［劉津羽］

1 引言

目前互聯(lián)網(wǎng)已經(jīng)廣泛應(yīng)用到了通信、金融以及水電等基礎(chǔ)行業(yè)當(dāng)中。伴隨著網(wǎng)絡(luò)技術(shù)和相關(guān)硬件設(shè)備的不斷迭代，網(wǎng)絡(luò)規(guī)模也在日益壯大。以數(shù)據(jù)為驅(qū)動(dòng)的大數(shù)據(jù)新型產(chǎn)業(yè)正在不斷涌現(xiàn)，很多企業(yè)（包括運(yùn)營商）已經(jīng)在內(nèi)部組建了大規(guī)模的云數(shù)據(jù)中心。也因此延伸出了網(wǎng)絡(luò)管理難、運(yùn)營難、配置難等問題，給網(wǎng)絡(luò)安全帶來更為嚴(yán)峻的挑戰(zhàn)。

目前5G 北向接口的控制器大多缺乏加密、授權(quán)等安全機(jī)制。第三方的應(yīng)用系統(tǒng)可以通過黑客手段輕易調(diào)用北向接口從而獲取其訪問控制權(quán)限。而基于北向接口的不同控制器架構(gòu)和編程語言存在較大區(qū)別，因此很難直接在源端上進(jìn)行安全需求變動(dòng)。綜合上述問題，我們將訪問操作進(jìn)行抽象，通過串接代理中間件的方式來解決北向接口的安全訪問。

2 5G 北向接口相關(guān)安全問題

目前5G 北向接口端網(wǎng)絡(luò)架構(gòu)如圖1 所示。內(nèi)部應(yīng)用和外部應(yīng)用系統(tǒng)都需要經(jīng)由北向接口和控制器進(jìn)行交互和訪問。也因此存在以下4 種問題：

圖1 5G 北向接口端網(wǎng)絡(luò)架構(gòu)

（1）由于目前北向接口與應(yīng)用系統(tǒng)間還不具備統(tǒng)一的維度及互認(rèn)證方法，現(xiàn)階段對(duì)于應(yīng)用系統(tǒng)的身份鑒別或訪問控制全部基于控制器來實(shí)施。而基于此現(xiàn)狀若期望對(duì)北向接口的安全進(jìn)行加固，通常采用的方法是直接完善控制器的安全機(jī)制。但由于控制器的類型多種多樣，需要根據(jù)不同類型的控制器設(shè)計(jì)不同的安全模塊，相應(yīng)的可移植性較差。特別對(duì)于5G 的SDN 架構(gòu)下的控制器集群。若每次安全機(jī)制的更新都要涉及所有控制器的部署，則會(huì)導(dǎo)致北向接口的運(yùn)維工作量爆炸性增長。而且目前這類任務(wù)由于權(quán)限問題只能通過運(yùn)維人員或者網(wǎng)絡(luò)管理員手動(dòng)進(jìn)行更新，工作耗時(shí)且易出現(xiàn)錯(cuò)誤。

（2）由于控制器的訪問邏輯是基于內(nèi)部應(yīng)用邏輯設(shè)定的，因此對(duì)于部署在云端及其他網(wǎng)絡(luò)的應(yīng)用系統(tǒng)其安全策略是無法完美生效的。現(xiàn)階段較為常見的訪問控制策略是基于API 掛鉤的方式來攔截控制器內(nèi)部的請(qǐng)求信息，通過比對(duì)接口中的傳參是否符合預(yù)設(shè)的標(biāo)準(zhǔn)來確定該程序的執(zhí)行邏輯是否符合規(guī)范（若異常就直接攔截，若符合規(guī)范就放行）。但這種方式對(duì)于從外部流入的請(qǐng)求信息是無法完全生效的，說明控制器的內(nèi)部訪問安全策略是欠缺泛用性的。

（3）對(duì)于數(shù)據(jù)傳輸過程中的信息保密性及信息完整性缺乏實(shí)質(zhì)性的安全策略。這塊暴露的問題目前也是攻擊者常用來作為攻擊入口的方式。攻擊者通?？梢员O(jiān)聽北向接口上的應(yīng)用系統(tǒng)及控制器間的傳輸信息。通過分析端口信息及接口等信息后，可以直接攻擊性能較差的端口，例如直接進(jìn)行拒絕服務(wù)攻擊（DOS/DDOS）；此外攻擊者通過監(jiān)測(cè)的方式還可以獲取控制器本身與應(yīng)用系統(tǒng)交互的MR、KPI 等數(shù)據(jù)信息；如果獲取信息并通過方式破解信息后可以直接篡改信息并將錯(cuò)誤結(jié)果返回給應(yīng)用系統(tǒng)，導(dǎo)致應(yīng)用系統(tǒng)的服務(wù)出現(xiàn)錯(cuò)誤結(jié)果。更深一步的方式還可以直接通過篡改信息獲取系統(tǒng)的控制權(quán)限從而完全的控制應(yīng)用系統(tǒng)及北向接口。

（4）目前系統(tǒng)對(duì)于應(yīng)用系統(tǒng)的權(quán)限設(shè)置無法做到精細(xì)，這是由于應(yīng)用系統(tǒng)在開發(fā)過程中會(huì)對(duì)模塊進(jìn)行封裝，因此無法做到對(duì)每個(gè)模塊都精細(xì)化的進(jìn)行權(quán)限控制。況且對(duì)于數(shù)據(jù)的應(yīng)用本身會(huì)隨著通信技術(shù)的發(fā)展而不斷增加，目前5G 的數(shù)據(jù)應(yīng)用已經(jīng)顯著多于3G、4G 時(shí)代的數(shù)據(jù)應(yīng)用。無法通過單一的系統(tǒng)授權(quán)管理策略做到面面俱到的安全效果。

由上述安全問題的分析可見，目前采用的安全策略應(yīng)當(dāng)偏向于智能化、精細(xì)化且可伸縮的通用安全機(jī)制。全方位的保障應(yīng)用系統(tǒng)訪問過程中的安全性以及北向接口與控制器間消息的傳輸安全性。

3 5G 北向接口安全問題的解決思路

3.1 基于代理中間件的安全解決思路

基于上述小節(jié)的結(jié)論，我們提出一種基于代理中間件的安全解決思路，其作用是智能化受理或攔截應(yīng)用系統(tǒng)調(diào)用北向接口的請(qǐng)求以及根據(jù)控制器所上傳的信息進(jìn)行訪問控制并從控制器提交的策略中智能化判斷請(qǐng)求是否合法。基于圖1 網(wǎng)絡(luò)架構(gòu)的改良，圖2 為添加代理中間件后的網(wǎng)絡(luò)架構(gòu)。

圖2 添加代理中間件后的網(wǎng)絡(luò)架構(gòu)

由于代理中間件解耦于北向接口架構(gòu)，其自身可自定義配置多種安全策略，包括接入專用的安全架構(gòu)來提高其安全性能。除此之外，代理中間件還基于SGX（Software Guard Extension）設(shè)計(jì)，該技術(shù)基于硬件處理器的維度來加密內(nèi)存，黑客就算獲取了本地的超級(jí)管理員權(quán)限也無法讀取內(nèi)存信息，使得錄入的敏感信息不會(huì)在任何階段被黑客竊取。因此代理中間件的安全性是極其可靠的。

而在改良后的北向接口網(wǎng)絡(luò)架構(gòu)中，代理中間件作為忠實(shí)的第三方監(jiān)視者嚴(yán)格地保證控制器所提供的訪問策略落實(shí)到應(yīng)用系統(tǒng)，同時(shí)也確保訪問控制的策略和憑證不會(huì)泄露。圖3 為應(yīng)用系統(tǒng)、代理中間件及控制器的交互流程。

如表11，單一樣本T檢驗(yàn)的統(tǒng)計(jì)結(jié)果顯示，在99%的置信區(qū)間內(nèi)，被受訪者評(píng)價(jià)為“非常愉悅”的建筑高度變化范圍在0.65～0.68之間，即為其最優(yōu)值域。同理，建筑平均轉(zhuǎn)折點(diǎn)數(shù)的最優(yōu)值域?yàn)?.74～2.82，天際線層次比例的最優(yōu)值域?yàn)?.42～0.49。

圖3 應(yīng)用系統(tǒng)、代理中間件及控制器的交互流程

通過表1 來整體介紹圖3 中的流程信息。

3.2 智能化訪問控制模型

在3.1 的步驟6 中提到了通過智能化訪問控制模型驗(yàn)證訪問請(qǐng)求從而達(dá)到驗(yàn)證訪問請(qǐng)求是否安全的效果。實(shí)際上該模型的輸入數(shù)據(jù)利用到了3.1 中所提及所有六個(gè)步驟中所保存的信息數(shù)據(jù)。如圖4 為智能化訪問控制模型的結(jié)構(gòu)圖。

該模型主要通過動(dòng)態(tài)加權(quán)應(yīng)用系統(tǒng)訪問前、訪問中、訪問后以及異常態(tài)的四個(gè)過程來判定該應(yīng)用系統(tǒng)是否違反了訪問控制策略，如果訪問行為被模型判定為越權(quán)或者不當(dāng)行為等，應(yīng)用系統(tǒng)會(huì)直接失去訪問權(quán)限，代理中間件將不再為其提供服務(wù)，直到該應(yīng)用系統(tǒng)進(jìn)行過符合訪問規(guī)則的安全整改才會(huì)重新提供訪問的機(jī)會(huì)。對(duì)于上述提到的四個(gè)過程，其定義如下：

圖4 智能化訪問控制模型的結(jié)構(gòu)圖

（1）訪問前是指應(yīng)用系統(tǒng)IP 的訪問頻次定級(jí)、黑白名單定級(jí)等跟應(yīng)用系統(tǒng)背景信息相關(guān)的核查。在應(yīng)用系統(tǒng)請(qǐng)求服務(wù)時(shí)會(huì)調(diào)取應(yīng)用系統(tǒng)的背景信息，生成訪問行為的特征數(shù)據(jù)。

（2）訪問中是指對(duì)于應(yīng)用系統(tǒng)的請(qǐng)求命令、請(qǐng)求資源以及請(qǐng)求方式等與訪問動(dòng)作相關(guān)的行為進(jìn)行定級(jí)，生成訪問行為的特征數(shù)據(jù)。

（4）異常態(tài)通常是根據(jù)控制器實(shí)時(shí)報(bào)錯(cuò)信息、實(shí)時(shí)網(wǎng)絡(luò)中斷、實(shí)時(shí)拒絕服務(wù)等異常情況生成訪問行為的特征數(shù)據(jù)。

模型根據(jù)四個(gè)過程的輸入信息動(dòng)態(tài)判斷該訪問請(qǐng)求是否需要拒絕。需要特別說明的是，訪問前、訪問中及訪問后是依照前后順序進(jìn)行的過程，訪問行為的特征數(shù)據(jù)也是通過這個(gè)過程依次獲?。欢惓B(tài)在整個(gè)模型識(shí)別過程中可以穿插在這三個(gè)過程中的任意位置（例如訪問前、異常態(tài)、訪問中及訪問后的數(shù)據(jù)輸入順序），也可以是非必要的過程。

除去模型的應(yīng)用模塊，圖4 的另一條線是將數(shù)據(jù)錄入訪問行為數(shù)據(jù)庫中進(jìn)行保存，并結(jié)合預(yù)設(shè)的攔截規(guī)則庫以及安全策略庫對(duì)模型進(jìn)行訓(xùn)練。訓(xùn)練中心采用DNN 深度神經(jīng)網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)安全訪問控制。圖5為DNN網(wǎng)絡(luò)結(jié)構(gòu)圖。

圖5 DNN 網(wǎng)絡(luò)結(jié)構(gòu)圖

搭建的DNN 網(wǎng)絡(luò)由輸入層、隱藏層、輸出層和softmax 函數(shù)組成，其中輸入層由多個(gè)的數(shù)據(jù)字段形成的神經(jīng)元組成，對(duì)應(yīng)訪問態(tài)勢(shì)涉及的4 個(gè)形態(tài)對(duì)應(yīng)的數(shù)據(jù)特征作為輸入向量。隱藏層有兩層，每層分別有若干個(gè)神經(jīng)元，之后為輸出層，由3 個(gè)神經(jīng)元組成，對(duì)應(yīng)高威脅、無威脅、警告3 個(gè)類別，最后為softmax 函數(shù)，用于輸出多分類概率。基于DNN 網(wǎng)絡(luò)的特性，訪問行為特征數(shù)據(jù)的輸入過程是動(dòng)態(tài)的，但是網(wǎng)絡(luò)的識(shí)別也是動(dòng)態(tài)的。因此可以在任意過程中根據(jù)動(dòng)態(tài)權(quán)值對(duì)形成的高危訪問進(jìn)行攔截。可最大限度防止漏殺、誤殺等情況。

通過上述代理中間件的解決思路以及其中的智能化訪問控制模型的介紹，較好地解決了開頭提及的安全模塊耦合、安全策略泛用性差、安全策略不夠智能以及權(quán)限精細(xì)化程度低等問題。全方位加固了5G 北向接口的網(wǎng)絡(luò)架構(gòu)。

4 小結(jié)

本課題對(duì)于5G 北向接口安全訪問策略研究，先是探討了5G 北向接口現(xiàn)階段面臨的安全問題。隨后介紹了5G北向接口安全解決思路，即提供了代理中間件的解決思路以及其中包含的智能化訪問控制模型。智能化實(shí)現(xiàn)了北向接口訪問過程的安全控制，并解耦了北向接口的安全策略配置，使得5G 北向接口的網(wǎng)絡(luò)架構(gòu)變得更加智能化、精細(xì)化且可伸縮，綜合安全性能獲得較大提升。