5G网安全部署探讨
高枫,马铮 等| C114通信网| 2019-06-10
【流媒体网】摘要:多样化的场景、接入方式以及新型网络架构,使5G网络除满足基本通信安全外,也能为不同业务场景提供差异化安全服务,适应新型网络架构及创新业务模式。

  前言

  当前,全球5G网络部署的步伐不断加速,国内运营商积极开展5G内外场功能验证和规模组网试验。5G技术发展演进,5G移动技术与IT技术不断融合,带来了网络架构的变革,使得网络能够灵活地支撑多种应用场景。网络架构的演进及业务的创新,为5G网络安全带来了新的需求和挑战。

  从5G网络的安全威胁分析入手,分析5G网络安全需求,在此基础上对5G网络安全部署进行探讨。

  1·5G网络安全威胁分析

  1.1 5G网络基础设施

  1.1.1 NFV

  NFV的引入使5G网络具有网元功能软件化、资源共享、部署集中化的特点,这些特点导致传统网络安全发生了变化。网元功能软件化使传统硬件网元设备物理边界消失,软件安全问题突出;计算、存储及网络资源共享化,把虚拟机安全、虚拟化软件安全和数据安全等问题引入移动网络;部署集中化使病毒传播速度加快,此外,攻击者可能利用通用硬件漏洞发起攻击。

  1.1.2 SDN

  SDN使设备的控制面和数据面解耦,控制面实现集中控制,开放可编程接口供应用层使用,实现了灵活的定义网络。

  集中控制使安全威胁由转发面转移到控制面,控制器安全风险增大,一旦控制器受到攻击,整个SDN网络都会受到影响,甚至瘫痪。由于采用标准化的接口和统一的协议,更容易被攻击者利用进而发起攻击;应用层开放可编程的特性加大了攻击者通过软件进行攻击的风险。

  SDN安全威胁主要来源于应用层、控制层、数据层以及南向和北向接口,如图1所示。

  图1 SDN安全威胁

  1.1.3 云计算

  5G网络应用云计算技术,面临的安全威胁包括:

  a) 传统安全问题。虚拟化软件同样面临传统网络安全问题,如访问控制、安全隔离、操作系统/应用程序的漏洞攻击、防病毒/恶意代码等。

  b) 虚拟化引入新的安全问题。虚拟化技术的引入带来了新的攻击面,如虚拟化软件VM、虚拟化管理软件VMM等;由于传统安全设备对虚拟化网络流量不可见,虚拟化网络流量安全问题可能存在;用户对其本身的数据控制能力减弱,数据及隐私安全保护要求提高。

  1.2 网络切片

  在5G网络中引入网络切片技术,可实现灵活的资源编排和调度,为不同业务类型提供差异化的服务能力。网络切片面临的安全威胁主要包括:

  a) UE访问未经授权的网络切片。

  b) 网络切片密码泄漏,导致攻击者获取其他网络切片的数据。

  c) 越权进行网络切片运维。

  d) 非法占用资源影响其他网络切片,导致资源过度消耗的DDoS 攻击。

  e) 当1个终端同时用2个切片时,攻击者从1个切片获取另1个切片信息等。

  1.3 异构接入网络

  5G网络兼容多种异构接入方式,包括3GPP接入和非3GPP接入,异构接入网络带来的安全威胁包括:

  a) 接入性能问题。不同的接入技术可能使用不同的认证机制,如WLAN、蜂窝、D2D的认证机制各不相同。使用不同认证机制的终端接入网络后,核心网需对不同认证机制采取不同的安全信息管理(如认证信息),由此产生的资源开销,将影响终端接入网络的性能。

  b) 不同接入网络间切换时的安全性问题。终端在不同的接入网之间进行切换,不同网络的认证机制、安全等级可能不同。攻击者如从较低安全等级的网络接入后,切换至较高安全等级的网络,则可能获取到不应获得的敏感信息。

  2·5G网络安全需求分析

  2.1 网络基础设施安全

  2.1.1 NFV

  NFV的安全需求主要包括:

  a) VNF安全。VNF软件包安全管理;访问控制,敏感数据保护。

  b) NFVI安全。保障虚拟机及其管理器安全。

  c) NFV网络安全需求。通信双方相互认证,对通信内容进行保护;边界防护、安全域划分及流量隔离等。

  d) MANO安全需求。MANO实体安全加固,防止敏感信息泄露;安装防病毒软件;实体间双向认证,保护通信内容;严格配置MANO系统账号与管理权限。

  2.1.2 SDN

  SDN的安全需求主要包括:

  a) 应用层的安全需求。APP对控制器身份进行认证;APP和控制器之间的通信保护;APP自身安全加固。

  b) 控制器的安全需求。具备DDoS/DoS防护能力;服务器安全加固,满足安全服务最小化原则;执行策略冲突检测和防止机制;对接入的APP进行身份认证和权限检查。

  c) 转发层的安全需求。满足安全服务最小化原则;具备限速功能。

  d) 南北向接口的安全需求。双向认证;对通信内容进行机密性、完整性和防重放保护;对协议强壮性进行分析和测试,并修复漏洞。

  2.1.3 云计算

  a) 虚拟机安全需求。病毒/恶意软件入侵防护;虚拟机之间隔离;虚拟机之间通信安全,迁移安全,镜像存储安全;虚拟机访问控制等。

  b) 虚拟机管理器(VMM)安全需求。代码可靠性;病毒入侵防护,防止非法访问;安全配置和管理等。

  c) 虚拟化网络安全。结合虚拟化后的网络拓扑,重建网络安全域;判断虚机之间的流量通信是否符合安全策略,判断是否存在网络攻击;虚拟机网络始化时实现网络安全策略的自动部署,虚拟机迁移时,保证迁移前后网络安全配置环境一致。

  2.2 网络切片安全

  网络切片安全需求主要包括:

  a) 网络资源隔离,不同切片采用不同密钥。

  b) 切片ID验证,避免未经授权的切片访问。

  c) 不同切片使用不同Key加密传输,防止Key泄露引发的切片攻击。

  d) BSS/OSS系统和切片管理系统分离,切片运维权限受控。

  e) 运维审计,操作可追溯。

  f) 对合法用户异常行为进行抑制,限制接入,强制下线。

  2.3 异构接入安全

  a) 统一认证机制。5G网络兼容多种异构接入方式,包括3GPP接入和非3GPP接入,因此,5G网络需构建兼容多种认证机制的统一认证框架。

  b) 安全互操作。终端可能在异构网络间进行切换,需保证异构网络间切换的安全互操作,如安全上下文的传递、密钥的更新、安全上下文的隔离等。

  3·5G网络安全目标及部署

  3.1 总体目标

  5G网络安全总体目标包括:

  a) 保障通信及数据安全。提供机密性及完整性保护;提供增强的隐私保护,保护用户隐私。

  b) 保障异构接入安全。提供统一认证框架,支持多种接入方式和接入凭证,保障终端设备安全接入网络。

  c) 保障新型网络架构安全。提供SDN/NFV安全机制;提供网络切片安全机制。

  d) 支持差异化安全。提供按需的安全保护,满足多种应用场景的差异化安全需求。

  e) 开放安全能力,保障能力开放安全。支持数字身份管理、认证能力等的安全能力开放;提供全面的安全机制。

  3.2 安全部署架构

  如图2所示,5G网络安全部署架构划分为接入安全域、核心安全域、业务安全域与管理安全域。

  图2 5G网络安全部署架构

  3.2.1 接入安全域

  由于该域处于用户侧网络环境之中,为保障网络和业务的安全性,应重点保证用户鉴权功能的可用性,对用户数据和信令进行保护。

  3.2.2 核心安全域

  该域需要与内外部业务平台对接,因此要做好入侵检测、攻击防御、数据保护等工作,同时针对该域的云化、软件化特性也需要对集中控制器、南北向接口等进行重点防护。

  考虑非安全区域小基站通过安全网关接入核心网域,安全网关在核心网域进行部署,与基站之间通过双向认证后建立并管理IPSec隧道,通过该安全隧道,为无线侧与核心网之间控制面信令、用户面数据提供完整性和机密性保障,从而实现安全接入。

  3.2.3 业务安全域

  该域包括能力开放平台、自营及第三方业务平台等,因此既要防护网络侧对业务的攻击和滥用,也要防止利用平台和应用对网络发起的攻击。

  在该域各类平台中部署病毒防护、漏洞扫描等软硬件,并对相关业务操作进行认证、授权及审计。同时,通过核心网域的防火墙与核心网域实现对接,有效进行安全隔离和访问控制。

  3.2.4 管理安全域

  管理安全域主要包括运营系统,其防护策略与平台类防护类似,在该域各类平台中部署病毒防护、漏洞扫描等软硬件,并对相关操作进行认证、授权及审计。

  4·结束语

  多样化的场景、接入方式以及新型网络架构,使5G网络除满足基本通信安全外,也能为不同业务场景提供差异化安全服务,适应新型网络架构及创新业务模式。本文研究分析了5G网络面临的主要安全威胁,分析了NFV、SDN、云计算、网络切片、异构接入的安全需求,在此基础上,提出了接入安全域、核心安全域、业务安全域与管理安全域的安全部署策略,对5G网络安全部署架构进行了探讨。

责任编辑:孙嘉

版权声明:凡本网注明来源“流媒体网”的所有内容,版权均属流媒体网所有,转载需注明出处。凡注明来源非“流媒体网”的所有内容,其目的在于传递更多信息,并不意味着流媒体网赞同其观点或证实其内容的真实性。