5G传输网络安全现状

余滢鑫 余晓光 翟亚红 阳陈锦剑 解晓青

1(华为技术有限公司西安研究所 西安 710075)

2(华为技术有限公司松山湖研究所 广东东莞 523808)

3(中国网络安全审查技术与认证中心 北京 100020)

(yuyingxin@huawei.com)

1 5G传输面临的安全性挑战

无线基站到核心网之间的IP承载网和光传输网，是整个5G网络的基础骨架，如果被入侵破坏，很可能导致5G业务大范围的受损甚至中断，因此传输网络的安全保护至关重要[1].

与4G网络相比，5G网络要求信息在传输过程中要具有更快的速度、更高的可靠性、更大的带宽和更低的时延.如果传输网络受到DDoS攻击、病毒攻击、路由注入攻击或PE设备受到非法访问等，可能造成PE设备故障、承载网路由振荡、接入网内部合法业务受损、合法路由数量减少等安全事故.对一些安全等级高的敏感业务，承载网需要保障业务数据的安全，避免通信数据流量被窃听或者篡改，还要做好不同业务流量的安全隔离.另外，考虑到承载网对智慧城市业务运行和社会运转的重要意义，承载网需要保障自身的HA高可用性，满足电信级高可靠要求.

传输网络面临的典型安全威胁如下：

1) 接入侧风险.

骨干网中PE设备受到的传统攻击威胁包括：非法访问PE设备、DDoS攻击、病毒泛滥、恶意注入非法路由、注入路由数量过多.这些威胁可能造成PE设备故障、承载网路由振荡、网络流量不能到达目的地致合法业务受损、将流量引流到黑客所在网络进行信息窃取、合法路由数量减少致目标网络流量过载DDoS等危害.

承载网与互联网互访受到的传统边界威胁包括：IP承载网受到互联网中病毒威胁、DDoS攻击，公网大量路由泄露到IP承载网.这些威胁可能造成IP承载网核心设备故障、非法流量致带宽损失、核心业务受到影响、路由泄露致承载网内部路由泛滥等危害.

2) 管理面的安全威胁.

来自网管的管理面安全威胁包括网管终端直连互联网,Windows等操作系统易感染病毒，网管终端的权限管理复杂等，这些威胁可能造成互联网的风险通过网管网扩散到承载网.

3) 5G业务网络的安全威胁.

对于半封闭业务系统主要面临：智能终端的非法呼叫、盗用带宽、网管系统的终端威胁、不受控IAD(桌面IAD)设备的管理问题等安全威胁，可能造成软交换系统瘫痪、阻塞链路、影响正常用户的带宽等危害.

对于开放的业务系统主要面临：大客户网络对骨干网造成的威胁、互联网用户接入带给大客户网络的威胁、黑客等非法用户对系统的威胁，这些威胁可能造成链路拥堵、用户数据失窃、对承载网的非法访问、病毒扩散等危害.

2 5G传输网的安全要求

为确保5G传输网络的安全，首先需要在网络本身的规划设计上，做好HA高可用设计，避免单点故障造成整个传输网络瘫痪.其次，针对数据安全要求较高的场景可以考虑部署安全加密隧道，以保障网络数据报文的机密性和完整性，避免业务流量非法监听或者遭遇网络重放攻击，同时在承载网的协议控制面上，可以采用SSL安全协议等措施，避免可能的路由协议攻击.最后，可以通过VLAN,FlexE,VPN等技术措施实施承载网的逻辑或物理隔离，不同业务或者不同运营商的5G流量通过相互间隔离的管道来承载[1].

在5G传输网络中存在安全威胁的网络位置主要在基站接入侧、云接入侧、互联网侧、网管侧等外部交互点，如图1所示.

图1 5G传输网络及风险点

在基站接入侧，承载网可以通过边界配置ACL防范非法报文、为基站业务分配VPN独立承载并配置限速策略，同时在边界设备上配置ND,ARP,ICMP等防攻击及DHCP Snooping，以防范来自基站侧的攻击.

在云接入侧，需要在DC边界部署防火墙，实现云和承载网络之间的隔离；在DC接入承载网的边界设备接口，配置网络限速、TCP/IP攻击防范等措施来防范来自云的攻击.

在互联网侧，需在IGW上的互联网边界部署抗DDoS攻击防护设备，实现近源的异常流量检测和流量清洗；在电信云边界部署专业安全防护设备，保护电信云内业务.

在传输管理侧，面临来自网管网的安全威胁，需要在网管和传输网之间部署防火墙抗DDoS攻击；另外传输设备按需部署CP-CAR等防攻击策略，设置SNMP和SSH 等安全版本协议并配置相应的ACL白名单；在传输网络和网管网之间构建独立VPN以确保数据安全和防篡改；同时管理上，需要严格控制网管终端的接入权限，并做好安全审计，以防止非法用户通过网管接入传输网元设备.

除了上述对传输网传统的安全防护要求之外，针对5G的新架构和业务需求，还需通过传输切片隔离技术和IPSec加密技术来保障传输业务的安全.在切片安全要求方面，通过安全portal保护切片业务发放，承载网络实现切片物理隔离，防止资源抢占和切片间渗透；在传输加密方面，可部署安全网关进行IPSec加密，实现基站和5GC之间、下沉UPF和5GC之间的端到端安全加密通信；还可通过非安全链路逐跳部署MACSec实现安全通信.

3 5G传输网的关键安全技术

5G传输承载网的安全需从以下几个方面进行保护：首先是网络规划和设计，需采用HA高可用冗余设计，避免单点故障，在管理上需实现权限管理、账号和密码的访问认证等.其次是协议控制，可通过配置MD5身份验证、SSL加密等安全措施，避免可能的路由协议攻击，如BGP路由劫持攻击.最后是对于用户的安全保护，可部署IPSec安全加密以确保用户面网络数据包的机密性和完整性，防止非法流量拦截或网络重播攻击等[2].

1) HA高可靠网络

5G承载网应通过采用拓扑冗余设计等高可靠设计方案，以确保5G传输网络提供的5G通信服务的连续性.在网络的各位置，可使用不同的高可用技术，如图2所示.

图2 承载网高可用网络

采用HA方案，保障传输网络的业务连续性，主要技术如下：

① 物理拓扑冗余设计.承载网实现由接入环、汇聚环、核心环构成，以此消除单点故障，实现高可用性.接入环可采用虚拟路由器冗余协议(virtual router redundancy protocol, VRRP)、双向转发检测(bidirectional forwarding detection, BFD)、IP快速重路由(IP fast reroute, FRR)等高可用技术；汇聚环和核心环可采用双向转发检测(bidirectional forwarding detection, BFD)、段路由-流量工程(segment routing-traffic engineering, SR-TE)、标签分发协议快速重路由(label distribution protocol, LDP FRR)、流量工程快速重路由(traffic engineering FRR, TE FRR)、虚拟专用网快速重路由(VPN FRR)以及自动交换光网络(automatically switched optical network, ASON)等高可用技术进行容灾保护.

② 在协议层面通过节点保护和链路保护，保障5G承载网电信级倒换性能.

2) 采用切片技术实现不同5G业务之间的传输安全隔离

用户通过多个切片访问不同的业务时，需充分考虑网络切片间的安全隔离，为不同安全等级的业务设计独立的切片安全策略，保障切片隔离安全.在传输承载网中，每个网络切片都应以稳固的方式相互隔离，如果网络切片之间隔离策略不当，攻击者可能以攻入的切片为跳板进而对其他切片资源发起攻击，非法访问切片数据或占用切片资源[3].

为了防止网络资源抢占和越权访问业务数据，需要根据5G业务需求实现传输网络的硬隔离和软隔离.传输网有着相对丰富的技术手段来满足不同隔离度的切片需求，当前最主要的手段包括软隔离手段HQoS和信道化子接口技术、硬隔离手段FlexE技术，如图3所示：

图3 传输网切片技术对比

HQoS即层次化QoS(hierarchical quality of service, HQoS)，是一种通过多级队列调度机制，解决Diffserv模型下多用户多业务带宽保证的技术.传统的QoS采用一级调度，单个端口只能区分业务优先级，无法区分用户.只要属于同一优先级的流量，使用同一个端口队列，不同用户的流量彼此之间竞争同一个队列资源，无法对端口上单个用户的单个流量进行区分服务.HQoS采用多级调度的方式，可以精细区分不同用户和不同业务的流量，提供区分的带宽管理[4].

FlexE信道化子接口是指将一个大带宽物理ETH口划分为子接口.不同接口承载不同类型的业务.接口之间的业务互相隔离，互不影响，接口内的业务各自遵循HQoS调度，从而实现带宽的物理隔离.

Flex技术是本文介绍重点，FlexE技术是基于时隙调度将1个物理以太网端口划分为多个以太网弹性硬管道，使得网络既具备类似于TDM(时分复用)独占时隙、隔离性好的特性，又具备以太网统计复用、网络效率高的双重特点，实现同一分片内业务统计复用，分片之间业务互不影响.通过使用FlexE技术，可以将物理网络进行分片，形成多个逻辑网络，不同的切片业务承载于不同的逻辑网络之上，从而实现业务的硬隔离.

FlexE的通用架构如图4所示，可以支持任意多个不同子接口(FlexE Client)在任意一组PHY(FlexE Group)上的映射和传输，从而实现上述捆绑、通道化及子速率等功能[5].

图4 FlexE通用架构

其中，FlexE Client对应于外在观察到的用户接口，一般为64 b或66 b的以太网码流，支持n×5G速率；FlexE Shim则是MAC/RS和PCS/PHY层之间的子层，完成FlexE Client到FlexE Group携带内容之间的复用和解复用,实现FlexE的核心功能；FlexE Group是绑定的一组FlexE PHY.

同作为硬隔离技术，信道化子接口与FlexE接口相比，隔离度相对较低，且带宽粒度小，一般用于接入层.

信道化子接口和Flex接口对应的能力对比如表1所示.

表1 信道化接口和FlexE接口对比

与信道化子接口相比，FlexE接口具有更少的共享路径，不同信道的数据包之间的资源冲突更少；

FlexE接口和信道化子接口独立占用带宽资源.因此，不同信道的带宽不能相互抢占;

基于FlexE技术，可以将一张物理网络分片成多个逻辑网络，不同的逻辑网络端口带宽是隔离的，链路属性可以进行独立设计.

3) 传输网络业务平面MPLS VPN隔离

在传输网络中，还可以通过如图5所示的MPLS VPN技术实现业务平面隔离，效果可等同切片技术，且该逻辑隔离技术安全性较高，应用成熟.

图5 通过MPLS VPN隔离不同业务

在安全性上，MPLS VPN采用路由隔离、地址隔离和信息隐藏等手段抗攻击和标记欺骗，达到了FR/ATM级别的安全性，是IP承载网的基础技术.从实际使用情况来看，目前没有由于VPN客户对运营商网络的攻击导致网络瘫痪的报告，也没有MPLS VPN内用户被其他VPN用户攻击的报告，因此MPLS VPN是安全的，除非VPN的恶意用户对PE发起控制面以及管理面的攻击[6].

MPLS VPN可以实现底层标签自动的分配，在业务的提供上比传统的VPN技术更廉价、更快速.同时MPLS VPN可以充分利用MPLS技术的一些先进的特性，比如MPLS 流量工程能力、MPLS的服务质量保证，结合这些能力，MPLS VPN可以向客户提供不同服务质量等级的服务，也更容易实现跨运营商骨干网服务质量的保证.同时MPLS VPN还可以向客户提供传统基于路由技术VPN无法提供的业务种类，比如像支持VPN地址空间复用.对于MPLS的客户来说，运营商的MPLS网络可以提供客户需要的安全机制以及组网的能力，VPN底层连接的建立、管理和维护主要由运营商负责，客户运营其VPN的维护和管理都将比传统的VPN解决方案简单，也降低了企业在人员和设备维护上的投资和成本.基于MPLS的VPN可以作为传统的基于2层专线的VPN、纯3层的IP VPN和隧道方式的VPN的替代技术，在现阶段可以作为传统VPN技术的有效补充.

4) 传输链路加密技术

对于敏感的业务数据需要实现传输链路加密，以防止数据泄露.在5G场景下IPSec技术是较为成熟的集传输加密和认证于一体的安全方案，可以实现基站到核心网的N2接口、基站到5GC和边缘UPF之间业务流的N3接口以及边缘计算到客户网关之间的安全加密，如图6所示:

图6 5G传输链路IPSec加密[7]

IPSec是IETF定义的安全架构，应用于IP层，由AH,ESP，IKE协议组成.IPSec为IP网络通信提供端到端的安全服务，保护IP网络通信免遭窃听和篡改，有效地抵御网络攻击.采用IPSec通信的2端(简称IPSec对等体)通过加密与数据源验证等方式，能保证IP数据包在网络上传输时的私密性、完整性、真实性与防重放.

使用IPSec通道保护数据安全传输之前，通信对等体之间必须先建立安全关联SA，协商流程如图7所示.SA是通信对等体经协商建立起来的一种协定，SA中约定了通信双方的安全服务策略，实现对不同的数据流提供不同的安全保护.

图7 IPSec业务流程

IPSec框架中定义有2种SA，分别是IKE SA和IPSec SA. IKE SA是经过2个IKE对等体协商建立的一种协定，IKE SA中约定了IKE对等体之间使用的加密算法、认证算法、认证方法、PRF(pseudo-random function)算法以及IKE SA的生存周期等信息.IPSec SA是在IKE SA的保护下协商出来的.1个IPSec通道对应1个IKE SA，1个IKE SA下可协商出多个IPSec SA[8].

5) 网络层路由安全

传输网络层常用的路由协议包括BGP IPv6，OSPFv3，ISIS协议，这些路由协议如使用不当会有安全风险.

其中，针对BGP IPv6协议风险，可以通过建立传输网元邻居关系时对身份进行认证，对发布的路由信息进行MD5，keyChain认证校验，避免与仿冒节点建立路由邻居；对于数据保护，可采用基于TLS认证，加密BGP协议报文，保证网络上数据传输的安全性；同时，通过进一步控制路由规格，设置路由超限控制，防止DDoS攻击.

针对OSPFv3协议风险，可以采用对OSPFv3协议进行认证追踪、OSPFv3协议内容使用IPSec加密认证、设置路由超限控制、采用OSPFv3层次化路由结构等措施来消减.

针对ISIS协议风险，可以采用ISIS认证、路由超限控制、链路层协议，以确保网络层无法被直接攻击.

另外，在网络层针对SRv6路由，可以通过定义SRv6安全域，在安全域内部基于SRv6转发，过滤安全域边界目的地址是安全域内地址的报文的方式，以及通过SRv6域内节点丢弃目的地址是本地local SID且源地址不是SRv6域内地址的报文的方式，实现对域外攻击流量的防御；跨安全域需要采用SRv6转发时，可以采用Binding SID技术粘连SRv6安全域，隐藏拓扑，并在安全域边界校验Binding SID地址，丢弃非法报文，以防止域内信息泄露.其他技术手段还可采用HMAC校验技术保护SRH，实现防仿冒、篡改、抵赖.

4 总 结

本文研究以探索5G场景下传输网络面临的安全风险和防护技术为目标，剖析5G传输网络在外部接入、业务传输和网元管理方面的安全风险，并基于安全风险分析了相应的安全需求及关键的实现技术，对5G网络在传输领域的应用安全性开展创新研究和技术储备，融合入5G整体的安全性.