng)管終端的權(quán)限管理復(fù)雜等，這些威脅可能造成互聯(lián)網(wǎng)的風(fēng)險通過網(wǎng)管網(wǎng)擴散到承載網(wǎng).

3) 5G業(yè)務(wù)網(wǎng)絡(luò)的安全威脅.

對于半封閉業(yè)務(wù)系統(tǒng)主要面臨：智能終端的非法呼叫、盜用帶寬、網(wǎng)管系統(tǒng)的終端威脅、不受控IAD(桌面IAD)設(shè)備的管理問題等安全威脅，可能造成軟交換系統(tǒng)癱瘓、阻塞鏈路、影響正常用戶的帶寬等危害.

對于開放的業(yè)務(wù)系統(tǒng)主要面臨：大客戶網(wǎng)絡(luò)對骨干網(wǎng)造成的威脅、互聯(lián)網(wǎng)用戶接入帶給大客戶網(wǎng)絡(luò)的威脅、黑客等非法用戶對系統(tǒng)的威脅，這些威脅可能造成鏈路擁堵、用戶數(shù)據(jù)失竊、對承載網(wǎng)的非法訪問、病毒擴散等危害.

2 5G傳輸網(wǎng)的安全要求

為確保5G傳輸網(wǎng)絡(luò)的安全，首先需要在網(wǎng)絡(luò)本身的規(guī)劃設(shè)計上，做好HA高可用設(shè)計，避免單點故障造成整個傳輸網(wǎng)絡(luò)癱瘓.其次，針對數(shù)據(jù)安全要求較高的場景可以考慮部署安全加密隧道，以保障網(wǎng)絡(luò)數(shù)據(jù)報文的機密性和完整性，避免業(yè)務(wù)流量非法監(jiān)聽或者遭遇網(wǎng)絡(luò)重放攻擊，同時在承載網(wǎng)的協(xié)議控制面上，可以采用SSL安全協(xié)議等措施，避免可能的路由協(xié)議攻擊.最后，可以通過VLAN,FlexE,VPN等技術(shù)措施實施承載網(wǎng)的邏輯或物理隔離，不同業(yè)務(wù)或者不同運營商的5G流量通過相互間隔離的管道來承載[1].

在5G傳輸網(wǎng)絡(luò)中存在安全威脅的網(wǎng)絡(luò)位置主要在基站接入側(cè)、云接入側(cè)、互聯(lián)網(wǎng)側(cè)、網(wǎng)管側(cè)等外部交互點，如圖1所示.

圖1 5G傳輸網(wǎng)絡(luò)及風(fēng)險點

在基站接入側(cè)，承載網(wǎng)可以通過邊界配置ACL防范非法報文、為基站業(yè)務(wù)分配VPN獨立承載并配置限速策略，同時在邊界設(shè)備上配置ND,ARP,ICMP等防攻擊及DHCP Snooping，以防范來自基站側(cè)的攻擊.

在云接入側(cè)，需要在DC邊界部署防火墻，實現(xiàn)云和承載網(wǎng)絡(luò)之間的隔離；在DC接入承載網(wǎng)的邊界設(shè)備接口，配置網(wǎng)絡(luò)限速、TCP/IP攻擊防范等措施來防范來自云的攻擊.

在互聯(lián)網(wǎng)側(cè)，需在IGW上的互聯(lián)網(wǎng)邊界部署抗DDoS攻擊防護設(shè)備，實現(xiàn)近源的異常流量檢測和流量清洗；在電信云邊界部署專業(yè)安全防護設(shè)備，保護電信云內(nèi)業(yè)務(wù).

在傳輸管理側(cè)，面臨來自網(wǎng)管網(wǎng)的安全威脅，需要在網(wǎng)管和傳輸網(wǎng)之間部署防火墻抗DDoS攻擊；另外傳輸設(shè)備按需部署CP-CAR等防攻擊策略，設(shè)置SNMP和SSH 等安全版本協(xié)議并配置相應(yīng)的ACL白名單；在傳輸網(wǎng)絡(luò)和網(wǎng)管網(wǎng)之間構(gòu)建獨立VPN以確保數(shù)據(jù)安全和防篡改；同時管理上，需要嚴(yán)格控制網(wǎng)管終端的接入權(quán)限，并做好安全審計，以防止非法用戶通過網(wǎng)管接入傳輸網(wǎng)元設(shè)備.

除了上述對傳輸網(wǎng)傳統(tǒng)的安全防護要求之外，針對5G的新架構(gòu)和業(yè)務(wù)需求，還需通過傳輸切片隔離技術(shù)和IPSec加密技術(shù)來保障傳輸業(yè)務(wù)的安全.在切片安全要求方面，通過安全portal保護切片業(yè)務(wù)發(fā)放，承載網(wǎng)絡(luò)實現(xiàn)切片物理隔離，防止資源搶占和切片間滲透；在傳輸加密方面，可部署安全網(wǎng)關(guān)進行IPSec加密，實現(xiàn)基站和5GC之間、下沉UPF和5GC之間的端到端安全加密通信；還可通過非安全鏈路逐跳部署MACSec實現(xiàn)安全通信.

3 5G傳輸網(wǎng)的關(guān)鍵安全技術(shù)

5G傳輸承載網(wǎng)的安全需從以下幾個方面進行保護：首先是網(wǎng)絡(luò)規(guī)劃和設(shè)計，需采用HA高可用冗余設(shè)計，避免單點故障，在管理上需實現(xiàn)權(quán)限管理、賬號和密碼的訪問認證等.其次是協(xié)議控制，可通過配置MD5身份驗證、SSL加密等安全措施，避免可能的路由協(xié)議攻擊，如BGP路由劫持攻擊.最后是對于用戶的安全保護，可部署IPSec安全加密以確保用戶面網(wǎng)絡(luò)數(shù)據(jù)包的機密性和完整性，防止非法流量攔截或網(wǎng)絡(luò)重播攻擊等[2].

1) HA高可靠網(wǎng)絡(luò)

5G承載網(wǎng)應(yīng)通過采用拓撲冗余設(shè)計等高可靠設(shè)計方案，以確保5G傳輸網(wǎng)絡(luò)提供的5G通信服務(wù)的連續(xù)性.在網(wǎng)絡(luò)的各位置，可使用不同的高可用技術(shù)，如圖2所示.

圖2 承載網(wǎng)高可用網(wǎng)絡(luò)

采用HA方案，保障傳輸網(wǎng)絡(luò)的業(yè)務(wù)連續(xù)性，主要技術(shù)如下：

① 物理拓撲冗余設(shè)計.承載網(wǎng)實現(xiàn)由接入環(huán)、匯聚環(huán)、核心環(huán)構(gòu)成，以此消除單點故障，實現(xiàn)高可用性.接入環(huán)可采用虛擬路由器冗余協(xié)議(virtual router redundancy protocol, VRRP)、雙向轉(zhuǎn)發(fā)檢測(bidirectional forwarding detection, BFD)、IP快速重路由(IP fast reroute, FRR)等高可用技術(shù)；匯聚環(huán)和核心環(huán)可采用雙向轉(zhuǎn)發(fā)檢測(bidirectional forwarding detection, BFD)、段路由-流量工程(segment routing-traffic engineering, SR-TE)、標(biāo)簽分發(fā)協(xié)議快速重路由(label distribution protocol, LDP FRR)、流量工程快速重路由(traffic engineering FRR, TE FRR)、虛擬專用網(wǎng)快速重路由(VPN FRR)以及自動交換光網(wǎng)絡(luò)(automatically switched optical network, ASON)等高可用技術(shù)進行容災(zāi)保護.

② 在協(xié)議層面通過節(jié)點保護和鏈路保護，保障5G承載網(wǎng)電信級倒換性能.

2) 采用切片技術(shù)實現(xiàn)不同5G業(yè)務(wù)之間的傳輸安全隔離

用戶通過多個切片訪問不同的業(yè)務(wù)時，需充分考慮網(wǎng)絡(luò)切片間的安全隔離，為不同安全等級的業(yè)務(wù)設(shè)計獨立的切片安全策略，保障切片隔離安全.在傳輸承載網(wǎng)中，每個網(wǎng)絡(luò)切片都應(yīng)以穩(wěn)固的方式相互隔離，如果網(wǎng)絡(luò)切片之間隔離策略不當(dāng)，攻擊者可能以攻入的切片為跳板進而對其他切片資源發(fā)起攻擊，非法訪問切片數(shù)據(jù)或占用切片資源[3].

為了防止網(wǎng)絡(luò)資源搶占和越權(quán)訪問業(yè)務(wù)數(shù)據(jù)，需要根據(jù)5G業(yè)務(wù)需求實現(xiàn)傳輸網(wǎng)絡(luò)的硬隔離和軟隔離.傳輸網(wǎng)有著相對豐富的技術(shù)手段來滿足不同隔離度的切片需求，當(dāng)前最主要的手段包括軟隔離手段HQoS和信道化子接口技術(shù)、硬隔離手段FlexE技術(shù)，如圖3所示：

圖3 傳輸網(wǎng)切片技術(shù)對比

HQoS即層次化QoS(hierarchical quality of service, HQoS)，是一種通過多級隊列調(diào)度機制，解決Diffserv模型下多用戶多業(yè)務(wù)帶寬保證的技術(shù).傳統(tǒng)的QoS采用一級調(diào)度，單個端口只能區(qū)分業(yè)務(wù)優(yōu)先級，無法區(qū)分用戶.只要屬于同一優(yōu)先級的流量，使用同一個端口隊列，不同用戶的流量彼此之間競爭同一個隊列資源，無法對端口上單個用戶的單個流量進行區(qū)分服務(wù).HQoS采用多級調(diào)度的方式，可以精細區(qū)分不同用戶和不同業(yè)務(wù)的流量，提供區(qū)分的帶寬管理[4].

FlexE信道化子接口是指將一個大帶寬物理ETH口劃分為子接口.不同接口承載不同類型的業(yè)務(wù).接口之間的業(yè)務(wù)互相隔離，互不影響，接口內(nèi)的業(yè)務(wù)各自遵循HQoS調(diào)度，從而實現(xiàn)帶寬的物理隔離.

Flex技術(shù)是本文介紹重點，F(xiàn)lexE技術(shù)是基于時隙調(diào)度將1個物理以太網(wǎng)端口劃分為多個以太網(wǎng)彈性硬管道，使得網(wǎng)絡(luò)既具備類似于TDM(時分復(fù)用)獨占時隙、隔離性好的特性，又具備以太網(wǎng)統(tǒng)計復(fù)用、網(wǎng)絡(luò)效率高的雙重特點，實現(xiàn)同一分片內(nèi)業(yè)務(wù)統(tǒng)計復(fù)用，分片之間業(yè)務(wù)互不影響.通過使用FlexE技術(shù)，可以將物理網(wǎng)絡(luò)進行分片，形成多個邏輯網(wǎng)絡(luò)，不同的切片業(yè)務(wù)承載于不同的邏輯網(wǎng)絡(luò)之上，從而實現(xiàn)業(yè)務(wù)的硬隔離.

FlexE的通用架構(gòu)如圖4所示，可以支持任意多個不同子接口(FlexE Client)在任意一組PHY(FlexE Group)上的映射和傳輸，從而實現(xiàn)上述捆綁、通道化及子速率等功能[5].

圖4 FlexE通用架構(gòu)

其中，F(xiàn)lexE Client對應(yīng)于外在觀察到的用戶接口，一般為64 b或66 b的以太網(wǎng)碼流，支持n×5G速率；FlexE Shim則是MAC/RS和PCS/PHY層之間的子層，完成FlexE Client到FlexE Group攜帶內(nèi)容之間的復(fù)用和解復(fù)用,實現(xiàn)FlexE的核心功能；FlexE Group是綁定的一組FlexE PHY.

同作為硬隔離技術(shù)，信道化子接口與FlexE接口相比，隔離度相對較低，且?guī)捔６刃?，一般用于接入?

信道化子接口和Flex接口對應(yīng)的能力對比如表1所示.

表1 信道化接口和FlexE接口對比

與信道化子接口相比，F(xiàn)lexE接口具有更少的共享路徑，不同信道的數(shù)據(jù)包之間的資源沖突更少；

FlexE接口和信道化子接口獨立占用帶寬資源.因此，不同信道的帶寬不能相互搶占;

基于FlexE技術(shù)，可以將一張物理網(wǎng)絡(luò)分片成多個邏輯網(wǎng)絡(luò)，不同的邏輯網(wǎng)絡(luò)端口帶寬是隔離的，鏈路屬性可以進行獨立設(shè)計.

3) 傳輸網(wǎng)絡(luò)業(yè)務(wù)平面MPLS VPN隔離

在傳輸網(wǎng)絡(luò)中，還可以通過如圖5所示的MPLS VPN技術(shù)實現(xiàn)業(yè)務(wù)平面隔離，效果可等同切片技術(shù)，且該邏輯隔離技術(shù)安全性較高，應(yīng)用成熟.

圖5 通過MPLS VPN隔離不同業(yè)務(wù)

在安全性上，MPLS VPN采用路由隔離、地址隔離和信息隱藏等手段抗攻擊和標(biāo)記欺騙，達到了FR/ATM級別的安全性，是IP承載網(wǎng)的基礎(chǔ)技術(shù).從實際使用情況來看，目前沒有由于VPN客戶對運營商網(wǎng)絡(luò)的攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓的報告，也沒有MPLS VPN內(nèi)用戶被其他VPN用戶攻擊的報告，因此MPLS VPN是安全的，除非VPN的惡意用戶對PE發(fā)起控制面以及管理面的攻擊[6].

MPLS VPN可以實現(xiàn)底層標(biāo)簽自動的分配，在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價、更快速.同時MPLS VPN可以充分利用MPLS技術(shù)的一些先進的特性，比如MPLS 流量工程能力、MPLS的服務(wù)質(zhì)量保證，結(jié)合這些能力，MPLS VPN可以向客戶提供不同服務(wù)質(zhì)量等級的服務(wù)，也更容易實現(xiàn)跨運營商骨干網(wǎng)服務(wù)質(zhì)量的保證.同時MPLS VPN還可以向客戶提供傳統(tǒng)基于路由技術(shù)VPN無法提供的業(yè)務(wù)種類，比如像支持VPN地址空間復(fù)用.對于MPLS的客戶來說，運營商的MPLS網(wǎng)絡(luò)可以提供客戶需要的安全機制以及組網(wǎng)的能力，VPN底層連接的建立、管理和維護主要由運營商負責(zé)，客戶運營其VPN的維護和管理都將比傳統(tǒng)的VPN解決方案簡單，也降低了企業(yè)在人員和設(shè)備維護上的投資和成本.基于MPLS的VPN可以作為傳統(tǒng)的基于2層專線的VPN、純3層的IP VPN和隧道方式的VPN的替代技術(shù)，在現(xiàn)階段可以作為傳統(tǒng)VPN技術(shù)的有效補充.

4) 傳輸鏈路加密技術(shù)

對于敏感的業(yè)務(wù)數(shù)據(jù)需要實現(xiàn)傳輸鏈路加密，以防止數(shù)據(jù)泄露.在5G場景下IPSec技術(shù)是較為成熟的集傳輸加密和認證于一體的安全方案，可以實現(xiàn)基站到核心網(wǎng)的N2接口、基站到5GC和邊緣UPF之間業(yè)務(wù)流的N3接口以及邊緣計算到客戶網(wǎng)關(guān)之間的安全加密，如圖6所示:

圖6 5G傳輸鏈路IPSec加密[7]

IPSec是IETF定義的安全架構(gòu)，應(yīng)用于IP層，由AH,ESP，IKE協(xié)議組成.IPSec為IP網(wǎng)絡(luò)通信提供端到端的安全服務(wù)，保護IP網(wǎng)絡(luò)通信免遭竊聽和篡改，有效地抵御網(wǎng)絡(luò)攻擊.采用IPSec通信的2端(簡稱IPSec對等體)通過加密與數(shù)據(jù)源驗證等方式，能保證IP數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸時的私密性、完整性、真實性與防重放.

使用IPSec通道保護數(shù)據(jù)安全傳輸之前，通信對等體之間必須先建立安全關(guān)聯(lián)SA，協(xié)商流程如圖7所示.SA是通信對等體經(jīng)協(xié)商建立起來的一種協(xié)定，SA中約定了通信雙方的安全服務(wù)策略，實現(xiàn)對不同的數(shù)據(jù)流提供不同的安全保護.

圖7 IPSec業(yè)務(wù)流程

IPSec框架中定義有2種SA，分別是IKE SA和IPSec SA. IKE SA是經(jīng)過2個IKE對等體協(xié)商建立的一種協(xié)定，IKE SA中約定了IKE對等體之間使用的加密算法、認證算法、認證方法、PRF(pseudo-random function)算法以及IKE SA的生存周期等信息.IPSec SA是在IKE SA的保護下協(xié)商出來的.1個IPSec通道對應(yīng)1個IKE SA，1個IKE SA下可協(xié)商出多個IPSec SA[8].

5) 網(wǎng)絡(luò)層路由安全

傳輸網(wǎng)絡(luò)層常用的路由協(xié)議包括BGP IPv6，OSPFv3，ISIS協(xié)議，這些路由協(xié)議如使用不當(dāng)會有安全風(fēng)險.

其中，針對BGP IPv6協(xié)議風(fēng)險，可以通過建立傳輸網(wǎng)元鄰居關(guān)系時對身份進行認證，對發(fā)布的路由信息進行MD5，keyChain認證校驗，避免與仿冒節(jié)點建立路由鄰居；對于數(shù)據(jù)保護，可采用基于TLS認證，加密BGP協(xié)議報文，保證網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)陌踩?；同時，通過進一步控制路由規(guī)格，設(shè)置路由超限控制，防止DDoS攻擊.

針對OSPFv3協(xié)議風(fēng)險，可以采用對OSPFv3協(xié)議進行認證追蹤、OSPFv3協(xié)議內(nèi)容使用IPSec加密認證、設(shè)置路由超限控制、采用OSPFv3層次化路由結(jié)構(gòu)等措施來消減.

針對ISIS協(xié)議風(fēng)險，可以采用ISIS認證、路由超限控制、鏈路層協(xié)議，以確保網(wǎng)絡(luò)層無法被直接攻擊.

另外，在網(wǎng)絡(luò)層針對SRv6路由，可以通過定義SRv6安全域，在安全域內(nèi)部基于SRv6轉(zhuǎn)發(fā)，過濾安全域邊界目的地址是安全域內(nèi)地址的報文的方式，以及通過SRv6域內(nèi)節(jié)點丟棄目的地址是本地local SID且源地址不是SRv6域內(nèi)地址的報文的方式，實現(xiàn)對域外攻擊流量的防御；跨安全域需要采用SRv6轉(zhuǎn)發(fā)時，可以采用Binding SID技術(shù)粘連SRv6安全域，隱藏拓撲，并在安全域邊界校驗Binding SID地址，丟棄非法報文，以防止域內(nèi)信息泄露.其他技術(shù)手段還可采用HMAC校驗技術(shù)保護SRH，實現(xiàn)防仿冒、篡改、抵賴.

4 總 結(jié)

本文研究以探索5G場景下傳輸網(wǎng)絡(luò)面臨的安全風(fēng)險和防護技術(shù)為目標(biāo)，剖析5G傳輸網(wǎng)絡(luò)在外部接入、業(yè)務(wù)傳輸和網(wǎng)元管理方面的安全風(fēng)險，并基于安全風(fēng)險分析了相應(yīng)的安全需求及關(guān)鍵的實現(xiàn)技術(shù)，對5G網(wǎng)絡(luò)在傳輸領(lǐng)域的應(yīng)用安全性開展創(chuàng)新研究和技術(shù)儲備，融合入5G整體的安全性.