5G 北向接口安全訪問策略研究

［劉津羽］

1 引言

目前互聯網已經廣泛應用到了通信、金融以及水電等基礎行業(yè)當中。伴隨著網絡技術和相關硬件設備的不斷迭代，網絡規(guī)模也在日益壯大。以數據為驅動的大數據新型產業(yè)正在不斷涌現，很多企業(yè)（包括運營商）已經在內部組建了大規(guī)模的云數據中心。也因此延伸出了網絡管理難、運營難、配置難等問題，給網絡安全帶來更為嚴峻的挑戰(zhàn)。

目前5G 北向接口的控制器大多缺乏加密、授權等安全機制。第三方的應用系統(tǒng)可以通過黑客手段輕易調用北向接口從而獲取其訪問控制權限。而基于北向接口的不同控制器架構和編程語言存在較大區(qū)別，因此很難直接在源端上進行安全需求變動。綜合上述問題，我們將訪問操作進行抽象，通過串接代理中間件的方式來解決北向接口的安全訪問。

2 5G 北向接口相關安全問題

目前5G 北向接口端網絡架構如圖1 所示。內部應用和外部應用系統(tǒng)都需要經由北向接口和控制器進行交互和訪問。也因此存在以下4 種問題：

圖1 5G 北向接口端網絡架構

（1）由于目前北向接口與應用系統(tǒng)間還不具備統(tǒng)一的維度及互認證方法，現階段對于應用系統(tǒng)的身份鑒別或訪問控制全部基于控制器來實施。而基于此現狀若期望對北向接口的安全進行加固，通常采用的方法是直接完善控制器的安全機制。但由于控制器的類型多種多樣，需要根據不同類型的控制器設計不同的安全模塊，相應的可移植性較差。特別對于5G 的SDN 架構下的控制器集群。若每次安全機制的更新都要涉及所有控制器的部署，則會導致北向接口的運維工作量爆炸性增長。而且目前這類任務由于權限問題只能通過運維人員或者網絡管理員手動進行更新，工作耗時且易出現錯誤。

（2）由于控制器的訪問邏輯是基于內部應用邏輯設定的，因此對于部署在云端及其他網絡的應用系統(tǒng)其安全策略是無法完美生效的?，F階段較為常見的訪問控制策略是基于API 掛鉤的方式來攔截控制器內部的請求信息，通過比對接口中的傳參是否符合預設的標準來確定該程序的執(zhí)行邏輯是否符合規(guī)范（若異常就直接攔截，若符合規(guī)范就放行）。但這種方式對于從外部流入的請求信息是無法完全生效的，說明控制器的內部訪問安全策略是欠缺泛用性的。

（3）對于數據傳輸過程中的信息保密性及信息完整性缺乏實質性的安全策略。這塊暴露的問題目前也是攻擊者常用來作為攻擊入口的方式。攻擊者通?？梢员O(jiān)聽北向接口上的應用系統(tǒng)及控制器間的傳輸信息。通過分析端口信息及接口等信息后，可以直接攻擊性能較差的端口，例如直接進行拒絕服務攻擊（DOS/DDOS）；此外攻擊者通過監(jiān)測的方式還可以獲取控制器本身與應用系統(tǒng)交互的MR、KPI 等數據信息；如果獲取信息并通過方式破解信息后可以直接篡改信息并將錯誤結果返回給應用系統(tǒng)，導致應用系統(tǒng)的服務出現錯誤結果。更深一步的方式還可以直接通過篡改信息獲取系統(tǒng)的控制權限從而完全的控制應用系統(tǒng)及北向接口。

（4）目前系統(tǒng)對于應用系統(tǒng)的權限設置無法做到精細，這是由于應用系統(tǒng)在開發(fā)過程中會對模塊進行封裝，因此無法做到對每個模塊都精細化的進行權限控制。況且對于數據的應用本身會隨著通信技術的發(fā)展而不斷增加，目前5G 的數據應用已經顯著多于3G、4G 時代的數據應用。無法通過單一的系統(tǒng)授權管理策略做到面面俱到的安全效果。

由上述安全問題的分析可見，目前采用的安全策略應當偏向于智能化、精細化且可伸縮的通用安全機制。全方位的保障應用系統(tǒng)訪問過程中的安全性以及北向接口與控制器間消息的傳輸安全性。

3 5G 北向接口安全問題的解決思路

3.1 基于代理中間件的安全解決思路

基于上述小節(jié)的結論，我們提出一種基于代理中間件的安全解決思路，其作用是智能化受理或攔截應用系統(tǒng)調用北向接口的請求以及根據控制器所上傳的信息進行訪問控制并從控制器提交的策略中智能化判斷請求是否合法?；趫D1 網絡架構的改良，圖2 為添加代理中間件后的網絡架構。

圖2 添加代理中間件后的網絡架構

由于代理中間件解耦于北向接口架構，其自身可自定義配置多種安全策略，包括接入專用的安全架構來提高其安全性能。除此之外，代理中間件還基于SGX（Software Guard Extension）設計，該技術基于硬件處理器的維度來加密內存，黑客就算獲取了本地的超級管理員權限也無法讀取內存信息，使得錄入的敏感信息不會在任何階段被黑客竊取。因此代理中間件的安全性是極其可靠的。

而在改良后的北向接口網絡架構中，代理中間件作為忠實的第三方監(jiān)視者嚴格地保證控制器所提供的訪問策略落實到應用系統(tǒng)，同時也確保訪問控制的策略和憑證不會泄露。圖3 為應用系統(tǒng)、代理中間件及控制器的交互流程。

如表11，單一樣本T檢驗的統(tǒng)計結果顯示，在99%的置信區(qū)間內，被受訪者評價為“非常愉悅”的建筑高度變化范圍在0.65～0.68之間，即為其最優(yōu)值域。同理，建筑平均轉折點數的最優(yōu)值域為2.74～2.82，天際線層次比例的最優(yōu)值域為0.42～0.49。

圖3 應用系統(tǒng)、代理中間件及控制器的交互流程

通過表1 來整體介紹圖3 中的流程信息。

3.2 智能化訪問控制模型

在3.1 的步驟6 中提到了通過智能化訪問控制模型驗證訪問請求從而達到驗證訪問請求是否安全的效果。實際上該模型的輸入數據利用到了3.1 中所提及所有六個步驟中所保存的信息數據。如圖4 為智能化訪問控制模型的結構圖。

該模型主要通過動態(tài)加權應用系統(tǒng)訪問前、訪問中、訪問后以及異常態(tài)的四個過程來判定該應用系統(tǒng)是否違反了訪問控制策略，如果訪問行為被模型判定為越權或者不當行為等，應用系統(tǒng)會直接失去訪問權限，代理中間件將不再為其提供服務，直到該應用系統(tǒng)進行過符合訪問規(guī)則的安全整改才會重新提供訪問的機會。對于上述提到的四個過程，其定義如下：

圖4 智能化訪問控制模型的結構圖

（1）訪問前是指應用系統(tǒng)IP 的訪問頻次定級、黑白名單定級等跟應用系統(tǒng)背景信息相關的核查。在應用系統(tǒng)請求服務時會調取應用系統(tǒng)的背景信息，生成訪問行為的特征數據。

（2）訪問中是指對于應用系統(tǒng)的請求命令、請求資源以及請求方式等與訪問動作相關的行為進行定級，生成訪問行為的特征數據。

（4）異常態(tài)通常是根據控制器實時報錯信息、實時網絡中斷、實時拒絕服務等異常情況生成訪問行為的特征數據。

模型根據四個過程的輸入信息動態(tài)判斷該訪問請求是否需要拒絕。需要特別說明的是，訪問前、訪問中及訪問后是依照前后順序進行的過程，訪問行為的特征數據也是通過這個過程依次獲取；而異常態(tài)在整個模型識別過程中可以穿插在這三個過程中的任意位置（例如訪問前、異常態(tài)、訪問中及訪問后的數據輸入順序），也可以是非必要的過程。

除去模型的應用模塊，圖4 的另一條線是將數據錄入訪問行為數據庫中進行保存，并結合預設的攔截規(guī)則庫以及安全策略庫對模型進行訓練。訓練中心采用DNN 深度神經網絡進行動態(tài)安全訪問控制。圖5為DNN網絡結構圖。

圖5 DNN 網絡結構圖

搭建的DNN 網絡由輸入層、隱藏層、輸出層和softmax 函數組成，其中輸入層由多個的數據字段形成的神經元組成，對應訪問態(tài)勢涉及的4 個形態(tài)對應的數據特征作為輸入向量。隱藏層有兩層，每層分別有若干個神經元，之后為輸出層，由3 個神經元組成，對應高威脅、無威脅、警告3 個類別，最后為softmax 函數，用于輸出多分類概率?；贒NN 網絡的特性，訪問行為特征數據的輸入過程是動態(tài)的，但是網絡的識別也是動態(tài)的。因此可以在任意過程中根據動態(tài)權值對形成的高危訪問進行攔截。可最大限度防止漏殺、誤殺等情況。

通過上述代理中間件的解決思路以及其中的智能化訪問控制模型的介紹，較好地解決了開頭提及的安全模塊耦合、安全策略泛用性差、安全策略不夠智能以及權限精細化程度低等問題。全方位加固了5G 北向接口的網絡架構。

4 小結

本課題對于5G 北向接口安全訪問策略研究，先是探討了5G 北向接口現階段面臨的安全問題。隨后介紹了5G北向接口安全解決思路，即提供了代理中間件的解決思路以及其中包含的智能化訪問控制模型。智能化實現了北向接口訪問過程的安全控制，并解耦了北向接口的安全策略配置，使得5G 北向接口的網絡架構變得更加智能化、精細化且可伸縮，綜合安全性能獲得較大提升。