新技术给5G核心网所带来的安全问题
一、引言
如今,5G网络已经实现了高速率、低延迟、支持大规模设备连接等性能上的目标,并为移动设备间的通信开启了新篇章。进一步地,5G还将赋能于自动驾驶、智慧城市、工业4.0等垂直行业。
为了满足性能与业务的需求,5G引入了软件定义网络(SDN, Software Defined-Networking)、网络功能虚拟化(NFV, Network Functions Virtualization)、网络切片(NetworkSlicing)、服务化架构(SBA, Service Based Architecture)等关键技术。新技术的引入的确可以实现5G在性能与业务上的目标,但同时也带来了新的安全问题。本文将从引入5G网络的各项关键技术入手,探讨5G网络所面临的安全问题。
二、5G关键技术与安全问题
结合3GPP TS 23.501[1],5G整体网络架构如图1所示。这张图展示了多种关键技术在5G网络中的应用,图中各个模块所代表的关键技术或网络资产也是目前威胁分析工作的重点方向。本节将按照图中的各个模块,依次介绍引入5G网络的关键技术以及各项技术所存在的安全问题。
图1 5G网络架构图
2.1NFV及其安全问题
网络功能虚拟化(NFV)借鉴了IT领域成熟的虚拟化技术,将网络功能与专用硬件设备分离,进而提供摆脱硬件基础设施限制的网络服务。图2展示了NFV的网络架构,图中右侧的MANO为管理和网络编排系统,它会按不同的业务流程对网络组件以及软件元素进行编排与管理。MANO所编排的对象主要包括电信运营支撑系统(OSS/BSS),虚拟化网络功能(VNF)以及虚拟化基础设施(NFVI)。
移动通信网络,尤其是核心网,是由很多网元设备组成的。在5G到来之前,这些网元都是各个厂家自行设计制造的专用设备。专用设备费用较高且硬件资源无法得到充分利用,这大大提高了运营商的组网成本。因此,5G引入NFV技术的需求来自于运营商,而NFV技术的引入也确实降低了运营商的组网和运营成本。此外,NFV具备自动部署、弹性伸缩等灵活化特性,也恰恰满足了5G应对多种业务场景的弹性需求。
由于5G引入了NFV技术,NFV自身的安全问题也将存在于5G网络中。
虚拟化
VNF运行在虚拟化基础设施NFVI之上,而虚拟化环境存在的安全问题扩大了5G网络的攻击面。对于NFVI,其主要面临的安全风险包括虚拟机逃逸攻击,攻击编排管理系统,拒绝服务攻击,DNS放大攻击等。
管理面接口
OSS/BSS与网络功能虚拟化编排系统(NFVO)以及VNF与虚拟化网络功能管理系统(VNFM)之间通过管理接口Os-Ma-nfvo,Ve-Vnfm-em,Ve-nfm-nf通信,这些接口面对的安全风险包括Web/API脆弱性,账户泄露,特权用户访问,未授权访问,未授权数据传输,窃取/篡改数据等。
图2 NFV架构图[4]
MANO
相比传统的基础设施,NFV的引入使得各个网络功能的编排和部署更加灵活,但由于编排系统并没有位置限制机制,攻击者可以利用NFVO,VNFM或VIM将一个VNF从一个合法的部署位置迁移到非法位置。
2.2SDN及其安全问题
SDN引入5G网络的主要功能是控制面与数据面的解耦。传统网络中的各个交换机、路由器都是独立工作的,内部管理命令和接口也是私有的,不对外开放。对于SDN网络,其在网络之上建立了一个SDN控制器,统一管理和控制下层设备的数据转发。在SDN网络中,所有下级节点的管理功能都交给了SDN控制器,只剩下了转发功能。那么,管理者只需要像配置软件程序一样,进行简单部署,就可以配置网络的路由转发策略。因此,SDN的引入也增强了5G网络的灵活性。图3展示了SDN的设计架构,图中控制面的主要组件是SDN Controller,负责将SDNApplication的网络资源需求下发给数据面的SDN Recourses,而数据面的SDNResources则主要包括物理交换机/路由器,虚拟交换机/路由器等网络资源。
基于SDN的设计架构,接下来将从控制面,数据面以及各层之间的交互方式进一步介绍SDN所面临的安全问题。
控制面
从控制面来说,攻击者通过分析转发设备的性能指标可以判断网络设备的转发策略。例如,攻击者可以利用SDN的input buffer来识别规则,并通过分析数据包的处理时间进一步判断转发策略[2]。
数据面
SDN数据面所面临的安全风险主要包括针对协议的攻击和针对设备的攻击两方面。针对协议的攻击主要是攻击者利用转发设备中网络协议的漏洞,对SDN数据面进行攻击。针对设备的攻击主要是攻击者针对SDN转发设备的软件漏洞(如固件攻击)或硬件功能(如TCAM存储器)进行攻击。
图3 SDN架构图[4]
API
SDN各层之间通过API进行通信,这些API同样面临着各样的安全问题。SDN控制器与数据平面之间的接口称为南向接口。对于南向接口,攻击者可以通过窃取通过南向接口的控制面与数据面之间交换的信息来掌握SDN中发生的事件,也可以通过恶意修改正在进行通信的消息来破坏网络的正常行为,还可以直接对南向接口发起DoS攻击。SDN应用层与SDN控制器之间的接口称为北向接口。北向接口所面临的风险与南向接口基本是一致的,但相比南向接口,北向接口可能位于应用层并且需要更高级别的系统访问权限,而且可能存在应用程序不在同一设备上运行的情况。因此,对北向接口的攻击相比南向接口难度会更大。
2.3网络切片及其安全问题
NFV技术实现了软硬件的解耦,SDN技术完成了控制和转发的解耦,两者都在一定基础上促进了5G网络的灵活化。而灵活化的目的,就是服务于网络切片。网络切片是在同一物理网络基础设施上实现虚拟化和独立逻辑网络多路复用的一种网络架构[3]。由于每个切片都是一个隔离的端到端网络,那么这些网络可以为满足特定应用程序请求的各种需求而定制。因此,网络切片可以说是5G的核心能力和关键特征。现在各大运营商都在大力进行SA组网,就在为网络切片做装备。
我们盼望5G网络可以为各种不同的通信服务、不同的流量负载以及不同的终端用户群体定制化地提供网络通信服务,而网络切片恰恰可以满足这种需求。图4展示了网络切片的设计架构。其中,服务实例层表示服务提供方需要支持的用户服务或业务服务,通信服务管理功能(CSMF)负责将通信服务需求转化为网络切片需求,网络切片管理功能(NSMF)负责网络切片实例(NSI)的管理。网络切片架构的核心组件是网络切片实例(NSI),每个NSI可以提供一种定制资源的网络服务,它包括一组网络功能(NF)及该组NF相关的计算、存储和网络资源。此外,为了方便对不同网络环境中NF的管理,每个NSI还会分成多个网络切片子网实例(Network Slice Subnet Instance, NSSI),比如图4中的NSI包含了接入网NSSI与核心网NSSI。
图4 网络切片架构图[4]
对于网络切片,其安全问题主要有以下几种。
管理与编排的安全性
从商业模式和用户需求的角度看,网络切片的MANO需要更加复杂和灵活。而这种高度的复杂性和灵活性,将带来更高的安全风险。此外,目前关于服务管理请求授权的3GPP规范还没有最终确定。那么在实行上,也可能会暴露出一些安全问题。
API
不同业务场景所提供的服务与相应的网络切片之间建立通信时需要基于指定的API,这些API自身的脆弱性也会引入新的安全风险。
此外,欧盟网络安全局(ENISA)在2020年12月发布的5G网络安全风险报告[3]中更加详细地列出了网络切片的安全风险,如表1所示。
表1 ENISA网络切片风险描述表
风险描述 |
|---|
网络切片通信协商过程中可能出现中间人攻击,对切片功能进行恶意修改 |
网络切片管理接口的访问控制不完善可能导致攻击者对管理接口的恶意访问,进而修改有效信息来欺骗网络管理员,威胁切片安全。 |
敏感信息泄露风险,主要来源包括:NSI缺乏有效的数据保护机制NSSI缺乏有效的防篡改机制 |
切片管理中的认证授权漏洞,主要包括:切片认证机制不完善缺乏对NSSAI的保护缺乏对用户ID和认证证书的保护 |
网络切片组件安全性不足,主要包括:协议漏洞服务未做访问控制存在无用软件/功能/组件特权用户无限制远程登录部分文件权限过高操作系统配置不当Web服务器配置不当 |
虚拟化安全风险,主要包括:操作系统虚拟化安全风险容器安全风险切片网络功能虚拟化安全风险 |
缺少对NSI的监控与异常检测机制,具体包括:日志记录和审计不足安全事件日志文件保护不当监控能力和数据隔离不当NSI的端到端监控能力不当 |
- NSI缺乏有效的数据保护机制
- NSSI缺乏有效的防篡改机制
切片管理中的认证授权漏洞,主要包括:
- 切片认证机制不完善
- 缺乏对NSSAI的保护
- 缺乏对用户ID和认证证书的保护
网络切片组件安全性不足,主要包括:
- 协议漏洞
- 服务未做访问控制
- 存在无用软件/功能/组件
- 特权用户无限制远程登录
- 部分文件权限过高
- 操作系统配置不当
- Web服务器配置不当
虚拟化安全风险,主要包括:
- 操作系统虚拟化安全风险
- 容器安全风险
- 切片网络功能虚拟化安全风险
缺少对NSI的监控与异常检测机制,具体包括:
- 日志记录和审计不足
- 安全事件日志文件保护不当
- 监控能力和数据隔离不当
- NSI的端到端监控能力不当
三、总结
总而言之,让网络切片灵活且可定制地提供网络服务,是5G为千行百业赋能的先决条件。而让5G网络更加安全稳定地服务于大众,还需要综合考虑各个关键技术所面临的安全问题,并有针对性地将安全策略部署到5G网络中。
参考文献
[1]https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3144
[2]http://www.thenucleuspak.org.pk/index.php/Nucleus/article/view/142
[3]https://en.wikipedia.org/wiki/5G_network_slicing
[4]https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-for-5g-networks
关于星云实验室
星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究。基于IaaS环境的安全防护,利用SDN/NFV等新技术和新理念,提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题,已成功孵化落地绿盟科技云安全解决方案。
内容编辑:星云实验室 高深 责任编辑:高深
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。