5G安全挑戰(zhàn)與解決方案

◆王 娟

(公安部第三研究所網(wǎng)絡(luò)安全技術(shù)研發(fā)中心 上海 201204)

1 5G新技術(shù)安全挑戰(zhàn)

5G網(wǎng)絡(luò)的虛擬化特點(diǎn)，改變了傳統(tǒng)網(wǎng)絡(luò)中功能網(wǎng)元的保護(hù)很大程度依賴于對(duì)物理設(shè)備的安全隔離的現(xiàn)狀，原先認(rèn)為安全的物理環(huán)境已經(jīng)變得不安全。因此必須要解決5G新技術(shù)的潛在安全挑戰(zhàn)，以確保新的5G服務(wù)、基礎(chǔ)設(shè)施以及用戶隱私數(shù)據(jù)的安全。

1.1 SDN的安全挑戰(zhàn)

SDN將網(wǎng)絡(luò)控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面分離，網(wǎng)元的控制平面在控制器上，負(fù)責(zé)協(xié)議計(jì)算，產(chǎn)生流表；而轉(zhuǎn)發(fā)平面只在網(wǎng)絡(luò)設(shè)備上。當(dāng)SDN控制器更新或修改數(shù)據(jù)轉(zhuǎn)發(fā)元素中的流規(guī)則時(shí)，攻擊者可以輕松識(shí)別此類控制信息流量，使其成為網(wǎng)絡(luò)中的可見實(shí)體，從而成為DoS攻擊的最佳選擇。由于可編程性，大多數(shù)網(wǎng)絡(luò)功能都可以通過(guò)SDN應(yīng)用程序?qū)崿F(xiàn)。因此如果惡意應(yīng)用程序被授予訪問(wèn)權(quán)限，或者關(guān)鍵應(yīng)用程序編程接口（API）暴露于非預(yù)期的軟件環(huán)境中，則會(huì)造成整個(gè)網(wǎng)絡(luò)崩潰。

當(dāng)前SDN架構(gòu)（OpenFlow）要求數(shù)據(jù)轉(zhuǎn)發(fā)網(wǎng)元存儲(chǔ)業(yè)務(wù)流請(qǐng)求直到控制器更新流轉(zhuǎn)發(fā)規(guī)則。但是像OpenFlow交換機(jī)之類的轉(zhuǎn)發(fā)網(wǎng)元僅具有有限的資源來(lái)緩沖未經(jīng)請(qǐng)求的數(shù)據(jù)流，因此數(shù)據(jù)平面網(wǎng)元易受到飽和攻擊。此外，與大型網(wǎng)絡(luò)中的長(zhǎng)恢復(fù)延遲不同，對(duì)控制器的依賴性要求數(shù)據(jù)控制平面信道能夠適應(yīng)安全攻擊。目前主要通過(guò)冗余控制器來(lái)解決控制器可用性的問(wèn)題，提高對(duì)安全攻擊的恢復(fù)能力。但是，多個(gè)控制器易導(dǎo)致轉(zhuǎn)發(fā)元素配置錯(cuò)誤或聯(lián)合沖突，從而導(dǎo)致全網(wǎng)安全策略執(zhí)行受阻。

1.2 NFV的安全挑戰(zhàn)

NFV將網(wǎng)絡(luò)功能與底層專有硬件分開，將網(wǎng)絡(luò)功能從硬件轉(zhuǎn)移到軟件應(yīng)用程序，不需要配置具有特定服務(wù)或功能的專用硬件。從在移動(dòng)網(wǎng)絡(luò)使用的角度來(lái)看，當(dāng)前的NFV平臺(tái)還不能為虛擬化通信服務(wù)提供適當(dāng)?shù)陌踩院透綦x[2]，虛擬網(wǎng)絡(luò)功能（VNF）的動(dòng)態(tài)特性易導(dǎo)致配置錯(cuò)誤，從而導(dǎo)致安全漏洞。NFV除了易受到欺騙、嗅探和拒絕服務(wù)攻擊等典型網(wǎng)絡(luò)攻擊外，還易受到一系列特殊的虛擬化威脅，包括旁路攻擊、洪泛攻擊、虛擬機(jī)管理程序劫持、惡意軟件注入等。

NFV的基礎(chǔ)設(shè)施級(jí)攻擊包括運(yùn)行干擾和共享資源濫用。由于基礎(chǔ)設(shè)施的通用可訪問(wèn)性，攻擊者通過(guò)插入惡意軟件或操縱網(wǎng)絡(luò)流量來(lái)干擾基礎(chǔ)設(shè)施的運(yùn)行。資源濫用型攻擊將導(dǎo)致受害者無(wú)法獲得共享或?qū)Ｓ觅Y源的好處。此外，維護(hù)NFV系統(tǒng)的信任機(jī)制也是一個(gè)巨大的挑戰(zhàn)。通常，物理網(wǎng)絡(luò)設(shè)備由受信任的員工安裝和配置，在安裝過(guò)程中已建立對(duì)設(shè)備的信任，而VNF是從云中動(dòng)態(tài)獲取的，因此需要某種級(jí)別的信任機(jī)制來(lái)防止惡意VNF。

1.3 移動(dòng)云和MEC中的安全挑戰(zhàn)

云計(jì)算將不同技術(shù)的服務(wù)系統(tǒng)集中到一個(gè)部署多個(gè)服務(wù)的基礎(chǔ)設(shè)施中，由于云計(jì)算系統(tǒng)包含用戶共享的各種資源，因此當(dāng)用戶消耗過(guò)多資源，秘密訪問(wèn)其他用戶的資源，或是傳播惡意流量時(shí)，將降低整個(gè)系統(tǒng)的性能。

MEC作為云計(jì)算的一個(gè)關(guān)鍵用例，在移動(dòng)網(wǎng)絡(luò)邊緣的RAN側(cè)擴(kuò)展IT和云計(jì)算功能，開發(fā)人員和內(nèi)容提供商能夠直接訪問(wèn)實(shí)時(shí)無(wú)線接入信息。由于MEC將云計(jì)算功能擴(kuò)展到移動(dòng)網(wǎng)絡(luò)的邊緣，因此與傳統(tǒng)大型數(shù)據(jù)中心相比，可以提供給邊緣主機(jī)的保護(hù)級(jí)別較低。MEC的主要安全問(wèn)題由支持云的物聯(lián)網(wǎng)環(huán)境以及開放API造成，開發(fā)人員通過(guò)開放API向MEC應(yīng)用程序和終端用戶提供服務(wù)。采用開放API通常會(huì)產(chǎn)生安全漏洞，第三方攻擊者通過(guò)這些漏洞對(duì)MEC環(huán)境發(fā)起各種攻擊。MEC的主要威脅包括DoS攻擊，惡意模式問(wèn)題和虛擬機(jī)操縱等。

移動(dòng)云計(jì)算（MCC）將云計(jì)算的概念遷移到5G中，MCC的開放式架構(gòu)和移動(dòng)終端的多功能性將造成安全漏洞。根據(jù)目標(biāo)云切片可以將MCC威脅分為前端威脅、后端威脅和基于網(wǎng)絡(luò)的移動(dòng)安全威脅。前端威脅將從物理威脅轉(zhuǎn)變?yōu)榛趹?yīng)用程序的威脅。后端威脅主要針對(duì)移動(dòng)云服務(wù)器，威脅范圍涉及從數(shù)據(jù)復(fù)制到HX-DoS的攻擊。基于網(wǎng)絡(luò)的移動(dòng)安全威脅，潛在攻擊包括Wi-Fi嗅探，DoS攻擊，地址模擬和會(huì)話劫持。

2 潛在安全解決方案

2.1 SDN安全解決方案

SDN具有網(wǎng)絡(luò)全局視圖、集中控制、網(wǎng)元可編程性的特點(diǎn)，可實(shí)現(xiàn)全網(wǎng)統(tǒng)一的安全策略。因此如果能夠解決SDN固有的安全挑戰(zhàn)，SDN將解決通信網(wǎng)絡(luò)安全的潛在問(wèn)題。SDN從網(wǎng)絡(luò)資源、狀態(tài)和流量中收集信息，通過(guò)信息循環(huán)促進(jìn)威脅快速識(shí)別，SDN架構(gòu)支持積極主動(dòng)的安全監(jiān)控、流量分析和響應(yīng)系統(tǒng)。響應(yīng)系統(tǒng)用來(lái)促進(jìn)網(wǎng)絡(luò)取證，安全策略的更改以及安全服務(wù)插入。

SDN能夠以數(shù)據(jù)包級(jí)粒度提供數(shù)據(jù)包源，采用的路由，甚至是數(shù)據(jù)包內(nèi)容。與傳統(tǒng)網(wǎng)絡(luò)中安全設(shè)備配置在網(wǎng)絡(luò)入口不同，SDN中安全應(yīng)用程序可以在任何網(wǎng)絡(luò)位置通過(guò)控制平面收集數(shù)據(jù)流。SDN的這種功能為建立全網(wǎng)統(tǒng)一的安全策略以及早期識(shí)別任何網(wǎng)絡(luò)位置的安全威脅奠定了基礎(chǔ)。

2.2 NFV的安全解決方案

VNF提出的安全架構(gòu)不僅為多租戶環(huán)境中的虛擬功能提供安全性，而且還為物理實(shí)體提供安全性。使用可信計(jì)算、虛擬系統(tǒng)和虛擬機(jī)管理程序的遠(yuǎn)程驗(yàn)證和完整性檢查功能，能夠?yàn)樗接行畔⑻峁┗谟布谋Ｗo(hù)，并在虛擬環(huán)境中檢測(cè)損壞的軟件。在NFV系統(tǒng)中，可以使用復(fù)雜的安全保護(hù)解決方案（如防火墻）來(lái)防止外部攻擊，還可以利用身份和訪問(wèn)管理機(jī)制來(lái)減輕內(nèi)部人員攻擊的影響。為防止基礎(chǔ)設(shè)施級(jí)攻擊，可以持續(xù)監(jiān)控每個(gè)用戶的資源消耗情況并根據(jù)IP地址黑名單阻止惡意請(qǐng)求。

為了增加不同實(shí)體之間的信任，在整個(gè)生命周期，需要在NFV環(huán)境中創(chuàng)建和維護(hù)一系列信任關(guān)系。基于加密技術(shù)的解決方案可用于保證VNF的機(jī)密性。VNF提供商可以利用問(wèn)責(zé)制和信任管理機(jī)制來(lái)了解在網(wǎng)絡(luò)中運(yùn)行的軟件是否被修改。安全外包是NFV中另一種可行的解決方案，將敏感信息傳輸?shù)酵獠烤W(wǎng)絡(luò)，這樣既保護(hù)敏感信息，還能夠驗(yàn)證數(shù)據(jù)完整性。

2.3 移動(dòng)云和MEC的安全解決方案

MCC中提出的大多數(shù)安全方案都圍繞著虛擬化技術(shù)的使用，加密方法的重新設(shè)計(jì)以及數(shù)據(jù)處理點(diǎn)的動(dòng)態(tài)分配。隔離用戶之間的虛擬連接可以提供云內(nèi)安全保護(hù)。對(duì)于特定的安全威脅，例如HX-DoS，基于學(xué)習(xí)系統(tǒng)的特定解決方案比通用方法更有效。基于學(xué)習(xí)的系統(tǒng)采用一定的數(shù)據(jù)包樣本，針對(duì)各種已知屬性進(jìn)行分析，從而檢測(cè)和減輕威脅。

為了保護(hù)移動(dòng)終端，反惡意軟件的解決方案將安裝在移動(dòng)終端或直接從云上獲取服務(wù)。針對(duì)應(yīng)用程序安全性，安全架構(gòu)包括用于用戶身份保護(hù)的輕量級(jí)動(dòng)態(tài)口令生成機(jī)制，用于隱私保護(hù)的設(shè)備內(nèi)空間隱藏機(jī)制等。

3 總結(jié)

5G將使用移動(dòng)云、SDN和NFV來(lái)應(yīng)對(duì)大規(guī)模連接、系統(tǒng)靈活性和成本的挑戰(zhàn)。但這些技術(shù)本身存在安全挑戰(zhàn)，可能會(huì)使得網(wǎng)絡(luò)安全格局進(jìn)一步復(fù)雜化。因此，本文討論了5G網(wǎng)絡(luò)新技術(shù)帶來(lái)的安全挑戰(zhàn)，并針對(duì)上述安全挑戰(zhàn)提出了可能的解決方案。