NFV安全保障的需求场景与关键技术研究

罗成

(广东南方电信规划咨询设计院有限公司,广东深圳 518000)

1 NFV安全的概述

NFV技术是构建5G承载和5G核心网的关键技术之一,其理念就是基于通用的、标准的服务器与存储平台,利用虚拟化技术,承载各类功能的软件,由虚拟化后的网元替代封闭体系下的通信设备,从而统一集约建设硬件平台的目的。随着数字业务的大发展和5G通信能力的大幅提升,要求网络运营商必须在研发、运营、服务三种模式都做出各方面的改变[1]。NFV的技术架构图1所示,针对网络虚拟化应用的特性将NFV架构分为三层:(1)NFVI。(2)虚拟通信业务层。(3)运营支撑层。采用NFV技术对5G网络网元的软硬件解耦,并结合云计算技术实现承载网络和核心网的云化部署,通过网络控制和转发分离等技术,可以实现5G网络按照不同要求敏捷部署、资源的动态扩缩容,可实现各种网络功能和应用模块的开发、上线、运营。

图1 NFV技术架构图Fig.1 NFV technology architecture diagram

2 NFV新的安全挑战

NFV技术由于其开放性,对5G的网络安全提出了新挑战。NFV的安全问题大致可以分为两种,一种是与传统网络安全问题,另一类是在5G网络引入NFV后特有安全问题。传统安全问题在学术界和工程界研究较多,应对策略非常成熟,不再赘述。因此,本文将重点分析NFV技术在特殊需求场景下的安全问题。本节描述6个典型的NFV安全需求场景[2]。

2.1 多租户托管

此场景为平台运营者在其经营或拥有的NFVI上为其他一个或多个VNF运营者提供主机服务。平台运营者需确保由其他运营者保有的敏感进程、算法和数据不能被NFVI运营者查看或更改,无论是有意还是无意的。

2.2 基础设施即服务

基础设施即服务(IaaS)场景为服务提供者为第三方提供基础设施服务,并须确保其自身不能查看或更改虚拟应用中的数据或算法。严格意义讲,IaaS不属于纯粹的NFV应用场景,但安全需求是共通的。IaaS运营者也有保证其租户的敏感进程、加密密钥等安全的责任。

2.3 敏感应用

在此场景下,运营商实施了访问控制和安全域隔离策略,需要将敏感应用功能从其他网络功能中分离出来,典型的敏感应用如3GPP AUC和HSS等。与其他网络功能相比,一般情况下运营商网络内此类敏感功能类似于“孤岛”,且仅允许有限管理员访问。其安全需求:(1)引导时VNFI可能会验证数据库、静态配置数据和应用根密钥链的完整性。(2)运行时需保证敏感功能的完整性,其缺失可能会导致整个虚拟网络和服务的完整性缺失。(3)需保证密码相关应用功能的数据机密性。(4)需保证密码相关应用功能或用户数据库的数据相关元数据的机密性。(5)某些功能为防止对密码功能的攻击需要隐藏资源使用情况。(6)密钥、加密算法和其他敏感信息需要安全存储。(7)密钥、加密算法和需保护的消费者数据需要安全清除。

2.4 网络监测和控制

此场景下,运营商实施了受限的访问控制和安全域隔离,需要将监控功能从其他网络功能中分离出来。例如如路由器、防火墙、分组报文监测过滤器和其他网络防御功能等均存在监控功能,在虚拟化时应该考虑将监控功能的分离出来。其安全需求如:(1)在引导和运行时,考虑到这些功能控制着其他VNF的访问且有助于网络防御,需保证其完整性。(2)考虑到这些功能控制着其他VNF的访问且有助于网络防御,需确保正确的定位和定位认定。(3)某些功能用来抵御病毒或其他攻击、观测密码或用户业务数据,需保证其能够安全清除。(4)考虑到这些功能控制着其他VNF的访问且有助于网络防御,需认定其操作的正确性。

2.5 合法监听

合法监听(LI)场景安全需求:(1)当此功能不可用时,能够通过快速监测和LI业务缺失报告及时触发修正流程,确保功能可用。(2)LI只能在颁布了相关授权的国家实施。(3)目标列表作为关键信息应该受到保护,仅有恰当的LI功能方能对其进行读取或修改。监听产品到LEA的递交路径也应保证机密性。(4)需保证元数据、流程及相关元数据的机密性。(5)需隐藏资源使用情况,当LI发生时可以减少被察觉的几率。当LI开始或结束时,要求未授权实体几乎察觉不到任何变化。另外,LI流量统计数据不应轻易被判别出来。(6)LI管理和监听产品递交均应保证安全的通信。(7)应保证目标列表的安全存储。(8)宿主业务的信任需要来自外部实体,可以是NFV平台内部的TPM或外部可信实体,此时需使用LI功能硬件鉴别信任根。(9)需确保工作负载配置策略正确且合理。如当业务迁移时需确保目标业务不会迁移到LI不能或不宜实施的点。

2.6 数据留存

数据留存场景安全需求:(1)当此功能不可用时,能够通过快速监测和留存数据业务缺失报告及时触发修正流程,确保功能可用。(2)需明确知悉留存数据存储位置,进而按照相关安全法律执行相关操作。(3)需确保关注主题列表的机密性,不管是出于操作原因还是保护关注主题隐私的目的。(4)需保证请求和响应间安全的通信。(5)当请求被响应时,请求内容应该被安全存储。一旦查询请求被响应,关于何时删除请求和响应,需遵循国家规定和需求。如果有足够的措施来替代其作为证据,一般来说无需存储请求或响应中的敏感信息。从审计角度看,存储关于请求的时间和请求ID等信息是必要的。(6)宿主业务的信任需要来自外部实体,可以是NFV平台内部的TPM或外部可信实体,此时需使用硬件鉴别信任根。

3 NFV安全技术手段及措施

3.1 操作系统级的访问控制

操作系统级的访问控制能够针对操作系统进程提供访问控制安全策略。例如,将访问控制策略应用于文件访问或网络资源访问的进程。虽然为上层应用创建操作系统级的访问控制策略比较复杂,也可能会改变上层应用对操作系统的使用能力,但是这一举措和日志审计、实时控制结合,能够有效提高安全性[3]。

3.2 通信安全

通信安全是为组件内或外通信提供安全的一系列技术和措施的集合。除了加密性和完整性外,其他指标,如时效性、带宽、延迟、抖动等,也很重要。需要说明的是,现在流量分析已经是一个非常成熟的领域,如果有一组各种数据流的组合,给出了该信道相关的信息,即使采用了一些防护技术,也可能降低了通信的安全性。

3.3 对硬件资源的直接内存访问

直接内存访问(DMA)技术可以让某些硬件资源可以直接分配给虚机(或者准确地说,分配给与特定进程相关的RAM区域)。它通常用于提供性能改进,但也可以提供安全隔离能力,因为主机服务没有分配对这些硬件资源的访问权限,例如,以网络接口卡(NIC)为例,输入输出的数据包不由主机服务Hypervisor管理程序或操作系统管理。这意味着DMA的机密性、完整性和可用性在某种程度上可能要比非DMA情况下要高一些。

3.4 硬件安全模块

硬件安全模块(HSM)为数据提供物理和逻辑保护,特别是为密钥等密码材料提供保护。此外,它们还提供具有物理和逻辑保护的高度安全的加密服务。HSM是用于可伸缩密码处理、密钥生成和集中式密钥存储的完整解决方案。作为专用设备,它们自动将这些功能所需的硬件和固件包含在一个集成包中。可以为特定或通用目的(例如性能、环境、便携性、接口)对它们进行优化。HSM通过多种安全手段(接口、协议)与服务/应用程序合作[4]。HSM支持的功能包括:加密密钥的生命周期管理;密码处理,它带来了将密码处理与应用服务器隔离和从应用服务器卸载的双重好处。该设备的物理和逻辑保护由抗篡改的外壳提供支持;对逻辑威胁的防御,由集成防火墙和入侵预防防御系统提供支持。一些HSM供应商还包括对双因素认证的集成支持。安全认证通常由HSM供应商作为产品的特性提供。在多层主机管理中,HSM可以作为硬件锚定安全根附加到NFVI,例如提供加密服务或支持安全存储的实现。HSM需要特定的访问保护。HSM允许将密钥存储在单个单元中,并集中密钥管理,这构成了密钥保护的一致层,并降低了密钥被破坏的风险。需注意的是,HSM通常与硬件TPM不同。HSM在密钥管理中具有更高的可伸缩性。硬件TPM是为平台级别的鉴定服务而优化的,但也可以提供特定的密码服务。

3.5 软件完整性保护和校验

软件完整性保护和校验包括各种措施,以检测(静态)软件、数据或固件不需要的修改。因此,它在系统生命周期的各个方面都具有适用性,包括部署、引导和运行时。通常,它基于为软件模块、文件、虚机镜像、内存内容等计算的加密哈希值。哈希值需要被信任,这可以通过几种方法来实现。保护软件的一种广泛应用的方法是使用来自权威来源(如软件供应商或社区)的私有密钥创建数字签名,并关联公钥(例如RSA和/或涉及PKI、证书),以便用于校验。签署的软件(或数据)可以证明来源以及完整性,其保护是独立于存储或传送媒体,不需要特定的硬件。但是,在验证系统中,需要保护公钥/证书不被交换。在可信系统中,对签名软件的验证允许根据受保护对象的完整性状态给出本地决定,并且不需要额外的基础设施和外部通信。这一措施适用于主机服务和虚拟应用程序,只是对于这些不同的逻辑组件可能需要不同的信任关系和实现方式[5]。

4 结语

总之,5G网络中采用NFV技术的应用场景各异,其安全需求也不尽相同。NFV环境存在的安全问题可分为两类,一类是与传统网络相同的通用安全问题,如数据泄露、未授权访问等,另一类是引入NFV技术所带来的特有的安全问题,如不安全虚机蔓延、隔离失效等。本文列举了6种情况下NFV的需求场景,也提出了NFV安全技术的手段与措施,对于5G网络使用NFV技术的安全研究有积极推动作用。