5G傳輸網絡安全現狀

余瀅鑫 余曉光 翟亞紅 陽陳錦劍 解曉青

1(華為技術有限公司西安研究所 西安 710075)

2(華為技術有限公司松山湖研究所 廣東東莞 523808)

3(中國網絡安全審查技術與認證中心 北京 100020)

(yuyingxin@huawei.com)

1 5G傳輸面臨的安全性挑戰

無線基站到核心網之間的IP承載網和光傳輸網，是整個5G網絡的基礎骨架，如果被入侵破壞，很可能導致5G業務大范圍的受損甚至中斷，因此傳輸網絡的安全保護至關重要[1].

與4G網絡相比，5G網絡要求信息在傳輸過程中要具有更快的速度、更高的可靠性、更大的帶寬和更低的時延.如果傳輸網絡受到DDoS攻擊、病毒攻擊、路由注入攻擊或PE設備受到非法訪問等，可能造成PE設備故障、承載網路由振蕩、接入網內部合法業務受損、合法路由數量減少等安全事故.對一些安全等級高的敏感業務，承載網需要保障業務數據的安全，避免通信數據流量被竊聽或者篡改，還要做好不同業務流量的安全隔離.另外，考慮到承載網對智慧城市業務運行和社會運轉的重要意義，承載網需要保障自身的HA高可用性，滿足電信級高可靠要求.

傳輸網絡面臨的典型安全威脅如下：

1) 接入側風險.

骨干網中PE設備受到的傳統攻擊威脅包括：非法訪問PE設備、DDoS攻擊、病毒泛濫、惡意注入非法路由、注入路由數量過多.這些威脅可能造成PE設備故障、承載網路由振蕩、網絡流量不能到達目的地致合法業務受損、將流量引流到黑客所在網絡進行信息竊取、合法路由數量減少致目標網絡流量過載DDoS等危害.

承載網與互聯網互訪受到的傳統邊界威脅包括：IP承載網受到互聯網中病毒威脅、DDoS攻擊，公網大量路由泄露到IP承載網.這些威脅可能造成IP承載網核心設備故障、非法流量致帶寬損失、核心業務受到影響、路由泄露致承載網內部路由泛濫等危害.

2) 管理面的安全威脅.

來自網管的管理面安全威脅包括網管終端直連互聯網,Windows等操作系統易感染病毒，網管終端的權限管理復雜等，這些威脅可能造成互聯網的風險通過網管網擴散到承載網.

3) 5G業務網絡的安全威脅.

對于半封閉業務系統主要面臨：智能終端的非法呼叫、盜用帶寬、網管系統的終端威脅、不受控IAD(桌面IAD)設備的管理問題等安全威脅，可能造成軟交換系統癱瘓、阻塞鏈路、影響正常用戶的帶寬等危害.

對于開放的業務系統主要面臨：大客戶網絡對骨干網造成的威脅、互聯網用戶接入帶給大客戶網絡的威脅、黑客等非法用戶對系統的威脅，這些威脅可能造成鏈路擁堵、用戶數據失竊、對承載網的非法訪問、病毒擴散等危害.

2 5G傳輸網的安全要求

為確保5G傳輸網絡的安全，首先需要在網絡本身的規劃設計上，做好HA高可用設計，避免單點故障造成整個傳輸網絡癱瘓.其次，針對數據安全要求較高的場景可以考慮部署安全加密隧道，以保障網絡數據報文的機密性和完整性，避免業務流量非法監聽或者遭遇網絡重放攻擊，同時在承載網的協議控制面上，可以采用SSL安全協議等措施，避免可能的路由協議攻擊.最后，可以通過VLAN,FlexE,VPN等技術措施實施承載網的邏輯或物理隔離，不同業務或者不同運營商的5G流量通過相互間隔離的管道來承載[1].

在5G傳輸網絡中存在安全威脅的網絡位置主要在基站接入側、云接入側、互聯網側、網管側等外部交互點，如圖1所示.

圖1 5G傳輸網絡及風險點

在基站接入側，承載網可以通過邊界配置ACL防范非法報文、為基站業務分配VPN獨立承載并配置限速策略，同時在邊界設備上配置ND,ARP,ICMP等防攻擊及DHCP Snooping，以防范來自基站側的攻擊.

在云接入側，需要在DC邊界部署防火墻，實現云和承載網絡之間的隔離；在DC接入承載網的邊界設備接口，配置網絡限速、TCP/IP攻擊防范等措施來防范來自云的攻擊.

在互聯網側，需在IGW上的互聯網邊界部署抗DDoS攻擊防護設備，實現近源的異常流量檢測和流量清洗；在電信云邊界部署專業安全防護設備，保護電信云內業務.

在傳輸管理側，面臨來自網管網的安全威脅，需要在網管和傳輸網之間部署防火墻抗DDoS攻擊；另外傳輸設備按需部署CP-CAR等防攻擊策略，設置SNMP和SSH 等安全版本協議并配置相應的ACL白名單；在傳輸網絡和網管網之間構建獨立VPN以確保數據安全和防篡改；同時管理上，需要嚴格控制網管終端的接入權限，并做好安全審計，以防止非法用戶通過網管接入傳輸網元設備.

除了上述對傳輸網傳統的安全防護要求之外，針對5G的新架構和業務需求，還需通過傳輸切片隔離技術和IPSec加密技術來保障傳輸業務的安全.在切片安全要求方面，通過安全portal保護切片業務發放，承載網絡實現切片物理隔離，防止資源搶占和切片間滲透；在傳輸加密方面，可部署安全網關進行IPSec加密，實現基站和5GC之間、下沉UPF和5GC之間的端到端安全加密通信；還可通過非安全鏈路逐跳部署MACSec實現安全通信.

3 5G傳輸網的關鍵安全技術

5G傳輸承載網的安全需從以下幾個方面進行保護：首先是網絡規劃和設計，需采用HA高可用冗余設計，避免單點故障，在管理上需實現權限管理、賬號和密碼的訪問認證等.其次是協議控制，可通過配置MD5身份驗證、SSL加密等安全措施，避免可能的路由協議攻擊，如BGP路由劫持攻擊.最后是對于用戶的安全保護，可部署IPSec安全加密以確保用戶面網絡數據包的機密性和完整性，防止非法流量攔截或網絡重播攻擊等[2].

1) HA高可靠網絡

5G承載網應通過采用拓撲冗余設計等高可靠設計方案，以確保5G傳輸網絡提供的5G通信服務的連續性.在網絡的各位置，可使用不同的高可用技術，如圖2所示.

圖2 承載網高可用網絡

采用HA方案，保障傳輸網絡的業務連續性，主要技術如下：

① 物理拓撲冗余設計.承載網實現由接入環、匯聚環、核心環構成，以此消除單點故障，實現高可用性.接入環可采用虛擬路由器冗余協議(virtual router redundancy protocol, VRRP)、雙向轉發檢測(bidirectional forwarding detection, BFD)、IP快速重路由(IP fast reroute, FRR)等高可用技術；匯聚環和核心環可采用雙向轉發檢測(bidirectional forwarding detection, BFD)、段路由-流量工程(segment routing-traffic engineering, SR-TE)、標簽分發協議快速重路由(label distribution protocol, LDP FRR)、流量工程快速重路由(traffic engineering FRR, TE FRR)、虛擬專用網快速重路由(VPN FRR)以及自動交換光網絡(automatically switched optical network, ASON)等高可用技術進行容災保護.

② 在協議層面通過節點保護和鏈路保護，保障5G承載網電信級倒換性能.

2) 采用切片技術實現不同5G業務之間的傳輸安全隔離

用戶通過多個切片訪問不同的業務時，需充分考慮網絡切片間的安全隔離，為不同安全等級的業務設計獨立的切片安全策略，保障切片隔離安全.在傳輸承載網中，每個網絡切片都應以穩固的方式相互隔離，如果網絡切片之間隔離策略不當，攻擊者可能以攻入的切片為跳板進而對其他切片資源發起攻擊，非法訪問切片數據或占用切片資源[3].

為了防止網絡資源搶占和越權訪問業務數據，需要根據5G業務需求實現傳輸網絡的硬隔離和軟隔離.傳輸網有著相對豐富的技術手段來滿足不同隔離度的切片需求，當前最主要的手段包括軟隔離手段HQoS和信道化子接口技術、硬隔離手段FlexE技術，如圖3所示：

圖3 傳輸網切片技術對比

HQoS即層次化QoS(hierarchical quality of service, HQoS)，是一種通過多級隊列調度機制，解決Diffserv模型下多用戶多業務帶寬保證的技術.傳統的QoS采用一級調度，單個端口只能區分業務優先級，無法區分用戶.只要屬于同一優先級的流量，使用同一個端口隊列，不同用戶的流量彼此之間競爭同一個隊列資源，無法對端口上單個用戶的單個流量進行區分服務.HQoS采用多級調度的方式，可以精細區分不同用戶和不同業務的流量，提供區分的帶寬管理[4].

FlexE信道化子接口是指將一個大帶寬物理ETH口劃分為子接口.不同接口承載不同類型的業務.接口之間的業務互相隔離，互不影響，接口內的業務各自遵循HQoS調度，從而實現帶寬的物理隔離.

Flex技術是本文介紹重點，FlexE技術是基于時隙調度將1個物理以太網端口劃分為多個以太網彈性硬管道，使得網絡既具備類似于TDM(時分復用)獨占時隙、隔離性好的特性，又具備以太網統計復用、網絡效率高的雙重特點，實現同一分片內業務統計復用，分片之間業務互不影響.通過使用FlexE技術，可以將物理網絡進行分片，形成多個邏輯網絡，不同的切片業務承載于不同的邏輯網絡之上，從而實現業務的硬隔離.

FlexE的通用架構如圖4所示，可以支持任意多個不同子接口(FlexE Client)在任意一組PHY(FlexE Group)上的映射和傳輸，從而實現上述捆綁、通道化及子速率等功能[5].

圖4 FlexE通用架構

其中，FlexE Client對應于外在觀察到的用戶接口，一般為64 b或66 b的以太網碼流，支持n×5G速率；FlexE Shim則是MAC/RS和PCS/PHY層之間的子層，完成FlexE Client到FlexE Group攜帶內容之間的復用和解復用,實現FlexE的核心功能；FlexE Group是綁定的一組FlexE PHY.

同作為硬隔離技術，信道化子接口與FlexE接口相比，隔離度相對較低，且帶寬粒度小，一般用于接入層.

信道化子接口和Flex接口對應的能力對比如表1所示.

表1 信道化接口和FlexE接口對比

與信道化子接口相比，FlexE接口具有更少的共享路徑，不同信道的數據包之間的資源沖突更少；

FlexE接口和信道化子接口獨立占用帶寬資源.因此，不同信道的帶寬不能相互搶占;

基于FlexE技術，可以將一張物理網絡分片成多個邏輯網絡，不同的邏輯網絡端口帶寬是隔離的，鏈路屬性可以進行獨立設計.

3) 傳輸網絡業務平面MPLS VPN隔離

在傳輸網絡中，還可以通過如圖5所示的MPLS VPN技術實現業務平面隔離，效果可等同切片技術，且該邏輯隔離技術安全性較高，應用成熟.

圖5 通過MPLS VPN隔離不同業務

在安全性上，MPLS VPN采用路由隔離、地址隔離和信息隱藏等手段抗攻擊和標記欺騙，達到了FR/ATM級別的安全性，是IP承載網的基礎技術.從實際使用情況來看，目前沒有由于VPN客戶對運營商網絡的攻擊導致網絡癱瘓的報告，也沒有MPLS VPN內用戶被其他VPN用戶攻擊的報告，因此MPLS VPN是安全的，除非VPN的惡意用戶對PE發起控制面以及管理面的攻擊[6].

MPLS VPN可以實現底層標簽自動的分配，在業務的提供上比傳統的VPN技術更廉價、更快速.同時MPLS VPN可以充分利用MPLS技術的一些先進的特性，比如MPLS 流量工程能力、MPLS的服務質量保證，結合這些能力，MPLS VPN可以向客戶提供不同服務質量等級的服務，也更容易實現跨運營商骨干網服務質量的保證.同時MPLS VPN還可以向客戶提供傳統基于路由技術VPN無法提供的業務種類，比如像支持VPN地址空間復用.對于MPLS的客戶來說，運營商的MPLS網絡可以提供客戶需要的安全機制以及組網的能力，VPN底層連接的建立、管理和維護主要由運營商負責，客戶運營其VPN的維護和管理都將比傳統的VPN解決方案簡單，也降低了企業在人員和設備維護上的投資和成本.基于MPLS的VPN可以作為傳統的基于2層專線的VPN、純3層的IP VPN和隧道方式的VPN的替代技術，在現階段可以作為傳統VPN技術的有效補充.

4) 傳輸鏈路加密技術

對于敏感的業務數據需要實現傳輸鏈路加密，以防止數據泄露.在5G場景下IPSec技術是較為成熟的集傳輸加密和認證于一體的安全方案，可以實現基站到核心網的N2接口、基站到5GC和邊緣UPF之間業務流的N3接口以及邊緣計算到客戶網關之間的安全加密，如圖6所示:

圖6 5G傳輸鏈路IPSec加密[7]

IPSec是IETF定義的安全架構，應用于IP層，由AH,ESP，IKE協議組成.IPSec為IP網絡通信提供端到端的安全服務，保護IP網絡通信免遭竊聽和篡改，有效地抵御網絡攻擊.采用IPSec通信的2端(簡稱IPSec對等體)通過加密與數據源驗證等方式，能保證IP數據包在網絡上傳輸時的私密性、完整性、真實性與防重放.

使用IPSec通道保護數據安全傳輸之前，通信對等體之間必須先建立安全關聯SA，協商流程如圖7所示.SA是通信對等體經協商建立起來的一種協定，SA中約定了通信雙方的安全服務策略，實現對不同的數據流提供不同的安全保護.

圖7 IPSec業務流程

IPSec框架中定義有2種SA，分別是IKE SA和IPSec SA. IKE SA是經過2個IKE對等體協商建立的一種協定，IKE SA中約定了IKE對等體之間使用的加密算法、認證算法、認證方法、PRF(pseudo-random function)算法以及IKE SA的生存周期等信息.IPSec SA是在IKE SA的保護下協商出來的.1個IPSec通道對應1個IKE SA，1個IKE SA下可協商出多個IPSec SA[8].

5) 網絡層路由安全

傳輸網絡層常用的路由協議包括BGP IPv6，OSPFv3，ISIS協議，這些路由協議如使用不當會有安全風險.

其中，針對BGP IPv6協議風險，可以通過建立傳輸網元鄰居關系時對身份進行認證，對發布的路由信息進行MD5，keyChain認證校驗，避免與仿冒節點建立路由鄰居；對于數據保護，可采用基于TLS認證，加密BGP協議報文，保證網絡上數據傳輸的安全性；同時，通過進一步控制路由規格，設置路由超限控制，防止DDoS攻擊.

針對OSPFv3協議風險，可以采用對OSPFv3協議進行認證追蹤、OSPFv3協議內容使用IPSec加密認證、設置路由超限控制、采用OSPFv3層次化路由結構等措施來消減.

針對ISIS協議風險，可以采用ISIS認證、路由超限控制、鏈路層協議，以確保網絡層無法被直接攻擊.

另外，在網絡層針對SRv6路由，可以通過定義SRv6安全域，在安全域內部基于SRv6轉發，過濾安全域邊界目的地址是安全域內地址的報文的方式，以及通過SRv6域內節點丟棄目的地址是本地local SID且源地址不是SRv6域內地址的報文的方式，實現對域外攻擊流量的防御；跨安全域需要采用SRv6轉發時，可以采用Binding SID技術粘連SRv6安全域，隱藏拓撲，并在安全域邊界校驗Binding SID地址，丟棄非法報文，以防止域內信息泄露.其他技術手段還可采用HMAC校驗技術保護SRH，實現防仿冒、篡改、抵賴.

4 總 結

本文研究以探索5G場景下傳輸網絡面臨的安全風險和防護技術為目標，剖析5G傳輸網絡在外部接入、業務傳輸和網元管理方面的安全風險，并基于安全風險分析了相應的安全需求及關鍵的實現技術，對5G網絡在傳輸領域的應用安全性開展創新研究和技術儲備，融合入5G整體的安全性.