虛擬化環(huán)境下的5G核心網(wǎng)安全機制構(gòu)建

馬 磊

（湖北郵電規(guī)劃設(shè)計有限公司，湖北 武漢 430023）

0 引 言

因為5G核心網(wǎng)是以軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）或者網(wǎng)絡(luò)功能虛擬化（Network Function Virtualization，NFV）形式的虛擬環(huán)境作為基礎(chǔ)，在電信云平臺上布置的一種網(wǎng)絡(luò)形式，所以它和傳統(tǒng)物理環(huán)境中的網(wǎng)絡(luò)安全防護有著很大程度的不同，加之NFV組件具有開放性，這就對組件之間的開放和交互帶來了更大的安全風(fēng)險。另外，在云化之后，5G核心網(wǎng)中的全部虛擬機共享資源以及應(yīng)用程序都可能隨時發(fā)生移動、變更等情況，很多來自于外部的攻擊也會使其安全風(fēng)險更加多樣化。因此，在這種虛擬化環(huán)境下，5G核心技術(shù)的安全機制構(gòu)建一定要得到技術(shù)人員的足夠重視，并通過安全機制的科學(xué)構(gòu)建來保障5G核心網(wǎng)安全。

1 虛擬環(huán)境下5G核心網(wǎng)所面臨的安全挑戰(zhàn)

在虛擬環(huán)境下，5G核心網(wǎng)所面臨的安全挑戰(zhàn)主要包括接入方面、網(wǎng)絡(luò)方面、管理方面、數(shù)據(jù)方面以及能力開放等方面的安全挑戰(zhàn)。就接入方式以及業(yè)務(wù)場景來看，5G會對具有不同能力的多種終端網(wǎng)絡(luò)接入提供支持，同時也會為各種接入技術(shù)在5G網(wǎng)絡(luò)中的接入提供支持。而在移動網(wǎng)絡(luò)與垂直行業(yè)之間的融合中，越來越多的應(yīng)用場景開始出現(xiàn)，所以5G核心網(wǎng)需要給具備各種差異化需求的應(yīng)用提供安全服務(wù)[1]。例如，在eMBB場景中，對于所有的行業(yè)信息數(shù)據(jù)都需要做加密處理，而對于個人業(yè)務(wù)則只需要對隱私數(shù)據(jù)進行加密處理，且不同的加密方法所應(yīng)用的算法也不同；在uRLLC場景中，對于關(guān)鍵數(shù)據(jù)和隱私都需要提供相應(yīng)的保護，且在安全終結(jié)點、安全上下文切換、數(shù)據(jù)傳輸安全以及接入認(rèn)證等的加密和解密過程中，其時延一定要與具體的低時延要求相符；在mMTC場景中，需要對海量終端進行高效的接入認(rèn)證，將信令風(fēng)暴降低，實現(xiàn)輕量安全算法的提供，讓安全協(xié)議得到進一步簡化，以滿足資源限制條件下的輕量化低功耗安全接入需求。在這樣的情況下，5G核心網(wǎng)急需一個統(tǒng)一形式的認(rèn)證框架，這樣才可以為用戶提供出統(tǒng)一、可靠、連續(xù)、無感知形式的安全接入方法[2]。

因為5G核心網(wǎng)是通過虛擬功能的形式在云化基設(shè)施上進行部署，所有的網(wǎng)絡(luò)功能都通過軟件形式的虛擬環(huán)境來實現(xiàn)，因此其網(wǎng)絡(luò)安全管理也就有了更多風(fēng)險。因為NFV/SDN技術(shù)是對物理資源共享進行網(wǎng)絡(luò)虛擬，其安全邊界不夠清晰，所以這種開放化和虛擬化的網(wǎng)絡(luò)也就更容易受到攻擊。

2 虛擬環(huán)境下5G核心網(wǎng)安全機制的總體構(gòu)建思路

在虛擬環(huán)境中，要想有效保障5G核心網(wǎng)的安全性，應(yīng)該對其安全機制加以完善建設(shè)，同時將安全滲透到日常的5G核心網(wǎng)運營維護中。首先需要在電信運營管理這一層級下進行直屬形式的安全委員建設(shè)，并進行安全實驗室以及安全事件相應(yīng)維護團隊的建設(shè)。

在安全機制的具體運行中，安全實驗室可以借助于相應(yīng)的漏洞掃描工具對5G核心網(wǎng)的安全漏洞進行全面掃描，讓網(wǎng)絡(luò)中存在的公共漏洞以及暴露得以及時發(fā)現(xiàn)。同時，通過定期進行內(nèi)部掃描、外部事件觸發(fā)以及安全積累更新，可以為虛擬環(huán)境下的5G核心網(wǎng)進行安全漏洞方面的加固基線建立，并不斷進行升級、更新以及發(fā)布，以實現(xiàn)虛擬環(huán)境下5G核心網(wǎng)安全性的良好保障。

安全事件相應(yīng)維護團隊專門對相關(guān)的安全漏洞進行接收，并積極響應(yīng)應(yīng)急組織，為虛擬環(huán)境下的5G核心網(wǎng)安全問題提供科學(xué)合理的解決方案，對行業(yè)協(xié)會所公布的安全事件進行響應(yīng)和處理，對5G核心網(wǎng)應(yīng)用中的重大安全管理策略以及處理方案進行科學(xué)制定，并對系統(tǒng)中各個軟件供應(yīng)商以及專業(yè)性的安全廠商所發(fā)布的補丁和漏洞等進行驗證[3]。

3 虛擬環(huán)境下5G核心網(wǎng)安全機制的關(guān)鍵技術(shù)應(yīng)用

3.1 接入安全技術(shù)

在安全機制的構(gòu)建中，要想保障5G核心網(wǎng)在虛擬環(huán)境中的接入安全，就需要將UE以及無線接入網(wǎng)進行聯(lián)合考慮，在構(gòu)建框架過程中，需進行網(wǎng)絡(luò)以及用戶的雙向認(rèn)證，以保障兩者之間的相互可信性。為了實現(xiàn)空口和UE與5G核心網(wǎng)之間的加密及對其完整性提供保護，避免竊取嗅探等情況發(fā)生，應(yīng)該對5G核心網(wǎng)、UE以及空口這三者之間進行數(shù)據(jù)加密處理，使其支持可拓展形式的協(xié)議認(rèn)證以及秘鑰協(xié)商（Extensible Authentication Protocol-Authentication and Key Agreement，EAP-AKA）、5G認(rèn)證以及秘鑰協(xié)商認(rèn)證（5G-uthentication and Key Agreement，5G-AKA），并支持完整性保護加密算法以及主流加密算法。在通過UE進行應(yīng)用訪問時，應(yīng)根據(jù)實際需求進行協(xié)議安全性（IP Security，IPsec）、安全層（Secure Sockets Layer，SSL）隧道建立，以保障數(shù)據(jù)的安全傳輸，同時應(yīng)做好訪問控制，避免接入用戶對網(wǎng)絡(luò)切片的非法訪問，同時按照實際安全需求進行安全重點的合理選擇[4]。

3.2 網(wǎng)絡(luò)安全技術(shù)

3.2.1 虛擬網(wǎng)絡(luò)功能（VNF）安全技術(shù)

在VNF包的管理過程中，刪除、篡改以及非法訪問等的風(fēng)險始終存在，所以應(yīng)在上載中做好可信性與完整性檢查。在對VNF進行實例化前，應(yīng)做好權(quán)限、認(rèn)證以及完整性驗證，以保障軟件包或者是模板安全。在對VNF進行實例管理的過程中，應(yīng)對其權(quán)限與認(rèn)證加以充分驗證，防止資源應(yīng)用狀況以及實例狀態(tài)被非法獲取。在對VFN進行更新的過程中，應(yīng)結(jié)合權(quán)限驗證以及認(rèn)證情況來檢查做包是否完整，防止流程被非法更新或者更新包被非法篡改。在對VNF進行終止時，應(yīng)與權(quán)限驗證以及認(rèn)證相結(jié)合，保障資源擦除的徹底性，防止實例被非法終止或者敏感信息被外部盜用。對于VNF所在的各種硬件資源，也需要進行良好的防入侵、防病毒處理，避免病毒、蠕蟲等對網(wǎng)絡(luò)系統(tǒng)的攻擊。

3.2.2 軟件定義網(wǎng)絡(luò)（SDN）安全技術(shù)

SDN的主要特征是實現(xiàn)轉(zhuǎn)發(fā)與控制的分離，其控制器可以對操作系統(tǒng)中的COTS硬件直接運行，但是攻擊者可以通過南北向信息的偽造來發(fā)起DOS或者通過其他的資源消耗方式進行攻擊。因此，為避免此類攻擊，就需要對資源利用率進行監(jiān)視。在此過程中，可通過Cluster框架進行攻擊點的分散，以避免DOS攻擊，并將角色為基礎(chǔ)對訪問進行控制，將認(rèn)證為基礎(chǔ)進行遠(yuǎn)程登錄合法訪問進行控制。同時，可借助于SSL的接入來保障數(shù)據(jù)信息的私密性，對遠(yuǎn)程訪問的IP地址加以限制，以保障接入安全。另外，也應(yīng)該將日志分析引入其中，為安全事件的科學(xué)取證提供便利，并實現(xiàn)回溯機制的科學(xué)建立。最后，應(yīng)通過合規(guī)工具以及漏掃工具對操作系統(tǒng)進行加固處理。

3.2.3 安全域隔離技術(shù)

在安全機制的建立中，應(yīng)該在組網(wǎng)階段便將5G核心網(wǎng)按照圖1所示的安全區(qū)域進行劃分，以達到良好的區(qū)域隔離效果。

圖1 安全區(qū)域劃分示意圖

具體應(yīng)用中，可以根據(jù)實際需求以及功能來進行網(wǎng)元的安全等級劃分，對于不同的等級，應(yīng)進行安全域的不同設(shè)置，讓各個網(wǎng)元都智能歸屬一個安全域。對于各個安全域，應(yīng)進行專用網(wǎng)絡(luò)基礎(chǔ)資源池的分配，且安全域之間不可以對資源池進行共享。按照實際需求，數(shù)據(jù)在域內(nèi)的傳輸可以選擇配置安全控制，如在VFN之間進行互相認(rèn)證機制以及防火墻等的增設(shè)。

3.2.4 切片安全技術(shù)

在該技術(shù)的應(yīng)用中，應(yīng)將實際的安全性要求以及Slice ID作為依據(jù)，實現(xiàn)故障、配置、計費、性能以及安全方面特定切片的提供，并進行VNF隔離提供。對于切片的接入安全，應(yīng)該對下一數(shù)據(jù)單元會話機制以及接入策略的具體控制加以綜合考慮，這樣才可以提供出一個以SSL VPN為基礎(chǔ)或者以IPsec為基礎(chǔ)的安全連接[5]。對于切片NF以及公共NF的安全，為使其得到良好保障，應(yīng)進行白名單機制的設(shè)置，以實現(xiàn)訪問控制。借助于網(wǎng)絡(luò)切片選擇功能為AFM與NF之間的正確連接提供保障，并將相應(yīng)的監(jiān)測請求頻率設(shè)置在AMF中。同時，應(yīng)該將VLAN/VxLAN形式的網(wǎng)絡(luò)隔離在不同切片間設(shè)置，對VM提供資源方面的隔離。

3.3 管理安全技術(shù)與能力開放安全技術(shù)

5G核心網(wǎng)的一個顯著特征就是業(yè)務(wù)能力的開放性，但是具體應(yīng)用中，一定要對業(yè)務(wù)開放做好安全封裝[6]。在此過程中，為保障門戶接入安全，需進行管理手段的完善建立，保障提供運行安全；為實現(xiàn)良好的賬戶管理，應(yīng)該對角色分權(quán)分域的管理方式予以支持，同時應(yīng)對賬戶生命周期進行良好管理，并對密碼有效期、長度等做好管理；為實現(xiàn)良好的認(rèn)證管理，應(yīng)通過集中認(rèn)證的方式，借助于OAuth2.0在Web UI和VNFM以及NFVO之間進行RESTful接口的應(yīng)用，實現(xiàn)審計管理的統(tǒng)一性。圖2為5G核心網(wǎng)安全能力開放示意圖。

圖2 5G核心網(wǎng)安全能力開放示意圖

3.4 數(shù)據(jù)安全技術(shù)

在虛擬環(huán)境下的5G核心網(wǎng)安全機制構(gòu)建中，每一個數(shù)據(jù)應(yīng)用階段都有一定的安全風(fēng)險存在。基于此，可通過表1的技術(shù)以及管理方式來實現(xiàn)數(shù)據(jù)安全的良好保障。

表1 數(shù)據(jù)安全保障方法

4 結(jié) 論

在虛擬化背景下，5G核心網(wǎng)所面臨的安全問題有很多。因此，為保障5G核心網(wǎng)的應(yīng)用安全，就應(yīng)該對其安全控制機制進行科學(xué)建立，并通過各項關(guān)鍵技術(shù)的合理應(yīng)用來實現(xiàn)良好的安全管理。