羅成

(廣東南方電信規(guī)劃咨詢設計院有限公司,廣東深圳 518000)

1 NFV安全的概述

NFV技術是構(gòu)建5G承載和5G核心網(wǎng)的關鍵技術之一,其理念就是基于通用的、標準的服務器與存儲平臺,利用虛擬化技術,承載各類功能的軟件,由虛擬化后的網(wǎng)元替代封閉體系下的通信設備,從而統(tǒng)一集約建設硬件平臺的目的。隨著數(shù)字業(yè)務的大發(fā)展和5G通信能力的大幅提升,要求網(wǎng)絡運營商必須在研發(fā)、運營、服務三種模式都做出各方面的改變[1]。NFV的技術架構(gòu)圖1所示,針對網(wǎng)絡虛擬化應用的特性將NFV架構(gòu)分為三層:(1)NFVI。(2)虛擬通信業(yè)務層。(3)運營支撐層。采用NFV技術對5G網(wǎng)絡網(wǎng)元的軟硬件解耦,并結(jié)合云計算技術實現(xiàn)承載網(wǎng)絡和核心網(wǎng)的云化部署,通過網(wǎng)絡控制和轉(zhuǎn)發(fā)分離等技術,可以實現(xiàn)5G網(wǎng)絡按照不同要求敏捷部署、資源的動態(tài)擴縮容,可實現(xiàn)各種網(wǎng)絡功能和應用模塊的開發(fā)、上線、運營。

圖1 NFV技術架構(gòu)圖Fig.1 NFV technology architecture diagram

2 NFV新的安全挑戰(zhàn)

NFV技術由于其開放性,對5G的網(wǎng)絡安全提出了新挑戰(zhàn)。NFV的安全問題大致可以分為兩種,一種是與傳統(tǒng)網(wǎng)絡安全問題,另一類是在5G網(wǎng)絡引入NFV后特有安全問題。傳統(tǒng)安全問題在學術界和工程界研究較多,應對策略非常成熟,不再贅述。因此,本文將重點分析NFV技術在特殊需求場景下的安全問題。本節(jié)描述6個典型的NFV安全需求場景[2]。

2.1 多租戶托管

此場景為平臺運營者在其經(jīng)營或擁有的NFVI上為其他一個或多個VNF運營者提供主機服務。平臺運營者需確保由其他運營者保有的敏感進程、算法和數(shù)據(jù)不能被NFVI運營者查看或更改,無論是有意還是無意的。

2.2 基礎設施即服務

基礎設施即服務(IaaS)場景為服務提供者為第三方提供基礎設施服務,并須確保其自身不能查看或更改虛擬應用中的數(shù)據(jù)或算法。嚴格意義講,IaaS不屬于純粹的NFV應用場景,但安全需求是共通的。IaaS運營者也有保證其租戶的敏感進程、加密密鑰等安全的責任。

2.3 敏感應用

在此場景下,運營商實施了訪問控制和安全域隔離策略,需要將敏感應用功能從其他網(wǎng)絡功能中分離出來,典型的敏感應用如3GPP AUC和HSS等。與其他網(wǎng)絡功能相比,一般情況下運營商網(wǎng)絡內(nèi)此類敏感功能類似于“孤島”,且僅允許有限管理員訪問。其安全需求:(1)引導時VNFI可能會驗證數(shù)據(jù)庫、靜態(tài)配置數(shù)據(jù)和應用根密鑰鏈的完整性。(2)運行時需保證敏感功能的完整性,其缺失可能會導致整個虛擬網(wǎng)絡和服務的完整性缺失。(3)需保證密碼相關應用功能的數(shù)據(jù)機密性。(4)需保證密碼相關應用功能或用戶數(shù)據(jù)庫的數(shù)據(jù)相關元數(shù)據(jù)的機密性。(5)某些功能為防止對密碼功能的攻擊需要隱藏資源使用情況。(6)密鑰、加密算法和其他敏感信息需要安全存儲。(7)密鑰、加密算法和需保護的消費者數(shù)據(jù)需要安全清除。

2.4 網(wǎng)絡監(jiān)測和控制

此場景下,運營商實施了受限的訪問控制和安全域隔離,需要將監(jiān)控功能從其他網(wǎng)絡功能中分離出來。例如如路由器、防火墻、分組報文監(jiān)測過濾器和其他網(wǎng)絡防御功能等均存在監(jiān)控功能,在虛擬化時應該考慮將監(jiān)控功能的分離出來。其安全需求如:(1)在引導和運行時,考慮到這些功能控制著其他VNF的訪問且有助于網(wǎng)絡防御,需保證其完整性。(2)考慮到這些功能控制著其他VNF的訪問且有助于網(wǎng)絡防御,需確保正確的定位和定位認定。(3)某些功能用來抵御病毒或其他攻擊、觀測密碼或用戶業(yè)務數(shù)據(jù),需保證其能夠安全清除。(4)考慮到這些功能控制著其他VNF的訪問且有助于網(wǎng)絡防御,需認定其操作的正確性。

2.5 合法監(jiān)聽

合法監(jiān)聽(LI)場景安全需求:(1)當此功能不可用時,能夠通過快速監(jiān)測和LI業(yè)務缺失報告及時觸發(fā)修正流程,確保功能可用。(2)LI只能在頒布了相關授權的國家實施。(3)目標列表作為關鍵信息應該受到保護,僅有恰當?shù)腖I功能方能對其進行讀取或修改。監(jiān)聽產(chǎn)品到LEA的遞交路徑也應保證機密性。(4)需保證元數(shù)據(jù)、流程及相關元數(shù)據(jù)的機密性。(5)需隱藏資源使用情況,當LI發(fā)生時可以減少被察覺的幾率。當LI開始或結(jié)束時,要求未授權實體幾乎察覺不到任何變化。另外,LI流量統(tǒng)計數(shù)據(jù)不應輕易被判別出來。(6)LI管理和監(jiān)聽產(chǎn)品遞交均應保證安全的通信。(7)應保證目標列表的安全存儲。(8)宿主業(yè)務的信任需要來自外部實體,可以是NFV平臺內(nèi)部的TPM或外部可信實體,此時需使用LI功能硬件鑒別信任根。(9)需確保工作負載配置策略正確且合理。如當業(yè)務遷移時需確保目標業(yè)務不會遷移到LI不能或不宜實施的點。

2.6 數(shù)據(jù)留存

數(shù)據(jù)留存場景安全需求:(1)當此功能不可用時,能夠通過快速監(jiān)測和留存數(shù)據(jù)業(yè)務缺失報告及時觸發(fā)修正流程,確保功能可用。(2)需明確知悉留存數(shù)據(jù)存儲位置,進而按照相關安全法律執(zhí)行相關操作。(3)需確保關注主題列表的機密性,不管是出于操作原因還是保護關注主題隱私的目的。(4)需保證請求和響應間安全的通信。(5)當請求被響應時,請求內(nèi)容應該被安全存儲。一旦查詢請求被響應,關于何時刪除請求和響應,需遵循國家規(guī)定和需求。如果有足夠的措施來替代其作為證據(jù),一般來說無需存儲請求或響應中的敏感信息。從審計角度看,存儲關于請求的時間和請求ID等信息是必要的。(6)宿主業(yè)務的信任需要來自外部實體,可以是NFV平臺內(nèi)部的TPM或外部可信實體,此時需使用硬件鑒別信任根。

3 NFV安全技術手段及措施

3.1 操作系統(tǒng)級的訪問控制

操作系統(tǒng)級的訪問控制能夠針對操作系統(tǒng)進程提供訪問控制安全策略。例如,將訪問控制策略應用于文件訪問或網(wǎng)絡資源訪問的進程。雖然為上層應用創(chuàng)建操作系統(tǒng)級的訪問控制策略比較復雜,也可能會改變上層應用對操作系統(tǒng)的使用能力,但是這一舉措和日志審計、實時控制結(jié)合,能夠有效提高安全性[3]。

3.2 通信安全

通信安全是為組件內(nèi)或外通信提供安全的一系列技術和措施的集合。除了加密性和完整性外,其他指標,如時效性、帶寬、延遲、抖動等,也很重要。需要說明的是,現(xiàn)在流量分析已經(jīng)是一個非常成熟的領域,如果有一組各種數(shù)據(jù)流的組合,給出了該信道相關的信息,即使采用了一些防護技術,也可能降低了通信的安全性。

3.3 對硬件資源的直接內(nèi)存訪問

直接內(nèi)存訪問(DMA)技術可以讓某些硬件資源可以直接分配給虛機(或者準確地說,分配給與特定進程相關的RAM區(qū)域)。它通常用于提供性能改進,但也可以提供安全隔離能力,因為主機服務沒有分配對這些硬件資源的訪問權限,例如,以網(wǎng)絡接口卡(NIC)為例,輸入輸出的數(shù)據(jù)包不由主機服務Hypervisor管理程序或操作系統(tǒng)管理。這意味著DMA的機密性、完整性和可用性在某種程度上可能要比非DMA情況下要高一些。

3.4 硬件安全模塊

硬件安全模塊(HSM)為數(shù)據(jù)提供物理和邏輯保護,特別是為密鑰等密碼材料提供保護。此外,它們還提供具有物理和邏輯保護的高度安全的加密服務。HSM是用于可伸縮密碼處理、密鑰生成和集中式密鑰存儲的完整解決方案。作為專用設備,它們自動將這些功能所需的硬件和固件包含在一個集成包中。可以為特定或通用目的(例如性能、環(huán)境、便攜性、接口)對它們進行優(yōu)化。HSM通過多種安全手段(接口、協(xié)議)與服務/應用程序合作[4]。HSM支持的功能包括:加密密鑰的生命周期管理;密碼處理,它帶來了將密碼處理與應用服務器隔離和從應用服務器卸載的雙重好處。該設備的物理和邏輯保護由抗篡改的外殼提供支持;對邏輯威脅的防御,由集成防火墻和入侵預防防御系統(tǒng)提供支持。一些HSM供應商還包括對雙因素認證的集成支持。安全認證通常由HSM供應商作為產(chǎn)品的特性提供。在多層主機管理中,HSM可以作為硬件錨定安全根附加到NFVI,例如提供加密服務或支持安全存儲的實現(xiàn)。HSM需要特定的訪問保護。HSM允許將密鑰存儲在單個單元中,并集中密鑰管理,這構(gòu)成了密鑰保護的一致層,并降低了密鑰被破壞的風險。需注意的是,HSM通常與硬件TPM不同。HSM在密鑰管理中具有更高的可伸縮性。硬件TPM是為平臺級別的鑒定服務而優(yōu)化的,但也可以提供特定的密碼服務。

3.5 軟件完整性保護和校驗

軟件完整性保護和校驗包括各種措施,以檢測(靜態(tài))軟件、數(shù)據(jù)或固件不需要的修改。因此,它在系統(tǒng)生命周期的各個方面都具有適用性,包括部署、引導和運行時。通常,它基于為軟件模塊、文件、虛機鏡像、內(nèi)存內(nèi)容等計算的加密哈希值。哈希值需要被信任,這可以通過幾種方法來實現(xiàn)。保護軟件的一種廣泛應用的方法是使用來自權威來源(如軟件供應商或社區(qū))的私有密鑰創(chuàng)建數(shù)字簽名,并關聯(lián)公鑰(例如RSA和/或涉及PKI、證書),以便用于校驗。簽署的軟件(或數(shù)據(jù))可以證明來源以及完整性,其保護是獨立于存儲或傳送媒體,不需要特定的硬件。但是,在驗證系統(tǒng)中,需要保護公鑰/證書不被交換。在可信系統(tǒng)中,對簽名軟件的驗證允許根據(jù)受保護對象的完整性狀態(tài)給出本地決定,并且不需要額外的基礎設施和外部通信。這一措施適用于主機服務和虛擬應用程序,只是對于這些不同的邏輯組件可能需要不同的信任關系和實現(xiàn)方式[5]。

4 結(jié)語

總之,5G網(wǎng)絡中采用NFV技術的應用場景各異,其安全需求也不盡相同。NFV環(huán)境存在的安全問題可分為兩類,一類是與傳統(tǒng)網(wǎng)絡相同的通用安全問題,如數(shù)據(jù)泄露、未授權訪問等,另一類是引入NFV技術所帶來的特有的安全問題,如不安全虛機蔓延、隔離失效等。本文列舉了6種情況下NFV的需求場景,也提出了NFV安全技術的手段與措施,對于5G網(wǎng)絡使用NFV技術的安全研究有積極推動作用。