张鉴; 冯晓东; 唐洪玉
【期刊名称】《《移动通信》》
【年(卷),期】2019(043)010
【总页数】6页(P43-48)
【关键词】5G网络; NFV; 安全架构
【作 者】张鉴; 冯晓东; 唐洪玉
【作者单位】中国电信股份有限公司网络与信息安全研究院 上海 200000; 中国电信股份有限公司网络安全产品运营中心 北京 100010
【正文语种】中 文
世界经济【中图分类】TN929.5
1 引言
随着信息通信技术的快速发展和广泛应用,人类社会与信息网络密不可分。5G作为下一代无线通信技术将支持更加丰富的应用服务,深入融合到人们日常生活、工作、学习、娱乐以及现实社会的运行、管理中,应该站在网络空间的角度审视5G的安全。随着5G网络系统架构“云化”和“虚拟化”的变革,NFV技术将在5G网络中发挥关键的作用,因此研究5G中NFV的安全防护框架和技术也成为目前的一项重要课题。 2 5G网络总体架构
5G网络的设计融入了SDN、NFV、云计算技术的核心思想。5G网络架构由控制云、接入云和转发云共同组成(如图1所示),并可基于SDN/NFV技术实现[1]。 (1)接入云。支持用户在多种应用场景和业务需求下的智能无线接入,并实现多种无线接入技术的高效融合,无线组网可基于不同部署条件要求,进行灵活组网,并提供边缘计算能力。
金喜善裸照(2)控制云。完成全局的策略控制、会话管理、移动性管理、策略管理、信息管理等,并
英菲尼迪万人盛典支持面向业务的网络能力开放功能,实现定制网络与服务,满足不同新业务的差异化需求,并扩展新的网络服务能力。
(3)转发云。配合接入云和控制云,实现业务汇聚转发功能,基于不同新业务的带宽和时延等需求,实现增强移动宽带、海量连接、高可靠和低时延等不同业务数据流的高效转发与传输,保证业务端到端质量要求。
3 5G网络中NFV技术安全需求分析
3.1 5G新业态需要NFV技术支撑
国际电信联盟(ITU)定义了5G的三大应用场景[2]:增强移动宽带(eMBB)、海量机器类通信(mMTC)、高可靠低时延(uRLLC)。不同应用场景往往在多个关键指标上存在差异化要求,因此5G系统需要支持可靠性、时延、吞吐量、定位、计费、安全和可用性的定制组合。5G业务需求的多样性给5G网络规划和设计带来了新的挑战,包括网络功能、架构、资源、路由等多方面的定制化设计挑战。
随着大量5G特有的新型业务的出现,要求运营商必须在研发模式、运营模式、服务模式等
各方面做出改变。采用NFV/SDN技术对电信网元的软硬件解耦,并结合云原生技术实现网络虚拟化、云化部署,通过网络功能模块化、控制和转发分离等使能技术,可以实现网络按照不同业务需求快速部署、动态的扩缩容和网络切片的全生命周期管理,包括端到端网络切片的灵活构建、业务路由的灵活调度、网络资源的灵活分配以及跨域、跨平台、跨厂家乃至跨运营商的端到端业务提供,可以快速实现网络功能和各种应用的开发和上线,以应对5G时代给电信市场带来的挑战。
3.2 NFV技术带来新的安全挑战
图1 三朵云5G网络总体逻辑架构D2D:设备到设备MEC:移动边缘计算HEW:高效率无线局域网PDN:个人数据网络M2M:机器到机器S-RAN:智能无线接入网络MANO:网络功能虚拟化管理和编排
网络功能虚拟化(NFV)是构建5G网络的关键技术之一,但NFV技术的引入,对5G网络的安全提出了新的挑战。
5G网络需要解决安全边界变化、控制转发分离网络架构下的安全问题。支持应用、控制和
转发功能的云安全,采取对网络流量进行镜像、阻断和过滤等安全操作,解决服务拒绝攻击、单点失效等安全问题。5G需要提供异构网络整体的安全措施,为不同网络提供标准的接口进行安全操作,隔离不同类型网络[3-4]。
NFV技术所带来的特有安全风险尤其需要重点关注,如NFV基础设施导致平台安全防护能力下降的问题。当平台运行不可信的虚机时,硬件平台的安全防护能力可能会整体下降。这是由于虚拟环境中缺乏天然的物理隔离,针对单个虚拟网元的威胁有可能会扩散至整个平台,进而影响其他虚拟网元的安全。此外,VNF虚拟网元存在权限管理复杂、VNF通信安全、虚拟网元系统后门等风险;MANO(管理和编排)存在未经授权任意创建或删除虚拟网元,非法获取虚拟网元配置信息、证书及密钥,实施对虚拟网元攻击的风险。
4 构建5G网络NFVI安全防护框架
4.1 NFV技术架构
NFV(Network Function Virtualization)的基本理念是基于标准的X86架构服务器、通用存储和交换机等硬件平台,利用虚拟化技术,在虚拟化硬件资源上承载各类功能的软件,由虚拟的网元替代传统的通信设备,从而实现网络功能虚拟化。
图2 NFV技术架构图
打印头换针
NFV的技术架构参考图2[5],针对通信网络虚拟化应用的特性将电信系统NFV架构分为三层。
(1)NFVI(NFV Infrastructure,NFV基础设施)。NFVI提供部署、管理和执行环境,并实现对资源(包含硬件资源和虚拟资源)的管理和监控。硬件资源层、虚拟化层及其上的虚拟资源层实现对虚拟网络层业务网元的承载;虚拟基础设施管理(VIM)实现对资源的管理、调度、编排和监控功能。
(2)虚拟通信业务层。基于底层云化基础设施实现通信业务能力,主要包括VNF、EMS及VNF管理系统(VNFM)。其中,VNF是基于NFVI虚拟资源部署的业务网元;EMS是VNF业务网络管理系统,提供网元管理功能;VNFM是VNF管理系统,负责VNF生命周期管理以及VNFD的生成与解析。
(3)运营支撑层。实现对业务的编排、运维与管理,主要包括OSS/BSS和NFVO。
4.2 NFVI安全防护框架
NFVI在整个NFV技术体系中具有基础性和关键性的位置,将从NFV基础设施层面构建安全防护框架。
NFVI安全防护技术措施主要包含物理设施安全、虚拟设施安全、管理安全、网络安全四个方面。安全防护框架如图3所示。
(1)物理设施安全主要包含硬件设备(服务器、交换机等)自身安全、嵌入式软件安全、硬件设备操作系统和数据库系统安全。天堂禁恋
(2)虚拟设施安全主要包含虚拟化软件Hypervisor安全、用于统筹虚拟资源分配管理的云操作系统安全。
(3)网络安全包含NFVI内部网络连接的网络架构、网络隔离、网络防护等功能。
(4)管理安全主要包含NFVI资源管理系统VIM安全,包括虚拟资产的安全管理,如身份认证、访问控制、安全监控和审计等。
图3 NFVI安全防护架构图
4.3 NFVI安全防护技术措施
基于NFVI安全防护框架,结合5G网络安全需求,可以对物理设施安全、虚拟设施安全、网络安全、管理安全提出更加具体的安全技术措施,从而使整个安全防护框架更具可操作性。
(1)物理设施安全技术要求
物理基础设施为虚拟化底层部分,它的安全关系到整个虚拟化系统的安全,缺乏物理安全的控制时,即使管理、技术和上层软件系统访问控制的很好,也无法保证系统足够的安全性。如果怀有恶意的人员能够实现对服务器、存储、交换机等设备的物理访问,那么就几乎可以实施任何对系统的破坏和控制。物理设施安全技术要求可以从硬件设备物理接口、CPU安全漏洞、硬件设备存储介质、操作系统/数据库基础安全等方面进行考虑。
1)硬件设备物理接口
◆硬件设备应删除软盘、USB、串口等不必要的接口。
◆支持系统访问的物理接口均应支持通过软件设置关闭或访问控制机制。
◆用于数据转发的物理接口登录系统应支持完整用户认证,并支持在系统内禁用相关接口。
2)CPU安全漏洞
◆硬件设备应使用未受安全漏洞影响的CPU型号。
◆硬件设备已经安装软件补丁或具备规避措施,系统不受对应CPU漏洞的影响。
3)硬件设备存储介质
◆设备不存在外部可插拔的存储介质。
◆服务器的USB口应默认禁止挂载存储器件。
4)操作系统/数据库基础安全
◆系统只开放必要的服务端口,非必要的服务组件已经关闭。
◆系统不存在不需要的账号,不存在空口令的账号,应按照不同角对用户和用户组权限
进行合理设置,权限控制策略满足业务安全要求。
◆关键文件/目录读写权限合理。
◆数据库符合基础安全加固要求,至少不存在无用账号,使用了加强密码策略。
◆系统设备的软件版本不存在未修复的中高风险的安全漏洞。
克氏锥虫
◆经过漏洞扫描系统不存在中高风险的安全漏洞,对于中高风险的安全漏洞,需要有明确的修复或规避措施。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议