基于零信任的5G網(wǎng)絡切片安全研究

項海波,鮑聰穎,,孫 健,吳 昊,田亞偉

(1.寧波永耀電力投資集團有限公司,浙江 寧波 315099;2.國網(wǎng)浙江省電力有限公司寧波供電公司,浙江 寧波 315016;3.上海交通大學寧波人工智能研究院,浙江 寧波 315000;4.上海交通大學電子信息與電氣工程學院,上海 200240)

0 引言

5G網(wǎng)絡技術為應用場景的多樣化提供了更多可能。第三代合作伙伴計劃(3rd generation partnership project,3GPP)定義了5G網(wǎng)絡的三大應用場景,分別是增強移動寬帶(enhance mobile broadband,eMBB)、大規(guī)模機器類通信(massive machine type of communication,mMTC)和高可靠低時延通信(ultra-reliable low latency communication,uRLLC)。不同場景下的業(yè)務需求各不相同。為滿足靈活、高效的運營需求,3GPP正式提出了網(wǎng)絡切片(network slicing,NS)的概念。

NS[1]是按業(yè)務需求邏輯劃分的獨立網(wǎng)絡。每個切片都具備定制化的網(wǎng)絡資源。一方面,NS技術的發(fā)展有效滿足了用戶各自的業(yè)務需求,使得運營商能夠提供定制化的服務、降低成本;另一方面,NS的引入使得網(wǎng)絡結構愈加復雜,也引發(fā)了更加棘手的網(wǎng)絡安全問題[2]。現(xiàn)有技術,如防火墻[3]、虛擬專網(wǎng)(virtual private network,VPN)[4]、入侵檢測[5]等將網(wǎng)絡劃分為內(nèi)外域,無法避免從內(nèi)部信任域發(fā)起的惡意攻擊;同時,內(nèi)網(wǎng)中大量數(shù)據(jù)的交換也為攻擊者提供了更廣泛的攻擊面。Li等[6]提出在5G網(wǎng)絡中引入防篡改、可追溯的區(qū)塊鏈技術,以保護網(wǎng)絡通信過程數(shù)據(jù)隱私安全。但區(qū)塊鏈只能保護鏈上數(shù)據(jù),無法保證數(shù)據(jù)端到端的安全可靠。

針對NS現(xiàn)有安全技術存在的缺陷,本文基于零信任持續(xù)驗證的理念、結合軟件定義安全邊界(software defined perimeter,SDP)技術設計切片的安全架構,建立虛擬邊界,對網(wǎng)絡訪問業(yè)務進行實時監(jiān)控并動態(tài)調(diào)整策略。這可有效保護訪問客體資源安全。在零信任的信任管理中,本文基于服務質(zhì)量(quality of service,QoS)參數(shù)提出了能夠?qū)崟r反映訪問主體行為的可信度量方法。

1 5G NS安全分析

1.1 端到端的NS

NS作為5G網(wǎng)絡的重要特征之一,本質(zhì)是一個端到端的網(wǎng)絡。端到端的切片結構如圖1所示。

圖1 端到端的切片結構

切片網(wǎng)絡由接入網(wǎng)、承載網(wǎng)、核心網(wǎng)組成,覆蓋終端、云端,通過端管云協(xié)同為用戶提供優(yōu)質(zhì)業(yè)務體驗。當切片運行時,不可避免地會與不同用戶、設備乃至不同切片通信。同一切片內(nèi)的接入網(wǎng)子切片與核心網(wǎng)子切片也會進行交互。這些訪問控制過程中,攻擊者都有可能對切片發(fā)起攻擊,造成嚴重后果[7]。

當前的切片安全方案主要有兩個方面:一是切片的安全認證;二是切片的軟、硬隔離。無論是切片的認證還是隔離,都在一定程度上提高了切片通信的安全性。但這并不能滿足當下復雜5G網(wǎng)絡環(huán)境中的動態(tài)安全需求。

1.2 切片的認證安全

切片普遍采用基于可擴展認證協(xié)議[8](extensible authentication protocol,EAP)框架下的認證協(xié)議,進行認證授權。終端用戶通過無線接入網(wǎng)向核心網(wǎng)發(fā)送帶有用戶切片選擇信息的注冊請求,進而觸發(fā)一系列認證響應過程,即主認證與二次認證過程。

基于EAP框架下的切片認證雖然有效避免了非法訪問造成的切片信息泄漏、竊聽等安全問題,提高了切片認證的安全性,但也存在很多不足。切片的認證體系在經(jīng)過對用戶進行驗證授權后,并不能持續(xù)監(jiān)測用戶的后續(xù)行為、實時改進信任決策和訪問權限。特別是對于已經(jīng)授權的內(nèi)網(wǎng)用戶,其屬于“一次認證,長期信任”。當攻擊者對切片發(fā)起拒絕服務(denial of service,DoS)攻擊與分布式拒絕服務(distributed DoS,DDoS)攻擊時,現(xiàn)有的認證機制并不能區(qū)分正常用戶請求與攻擊請求,從而會極大地消耗網(wǎng)絡計算資源。

1.3 切片的隔離安全

切片隔離有軟、硬隔離之分。硬隔離即物理隔離,通過硬件資源的劃分實現(xiàn)。軟隔離即邏輯隔離,將不同切片功能虛擬化,使用虛擬機或容器建立隔離機制,保障切片內(nèi)外安全[9]。NS的端到端隔離,一方面可以避免切片之間發(fā)生資源相互競爭,進而影響切片的正常部署和運行;另一方面也可以避免因單個切片的異常對其他切片安全產(chǎn)生影響。

無論是硬隔離還是軟隔離,都是建立在傳統(tǒng)的有內(nèi)外之分的網(wǎng)絡環(huán)境上的。當前,由于應用的設備、程序、資源等都在無處不在的云環(huán)境中,移動用戶能夠通過Wi-Fi、VPN等工具隨時隨地進入內(nèi)網(wǎng)獲得訪問權限,即合法用戶也能發(fā)起攻擊;而非法用戶可以繞過外網(wǎng)隔離措施,進入內(nèi)網(wǎng)進行破壞活動。

2 基于零信任的NS安全

2.1 零信任模型

傳統(tǒng)的網(wǎng)絡環(huán)境根據(jù)網(wǎng)絡資源本身的敏感性與保密級別,將資源部署在擁有不同信任等級的網(wǎng)絡區(qū)域。零信任通用模型如圖2所示。

圖2 零信任通用模型

不同網(wǎng)絡區(qū)域通過防火墻進行訪問隔離。但隨著接入設備種類、數(shù)量的不斷增長,安全邊界日益模糊,攻擊者在通過身份認證后可以繞過訪問系統(tǒng)、防火墻等檢測,進而在內(nèi)部網(wǎng)絡進行一系列惡意操作。因此,這種區(qū)分不同信任等級的傳統(tǒng)安全防護體系正在逐漸失效。

這種情況下,“永不信任”與“持續(xù)驗證”的零信任理念應運而生。

在零信任安全架構中[10],假設所有網(wǎng)絡區(qū)域都具有危險性,那么位于任何網(wǎng)絡區(qū)域中的設備、設備間的通信、資源的訪問主體均不可信。因此,必須對訪問主體實時監(jiān)測并動態(tài)授權,一旦發(fā)現(xiàn)異常行為就及時限制權限或者中斷風險會話。

此外,美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)還提出了另一種實現(xiàn)零信任的技術——SDP。SDP作為現(xiàn)有零信任架構的補充,用軟件定義的邊界作為覆蓋網(wǎng)絡保護資源,通過單包授權(single packet authorization,SPA)協(xié)議實現(xiàn)網(wǎng)絡隱身。其通信端口默認不對主體開放,只有發(fā)送SPA數(shù)據(jù)包進行身份核驗才能訪問網(wǎng)關后的客體資源。

2.2 基于零信任的切片安全架構

基于現(xiàn)有零信任方案加以改進,結合SDP技術的切片安全架構如圖3所示。

圖3 切片安全架構

整個架構劃分為數(shù)據(jù)平面與控制平面。數(shù)據(jù)平面主要負責終端與業(yè)務資源的通信交互。控制平面是整個系統(tǒng)的關鍵部分,負責對數(shù)據(jù)平面進行策略制定與控制。

數(shù)據(jù)平面包含接入終端、切片、網(wǎng)關和業(yè)務資源。終端用戶包括待接入的設備、系統(tǒng)和應用等。切片包括下一代基站(gNB)以及用戶平面功能(user plane function,UPF)、接入和移動性管理功能(access and mobility management function,AMF)、會話管理功能(session management function,SMF)等網(wǎng)元。網(wǎng)關即訪問代理則部署在資源側,有效隔離切片網(wǎng)絡與業(yè)務資源。其中,專網(wǎng)用戶安裝了定制的SDP客戶端,在經(jīng)過切片二次認證后還需要通過客戶端向控制器和網(wǎng)關發(fā)送SPA報文進行身份核驗后才能獲取服務信息,以使用切片網(wǎng)絡進行通信。控制平面則通過控制器實時監(jiān)控訪問主體,并根據(jù)可信度量算法動態(tài)授予訪問權限。

所設計的基于零信任的切片安全架構結合切片原有的認證與隔離安全機制,可以利用控制器與網(wǎng)關充當“中間人”角色,有效隔離用戶與資源。其中,控制器對用戶的訪問全過程進行實時監(jiān)控,實現(xiàn)了“一次安全”到“實時安全”的轉變。相比傳統(tǒng)強調(diào)區(qū)域的安全,基于零信任的切片安全強調(diào)5G網(wǎng)絡環(huán)境中的內(nèi)生安全,旨在保持NS靈活性、可拓展性的同時,增強網(wǎng)絡的安全性和可靠性。

零信任網(wǎng)絡連接時序如圖4所示。

圖4 零信任網(wǎng)絡連接時序

2.3 基于QoS的可信度量

零信任切片安全架構的關鍵是判定用戶行為的可信度量方法。在工業(yè)自動化場景下,其主要有運動控制、控制器間通信、過程自動化、移動機器人等用例。不同用例的業(yè)務需求各不相同[11]。例如,運動控制需求是傳輸速率大于1 bit/s、時延小于1 ms、通信服務可靠性99.999 9%～99.999 999%;控制器間通信需求是傳速速率5～10 Mbit/s、時延小于10 ms、通信服務可靠性大于99.999 9%。用戶在選擇接入時,會按照業(yè)務需求選擇對應的切片類別,即接入不同切片用戶的QoS參數(shù)也不同。與預設切片參數(shù)區(qū)間偏離越大,代表用戶的信任度越低、權限越小。一些信任度低的用戶甚至沒有訪問權限。5G標準化QoS特征示例如表1所示[12]。

表1 5G標準化QoS特征示例

由于篇幅限制,表1只列舉了部分特征描述。其中:5G服務質(zhì)量標識(QoS identifier,QI)對應不同場景下的QoS屬性要求;承載的保證比特率(guaranteed bit rate,GBR)類型表示要預留一定的帶寬;互聯(lián)網(wǎng)協(xié)議(internet protocol, IP)地址多媒體子系統(tǒng)(IP multimedia subsystem,IMS)表示在IP基礎上構建開放核心網(wǎng)控制架構。

以任意切片為例,對于QoS參數(shù),定義1組向量Q=(Q1,Qx,…,Qi,…,Qn)。其中,Qi為第i個QoS屬性偏離程度歸一化結果,0≤Qi≤1,1≤i≤n。參考表1中的QoS特征,本文選取可用性(Q1)、可靠性(Q2)和實時性(Q3)這3個指標參與信任計算。

(1)

式中:Vr、V0分別為當前實時監(jiān)測的傳輸速率和切片的預置傳輸速率即期望的傳輸速率,Mbit/s;K1為靈敏度,根據(jù)容許偏差范圍設置。

(2)

式中:Dr、Dt分別為接收到的數(shù)據(jù)包數(shù)與發(fā)送的總數(shù)據(jù)包數(shù),byte;Pr、P0分別為當前丟包率與切片預置的丟包率,Pr、P0∈[0,1]。

(3)

式中:Tr、T0分別為當前實時監(jiān)測得到的時延數(shù)據(jù)和切片的預期時延,ms;K2為靈敏度。

(4)

控制器根據(jù)計算得到信任度劃分閾值Δ:大于Δ設為可信,允許訪問切片資源;小于Δ設為不可信,拒絕或中斷風險會話。

3 仿真與結果分析

3.1 試驗設置

本文采用Matlab軟件對基于QoS參數(shù)的可信度量計算式進行仿真試驗。試驗假設當前場景下傳輸速率偏差在10 Mbit/s內(nèi)、丟包率偏差在0.2內(nèi)、時延偏差在1.5 ms內(nèi)為正常用戶,超出偏差范圍則為惡意用戶。試驗以t=1為初始時刻,觀察20個單位時間內(nèi)信任度變化,并將信任初始值均設為0。每次用戶QoS參數(shù)更新代表新一次的通信。信任度動態(tài)更新。試驗中初始參數(shù)設置如表2所示。

表2 初始參數(shù)設置

3.2 結果分析

用戶的信任度變化曲線如圖5所示。

圖5 用戶的信任度變化曲線

由圖5(a)可知:正常用戶由于滿足當前接入切片類型的QoS值區(qū)間,信任度在較高的區(qū)間波動;惡意用戶偏離接入切片類型的QoS值區(qū)間,信任度始終維持在數(shù)值較低的區(qū)間;被攻擊者惡意劫持的正常用戶,初始經(jīng)過身份驗證為正常用戶,被攻擊者控制后行為偏離接入切片類型,信任度在某個時間點驟降。因此,無論是正常用戶、惡意用戶還是劫持用戶,控制器都能夠根據(jù)實時輸出的信任度作出相應的判斷。該結果驗證了度量算法是實時、有效的。此外,試驗允許的誤差范圍已經(jīng)給出,不難計算得到閾值:

(5)

圖5(a)中,正常用戶信任度始終大于閾值,而惡意用戶在閾值以下,符合試驗設置。由圖5(b)可知,調(diào)節(jié)因子越小,曲線滯后越明顯,對歷史信任度的參考越多。當α為1時,不考慮歷史信任度的實時曲線。雖然實時性強,但未參考歷史信任度導致波動較大。α為0.4、0.2、0.1時曲線更為平滑,滯后明顯,與實時曲線差距大,實時性不足。零信任更多強調(diào)對用戶的實時驗證,但歷史信任度反應用戶的歷史行為具有一定參考價值。當α為0.8時,曲線既接近實時曲線又能反映歷史信任度的考量。因此,α取0.8較為合適。根據(jù)推導得到的閾值Δ=0.46。信任初值應該在閾值以下,否則會對未來時間內(nèi)的信任度產(chǎn)生影響。試驗中,信任初值設為0較合理,并且默認不信任任何用戶。

現(xiàn)有的可信度量方法是基于信任屬性的,因此信任屬性的選擇直接關系到度量結果的優(yōu)劣。常見的信任屬性包括設備、身份、位置等。但這類信任屬性屬于固有屬性,并不能動態(tài)反映接入主體的行為。而基于QoS參數(shù)的可信度量算法中,QoS相關參數(shù)直接可以從切片網(wǎng)絡中獲取,是用戶通過切片訪問業(yè)務資源產(chǎn)生的數(shù)據(jù)。其實時跟蹤主體的動態(tài)行為。這不易被偽造,因而能夠滿足零信任對于可信度量方法實時性與準確性的要求。這是其他信任屬性難以達到的效果。

4 結論

本文針對5G NS的安全問題,分析現(xiàn)有認證與隔離技術存在的天然缺陷,提出了一種基于零信任的切片安全架構。該架構由傳統(tǒng)“一次認證,長期信任”過渡為“永不信任,持續(xù)驗證”,可以作為現(xiàn)有安全技術的補充,從而提高切片內(nèi)生安全性。

用戶與切片通信過程中,一旦發(fā)現(xiàn)異常,控制器會通過網(wǎng)關及時切斷風險會話,能夠有效保護切片認證訪問過程的安全。為了實現(xiàn)對用戶信任的實時度量,本文引入了基于QoS參數(shù)的可信度量方法,并通過仿真試驗驗證了該方法在度量過程中的有效性。這為實現(xiàn)細粒度的訪問控制決策奠定了基礎。雖然基于零信任的切片安全架構能夠有效增強網(wǎng)絡內(nèi)生安全性,但零信任控制器本身也有可能遭到惡意攻擊。因此,如何保證零信任控制器始終安全將是零信任未來的研究方向之一。