基於支持虛擬安全架構策略的SDN / NFV的5G接入網絡
原文鏈接我放百度雲了,因爲這是一篇IEEE的回會議論文需要付費,有需要的直接去百度雲下載就好,鏈接:https://pan.baidu.com/s/1yfawKuO6VI6YO2JBl4fp2A 提取碼:y6wi
摘要:面對5G網絡的挑戰性特徵以及垂直行業的多種業務需求,當前的網絡安全方法變得無能爲力。解決5G網絡的各種安全要求,關注5G的整體構建強大的安全架構技術和業務功能變得至關重要。本文描述了基於多租戶的整體安全架構策略NFV / SDN的5G接入網絡安全管理和監測以及智能分析。
關鍵詞: 5G; 5G安全; 虛擬化安全性; 基於策略安全; 安全監控; 智能分析
引言
5G網絡的新興業務案例,例如智慧城市和工業4.0,業務需求複雜包括:低延遲,多租戶,高效的網絡資源利用率,端到端安全性以及自動化和快速的服務供應。邊緣計算,網絡功能虛擬化(NFV)和軟件定義的網絡(SDN)實現網絡服務供應的自動化,管理網絡中自定義點的硬件。這些技術,可以有效利用網絡資源,更快的操作更改和更快的速度服務供應週期。NFV和SDN還通過用於虛擬的網絡切片促進多租戶網絡運營商(VNO)訪問基礎架構。但是,這帶來了新的挑戰,因爲基礎架構運營商需要創建和在物理基礎架構上管理虛擬片,以及將接口暴露給虛擬化的網絡資源。在此外,基礎架構運營商需要維護端到端安全性,包括用戶安全性,網絡安全性和虛擬化和物理資源的安全性。此外,不同租戶之間的嚴格隔離至關重要。保證,虛擬化,多租戶和安全性不會影響服務質量(QoS)和服務水平協議(SLA)。
當前,尚不存在全面的安全性的5G網絡架構技術正在積極研發中。但是5G安全的要求和建議,在[1]中可以找到,由不同供應商和公司生產的產品在[2]和[3]可以找到。此外,由於NFV / SDN被認爲是ETSI NFV安全工作組[4]的一部分也是是5G網絡的固有部分,已經制定了許多與NFV安全相關的標準。爲了滿足5G網絡的所有多種安全要求和服務,一個完整而強大的安全架構已成爲5G技術和業務功能基本必要性。
在這方面,本文提出了一種用於支持多租戶NFV / SDN的5G接入網絡。假定5G接入網是基於NFV(用於虛擬化和切片)SDN(用於高效控制和管理網絡資源)和雲計算(用於IT資源的虛擬化)安全架構。最新完整的調查,詳細的描述了NFV,SDN和切片,有興趣的讀者可以請參閱[5]和[6]。安全架構包括三個主要組件,安全策略管理器,監視和分析和虛擬安全功能(VSF)來實現啓用多租戶NFV / SDN的端到端安全目標5G網絡。此外,安全解決方案的建議是與ETSI MANO框架[7]保持一致,並利用NFV / SDN技術來自動執行安全性設置。安全架構的很重要,因爲網絡和IT資源規劃的傳統流程基礎架構使運營變得更加複雜,虛擬化變得必要,因此本文還研究了很多新的挑戰。
本文的結構如下:第二部分介紹了5G安全挑戰。第三節是有關5G接入網框架的概述。 第四節詳細介紹了安全體系結構的三個主要方面和組件。本文結論安排在第五節並描述了未來需要進行的工作。
二 5G安全挑戰
5G支持新的場景和應用包括,使用超高速,低延遲的電信通信技術用戶服務和機器對機器的網絡通訊。這些方案,介紹網絡計算和網絡基礎架構的新範例,這將進一步加強了對自動化管理的需求,如實際控制功能與基礎硬件和中間件功能(雲計算,虛擬化和軟件定義網絡等),5G電信基礎設施的控制。尤其是,提高基於雲的範例基礎架構的高度可訪問性,並可以被多個用戶共享用戶(即虛擬網絡運營商,VNO)訪問,確保高度安全的網絡變得越來越重要。同時能夠提供強大的,靈活主動的機制來檢測和預防安全性問題,並能夠實時地執行自動化檢測。
如前所述,確保網絡及其服務變得更加複雜,因爲5G網絡引入了SDN和NFV。爲了建立一致而強大的安全性的生態系統,網絡功能和網絡服務SDN / NFV環境需要全面的方法來確保物理和物理網絡資源的端到端安全性虛擬化功能,可確保安全策略的自動調整網絡在[8] [9]中提及。
5G網絡的端到端安全性需要在以下多個網絡技術領域做出多方面的努力。尤其是,堅持5G接入這項工作並縮小5G安全範圍,[10]中提出了網絡需求。確定的研究挑戰包括:網絡服務端到端安全性:這是指所有可以利用不同機制來確保機密性,完整性,可用性和不可否認性的網絡服務。這些安全機制包括身份驗證,授權,用戶隱私/匿名,抗干擾,加密,數字簽名等,是可以根據優先級和要求,用於處理與服務相關的漏洞。
租戶隔離:通過多個虛擬機共享基礎架構,網絡運營商將嚴格的隔離多個級別用戶,以確保絕對的安全性。尤其是,控制平面,數據平面和資源的不同方面必須確保隔離度並確保其爲不同租客之間的劃分的相關性。網絡運營商可靠隔離服務,以及數據和通信的完整性和機密性。
虛擬化安全性:利用NFV環境,可以部署所需的網絡安全功能,規劃網絡部署並在不同位置進行管理網絡稱爲VNF,也稱爲虛擬安全性功能(VSF)。 但是,VNF本身的安全性必須作爲考慮元素,例如VNF驗證/證明,VNF代碼健壯性等。
安全管理:如前所述,安全機制的複雜性助力5G網絡增長,不僅是由於資源虛擬化,而且還因爲由於不同級別或域的安全要求例如網絡切片,網絡服務和網絡資源(物理和虛擬)。 因此,以一套已定義的以安全性爲指導的整體安全管理系統政策,確保安全機制至關重要。
當下5G是研究熱點,因此很難預見5G網絡面對的不斷變化的威脅,要採用整體方法來創建強大的5G通信網絡,靈活和自治的網絡管理解決方案可以應對不斷變化的安全環境。這種方法,一方面可以是策略控制的實時分析系統,、另一方面,可以實時檢測到的威脅的影響。本文提出了一種實時,自動化的安全管理5G電信網絡框架,基於分析實時實現連續和閉環安全策略,基於環境檢查制度的策略。特別的, 5G網絡本身允許自動實例化和虛擬化,部署,配置和管理虛擬安全具有集中式編排的實時功能(VSF)方法。此外,利用邊緣計算概念,網絡智能的去中心化也有助於儘早發現並消除攻擊,診斷和中和系統儘可能發起的攻擊並防止敵對的惡意實體進入網絡回傳流量。
三 5G框架
NFV,SDN和雲計算符合上一節中確定的安全要求。因此,我們從這些線索中探索設計對應技術。我們首先定義一個接入網模型結合了計算,存儲和網絡資源。然後我們將接入網模型嵌入架構的核心實現控制,管理和編排的框架多個VNO的邊緣資源。
5G接入網絡的定義如圖1所示。它具有四個聚合級別,此後稱爲來自客戶訪問場所的聚合級別(AAL),AAL0處的設備(CPE)(根據用戶需要退化設(UE))到達位於AAL3的中心(CO)。中間AAL託管(小型,微型,宏等)基礎電臺(BS)。每個AAL都包含計算和存儲微型數據中心(µDC)的資源。這包括現有網絡設備(例如,BS)中的備用資源;以及商用(COTS)服務器。之間的聯繫AAL可以是有線的也可以是無線的。此訪問網絡模型源自當前的實踐,並且適用於5G接入網。
考慮到基礎架構框架,旨在實現共享基礎架構上的多個VNO,如圖2所示它緊緊遵循ETSI NFV架構[7]。是一項已經在國際上發展多年的標準,致力於虛擬化和多租戶。
該架構框架由四部分組成:虛擬化基礎架構(VI),虛擬化網絡功能(VNF),管理和編排(MANO)以及運營和業務支持系統(OSS / BSS)。 本文着重於安全方面將詳細說明構成安全性的安全性組件支持多租戶NFV / SDN的5G訪問的體系結構網絡。有關架構的整體描述框架,有興趣的讀者可以參考[10]。
四 安全架構
本節介紹了關鍵的體系結構組件擴展,ETSI MANO參考架構提供與安全性相關的功能。也就是說,安全性架構嵌入ETSI MANO利用現有控制,管理的架構和編排平面。其他組件包括服務策略管理器,服務監控和分析,虛擬化基礎架構(VI)安全性和VI監視。安全體系結構針對虛擬安全、自動安全管理和VSF,以及前者在服務策略管理器的幫助下得以實現和服務監控與分析模塊,並得到以下模塊的支持VI安全性和VI監控模塊;而後者作爲VNF實施,可以通過協調器和虛擬化基礎架構管理器自動進行配置(VIM)在NFV環境中。
A 服務策略管理
服務策略管理器是屬於體系結構組件NFV Orchestrator的功能,如圖3所示。服務策略管理器包含以下子組件:特定策略(例如安全性)管理器,如圖3所示。通過這種方式,任何其他可以想象特定的策略管理器能夠滿足(InfP)和VNO要求。例如,將緩存作爲服務和緩存策略管理器作爲可以預見到網絡服務。單一服務策略管理器,包括安全性,緩存或任何其他內容實施有很大的不同。此外,必須開發一種抽象服務政策,該策略是不在此範圍之內安全架構。因此,本文着重於安全性策略管理,同時提供了擴展。
圖3 NFVO:服務策略管理器、安全策略管理器的主要功能是制定網絡服務的安全要求,確保了接入網中的網絡切片或網絡資源。安全策略管理,負責以輸入爲基礎做出次優行動建議,服務監視和分析觸發的事件功能,監視和分析實現的資源狀態的變化。
如圖4所示,爲了主流政策保持一致架構,安全策略管理器由以下要素:
策略引擎:負責執行實際評估政策。至少應具有以下內容子組件:
規則引擎:負責評估中的表達式。
PiP政策信息點:負責檢索對政策規則進行評估。
上下文收集(或輸入)模塊:負責併購模塊和其他方面的數據溝通/上下文源,以便實時獲取相關信息有關受監視資源的信息。
強制實施器(或輸出)模塊:政策引擎針對負責實際執行的實體受控資源(例如VIM,VNFM等)進行控制。
安全策略存儲庫:此組件存儲有關服務,切片的安全和安全策略。
B 安全監控和分析
服務監控和分析組件(SMA)業務流程層從以下方面獲取感知:i)NFVI資源; ii)VNF / VSF和iii)物理基礎架構。NFVI資源包括所有物理和虛擬計算,存儲和網絡資源,例如VNF。我們的目的是監視和記錄虛擬機指標,以及特定VNF / VSF的功能指標。物理基礎設施包括所有除了包含NFVI的設備以外的其他設備,例如演進型分組核心(EPC),eNodeB和光線路終端(OLT)設備。
SMA組件合併獲得的指標,產生事件/警報並將其傳達給服務政策管理器。基於這些指標,服務策略管理器可以制定決策並採取行動與服務編排組件進行通信以對已經存在的網絡服務進行更改部署或實例化並部署新服務。
五 服務監控和分析架構
功能實體
服務監控和分析架構如圖5所示。
圖 5
在NFV中,負責指標管理的是事件/警報引擎,消息隊列,持久性管理器,存儲數據庫和網絡用戶界面。事件/警報引擎負責創建和刪除警報並評估接收到的指標創建的警報。爲了創建和刪除警報,事件/警報引擎向服務策略公開API,管理器接受一個或多個創建請求。消息隊列提供消息傳遞基礎架構,以允許不同的組件通過一組共享的接口進行可靠的通信。根據其實現,消息隊列在系統中爲通信提供了不同的消息傳遞模式,例如發佈/訂閱,異步處理或工作隊列。持久性管理器是負責將指標和警報寫入到的組件存儲數據庫,以備將來檢索。最後,Web UI提供到VNO,捕獲指標並創建警報。
監控和分析組件從物理基礎架構NFVI和已部署的VNF獲取指標資源。對於原始NFVI資源中的指標,數據聚合器將在VIM層將運行代理。VNF指標和通知將被轉發給管理每個VNF的VNFM的節點。最後,從物理設備獲得的指標包括構成NFVI的基礎設施,還有基礎設施消息隊列自定義接口,具體取決於設備。
定義監控和分析的關鍵任務體系結構是確定需要衡量的指標,從該項目的基礎設施(包括NFVI)收集的NFVI和已部署的VNF / VSF獲取指標
六 安全
通常虛擬基礎架構的安全性由Virtual Infrastructure Manager提供。重要的是, 5G網絡將包括:易於訪問和管理的基礎架構主流虛擬化解決方案(例如計算資源或SDN資源符合廣泛接受SDN標準),而其他一些物理資源只能通過特定的(舊式)O&M進行訪問和管理機制。無論哪種方式,架構都應該能夠處理兩種類型的資源。
VIM要求一組安全功能是:
- 安全訪問虛擬資源。
典型特徵包括:身份和訪問管理(IAM):
A:需要控制,保護不同的訪問租戶(NVO)和代表這些租戶的最終用戶租(例如,管理員用戶與其他類型的用戶)虛擬化資源。VIM通常應爲託管一個負責提供集中化的實體IAM服務,包括生成和管理多種類型的訪問令牌,安全服務發現等。
B:虛擬化之間的安全通信資源:資源之間的溝通應通常通過網絡或傳輸層進行保護安全機制,例如TLS / SSH。
2.安全的數據存儲:應該確保數據存儲的完整性和機密性
1.防火牆,分區和拓撲隱藏。通常提供以下機制:
安全組:安全組通常是特定於租戶的,並且是租戶可以使用的主要機制用於控制虛擬機之間的網絡流量或網絡接口。安全組由一組規則定義的。例如,可以指定一條規則以允許所有傳出流量,支持MAC地址防欺騙,並阻止非法DHCP消息。一條規則甚至引用安全組作爲流量來源。這個可以屏蔽動態IP地址並減少流失安全組規則。
2.反欺騙:一般來說,IP欺騙是一種使用源地址生成IP數據包的技術,造成危險局域網上的主機允許訪問其資源時通過檢查主機的源IP爲受信任的主機提供服務和服務數據包。使用欺騙手段,入侵者可以僞造源代碼他的數據包的地址,並使它們看起來像它們源於受信任的主機。反欺騙保護的基本思想是創建分配給檢查源的防火牆的外部接口穿過該接口的所有數據包。如果該地址屬於內部網絡或防火牆本身,則將丟棄該數據包。防欺騙可以支持多個級別,例如在MAC地址上,IP地址,ARP消息和DHCP消息級別。
網絡地址轉換(NAT):網絡地址轉換使具有以下功能的虛擬機成爲可能:私有IP地址,可與公共主機進行通信網絡。這樣可以隱藏網絡拓撲。
網絡隔離:例如,通過VLAN解決方案將流量分配不同的租戶。
防火牆即服務:用於額外的資源保護。
4.計算隔離:需要隔離計算資源,特別是考慮到網絡切片場景。就組織資源聚合而言,允許聚合和虛擬機隔離。例如,計算主機可以是根據安全區域所劃分的。另一個用例是具有特定於租戶的聚合多租戶強化(即某些主機只能託管特定租戶的虛擬機)。也應該有可能將特殊圖像集的實例化爲特殊圖像集主機
5.可用性:適用於計算,存儲或網絡資源,需要組織劃分具有獨立可用性屬性的區域。組織標準是靈活的。他們通常必須做地理位置劃分,如,網絡分段,電源,和某些硬件屬性。因此,租戶可以要求將虛擬機放置在多個區域中以實現高可用性。
6.日誌記錄:需要記錄不同類型的事件,用於攻擊補救和取證。
七 監控
VI監視組件負責收集和彙總有關虛擬化服務器的監視信息然後總體上計算,存儲和網絡資源基礎設施。這些資源在很大程度上已虛擬化,VI監視組件的目的是收集監視虛擬機(VM)和虛擬機上的信息網絡級別,即將收集到的信息關聯到塊。
由VM和虛擬機實現的已分配資源網絡實例化。但是,與此同時,收集的信息是爲了提供詳細的視圖,物理資源的整體利用,運營商獲得基礎架構資源的全局視圖可用性。
VI監視組件首先負責接口(可視化)資源以收集原始計量指標。在µDC級別,此信息在駐留的可用虛擬機管理程序的支持下收集在NFVI端的Nf-Vi接口上的信息。集合監視有關NFVI外部設備的信息域(例如TrustNode,10GPON等)在可用SDN控制器的南向接口的頂部實現(例如,通過OpenFlow計數器的細粒度報告,例如回傳開關。
收集了所需的信息後,VI Monitoring組件連接NFVO和VNFM組件Or-Vi和Or-Vnfm接口。尤其是:Or-Vi:如上所述,NFVO需要準確監視信息以支持有關實例化的決策和請求的NVF / NS的配置。VI監控組件通過Or-Vi界面傳遞此信息。監視信息在VNF / VM和VI基礎,即計算節點基線,固定利率,統計和警報可用,以支持不同類型的NFVO級別的決策。固定利率,基線統計提供當前可用資源的視圖,支持與新的VNF / NS實例化相關的決策。警報器可以支持與自動重新配置相關的操作NS,例如,根據超出了流量負載閾值。
Or-Vnfm:VI監視組件可進一步提供通過Or-Vnfm監視到VNFM的信息界面,以資源利用率警報的形式觸發有關自動縮放的預定義的VNFM操作集。
C。虛擬安全功能
如前所述,所需的網絡安全功能可以在不同的位置進行部署,協調和管理網絡中的位置,稱爲VNF,也稱爲虛擬安全功能(VSF)。這符合安全即服務(SaaS)。例如,虛擬化入侵檢測系統(vIDS)或虛擬化入侵預防系統(vIPS),主動式或預測式分析,可以以緩解5G的安全服務網絡服務各種攻擊,例如DoS。同樣,虛擬化防火牆(vFW)在策略上位於不同的網絡點,能夠基於預先確定的一組安全規則可用於實施特定5G網絡所需的一組策略服務過濾通流量。
同樣,其他網絡安全功能也可以根據需要輕鬆實現自動虛擬化和配置安全策略管理器,支持並進行監視和分析系統以解決廣泛的安全問題5G網絡的要求。
八 結論與展望
本文提供了5G網絡有關的安全挑戰的和見解,尤其是多租戶NFV / SDN已啓用的5G接入網絡。網絡服務端到端安全性,租戶隔離,虛擬化安全性和安全性管理是5G面臨的主要安全挑戰中。
本文還提出了支持多租戶NFV / SDN的5G接入網絡的安全體系結構。安全體系結構包含三個主要部分,一個基於策略的安全管理系統,服務監視和分析系統和VSF,以實現所需的安全功能。安全體系結構是ETSI的擴展,NFV體系結構與正在現有的網絡的兼容性虛擬化融合,以及實現NFV / SDN自動化和快速配置的技術安全即服務。
概念驗證的部分(PoC)EuCNC中介紹了2016年議中描述的安全體系結構。該實例涉及藉助vIDS在LTE網絡上檢測攻擊和vFW緩解DoS攻擊,用於自動配置規則。安全體系結構正在開發中,所提議的完整的安全體系結構PoC爲預計在2017年底發佈。
致謝
我們想感謝所有合作伙伴的努力CHARISMA項目財團。該項目已收到來自歐盟Horizon 2020研究的資金以及第671704號贈款協議下的創新計劃。
參考文獻:
