2019年6月,工信部正式向中国电信、中国移动、中国联通以及中国广电发放5G商用牌照,中国广电成为我国境内第四家5G基础电信运营企业。近期,工信部向中国广电颁发了4.9GHz频段5G试验频率使用许可,同意其在北京等16个城市部署5G网络,2020年2月九部委联合印发《全国有线电视网络整合发展实施方案》,明确全国广电一网的整合与组建方案,由中国广电主导,建设具有广电特色的5G网络并赋能有线电视网络,由此可见5G是广电未来发展的重要方向。
5G网络是未来物联网、车联网、智慧城市、智慧家庭等万物互联的基础。5G网络的高带宽、低时延、大连接特性,将大幅度提升全社会各产业的信息化水平。它不仅提升了人与人之间通信的速度和效率,还将有效拓展人与物、物与物之间的连接水平和通信能力。5G将渗透到万物互联的各个领域,极大丰富移动通信网络的业务范畴,并将逐步形成完善的生态体系。
5G采用了很多不同于4G的新技术,以适应多种应用场景的需求,新技术往往是“双刃剑”,带来便利的同时也会形成新的挑战。5G网络架构引入新的技术SDN、NFV来提高系统的灵活性和效率,同时降低成本;但由于SDN、NFV使网络边界变得十分模糊,以前依赖物理边界防护的安全机制难以得到应用。为了满足低时延业务,在5G接入点也将部署大量的MEC节点,MEC节点也将采用云化的部署方式,同样面临各种各样的安全风险。
MEC安全需求
MEC通过将计算存储能力与业务服务能力向网络边缘迁移,使应用、服务和内容可以实现本地化、近距离、分布式部署,从而一定程度解决了5G增强移动宽带、海量机器类通信、超高可靠低时延通信等技术场景的业务需求。边缘节点具备一定的规模后形成边缘云。位于接入机房处的边缘云规模较小,容易遭受物理攻击,但距离用户终端最近,能够为业务提供超低时延保障。位于边缘机房的边缘云规模较大,虽然时延相对前者较大,但可靠性、安全性更高。
MEC为5G带来便利的同时也带来了新的安全需求,主要包括两个方面:MEC应用的安全需求和MEC基础设施的安全需求:
1. MEC应用的安全需求
5G垂直应用落地的一大关键是在MEC边缘云上部署可信的第三方应用。然而,目前仍缺少对MEC应用进行安全检查的安全规范。恶意MEC应用除了会尝试耗尽它所运行的MEC主机的计算、网络、存储资源外,因为紧邻在基站侧,恶意MEC可以利用无线和网络能力开放接口重新配置无线接入网以达到消耗竞争对手MEC应用分配到的无线资源。此外,恶意MEC应用还可在本地环境搜索易受攻击的设备,执行破解密码等程序。更为严重的是,运营商核心网用户面网元UPF常与MEC应用共平台部署,进一步扩大核心网的攻击面。
因此,在将MEC应用实例化到5G网络前,需要考虑MEC应用的安全需求。首先,要确保MEC应用来自可信的第三方应用提供商,可以通过对镜像进行签名验证来实现;其次,要确保上传的MEC镜像未经过非法篡改,可以通过完整性校验实现;最后,需要在沙箱中检测MEC应用是否存在攻击行为及虚假计费行为。因为5G中第三方应用的计费从核心网下沉到边缘侧,绕过了核心网的有力监控,因此,针对边缘应用的计费行为需要重点关注。
2. MEC基础设施的安全需求
MEC节点靠近网络的边缘,外部环境可信度降低,运营商的管理控制能力减弱。攻击者甚至可以通过物理攻击的手段(如放火、砸毁机房等)使本地MEC节点失效。此外,MEC自身资源有限、安全能力不够完善,可抵御的攻击种类和抵御单个攻击的强度不够,容易被攻击。
因此,MEC基础设施也存在着安全防护需求。这些需求分为包括两个部分:物理基础设施防护需求和虚拟化基础设施防护需求。
- 物理基础设施安全防护要确保物理环境的安全。由于位于网络边缘侧且分布式部署,边缘机房往往管理力度不够,相对于云服务器,更容易遭受物理攻击和物理端口被窃听的风险。可通过加锁、人员管理等方式保障物理环境安全。其次,可信计算和可信IO接入的引入也可以保障物理服务器的可信。
- 虚拟基础设施需要应对多维度的安全风险,包括宿主机操作系统、容器和虚拟机。为加强宿主机操作系统安全性,可以对操作系统进行基础检查、漏洞扫描、病毒和木马防范、升级及补丁管理;为加强容器和虚拟机安全性,可设计有效的隔离机制,关闭无关端口、并对东西向流量进行安全检测。
二、SDN/NFV安全需求
5G新的网络架构引入了SDN、NFV技术,提供更灵活、更高效、更低成本的网络服务。SDN/NFV在与5G融合的过程中,也给5G移动通信网带来了新的攻击面。
1. SDN风险和安全需求
SDN控制器是传输网和核心网网络调度的中心,其本身存在不少安全脆弱点。作为网络的“大脑”,当攻击者攻破控制器,就可以向所有的网络设施发送指令,很容易使整个网络瘫痪。因此,设计一个安全可靠的SDN控制器对于移动通信网来说是必不可少的。
安全可靠的SDN控制器首先需要加入审计机制,检查访问控制器的用户是否合法。其次,控制器和底层交换设备之间必须存在一个加密通道,以防止中间人攻击。最后,对于控制器上运行的应用软件,需要进行安全测试以防止应用被植入恶意代码,同时还应做到应用隔离和权限管理,以限制应用对底层资源的访问权限。
除了SDN控制器的安全需求外,负责数据转发的底层交换设备也容易遭受各种攻击,如攻击者直接入侵交换机用虚假流信息填满流表、修改交换机对数据包的操作。底层交换设备,除了进行主动的攻击检测外进行安全防护外,还可以通过流控、拥塞丢包和超时调整等方式抵御外部攻击。
2. NFV安全需求
NFV技术是核心网网元能够动态灵活部署的关键。然而,NFV平台存在平台自身的脆弱性问题和不安全的接口,同时运行于上的虚拟安全功能(如5G核心网网元)也面临着远程调试、数据窃取与篡改等风险。因此,NFV的安全需求包括以下几个方面:
- VNF安全需求:核心网网元通过VNF软件包实例化在虚拟化平台之上,因此有必要对第三方提供的VNF软件包进行完整性校验,同时需要对VNF进行敏感数据保护和权限管理;
- NFV网络安全需求:VNF之间通信的流量可能只在同一宿主机内,传统的物理安全设备很难检测到这样的流量,因此NFV组网需要考虑VNF之间通信的安全,如双向认证、数据加密和完整性保护,同时可以部署虚拟机形态的安全功能对主机内的流量进行安全监控;
- MANO安全需求:MANO平台除了有MANO各实体之间交互的安全需求(如双向认证),还包括每个MANO实体的安全需求,如VNFM可以运行在虚拟机上,因此需要考虑虚拟机逃逸等安全威胁;
三、面向垂直行业驱动的切片安全需求
国际电信联盟将5G业务划分为三个类型:增强型移动宽带(eMBB)、超高可靠性低时延业务(uRLLC)和海量机器类通信(mMTC)。每个类型有不同的服务质量需求,如uRLLC业务需要满足低时延、高带宽,而海量机器类通信需要支持大连接,但对网络时延并不敏感。
为了能够根据不同业务构建不同网络,5G引入了网络切片的概念。网络切片是指在运营商的物理网络之上构建多个虚拟网络,每个虚拟网络提供差异化的网络服务。行业应用需求的差异决定了网络切片功能的差异化。并非所有切片都包含相同的网络功能,有些网络功能基于需求可以不用配置或进行定制化的裁剪。
1. 跨域的切片安全机制
跨域的切片安全机制是保障切片安全的基础。根据上层MANO平台下发的一致性安全策略,切片安全机制通过切片或子切片隔离、统一的切片认证等方式实现对切片的跨域安全防护。
(1) 有效的切片隔离机制
网络切片运行于公有的基础设施之上。根据3GPP协议,不同的切片之间可以共享控制面的子切片,而对于数据面的子切片而言,切片之间无法共享。因此,网络切片需要提供不同切片之间有效的隔离机制,防止本切片的隐私数据被其他切片有意或无意访问,如车联网切片中,车辆的位置信息、身份信息等敏感信息并不希望被其他切片所访问。当切片隔离机制不合理时可能会带来安全隐患,如某个切片允许租户在切片网络中部署自身的第三方网络功能,恶意的第三方网络功能可能会对其他切片发起攻击。此外,为了使租户放心地使用网络切片,切片中资源、服务的隔离效果应该接近于现有的私有网络。
(2) 统一的切片认证机制
5G网络的接入方式多种多样,包括3GPP接入和非3GPP接入。同时,某些终端具备支持接入多种网络切片、在不同网络切片之间切换的能力,从而导致5G接入场景多种多样。因此,5G应该提供一种统一、高效的切片认证方式,实现终端对不同切片的接入认证和鉴权。
2. 提供差异化的切片安全处理能力
切片网络除了可以为垂直行业提供差异化的连接服务外,还需要根据各垂直行业安全需求的不同提供差异化的安全防护能力。
eMBB场景下,5G网络峰值速率和用户体验速率较4G增长10倍以上。超大流量增加了基于流量检测、内容识别、加解密等技术的安全防护难度;不良视频内容识别、海量数据的舆情分析等方面对安全监测带来挑战。因此,eMBB切片对安全功能的计算与处理能力带来了很大挑战。
- uRLLC场景具有高安全、高可靠、低时延的特点。在切片部署的过程中需要考虑安全功能引入的时延以及在高速率情况下留给安全功能的开销。因此,uRLLC切片对安全响应时效性要求较高。
- mMTC场景具有大连接、弱终端的特点。因此,安全和加密算法必须满足资源受限的约束,同时终端并不一定每一次通信都需要完成完整的安全流程。此外,mMTC切片还需要抵御超大连接易引发的全网或局部规模DDoS攻击。
2020年5G将进入规模部署商用,广电在大融合背景下也将大力发展5G业务,在这样的背景下,5G安全愈发引人关注。5G由于其IT和CT融合的特性,其安全需求不仅包括传统移动通信网的需求,还有新型的IT技术和多样化垂直服务引入的需求。在发展5G的同时,我们也要关注5G网络的安全需求,最终能够提供一张高质量、高可靠、高安全的5G网络。
【本文是51CTO专栏作者“绿盟科技博客”的原创稿件,转载请通过51CTO联系原作者获取授权】