張如意 中國信息通信研究院安全研究所助理工程師

蘆 玥 中國信息通信研究院安全研究所助理工程師

1 引言

網(wǎng)絡(luò)功能虛擬化（NFV）技術(shù)是電信網(wǎng)絡(luò)軟件化以及云化的基礎(chǔ)，代表了未來電信網(wǎng)絡(luò)技術(shù)的演進(jìn)方向。其最初由全球13家主流的運(yùn)營商于2012年在SDN和OpenFlow世界大會上共同倡議提出，會上同意在ETSI（歐洲電信標(biāo)準(zhǔn)組織）下成立一個NFV產(chǎn)業(yè)標(biāo)準(zhǔn)工作組（簡稱ISG NFV），推動NFV的相關(guān)技術(shù)和標(biāo)準(zhǔn)工作。該技術(shù)提出的初衷是期望通過充分利用虛擬化技術(shù)（如云計(jì)算技術(shù)）以及具有工業(yè)級標(biāo)準(zhǔn)的大容量服務(wù)器等IT技術(shù)，提升運(yùn)營商網(wǎng)絡(luò)組網(wǎng)的靈活性以及硬件資源的利用率，最終達(dá)到降低運(yùn)營商CAPEX(資本性支出)和OPEX（運(yùn)營成本）的目的。

經(jīng)過近6年的發(fā)展，NFV技術(shù)的標(biāo)準(zhǔn)化工作已基本完成，包括NFV技術(shù)的功能需求、主體架構(gòu)、主要參考點(diǎn)接口協(xié)議等。目前，NFV ISG的標(biāo)準(zhǔn)工作主要集中在兩個方面：一是繼續(xù)完善和豐富NFV的功能和接口協(xié)議，如編排功能與安全管理網(wǎng)關(guān)之間的接口等；二是積極吸收新的能力特性和技術(shù)點(diǎn)，例如對容器技術(shù)、服務(wù)架構(gòu)等的支持。從運(yùn)營商期望實(shí)現(xiàn)網(wǎng)元軟硬件解耦的最初訴求來看，現(xiàn)有的NFV的標(biāo)準(zhǔn)已經(jīng)基本能夠滿足運(yùn)營商的組網(wǎng)需求。

目前，全球范圍內(nèi)已有部分NFV的商用部署案例，如韓國運(yùn)營商SKT，其在2017年新上線的4G核心網(wǎng)EPC設(shè)備80%都采用虛擬化的方式。各國運(yùn)營商首批實(shí)現(xiàn)虛擬化的網(wǎng)元通常都集中在核心網(wǎng)，如對IMS網(wǎng)絡(luò)、4G核心網(wǎng)EPC等的虛擬化。我國三大運(yùn)營商尚無商用網(wǎng)絡(luò)，但也在積極組建試驗(yàn)網(wǎng)，進(jìn)行NFV的技術(shù)試驗(yàn)。隨著5G商用步伐的臨近，作為5G核心網(wǎng)的關(guān)鍵技術(shù)之一的NFV，也將在全球范圍內(nèi)迎來大規(guī)模商用的浪潮。

2 NFV安全問題分析

與NFV技術(shù)的優(yōu)勢和產(chǎn)業(yè)化進(jìn)程相比，目前業(yè)界對NFV的安全問題關(guān)注并不多，相關(guān)研究工作進(jìn)展也比較緩慢。在NFV技術(shù)迎來大規(guī)模商用之前，有必要全面梳理一下NFV的安全問題，研究應(yīng)對技術(shù)及策略，為NFV技術(shù)的健康有序發(fā)展鋪平道路。

網(wǎng)絡(luò)設(shè)備引入NFV技術(shù)后，所面臨的安全問題可分成兩類，一類是與傳統(tǒng)網(wǎng)絡(luò)相同的網(wǎng)絡(luò)安全風(fēng)險，如DDoS攻擊、路由策略安全等；另一類是虛擬化技術(shù)所帶來的安全風(fēng)險，如內(nèi)存泄漏、隔離失效等?？紤]到通用網(wǎng)絡(luò)安全威脅在業(yè)界研究比較多，應(yīng)對技術(shù)也比較成熟，本文將重點(diǎn)討論分析虛擬化技術(shù)所帶來的安全威脅。

根據(jù)ETSI給出的NFV網(wǎng)絡(luò)架構(gòu)，NFV技術(shù)主要包括虛擬網(wǎng)元（VNF）、虛擬管理層（Hypervisor）和基礎(chǔ)設(shè)施層和編排管理（MANO）。其中，虛擬管理層負(fù)責(zé)將傳統(tǒng)硬件資源進(jìn)行虛擬化，按需組成邏輯虛機(jī)（VM），用于承載VNF應(yīng)用程序的運(yùn)行（見圖1）。下面將從NFV的基礎(chǔ)設(shè)施層、Hypervisor、VM、VNF和MANO五個方面詳細(xì)梳理NFV引入新的安全風(fēng)險。

2.1 基礎(chǔ)設(shè)施安全風(fēng)險

基礎(chǔ)設(shè)施層主要指NFV網(wǎng)絡(luò)環(huán)境中的硬件設(shè)施，包括統(tǒng)一的存儲資源、計(jì)算資源和網(wǎng)絡(luò)資源等。基礎(chǔ)設(shè)施層主要面臨的安全風(fēng)險包括：

●跨域數(shù)據(jù)泄漏。硬件基礎(chǔ)設(shè)施可能為不同的安全級別的租戶提供服務(wù)，當(dāng)不同安全級別的域之間傳遞數(shù)據(jù)時，有可能會出現(xiàn)跨不同安全域的信息泄漏。

●平臺安全防護(hù)能力下降。當(dāng)平臺運(yùn)行不可信的虛機(jī)時，整個硬件平臺的安全防護(hù)能力有可能會整體下降。這是由于虛擬環(huán)境中缺乏天然的物理隔離，針對單個虛機(jī)的威脅有可能會擴(kuò)散到整個平臺，影響到其他虛機(jī)的安全。

●密鑰安全。在虛擬環(huán)境中，如果密鑰管理機(jī)制缺乏安全防護(hù)機(jī)制，如存儲在不安全的區(qū)域，或采用低強(qiáng)度的加密機(jī)制將會給網(wǎng)絡(luò)和應(yīng)用帶來新的安全風(fēng)險。

●網(wǎng)絡(luò)配置安全。網(wǎng)絡(luò)配置錯誤或相應(yīng)的安全防護(hù)措施不足，都會影響運(yùn)行在基礎(chǔ)設(shè)施層上所有的軟件和應(yīng)用?？紤]到虛擬資源池的規(guī)模，虛擬環(huán)境下的網(wǎng)絡(luò)配置所面臨的安全風(fēng)險比傳統(tǒng)網(wǎng)絡(luò)中的安全風(fēng)險更大，所產(chǎn)生的影響也更大。

2.2 Hypervisor安全風(fēng)險

Hypervisor是虛擬化的關(guān)鍵技術(shù)，它可以是軟件、硬件或固件，它運(yùn)行在特定的主計(jì)算機(jī)系統(tǒng)上，創(chuàng)建客戶虛機(jī)，并負(fù)責(zé)虛機(jī)的運(yùn)行和監(jiān)測。

由于Hypervisor的特殊性，整個處于Hypervisor控制下的虛擬環(huán)境對Hypervisor來說沒有任何秘密可言。通過基于Hypervisor的自?。↖ntrospection）技術(shù)能夠查看、注入或修改NFV的操作狀態(tài)信息。通過對這些狀態(tài)信息的訪問可以任意讀寫內(nèi)存、存儲器中的內(nèi)容以及密鑰庫和其他NFV操作信息。

Hypervisor自省技術(shù)又分為管理性自省模式和處理性自省模式。其中，管理性自省模式可以啟用管理員、根賬號或超級用戶賬號，可以獲得系統(tǒng)資源的完全訪問權(quán)，能夠查看或修改系統(tǒng)內(nèi)存中存儲的私鑰、對稱密鑰、密碼等高度敏感信息，以及NFV環(huán)境的網(wǎng)絡(luò)系統(tǒng)配置等信息。通過自省技術(shù)修改日志、報(bào)告和告警等信息，能夠?qū)崿F(xiàn)隱藏惡意訪問和擦除攻擊痕跡的目的。

鑒于Hypervisor在NFV環(huán)境中的重要性，Hypervisor已經(jīng)成為一些惡意軟件天然的攻擊目標(biāo)。目前，有一款名為“Hyper-jacking”的惡意軟件，就是通過滲透到一個虛機(jī)后，對Hypervisor發(fā)起攻擊。一旦Hypervisor被攻克，基于該Hypervisor的所有虛機(jī)都將處于非安全的環(huán)境當(dāng)中。

由此可見，Hypervisor自省技術(shù)給NFV生態(tài)的私密性、完整性以及可用性都帶來嚴(yán)重的安全風(fēng)險。對Hypervisor的安全防護(hù)非常關(guān)鍵。

2.3 虛機(jī)安全風(fēng)險

圖1 NFV基本架構(gòu)

虛機(jī)面臨的安全威脅和風(fēng)險主要體現(xiàn)在以下4個方面：

（1）休眠或離線的虛機(jī)可能會的引入新的安全風(fēng)險。在NFV環(huán)境下，休眠或離線的虛機(jī)很容易被重新喚醒連入網(wǎng)絡(luò)，如果這些虛機(jī)沒有及時更新最新的安全補(bǔ)丁，就可能會給整個虛擬網(wǎng)絡(luò)帶來巨大的安全風(fēng)險。

（2）不安全虛機(jī)容易快速蔓延。由于虛機(jī)可以通過鏡像文件克隆的方式安裝，如果源虛機(jī)存在安全風(fēng)險，那么虛擬網(wǎng)絡(luò)中可能會因鏡像文件的大量復(fù)制而降低整個網(wǎng)絡(luò)的安全性。

（3）流量的安全監(jiān)控困難。傳統(tǒng)基于硬件的網(wǎng)絡(luò)中會通過監(jiān)測防火墻、路由器等設(shè)備的流量進(jìn)行安全分析，但在虛擬環(huán)境中大量流量僅在內(nèi)部進(jìn)行交換，不經(jīng)過外部的防火墻、路由器等設(shè)備，對這一部分流量的安全監(jiān)控比較困難。

（4）虛機(jī)中敏感數(shù)據(jù)保護(hù)難度大。虛機(jī)的鏡像文件中不應(yīng)包含一些敏感信息，如系統(tǒng)密碼、密鑰、證書以及一些用戶的隱私信息等，只有在虛擬啟動的時候再注入虛機(jī)中，這些敏感信息的保護(hù)和分發(fā)是個問題。黑客或非授權(quán)的內(nèi)部員工很容易通過在虛機(jī)鏡像中注入惡意代碼后獲取這些敏感數(shù)據(jù)。此外，鏡像文件的私鑰分配也是個問題，不同的鏡像是否采用不同的私鑰，這也需要結(jié)合具體應(yīng)用場景來確定。

2.4 VNF安全風(fēng)險

VNF的安全風(fēng)險主要存在于VNF內(nèi)部、VNF之間以及VNF與外部實(shí)體之間。具體主要表現(xiàn)在以下3個方面：

一是管理域較多，權(quán)限管理復(fù)雜。在NFV環(huán)境中，存在多種管理者角色，如基礎(chǔ)設(shè)施的管理者、租戶的管理者，MANO管理者。如果存在多租戶，不同租戶的管理者也是不同的。這些管理者的管理職責(zé)不同，需要劃分不同的管理域，彼此之間需要隔離。而一個VNF的創(chuàng)建，可能會跨越多個管理域，如租戶管理域、基礎(chǔ)設(shè)施域、MANO域等。這種相互交叉有需要隔離的需求，對權(quán)限的設(shè)置和劃分提出很高要求。

二是虛擬環(huán)境的調(diào)試和監(jiān)測功能有可能成為系統(tǒng)后門。傳統(tǒng)的網(wǎng)元都會具有系統(tǒng)調(diào)測和監(jiān)測功能，而且有可能用于遠(yuǎn)程操作。這些功能主要用于故障定位、系統(tǒng)狀態(tài)監(jiān)測等目的。但在虛擬環(huán)境中，這些功能很可能給系統(tǒng)引入安全風(fēng)險。

三是VNF的通信安全。VNF之間通信以及VNF與外部網(wǎng)元的通信可能共用虛擬交換機(jī)，共用物理網(wǎng)卡，通信數(shù)據(jù)存在被旁路監(jiān)聽甚至惡意篡改的風(fēng)險。

2.5 MANO安全風(fēng)險

MANO是NFV架構(gòu)特有的關(guān)鍵模塊，主要負(fù)責(zé)對虛擬資源的編排和管理，負(fù)責(zé)VNF的創(chuàng)建和生命周期管理。MANO可能存在的安全風(fēng)險包括：

●未經(jīng)授權(quán)任意創(chuàng)建或刪除虛擬網(wǎng)元，嚴(yán)重影響網(wǎng)絡(luò)的完整性、可用性和安全性。

●MANO可以在VNF實(shí)例化過程中，從安全管理網(wǎng)關(guān)獲取虛擬網(wǎng)元配置信息、證書及密鑰等，所以MANO可能被黑客利用實(shí)現(xiàn)對虛擬網(wǎng)元的攻擊。

3 安全應(yīng)對技術(shù)探討

針對虛擬化技術(shù)以及NFV技術(shù)帶來的安全風(fēng)險，國際上有不少標(biāo)準(zhǔn)組織以及技術(shù)論壇都給出了相關(guān)的指導(dǎo)意見。例如，ISO/IEC 21878分別從虛擬服務(wù)器的生命周期的安全管理、設(shè)計(jì)階段的安全考慮、實(shí)現(xiàn)階段安全檢查清單都給出一些具體的建議；ETSI GS NFVSEC 012則側(cè)重于對NFV敏感數(shù)據(jù)的保護(hù)給出了一些原則性的建議；ETSI GR NFV-SEC 003則給出了提高NFV安全性和可信任度的指南。這些標(biāo)準(zhǔn)對研究NFV技術(shù)的安全都具有很好的借鑒意義。

目前，國際上提的比較多的可提升NFV安全性的關(guān)鍵技術(shù)有TPM（可信平臺模塊）、HSM（硬件安全模塊）、UEFI（標(biāo)準(zhǔn)可擴(kuò)展固件接口）、HMEE（硬件輔助運(yùn)行專屬區(qū)域）等，其中：

●TPM是計(jì)算機(jī)主板上的一種專用硬件芯片，用來存儲系統(tǒng)私鑰、BIOS開機(jī)密碼以及硬盤密碼等關(guān)鍵信息，可實(shí)現(xiàn)硬盤鎖定保護(hù)，此外還可以產(chǎn)生、存儲和保護(hù)加解密過程中的產(chǎn)生的其他密鑰。TPM常用作系統(tǒng)的信任根，通過信任的派生和傳遞，逐級構(gòu)建出一系列可信節(jié)點(diǎn)。

●HSM與TPM功能類似，主要的區(qū)別在于TPM內(nèi)嵌在服務(wù)器中，如果所購服務(wù)器不包含TPM芯片，想以后升級時再新增則基本不太可能。而HSM是服務(wù)器之外的設(shè)備，可以根據(jù)需要隨時增加。HSM已經(jīng)廣泛應(yīng)用于電子發(fā)票、線上信用卡支付、電子護(hù)照等領(lǐng)域。

●UEFI是校驗(yàn)已簽名的固件和軟件的架構(gòu)和機(jī)制，由UEFI論壇標(biāo)準(zhǔn)化。雖然UEFI尚未得到廣泛應(yīng)用，但是基于UEFI的安全啟動，可以有效地發(fā)現(xiàn)BIOS配置、啟動順序、Hypervisor和操作系統(tǒng)的非授權(quán)變化，從而確保啟動的安全，有效防御Rootkit（一種獲取根用戶權(quán)限的惡意軟件）和重啟攻擊。

●HMEE是指基于硬件的一塊專門用來運(yùn)行特定程序代碼的區(qū)域或內(nèi)存。它可以確保在該區(qū)域內(nèi)運(yùn)行的程序免于遭受竊聽、重放和修改。

除了部署必要的安全技術(shù)手段之外，為進(jìn)一步提高NFV環(huán)境的安全，還需要增加一些配套的安全管理措施。針對前面提到的NFV五大關(guān)鍵部件所存在的安全問題，結(jié)合國際標(biāo)準(zhǔn)的建議，表1對各部件所適用的安全應(yīng)對技術(shù)以及措施分別作了梳理。

NFV環(huán)境的安全防護(hù)是一個系統(tǒng)工程，安全防護(hù)技術(shù)和措施，無論是針對傳統(tǒng)物理網(wǎng)絡(luò)的還是針對虛擬網(wǎng)絡(luò)的，對提升NFV環(huán)境的安全性都是有益的。運(yùn)營商在實(shí)際部署過程中可能會結(jié)合成本等其他因素對這些技術(shù)和措施進(jìn)行取舍。但無論如何取舍，都應(yīng)優(yōu)先保障基礎(chǔ)設(shè)施層和Hypervisor層的安全。在這些應(yīng)對技術(shù)和措施中，基于硬件的虛擬化安全技術(shù)是構(gòu)建整個虛擬環(huán)境安全的基礎(chǔ)，而安全的認(rèn)證機(jī)制和加密機(jī)制是確保虛擬網(wǎng)元以及數(shù)據(jù)安全的關(guān)鍵，在部署NFV技術(shù)時建議優(yōu)先給以考慮。

4 結(jié)束語

NFV的初衷是為了減少運(yùn)營商的CAPEX/OPEX、提高網(wǎng)絡(luò)和業(yè)務(wù)不熟的靈活性，但由于其改變了網(wǎng)元原有的基于硬件的天然保護(hù)屏障，引入了新的安全風(fēng)險。為了解決虛擬化帶來安全風(fēng)險，運(yùn)營商可能還需要投入更多的人力、物力和財(cái)力，例如新增安全設(shè)備、升級擴(kuò)容現(xiàn)有網(wǎng)絡(luò)資源（用以支持部署安全技術(shù)及措施帶來的性能損耗）等，這顯然與運(yùn)營商降低成本的初衷是相矛盾的。總之，NFV作為一項(xiàng)新興技術(shù)，存在問題是正常的，只是在其大規(guī)模部署應(yīng)用之前，需要業(yè)界能夠更加全面客觀地評估其所存在的安全問題，并研究和完善相關(guān)的應(yīng)對技術(shù)。雖然國際標(biāo)準(zhǔn)給出了一些應(yīng)對建議，但很多技術(shù)是以犧牲NFV的靈活性以及網(wǎng)絡(luò)性能為代價的，而且有些安全技術(shù)的有效性也有待檢驗(yàn)。所以，NFV安全問題的研究應(yīng)是今后幾年產(chǎn)業(yè)界共同努力的一個重要方向。

表1 提升NFV安全性的關(guān)鍵技術(shù)和措施

為此，建議我國產(chǎn)業(yè)界在關(guān)注NFV技術(shù)優(yōu)勢的同時，也適當(dāng)關(guān)注NFV的安全問題，一方面是加強(qiáng)NFV安全應(yīng)對技術(shù)的研究，找到NFV技術(shù)的靈活性和安全性之間的平衡點(diǎn)，推動我國NFV安全標(biāo)準(zhǔn)和基于虛擬化技術(shù)安全防護(hù)標(biāo)準(zhǔn)的制定，指導(dǎo)業(yè)界安全可靠地部署NFV網(wǎng)絡(luò)；另一方面是適時啟動對NFV網(wǎng)絡(luò)的安全動態(tài)監(jiān)測，分析針對NFV技術(shù)的安全威脅，評估安全應(yīng)對技術(shù)或措施的有效性，不斷提高NFV網(wǎng)絡(luò)的安全防護(hù)能力。

中國鐵塔與11家新能源汽車企業(yè)簽署戰(zhàn)略合作協(xié)議，推進(jìn)動力電池梯次利用

為落實(shí)工信部等7部委下發(fā)的《關(guān)于做好新能源汽車動力蓄電池回收利用試點(diǎn)工作的通知》精神，中國汽車工業(yè)協(xié)會、中國電動汽車動力電池產(chǎn)業(yè)創(chuàng)新聯(lián)盟10月31日在京召開“2018年新能源汽車動力蓄電池回收利用體系論壇”。作為動力電池梯級利用主體企業(yè)，中國鐵塔與11家新能源汽車主流企業(yè)簽署了戰(zhàn)略合作協(xié)議，進(jìn)一步推進(jìn)動力電池梯次利用，實(shí)現(xiàn)綠色發(fā)展。

根據(jù)協(xié)議，中國鐵塔將與新能源汽車企業(yè)按計(jì)劃、有步驟、分批次地組織開展全國范圍內(nèi)的退役動力電池回收合作，網(wǎng)點(diǎn)及人員對接。中國鐵塔將繼續(xù)秉承共享發(fā)展理念，利用自身及代維等合作單位遍布全國的資源，為新能源汽車企業(yè)提供退役電池回收的網(wǎng)點(diǎn)支撐服務(wù)，負(fù)責(zé)整個回收體系的運(yùn)營、人員、管理、物流、倉儲等工作。