NFV安全保障的需求場景與關鍵技術研究

羅成

(廣東南方電信規劃咨詢設計院有限公司,廣東深圳 518000)

1 NFV安全的概述

NFV技術是構建5G承載和5G核心網的關鍵技術之一,其理念就是基于通用的、標準的服務器與存儲平臺,利用虛擬化技術,承載各類功能的軟件,由虛擬化后的網元替代封閉體系下的通信設備,從而統一集約建設硬件平臺的目的。隨著數字業務的大發展和5G通信能力的大幅提升,要求網絡運營商必須在研發、運營、服務三種模式都做出各方面的改變[1]。NFV的技術架構圖1所示,針對網絡虛擬化應用的特性將NFV架構分為三層:(1)NFVI。(2)虛擬通信業務層。(3)運營支撐層。采用NFV技術對5G網絡網元的軟硬件解耦,并結合云計算技術實現承載網絡和核心網的云化部署,通過網絡控制和轉發分離等技術,可以實現5G網絡按照不同要求敏捷部署、資源的動態擴縮容,可實現各種網絡功能和應用模塊的開發、上線、運營。

圖1 NFV技術架構圖Fig.1 NFV technology architecture diagram

2 NFV新的安全挑戰

NFV技術由于其開放性,對5G的網絡安全提出了新挑戰。NFV的安全問題大致可以分為兩種,一種是與傳統網絡安全問題,另一類是在5G網絡引入NFV后特有安全問題。傳統安全問題在學術界和工程界研究較多,應對策略非常成熟,不再贅述。因此,本文將重點分析NFV技術在特殊需求場景下的安全問題。本節描述6個典型的NFV安全需求場景[2]。

2.1 多租戶托管

此場景為平臺運營者在其經營或擁有的NFVI上為其他一個或多個VNF運營者提供主機服務。平臺運營者需確保由其他運營者保有的敏感進程、算法和數據不能被NFVI運營者查看或更改,無論是有意還是無意的。

2.2 基礎設施即服務

基礎設施即服務(IaaS)場景為服務提供者為第三方提供基礎設施服務,并須確保其自身不能查看或更改虛擬應用中的數據或算法。嚴格意義講,IaaS不屬于純粹的NFV應用場景,但安全需求是共通的。IaaS運營者也有保證其租戶的敏感進程、加密密鑰等安全的責任。

2.3 敏感應用

在此場景下,運營商實施了訪問控制和安全域隔離策略,需要將敏感應用功能從其他網絡功能中分離出來,典型的敏感應用如3GPP AUC和HSS等。與其他網絡功能相比,一般情況下運營商網絡內此類敏感功能類似于“孤島”,且僅允許有限管理員訪問。其安全需求:(1)引導時VNFI可能會驗證數據庫、靜態配置數據和應用根密鑰鏈的完整性。(2)運行時需保證敏感功能的完整性,其缺失可能會導致整個虛擬網絡和服務的完整性缺失。(3)需保證密碼相關應用功能的數據機密性。(4)需保證密碼相關應用功能或用戶數據庫的數據相關元數據的機密性。(5)某些功能為防止對密碼功能的攻擊需要隱藏資源使用情況。(6)密鑰、加密算法和其他敏感信息需要安全存儲。(7)密鑰、加密算法和需保護的消費者數據需要安全清除。

2.4 網絡監測和控制

此場景下,運營商實施了受限的訪問控制和安全域隔離,需要將監控功能從其他網絡功能中分離出來。例如如路由器、防火墻、分組報文監測過濾器和其他網絡防御功能等均存在監控功能,在虛擬化時應該考慮將監控功能的分離出來。其安全需求如:(1)在引導和運行時,考慮到這些功能控制著其他VNF的訪問且有助于網絡防御,需保證其完整性。(2)考慮到這些功能控制著其他VNF的訪問且有助于網絡防御,需確保正確的定位和定位認定。(3)某些功能用來抵御病毒或其他攻擊、觀測密碼或用戶業務數據,需保證其能夠安全清除。(4)考慮到這些功能控制著其他VNF的訪問且有助于網絡防御,需認定其操作的正確性。

2.5 合法監聽

合法監聽(LI)場景安全需求:(1)當此功能不可用時,能夠通過快速監測和LI業務缺失報告及時觸發修正流程,確保功能可用。(2)LI只能在頒布了相關授權的國家實施。(3)目標列表作為關鍵信息應該受到保護,僅有恰當的LI功能方能對其進行讀取或修改。監聽產品到LEA的遞交路徑也應保證機密性。(4)需保證元數據、流程及相關元數據的機密性。(5)需隱藏資源使用情況,當LI發生時可以減少被察覺的幾率。當LI開始或結束時,要求未授權實體幾乎察覺不到任何變化。另外,LI流量統計數據不應輕易被判別出來。(6)LI管理和監聽產品遞交均應保證安全的通信。(7)應保證目標列表的安全存儲。(8)宿主業務的信任需要來自外部實體,可以是NFV平臺內部的TPM或外部可信實體,此時需使用LI功能硬件鑒別信任根。(9)需確保工作負載配置策略正確且合理。如當業務遷移時需確保目標業務不會遷移到LI不能或不宜實施的點。

2.6 數據留存

數據留存場景安全需求:(1)當此功能不可用時,能夠通過快速監測和留存數據業務缺失報告及時觸發修正流程,確保功能可用。(2)需明確知悉留存數據存儲位置,進而按照相關安全法律執行相關操作。(3)需確保關注主題列表的機密性,不管是出于操作原因還是保護關注主題隱私的目的。(4)需保證請求和響應間安全的通信。(5)當請求被響應時,請求內容應該被安全存儲。一旦查詢請求被響應,關于何時刪除請求和響應,需遵循國家規定和需求。如果有足夠的措施來替代其作為證據,一般來說無需存儲請求或響應中的敏感信息。從審計角度看,存儲關于請求的時間和請求ID等信息是必要的。(6)宿主業務的信任需要來自外部實體,可以是NFV平臺內部的TPM或外部可信實體,此時需使用硬件鑒別信任根。

3 NFV安全技術手段及措施

3.1 操作系統級的訪問控制

操作系統級的訪問控制能夠針對操作系統進程提供訪問控制安全策略。例如,將訪問控制策略應用于文件訪問或網絡資源訪問的進程。雖然為上層應用創建操作系統級的訪問控制策略比較復雜,也可能會改變上層應用對操作系統的使用能力,但是這一舉措和日志審計、實時控制結合,能夠有效提高安全性[3]。

3.2 通信安全

通信安全是為組件內或外通信提供安全的一系列技術和措施的集合。除了加密性和完整性外,其他指標,如時效性、帶寬、延遲、抖動等,也很重要。需要說明的是,現在流量分析已經是一個非常成熟的領域,如果有一組各種數據流的組合,給出了該信道相關的信息,即使采用了一些防護技術,也可能降低了通信的安全性。

3.3 對硬件資源的直接內存訪問

直接內存訪問(DMA)技術可以讓某些硬件資源可以直接分配給虛機(或者準確地說,分配給與特定進程相關的RAM區域)。它通常用于提供性能改進,但也可以提供安全隔離能力,因為主機服務沒有分配對這些硬件資源的訪問權限,例如,以網絡接口卡(NIC)為例,輸入輸出的數據包不由主機服務Hypervisor管理程序或操作系統管理。這意味著DMA的機密性、完整性和可用性在某種程度上可能要比非DMA情況下要高一些。

3.4 硬件安全模塊

硬件安全模塊(HSM)為數據提供物理和邏輯保護,特別是為密鑰等密碼材料提供保護。此外,它們還提供具有物理和邏輯保護的高度安全的加密服務。HSM是用于可伸縮密碼處理、密鑰生成和集中式密鑰存儲的完整解決方案。作為專用設備,它們自動將這些功能所需的硬件和固件包含在一個集成包中。可以為特定或通用目的(例如性能、環境、便攜性、接口)對它們進行優化。HSM通過多種安全手段(接口、協議)與服務/應用程序合作[4]。HSM支持的功能包括:加密密鑰的生命周期管理;密碼處理,它帶來了將密碼處理與應用服務器隔離和從應用服務器卸載的雙重好處。該設備的物理和邏輯保護由抗篡改的外殼提供支持;對邏輯威脅的防御,由集成防火墻和入侵預防防御系統提供支持。一些HSM供應商還包括對雙因素認證的集成支持。安全認證通常由HSM供應商作為產品的特性提供。在多層主機管理中,HSM可以作為硬件錨定安全根附加到NFVI,例如提供加密服務或支持安全存儲的實現。HSM需要特定的訪問保護。HSM允許將密鑰存儲在單個單元中,并集中密鑰管理,這構成了密鑰保護的一致層,并降低了密鑰被破壞的風險。需注意的是,HSM通常與硬件TPM不同。HSM在密鑰管理中具有更高的可伸縮性。硬件TPM是為平臺級別的鑒定服務而優化的,但也可以提供特定的密碼服務。

3.5 軟件完整性保護和校驗

軟件完整性保護和校驗包括各種措施,以檢測(靜態)軟件、數據或固件不需要的修改。因此,它在系統生命周期的各個方面都具有適用性,包括部署、引導和運行時。通常,它基于為軟件模塊、文件、虛機鏡像、內存內容等計算的加密哈希值。哈希值需要被信任,這可以通過幾種方法來實現。保護軟件的一種廣泛應用的方法是使用來自權威來源(如軟件供應商或社區)的私有密鑰創建數字簽名,并關聯公鑰(例如RSA和/或涉及PKI、證書),以便用于校驗。簽署的軟件(或數據)可以證明來源以及完整性,其保護是獨立于存儲或傳送媒體,不需要特定的硬件。但是,在驗證系統中,需要保護公鑰/證書不被交換。在可信系統中,對簽名軟件的驗證允許根據受保護對象的完整性狀態給出本地決定,并且不需要額外的基礎設施和外部通信。這一措施適用于主機服務和虛擬應用程序,只是對于這些不同的邏輯組件可能需要不同的信任關系和實現方式[5]。

4 結語

總之,5G網絡中采用NFV技術的應用場景各異,其安全需求也不盡相同。NFV環境存在的安全問題可分為兩類,一類是與傳統網絡相同的通用安全問題,如數據泄露、未授權訪問等,另一類是引入NFV技術所帶來的特有的安全問題,如不安全虛機蔓延、隔離失效等。本文列舉了6種情況下NFV的需求場景,也提出了NFV安全技術的手段與措施,對于5G網絡使用NFV技術的安全研究有積極推動作用。