余瀅鑫 余曉光 翟亞紅 陽(yáng)陳錦劍 解曉青

1(華為技術(shù)有限公司西安研究所 西安 710075)

2(華為技術(shù)有限公司松山湖研究所 廣東東莞 523808)

3(中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 北京 100020)

(yuyingxin@huawei.com)

1 5G傳輸面臨的安全性挑戰(zhàn)

無(wú)線基站到核心網(wǎng)之間的IP承載網(wǎng)和光傳輸網(wǎng)，是整個(gè)5G網(wǎng)絡(luò)的基礎(chǔ)骨架，如果被入侵破壞，很可能導(dǎo)致5G業(yè)務(wù)大范圍的受損甚至中斷，因此傳輸網(wǎng)絡(luò)的安全保護(hù)至關(guān)重要[1].

與4G網(wǎng)絡(luò)相比，5G網(wǎng)絡(luò)要求信息在傳輸過(guò)程中要具有更快的速度、更高的可靠性、更大的帶寬和更低的時(shí)延.如果傳輸網(wǎng)絡(luò)受到DDoS攻擊、病毒攻擊、路由注入攻擊或PE設(shè)備受到非法訪問(wèn)等，可能造成PE設(shè)備故障、承載網(wǎng)路由振蕩、接入網(wǎng)內(nèi)部合法業(yè)務(wù)受損、合法路由數(shù)量減少等安全事故.對(duì)一些安全等級(jí)高的敏感業(yè)務(wù)，承載網(wǎng)需要保障業(yè)務(wù)數(shù)據(jù)的安全，避免通信數(shù)據(jù)流量被竊聽(tīng)或者篡改，還要做好不同業(yè)務(wù)流量的安全隔離.另外，考慮到承載網(wǎng)對(duì)智慧城市業(yè)務(wù)運(yùn)行和社會(huì)運(yùn)轉(zhuǎn)的重要意義，承載網(wǎng)需要保障自身的HA高可用性，滿足電信級(jí)高可靠要求.

傳輸網(wǎng)絡(luò)面臨的典型安全威脅如下：

1) 接入側(cè)風(fēng)險(xiǎn).

骨干網(wǎng)中PE設(shè)備受到的傳統(tǒng)攻擊威脅包括：非法訪問(wèn)PE設(shè)備、DDoS攻擊、病毒泛濫、惡意注入非法路由、注入路由數(shù)量過(guò)多.這些威脅可能造成PE設(shè)備故障、承載網(wǎng)路由振蕩、網(wǎng)絡(luò)流量不能到達(dá)目的地致合法業(yè)務(wù)受損、將流量引流到黑客所在網(wǎng)絡(luò)進(jìn)行信息竊取、合法路由數(shù)量減少致目標(biāo)網(wǎng)絡(luò)流量過(guò)載DDoS等危害.

承載網(wǎng)與互聯(lián)網(wǎng)互訪受到的傳統(tǒng)邊界威脅包括：IP承載網(wǎng)受到互聯(lián)網(wǎng)中病毒威脅、DDoS攻擊，公網(wǎng)大量路由泄露到IP承載網(wǎng).這些威脅可能造成IP承載網(wǎng)核心設(shè)備故障、非法流量致帶寬損失、核心業(yè)務(wù)受到影響、路由泄露致承載網(wǎng)內(nèi)部路由泛濫等危害.

2) 管理面的安全威脅.

來(lái)自網(wǎng)管的管理面安全威脅包括網(wǎng)管終端直連互聯(lián)網(wǎng),Windows等操作系統(tǒng)易感染病毒，網(wǎng)管終端的權(quán)限管理復(fù)雜等，這些威脅可能造成互聯(lián)網(wǎng)的風(fēng)險(xiǎn)通過(guò)網(wǎng)管網(wǎng)擴(kuò)散到承載網(wǎng).

3) 5G業(yè)務(wù)網(wǎng)絡(luò)的安全威脅.

對(duì)于半封閉業(yè)務(wù)系統(tǒng)主要面臨：智能終端的非法呼叫、盜用帶寬、網(wǎng)管系統(tǒng)的終端威脅、不受控IAD(桌面IAD)設(shè)備的管理問(wèn)題等安全威脅，可能造成軟交換系統(tǒng)癱瘓、阻塞鏈路、影響正常用戶的帶寬等危害.

對(duì)于開(kāi)放的業(yè)務(wù)系統(tǒng)主要面臨：大客戶網(wǎng)絡(luò)對(duì)骨干網(wǎng)造成的威脅、互聯(lián)網(wǎng)用戶接入帶給大客戶網(wǎng)絡(luò)的威脅、黑客等非法用戶對(duì)系統(tǒng)的威脅，這些威脅可能造成鏈路擁堵、用戶數(shù)據(jù)失竊、對(duì)承載網(wǎng)的非法訪問(wèn)、病毒擴(kuò)散等危害.

2 5G傳輸網(wǎng)的安全要求

為確保5G傳輸網(wǎng)絡(luò)的安全，首先需要在網(wǎng)絡(luò)本身的規(guī)劃設(shè)計(jì)上，做好HA高可用設(shè)計(jì)，避免單點(diǎn)故障造成整個(gè)傳輸網(wǎng)絡(luò)癱瘓.其次，針對(duì)數(shù)據(jù)安全要求較高的場(chǎng)景可以考慮部署安全加密隧道，以保障網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的機(jī)密性和完整性，避免業(yè)務(wù)流量非法監(jiān)聽(tīng)或者遭遇網(wǎng)絡(luò)重放攻擊，同時(shí)在承載網(wǎng)的協(xié)議控制面上，可以采用SSL安全協(xié)議等措施，避免可能的路由協(xié)議攻擊.最后，可以通過(guò)VLAN,FlexE,VPN等技術(shù)措施實(shí)施承載網(wǎng)的邏輯或物理隔離，不同業(yè)務(wù)或者不同運(yùn)營(yíng)商的5G流量通過(guò)相互間隔離的管道來(lái)承載[1].

在5G傳輸網(wǎng)絡(luò)中存在安全威脅的網(wǎng)絡(luò)位置主要在基站接入側(cè)、云接入側(cè)、互聯(lián)網(wǎng)側(cè)、網(wǎng)管側(cè)等外部交互點(diǎn)，如圖1所示.

圖1 5G傳輸網(wǎng)絡(luò)及風(fēng)險(xiǎn)點(diǎn)

在基站接入側(cè)，承載網(wǎng)可以通過(guò)邊界配置ACL防范非法報(bào)文、為基站業(yè)務(wù)分配VPN獨(dú)立承載并配置限速策略，同時(shí)在邊界設(shè)備上配置ND,ARP,ICMP等防攻擊及DHCP Snooping，以防范來(lái)自基站側(cè)的攻擊.

在云接入側(cè)，需要在DC邊界部署防火墻，實(shí)現(xiàn)云和承載網(wǎng)絡(luò)之間的隔離；在DC接入承載網(wǎng)的邊界設(shè)備接口，配置網(wǎng)絡(luò)限速、TCP/IP攻擊防范等措施來(lái)防范來(lái)自云的攻擊.

在互聯(lián)網(wǎng)側(cè)，需在IGW上的互聯(lián)網(wǎng)邊界部署抗DDoS攻擊防護(hù)設(shè)備，實(shí)現(xiàn)近源的異常流量檢測(cè)和流量清洗；在電信云邊界部署專業(yè)安全防護(hù)設(shè)備，保護(hù)電信云內(nèi)業(yè)務(wù).

在傳輸管理側(cè)，面臨來(lái)自網(wǎng)管網(wǎng)的安全威脅，需要在網(wǎng)管和傳輸網(wǎng)之間部署防火墻抗DDoS攻擊；另外傳輸設(shè)備按需部署CP-CAR等防攻擊策略，設(shè)置SNMP和SSH 等安全版本協(xié)議并配置相應(yīng)的ACL白名單；在傳輸網(wǎng)絡(luò)和網(wǎng)管網(wǎng)之間構(gòu)建獨(dú)立VPN以確保數(shù)據(jù)安全和防篡改；同時(shí)管理上，需要嚴(yán)格控制網(wǎng)管終端的接入權(quán)限，并做好安全審計(jì)，以防止非法用戶通過(guò)網(wǎng)管接入傳輸網(wǎng)元設(shè)備.

除了上述對(duì)傳輸網(wǎng)傳統(tǒng)的安全防護(hù)要求之外，針對(duì)5G的新架構(gòu)和業(yè)務(wù)需求，還需通過(guò)傳輸切片隔離技術(shù)和IPSec加密技術(shù)來(lái)保障傳輸業(yè)務(wù)的安全.在切片安全要求方面，通過(guò)安全portal保護(hù)切片業(yè)務(wù)發(fā)放，承載網(wǎng)絡(luò)實(shí)現(xiàn)切片物理隔離，防止資源搶占和切片間滲透；在傳輸加密方面，可部署安全網(wǎng)關(guān)進(jìn)行IPSec加密，實(shí)現(xiàn)基站和5GC之間、下沉UPF和5GC之間的端到端安全加密通信；還可通過(guò)非安全鏈路逐跳部署MACSec實(shí)現(xiàn)安全通信.

3 5G傳輸網(wǎng)的關(guān)鍵安全技術(shù)

5G傳輸承載網(wǎng)的安全需從以下幾個(gè)方面進(jìn)行保護(hù)：首先是網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)，需采用HA高可用冗余設(shè)計(jì)，避免單點(diǎn)故障，在管理上需實(shí)現(xiàn)權(quán)限管理、賬號(hào)和密碼的訪問(wèn)認(rèn)證等.其次是協(xié)議控制，可通過(guò)配置MD5身份驗(yàn)證、SSL加密等安全措施，避免可能的路由協(xié)議攻擊，如BGP路由劫持攻擊.最后是對(duì)于用戶的安全保護(hù)，可部署IPSec安全加密以確保用戶面網(wǎng)絡(luò)數(shù)據(jù)包的機(jī)密性和完整性，防止非法流量攔截或網(wǎng)絡(luò)重播攻擊等[2].

1) HA高可靠網(wǎng)絡(luò)

5G承載網(wǎng)應(yīng)通過(guò)采用拓?fù)淙哂嘣O(shè)計(jì)等高可靠設(shè)計(jì)方案，以確保5G傳輸網(wǎng)絡(luò)提供的5G通信服務(wù)的連續(xù)性.在網(wǎng)絡(luò)的各位置，可使用不同的高可用技術(shù)，如圖2所示.

圖2 承載網(wǎng)高可用網(wǎng)絡(luò)

采用HA方案，保障傳輸網(wǎng)絡(luò)的業(yè)務(wù)連續(xù)性，主要技術(shù)如下：

① 物理拓?fù)淙哂嘣O(shè)計(jì).承載網(wǎng)實(shí)現(xiàn)由接入環(huán)、匯聚環(huán)、核心環(huán)構(gòu)成，以此消除單點(diǎn)故障，實(shí)現(xiàn)高可用性.接入環(huán)可采用虛擬路由器冗余協(xié)議(virtual router redundancy protocol, VRRP)、雙向轉(zhuǎn)發(fā)檢測(cè)(bidirectional forwarding detection, BFD)、IP快速重路由(IP fast reroute, FRR)等高可用技術(shù)；匯聚環(huán)和核心環(huán)可采用雙向轉(zhuǎn)發(fā)檢測(cè)(bidirectional forwarding detection, BFD)、段路由-流量工程(segment routing-traffic engineering, SR-TE)、標(biāo)簽分發(fā)協(xié)議快速重路由(label distribution protocol, LDP FRR)、流量工程快速重路由(traffic engineering FRR, TE FRR)、虛擬專用網(wǎng)快速重路由(VPN FRR)以及自動(dòng)交換光網(wǎng)絡(luò)(automatically switched optical network, ASON)等高可用技術(shù)進(jìn)行容災(zāi)保護(hù).

② 在協(xié)議層面通過(guò)節(jié)點(diǎn)保護(hù)和鏈路保護(hù)，保障5G承載網(wǎng)電信級(jí)倒換性能.

2) 采用切片技術(shù)實(shí)現(xiàn)不同5G業(yè)務(wù)之間的傳輸安全隔離

用戶通過(guò)多個(gè)切片訪問(wèn)不同的業(yè)務(wù)時(shí)，需充分考慮網(wǎng)絡(luò)切片間的安全隔離，為不同安全等級(jí)的業(yè)務(wù)設(shè)計(jì)獨(dú)立的切片安全策略，保障切片隔離安全.在傳輸承載網(wǎng)中，每個(gè)網(wǎng)絡(luò)切片都應(yīng)以穩(wěn)固的方式相互隔離，如果網(wǎng)絡(luò)切片之間隔離策略不當(dāng)，攻擊者可能以攻入的切片為跳板進(jìn)而對(duì)其他切片資源發(fā)起攻擊，非法訪問(wèn)切片數(shù)據(jù)或占用切片資源[3].

為了防止網(wǎng)絡(luò)資源搶占和越權(quán)訪問(wèn)業(yè)務(wù)數(shù)據(jù)，需要根據(jù)5G業(yè)務(wù)需求實(shí)現(xiàn)傳輸網(wǎng)絡(luò)的硬隔離和軟隔離.傳輸網(wǎng)有著相對(duì)豐富的技術(shù)手段來(lái)滿足不同隔離度的切片需求，當(dāng)前最主要的手段包括軟隔離手段HQoS和信道化子接口技術(shù)、硬隔離手段FlexE技術(shù)，如圖3所示：

圖3 傳輸網(wǎng)切片技術(shù)對(duì)比

HQoS即層次化QoS(hierarchical quality of service, HQoS)，是一種通過(guò)多級(jí)隊(duì)列調(diào)度機(jī)制，解決Diffserv模型下多用戶多業(yè)務(wù)帶寬保證的技術(shù).傳統(tǒng)的QoS采用一級(jí)調(diào)度，單個(gè)端口只能區(qū)分業(yè)務(wù)優(yōu)先級(jí)，無(wú)法區(qū)分用戶.只要屬于同一優(yōu)先級(jí)的流量，使用同一個(gè)端口隊(duì)列，不同用戶的流量彼此之間競(jìng)爭(zhēng)同一個(gè)隊(duì)列資源，無(wú)法對(duì)端口上單個(gè)用戶的單個(gè)流量進(jìn)行區(qū)分服務(wù).HQoS采用多級(jí)調(diào)度的方式，可以精細(xì)區(qū)分不同用戶和不同業(yè)務(wù)的流量，提供區(qū)分的帶寬管理[4].

FlexE信道化子接口是指將一個(gè)大帶寬物理ETH口劃分為子接口.不同接口承載不同類(lèi)型的業(yè)務(wù).接口之間的業(yè)務(wù)互相隔離，互不影響，接口內(nèi)的業(yè)務(wù)各自遵循HQoS調(diào)度，從而實(shí)現(xiàn)帶寬的物理隔離.

Flex技術(shù)是本文介紹重點(diǎn)，F(xiàn)lexE技術(shù)是基于時(shí)隙調(diào)度將1個(gè)物理以太網(wǎng)端口劃分為多個(gè)以太網(wǎng)彈性硬管道，使得網(wǎng)絡(luò)既具備類(lèi)似于TDM(時(shí)分復(fù)用)獨(dú)占時(shí)隙、隔離性好的特性，又具備以太網(wǎng)統(tǒng)計(jì)復(fù)用、網(wǎng)絡(luò)效率高的雙重特點(diǎn)，實(shí)現(xiàn)同一分片內(nèi)業(yè)務(wù)統(tǒng)計(jì)復(fù)用，分片之間業(yè)務(wù)互不影響.通過(guò)使用FlexE技術(shù)，可以將物理網(wǎng)絡(luò)進(jìn)行分片，形成多個(gè)邏輯網(wǎng)絡(luò)，不同的切片業(yè)務(wù)承載于不同的邏輯網(wǎng)絡(luò)之上，從而實(shí)現(xiàn)業(yè)務(wù)的硬隔離.

FlexE的通用架構(gòu)如圖4所示，可以支持任意多個(gè)不同子接口(FlexE Client)在任意一組PHY(FlexE Group)上的映射和傳輸，從而實(shí)現(xiàn)上述捆綁、通道化及子速率等功能[5].

圖4 FlexE通用架構(gòu)

其中，F(xiàn)lexE Client對(duì)應(yīng)于外在觀察到的用戶接口，一般為64 b或66 b的以太網(wǎng)碼流，支持n×5G速率；FlexE Shim則是MAC/RS和PCS/PHY層之間的子層，完成FlexE Client到FlexE Group攜帶內(nèi)容之間的復(fù)用和解復(fù)用,實(shí)現(xiàn)FlexE的核心功能；FlexE Group是綁定的一組FlexE PHY.

同作為硬隔離技術(shù)，信道化子接口與FlexE接口相比，隔離度相對(duì)較低，且?guī)捔６刃。话阌糜诮尤雽?

信道化子接口和Flex接口對(duì)應(yīng)的能力對(duì)比如表1所示.

表1 信道化接口和FlexE接口對(duì)比

與信道化子接口相比，F(xiàn)lexE接口具有更少的共享路徑，不同信道的數(shù)據(jù)包之間的資源沖突更少；

FlexE接口和信道化子接口獨(dú)立占用帶寬資源.因此，不同信道的帶寬不能相互搶占;

基于FlexE技術(shù)，可以將一張物理網(wǎng)絡(luò)分片成多個(gè)邏輯網(wǎng)絡(luò)，不同的邏輯網(wǎng)絡(luò)端口帶寬是隔離的，鏈路屬性可以進(jìn)行獨(dú)立設(shè)計(jì).

3) 傳輸網(wǎng)絡(luò)業(yè)務(wù)平面MPLS VPN隔離

在傳輸網(wǎng)絡(luò)中，還可以通過(guò)如圖5所示的MPLS VPN技術(shù)實(shí)現(xiàn)業(yè)務(wù)平面隔離，效果可等同切片技術(shù)，且該邏輯隔離技術(shù)安全性較高，應(yīng)用成熟.

圖5 通過(guò)MPLS VPN隔離不同業(yè)務(wù)

在安全性上，MPLS VPN采用路由隔離、地址隔離和信息隱藏等手段抗攻擊和標(biāo)記欺騙，達(dá)到了FR/ATM級(jí)別的安全性，是IP承載網(wǎng)的基礎(chǔ)技術(shù).從實(shí)際使用情況來(lái)看，目前沒(méi)有由于VPN客戶對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓的報(bào)告，也沒(méi)有MPLS VPN內(nèi)用戶被其他VPN用戶攻擊的報(bào)告，因此MPLS VPN是安全的，除非VPN的惡意用戶對(duì)PE發(fā)起控制面以及管理面的攻擊[6].

MPLS VPN可以實(shí)現(xiàn)底層標(biāo)簽自動(dòng)的分配，在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價(jià)、更快速.同時(shí)MPLS VPN可以充分利用MPLS技術(shù)的一些先進(jìn)的特性，比如MPLS 流量工程能力、MPLS的服務(wù)質(zhì)量保證，結(jié)合這些能力，MPLS VPN可以向客戶提供不同服務(wù)質(zhì)量等級(jí)的服務(wù)，也更容易實(shí)現(xiàn)跨運(yùn)營(yíng)商骨干網(wǎng)服務(wù)質(zhì)量的保證.同時(shí)MPLS VPN還可以向客戶提供傳統(tǒng)基于路由技術(shù)VPN無(wú)法提供的業(yè)務(wù)種類(lèi)，比如像支持VPN地址空間復(fù)用.對(duì)于MPLS的客戶來(lái)說(shuō)，運(yùn)營(yíng)商的MPLS網(wǎng)絡(luò)可以提供客戶需要的安全機(jī)制以及組網(wǎng)的能力，VPN底層連接的建立、管理和維護(hù)主要由運(yùn)營(yíng)商負(fù)責(zé)，客戶運(yùn)營(yíng)其VPN的維護(hù)和管理都將比傳統(tǒng)的VPN解決方案簡(jiǎn)單，也降低了企業(yè)在人員和設(shè)備維護(hù)上的投資和成本.基于MPLS的VPN可以作為傳統(tǒng)的基于2層專線的VPN、純3層的IP VPN和隧道方式的VPN的替代技術(shù)，在現(xiàn)階段可以作為傳統(tǒng)VPN技術(shù)的有效補(bǔ)充.

4) 傳輸鏈路加密技術(shù)

對(duì)于敏感的業(yè)務(wù)數(shù)據(jù)需要實(shí)現(xiàn)傳輸鏈路加密，以防止數(shù)據(jù)泄露.在5G場(chǎng)景下IPSec技術(shù)是較為成熟的集傳輸加密和認(rèn)證于一體的安全方案，可以實(shí)現(xiàn)基站到核心網(wǎng)的N2接口、基站到5GC和邊緣UPF之間業(yè)務(wù)流的N3接口以及邊緣計(jì)算到客戶網(wǎng)關(guān)之間的安全加密，如圖6所示:

圖6 5G傳輸鏈路IPSec加密[7]

IPSec是IETF定義的安全架構(gòu)，應(yīng)用于IP層，由AH,ESP，IKE協(xié)議組成.IPSec為IP網(wǎng)絡(luò)通信提供端到端的安全服務(wù)，保護(hù)IP網(wǎng)絡(luò)通信免遭竊聽(tīng)和篡改，有效地抵御網(wǎng)絡(luò)攻擊.采用IPSec通信的2端(簡(jiǎn)稱IPSec對(duì)等體)通過(guò)加密與數(shù)據(jù)源驗(yàn)證等方式，能保證IP數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸時(shí)的私密性、完整性、真實(shí)性與防重放.

使用IPSec通道保護(hù)數(shù)據(jù)安全傳輸之前，通信對(duì)等體之間必須先建立安全關(guān)聯(lián)SA，協(xié)商流程如圖7所示.SA是通信對(duì)等體經(jīng)協(xié)商建立起來(lái)的一種協(xié)定，SA中約定了通信雙方的安全服務(wù)策略，實(shí)現(xiàn)對(duì)不同的數(shù)據(jù)流提供不同的安全保護(hù).

圖7 IPSec業(yè)務(wù)流程

IPSec框架中定義有2種SA，分別是IKE SA和IPSec SA. IKE SA是經(jīng)過(guò)2個(gè)IKE對(duì)等體協(xié)商建立的一種協(xié)定，IKE SA中約定了IKE對(duì)等體之間使用的加密算法、認(rèn)證算法、認(rèn)證方法、PRF(pseudo-random function)算法以及IKE SA的生存周期等信息.IPSec SA是在IKE SA的保護(hù)下協(xié)商出來(lái)的.1個(gè)IPSec通道對(duì)應(yīng)1個(gè)IKE SA，1個(gè)IKE SA下可協(xié)商出多個(gè)IPSec SA[8].

5) 網(wǎng)絡(luò)層路由安全

傳輸網(wǎng)絡(luò)層常用的路由協(xié)議包括BGP IPv6，OSPFv3，ISIS協(xié)議，這些路由協(xié)議如使用不當(dāng)會(huì)有安全風(fēng)險(xiǎn).

其中，針對(duì)BGP IPv6協(xié)議風(fēng)險(xiǎn)，可以通過(guò)建立傳輸網(wǎng)元鄰居關(guān)系時(shí)對(duì)身份進(jìn)行認(rèn)證，對(duì)發(fā)布的路由信息進(jìn)行MD5，keyChain認(rèn)證校驗(yàn)，避免與仿冒節(jié)點(diǎn)建立路由鄰居；對(duì)于數(shù)據(jù)保護(hù)，可采用基于TLS認(rèn)證，加密BGP協(xié)議報(bào)文，保證網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)陌踩?；同時(shí)，通過(guò)進(jìn)一步控制路由規(guī)格，設(shè)置路由超限控制，防止DDoS攻擊.

針對(duì)OSPFv3協(xié)議風(fēng)險(xiǎn)，可以采用對(duì)OSPFv3協(xié)議進(jìn)行認(rèn)證追蹤、OSPFv3協(xié)議內(nèi)容使用IPSec加密認(rèn)證、設(shè)置路由超限控制、采用OSPFv3層次化路由結(jié)構(gòu)等措施來(lái)消減.

針對(duì)ISIS協(xié)議風(fēng)險(xiǎn)，可以采用ISIS認(rèn)證、路由超限控制、鏈路層協(xié)議，以確保網(wǎng)絡(luò)層無(wú)法被直接攻擊.

另外，在網(wǎng)絡(luò)層針對(duì)SRv6路由，可以通過(guò)定義SRv6安全域，在安全域內(nèi)部基于SRv6轉(zhuǎn)發(fā)，過(guò)濾安全域邊界目的地址是安全域內(nèi)地址的報(bào)文的方式，以及通過(guò)SRv6域內(nèi)節(jié)點(diǎn)丟棄目的地址是本地local SID且源地址不是SRv6域內(nèi)地址的報(bào)文的方式，實(shí)現(xiàn)對(duì)域外攻擊流量的防御；跨安全域需要采用SRv6轉(zhuǎn)發(fā)時(shí)，可以采用Binding SID技術(shù)粘連SRv6安全域，隱藏拓?fù)洌⒃诎踩蜻吔缧ｒ?yàn)Binding SID地址，丟棄非法報(bào)文，以防止域內(nèi)信息泄露.其他技術(shù)手段還可采用HMAC校驗(yàn)技術(shù)保護(hù)SRH，實(shí)現(xiàn)防仿冒、篡改、抵賴.

4 總 結(jié)

本文研究以探索5G場(chǎng)景下傳輸網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)和防護(hù)技術(shù)為目標(biāo)，剖析5G傳輸網(wǎng)絡(luò)在外部接入、業(yè)務(wù)傳輸和網(wǎng)元管理方面的安全風(fēng)險(xiǎn)，并基于安全風(fēng)險(xiǎn)分析了相應(yīng)的安全需求及關(guān)鍵的實(shí)現(xiàn)技術(shù)，對(duì)5G網(wǎng)絡(luò)在傳輸領(lǐng)域的應(yīng)用安全性開(kāi)展創(chuàng)新研究和技術(shù)儲(chǔ)備，融合入5G整體的安全性.