新技术给5G核心网所带来的安全问题

一、引言

如今,5G网络已经实现了高速率、低延迟、支持大规模设备连接等性能上的目标,并为移动设备间的通信开启了新篇章。进一步地,5G还将赋能于自动驾驶、智慧城市、工业4.0等垂直行业。

为了满足性能与业务的需求,5G引入了软件定义网络(SDN, Software Defined-Networking)、网络功能虚拟化(NFV,Network Functions Virtualization)、网络切片(Network Slicing)、服务化架构(SBA, Service Based Architecture)等关键技术。新技术的引入的确可以实现5G在性能与业务上的目标,但同时也带来了新的安全问题。本文将从引入5G网络的各项关键技术入手,探讨5G网络所面临的安全问题。

二、5G关键技术与安全问题

结合3GPP TS 23.501[1],5G整体网络架构如图1所示。这张图展示了多种关键技术在5G网络中的应用,图中各个模块所代表的关键技术或网络资产也是目前威胁分析工作的重点方向。本节将按照图中的各个模块,依次介绍引入5G网络的关键技术以及各项技术所存在的安全问题。

图1 5G网络架构图

2.1 NFV及其安全问题

网络功能虚拟化(NFV)借鉴了IT领域成熟的虚拟化技术,将网络功能与专用硬件设备分离,进而提供摆脱硬件基础设施限制的网络服务。图2展示了NFV的网络架构,图中右侧的MANO为管理和网络编排系统,它会按不同的业务流程对网络组件以及软件元素进行编排与管理。MANO所编排的对象主要包括电信运营支撑系统(OSS/BSS),虚拟化网络功能(VNF)以及虚拟化基础设施(NFVI)。

移动通信网络,尤其是核心网,是由很多网元设备组成的。在5G到来之前,这些网元都是各个厂家自行设计制造的专用设备。专用设备费用较高且硬件资源无法得到充分利用,这大大提高了运营商的组网成本。因此,5G引入NFV技术的需求来自于运营商,而NFV技术的引入也确实降低了运营商的组网和运营成本。此外,NFV具备自动部署、弹性伸缩等灵活化特性,也恰恰满足了5G应对多种业务场景的弹性需求。

由于5G引入了NFV技术,NFV自身的安全问题也将存在于5G网络中。

虚拟化

VNF运行在虚拟化基础设施NFVI之上,而虚拟化环境存在的安全问题扩大了5G网络的攻击面。对于NFVI,其主要面临的安全风险包括虚拟机逃逸攻击,攻击编排管理系统,拒绝服务攻击,DNS放大攻击等。

管理面接口

OSS/BSS与网络功能虚拟化编排系统(NFVO)以及VNF与虚拟化网络功能管理系统(VNFM)之间通过管理接口Os-Ma-nfvo,Ve-Vnfm-em,Ve-nfm-nf通信,这些接口面对的安全风险包括Web/API脆弱性,账户泄露,特权用户访问,未授权访问,未授权数据传输,窃取/篡改数据等。

图2 NFV架构图

MANO

相比传统的基础设施,NFV的引入使得各个网络功能的编排和部署更加灵活,但由于编排系统并没有位置限制机制,攻击者可以利用NFVO,VNFM或VIM将一个VNF从一个合法的部署位置迁移到非法位置。

2.2 SDN及其安全问题

SDN引入5G网络的主要功能是控制面与数据面的解耦。传统网络中的各个交换机、路由器都是独立工作的,内部管理命令和接口也是私有的,不对外开放。对于SDN网络,其在网络之上建立了一个SDN控制器,统一管理和控制下层设备的数据转发。在SDN网络中,所有下级节点的管理功能都交给了SDN控制器,只剩下了转发功能。那么,管理者只需要像配置软件程序一样,进行简单部署,就可以配置网络的路由转发策略。因此,SDN的引入也增强了5G网络的灵活性。图3展示了SDN的设计架构,图中控制面的主要组件是SDN Controller,负责将SDN Application的网络资源需求下发给数据面的SDN Recourses,而数据面的SDN Resources则主要包括物理交换机/路由器,虚拟交换机/路由器等网络资源。

基于SDN的设计架构,接下来将从控制面,数据面以及各层之间的交互方式进一步介绍SDN所面临的安全问题。

控制面

从控制面来说,攻击者通过分析转发设备的性能指标可以判断网络设备的转发策略。例如,攻击者可以利用SDN的input buffer来识别规则,并通过分析数据包的处理时间进一步判断转发策略[2]。

数据面

SDN数据面所面临的安全风险主要包括针对协议的攻击和针对设备的攻击两方面。针对协议的攻击主要是攻击者利用转发设备中网络协议的漏洞,对SDN数据面进行攻击。针对设备的攻击主要是攻击者针对SDN转发设备的软件漏洞(如固件攻击)或硬件功能(如TCAM存储器)进行攻击。

图3 SDN架构图

API

SDN各层之间通过API进行通信,这些API同样面临着各样的安全问题。SDN控制器与数据平面之间的接口称为南向接口。对于南向接口,攻击者可以通过窃取通过南向接口的控制面与数据面之间交换的信息来掌握SDN中发生的事件,也可以通过恶意修改正在进行通信的消息来破坏网络的正常行为,还可以直接对南向接口发起DoS攻击。SDN应用层与SDN控制器之间的接口称为北向接口。北向接口所面临的风险与南向接口基本是一致的,但相比南向接口,北向接口可能位于应用层并且需要更高级别的系统访问权限,而且可能存在应用程序不在同一设备上运行的情况。因此,对北向接口的攻击相比南向接口难度会更大。

2.3 网络切片及其安全问题

NFV技术实现了软硬件的解耦,SDN技术完成了控制和转发的解耦,两者都在一定基础上促进了5G网络的灵活化。而灵活化的目的,就是服务于网络切片。网络切片是在同一物理网络基础设施上实现虚拟化和独立逻辑网络多路复用的一种网络架构[3]。由于每个切片都是一个隔离的端到端网络,那么这些网络可以为满足特定应用程序请求的各种需求而定制。因此,网络切片可以说是5G的核心能力和关键特征。现在各大运营商都在大力进行SA组网,就在为网络切片做装备。

我们盼望5G网络可以为各种不同的通信服务、不同的流量负载以及不同的终端用户群体定制化地提供网络通信服务,而网络切片恰恰可以满足这种需求。图4展示了网络切片的设计架构。其中,服务实例层表示服务提供方需要支持的用户服务或业务服务,通信服务管理功能(CSMF)负责将通信服务需求转化为网络切片需求,网络切片管理功能(NSMF)负责网络切片实例(NSI)的管理。网络切片架构的核心组件是网络切片实例(NSI),每个NSI可以提供一种定制资源的网络服务,它包括一组网络功能(NF)及该组NF相关的计算、存储和网络资源。此外,为了方便对不同网络环境中NF的管理,每个NSI还会分成多个网络切片子网实例(Network Slice Subnet Instance, NSSI),比如图4中的NSI包含了接入网NSSI与核心网NSSI。

图4 网络切片架构图

对于网络切片,其安全问题主要有以下几种。

管理与编排的安全性

从商业模式和用户需求的角度看,网络切片的MANO需要更加复杂和灵活。而这种高度的复杂性和灵活性,将带来更高的安全风险。此外,目前关于服务管理请求授权的3GPP规范还没有最终确定。那么在实行上,也可能会暴露出一些安全问题。

API

不同业务场景所提供的服务与相应的网络切片之间建立通信时需要基于指定的API,这些API自身的脆弱性也会引入新的安全风险。

此外,欧盟网络安全局(ENISA)在2020年12月发布的5G网络安全风险报告[3]中更加详细地列出了网络切片的安全风险,如表1所示。

风险描述
网络切片通信协商过程中可能出现中间人攻击,对切片功能进行恶意修改
网络切片管理接口的访问控制不完善可能导致攻击者对管理接口的恶意访问,进而修改有效信息来欺骗网络管理员,威胁切片安全。
敏感信息泄露风险,主要来源包括: NSI缺乏有效的数据保护机制NSSI缺乏有效的防篡改机制
切片管理中的认证授权漏洞,主要包括: 切片认证机制不完善缺乏对NSSAI的保护缺乏对用户ID和认证证书的保护
网络切片组件安全性不足,主要包括: 协议漏洞服务未做访问控制存在无用软件/功能/组件特权用户无限制远程登录部分文件权限过高操作系统配置不当Web服务器配置不当
虚拟化安全风险,主要包括: 操作系统虚拟化安全风险容器安全风险切片网络功能虚拟化安全风险
缺少对NSI的监控与异常检测机制,具体包括: 日志记录和审计不足安全事件日志文件保护不当监控能力和数据隔离不当NSI的端到端监控能力不当
表1 ENISA网络切片风险描述表

三、总结

总而言之,让网络切片灵活且可定制地提供网络服务,是5G为千行百业赋能的先决条件。而让5G网络更加安全稳定地服务于大众,还需要综合考虑各个关键技术所面临的安全问题,并有针对性地将安全策略部署到5G网络中。

参考文献

[1]https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3144

[2]http://www.thenucleuspak.org.pk/index.php/Nucleus/article/view/142

[3]https://en.wikipedia.org/wiki/5G_network_slicing

[4]https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-for-5g-networks

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment