最近網絡信息安全要結課了老師讓寫一篇關於5G安全的論文,自己也是用了一段時間查閱了大量的文獻,整理出來了這樣的一篇文章,目前5G還沒有落地沒有真正的走進千家萬戶,關於5G、NFV、SDN安全的文章也是很少,這裏自己也是做一個總結,希望能夠幫助到從事這方面研究和工作的朋友。
摘要:2019年是5G元年,意味着上一代通信技術將會慢慢脫離人們的視角,5G通信技術將會走入大衆視野,爲用戶提供更好的通信、網絡服務。網絡安全一直以來是研究的熱點,不論實在撥號上網的時代還是在4G通信時代網絡安全一直是研究人員以及用戶面對的一個難題。在NFV(網絡功能虛擬化)和SDN(軟件定義網絡)概念提出以前網絡服務與網絡硬件設備耦合度較高,網絡服務的質量通常由網元決定,當網元節點受到大規模的攻擊導致癱瘓的時候就無法提供正常的網絡服務。而日益複雜的網絡拓撲結構給企業對網絡的維護帶來了較大的管理難度,不僅要考慮高可複用性架構,還要考慮信息安全。5G網絡是物聯網的基礎,勢必會有大量的物聯網節點接入5G網絡。該文對5G和NFV以及SDN的關係進行了研究,然後,提出了5G背景下的NFV信息安全的應對策略。
關鍵字:NFV;SDN;5G;信息安全
- 引言
今年6月,我國發放了四張5G商用牌照,標誌着我國正式進入5G時代。5G網絡除了具備高速率、低時延、高可靠性三大典型特徵外,在網絡架構方面也將發生重大變化。通信網絡將支持很多新的特性,例如網絡動態擴容、網絡切片、能力開放等。這些新特性都得益於5G 網絡中引入了一項新的技術: NFV。NFV 讓5G 網絡組網變得更加靈活,能夠更好地支持不同垂直行業的接入,並滿足不同行業用戶差異化的服務質量需求[1]。
以5G網絡的新興業務爲範例,如智慧城市和工業4.0,需求複雜,要求包括低延遲,多租戶,高效的網絡資源利用率,端到端通信的安全性以及自動化和快速的服務供應[2]。爲了提供更好的服務勢必要引入更爲新潮的技術如NFV、SDN。
NFV、SDN是未來 5G 的關鍵技術[3]。所以在NFV和SDN層的信息安全問題顯得尤爲重要,如何有效的拒絕網絡攻擊確保用戶信息安全成爲了研究的焦點。
2 5G 安全需求
5G 提供的豐富場景服務將實現人、物和網絡的高度融合,全新的萬物互聯時代即將到來。但是,現實空間與網絡空間的真正連接也將帶來空前複雜的安全問題.各標準化組織和企業聯盟達成的共識是,安全需求必須作爲系統演進的一部分貫穿於整個 5G 系統的部署與技術更新中[4]。
2.1 延續4G的安全需求
作爲4G系統的延續,5G 首先應該至少提供與4G同等的安全性,這些基本的安全需求主要包括;
(1) 用戶和網絡的雙向認證;
(2) 基於 USIM 卡的密鑰管理;
(3) 信令消息的機密性和完整性保護;
(4) 用戶數據的機密性保護;
(5) 安全的可視性和可配置性。
其次,還將在5G的部署過程中重新考慮一些在舊系統部署中被討論過但未被採納的安全性質,主要包括;
(1) 防IMSI竊取的保護;
(2) 用戶數據的完整性保護;
(3) 服務請求的不可否認性。
最後,5G面對的設備種類不再單一,爲不同的設備頒發一致的身份憑證也不現實,因此,5G還需要實現從以USIM卡爲基礎的單一身份管理方式到靈活多樣的身份管理方式的過渡,以及對所涉及的身份憑證的產生、發放、撤銷等整個生命週期內的管理。
2.2 新技術驅動的安全需求
除了提供傳統通信系統的基本功能外,5G還提供一系列基於豐富場景和特殊需求的服務。爲了以最有效的方式實現各種不同需求的服務,5G 需要全新的網絡架構來進行網絡資源的管理和控制。其中, NFV和SDN被認爲是最有可能實現網絡自動化管理以及網絡資源虛擬化和網絡控制集中化的技術。此外,雲計算也被應用於5G網絡中,用於實現按需的網絡控制和定製化的客戶服務。具體來說,NFV 技術的核心思想是;解除網絡功能對特定硬件供應商的依賴關係,實現軟件和硬件的獨立,並根據需要實現網絡功能的靈活部署。SDN 技術的核心思想是;將網絡架構分離成應用、控制和轉發的三層架構,以實現網絡的集中管控和網絡應用的可編程性。而云計算提供的分佈式計算和虛擬化等特性則能夠實現網絡的高效計算和靈活部署。爲了更好地實現對差異化服務的支持,5G網絡需要基於NFV和 SDN將網絡分割成多個虛擬的端到端網絡,即網絡切片,使得在不同網絡切片內從設備到接入網再到核心網邏輯獨立。每個切片按照業務場景的需要進行網絡功能的定製剪裁和相應網絡資源的編排管理,爲特定類型的業務提供最佳的使用體驗。
因此,傳統網絡中依賴於物理設備隔離來提供安全保障的方式在5G網絡中不再適用。5G必須考慮由NFV和SDN等新技術帶來的基礎設施安全問題,例如 NFV 中虛擬化管理層的安全問題、虛擬 SDN 控制網元和轉發節點的安全隔離問題等,從而保障5G業務在虛擬化環境下的安全運行。
2.3 垂直行業服務驅動的安全需求
垂直行業的應用將是5G發展的一個重要方向,不同的垂直行業對安全的需求差異極大,有些服務選擇基於5G網絡本身提供的安全保障,而有些服務則希望保留自身系統對安全的控制。在5G環境下,不同的安全需求很有可能作爲一種服務,因而,安全即服務(security-as-a-service,簡稱 SECaaS)的架構必然會出現。所以,5G 網絡應提供更加靈活的安全配置,允許運營商或者服務提供商在 5G 系統以外尋求獨立的安全保障。此外,不同垂直行業之間的安全配置應保證一定的隔離,以防止服務資源在不同服務之間被非授權訪問。
隨着垂直服務行業的興起,我們的心情、健康水平、喜好以及其他更爲隱私的信息將被精確地獲取或者模糊地感知,個人隱私和關鍵數據的安全問題將會加劇。在 5G這樣覆蓋範圍廣的網絡中,小的安全問題很有可能引起戲劇性的蝴蝶效應,所以 5G 還需要嚴格控制主要數據的獲取、傳輸、存儲和處理等各個環節的可訪問性,制定周全的隱私保護策略,以保護用戶的身份、位置、接入服務等不被泄露。
此外,5G還需要建立自動化的安全監控和安全策略配置機制,以及時檢測並防範未知的安全威脅,維護有效的安全保護策略,並根據網絡狀況和資源使用情況動態更新安全策略,始終保證爲服務和應用提供最優的性能和用戶體驗。
總之,提供靈活的安全策略、一定的安全隔離、全面的隱私保護和自動化的安全配置機制將是 5G安全應用於垂直服務行業的前提。因此,5G需要在傳統接入安全、傳輸安全的基礎上,考慮新技術驅動和垂直服務產業下靈活多變和個性化的服務安全,以實現不同利益羣體在不同應用場景下的多級別安全保障。
3 NFV與SDN的關係
NFV是一種用軟件方式來實現傳統硬件網絡功能的技術。其通過將網絡功能與專有硬件分離,旨在實現網絡功能的高效配置和靈活部署,減少網絡功能部署產生的資金開銷、操作開銷、空間以及能源消耗。SDN是一種新型的網絡架構,其通過解耦網絡設備的控制平面和數據平面,旨在實現靈活、智能的網絡流量控制。作爲兩種獨立的新興網絡技術,SDN 和NFV之間存在着相互彌補,互相促進的關係。爲了滿足多樣化的服務要求,SDN數據層設備需要進行通用流量匹配和數據包轉發,SDN交換機的成本和複雜性隨之增加。另外,目前SDN架構缺乏對異構SDN控制器間交互的支持,使之無法提供靈活的跨自治域端對端服務.SDN在數據層面和控制層面存在的軟件網絡架構和硬件網絡設施之間的緊耦合限制了SDN更加廣泛地應用。目前僅在數據層面和控制層面的解耦已經無法有效地避免上述問題,軟件服務功能和硬件網絡設施的進一步解耦才能使得SDN 得以更加廣泛地應用。因此,在SDN中使用NFV技術,可以爲SDN提供更加靈活的網絡服務。例如,使用NFV技術實現虛擬化SDN控制器,通過一致性接口實現異構虛擬SDN 控制器之間的交互、使用NFV技術實現虛擬化 SDN 數據層面可以根據不同的服務要求實現靈活的流量匹配和數據包轉發.在 ETSI NFV 架構中,NFV管理和編排層是整個NFV平臺有序、高效運行的保障。在NFV 平臺動態網絡環境中,需要複雜的控制和管理機制來對虛擬資源和物理資源進行合理的分配和管理.因此可編程 的網絡控制不可或缺。SDN結合MANO可以高效地控制網絡流量轉發,向NFV平臺提供VNF之間的可編程網絡連接,以此來實現高效靈活的流量度[5]。
圖一 SDN與NFV關係圖
4 NFV和SDN在網絡安全中的作用
開放式分佈式架構由幾個組件組成,NFV和SDN作爲主幹。NFV是一種提供網絡服務的創新方式,涉及將軟件與硬件分離。SDN通過提供實施虛擬化網絡服務鏈(VNS)的平臺來平衡NFV。NFV和SDN都可用於簡化安全流程和控制。例如,系統內置的功能可以幫助檢測網絡中的安全威脅,然後應用安全補丁來修復代碼漏洞。
由於NFV和SDN,開放式分佈式體系結構可以比傳統系統更好地支持加密等安全措施。加密是一種通過使文本難以理解的方式使數據保密的方法。作爲一種安全工具,它提供機密性,身份驗證,數據完整性和不可否認服務。使用NFV和SDN,可以在網絡中的交換機上而不是在硬件設備上啓動加密軟件。這一功能在數據中心尤其有用,因爲數據安全漏洞的報告似乎每個月都成爲新聞頭條。
此外,通過開放的分佈式架構,SDN控制器可實時提供網絡的全局視圖。這有助於識別和響應網絡漏洞。此外,安全服務提供商可以通過配置大量防火牆,在網絡星期一等在線業務流量高峯時制定快速對策。隨着網絡攻擊的變化,這些類型的安全功能可以通過NFV和SDN輕鬆更新。
5 NFV和SDN面臨的安全問題
因爲NFV和SDN作爲5G的基礎,當前還沒有大規模的商業化應用,所面臨的安全問題我們也只能通過理論的層面來預測,既和傳統的網絡攻擊類似,又區別於傳統的網絡攻擊。詳細見表一。
|
|
NFV和SDN面臨的攻擊 |
傳統網絡面臨的攻擊 |
|
DoS攻擊 |
√ |
√ |
|
ARP攻擊 |
√ |
√ |
|
腳本攻擊 |
√ |
√ |
|
嗅探掃描 |
√ |
√ |
|
硬件網元攻擊 |
√ |
√ |
|
虛擬網元攻擊 |
√ |
/ |
|
虛擬機攻擊 |
√ |
/ |
|
針對SDN的攻擊 |
√ |
/ |
表一 NFV、SDN與傳統網絡攻擊異同
5.1 MFV面臨的安全問題
NFV技術爲基礎電信運營商帶來組網和成本下降便利的同時,也會引入新的安全風險。NFV安全風險主要來自兩個方面:一是傳統網絡安全風險,如DDoS攻擊、路由安全策略等,這與傳統的網絡技術所面臨的風險沒有太大區別;二是由NFV自身技術特點引入的新的安全風險。NFV從架構上看,大致可以分成硬件資源層、虛擬管理層、虛機層、虛擬網元層以及編排管理層,每一層都會引入新的安全風險。
在硬件資源層,由於缺少傳統物理邊界,存在安全能力短板效應(即平臺整體安全能力受限於單個虛機安全能力)、數據跨域泄漏、密鑰和網絡配置等關鍵信息可能缺少足夠的硬件防護措施等問題。在虛擬管理層,所有虛擬網元都具有非常高的讀寫權限,一旦被黑客攻陷,所有的虛擬網元就沒有任何祕密可言,虛擬管理層也因此常常成爲網絡攻擊的主要目標。在虛機層,主要存在虛機逃逸、虛機流量安全監控困難、問題虛機通過鏡像文件快速擴散、敏感數據在虛機中保護難度大等問題。在虛擬網元層,主要存在虛擬網元間的通信容易被竊聽、虛擬網元的調試和監測功能可能成爲系統後門等風險。在編排管理層,由於該層主要負責對虛擬資源的編排和管理、虛擬網元的創建和生命週期管理,編排管理層被攻擊後,將可能影響虛擬網元乃至整體網絡的完整性和可用性。
5.2 SDN面臨的安全問題
大多數SDN體系架構有三層:最底層是支持SDN功能的網絡基礎設施,中間層是具有網絡核心控制權的SDN控制器,最上層包括SDN配置管理的應用程序和服務。儘管許多SDN架構相對較新,並且SDN仍處於早期探索的領域。但我們可以肯定,隨着SDN技術的發展和更廣泛地使用,它仍會成爲攻擊者的目標。
我們可以預見幾種針對SDN架構的攻擊方法。SDN架構較爲常見網絡安全問題包括對SDN架構中各層的攻擊。下面以圖2爲例,簡要說明攻擊者可能從哪些地方發起攻擊。
圖二 SDN結構體系圖
5.2.1 數據層的攻擊
攻擊者可能將來自網絡本身的某個節點(例如,OF交換機,接入SDN交換機的主機)作爲攻擊目標。從理論上說,攻擊者可以先獲得未經網絡訪問的權限,然後嘗試進行攻擊運行狀態不穩定的網絡節點。這可能是一個拒絕服務攻擊(Denial of Service , DoS),或者是對交換機等網絡基礎設施進行的Fuzzing攻擊。
有許多南向接口協議用於控制器與數據層的交換機進行通信。這些SDN南向接口協議可以採用OpenFlow、Open vSwitch交換機配置管理協議(Open vSwitch Database Management Protocol, OVSDB)、路徑計算單元的通信協議(Path Computation Element Communication Protocol,PCEP)、路由系統接口協議(Interface to the Routing System ,I2RS)、BGP-LS、OpenStack Neutron、開放管理基礎設施(Open Management Infrastructure,OMI)、Puppet、 Chef、Diameter、Radius、NETCONF、可擴展通訊和表示協議(Extensible Messaging and Presence Protocol,XMPP)、名址分離網絡協議(Locator/ID Separation Protocol, LISP)、簡單網絡管理協議(Simple Network Management Protocol,SNMP)、CLI、嵌入式事件管理器(Embedded Event Manager, EEM)、Cisco onePK、ACI,Opflex等等。每個協議雖然都有自己的安全通信機制。但因爲這些協議都非常新,所以並沒有能夠實現綜合安全部署的方法。
交換機與控制器之間的鏈路常常會成爲DDoS攻擊目標[6],攻擊者也可以利用這些協議的特性在OF交換機中添加新的流表項,。之所以這麼做,是因爲攻擊者試圖將這些特定服務類型的數據流進行欺騙“攔截”,不允許其在網絡中傳輸。攻擊者有可能引入一個新的數據流,並且指導引入的數據流繞過防火牆,從而使攻擊者取得數據流走向的控制權。攻擊者也有可能利用這些能力來進行網絡嗅探,甚至可能引發中間人攻擊。
攻擊者可以通過在網絡中嗅探得知哪些數據流正在流動,哪些數據流被允許在網絡中傳輸。攻擊者可以對OF交換機與控制器之間的南向接口通信進行嗅探,嗅探所獲得的信息可用於再次發起攻擊或進行簡單的網絡掃描探測。
大多SDN系統部署在數據中心,並且數據中心會頻繁的使用數據中心互聯(Data Center Interconnect, DCI)協議。例如:使用GRE的網絡虛擬化(Network Virtualization using GRE, NVGRE)、無狀態傳輸通道(Stateless Transport Tunneling, STT)、虛擬可擴展LAN(Virtual Extensible LAN, VXLAN)、思科虛擬化覆蓋傳輸(Overlay Transport Virtualization, OTV)、L2MP、TRILL-based、SPB等等。這些協議可能缺少加密和認證機制來保證數據包內容在傳輸過程中的安全。這些新的協議在設計之初或在滿足供應商或客戶需求實現這些協議的時候,不免有漏洞存在。攻擊者可能目的很明確的創建一個具有欺騙性質的數據流,讓其在DCI連接中傳輸,或者通過針對DCI連接發起一個拒絕服務攻擊。
5.2.2 控制層的攻擊
SDN控制器是個很明顯的攻擊目標。攻擊者可能會爲了不同的目的而把SDN控制器作爲攻擊目標。攻擊者可能會向控制器發送僞裝的南向/北向接口對話消息,如果控制器回覆了攻擊者發送的南向/北向接口對話消息,那麼攻擊者就有能力繞過控制器所部署的安全策略的檢測。
攻擊者可能會向控制器發起DoS或其他方式的資源消耗攻擊,使得控制器處理Packet In消息變得非常緩慢。甚至可能導致整個網絡崩潰。
SDN控制器通常運行在像Linux這樣的操作系統上。如果控制器運行在通用操作系統上,那麼操作系統中存在的漏洞將會成爲控制器的安全漏洞。而控制器的啓動和工作通常是使用默認密碼並且沒有任何其他安全配置。所以,SDN工程師通常很小心的工作,在生產配置過程中都不願碰這些控制器,因爲害怕搞壞如此脆弱的系統。
最糟糕的情況是:攻擊者部署自己的控制器,並且欺騙那些OF交換機,讓它們誤以爲攻擊者控制的“僞裝”控制器爲主控制器。隨後,攻擊者可以向OF交換機的流表中下發流表項。此時,SDN工程師部署的控制器對這些數據流沒有訪問控制權限。在這種情況下,攻擊者擁有了網絡控制的最高權限。
5.2.3 應用層的攻擊
攻擊北向接口協議的行爲也可以看做是一種攻擊的方法。這些北向接口都由控制器管理。這些北向接口可以通過Python、Java、C、REST、XML、JSON等方式進行數據封裝。如果攻擊者利用了這些公開且沒有任何認證機制的北向接口,那麼攻擊者就可以通過控制器來控制SDN網絡的通信,並且可以制定自己的“業務策略”。
在現有幾個較爲著名的SDN開源項目中,他們將自己的北向接口通過REST API的形式向外暴露,並且這些北向接口所提供認證機制的較爲少數。如果一個SDN系統部署時沒有改善這種情況。那麼攻擊者就可以查詢部署系統的配置,並且部署自己的網絡設置。
6 應對策略
- 採用身份認證。
確保所通信的網絡實體、所調用的組件、所執行的代碼等是合法可信的。實際上,ETSI提到加強NFV安全的一個重要舉措就是引入可信計算。可信計算的一條重要原則就是身份認證。當可信計算髮展到極致時,如計算機系統的每一次通信、調用或操作都需要校驗,那對網絡的信任要求就可以降低,甚至是“零信任”。
二、是通信加密。
身份認證可以防禦仿冒攻擊,但無法防禦通信鏈路被竊聽。通信加密可以彌補身份認證的不足,進一步提升系統的安全性。
三、是異常行爲檢測。
有時候,即使通信的對端是可信的,但對端也可能發送帶有病毒的文件,從而使本端系統受到感染。對於這種情況只能通過異常行爲檢測來主動發現並防禦了。通常來說,病毒激活後會有特定的行爲模式,如修改註冊表或不斷複製自己等,可以利用病毒的這些行爲特徵,識別出特定病毒和攻擊。
四、基於切片的安全隔離。
網絡切片是5G的重要組件,它使得運營商可以根據不同的市場情景和豐富的需求定製網絡,以提供最優的服務。一個網絡切片是一系列爲特定場景提供通信服務的網絡功能的邏輯組合。網絡切片本身是一種網絡虛擬化技術,因此,不同切片的隔離是切片網絡的基本要求。爲了實現切片隔離,每個切片被預先配置一個切片ID,同時,符合網絡規範條件的切片安全規則被存放於切片安全服務器(slice security server,簡稱 SSS)中,用戶設備(user equipment,簡稱UE)在附着網絡時需要提供切片ID,附着請求到達歸屬服務器(home subscriber server,簡稱HSS)時,由HSS根據SSS中對應切片的安全配置採取與該切片ID對應的安全措施,並選擇對應的安全算法,再據此創建UE的認證矢量,該認證矢量的計算將綁定切片ID。通過以上步驟,來實現切片之間的安全隔離。保證NFV和SDN的安全。
結論:
DFV和SDN作爲5G通信技術的網絡架構底層,位於最基礎也是最核心的環節,一旦發生安全問題後果將不堪設想,有效的預防DFV和SDN層的安全問題能夠保證整個5G生態系統的安全性。
參考文獻:
[1] 吳宏建. 5G時代NFV面臨安全新挑戰[N]. 人民郵電,2019-10-15(006).
[2] 2016 IEEE Conference on Network Function Virtualization and Software Defined Networks (NFV-SDN)
[3] 馮登國,徐靜,蘭曉.5G移動通信網絡安全研究[J].軟件學報,2018,29(06):1813-1825.
[4] 於建偉,張保華,于娟娟,卜忠貴.面向5G的NFV核心網演進方案研究[J].電信工程技術與標準化,2017,30(01);42-47.
[5] 王進文,張曉麗,李琦,吳建平,江勇.網絡功能虛擬化技術研究進展[J].計算機學報,2019,42(02);185-206.
[6] 錢紅燕,薛昊,陳鳴.UDM;基於NFV的防止DDoS攻擊SDN控制器的機制[J].通信學報,2019,40(03);116-124.