5G核心網內生安全技術研究

游 偉，李英樂，柏 溢，陳云杰

(中國人民解放軍戰略支援部隊信息工程大學，河南 鄭州450002)

0 引言

5G核心網引入了服務化架構(Service Based Architecture,SBA)[1]、軟件定義網絡(Software Defined Network,SDN)、網絡功能虛擬化(Network Function Virtualization,NFV)、網絡切片等新技術[2]，實現了新能力，具體體現為IT化和互聯網化。① IT化：全軟件化的核心網，實現統一的IT基礎設施和調度。功能軟件化、計算和數據分離是代表性技術。傳統網元重構為5G的網絡功能，以軟件的形式部署，充分發揮云化、虛擬化技術的優勢。② 互聯網化：從固定網元、固定連接的剛性網絡到動態調整的柔性網絡。SBA架構、新一代核心網協議體系(基于HTTP2/JSON)是其代表性技術。SBA的設計由模塊化、可獨立管理的服務來構建。服務可靈活調用、灰度發布，實現網絡能力的按需編排和快速升級。

新架構和新技術在給5G帶來便利的同時也引入了新的安全威脅。基于SDN/NFV技術的虛擬化網絡架構決定了5G網絡基礎設施硬件平臺的通用化和運行支撐環境的開放性，導致其軟硬件平臺更加不可控，將面臨因未知漏洞和后門等帶來的未知安全威脅，傳統基于先驗知識的防護模式已不能適應5G的發展。需要在繼承原有防護技術和成果的基礎上，開展5G內生安全關鍵技術研究。

本文首先簡要介紹了NFV、網絡切片等新技術給5G核心網帶來的的安全威脅，然后系統闡述了5G核心網云化背景下的安全需求，最后提出從網絡架構層面挖掘內生安全元素，基于擬態防御思想構建5G內生安全網絡。

1 5G核心網云化安全威脅

1.1 NFV安全威脅

5G核心網采用NFV技術，傳統的網絡設備將以虛擬化網絡功能(Virtualised Network Function,VNF)的方式部署在云化的基礎設施上，模糊了安全防護邊界，帶來了新的安全威脅。

NFV使得5G網絡具有功能軟件化、資源共享和部署集中化的特點，改變了傳統網元設備物理安全隔離的現狀，導致傳統網絡安全發生了變化。網元功能軟件化，導致原來硬件網元設備的物理邊界消失，引入了新的軟件安全和管理安全問題，攻擊面變得更廣。例如虛擬化環境內部通信安全(植入惡意代碼或病毒、DoS、DDoS、發送垃圾郵件等)、虛擬化管理安全(權限濫用，密碼、賬號盜用等)、網絡功能安全(偽造/篡改軟件包)等；計算、存儲及網絡資源共享化，導致引入虛擬機安全、虛擬化軟件安全、數據安全等問題；部署集中化，用戶、應用和數據資源聚集，數據泄露與被攻擊風險加大，并且引入通用硬件導致病毒能夠在集中部署區域迅速傳播，通用硬件的漏洞更容易被攻擊者發現和利用，被攻擊后造成的影響范圍廣、危害大。

1.2 網絡切片安全威脅

網絡切片是5G網絡架構一個重要的新特性，功能涉及接入、傳輸、核心網、網管和業務(端到端)多個方面，5G網絡提供網絡切片機制來服務于不同的應用業務，實現靈活的整體端到端切片管理編排和資源管理[3]。

網絡切片是在網絡物理資源共享的基礎上，為不同的應用場景切分出多個邏輯上獨立的虛擬網絡，由系統管理程序管理和控制。不同的切片對于網絡可靠性和安全性要求不同，可以通過切片資源隔離、切片內部安全策略定制，來滿足構建不同安全需求切片的要求(如特殊行業應用)。原則上，每個網絡切片是一個相對獨立的網絡域，具備各自的網絡資源、業務信息，同時也配置各自不同的安全機制，數據信息是不能在切片間橫向流動的。但是，如果切片間出現信息泄露，就會造成網絡數據、用戶數據等泄露。更進一步，攻擊者可能從一個低安全等級的切片連接到另一個高安全等級切片，竊取、干擾目標切片通信內容，甚至對目標切片發起DOS等攻擊[4]。此外，由于是在同一物理網絡上共存多個切片，因此很容易受到側信道攻擊。

2 5G核心網云化安全需求

2.1 5G云基礎設施安全需求

云計算將是推動5G網絡演進的關鍵技術之一。根據3GPP等標準化組織的研究，未來5G網絡架構將建立在云基礎設施之上，并支持多域編排、端到端的網絡切片等面向服務的網絡應用，為各垂直行業提供定制化的網絡服務，實現資源的靈活配置。云基礎設施包含了計算、存儲、網絡資源、部署工具及虛擬化平臺等，任何對云基礎設施的攻擊都有可能導致大量服務中斷。因此，云基礎設施安全一直都是研究人員關注的重點，可以分為以下幾方面。

2.1.1 數據安全

數據安全主要分為機密性、完整性和可用性三方面:

① 機密性,是指僅有通過授權的組織和系統訪問受保護的數據。首先由于云計算基礎設施共享的特性，不同業務和服務共享物理設施，由于多個用戶之間缺乏硬件分離，一方面,驅動器擦除不完全極有可能導致攻擊者使用數據恢復技術恢復先前用戶數據，導致敏感信息泄漏[5];另一方面，攻擊者能夠惡意申請過多資源導致敏感信息丟失[6]。此外，來自內部的攻擊者有權訪問存儲用戶敏感信息的服務器，是云數據安全的最大威脅之一[7]。因此，運營商需要在數據的產生、存儲、使用、分發以及銷毀等各個環節采取適當的安全機制以確保用戶數據安全[8]。

② 完整性,是指保護數據不受未經授權的更改。由于云服務大多通過Web瀏覽器訪問，因此基于Web的攻擊可能會對數據完整性構成威脅，例如元數據欺騙攻擊和SOAP消息簽名包裝攻擊等[9]。此外，一些允許匿名訪問以及明文認證的API也會對用戶數據構成威脅。

③ 數據可用性,是指用戶根據需要使用數據的能力。云環境中數據可用性威脅一般來自兩方面：一方面,受到拒絕服務攻擊、泛洪攻擊等，攻擊者通過大量消耗服務資源導致無法向合法用戶提供服務；另一方面,由于錯誤配置造成系統故障或者自然災害等非主動因素造成。

2.1.2 虛擬化安全

虛擬化技術將底層物理基礎設施資源進行抽象，對外提供虛擬的計算資源、存儲資源和網絡資源，是云基礎設施動態配置資源的基礎性技術。

VNF方面，虛擬機管理器負責對虛擬機進行生命周期管理，攻擊者獲取虛擬機管理程序的控制權將會損害虛擬機和基礎架構[10]。文獻[11]指出，VNF動態特性會導致配置錯誤，從而導致安全失誤。此外，VNF對DoS和DDoS攻擊的抵抗能力十分有限。由于不同虛擬機之間資源共享的特性，當攻擊者耗盡虛擬機分配的資源時，動態資源調度策略會造成與其處在同一主機上的虛擬機缺少資源，進而對邏輯上相互隔離的其他服務造成影響。

虛擬化基礎設施方面，Hypervisor引入了新的安全威脅[12]。Hypervisor負責創建和刪除虛擬機，并對虛擬機分配資源，是所有虛擬機的控制器，極易發生單點故障。例如，如果攻擊者入侵了Hypervisor，則會對已創建的所有虛擬機構成威脅。此外，ETSI致力于建立一個開放、多樣化的NFV系統，基礎設施將會由多個設備和服務提供商進行提供，由于缺少統一的安全策略和互操作標準，將引入新的安全漏洞，攻擊者可以偽裝成服務提供商以竊取用戶敏感信息[13]。

2.2 5G網絡切片安全需求

網絡切片的安全問題是網絡切片成功部署的重要因素，包括網絡切片管理安全和網絡切片實例安全兩個主要方面[14]。

網絡切片管理安全方面，惡意攻擊可以發生在網絡切片生命周期的各個階段，例如在創建階段，如果攻擊者對網絡切片管理器發起冒名頂替攻擊并修改了網絡切片模板，則會對后續創建的網絡切片構成威脅；在切片實例撤銷階段，則有可能因為非法操作導致隱私信息泄露等。因此需要對切片生命周期管理的各個時期考慮必要的安全措施。

網絡切片實例安全方面主要考慮在網絡切片運行階段保證網絡服務的安全，需要在現有的切片架構中增加必要的安全機制和安全實體，主要包含以下幾個方面。

2.2.1 安全隔離

安全隔離需要實現以下三個方面的目標[15]：① 確保當網絡切片遭受惡意攻擊時，不會對其他切片造成影響，例如當攻擊者針對耗盡某一網絡切片發起DOS攻擊而耗盡共享安全功能資源時，可能會導致其他切片無法正常運行其安全協議，從而增加遭受威脅的風險；② 終端設備同時連接多個網絡切片時，切片內的數據不會泄漏到其他切片；③ 避免網絡切片遭受的攻擊通過共享網絡功能傳播到其他切片。切片隔離一方面是為了保證切片能夠在不相互影響的條件下提供差異化的性能需求；另一方面，防止不同安全等級的網絡切片之間發生側信道攻擊。側信道攻擊是指當兩個切片共用底層基礎設施時，攻擊者通過Prime+Probe等方法引起目標切片發生特定的行為，通過分析共享資源的使用情況以及緩存內容等探測目標切片的隱私信息[16]。不同安全等級和數據敏感性的網絡切片應該避免部署到相同的底層資源硬件上[17]。此外，當終端設備同時連接多個網絡切片時，應當分別進行鑒權，并采取不同的加密算法以防止切片間信息泄漏。

2.2.2 認證和鑒權

認證和鑒權是為了驗證用戶和切片網元的合法性以及為網絡通信數據的隱私性和完整性提供保護。一方面，終端設備和切片之間需要認證和鑒權，以防止攻擊者惡意連接并保護合法用戶與切片之間的通信安全。文獻[18]提出一種物聯網場景下網絡切片的快速鑒權方法，該方法在服務提供商的服務代理中采用增強群簽名方式對用戶認證消息進行匿名批量認證，并設計了面向服務的三方密鑰協商機制，以保護用戶隱私和數據機密性。另一方面，5G網絡中存在多種網絡功能實體，且網絡功能實體能夠動態配置，各實體之間需要進行相互認證以防止冒名頂替攻擊。更進一步地，當網絡切片跨多個基礎設施提供商進行部署時，由于不同基礎設施的安全等級和安全策略不同，如何進行安全策略協商以確保切片安全是一個具有挑戰性的問題[19]。文獻[20]為了確保中心化的編排器可用性以及合法的網絡切片組件之間的關聯，提出一種新的基于橢圓曲線代理重加密的隱式雙向認證和組匿名密鑰建立協議。該協議能夠實現網絡切片組件之間的分布式關聯和隱式認證，并通過切片組件之間建立安全密鑰以實現切片隔離。

2.2.3 定制化的安全策略

由于不同應用場景在通信性能以及安全需求上的差異，運營商可以對不同的網絡切片提供定制化的安全策略，對不同網絡切片的租戶提供差異化的接入認證和授權機制[21]。例如在mMTC場景下物聯網設備的計算能力有限，因此切片與終端設備之間需要輕量級的認證和加密算法；而在uRLLC場景下，則需要快速的連接鑒權和強大的加密算法以同時滿足時延和可靠性要求[22]。

3 5G核心網內生安全架構

針對5G新技術和新架構帶來的安全威脅，業界提出了一些新的安全防護思路。鄔江興院士在“2017未來信息通信技術峰會”提出需要打造魯棒的未來移動通信網絡，指出基于廣義魯棒控制屬性的擬態架構可以承載高可靠、高可信、高可用的三位一體服務功能，尤其適合于解決5G網絡由于軟硬件漏洞后門帶來的安全威脅[22]。

下面重點介紹基于廣義魯棒控制的內生安全5G核心網架構，包括內生安全云基礎設施、內生安全網絡功能以及內生安全網絡切片，如圖1所示。

圖1 基于廣義魯棒控制的內生安全5G核心網示意圖Fig.1 Endogenous secure 5G core network based on generalized robust control

3.1 內生安全云基礎設施

針對通用硬件漏洞后門帶來的未知安全威脅，在云基礎設施層面實現內生安全化，包含三部分：第一部分是異構物理基礎設施，包括異構計算、網絡和存儲節點設備，如不同廠商的服務器。第二部分是在物理基礎設施的基礎上，通過多樣化虛擬組件如XEN，KVM等構建多樣化計算、存儲和網絡資源池。第三部分是云基礎設施管理系統，包括虛擬資源統一管理及控制子系統、資源動態調度子系統和虛擬資源擬態化封裝子系統，實現對云平臺異構資源的統一管理和控制，實現擬態云相關安全功能，其中資源動態調度子系統和虛擬資源擬態化封裝子系統是該系統的關鍵組成部分。同時，云基礎設施管理系統對上提供接口，供擬態化組裝與編排系統調用安全虛擬資源。

3.2 內生安全網絡功能

5G核心網采用NFV技術實現了網元設備的軟硬件解耦，傳統的網元設備將以VNF的方式部署在由通用服務器搭建的云化基礎設施上。然而，通用服務器的可靠性與專用服務器相比有一定差距，難以滿足電信級可靠性要求。為此，5G網絡架構通過支持計算與存儲分離，將網絡功能中保存的用戶狀態信息和上下文信息集中存儲在網絡功能UDSF中[23]，實現了網絡功能的無狀態化。這樣即使某個網絡功能所在的虛擬機出現了故障，也可以通過啟用備份虛擬機的方式來快速替代它，從而實現無縫切換，不會影響業務的正常提供。

針對5G核心網控制面中UDM和AMF等網絡功能由于設計上的漏洞后門帶來的未知安全威脅，利用擬態防御架構進行內生安全網絡功能構建，如圖2所示。5G核心網中網絡功能的無狀態化特點為內生安全網絡功能構建提供了極大便利。圖2中，輸入代理模塊是其他NF請求的真實入口，負責將服務請求分發至多個相互獨立的VNF功能執行體。輸出裁決模塊是VNF功能響應的真實出口，根據安全等級要求，采用同/異步自適應大數表決算法對同一請求的多個異構執行體響應進行交叉判決，從中濾除不一致信息，保證輸出結果的一致性，并將裁決結果傳送到負反饋控制模塊。負反饋控制模塊負責接收多模裁決模塊的裁決結果，并將結果傳送到云資源調度模塊。云資源調度模塊負責調度云基礎設施資源提供VNF功能運行所需的虛擬機，從而生成異構的、多樣的VNF功能執行體。此外，當收到負反饋控制模塊返回的某個虛擬機出錯的消息，則啟動新的虛擬機替換出錯的虛擬機，并將新上線虛擬機的IP地址和其他相關信息發送給輸入代理模塊。

圖2 內生安全網絡功能構建示意圖Fig.2 Construction of endogenous secure network function

3.3 內生安全網絡切片

內生安全網絡切片是通過擬態化組裝與編排功能將具有內生安全的網絡功能和通用的網絡功能一起編排成具有內生安全能力的網絡切片，如圖3所示。在網絡切片層面，內生安全能力是可分級的，例如，在低等級的內生安全切片中，只需要UDM是具有內生安全能力的，其他網絡功能都是通用的；而在高等級的內生安全切片中，可要求相關的網絡功能都是具有內生安全能力的。在內生安全切片的具體實現過程中，可試圖開發一種具有通用擬態化能力的安全服務插件，在切片的編排過程中通過加入該插件就可構造出具有內生安全能力的切片。

圖3 功能等價的異構切片實例構建示意圖Fig.3 Construction of heterogeneous slice instance with functional equivalence

4 結束語

5G網絡的新架構、新技術、新場景帶來了很多新的安全威脅，3GPP等標準化研究組織提出的安全架構未能完全有效應對。基于廣義魯棒控制的內生安全架構以動態異構冗余作為核心架構技術解決了5G核心網中因未知漏洞、后門或病毒木馬等帶來的不確定威脅，提供了“改變游戲規則”的新途徑。本文從云基礎設施、核心網網絡功能以及網絡切片等三個不同層面分別闡述了相應的內生安全防護方案。