◆王 娟
(公安部第三研究所网络安全技术研发中心 上海 201204)
5G网络的虚拟化特点,改变了传统网络中功能网元的保护很大程度依赖于对物理设备的安全隔离的现状,原先认为安全的物理环境已经变得不安全。因此必须要解决5G新技术的潜在安全挑战,以确保新的5G服务、基础设施以及用户隐私数据的安全。
SDN将网络控制平面与数据转发平面分离,网元的控制平面在控制器上,负责协议计算,产生流表;而转发平面只在网络设备上。当SDN控制器更新或修改数据转发元素中的流规则时,攻击者可以轻松识别此类控制信息流量,使其成为网络中的可见实体,从而成为DoS攻击的最佳选择。由于可编程性,大多数网络功能都可以通过SDN应用程序实现。因此如果恶意应用程序被授予访问权限,或者关键应用程序编程接口(API)暴露于非预期的软件环境中,则会造成整个网络崩溃。
当前SDN架构(OpenFlow)要求数据转发网元存储业务流请求直到控制器更新流转发规则。但是像OpenFlow交换机之类的转发网元仅具有有限的资源来缓冲未经请求的数据流,因此数据平面网元易受到饱和攻击。此外,与大型网络中的长恢复延迟不同,对控制器的依赖性要求数据控制平面信道能够适应安全攻击。目前主要通过冗余控制器来解决控制器可用性的问题,提高对安全攻击的恢复能力。但是,多个控制器易导致转发元素配置错误或联合冲突,从而导致全网安全策略执行受阻。
NFV将网络功能与底层专有硬件分开,将网络功能从硬件转移到软件应用程序,不需要配置具有特定服务或功能的专用硬件。从在移动网络使用的角度来看,当前的NFV平台还不能为虚拟化通信服务提供适当的安全性和隔离[2],虚拟网络功能(VNF)的动态特性易导致配置错误,从而导致安全漏洞。NFV除了易受到欺骗、嗅探和拒绝服务攻击等典型网络攻击外,还易受到一系列特殊的虚拟化威胁,包括旁路攻击、洪泛攻击、虚拟机管理程序劫持、恶意软件注入等。
NFV的基础设施级攻击包括运行干扰和共享资源滥用。由于基础设施的通用可访问性,攻击者通过插入恶意软件或操纵网络流量来干扰基础设施的运行。资源滥用型攻击将导致受害者无法获得共享或专用资源的好处。此外,维护NFV系统的信任机制也是一个巨大的挑战。通常,物理网络设备由受信任的员工安装和配置,在安装过程中已建立对设备的信任,而VNF是从云中动态获取的,因此需要某种级别的信任机制来防止恶意VNF。
云计算将不同技术的服务系统集中到一个部署多个服务的基础设施中,由于云计算系统包含用户共享的各种资源,因此当用户消耗过多资源,秘密访问其他用户的资源,或是传播恶意流量时,将降低整个系统的性能。
MEC作为云计算的一个关键用例,在移动网络边缘的RAN侧扩展IT和云计算功能,开发人员和内容提供商能够直接访问实时无线接入信息。由于MEC将云计算功能扩展到移动网络的边缘,因此与传统大型数据中心相比,可以提供给边缘主机的保护级别较低。MEC的主要安全问题由支持云的物联网环境以及开放API造成,开发人员通过开放API向MEC应用程序和终端用户提供服务。采用开放API通常会产生安全漏洞,第三方攻击者通过这些漏洞对MEC环境发起各种攻击。MEC的主要威胁包括DoS攻击,恶意模式问题和虚拟机操纵等。
移动云计算(MCC)将云计算的概念迁移到5G中,MCC的开放式架构和移动终端的多功能性将造成安全漏洞。根据目标云切片可以将MCC威胁分为前端威胁、后端威胁和基于网络的移动安全威胁。前端威胁将从物理威胁转变为基于应用程序的威胁。后端威胁主要针对移动云服务器,威胁范围涉及从数据复制到HX-DoS的攻击。基于网络的移动安全威胁,潜在攻击包括Wi-Fi嗅探,DoS攻击,地址模拟和会话劫持。
SDN具有网络全局视图、集中控制、网元可编程性的特点,可实现全网统一的安全策略。因此如果能够解决SDN固有的安全挑战,SDN将解决通信网络安全的潜在问题。SDN从网络资源、状态和流量中收集信息,通过信息循环促进威胁快速识别,SDN架构支持积极主动的安全监控、流量分析和响应系统。响应系统用来促进网络取证,安全策略的更改以及安全服务插入。
SDN能够以数据包级粒度提供数据包源,采用的路由,甚至是数据包内容。与传统网络中安全设备配置在网络入口不同,SDN中安全应用程序可以在任何网络位置通过控制平面收集数据流。SDN的这种功能为建立全网统一的安全策略以及早期识别任何网络位置的安全威胁奠定了基础。
VNF提出的安全架构不仅为多租户环境中的虚拟功能提供安全性,而且还为物理实体提供安全性。使用可信计算、虚拟系统和虚拟机管理程序的远程验证和完整性检查功能,能够为私有信息提供基于硬件的保护,并在虚拟环境中检测损坏的软件。在NFV系统中,可以使用复杂的安全保护解决方案(如防火墙)来防止外部攻击,还可以利用身份和访问管理机制来减轻内部人员攻击的影响。为防止基础设施级攻击,可以持续监控每个用户的资源消耗情况并根据IP地址黑名单阻止恶意请求。
为了增加不同实体之间的信任,在整个生命周期,需要在NFV环境中创建和维护一系列信任关系。基于加密技术的解决方案可用于保证VNF的机密性。VNF提供商可以利用问责制和信任管理机制来了解在网络中运行的软件是否被修改。安全外包是NFV中另一种可行的解决方案,将敏感信息传输到外部网络,这样既保护敏感信息,还能够验证数据完整性。
MCC中提出的大多数安全方案都围绕着虚拟化技术的使用,加密方法的重新设计以及数据处理点的动态分配。隔离用户之间的虚拟连接可以提供云内安全保护。对于特定的安全威胁,例如HX-DoS,基于学习系统的特定解决方案比通用方法更有效。基于学习的系统采用一定的数据包样本,针对各种已知属性进行分析,从而检测和减轻威胁。
为了保护移动终端,反恶意软件的解决方案将安装在移动终端或直接从云上获取服务。针对应用程序安全性,安全架构包括用于用户身份保护的轻量级动态口令生成机制,用于隐私保护的设备内空间隐藏机制等。
5G将使用移动云、SDN和NFV来应对大规模连接、系统灵活性和成本的挑战。但这些技术本身存在安全挑战,可能会使得网络安全格局进一步复杂化。因此,本文讨论了5G网络新技术带来的安全挑战,并针对上述安全挑战提出了可能的解决方案。