5G網絡NFVI安全防護架構

張鑒 馮曉東 唐洪玉

【摘 ?要】基于5G網絡“云化”和“虛擬化”的特點，NFV技術將在5G網絡中發揮關鍵性的作用，提出了NFVI的安全防護架構，并針對物理層、網絡層、虛擬化層、安全管理層等各層面提出具體的安全技術措施。

【關鍵詞】5G網絡;NFV;安全架構

1 ? 引言

隨著信息通信技術的快速發展和廣泛應用，人類社會與信息網絡密不可分。5G作為下一代無線通信技術將支持更加豐富的應用服務，深入融合到人們日常生活、工作、學習、娛樂以及現實社會的運行、管理中，應該站在網絡空間的角度審視5G的安全。隨著5G網絡系統架構“云化”和“虛擬化”的變革，NFV技術將在5G網絡中發揮關鍵的作用，因此研究5G中NFV的安全防護框架和技術也成為目前的一項重要課題。

2 ? 5G網絡總體架構

5G網絡的設計融入了SDN、NFV、云計算技術的核心思想。5G網絡架構由控制云、接入云和轉發云共同組成（如圖1所示），并可基于SDN/NFV技術實現[1]。

（1）接入云。支持用戶在多種應用場景和業務需求下的智能無線接入，并實現多種無線接入技術的高效融合，無線組網可基于不同部署條件要求，進行靈活組網，并提供邊緣計算能力。

（2）控制云。完成全局的策略控制、會話管理、移動性管理、策略管理、信息管理等，并支持面向業務的網絡能力開放功能，實現定制網絡與服務，滿足不同新業務的差異化需求，并擴展新的網絡服務能力。

（3）轉發云。配合接入云和控制云，實現業務匯聚轉發功能，基于不同新業務的帶寬和時延等需求，實現增強移動寬帶、海量連接、高可靠和低時延等不同業務數據流的高效轉發與傳輸，保證業務端到端質量要求。

3 ? 5G網絡中NFV技術安全需求分析

3.1 ?5G新業態需要NFV技術支撐

國際電信聯盟（ITU）定義了5G的三大應用場景[2]：增強移動寬帶（eMBB）、海量機器類通信（mMTC）、高可靠低時延（uRLLC）。不同應用場景往往在多個關鍵指標上存在差異化要求，因此5G系統需要支持可靠性、時延、吞吐量、定位、計費、安全和可用性的定制組合。5G業務需求的多樣性給5G網絡規劃和設計帶來了新的挑戰，包括網絡功能、架構、資源、路由等多方面的定制化設計挑戰。

隨著大量5G特有的新型業務的出現，要求運營商必須在研發模式、運營模式、服務模式等各方面做出改變。采用NFV/SDN技術對電信網元的軟硬件解耦，并結合云原生技術實現網絡虛擬化、云化部署，通過網絡功能模塊化、控制和轉發分離等使能技術，可以實現網絡按照不同業務需求快速部署、動態的擴縮容和網絡切片的全生命周期管理，包括端到端網絡切片的靈活構建、業務路由的靈活調度、網絡資源的靈活分配以及跨域、跨平臺、跨廠家乃至跨運營商的端到端業務提供，可以快速實現網絡功能和各種應用的開發和上線，以應對5G時代給電信市場帶來的挑戰。

3.2 ?NFV技術帶來新的安全挑戰

網絡功能虛擬化（NFV）是構建5G網絡的關鍵技術之一，但NFV技術的引入，對5G網絡的安全提出了新的挑戰。

5G網絡需要解決安全邊界變化、控制轉發分離網絡架構下的安全問題。支持應用、控制和轉發功能的云安全，采取對網絡流量進行鏡像、阻斷和過濾等安全操作，解決服務拒絕攻擊、單點失效等安全問題。5G需要提供異構網絡整體的安全措施，為不同網絡提供標準的接口進行安全操作，隔離不同類型網絡[3-4]。

NFV技術所帶來的特有安全風險尤其需要重點關注，如NFV基礎設施導致平臺安全防護能力下降的問題。當平臺運行不可信的虛機時，硬件平臺的安全防護能力可能會整體下降。這是由于虛擬環境中缺乏天然的物理隔離，針對單個虛擬網元的威脅有可能會擴散至整個平臺，進而影響其他虛擬網元的安全。此外，VNF虛擬網元存在權限管理復雜、VNF通信安全、虛擬網元系統后門等風險;MANO（管理和編排）存在未經授權任意創建或刪除虛擬網元，非法獲取虛擬網元配置信息、證書及密鑰，實施對虛擬網元攻擊的風險。

4 ? 構建5G網絡NFVI安全防護框架

4.1 ?NFV技術架構

NFV（Network Function Virtualization）的基本理念是基于標準的X86架構服務器、通用存儲和交換機等硬件平臺，利用虛擬化技術，在虛擬化硬件資源上承載各類功能的軟件，由虛擬的網元替代傳統的通信設備，從而實現網絡功能虛擬化。

NFV的技術架構參考圖2[5]，針對通信網絡虛擬化應用的特性將電信系統NFV架構分為三層。

（1）NFVI（NFV Infrastructure，NFV基礎設施）。NFVI提供部署、管理和執行環境，并實現對資源（包含硬件資源和虛擬資源）的管理和監控。硬件資源層、虛擬化層及其上的虛擬資源層實現對虛擬網絡層業務網元的承載;虛擬基礎設施管理（VIM）實現對資源的管理、調度、編排和監控功能。

（2）虛擬通信業務層。基于底層云化基礎設施實現通信業務能力，主要包括VNF、EMS及VNF管理系統（VNFM）。其中，VNF是基于NFVI虛擬資源部署的業務網元;EMS是VNF業務網絡管理系統，提供網元管理功能;VNFM是VNF管理系統，負責VNF生命周期管理以及VNFD的生成與解析。

（3）運營支撐層。實現對業務的編排、運維與管理，主要包括OSS/BSS和NFVO。

4.2 ?NFVI安全防護框架

NFVI在整個NFV技術體系中具有基礎性和關鍵性的位置，將從NFV基礎設施層面構建安全防護框架。

NFVI安全防護技術措施主要包含物理設施安全、虛擬設施安全、管理安全、網絡安全四個方面。安全防護框架如圖3所示。

（1）物理設施安全主要包含硬件設備（服務器、交換機等）自身安全、嵌入式軟件安全、硬件設備操作系統和數據庫系統安全。

（2）虛擬設施安全主要包含虛擬化軟件Hypervisor安全、用于統籌虛擬資源分配管理的云操作系統安全。

（3）網絡安全包含NFVI內部網絡連接的網絡架構、網絡隔離、網絡防護等功能。

（4）管理安全主要包含NFVI資源管理系統VIM安全，包括虛擬資產的安全管理，如身份認證、訪問控制、安全監控和審計等。

4.3 ?NFVI安全防護技術措施

基于NFVI安全防護框架，結合5G網絡安全需求，可以對物理設施安全、虛擬設施安全、網絡安全、管理安全提出更加具體的安全技術措施，從而使整個安全防護框架更具可操作性。

（1）物理設施安全技術要求

物理基礎設施為虛擬化底層部分，它的安全關系到整個虛擬化系統的安全，缺乏物理安全的控制時，即使管理、技術和上層軟件系統訪問控制的很好，也無法保證系統足夠的安全性。如果懷有惡意的人員能夠實現對服務器、存儲、交換機等設備的物理訪問，那么就幾乎可以實施任何對系統的破壞和控制。物理設施安全技術要求可以從硬件設備物理接口、CPU安全漏洞、硬件設備存儲介質、操作系統/數據庫基礎安全等方面進行考慮。

1）硬件設備物理接口

◆硬件設備應刪除軟盤、USB、串口等不必要的接口。

◆支持系統訪問的物理接口均應支持通過軟件設置關閉或訪問控制機制。

◆用于數據轉發的物理接口登錄系統應支持完整用戶認證，并支持在系統內禁用相關接口。

2）CPU安全漏洞

◆硬件設備應使用未受安全漏洞影響的CPU型號。

◆硬件設備已經安裝軟件補丁或具備規避措施，系統不受對應CPU漏洞的影響。

3）硬件設備存儲介質

◆設備不存在外部可插拔的存儲介質。

◆服務器的USB口應默認禁止掛載存儲器件。

4）操作系統/數據庫基礎安全

◆系統只開放必要的服務端口，非必要的服務組件已經關閉。

◆系統不存在不需要的賬號，不存在空口令的賬號，應按照不同角色對用戶和用戶組權限進行合理設置，權限控制策略滿足業務安全要求。

◆關鍵文件/目錄讀寫權限合理。

◆數據庫符合基礎安全加固要求，至少不存在無用賬號，使用了加強密碼策略。

◆系統設備的軟件版本不存在未修復的中高風險的安全漏洞。

◆經過漏洞掃描系統不存在中高風險的安全漏洞，對于中高風險的安全漏洞，需要有明確的修復或規避措施。

（2）虛擬設施安全技術要求

虛擬設施是承載在物理設施之上的虛擬系統，用于為虛擬化功能單元提供安裝、部署、資源的生命周期管理服務。虛擬設施需要覆蓋如下系統：虛擬化軟件Hypervisor、用于統籌虛擬資源分配管理的云操作系統（如OpenStack）。

虛擬設施安全需要考慮的因素包括：賬號和權限、訪問控制、系統更新、安全管理、安全隔離、業務連續性、安全審計、虛擬存儲。

1）賬號和權限

◆Hypervisor系統用戶身份標識應具備唯一性，應啟用shadow文件。

◆Hypervisor系統應設置合理的口令策略，口令復雜度、口令長度、口令期限等應符合業務安全性要求。

◆不得存在多余、過期和共享賬號，應按照不同角色對用戶和用戶組權限進行合理設置，權限控制策略滿足業務安全要求。

2）訪問控制

◆應啟用安全協議進行虛擬主機遠程登錄，應對登錄賬號進行限制。

◆應禁用root賬號對虛擬主機進行遠程登錄，應使用非特權賬號進行遠程管理。

◆應設置登錄賬號的密碼期限，啟用登錄失敗處理功能，設置登錄超時策略。

3）系統更新

◆Hypervisor系統應及時進行系統更新，下載安裝最新的安全補丁。

◆Hypervisor系統應采用數字簽名方式進行更新，安全更新機制滿足業務安全性要求。

4）安全管理

◆應正確配置SNMP，如果SNMP不被使用，應該保持禁用。如果被使用時，應配置適當的服務目標。

◆應禁用DCUI，阻止本地管理控制能力，如配置IP地址，主機名和root密碼以及診斷功能等。

5）安全隔離

◆應保證不同虛擬機之間CPU指令隔離。

◆應保證不同虛擬機之間內存的隔離。

◆應保證虛擬機只能訪問分配給自己的存儲空間。

6）業務連續性

◆在不中斷業務的情況下，應支持虛擬主機快速熱遷移。

◆應支持完整的虛擬主機生命周期管理，支持宿主服務器物理資源利用情況監控和告警，支持虛擬機運行情況監控和告警。

7）安全審計

◆應啟用安全審計和日志記錄功能，能夠對用戶登錄、虛擬機運行狀況等行為進行日志記錄，安全日志的存放和備份方式符合業務安全要求。

◆應正確配置NTP，確保所有的虛擬機系統都使用相同的時間源。

8）虛擬存儲

◆應支持對虛擬磁盤設置訪問策略，保證用戶數據不能被其他非授權用戶訪問。

◆應支持對虛擬磁盤進行加密。應支持在用戶要求刪除數據或設備棄置、轉售前將其所有數據徹底清除。

（3）網絡安全技術要求

通過將主機內虛擬交換機和外部物理交換機統一配置和部署，實現虛擬系統的網絡連通和隔離。網絡安全需要重點考慮網絡架構、網絡隔離、網絡配置和網絡安全防護等方面。

1）網絡架構

◆應保證關鍵網絡設備及虛擬化網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要。

◆應保證核心網絡的帶寬滿足業務高峰期需要。

◆應提供開放接口，允許接入第三方安全產品。

2）網絡隔離

◆應支持網絡安全域劃分，確保虛擬機之間的安全隔離，支持VLAN/VxLAN或安全組等方式。

◆應支持客戶自定義虛擬機之間的安全策略。

3）網絡配置

◆應禁用虛擬網卡的“混雜模式”“MAC地址更改”和“偽信號”的配置。

◆應防止虛擬機使用虛假的IP或MAC地址對外發起攻擊。

4）安全防護

◆應支持虛擬化防火墻功能，支持虛擬機安全組配置，支持虛擬網絡訪問控制策略配置。

◆應支持在虛擬網絡中對虛擬機監視器和虛擬機的入侵行為進行檢測，并在發生入侵事件時提供告警。

（4）管理安全技術要求

NFVI資源的生命周期管理通過VIM來實現，包括NFVI的計算、存儲和網絡資源的控制與管理，收集性能監控和各項事件信息，并向上層業務提供開放接口。用戶認證和授權管理是系統安全管理中必不可少的一個環節，此外安全管理還包含安全審計、傳輸安全、安全監控、Web安全等相關內容。

1）用戶認證

◆用戶在登錄系統之前，應首先經過認證系統識別身份，然后根據用戶身份進行授權，安全接入管理系統。

◆應支持口令長度及復雜度驗證機制。

◆應提供對用戶口令生命周期控制功能。

◆應支持自定義賬號安全策略功能。包括非法探測登錄防護功能、最大連接數控制功能等。

2）授權管理

◆應能夠根據用戶、用戶組、用戶級別的定義來對資源的訪問進行集中授權。

◆應能夠動態地創建、刪除和修改角色，形成新的權限集合，以便分配給系統用戶，達到控制系統用戶權限的目的。

3）安全審計

◆支持對用戶/管理員對登錄日志的記錄和審計。

◆支持對用戶/管理員操作行為的記錄和審計。

◆支持對自服務系統、資源管理系統及網絡設備日志的記錄和審計。

4）傳輸安全

◆應支持SSL、SSH、IPSec等方式為云計算系統內部的維護管理信息提供數據加密保護，保障維護管理信息的安全。

◆應支持SSL、SSH、IPSec等方式保護用戶的數據傳輸安全。

5）安全監控

◆應支持對虛擬機狀態的實時監控，形成各種安全事件信息。

◆應支持對安全事件信息進行處理，形成不同級別的安全告警信息。

◆應提供日志信息、安全事件、網絡流量等相關信息查詢。

6）Web安全

◆使用Web漏洞掃描工具對系統進行掃描，不存在中高風險漏洞。

◆Web系統關鍵功能均有權限控制，不存在越權操作的情況。

5 ? 結束語

NFV技術是5G網絡的關鍵性支撐技術之一，因此明確5G網絡中NFVI的安全需求，構建符合5G安全需求和網絡特性的安全防護架構，是當前一項重要工作。本文基于5G網絡的安全需求和NFV技術架構，提出了完整和可操作性的5G網絡NFVI安全防護架構，希望能為5G網絡安全建設提供有借鑒性的參考。

參考文獻：

[1] 中國電信. 中國電信5G技術白皮書[R]. 2018.

[2] 3GPP. 3GPP TS 23.501 V16.0.2： System Architecture for the 5G System[S]. 2019.

[3] 3GPP. 3GPP TS 33.501 V15.4.0： 5G Security Architecture and Procedures for 5G System[S]. 2019.

[4] 華為技術有限公司. 華為5G安全架構白皮書[R]. 2017.

[5] ETSI. ETSI GR NFV-SEC 003 V1.2.1： Network Functions Virtualization （NFV） Security and Trust Guidance[S]. 2016.