邵永平，鐘正泉，楊旭，宋小明（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

SHAO Yong-ping， ZHONG Zheng-quan， YANG Xu， SONG Xiao-ming（China Mobile Group Design Institute Co.， Ltd.， Beijing 100080， China）

?

核心網(wǎng)引入NFV后的安全防護(hù)方案探討

邵永平，鐘正泉，楊旭，宋小明
（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

摘 要本文先以VoLTE為例介紹了傳統(tǒng)核心網(wǎng)的安全防護(hù)方案和安全域的劃分，接著探討引入NFV后核心網(wǎng)發(fā)生了哪些變化，再提出NFV的安全域劃分建議，分別對(duì)VNF和NFVI層進(jìn)行安全防護(hù)方案的探討。

關(guān)鍵詞NFV；安全防護(hù)；VoLTE

1　前言

基于云計(jì)算架構(gòu)的系統(tǒng)具有業(yè)務(wù)實(shí)現(xiàn)靈活快速、且彈性可伸縮的優(yōu)點(diǎn)，隨著云計(jì)算技術(shù)的快速發(fā)展，產(chǎn)業(yè)鏈的進(jìn)一步完善，以及電信市場(chǎng)競(jìng)爭(zhēng)日益激烈的需要，電信網(wǎng)絡(luò)云化逐漸成為業(yè)界的共識(shí)，特別是核心網(wǎng)云化（即NFV）從前幾年的概念提出進(jìn)入到了現(xiàn)在各大運(yùn)營(yíng)商具體落地部署試點(diǎn)階段。本文主要探討核心網(wǎng)引入NFV以后，NFV與傳統(tǒng)網(wǎng)元之間的關(guān)系，NFV安全防護(hù)方案探討。

2　現(xiàn)有核心網(wǎng)的安全防護(hù)

VoLTE核心網(wǎng)是目前最為復(fù)雜的移動(dòng)核心網(wǎng)網(wǎng)絡(luò)，以IMS為中心，還涉及了CS、PS和信令網(wǎng)各大核心網(wǎng)子系統(tǒng)?？紤]到核心網(wǎng)各子系統(tǒng)安全防護(hù)方案的思路和原則是一致的，本文對(duì)VoLTE IMS域（系統(tǒng)接口繁多，其面臨的安全問(wèn)題在核心網(wǎng)各大子系統(tǒng)中也是最多的）為例進(jìn)行安全防護(hù)方案介紹。

為保證不同業(yè)務(wù)與功能流量的安全隔離，VoLTE在部署時(shí)，把VoLTE安全域劃分為VoLTE核心控制域、VoLTE接入域、VoLTE數(shù)據(jù)域、VoLTE網(wǎng)間互聯(lián)域、VoLTE應(yīng)用域、VoLTE應(yīng)用接入域、VoLTE計(jì)費(fèi)域、VoLTE業(yè)務(wù)管理域、VoLTE網(wǎng)管域等9個(gè)安全域。不同安全域之間的子網(wǎng)或設(shè)備有不同的安全保護(hù)需求，需要采用不同的安全措施進(jìn)行隔離與防護(hù)。在同一個(gè)安全域再劃分為控制平面、媒體平面、管理平面等多個(gè)平面，不同平面之間的訪問(wèn)也進(jìn)行一定的安全隔離。圖1為安全域劃分示意圖。

3　NFV安全防護(hù)方案探討

3.1引入NFV以后的網(wǎng)絡(luò)結(jié)構(gòu)

圖1　VoLTE安全域劃分示意圖

核心網(wǎng)引入NFV后，其虛擬化后的網(wǎng)元與現(xiàn)網(wǎng)的物理網(wǎng)元功能上沒(méi)有區(qū)別，即虛擬化后的網(wǎng)元與現(xiàn)網(wǎng)可以進(jìn)行融合組網(wǎng)，可以與現(xiàn)網(wǎng)網(wǎng)元組Pool，當(dāng)然也可以進(jìn)行獨(dú)立組網(wǎng)。NFV上層的信令流程和業(yè)務(wù)流程未發(fā)生改變，圖2以vIMS為例，其與HSS、VoLTE AS S-CSCFI-CSCF、VoLTE SBC之間的邏輯關(guān)系沒(méi)有發(fā)生變化，可以與現(xiàn)網(wǎng)S-CSCFI-CSCF組成一個(gè)Pool。

基于NFV架構(gòu)的核心網(wǎng)與傳統(tǒng)核心網(wǎng)最大的變化在于底層的物理形態(tài)發(fā)生了變化，由原先的專用設(shè)備變成了通用的服務(wù)器、網(wǎng)絡(luò)設(shè)備和存儲(chǔ)設(shè)備，設(shè)備的物理連接方式也發(fā)生了較大的變化。同時(shí)NFV引入了虛擬化層和云管理平臺(tái)，便于上層對(duì)底層的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)資源的靈活調(diào)度。

3.2NFV的安全域劃分探討

本文仍以VoLTE為例，進(jìn)行安全防護(hù)方案的探討。通過(guò)以上分析，NFV與其它網(wǎng)絡(luò)的邏輯關(guān)系也未發(fā)生變化，因此其上層VNF——網(wǎng)元功能虛擬化層的安全域劃分原則也未發(fā)生改變。基于NFV架構(gòu)的VoLTE，其安全域可以與傳統(tǒng)VoLTE一致，可以劃分為VoLTE核心控制域、VoLTE接入域、VoLTE數(shù)據(jù)域、VoLTE網(wǎng)間互聯(lián)域、VoLTE應(yīng)用域、VoLTE應(yīng)用接入域、VoLTE計(jì)費(fèi)域、VoLTE業(yè)務(wù)管理域、VoLTE網(wǎng)管域等9個(gè)安全域。

圖2　vIMS與傳統(tǒng)IMS組Pool示意圖

底層的安全隔離則發(fā)生了較大的變化，原先是各網(wǎng)元單獨(dú)配置接口板卡，為了系統(tǒng)安全，接入不同域配置不同物理端口，而且要求信令和媒體接口分開(kāi)，進(jìn)行端口上的物理隔離。而采用NFV架構(gòu)的系統(tǒng)，其服務(wù)器配置的網(wǎng)卡接口數(shù)量有限，一般情況下每臺(tái)服務(wù)器配置2～6個(gè)以太網(wǎng)口，一般情況下通過(guò)劃分子接口的方式進(jìn)行隔離。

3.2安全域邊界防護(hù)方案

3.2.1VNF層邊界防護(hù)方案

根據(jù)圖2，VoLTE與其他系統(tǒng)有對(duì)接的域有VoLTE接入域、VoLTE網(wǎng)間互聯(lián)域、VoLTE應(yīng)用接入域、VoLTE計(jì)費(fèi)域、VoLTE業(yè)務(wù)管理域、VoLTE網(wǎng)管域等6個(gè)域，即此6個(gè)域需要設(shè)置邊界防護(hù)策略，保證系統(tǒng)的安全可靠。

（1）VoLTE接入域

VoLTE接入域的設(shè)備主要包括vSBC。vSBC與網(wǎng)管網(wǎng)和EPC核心網(wǎng)對(duì)接，EPC核心網(wǎng)部分接口承載在CMNet上，存在遭到公網(wǎng)攻擊的可能性，需要布置防火墻、IDS、異常流量監(jiān)測(cè)等網(wǎng)絡(luò)安全設(shè)備來(lái)防護(hù)。

（2）VoLTE網(wǎng)間互聯(lián)域

VoLTE網(wǎng)間互聯(lián)域的設(shè)備主要包括vMGCF/IMMGW、H-DRA、GMSC等網(wǎng)間互聯(lián)設(shè)備。VoLTE網(wǎng)間互聯(lián)域的控制平面和媒體平面通過(guò)IP專用承載網(wǎng)相連，需要考慮IP專用承載的其他系統(tǒng)遭到攻擊可能出現(xiàn)的跳板攻擊，需要部署防火墻并配置訪問(wèn)控制策略進(jìn)行安全防護(hù)。

（3）VoLTE應(yīng)用接入域

VoLTE應(yīng)用接入域提供用戶接入應(yīng)用域的用戶請(qǐng)求處理和代理轉(zhuǎn)發(fā)等功能，包括用戶自助服務(wù)Portal，Web Proxy和應(yīng)用接入服務(wù)器等相關(guān)設(shè)備。VoLTE應(yīng)用接入域的控制平面和媒體平面與CMNet直接連接，可以提供VoLTE應(yīng)用或終端的接入，有可能會(huì)遭到來(lái)自公網(wǎng)的攻擊，因此需要在邊界進(jìn)行特別的安全防護(hù)，包括部署雙層異構(gòu)防火墻配置嚴(yán)格的訪問(wèn)控制策略。VoLTE應(yīng)用接入域設(shè)備建議設(shè)置在防火墻的DMZ區(qū)域。

（4）VoLTE計(jì)費(fèi)域

VoLTE計(jì)費(fèi)域主要包括用于話單采集和進(jìn)行計(jì)費(fèi)統(tǒng)計(jì)與處理的計(jì)費(fèi)網(wǎng)關(guān)、直采機(jī)以及相關(guān)的各種服務(wù)器或工作站。VoLTE系統(tǒng)計(jì)費(fèi)設(shè)備通過(guò)內(nèi)部專用計(jì)費(fèi)網(wǎng)絡(luò)與相關(guān)系統(tǒng)對(duì)接，建議配置訪問(wèn)控制策略避免計(jì)費(fèi)采集協(xié)議以外的流量通過(guò)，并只允許單向發(fā)起計(jì)費(fèi)采集請(qǐng)求。

（5）VoLTE業(yè)務(wù)管理域

VoLTE業(yè)務(wù)管理域主要包括提供VoLTE業(yè)務(wù)開(kāi)通和配置的網(wǎng)元，主要包括業(yè)務(wù)管理點(diǎn)（SMP）、業(yè)務(wù)控制點(diǎn)（SCP）、智能外設(shè)UAP、生產(chǎn)充值中心（生產(chǎn)VC）等設(shè)備。VoLTE業(yè)務(wù)管理域設(shè)備通過(guò)內(nèi)部專用計(jì)費(fèi)網(wǎng)絡(luò)與相關(guān)系統(tǒng)對(duì)接，相對(duì)比較安全，由于業(yè)務(wù)管理域存在業(yè)務(wù)參數(shù)的變更和用戶屬性的配置功能，權(quán)限相對(duì)較大，因此也需要部署防火墻進(jìn)行相應(yīng)的隔離，同時(shí)避免業(yè)務(wù)配置平面直接對(duì)VoLTE設(shè)備進(jìn)行管理或訪問(wèn)計(jì)費(fèi)平面。

（6）VoLTE網(wǎng)管域

VoLTE網(wǎng)管域主要用于部署VoLTE系統(tǒng)的核心設(shè)備的監(jiān)視和管理等相關(guān)的服務(wù)器、操作維護(hù)客戶端，提供VoLTE系統(tǒng)的設(shè)備狀態(tài)信息采集、系統(tǒng)狀態(tài)監(jiān)視、設(shè)備管理等功能，提供本地和遠(yuǎn)程的性能監(jiān)視、故障排除和異常響應(yīng)等。

VoLTE系統(tǒng)的管理平面主要用于對(duì)VoLTE所有設(shè)備的管理，接入網(wǎng)管網(wǎng)，不涉及業(yè)務(wù)的管理、信令控制、媒體傳媒及計(jì)費(fèi)，因此在邊界上需要和其它的平面進(jìn)行隔離，包括在邊界上部署安全網(wǎng)關(guān)對(duì)接入進(jìn)行嚴(yán)格認(rèn)證，并對(duì)所有的操作進(jìn)行記錄與審計(jì)，同時(shí)通過(guò)防火墻的訪問(wèn)控制措施，避免管理平面訪問(wèn)其它的業(yè)務(wù)平面，同時(shí)需要進(jìn)行信息防泄露的監(jiān)測(cè)與防護(hù)，防止用戶信息和VoLTE核心設(shè)備信息的泄露。

VNF層的安全邊界防護(hù)可以考慮部署虛擬化的安全設(shè)備，例如vFW、vNAT、vIPS、vIDS、vLB等，充分發(fā)揮虛擬化網(wǎng)元靈活、快速等優(yōu)點(diǎn)，與底層NFVI層進(jìn)行有區(qū)別的、針對(duì)性的防護(hù)，VNF層的防護(hù)主要針對(duì)網(wǎng)絡(luò)層以上應(yīng)用的防護(hù)。

3.2.2NFVI層邊界防護(hù)方案

以上對(duì)VNF層的設(shè)備進(jìn)行安全域邊界防護(hù)方案的探討，引入NFV后，還需要考慮底層服務(wù)器、網(wǎng)絡(luò)設(shè)備和存儲(chǔ)設(shè)備的安全防護(hù)。VoLTE的安全邊界分析可以得出，VoLTE對(duì)外連接的網(wǎng)絡(luò)主要有CMNet、IP承載網(wǎng)、計(jì)費(fèi)網(wǎng)和網(wǎng)管網(wǎng)，其中CMNet是公網(wǎng)，其他3張網(wǎng)都是內(nèi)部專用網(wǎng)絡(luò)。同時(shí)，根據(jù)對(duì)VoLTE消息承載平面進(jìn)行的分類，CMNet 和IP承載網(wǎng)主要承載控制平面和媒體平面的消息，計(jì)費(fèi)網(wǎng)承載計(jì)費(fèi)平面消息，網(wǎng)管網(wǎng)承載網(wǎng)管平面消息。VoLTE網(wǎng)絡(luò)對(duì)外部的網(wǎng)絡(luò)連接和主要消息類型如圖3所示。

針對(duì)所連接網(wǎng)絡(luò)的特點(diǎn)和承載消息的情況，采用不同的安全防護(hù)方案：

（1）在CMNet出口處建議部署防雙層異構(gòu)火墻、抗DDOS、入侵檢測(cè)系統(tǒng)等安全設(shè)備和系統(tǒng)。

雙層異構(gòu)防火墻：外層防火墻主要對(duì)DMZ域與Internet的訪問(wèn)策略進(jìn)行控制；內(nèi)層防火墻主要保證各業(yè)務(wù)系統(tǒng)核心生產(chǎn)區(qū)的安全，并對(duì)核心生產(chǎn)區(qū)與DMZ、內(nèi)部互聯(lián)接口區(qū)、測(cè)試區(qū)、管理維護(hù)區(qū)的訪問(wèn)策略進(jìn)行控制。

抗DDOS：防止攻擊者發(fā)起DDOS攻擊，保證用戶能夠正常接入VoLTE網(wǎng)絡(luò)。

（2）在IP專用承載網(wǎng)出口處建議部署異常流量監(jiān)測(cè)等安全設(shè)備和系統(tǒng)。

（3）在計(jì)費(fèi)網(wǎng)出口處建議部署防火墻和訪問(wèn)控制策略。

（4）在網(wǎng)管網(wǎng)出口處建議部署防火墻和訪問(wèn)控制策略。

3.3安全域內(nèi)部安全防護(hù)方案

3.3.1VNF層內(nèi)部安全防護(hù)方案

內(nèi)部安全防護(hù)主要防止入侵者偽裝成某個(gè)網(wǎng)元，對(duì)其它網(wǎng)元進(jìn)行攻擊和相關(guān)數(shù)據(jù)竊取，從而達(dá)到攻擊網(wǎng)絡(luò)和竊取用戶信息等目的。建議采用如下手段進(jìn)行防護(hù)。

（1）VoLTE核心控制域的拓?fù)潆[藏；

（2）保證VoLTE-SBC是唯一的外部網(wǎng)絡(luò)可以接入的點(diǎn)，即外部網(wǎng)絡(luò)不能直接訪問(wèn)其它網(wǎng)元；

圖3　VoLTE與外部網(wǎng)絡(luò)關(guān)系圖

（3）網(wǎng)元之間的信令信息需要保證其機(jī)密性、完整性與一致性從而保證VoLTE內(nèi)部的網(wǎng)元是可信的；

（4）不同的平面承載著不同的業(yè)務(wù)數(shù)據(jù)，平面間應(yīng)進(jìn)行數(shù)據(jù)隔離保護(hù)，不同的數(shù)據(jù)流應(yīng)通過(guò)VLAN或ACL等方式進(jìn)行隔離，無(wú)法隔離或資源有限時(shí)可以采用區(qū)分賬號(hào)、權(quán)限或用戶角色的方式來(lái)間接隔離。

3.3.2NFVI層內(nèi)部安全防護(hù)方案

（1）接入相應(yīng)的4A平臺(tái)

為了保證基礎(chǔ)設(shè)施層的系統(tǒng)安全，NFV系統(tǒng)所配置的服務(wù)器、交換機(jī)、防火墻、存儲(chǔ)設(shè)備均需要接入相應(yīng)的4A平臺(tái)。通過(guò)4A管控平臺(tái)使得系統(tǒng)和安全管理人員可以對(duì)系統(tǒng)中的用戶和各種資源進(jìn)行集中管理、集中權(quán)限分配、集中審計(jì)，從技術(shù)上保證系統(tǒng)安全策略的實(shí)施。

（2）部署防病毒系統(tǒng)

虛擬化軟件和云管理平臺(tái)采用開(kāi)源的軟件后，存在更大的病毒入侵風(fēng)險(xiǎn)。建議按照服務(wù)器/客戶端方式建設(shè)集中防病毒系統(tǒng)，即在所有x86服務(wù)器、虛擬機(jī)上部署代理軟件，進(jìn)行日常病毒查殺和異常事件上報(bào)。

（3）部署漏洞掃描系統(tǒng)

通過(guò)部署漏洞掃描系統(tǒng)，掃描發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等基礎(chǔ)軟件的漏洞情況，配置掃描任務(wù)進(jìn)行定期掃描，匯總結(jié)果并上報(bào)高風(fēng)險(xiǎn)漏洞預(yù)警等。

（4）防止內(nèi)存泄漏

系統(tǒng)虛擬化后，存在不同的系統(tǒng)使用同一個(gè)物理內(nèi)存的場(chǎng)景，因此要通過(guò)提前規(guī)劃，并且區(qū)分安全等級(jí)，安全等級(jí)相同的可以使用相同的物理機(jī)等方式來(lái)方式內(nèi)存泄漏等問(wèn)題。

4　小結(jié)

核心網(wǎng)引入NFV后，其底層架構(gòu)發(fā)生了根本性的變化，從原有的專用硬件設(shè)備轉(zhuǎn)變?yōu)橥ㄓ梅?wù)器設(shè)備，從各廠家特有的軟件平臺(tái)轉(zhuǎn)變?yōu)橥ㄓ玫脑朴?jì)算軟件平臺(tái)，從封閉的網(wǎng)絡(luò)轉(zhuǎn)變?yōu)殚_(kāi)放的網(wǎng)絡(luò)，從而帶來(lái)一系列云計(jì)算所面臨的安全問(wèn)題，需要我們?nèi)ヌ接懭绾螛?gòu)建更加安全可靠的網(wǎng)絡(luò)。云計(jì)算與其它新技術(shù)一樣，除了帶來(lái)一些新的安全威脅，還帶來(lái)新的安全解決方案，需要我們?cè)诓渴鹦碌木W(wǎng)絡(luò)之前去充分評(píng)估和探討。

SHAO Yong-ping， ZHONG Zheng-quan， YANG Xu， SONG Xiao-ming（China Mobile Group Design Institute Co.， Ltd.， Beijing 100080， China）

News

Discussion on the security protection scheme of NFV core network

KeywordsNFV； securityprotection；VoLTE

AbstractIn this paper， we first tookVoLTE as an example to introduce the security protection scheme and the partition of the security domain of the traditional core network，then discussd the change of the core network after NFV，and then put forward the partition of security domain NFV recommendations，respectively investigate security protection scheme ofVNF and NFVI layer.

中圖分類號(hào)TN929.5

文獻(xiàn)標(biāo)識(shí)碼A

文章編號(hào)1008-5599（2016）05-0018-05

收稿日期：2016-04-15