新技術給5G核心網所帶來的安全問題
一、引言
如今,5G網絡已經實現了高速率、低延遲、支持大規模設備連接等性能上的目標,并為移動設備間的通信開啟了新篇章。進一步地,5G還將賦能于自動駕駛、智慧城市、工業4.0等垂直行業。
為了滿足性能與業務的需求,5G引入了軟件定義網絡(SDN, Software Defined-Networking)、網絡功能虛擬化(NFV, Network Functions Virtualization)、網絡切片(NetworkSlicing)、服務化架構(SBA, Service Based Architecture)等關鍵技術。新技術的引入的確可以實現5G在性能與業務上的目標,但同時也帶來了新的安全問題。本文將從引入5G網絡的各項關鍵技術入手,探討5G網絡所面臨的安全問題。
二、5G關鍵技術與安全問題
結合3GPP TS 23.501[1],5G整體網絡架構如圖1所示。這張圖展示了多種關鍵技術在5G網絡中的應用,圖中各個模塊所代表的關鍵技術或網絡資產也是目前威脅分析工作的重點方向。本節將按照圖中的各個模塊,依次介紹引入5G網絡的關鍵技術以及各項技術所存在的安全問題。
圖1 5G網絡架構圖
2.1 NFV及其安全問題
網絡功能虛擬化(NFV)借鑒了IT領域成熟的虛擬化技術,將網絡功能與專用硬件設備分離,進而提供擺脫硬件基礎設施限制的網絡服務。圖2展示了NFV的網絡架構,圖中右側的MANO為管理和網絡編排系統,它會按不同的業務流程對網絡組件以及軟件元素進行編排與管理。MANO所編排的對象主要包括電信運營支撐系統(OSS/BSS),虛擬化網絡功能(VNF)以及虛擬化基礎設施(NFVI)。
移動通信網絡,尤其是核心網,是由很多網元設備組成的。在5G到來之前,這些網元都是各個廠家自行設計制造的專用設備。專用設備費用較高且硬件資源無法得到充分利用,這大大提高了運營商的組網成本。因此,5G引入NFV技術的需求來自于運營商,而NFV技術的引入也確實降低了運營商的組網和運營成本。此外,NFV具備自動部署、彈性伸縮等靈活化特性,也恰恰滿足了5G應對多種業務場景的彈性需求。
由于5G引入了NFV技術,NFV自身的安全問題也將存在于5G網絡中。
虛擬化
VNF運行在虛擬化基礎設施NFVI之上,而虛擬化環境存在的安全問題擴大了5G網絡的攻擊面。對于NFVI,其主要面臨的安全風險包括虛擬機逃逸攻擊,攻擊編排管理系統,拒絕服務攻擊,DNS放大攻擊等。
管理面接口
OSS/BSS與網絡功能虛擬化編排系統(NFVO)以及VNF與虛擬化網絡功能管理系統(VNFM)之間通過管理接口Os-Ma-nfvo,Ve-Vnfm-em,Ve-nfm-nf通信,這些接口面對的安全風險包括Web/API脆弱性,賬戶泄露,特權用戶訪問,未授權訪問,未授權數據傳輸,竊取/篡改數據等。
圖2 NFV架構圖[4]
MANO
相比傳統的基礎設施,NFV的引入使得各個網絡功能的編排和部署更加靈活,但由于編排系統并沒有位置限制機制,攻擊者可以利用NFVO,VNFM或VIM將一個VNF從一個合法的部署位置遷移到非法位置。
2.2 SDN及其安全問題
SDN引入5G網絡的主要功能是控制面與數據面的解耦。傳統網絡中的各個交換機、路由器都是獨立工作的,內部管理命令和接口也是私有的,不對外開放。對于SDN網絡,其在網絡之上建立了一個SDN控制器,統一管理和控制下層設備的數據轉發。在SDN網絡中,所有下級節點的管理功能都交給了SDN控制器,只剩下了轉發功能。那么,管理者只需要像配置軟件程序一樣,進行簡單部署,就可以配置網絡的路由轉發策略。因此,SDN的引入也增強了5G網絡的靈活性。圖3展示了SDN的設計架構,圖中控制面的主要組件是SDN Controller,負責將SDNApplication的網絡資源需求下發給數據面的SDN Recourses,而數據面的SDNResources則主要包括物理交換機/路由器,虛擬交換機/路由器等網絡資源。
基于SDN的設計架構,接下來將從控制面,數據面以及各層之間的交互方式進一步介紹SDN所面臨的安全問題。
控制面
從控制面來說,攻擊者通過分析轉發設備的性能指標可以判斷網絡設備的轉發策略。例如,攻擊者可以利用SDN的input buffer來識別規則,并通過分析數據包的處理時間進一步判斷轉發策略[2]。
數據面
SDN數據面所面臨的安全風險主要包括針對協議的攻擊和針對設備的攻擊兩方面。針對協議的攻擊主要是攻擊者利用轉發設備中網絡協議的漏洞,對SDN數據面進行攻擊。針對設備的攻擊主要是攻擊者針對SDN轉發設備的軟件漏洞(如固件攻擊)或硬件功能(如TCAM存儲器)進行攻擊。
圖3 SDN架構圖[4]
API
SDN各層之間通過API進行通信,這些API同樣面臨著各樣的安全問題。SDN控制器與數據平面之間的接口稱為南向接口。對于南向接口,攻擊者可以通過竊取通過南向接口的控制面與數據面之間交換的信息來掌握SDN中發生的事件,也可以通過惡意修改正在進行通信的消息來破壞網絡的正常行為,還可以直接對南向接口發起DoS攻擊。SDN應用層與SDN控制器之間的接口稱為北向接口。北向接口所面臨的風險與南向接口基本是一致的,但相比南向接口,北向接口可能位于應用層并且需要更高級別的系統訪問權限,而且可能存在應用程序不在同一設備上運行的情況。因此,對北向接口的攻擊相比南向接口難度會更大。
2.3 網絡切片及其安全問題
NFV技術實現了軟硬件的解耦,SDN技術完成了控制和轉發的解耦,兩者都在一定基礎上促進了5G網絡的靈活化。而靈活化的目的,就是服務于網絡切片。網絡切片是在同一物理網絡基礎設施上實現虛擬化和獨立邏輯網絡多路復用的一種網絡架構[3]。由于每個切片都是一個隔離的端到端網絡,那么這些網絡可以為滿足特定應用程序請求的各種需求而定制。因此,網絡切片可以說是5G的核心能力和關鍵特征。現在各大運營商都在大力進行SA組網,就在為網絡切片做裝備。
我們盼望5G網絡可以為各種不同的通信服務、不同的流量負載以及不同的終端用戶群體定制化地提供網絡通信服務,而網絡切片恰恰可以滿足這種需求。圖4展示了網絡切片的設計架構。其中,服務實例層表示服務提供方需要支持的用戶服務或業務服務,通信服務管理功能(CSMF)負責將通信服務需求轉化為網絡切片需求,網絡切片管理功能(NSMF)負責網絡切片實例(NSI)的管理。網絡切片架構的核心組件是網絡切片實例(NSI),每個NSI可以提供一種定制資源的網絡服務,它包括一組網絡功能(NF)及該組NF相關的計算、存儲和網絡資源。此外,為了方便對不同網絡環境中NF的管理,每個NSI還會分成多個網絡切片子網實例(Network Slice Subnet Instance, NSSI),比如圖4中的NSI包含了接入網NSSI與核心網NSSI。
圖4 網絡切片架構圖[4]
對于網絡切片,其安全問題主要有以下幾種。
管理與編排的安全性
從商業模式和用戶需求的角度看,網絡切片的MANO需要更加復雜和靈活。而這種高度的復雜性和靈活性,將帶來更高的安全風險。此外,目前關于服務管理請求授權的3GPP規范還沒有最終確定。那么在實行上,也可能會暴露出一些安全問題。
API
不同業務場景所提供的服務與相應的網絡切片之間建立通信時需要基于指定的API,這些API自身的脆弱性也會引入新的安全風險。
此外,歐盟網絡安全局(ENISA)在2020年12月發布的5G網絡安全風險報告[3]中更加詳細地列出了網絡切片的安全風險,如表1所示。
表1 ENISA網絡切片風險描述表
三、總結
總而言之,讓網絡切片靈活且可定制地提供網絡服務,是5G為千行百業賦能的先決條件。而讓5G網絡更加安全穩定地服務于大眾,還需要綜合考慮各個關鍵技術所面臨的安全問題,并有針對性地將安全策略部署到5G網絡中。
參考文獻
[1]https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3144
[2]http://www.thenucleuspak.org.pk/index.php/Nucleus/article/view/142
[3]https://en.wikipedia.org/wiki/5G_network_slicing
[4]https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-for-5g-networks
