游 偉，李英樂，柏 溢，陳云杰

(中國人民解放軍戰(zhàn)略支援部隊信息工程大學(xué)，河南 鄭州450002)

0 引言

5G核心網(wǎng)引入了服務(wù)化架構(gòu)(Service Based Architecture,SBA)[1]、軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)、網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization,NFV)、網(wǎng)絡(luò)切片等新技術(shù)[2]，實現(xiàn)了新能力，具體體現(xiàn)為IT化和互聯(lián)網(wǎng)化。① IT化：全軟件化的核心網(wǎng)，實現(xiàn)統(tǒng)一的IT基礎(chǔ)設(shè)施和調(diào)度。功能軟件化、計算和數(shù)據(jù)分離是代表性技術(shù)。傳統(tǒng)網(wǎng)元重構(gòu)為5G的網(wǎng)絡(luò)功能，以軟件的形式部署，充分發(fā)揮云化、虛擬化技術(shù)的優(yōu)勢。② 互聯(lián)網(wǎng)化：從固定網(wǎng)元、固定連接的剛性網(wǎng)絡(luò)到動態(tài)調(diào)整的柔性網(wǎng)絡(luò)。SBA架構(gòu)、新一代核心網(wǎng)協(xié)議體系(基于HTTP2/JSON)是其代表性技術(shù)。SBA的設(shè)計由模塊化、可獨立管理的服務(wù)來構(gòu)建。服務(wù)可靈活調(diào)用、灰度發(fā)布，實現(xiàn)網(wǎng)絡(luò)能力的按需編排和快速升級。

新架構(gòu)和新技術(shù)在給5G帶來便利的同時也引入了新的安全威脅?；赟DN/NFV技術(shù)的虛擬化網(wǎng)絡(luò)架構(gòu)決定了5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施硬件平臺的通用化和運行支撐環(huán)境的開放性，導(dǎo)致其軟硬件平臺更加不可控，將面臨因未知漏洞和后門等帶來的未知安全威脅，傳統(tǒng)基于先驗知識的防護模式已不能適應(yīng)5G的發(fā)展。需要在繼承原有防護技術(shù)和成果的基礎(chǔ)上，開展5G內(nèi)生安全關(guān)鍵技術(shù)研究。

本文首先簡要介紹了NFV、網(wǎng)絡(luò)切片等新技術(shù)給5G核心網(wǎng)帶來的的安全威脅，然后系統(tǒng)闡述了5G核心網(wǎng)云化背景下的安全需求，最后提出從網(wǎng)絡(luò)架構(gòu)層面挖掘內(nèi)生安全元素，基于擬態(tài)防御思想構(gòu)建5G內(nèi)生安全網(wǎng)絡(luò)。

1 5G核心網(wǎng)云化安全威脅

1.1 NFV安全威脅

5G核心網(wǎng)采用NFV技術(shù)，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備將以虛擬化網(wǎng)絡(luò)功能(Virtualised Network Function,VNF)的方式部署在云化的基礎(chǔ)設(shè)施上，模糊了安全防護邊界，帶來了新的安全威脅。

NFV使得5G網(wǎng)絡(luò)具有功能軟件化、資源共享和部署集中化的特點，改變了傳統(tǒng)網(wǎng)元設(shè)備物理安全隔離的現(xiàn)狀，導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)安全發(fā)生了變化。網(wǎng)元功能軟件化，導(dǎo)致原來硬件網(wǎng)元設(shè)備的物理邊界消失，引入了新的軟件安全和管理安全問題，攻擊面變得更廣。例如虛擬化環(huán)境內(nèi)部通信安全(植入惡意代碼或病毒、DoS、DDoS、發(fā)送垃圾郵件等)、虛擬化管理安全(權(quán)限濫用，密碼、賬號盜用等)、網(wǎng)絡(luò)功能安全(偽造/篡改軟件包)等；計算、存儲及網(wǎng)絡(luò)資源共享化，導(dǎo)致引入虛擬機安全、虛擬化軟件安全、數(shù)據(jù)安全等問題；部署集中化，用戶、應(yīng)用和數(shù)據(jù)資源聚集，數(shù)據(jù)泄露與被攻擊風(fēng)險加大，并且引入通用硬件導(dǎo)致病毒能夠在集中部署區(qū)域迅速傳播，通用硬件的漏洞更容易被攻擊者發(fā)現(xiàn)和利用，被攻擊后造成的影響范圍廣、危害大。

1.2 網(wǎng)絡(luò)切片安全威脅

網(wǎng)絡(luò)切片是5G網(wǎng)絡(luò)架構(gòu)一個重要的新特性，功能涉及接入、傳輸、核心網(wǎng)、網(wǎng)管和業(yè)務(wù)(端到端)多個方面，5G網(wǎng)絡(luò)提供網(wǎng)絡(luò)切片機制來服務(wù)于不同的應(yīng)用業(yè)務(wù)，實現(xiàn)靈活的整體端到端切片管理編排和資源管理[3]。

網(wǎng)絡(luò)切片是在網(wǎng)絡(luò)物理資源共享的基礎(chǔ)上，為不同的應(yīng)用場景切分出多個邏輯上獨立的虛擬網(wǎng)絡(luò)，由系統(tǒng)管理程序管理和控制。不同的切片對于網(wǎng)絡(luò)可靠性和安全性要求不同，可以通過切片資源隔離、切片內(nèi)部安全策略定制，來滿足構(gòu)建不同安全需求切片的要求(如特殊行業(yè)應(yīng)用)。原則上，每個網(wǎng)絡(luò)切片是一個相對獨立的網(wǎng)絡(luò)域，具備各自的網(wǎng)絡(luò)資源、業(yè)務(wù)信息，同時也配置各自不同的安全機制，數(shù)據(jù)信息是不能在切片間橫向流動的。但是，如果切片間出現(xiàn)信息泄露，就會造成網(wǎng)絡(luò)數(shù)據(jù)、用戶數(shù)據(jù)等泄露。更進一步，攻擊者可能從一個低安全等級的切片連接到另一個高安全等級切片，竊取、干擾目標(biāo)切片通信內(nèi)容，甚至對目標(biāo)切片發(fā)起DOS等攻擊[4]。此外，由于是在同一物理網(wǎng)絡(luò)上共存多個切片，因此很容易受到側(cè)信道攻擊。

2 5G核心網(wǎng)云化安全需求

2.1 5G云基礎(chǔ)設(shè)施安全需求

云計算將是推動5G網(wǎng)絡(luò)演進的關(guān)鍵技術(shù)之一。根據(jù)3GPP等標(biāo)準(zhǔn)化組織的研究，未來5G網(wǎng)絡(luò)架構(gòu)將建立在云基礎(chǔ)設(shè)施之上，并支持多域編排、端到端的網(wǎng)絡(luò)切片等面向服務(wù)的網(wǎng)絡(luò)應(yīng)用，為各垂直行業(yè)提供定制化的網(wǎng)絡(luò)服務(wù)，實現(xiàn)資源的靈活配置。云基礎(chǔ)設(shè)施包含了計算、存儲、網(wǎng)絡(luò)資源、部署工具及虛擬化平臺等，任何對云基礎(chǔ)設(shè)施的攻擊都有可能導(dǎo)致大量服務(wù)中斷。因此，云基礎(chǔ)設(shè)施安全一直都是研究人員關(guān)注的重點，可以分為以下幾方面。

2.1.1 數(shù)據(jù)安全

數(shù)據(jù)安全主要分為機密性、完整性和可用性三方面:

① 機密性,是指僅有通過授權(quán)的組織和系統(tǒng)訪問受保護的數(shù)據(jù)。首先由于云計算基礎(chǔ)設(shè)施共享的特性，不同業(yè)務(wù)和服務(wù)共享物理設(shè)施，由于多個用戶之間缺乏硬件分離，一方面,驅(qū)動器擦除不完全極有可能導(dǎo)致攻擊者使用數(shù)據(jù)恢復(fù)技術(shù)恢復(fù)先前用戶數(shù)據(jù)，導(dǎo)致敏感信息泄漏[5];另一方面，攻擊者能夠惡意申請過多資源導(dǎo)致敏感信息丟失[6]。此外，來自內(nèi)部的攻擊者有權(quán)訪問存儲用戶敏感信息的服務(wù)器，是云數(shù)據(jù)安全的最大威脅之一[7]。因此，運營商需要在數(shù)據(jù)的產(chǎn)生、存儲、使用、分發(fā)以及銷毀等各個環(huán)節(jié)采取適當(dāng)?shù)陌踩珯C制以確保用戶數(shù)據(jù)安全[8]。

② 完整性,是指保護數(shù)據(jù)不受未經(jīng)授權(quán)的更改。由于云服務(wù)大多通過Web瀏覽器訪問，因此基于Web的攻擊可能會對數(shù)據(jù)完整性構(gòu)成威脅，例如元數(shù)據(jù)欺騙攻擊和SOAP消息簽名包裝攻擊等[9]。此外，一些允許匿名訪問以及明文認(rèn)證的API也會對用戶數(shù)據(jù)構(gòu)成威脅。

③ 數(shù)據(jù)可用性,是指用戶根據(jù)需要使用數(shù)據(jù)的能力。云環(huán)境中數(shù)據(jù)可用性威脅一般來自兩方面：一方面,受到拒絕服務(wù)攻擊、泛洪攻擊等，攻擊者通過大量消耗服務(wù)資源導(dǎo)致無法向合法用戶提供服務(wù)；另一方面,由于錯誤配置造成系統(tǒng)故障或者自然災(zāi)害等非主動因素造成。

2.1.2 虛擬化安全

虛擬化技術(shù)將底層物理基礎(chǔ)設(shè)施資源進行抽象，對外提供虛擬的計算資源、存儲資源和網(wǎng)絡(luò)資源，是云基礎(chǔ)設(shè)施動態(tài)配置資源的基礎(chǔ)性技術(shù)。

VNF方面，虛擬機管理器負(fù)責(zé)對虛擬機進行生命周期管理，攻擊者獲取虛擬機管理程序的控制權(quán)將會損害虛擬機和基礎(chǔ)架構(gòu)[10]。文獻[11]指出，VNF動態(tài)特性會導(dǎo)致配置錯誤，從而導(dǎo)致安全失誤。此外，VNF對DoS和DDoS攻擊的抵抗能力十分有限。由于不同虛擬機之間資源共享的特性，當(dāng)攻擊者耗盡虛擬機分配的資源時，動態(tài)資源調(diào)度策略會造成與其處在同一主機上的虛擬機缺少資源，進而對邏輯上相互隔離的其他服務(wù)造成影響。

虛擬化基礎(chǔ)設(shè)施方面，Hypervisor引入了新的安全威脅[12]。Hypervisor負(fù)責(zé)創(chuàng)建和刪除虛擬機，并對虛擬機分配資源，是所有虛擬機的控制器，極易發(fā)生單點故障。例如，如果攻擊者入侵了Hypervisor，則會對已創(chuàng)建的所有虛擬機構(gòu)成威脅。此外，ETSI致力于建立一個開放、多樣化的NFV系統(tǒng)，基礎(chǔ)設(shè)施將會由多個設(shè)備和服務(wù)提供商進行提供，由于缺少統(tǒng)一的安全策略和互操作標(biāo)準(zhǔn)，將引入新的安全漏洞，攻擊者可以偽裝成服務(wù)提供商以竊取用戶敏感信息[13]。

2.2 5G網(wǎng)絡(luò)切片安全需求

網(wǎng)絡(luò)切片的安全問題是網(wǎng)絡(luò)切片成功部署的重要因素，包括網(wǎng)絡(luò)切片管理安全和網(wǎng)絡(luò)切片實例安全兩個主要方面[14]。

網(wǎng)絡(luò)切片管理安全方面，惡意攻擊可以發(fā)生在網(wǎng)絡(luò)切片生命周期的各個階段，例如在創(chuàng)建階段，如果攻擊者對網(wǎng)絡(luò)切片管理器發(fā)起冒名頂替攻擊并修改了網(wǎng)絡(luò)切片模板，則會對后續(xù)創(chuàng)建的網(wǎng)絡(luò)切片構(gòu)成威脅；在切片實例撤銷階段，則有可能因為非法操作導(dǎo)致隱私信息泄露等。因此需要對切片生命周期管理的各個時期考慮必要的安全措施。

網(wǎng)絡(luò)切片實例安全方面主要考慮在網(wǎng)絡(luò)切片運行階段保證網(wǎng)絡(luò)服務(wù)的安全，需要在現(xiàn)有的切片架構(gòu)中增加必要的安全機制和安全實體，主要包含以下幾個方面。

2.2.1 安全隔離

安全隔離需要實現(xiàn)以下三個方面的目標(biāo)[15]：① 確保當(dāng)網(wǎng)絡(luò)切片遭受惡意攻擊時，不會對其他切片造成影響，例如當(dāng)攻擊者針對耗盡某一網(wǎng)絡(luò)切片發(fā)起DOS攻擊而耗盡共享安全功能資源時，可能會導(dǎo)致其他切片無法正常運行其安全協(xié)議，從而增加遭受威脅的風(fēng)險；② 終端設(shè)備同時連接多個網(wǎng)絡(luò)切片時，切片內(nèi)的數(shù)據(jù)不會泄漏到其他切片；③ 避免網(wǎng)絡(luò)切片遭受的攻擊通過共享網(wǎng)絡(luò)功能傳播到其他切片。切片隔離一方面是為了保證切片能夠在不相互影響的條件下提供差異化的性能需求；另一方面，防止不同安全等級的網(wǎng)絡(luò)切片之間發(fā)生側(cè)信道攻擊。側(cè)信道攻擊是指當(dāng)兩個切片共用底層基礎(chǔ)設(shè)施時，攻擊者通過Prime+Probe等方法引起目標(biāo)切片發(fā)生特定的行為，通過分析共享資源的使用情況以及緩存內(nèi)容等探測目標(biāo)切片的隱私信息[16]。不同安全等級和數(shù)據(jù)敏感性的網(wǎng)絡(luò)切片應(yīng)該避免部署到相同的底層資源硬件上[17]。此外，當(dāng)終端設(shè)備同時連接多個網(wǎng)絡(luò)切片時，應(yīng)當(dāng)分別進行鑒權(quán)，并采取不同的加密算法以防止切片間信息泄漏。

2.2.2 認(rèn)證和鑒權(quán)

認(rèn)證和鑒權(quán)是為了驗證用戶和切片網(wǎng)元的合法性以及為網(wǎng)絡(luò)通信數(shù)據(jù)的隱私性和完整性提供保護。一方面，終端設(shè)備和切片之間需要認(rèn)證和鑒權(quán)，以防止攻擊者惡意連接并保護合法用戶與切片之間的通信安全。文獻[18]提出一種物聯(lián)網(wǎng)場景下網(wǎng)絡(luò)切片的快速鑒權(quán)方法，該方法在服務(wù)提供商的服務(wù)代理中采用增強群簽名方式對用戶認(rèn)證消息進行匿名批量認(rèn)證，并設(shè)計了面向服務(wù)的三方密鑰協(xié)商機制，以保護用戶隱私和數(shù)據(jù)機密性。另一方面，5G網(wǎng)絡(luò)中存在多種網(wǎng)絡(luò)功能實體，且網(wǎng)絡(luò)功能實體能夠動態(tài)配置，各實體之間需要進行相互認(rèn)證以防止冒名頂替攻擊。更進一步地，當(dāng)網(wǎng)絡(luò)切片跨多個基礎(chǔ)設(shè)施提供商進行部署時，由于不同基礎(chǔ)設(shè)施的安全等級和安全策略不同，如何進行安全策略協(xié)商以確保切片安全是一個具有挑戰(zhàn)性的問題[19]。文獻[20]為了確保中心化的編排器可用性以及合法的網(wǎng)絡(luò)切片組件之間的關(guān)聯(lián)，提出一種新的基于橢圓曲線代理重加密的隱式雙向認(rèn)證和組匿名密鑰建立協(xié)議。該協(xié)議能夠?qū)崿F(xiàn)網(wǎng)絡(luò)切片組件之間的分布式關(guān)聯(lián)和隱式認(rèn)證，并通過切片組件之間建立安全密鑰以實現(xiàn)切片隔離。

2.2.3 定制化的安全策略

由于不同應(yīng)用場景在通信性能以及安全需求上的差異，運營商可以對不同的網(wǎng)絡(luò)切片提供定制化的安全策略，對不同網(wǎng)絡(luò)切片的租戶提供差異化的接入認(rèn)證和授權(quán)機制[21]。例如在mMTC場景下物聯(lián)網(wǎng)設(shè)備的計算能力有限，因此切片與終端設(shè)備之間需要輕量級的認(rèn)證和加密算法；而在uRLLC場景下，則需要快速的連接鑒權(quán)和強大的加密算法以同時滿足時延和可靠性要求[22]。

3 5G核心網(wǎng)內(nèi)生安全架構(gòu)

針對5G新技術(shù)和新架構(gòu)帶來的安全威脅，業(yè)界提出了一些新的安全防護思路。鄔江興院士在“2017未來信息通信技術(shù)峰會”提出需要打造魯棒的未來移動通信網(wǎng)絡(luò)，指出基于廣義魯棒控制屬性的擬態(tài)架構(gòu)可以承載高可靠、高可信、高可用的三位一體服務(wù)功能，尤其適合于解決5G網(wǎng)絡(luò)由于軟硬件漏洞后門帶來的安全威脅[22]。

下面重點介紹基于廣義魯棒控制的內(nèi)生安全5G核心網(wǎng)架構(gòu)，包括內(nèi)生安全云基礎(chǔ)設(shè)施、內(nèi)生安全網(wǎng)絡(luò)功能以及內(nèi)生安全網(wǎng)絡(luò)切片，如圖1所示。

圖1 基于廣義魯棒控制的內(nèi)生安全5G核心網(wǎng)示意圖Fig.1 Endogenous secure 5G core network based on generalized robust control

3.1 內(nèi)生安全云基礎(chǔ)設(shè)施

針對通用硬件漏洞后門帶來的未知安全威脅，在云基礎(chǔ)設(shè)施層面實現(xiàn)內(nèi)生安全化，包含三部分：第一部分是異構(gòu)物理基礎(chǔ)設(shè)施，包括異構(gòu)計算、網(wǎng)絡(luò)和存儲節(jié)點設(shè)備，如不同廠商的服務(wù)器。第二部分是在物理基礎(chǔ)設(shè)施的基礎(chǔ)上，通過多樣化虛擬組件如XEN，KVM等構(gòu)建多樣化計算、存儲和網(wǎng)絡(luò)資源池。第三部分是云基礎(chǔ)設(shè)施管理系統(tǒng)，包括虛擬資源統(tǒng)一管理及控制子系統(tǒng)、資源動態(tài)調(diào)度子系統(tǒng)和虛擬資源擬態(tài)化封裝子系統(tǒng)，實現(xiàn)對云平臺異構(gòu)資源的統(tǒng)一管理和控制，實現(xiàn)擬態(tài)云相關(guān)安全功能，其中資源動態(tài)調(diào)度子系統(tǒng)和虛擬資源擬態(tài)化封裝子系統(tǒng)是該系統(tǒng)的關(guān)鍵組成部分。同時，云基礎(chǔ)設(shè)施管理系統(tǒng)對上提供接口，供擬態(tài)化組裝與編排系統(tǒng)調(diào)用安全虛擬資源。

3.2 內(nèi)生安全網(wǎng)絡(luò)功能

5G核心網(wǎng)采用NFV技術(shù)實現(xiàn)了網(wǎng)元設(shè)備的軟硬件解耦，傳統(tǒng)的網(wǎng)元設(shè)備將以VNF的方式部署在由通用服務(wù)器搭建的云化基礎(chǔ)設(shè)施上。然而，通用服務(wù)器的可靠性與專用服務(wù)器相比有一定差距，難以滿足電信級可靠性要求。為此，5G網(wǎng)絡(luò)架構(gòu)通過支持計算與存儲分離，將網(wǎng)絡(luò)功能中保存的用戶狀態(tài)信息和上下文信息集中存儲在網(wǎng)絡(luò)功能UDSF中[23]，實現(xiàn)了網(wǎng)絡(luò)功能的無狀態(tài)化。這樣即使某個網(wǎng)絡(luò)功能所在的虛擬機出現(xiàn)了故障，也可以通過啟用備份虛擬機的方式來快速替代它，從而實現(xiàn)無縫切換，不會影響業(yè)務(wù)的正常提供。

針對5G核心網(wǎng)控制面中UDM和AMF等網(wǎng)絡(luò)功能由于設(shè)計上的漏洞后門帶來的未知安全威脅，利用擬態(tài)防御架構(gòu)進行內(nèi)生安全網(wǎng)絡(luò)功能構(gòu)建，如圖2所示。5G核心網(wǎng)中網(wǎng)絡(luò)功能的無狀態(tài)化特點為內(nèi)生安全網(wǎng)絡(luò)功能構(gòu)建提供了極大便利。圖2中，輸入代理模塊是其他NF請求的真實入口，負(fù)責(zé)將服務(wù)請求分發(fā)至多個相互獨立的VNF功能執(zhí)行體。輸出裁決模塊是VNF功能響應(yīng)的真實出口，根據(jù)安全等級要求，采用同/異步自適應(yīng)大數(shù)表決算法對同一請求的多個異構(gòu)執(zhí)行體響應(yīng)進行交叉判決，從中濾除不一致信息，保證輸出結(jié)果的一致性，并將裁決結(jié)果傳送到負(fù)反饋控制模塊。負(fù)反饋控制模塊負(fù)責(zé)接收多模裁決模塊的裁決結(jié)果，并將結(jié)果傳送到云資源調(diào)度模塊。云資源調(diào)度模塊負(fù)責(zé)調(diào)度云基礎(chǔ)設(shè)施資源提供VNF功能運行所需的虛擬機，從而生成異構(gòu)的、多樣的VNF功能執(zhí)行體。此外，當(dāng)收到負(fù)反饋控制模塊返回的某個虛擬機出錯的消息，則啟動新的虛擬機替換出錯的虛擬機，并將新上線虛擬機的IP地址和其他相關(guān)信息發(fā)送給輸入代理模塊。

圖2 內(nèi)生安全網(wǎng)絡(luò)功能構(gòu)建示意圖Fig.2 Construction of endogenous secure network function

3.3 內(nèi)生安全網(wǎng)絡(luò)切片

內(nèi)生安全網(wǎng)絡(luò)切片是通過擬態(tài)化組裝與編排功能將具有內(nèi)生安全的網(wǎng)絡(luò)功能和通用的網(wǎng)絡(luò)功能一起編排成具有內(nèi)生安全能力的網(wǎng)絡(luò)切片，如圖3所示。在網(wǎng)絡(luò)切片層面，內(nèi)生安全能力是可分級的，例如，在低等級的內(nèi)生安全切片中，只需要UDM是具有內(nèi)生安全能力的，其他網(wǎng)絡(luò)功能都是通用的；而在高等級的內(nèi)生安全切片中，可要求相關(guān)的網(wǎng)絡(luò)功能都是具有內(nèi)生安全能力的。在內(nèi)生安全切片的具體實現(xiàn)過程中，可試圖開發(fā)一種具有通用擬態(tài)化能力的安全服務(wù)插件，在切片的編排過程中通過加入該插件就可構(gòu)造出具有內(nèi)生安全能力的切片。

圖3 功能等價的異構(gòu)切片實例構(gòu)建示意圖Fig.3 Construction of heterogeneous slice instance with functional equivalence

4 結(jié)束語

5G網(wǎng)絡(luò)的新架構(gòu)、新技術(shù)、新場景帶來了很多新的安全威脅，3GPP等標(biāo)準(zhǔn)化研究組織提出的安全架構(gòu)未能完全有效應(yīng)對?；趶V義魯棒控制的內(nèi)生安全架構(gòu)以動態(tài)異構(gòu)冗余作為核心架構(gòu)技術(shù)解決了5G核心網(wǎng)中因未知漏洞、后門或病毒木馬等帶來的不確定威脅，提供了“改變游戲規(guī)則”的新途徑。本文從云基礎(chǔ)設(shè)施、核心網(wǎng)網(wǎng)絡(luò)功能以及網(wǎng)絡(luò)切片等三個不同層面分別闡述了相應(yīng)的內(nèi)生安全防護方案。