基于零信任的5G網(wǎng)絡(luò)切片安全研究

項(xiàng)海波,鮑聰穎,,孫 健,吳 昊,田亞偉

(1.寧波永耀電力投資集團(tuán)有限公司,浙江 寧波 315099;2.國(guó)網(wǎng)浙江省電力有限公司寧波供電公司,浙江 寧波 315016;3.上海交通大學(xué)寧波人工智能研究院,浙江 寧波 315000;4.上海交通大學(xué)電子信息與電氣工程學(xué)院,上海 200240)

0 引言

5G網(wǎng)絡(luò)技術(shù)為應(yīng)用場(chǎng)景的多樣化提供了更多可能。第三代合作伙伴計(jì)劃(3rd generation partnership project,3GPP)定義了5G網(wǎng)絡(luò)的三大應(yīng)用場(chǎng)景,分別是增強(qiáng)移動(dòng)寬帶(enhance mobile broadband,eMBB)、大規(guī)模機(jī)器類(lèi)通信(massive machine type of communication,mMTC)和高可靠低時(shí)延通信(ultra-reliable low latency communication,uRLLC)。不同場(chǎng)景下的業(yè)務(wù)需求各不相同。為滿(mǎn)足靈活、高效的運(yùn)營(yíng)需求,3GPP正式提出了網(wǎng)絡(luò)切片(network slicing,NS)的概念。

NS[1]是按業(yè)務(wù)需求邏輯劃分的獨(dú)立網(wǎng)絡(luò)。每個(gè)切片都具備定制化的網(wǎng)絡(luò)資源。一方面,NS技術(shù)的發(fā)展有效滿(mǎn)足了用戶(hù)各自的業(yè)務(wù)需求,使得運(yùn)營(yíng)商能夠提供定制化的服務(wù)、降低成本;另一方面,NS的引入使得網(wǎng)絡(luò)結(jié)構(gòu)愈加復(fù)雜,也引發(fā)了更加棘手的網(wǎng)絡(luò)安全問(wèn)題[2]?，F(xiàn)有技術(shù),如防火墻[3]、虛擬專(zhuān)網(wǎng)(virtual private network,VPN)[4]、入侵檢測(cè)[5]等將網(wǎng)絡(luò)劃分為內(nèi)外域,無(wú)法避免從內(nèi)部信任域發(fā)起的惡意攻擊;同時(shí),內(nèi)網(wǎng)中大量數(shù)據(jù)的交換也為攻擊者提供了更廣泛的攻擊面。Li等[6]提出在5G網(wǎng)絡(luò)中引入防篡改、可追溯的區(qū)塊鏈技術(shù),以保護(hù)網(wǎng)絡(luò)通信過(guò)程數(shù)據(jù)隱私安全。但區(qū)塊鏈只能保護(hù)鏈上數(shù)據(jù),無(wú)法保證數(shù)據(jù)端到端的安全可靠。

針對(duì)NS現(xiàn)有安全技術(shù)存在的缺陷,本文基于零信任持續(xù)驗(yàn)證的理念、結(jié)合軟件定義安全邊界(software defined perimeter,SDP)技術(shù)設(shè)計(jì)切片的安全架構(gòu),建立虛擬邊界,對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)業(yè)務(wù)進(jìn)行實(shí)時(shí)監(jiān)控并動(dòng)態(tài)調(diào)整策略。這可有效保護(hù)訪(fǎng)問(wèn)客體資源安全。在零信任的信任管理中,本文基于服務(wù)質(zhì)量(quality of service,QoS)參數(shù)提出了能夠?qū)崟r(shí)反映訪(fǎng)問(wèn)主體行為的可信度量方法。

1 5G NS安全分析

1.1 端到端的NS

NS作為5G網(wǎng)絡(luò)的重要特征之一,本質(zhì)是一個(gè)端到端的網(wǎng)絡(luò)。端到端的切片結(jié)構(gòu)如圖1所示。

圖1 端到端的切片結(jié)構(gòu)

切片網(wǎng)絡(luò)由接入網(wǎng)、承載網(wǎng)、核心網(wǎng)組成,覆蓋終端、云端,通過(guò)端管云協(xié)同為用戶(hù)提供優(yōu)質(zhì)業(yè)務(wù)體驗(yàn)。當(dāng)切片運(yùn)行時(shí),不可避免地會(huì)與不同用戶(hù)、設(shè)備乃至不同切片通信。同一切片內(nèi)的接入網(wǎng)子切片與核心網(wǎng)子切片也會(huì)進(jìn)行交互。這些訪(fǎng)問(wèn)控制過(guò)程中,攻擊者都有可能對(duì)切片發(fā)起攻擊,造成嚴(yán)重后果[7]。

當(dāng)前的切片安全方案主要有兩個(gè)方面:一是切片的安全認(rèn)證;二是切片的軟、硬隔離。無(wú)論是切片的認(rèn)證還是隔離,都在一定程度上提高了切片通信的安全性。但這并不能滿(mǎn)足當(dāng)下復(fù)雜5G網(wǎng)絡(luò)環(huán)境中的動(dòng)態(tài)安全需求。

1.2 切片的認(rèn)證安全

切片普遍采用基于可擴(kuò)展認(rèn)證協(xié)議[8](extensible authentication protocol,EAP)框架下的認(rèn)證協(xié)議,進(jìn)行認(rèn)證授權(quán)。終端用戶(hù)通過(guò)無(wú)線(xiàn)接入網(wǎng)向核心網(wǎng)發(fā)送帶有用戶(hù)切片選擇信息的注冊(cè)請(qǐng)求,進(jìn)而觸發(fā)一系列認(rèn)證響應(yīng)過(guò)程,即主認(rèn)證與二次認(rèn)證過(guò)程。

基于EAP框架下的切片認(rèn)證雖然有效避免了非法訪(fǎng)問(wèn)造成的切片信息泄漏、竊聽(tīng)等安全問(wèn)題,提高了切片認(rèn)證的安全性,但也存在很多不足。切片的認(rèn)證體系在經(jīng)過(guò)對(duì)用戶(hù)進(jìn)行驗(yàn)證授權(quán)后,并不能持續(xù)監(jiān)測(cè)用戶(hù)的后續(xù)行為、實(shí)時(shí)改進(jìn)信任決策和訪(fǎng)問(wèn)權(quán)限。特別是對(duì)于已經(jīng)授權(quán)的內(nèi)網(wǎng)用戶(hù),其屬于“一次認(rèn)證,長(zhǎng)期信任”。當(dāng)攻擊者對(duì)切片發(fā)起拒絕服務(wù)(denial of service,DoS)攻擊與分布式拒絕服務(wù)(distributed DoS,DDoS)攻擊時(shí),現(xiàn)有的認(rèn)證機(jī)制并不能區(qū)分正常用戶(hù)請(qǐng)求與攻擊請(qǐng)求,從而會(huì)極大地消耗網(wǎng)絡(luò)計(jì)算資源。

1.3 切片的隔離安全

切片隔離有軟、硬隔離之分。硬隔離即物理隔離,通過(guò)硬件資源的劃分實(shí)現(xiàn)。軟隔離即邏輯隔離,將不同切片功能虛擬化,使用虛擬機(jī)或容器建立隔離機(jī)制,保障切片內(nèi)外安全[9]。NS的端到端隔離,一方面可以避免切片之間發(fā)生資源相互競(jìng)爭(zhēng),進(jìn)而影響切片的正常部署和運(yùn)行;另一方面也可以避免因單個(gè)切片的異常對(duì)其他切片安全產(chǎn)生影響。

無(wú)論是硬隔離還是軟隔離,都是建立在傳統(tǒng)的有內(nèi)外之分的網(wǎng)絡(luò)環(huán)境上的。當(dāng)前,由于應(yīng)用的設(shè)備、程序、資源等都在無(wú)處不在的云環(huán)境中,移動(dòng)用戶(hù)能夠通過(guò)Wi-Fi、VPN等工具隨時(shí)隨地進(jìn)入內(nèi)網(wǎng)獲得訪(fǎng)問(wèn)權(quán)限,即合法用戶(hù)也能發(fā)起攻擊;而非法用戶(hù)可以繞過(guò)外網(wǎng)隔離措施,進(jìn)入內(nèi)網(wǎng)進(jìn)行破壞活動(dòng)。

2 基于零信任的NS安全

2.1 零信任模型

傳統(tǒng)的網(wǎng)絡(luò)環(huán)境根據(jù)網(wǎng)絡(luò)資源本身的敏感性與保密級(jí)別,將資源部署在擁有不同信任等級(jí)的網(wǎng)絡(luò)區(qū)域。零信任通用模型如圖2所示。

圖2 零信任通用模型

不同網(wǎng)絡(luò)區(qū)域通過(guò)防火墻進(jìn)行訪(fǎng)問(wèn)隔離。但隨著接入設(shè)備種類(lèi)、數(shù)量的不斷增長(zhǎng),安全邊界日益模糊,攻擊者在通過(guò)身份認(rèn)證后可以繞過(guò)訪(fǎng)問(wèn)系統(tǒng)、防火墻等檢測(cè),進(jìn)而在內(nèi)部網(wǎng)絡(luò)進(jìn)行一系列惡意操作。因此,這種區(qū)分不同信任等級(jí)的傳統(tǒng)安全防護(hù)體系正在逐漸失效。

這種情況下,“永不信任”與“持續(xù)驗(yàn)證”的零信任理念應(yīng)運(yùn)而生。

在零信任安全架構(gòu)中[10],假設(shè)所有網(wǎng)絡(luò)區(qū)域都具有危險(xiǎn)性,那么位于任何網(wǎng)絡(luò)區(qū)域中的設(shè)備、設(shè)備間的通信、資源的訪(fǎng)問(wèn)主體均不可信。因此,必須對(duì)訪(fǎng)問(wèn)主體實(shí)時(shí)監(jiān)測(cè)并動(dòng)態(tài)授權(quán),一旦發(fā)現(xiàn)異常行為就及時(shí)限制權(quán)限或者中斷風(fēng)險(xiǎn)會(huì)話(huà)。

此外,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology,NIST)還提出了另一種實(shí)現(xiàn)零信任的技術(shù)——SDP。SDP作為現(xiàn)有零信任架構(gòu)的補(bǔ)充,用軟件定義的邊界作為覆蓋網(wǎng)絡(luò)保護(hù)資源,通過(guò)單包授權(quán)(single packet authorization,SPA)協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)隱身。其通信端口默認(rèn)不對(duì)主體開(kāi)放,只有發(fā)送SPA數(shù)據(jù)包進(jìn)行身份核驗(yàn)才能訪(fǎng)問(wèn)網(wǎng)關(guān)后的客體資源。

2.2 基于零信任的切片安全架構(gòu)

基于現(xiàn)有零信任方案加以改進(jìn),結(jié)合SDP技術(shù)的切片安全架構(gòu)如圖3所示。

圖3 切片安全架構(gòu)

整個(gè)架構(gòu)劃分為數(shù)據(jù)平面與控制平面。數(shù)據(jù)平面主要負(fù)責(zé)終端與業(yè)務(wù)資源的通信交互?？刂破矫媸钦麄€(gè)系統(tǒng)的關(guān)鍵部分,負(fù)責(zé)對(duì)數(shù)據(jù)平面進(jìn)行策略制定與控制。

數(shù)據(jù)平面包含接入終端、切片、網(wǎng)關(guān)和業(yè)務(wù)資源。終端用戶(hù)包括待接入的設(shè)備、系統(tǒng)和應(yīng)用等。切片包括下一代基站(gNB)以及用戶(hù)平面功能(user plane function,UPF)、接入和移動(dòng)性管理功能(access and mobility management function,AMF)、會(huì)話(huà)管理功能(session management function,SMF)等網(wǎng)元。網(wǎng)關(guān)即訪(fǎng)問(wèn)代理則部署在資源側(cè),有效隔離切片網(wǎng)絡(luò)與業(yè)務(wù)資源。其中,專(zhuān)網(wǎng)用戶(hù)安裝了定制的SDP客戶(hù)端,在經(jīng)過(guò)切片二次認(rèn)證后還需要通過(guò)客戶(hù)端向控制器和網(wǎng)關(guān)發(fā)送SPA報(bào)文進(jìn)行身份核驗(yàn)后才能獲取服務(wù)信息,以使用切片網(wǎng)絡(luò)進(jìn)行通信?？刂破矫鎰t通過(guò)控制器實(shí)時(shí)監(jiān)控訪(fǎng)問(wèn)主體,并根據(jù)可信度量算法動(dòng)態(tài)授予訪(fǎng)問(wèn)權(quán)限。

所設(shè)計(jì)的基于零信任的切片安全架構(gòu)結(jié)合切片原有的認(rèn)證與隔離安全機(jī)制,可以利用控制器與網(wǎng)關(guān)充當(dāng)“中間人”角色,有效隔離用戶(hù)與資源。其中,控制器對(duì)用戶(hù)的訪(fǎng)問(wèn)全過(guò)程進(jìn)行實(shí)時(shí)監(jiān)控,實(shí)現(xiàn)了“一次安全”到“實(shí)時(shí)安全”的轉(zhuǎn)變。相比傳統(tǒng)強(qiáng)調(diào)區(qū)域的安全,基于零信任的切片安全強(qiáng)調(diào)5G網(wǎng)絡(luò)環(huán)境中的內(nèi)生安全,旨在保持NS靈活性、可拓展性的同時(shí),增強(qiáng)網(wǎng)絡(luò)的安全性和可靠性。

零信任網(wǎng)絡(luò)連接時(shí)序如圖4所示。

圖4 零信任網(wǎng)絡(luò)連接時(shí)序

2.3 基于QoS的可信度量

零信任切片安全架構(gòu)的關(guān)鍵是判定用戶(hù)行為的可信度量方法。在工業(yè)自動(dòng)化場(chǎng)景下,其主要有運(yùn)動(dòng)控制、控制器間通信、過(guò)程自動(dòng)化、移動(dòng)機(jī)器人等用例。不同用例的業(yè)務(wù)需求各不相同[11]。例如,運(yùn)動(dòng)控制需求是傳輸速率大于1 bit/s、時(shí)延小于1 ms、通信服務(wù)可靠性99.999 9%～99.999 999%;控制器間通信需求是傳速速率5～10 Mbit/s、時(shí)延小于10 ms、通信服務(wù)可靠性大于99.999 9%。用戶(hù)在選擇接入時(shí),會(huì)按照業(yè)務(wù)需求選擇對(duì)應(yīng)的切片類(lèi)別,即接入不同切片用戶(hù)的QoS參數(shù)也不同。與預(yù)設(shè)切片參數(shù)區(qū)間偏離越大,代表用戶(hù)的信任度越低、權(quán)限越小。一些信任度低的用戶(hù)甚至沒(méi)有訪(fǎng)問(wèn)權(quán)限。5G標(biāo)準(zhǔn)化QoS特征示例如表1所示[12]。

表1 5G標(biāo)準(zhǔn)化QoS特征示例

由于篇幅限制,表1只列舉了部分特征描述。其中:5G服務(wù)質(zhì)量標(biāo)識(shí)(QoS identifier,QI)對(duì)應(yīng)不同場(chǎng)景下的QoS屬性要求;承載的保證比特率(guaranteed bit rate,GBR)類(lèi)型表示要預(yù)留一定的帶寬;互聯(lián)網(wǎng)協(xié)議(internet protocol, IP)地址多媒體子系統(tǒng)(IP multimedia subsystem,IMS)表示在IP基礎(chǔ)上構(gòu)建開(kāi)放核心網(wǎng)控制架構(gòu)。

以任意切片為例,對(duì)于QoS參數(shù),定義1組向量Q=(Q1,Qx,…,Qi,…,Qn)。其中,Qi為第i個(gè)QoS屬性偏離程度歸一化結(jié)果,0≤Qi≤1,1≤i≤n。參考表1中的QoS特征,本文選取可用性(Q1)、可靠性(Q2)和實(shí)時(shí)性(Q3)這3個(gè)指標(biāo)參與信任計(jì)算。

(1)

式中:Vr、V0分別為當(dāng)前實(shí)時(shí)監(jiān)測(cè)的傳輸速率和切片的預(yù)置傳輸速率即期望的傳輸速率,Mbit/s;K1為靈敏度,根據(jù)容許偏差范圍設(shè)置。

(2)

式中:Dr、Dt分別為接收到的數(shù)據(jù)包數(shù)與發(fā)送的總數(shù)據(jù)包數(shù),byte;Pr、P0分別為當(dāng)前丟包率與切片預(yù)置的丟包率,Pr、P0∈[0,1]。

(3)

式中:Tr、T0分別為當(dāng)前實(shí)時(shí)監(jiān)測(cè)得到的時(shí)延數(shù)據(jù)和切片的預(yù)期時(shí)延,ms;K2為靈敏度。

(4)

控制器根據(jù)計(jì)算得到信任度劃分閾值Δ:大于Δ設(shè)為可信,允許訪(fǎng)問(wèn)切片資源;小于Δ設(shè)為不可信,拒絕或中斷風(fēng)險(xiǎn)會(huì)話(huà)。

3 仿真與結(jié)果分析

3.1 試驗(yàn)設(shè)置

本文采用Matlab軟件對(duì)基于QoS參數(shù)的可信度量計(jì)算式進(jìn)行仿真試驗(yàn)。試驗(yàn)假設(shè)當(dāng)前場(chǎng)景下傳輸速率偏差在10 Mbit/s內(nèi)、丟包率偏差在0.2內(nèi)、時(shí)延偏差在1.5 ms內(nèi)為正常用戶(hù),超出偏差范圍則為惡意用戶(hù)。試驗(yàn)以t=1為初始時(shí)刻,觀察20個(gè)單位時(shí)間內(nèi)信任度變化,并將信任初始值均設(shè)為0。每次用戶(hù)QoS參數(shù)更新代表新一次的通信。信任度動(dòng)態(tài)更新。試驗(yàn)中初始參數(shù)設(shè)置如表2所示。

表2 初始參數(shù)設(shè)置

3.2 結(jié)果分析

用戶(hù)的信任度變化曲線(xiàn)如圖5所示。

圖5 用戶(hù)的信任度變化曲線(xiàn)

由圖5(a)可知:正常用戶(hù)由于滿(mǎn)足當(dāng)前接入切片類(lèi)型的QoS值區(qū)間,信任度在較高的區(qū)間波動(dòng);惡意用戶(hù)偏離接入切片類(lèi)型的QoS值區(qū)間,信任度始終維持在數(shù)值較低的區(qū)間;被攻擊者惡意劫持的正常用戶(hù),初始經(jīng)過(guò)身份驗(yàn)證為正常用戶(hù),被攻擊者控制后行為偏離接入切片類(lèi)型,信任度在某個(gè)時(shí)間點(diǎn)驟降。因此,無(wú)論是正常用戶(hù)、惡意用戶(hù)還是劫持用戶(hù),控制器都能夠根據(jù)實(shí)時(shí)輸出的信任度作出相應(yīng)的判斷。該結(jié)果驗(yàn)證了度量算法是實(shí)時(shí)、有效的。此外,試驗(yàn)允許的誤差范圍已經(jīng)給出,不難計(jì)算得到閾值:

(5)

圖5(a)中,正常用戶(hù)信任度始終大于閾值,而惡意用戶(hù)在閾值以下,符合試驗(yàn)設(shè)置。由圖5(b)可知,調(diào)節(jié)因子越小,曲線(xiàn)滯后越明顯,對(duì)歷史信任度的參考越多。當(dāng)α為1時(shí),不考慮歷史信任度的實(shí)時(shí)曲線(xiàn)。雖然實(shí)時(shí)性強(qiáng),但未參考?xì)v史信任度導(dǎo)致波動(dòng)較大。α為0.4、0.2、0.1時(shí)曲線(xiàn)更為平滑,滯后明顯,與實(shí)時(shí)曲線(xiàn)差距大,實(shí)時(shí)性不足。零信任更多強(qiáng)調(diào)對(duì)用戶(hù)的實(shí)時(shí)驗(yàn)證,但歷史信任度反應(yīng)用戶(hù)的歷史行為具有一定參考價(jià)值。當(dāng)α為0.8時(shí),曲線(xiàn)既接近實(shí)時(shí)曲線(xiàn)又能反映歷史信任度的考量。因此,α取0.8較為合適。根據(jù)推導(dǎo)得到的閾值Δ=0.46。信任初值應(yīng)該在閾值以下,否則會(huì)對(duì)未來(lái)時(shí)間內(nèi)的信任度產(chǎn)生影響。試驗(yàn)中,信任初值設(shè)為0較合理,并且默認(rèn)不信任任何用戶(hù)。

現(xiàn)有的可信度量方法是基于信任屬性的,因此信任屬性的選擇直接關(guān)系到度量結(jié)果的優(yōu)劣。常見(jiàn)的信任屬性包括設(shè)備、身份、位置等。但這類(lèi)信任屬性屬于固有屬性,并不能動(dòng)態(tài)反映接入主體的行為。而基于QoS參數(shù)的可信度量算法中,QoS相關(guān)參數(shù)直接可以從切片網(wǎng)絡(luò)中獲取,是用戶(hù)通過(guò)切片訪(fǎng)問(wèn)業(yè)務(wù)資源產(chǎn)生的數(shù)據(jù)。其實(shí)時(shí)跟蹤主體的動(dòng)態(tài)行為。這不易被偽造,因而能夠滿(mǎn)足零信任對(duì)于可信度量方法實(shí)時(shí)性與準(zhǔn)確性的要求。這是其他信任屬性難以達(dá)到的效果。

4 結(jié)論

本文針對(duì)5G NS的安全問(wèn)題,分析現(xiàn)有認(rèn)證與隔離技術(shù)存在的天然缺陷,提出了一種基于零信任的切片安全架構(gòu)。該架構(gòu)由傳統(tǒng)“一次認(rèn)證,長(zhǎng)期信任”過(guò)渡為“永不信任,持續(xù)驗(yàn)證”,可以作為現(xiàn)有安全技術(shù)的補(bǔ)充,從而提高切片內(nèi)生安全性。

用戶(hù)與切片通信過(guò)程中,一旦發(fā)現(xiàn)異常,控制器會(huì)通過(guò)網(wǎng)關(guān)及時(shí)切斷風(fēng)險(xiǎn)會(huì)話(huà),能夠有效保護(hù)切片認(rèn)證訪(fǎng)問(wèn)過(guò)程的安全。為了實(shí)現(xiàn)對(duì)用戶(hù)信任的實(shí)時(shí)度量,本文引入了基于QoS參數(shù)的可信度量方法,并通過(guò)仿真試驗(yàn)驗(yàn)證了該方法在度量過(guò)程中的有效性。這為實(shí)現(xiàn)細(xì)粒度的訪(fǎng)問(wèn)控制決策奠定了基礎(chǔ)。雖然基于零信任的切片安全架構(gòu)能夠有效增強(qiáng)網(wǎng)絡(luò)內(nèi)生安全性,但零信任控制器本身也有可能遭到惡意攻擊。因此,如何保證零信任控制器始終安全將是零信任未來(lái)的研究方向之一。