高 楓，馬 錚，張曼君，張小梅，丁 攀（中國聯(lián)通網(wǎng)絡(luò)技術(shù)研究院，北京，100048）

0 前言

當(dāng)前，全球5G網(wǎng)絡(luò)部署的步伐不斷加速，國內(nèi)運營商積極開展5G內(nèi)外場功能驗證和規(guī)模組網(wǎng)試驗。5G技術(shù)發(fā)展演進，5G移動技術(shù)與IT技術(shù)不斷融合，帶來了網(wǎng)絡(luò)架構(gòu)的變革，使得網(wǎng)絡(luò)能夠靈活地支撐多種應(yīng)用場景。網(wǎng)絡(luò)架構(gòu)的演進及業(yè)務(wù)的創(chuàng)新，為5G網(wǎng)絡(luò)安全帶來了新的需求和挑戰(zhàn)。

從5G網(wǎng)絡(luò)的安全威脅分析入手，分析5G網(wǎng)絡(luò)安全需求，在此基礎(chǔ)上對5G網(wǎng)絡(luò)安全部署進行探討。

1 5G網(wǎng)絡(luò)安全威脅分析

1.1 5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施

1.1.1 NFV

NFV的引入使5G網(wǎng)絡(luò)具有網(wǎng)元功能軟件化、資源共享、部署集中化的特點，這些特點導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)安全發(fā)生了變化。網(wǎng)元功能軟件化使傳統(tǒng)硬件網(wǎng)元設(shè)備物理邊界消失，軟件安全問題突出；計算、存儲及網(wǎng)絡(luò)資源共享化，把虛擬機安全、虛擬化軟件安全和數(shù)據(jù)安全等問題引入移動網(wǎng)絡(luò)；部署集中化使病毒傳播速度加快，此外，攻擊者可能利用通用硬件漏洞發(fā)起攻擊。

1.1.2 SDN

SDN使設(shè)備的控制面和數(shù)據(jù)面解耦，控制面實現(xiàn)集中控制，開放可編程接口供應(yīng)用層使用，實現(xiàn)了靈活的定義網(wǎng)絡(luò)。

集中控制使安全威脅由轉(zhuǎn)發(fā)面轉(zhuǎn)移到控制面，控制器安全風(fēng)險增大，一旦控制器受到攻擊，整個SDN網(wǎng)絡(luò)都會受到影響，甚至癱瘓。采用標準化的接口和統(tǒng)一的協(xié)議，更容易被攻擊者利用進而發(fā)起攻擊；應(yīng)用層開放可編程的特性加大了攻擊者通過軟件進行攻擊的風(fēng)險。

SDN安全威脅主要來源于應(yīng)用層、控制層、數(shù)據(jù)層以及南向和北向接口，如圖1所示。

圖1 SDN安全威脅

1.1.3 云計算

5G網(wǎng)絡(luò)應(yīng)用云計算技術(shù)，面臨的安全威脅包括：

a）傳統(tǒng)安全問題。虛擬化軟件同樣面臨傳統(tǒng)網(wǎng)絡(luò)安全問題，如訪問控制、安全隔離、操作系統(tǒng)/應(yīng)用程序的漏洞攻擊、防病毒/惡意代碼等。

b）虛擬化引入新的安全問題。虛擬化技術(shù)的引入帶來了新的攻擊面，如虛擬化軟件VM、虛擬化管理軟件VMM等；由于傳統(tǒng)安全設(shè)備對虛擬化網(wǎng)絡(luò)流量不可見，虛擬化網(wǎng)絡(luò)流量安全問題可能存在；用戶對其本身的數(shù)據(jù)控制能力減弱，數(shù)據(jù)及隱私安全保護要求提高。

1.2 網(wǎng)絡(luò)切片

在5G網(wǎng)絡(luò)中引入網(wǎng)絡(luò)切片技術(shù)，可實現(xiàn)靈活的資源編排和調(diào)度，為不同業(yè)務(wù)類型提供差異化的服務(wù)能力。網(wǎng)絡(luò)切片面臨的安全威脅主要包括：

a）UE訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)切片。

b）網(wǎng)絡(luò)切片密碼泄漏，導(dǎo)致攻擊者獲取其他網(wǎng)絡(luò)切片的數(shù)據(jù)。

c）越權(quán)進行網(wǎng)絡(luò)切片運維。

d）非法占用資源影響其他網(wǎng)絡(luò)切片，導(dǎo)致資源過度消耗的DDoS攻擊。

e）當(dāng)1個終端同時用2個切片時，攻擊者從1個切片獲取另1個切片信息等。

1.3 異構(gòu)接入網(wǎng)絡(luò)

5G網(wǎng)絡(luò)兼容多種異構(gòu)接入方式，包括3GPP接入和非3GPP接入，異構(gòu)接入網(wǎng)絡(luò)帶來的安全威脅包括：

a）接入性能問題。不同的接入技術(shù)可能使用不同的認證機制，如WLAN、蜂窩、D2D的認證機制各不相同。使用不同認證機制的終端接入網(wǎng)絡(luò)后，核心網(wǎng)需對不同認證機制采取不同的安全信息管理（如認證信息），由此產(chǎn)生的資源開銷，將影響終端接入網(wǎng)絡(luò)的性能。

b）不同接入網(wǎng)絡(luò)間切換時的安全性問題。終端在不同的接入網(wǎng)之間進行切換，不同網(wǎng)絡(luò)的認證機制、安全等級可能不同。攻擊者如從較低安全等級的網(wǎng)絡(luò)接入后，切換至較高安全等級的網(wǎng)絡(luò)，則可能獲取到不應(yīng)獲得的敏感信息。

2 5G網(wǎng)絡(luò)安全需求分析

2.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全

2.1.1 NFV

NFV的安全需求主要包括：

a）VNF安全。VNF軟件包安全管理；訪問控制，敏感數(shù)據(jù)保護。

b）NFVI安全。保障虛擬機及其管理器安全。

c）NFV網(wǎng)絡(luò)安全需求。通信雙方相互認證，對通信內(nèi)容進行保護；邊界防護、安全域劃分及流量隔離等。

d）MANO安全需求。MANO實體安全加固，防止敏感信息泄露；安裝防病毒軟件；實體間雙向認證，保護通信內(nèi)容；嚴格配置MANO系統(tǒng)賬號與管理權(quán)限。

2.1.2 SDN

SDN的安全需求主要包括：

a）應(yīng)用層的安全需求。APP對控制器身份進行認證；APP和控制器之間的通信保護；APP自身安全加固。

b）控制器的安全需求。具備DDoS/DoS防護能力；服務(wù)器安全加固，滿足安全服務(wù)最小化原則；執(zhí)行策略沖突檢測和防止機制；對接入的APP進行身份認證和權(quán)限檢查。

c）轉(zhuǎn)發(fā)層的安全需求。滿足安全服務(wù)最小化原則；具備限速功能。

d）南北向接口的安全需求。雙向認證；對通信內(nèi)容進行機密性、完整性和防重放保護；對協(xié)議強壯性進行分析和測試，并修復(fù)漏洞。

2.1.3 云計算

a）虛擬機安全需求。病毒/惡意軟件入侵防護；虛擬機之間隔離；虛擬機之間通信安全，遷移安全，鏡像存儲安全；虛擬機訪問控制等。

b）虛擬機管理器（VMM）安全需求。代碼可靠性；病毒入侵防護，防止非法訪問；安全配置和管理等。

c）虛擬化網(wǎng)絡(luò)安全。結(jié)合虛擬化后的網(wǎng)絡(luò)拓撲，重建網(wǎng)絡(luò)安全域；判斷虛機之間的流量通信是否符合安全策略，判斷是否存在網(wǎng)絡(luò)攻擊；虛擬機網(wǎng)絡(luò)始化時實現(xiàn)網(wǎng)絡(luò)安全策略的自動部署，虛擬機遷移時，保證遷移前后網(wǎng)絡(luò)安全配置環(huán)境一致。

2.2 網(wǎng)絡(luò)切片安全

網(wǎng)絡(luò)切片安全需求主要包括：

a）網(wǎng)絡(luò)資源隔離，不同切片采用不同密鑰。

b）切片ID驗證，避免未經(jīng)授權(quán)的切片訪問。

c）不同切片使用不同Key加密傳輸，防止Key泄露引發(fā)的切片攻擊。

d）BSS/OSS系統(tǒng)和切片管理系統(tǒng)分離，切片運維權(quán)限受控。

e）運維審計，操作可追溯。

f）對合法用戶異常行為進行抑制，限制接入，強制下線。

2.3 異構(gòu)接入安全

a）統(tǒng)一認證機制。5G網(wǎng)絡(luò)兼容多種異構(gòu)接入方式，包括3GPP接入和非3GPP接入，因此，5G網(wǎng)絡(luò)需構(gòu)建兼容多種認證機制的統(tǒng)一認證框架。

b）安全互操作。終端可能在異構(gòu)網(wǎng)絡(luò)間進行切換，需保證異構(gòu)網(wǎng)絡(luò)間切換的安全互操作，如安全上下文的傳遞、密鑰的更新、安全上下文的隔離等。

3 5G網(wǎng)絡(luò)安全目標及部署

3.1 總體目標

5G網(wǎng)絡(luò)安全總體目標包括：

a）保障通信及數(shù)據(jù)安全。提供機密性及完整性保護；提供增強的隱私保護，保護用戶隱私。

b）保障異構(gòu)接入安全。提供統(tǒng)一認證框架，支持多種接入方式和接入憑證，保障終端設(shè)備安全接入網(wǎng)絡(luò)。

c）保障新型網(wǎng)絡(luò)架構(gòu)安全。提供SDN/NFV安全機制；提供網(wǎng)絡(luò)切片安全機制。

d）支持差異化安全。提供按需的安全保護，滿足多種應(yīng)用場景的差異化安全需求。

e）開放安全能力，保障能力開放安全。支持數(shù)字身份管理、認證能力等的安全能力開放；提供全面的安全機制。

3.2 安全部署架構(gòu)

如圖2所示，5G網(wǎng)絡(luò)安全部署架構(gòu)劃分為接入安全域、核心安全域、業(yè)務(wù)安全域與管理安全域。

3.2.1 接入安全域

由于該域處于用戶側(cè)網(wǎng)絡(luò)環(huán)境之中，為保障網(wǎng)絡(luò)和業(yè)務(wù)的安全性，應(yīng)重點保證用戶鑒權(quán)功能的可用性，對用戶數(shù)據(jù)和信令進行保護。

3.2.2 核心安全域

該域需要與內(nèi)外部業(yè)務(wù)平臺對接，因此要做好入侵檢測、攻擊防御、數(shù)據(jù)保護等工作，同時針對該域的云化、軟件化特性也需要對集中控制器、南北向接口等進行重點防護。

考慮非安全區(qū)域小基站通過安全網(wǎng)關(guān)接入核心網(wǎng)域，安全網(wǎng)關(guān)在核心網(wǎng)域進行部署，與基站之間通過雙向認證后建立并管理IPSec隧道，通過該安全隧道，為無線側(cè)與核心網(wǎng)之間控制面信令、用戶面數(shù)據(jù)提供完整性和機密性保障，從而實現(xiàn)安全接入。

3.2.3 業(yè)務(wù)安全域

該域包括能力開放平臺、自營及第三方業(yè)務(wù)平臺等，因此既要防護網(wǎng)絡(luò)側(cè)對業(yè)務(wù)的攻擊和濫用，也要防止利用平臺和應(yīng)用對網(wǎng)絡(luò)發(fā)起的攻擊。

在該域各類平臺中部署病毒防護、漏洞掃描等軟硬件，并對相關(guān)業(yè)務(wù)操作進行認證、授權(quán)及審計。同時，通過核心網(wǎng)域的防火墻與核心網(wǎng)域?qū)崿F(xiàn)對接，有效進行安全隔離和訪問控制。

3.2.4 管理安全域

管理安全域主要包括運營系統(tǒng)，其防護策略與平臺類防護類似，在該域各類平臺中部署病毒防護、漏洞掃描等軟硬件，并對相關(guān)操作進行認證、授權(quán)及審計。

圖2 5G網(wǎng)絡(luò)安全部署架構(gòu)

4 結(jié)束語

多樣化的場景、接入方式以及新型網(wǎng)絡(luò)架構(gòu)，使5G網(wǎng)絡(luò)除滿足基本通信安全外，也能為不同業(yè)務(wù)場景提供差異化安全服務(wù)，適應(yīng)新型網(wǎng)絡(luò)架構(gòu)及創(chuàng)新業(yè)務(wù)模式。本文研究分析了5G網(wǎng)絡(luò)面臨的主要安全威脅，分析了NFV、SDN、云計算、網(wǎng)絡(luò)切片、異構(gòu)接入的安全需求，在此基礎(chǔ)上，提出了接入安全域、核心安全域、業(yè)務(wù)安全域與管理安全域的安全部署策略，對5G網(wǎng)絡(luò)安全部署架構(gòu)進行了探討。