新技术给5G核心网所带来的安全问题

sealmon

转：新技术给5G核心网所带来的安全问题

2022-01-24高深5G, 安全技术, 网络安全

阅读： 355

一、引言

如今，5G网络已经实现了高速率、低延迟、支持大规模设备连接等性能上的目标，并为移动设备间的通信开启了新篇章。进一步地，5G还将赋能于自动驾驶、智慧城市、工业4.0等垂直行业。

为了满足性能与业务的需求，5G引入了软件定义网络(SDN,Software Defined-Networking)、网络功能虚拟化(NFV，Network Functions Virtualization)、网络切片(NetworkSlicing)、服务化架构(SBA, Service Based Architecture)等关键技术。新技术的引入的确可以实现5G在性能与业务上的目标，但同时也带来了新的安全问题。本文将从引入5G网络的各项关键技术入手，探讨5G网络所面临的安全问题。

二、5G关键技术与安全问题

结合3GPP TS 23.501[1]，5G整体网络架构如图1所示。这张图展示了多种关键技术在5G网络中的应用，图中各个模块所代表的关键技术或网络资产也是目前威胁分析工作的重点方向。本节将按照图中的各个模块，依次介绍引入5G网络的关键技术以及各项技术所存在的安全问题。

                              图1 5G网络架构图

2.1NFV及其安全问题

网络功能虚拟化(NFV)借鉴了IT领域成熟的虚拟化技术，将网络功能与专用硬件设备分离，进而提供摆脱硬件基础设施限制的网络服务。图2展示了NFV的网络架构，图中右侧的MANO为管理和网络编排系统，它会按不同的业务流程对网络组件以及软件元素进行编排与管理。MANO所编排的对象主要包括电信运营支撑系统(OSS/BSS)，虚拟化网络功能(VNF)以及虚拟化基础设施(NFVI)。

移动通信网络，尤其是核心网，是由很多网元设备组成的。在5G到来之前，这些网元都是各个厂家自行设计制造的专用设备。专用设备费用较高且硬件资源无法得到充分利用，这提高了运营商的组网成本。因此，5G引入NFV技术的需求来自于运营商，而NFV技术的引入也确实降低了运营商的组网和运营成本。此外，NFV具备自动部署、弹性伸缩等灵活化特性，也恰恰满足了5G应对多种业务场景的弹性需求。

由于5G引入了NFV技术，NFV自身的安全问题也将存在于5G网络中。

虚拟化

VNF运行在虚拟化基础设施NFVI之上，而虚拟化环境存在的安全问题扩大了5G网络的攻击面。

对于NFVI，其主要面临的安全风险包括虚拟机逃逸攻击，攻击编排管理系统，拒绝服务攻击，DNS放大攻击等。

管理面接口

OSS/BSS与网络功能虚拟化编排系统(NFVO)以及VNF与虚拟化网络功能管理系统(VNFM)之间通过管理接口Os-Ma-nfvo,Ve-Vnfm-em,Ve-nfm-nf通信，这些接口面对的安全风险包括Web/API脆弱性，账户泄露，特权用户访问，未授权访问，未授权数据传输，窃取/篡改数据等。

图2 NFV架构图

MANO

相比传统的基础设施，NFV的引入使得各个网络功能的编排和部署更加灵活，但由于编排系统并没有位置限制机制，攻击者可以利用NFVO,VNFM或VIM将一个VNF从一个合法的部署位置迁移到非法位置。

2.2SDN及其安全问题

SDN引入5G网络的主要功能是控制面与数据面的解耦。传统网络中的各个交换机、路由器都是独立工作的，内部管理命令和接口也是私有的，不对外开放。对于SDN网络，其在网络之上建立了一个SDN控制器，统一管理和控制下层设备的数据转发。在SDN网络中，所有下级节点的管理功能都交给了SDN控制器，只剩下了转发功能。那么，管理者只需要像配置软件程序一样，进行简单部署，就可以配置网络的路由转发策略。因此，SDN的引入也增强了5G网络的灵活性。图3展示了SDN的设计架构，图中控制面的主要组件是SDN Controller，负责将SDN Application的网络资源需求下发给数据面的SDN Recourses，而数据面的SDN Resources则主要包括物理交换机/路由器，虚拟交换机/路由器等网络资源。

基于SDN的设计架构，接下来将从控制面，数据面以及各层之间的交互方式进一步介绍SDN所面临的安全问题。

控制面

从控制面来说，攻击者通过分析转发设备的性能指标可以判断网络设备的转发策略。例如，攻击者可以利用SDN的input buffer来识别规则，并通过分析数据包的处理时间进一步判断转发策略[2]。

数据面

SDN数据面所面临的安全风险主要包括针对协议的攻击和针对设备的攻击两方面。针对协议的攻击主要是攻击者利用转发设备中网络协议的漏洞，对SDN数据面进行攻击。针对设备的攻击主要是攻击者针对SDN转发设备的软件漏洞(如固件攻击)或硬件功能(如TCAM存储器)进行攻击。

图3 SDN架构图

API

SDN各层之间通过API进行通信，这些API同样面临着各样的安全问题。SDN控制器与数据平面之间的接口称为南向接口。对于南向接口，攻击者可以通过窃取通过南向接口的控制面与数据面之间交换的信息来掌握SDN中发生的事件，也可以通过恶意修改正在进行通信的消息来破坏网络的正常行为，还可以直接对南向接口发起DoS攻击。SDN应用层与SDN控制器之间的接口称为北向接口。北向接口所面临的风险与南向接口基本是一致的，但相比南向接口，北向接口可能位于应用层并且需要更高级别的系统访问权限，而且可能存在应用程序不在同一设备上运行的情况。因此，对北向接口的攻击相比南向接口难度会更大。

2.3 网络切片及其安全问题

NFV技术实现了软硬件的解耦，SDN技术完成了控制和转发的解耦，两者都在一定基础上促进了5G网络的灵活化。而灵活化的目的，就是服务于网络切片。网络切片是在同一物理网络基础设施上实现虚拟化和独立逻辑网络多路复用的一种网络架构[3]。由于每个切片都是一个隔离的端到端网络，那么这些网络可以为满足特定应用程序请求的各种需求而定制。因此，网络切片可以说是5G的核心能力和关键特征。现在各大运营商都在大力进行SA组网，就在为网络切片做装备。

我们盼望5G网络可以为各种不同的通信服务、不同的流量负载以及不同的终端用户群体定制化地提供网络通信服务，而网络切片恰恰可以满足这种需求。图4展示了网络切片的设计架构。其中，服务实例层表示服务提供方需要支持的用户服务或业务服务，通信服务管理功能(CSMF)负责将通信服务需求转化为网络切片需求，网络切片管理功能(NSMF)负责网络切片实例(NSI)的管理。网络切片架构的核心组件是网络切片实例(NSI)，每个NSI可以提供一种定制资源的网络服务，它包括一组网络功能(NF)及该组NF相关的计算、存储和网络资源。此外，为了方便对不同网络环境中NF的管理，每个NSI还会分成多个网络切片子网实例(Network Slice SubnetInstance, NSSI)，比如图4中的NSI包含了接入网NSSI与核心网NSSI。

图4 网络切片架构图

对于网络切片，其安全问题主要有以下几种。

管理与编排的安全性

从商业模式和用户需求的角度看，网络切片的MANO需要更加复杂和灵活。而这种高度的复杂性和灵活性，将带来更高的安全风险。此外，目前关于服务管理请求授权的3GPP规范还没有最终确定。那么在实行上，也可能会暴露出一些安全问题。

API

不同业务场景所提供的服务与相应的网络切片之间建立通信时需要基于指定的API，这些API自身的脆弱性也会引入新的安全风险。

此外，欧盟网络安全局(ENISA)在2020年12月发布的5G网络安全风险报告[3]中更加详细地列出了网络切片的安全风险，如表1所示。

风险描述

网络切片通信协商过程中可能出现中间人攻击，对切片功能进行恶意修改

网络切片管理接口的访问控制不完善可能导致攻击者对管理接口的恶意访问，进而修改有效信息来欺骗网络管理员，威胁切片安全。

敏感信息泄露风险，主要来源包括： NSI缺乏有效的数据保护机制NSSI缺乏有效的防篡改机制

切片管理中的认证授权漏洞，主要包括： 切片认证机制不完善缺乏对NSSAI的保护缺乏对用户ID和认证证书的保护

网络切片组件安全性不足，主要包括： 协议漏洞服务未做访问控制存在无用软件/功能/组件特权用户无限制远程登录部分文件权限过高操作系统配置不当Web服务器配置不当

虚拟化安全风险，主要包括： 操作系统虚拟化安全风险容器安全风险切片网络功能虚拟化安全风险

缺少对NSI的监控与异常检测机制，具体包括：  日志记录和审计不足安全事件日志文件保护不当监控能力和数据隔离不当NSI的端到端监控能力不当

表1 ENISA网络切片风险描述表

三、总结

总而言之，让网络切片灵活且可定制地提供网络服务，是5G为千行百业赋能的先决条件。而让5G网络更加安全稳定地服务于大众，还需要综合考虑各个关键技术所面临的安全问题，并有针对性地将安全策略部署到5G网络中。

参考文献

[1]https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3144

[2]http://www.thenucleuspak.org.pk/index.php/Nucleus/article/view/142

[3]https://en.wikipedia.org/wiki/5G_network_slicing

[4]https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-for-5g-networks

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司（“绿盟科技”）。作为分享技术资讯的平台，绿盟科技期待与广大用户互动交流，并欢迎在标明出处（绿盟科技-技术博客）及网址的情形下，全文转发。

上述情形之外的任何使用形式，均需提前向绿盟科技（010-68438880-5462）申请版权授权。如擅自使用，绿盟科技保留追责权利。同时，如因擅自使用博客内容引发法律纠纷，由使用者自行承担全部法律责任，与绿盟科技无关。

原文链接：http://blog.nsfocus.net/5g-security/

附：NFV的技术架构

与其他任何一个新兴的技术一样，NFV这一概念从诞生到形成一个可行的参考架构经历了深入的研究过程。ETSI NFVISG (欧洲电信标准协会网络功能虚拟化行业规范组织）成立之初就致力于研究与讨论NFV的需求和架构。NFV的逻辑架构可简单划分为以下几个部分，如图3-14所示。

图3-14 NFV的逻辑架构简图

图3-14简单概括了构成NFV逻辑架构的四个组成部分，分别是用于整体编排、控制管理的MANO (虚拟网元管理编排组件），网元赖以部署的NFVI (虚拟网元基础设施），VNF(虚拟网元）和OSS/ BSS (运营支持系统/业务支持系统)。这—逻辑架构图简化了各个组件内部的具体细节，从逻辑的角度详细解释了NFV的实现方式。随着NFV研究的逐渐深入以及NFV的部署经验日益丰富，该架构已逐渐成为NFV领域公认的事实架构，其中各逻辑组件所对应的物理实体也逐渐明晰。下文将对该架构的各模块及其具体实现进行阐述。

NFV基础设施（NFVI )

NFV基础设施包括NFV的硬件设施和虚拟设施。其中，NFV硬件设施是指NFV软件赖以运行的通用硬件，包括服务器、存储设备、网络设备等；NFV虚拟设施是指运行在这些通用硬件之上的宿主操作系统、Hypervisor及其向上提供的虚拟计算、虚拟存储、虚拟网络服务。

NFV基础设施是VNF运行的基础。NFV基础设施的性能和可靠性极大地影响了运行在其上的VNF的性能和可靠性。NFV基础设施受到VIM (虚拟设施管理器）的监控和管理，VIM可以调用所有NFV基础设施，为其部署任务；同时NFV基础设施的所有信息应及时上传至VIM。

NFV中的VNF

NFV中的VNF使得整个NFV架构实现了“真正的”通信网络功能。传统的通信网络使用专用的硬件设备构成网络。而在NFV架构中，这些专用的硬件设备转变为VNF。这些VNF以软件的形式运行在NFV底层设施为其提供的VM (虚拟机）或容器中，提供与传统专用设备相同的业务功能。

一些人认为，从专用硬件设备到VNF只需要将传统专用设备中的软件运行在NFV中的虚机上即可，这种理解其实是错误的。NFV的意义不应只是表面上软件与硬件的分离和虚拟技术的引入，而应该考虑对CT网元的不同部件进行划分并利用IT中的虚拟技术实现。在这个过程中，要充分考虑IT设备的能力，对原有CT网元进行更细粒度的重新划分。依靠一个“硕大”的虚拟机实现传统网元完整的功能并不应该是NFV要实现的目标。NFV的最终目标应该是依靠多个小型的、功能细粒度划分的VNFC (虚拟网元组件）实现一个完整的网络功能，而这一网络功能应具有部署管理灵活、扩缩容能力和高可靠性等特点。小型化的VNFC使得整个虚拟网元的部署灵活性更大，资源利用更为充分。小型化的VNFC要求的虚拟核数较少，多个VNFC可部署在同一个服务器上，充分利用所有的虚拟核资源。而大型的VNFC虚拟核数较多，一个VNFC往往就要占用一个服务器，这样一来剩余的数量较少的虚拟核就无法得到充分使用。

NFV管理与编排：NFVMANO

在NFV的架构中，NFVO、VNFM (虚拟网元管理器）、VIM统称为NFV MANO。在整个NFV的架构中，NFV MANO起着管理、控制、协调的关键作用，而它的三个组件又分别有自己的分工：

1. Orchestrator

Orchestrator是整个NFV架构中的大脑，它向上负责接受管理者及OSS/BSS下发的部署需求，向下负责向VNFM和VIM下发具体的部署指令。Orchestrator将对整个NFV框架进行编排管理，并负责对网络业务的部署管理。Orchestrator下发的部署任务包含了对网络业务的抽象描述，VNFM和VIM负责将这一抽象描述落实为具体的虚拟机创建、镜像加载等工作。

2. VNFM

VNFM在整个NFV架构中充当VNF的管理者。其主要工作是对VNF进行生命周期管理，包括VNF的实例化、检测、扩缩容、终结等。在NFV的架构中，VNFM可以部署多个，而且由于VNFM与VNF有着密切的关系，VNF和VNFM通常是紧密绑定的。

3. VIM

VIM在整个NFV的参考架构中充当部署NFV设备的管理者，具体的工作包括管理、监控、配置硬件资源和其上的虚拟资源。虽然VIM名为虚拟设施管理器，但随着对NFV研究的深入，对物理设备的管理、监控和配置能力也成为VIM的重要功能之一。

目前，在NFV产业界，公认的VIM的具体实现组件是OpenStack， 如果采用SDN技术来构建虚拟网络的话，SDN控制器也可以被认为是VIM的一部分。OpenStack是传统的IT云管理组件，在NFV中， OpenStack也被选择作为其虚拟设施的管理器。然而，NFV架构的实现不仅需要有别于传统IT云的特殊需求，也对OpenStack提出了更多要求。SDN控制器在整个NFV的部署中用于配置、管理网络。相比 于仅使用OpenStack的网络组件Neutron，使用SDN控制器管理网络更加灵活。根据实际部署情况，考虑到管理的需要，NFV的架构也可能有多个VIM的存在。

4、OSS/BSS

OSS/BSS是NFV与传统电信网络对接的组件。它是电信运营商的一体化信息资源共享的支持系统。它主要由网络管理、系统管理、计费、营业、账务和客户服务等部分组成。引入NFV后，新的虚拟网络需要加入传统网络之中，变得可管可控。这其中一个重要的衔接部件就是OSS/BSS。OSS/BSS与编排器的接口将负责为编排器下发网络部署、管理命令，编排器会将这些命令转换为NFV的模板，并交给NFV各组件执行。因此，OSS/BSS与NFV编排器的接口实现尤为重要。

主要来源： https://www.163.com/dy/article/DCAH5H2S0518BKPO.html