面向5G的NFV和SDN安全

最近网络信息安全要结课了老师让写一篇关于5G安全的论文，自己也是用了一段时间查阅了大量的文献，整理出来了这样的一篇文章，目前5G还没有落地没有真正的走进千家万户，关于5G、NFV、SDN安全的文章也是很少，这里自己也是做一个总结，希望能够帮助到从事这方面研究和工作的朋友。

 

摘要：2019年是5G元年，意味着上一代通信技术将会慢慢脱离人们的视角，5G通信技术将会走入大众视野，为用户提供更好的通信、网络服务。网络安全一直以来是研究的热点，不论实在拨号上网的时代还是在4G通信时代网络安全一直是研究人员以及用户面对的一个难题。在NFV（网络功能虚拟化）和SDN（软件定义网络）概念提出以前网络服务与网络硬件设备耦合度较高，网络服务的质量通常由网元决定，当网元节点受到大规模的攻击导致瘫痪的时候就无法提供正常的网络服务。而日益复杂的网络拓扑结构给企业对网络的维护带来了较大的管理难度，不仅要考虑高可复用性架构，还要考虑信息安全。5G网络是物联网的基础，势必会有大量的物联网节点接入5G网络。该文对5G和NFV以及SDN的关系进行了研究，然后，提出了5G背景下的NFV信息安全的应对策略。

 

关键字：NFV；SDN；5G；信息安全

 

1. 引言

 

今年6月，我国发放了四张5G商用牌照，标志着我国正式进入5G时代。5G网络除了具备高速率、低时延、高可靠性三大典型特征外，在网络架构方面也将发生重大变化。通信网络将支持很多新的特性，例如网络动态扩容、网络切片、能力开放等。这些新特性都得益于5G 网络中引入了一项新的技术： NFV。NFV 让5G 网络组网变得更加灵活，能够更好地支持不同垂直行业的接入，并满足不同行业用户差异化的服务质量需求[1]。

    以5G网络的新兴业务为范例，如智慧城市和工业4.0，需求复杂，要求包括低延迟，多租户，高效的网络资源利用率，端到端通信的安全性以及自动化和快速的服务供应[2]。为了提供更好的服务势必要引入更为新潮的技术如NFV、SDN。

NFV、SDN是未来 5G 的关键技术[3]。所以在NFV和SDN层的信息安全问题显得尤为重要，如何有效的拒绝网络攻击确保用户信息安全成为了研究的焦点。

 

2   5G 安全需求

 

5G 提供的丰富场景服务将实现人、物和网络的高度融合,全新的万物互联时代即将到来。但是,现实空间与网络空间的真正连接也将带来空前复杂的安全问题.各标准化组织和企业联盟达成的共识是,安全需求必须作为系统演进的一部分贯穿于整个 5G 系统的部署与技术更新中[4]。

 

2.1   延续4G的安全需求

 

作为4G系统的延续,5G 首先应该至少提供与4G同等的安全性,这些基本的安全需求主要包括；

(1)  用户和网络的双向认证；

(2)  基于 USIM 卡的密钥管理；

(3)  信令消息的机密性和完整性保护；

(4)  用户数据的机密性保护；

(5)  安全的可视性和可配置性。

其次,还将在5G的部署过程中重新考虑一些在旧系统部署中被讨论过但未被采纳的安全性质,主要包括；

(1)  防IMSI窃取的保护；

(2)  用户数据的完整性保护；

(3)  服务请求的不可否认性。

最后,5G面对的设备种类不再单一,为不同的设备颁发一致的身份凭证也不现实,因此,5G还需要实现从以USIM卡为基础的单一身份管理方式到灵活多样的身份管理方式的过渡,以及对所涉及的身份凭证的产生、发放、撤销等整个生命周期内的管理。

 

2.2   新技术驱动的安全需求

 

除了提供传统通信系统的基本功能外,5G还提供一系列基于丰富场景和特殊需求的服务。为了以最有效的方式实现各种不同需求的服务,5G 需要全新的网络架构来进行网络资源的管理和控制。其中, NFV和SDN被认为是最有可能实现网络自动化管理以及网络资源虚拟化和网络控制集中化的技术。此外,云计算也被应用于5G网络中,用于实现按需的网络控制和定制化的客户服务。具体来说,NFV 技术的核心思想是；解除网络功能对特定硬件供应商的依赖关系,实现软件和硬件的独立,并根据需要实现网络功能的灵活部署。SDN 技术的核心思想是；将网络架构分离成应用、控制和转发的三层架构,以实现网络的集中管控和网络应用的可编程性。而云计算提供的分布式计算和虚拟化等特性则能够实现网络的高效计算和灵活部署。为了更好地实现对差异化服务的支持,5G网络需要基于NFV和 SDN将网络分割成多个虚拟的端到端网络,即网络切片,使得在不同网络切片内从设备到接入网再到核心网逻辑独立。每个切片按照业务场景的需要进行网络功能的定制剪裁和相应网络资源的编排管理,为特定类型的业务提供最佳的使用体验。

因此,传统网络中依赖于物理设备隔离来提供安全保障的方式在5G网络中不再适用。5G必须考虑由NFV和SDN等新技术带来的基础设施安全问题,例如 NFV 中虚拟化管理层的安全问题、虚拟 SDN 控制网元和转发节点的安全隔离问题等,从而保障5G业务在虚拟化环境下的安全运行。

 

2.3   垂直行业服务驱动的安全需求   

 

垂直行业的应用将是5G发展的一个重要方向,不同的垂直行业对安全的需求差异极大,有些服务选择基于5G网络本身提供的安全保障,而有些服务则希望保留自身系统对安全的控制。在5G环境下,不同的安全需求很有可能作为一种服务,因而,安全即服务(security-as-a-service,简称 SECaaS)的架构必然会出现。所以,5G 网络应提供更加灵活的安全配置,允许运营商或者服务提供商在 5G 系统以外寻求独立的安全保障。此外,不同垂直行业之间的安全配置应保证一定的隔离,以防止服务资源在不同服务之间被非授权访问。

随着垂直服务行业的兴起,我们的心情、健康水平、喜好以及其他更为隐私的信息将被精确地获取或者模糊地感知,个人隐私和关键数据的安全问题将会加剧。在 5G这样覆盖范围广的网络中,小的安全问题很有可能引起戏剧性的蝴蝶效应,所以 5G 还需要严格控制主要数据的获取、传输、存储和处理等各个环节的可访问性,制定周全的隐私保护策略,以保护用户的身份、位置、接入服务等不被泄露。

此外,5G还需要建立自动化的安全监控和安全策略配置机制,以及时检测并防范未知的安全威胁,维护有效的安全保护策略,并根据网络状况和资源使用情况动态更新安全策略,始终保证为服务和应用提供最优的性能和用户体验。

总之,提供灵活的安全策略、一定的安全隔离、全面的隐私保护和自动化的安全配置机制将是 5G安全应用于垂直服务行业的前提。因此,5G需要在传统接入安全、传输安全的基础上,考虑新技术驱动和垂直服务产业下灵活多变和个性化的服务安全,以实现不同利益群体在不同应用场景下的多级别安全保障。

 

3  NFV与SDN的关系

    NFV是一种用软件方式来实现传统硬件网络功能的技术。其通过将网络功能与专有硬件分离，旨在实现网络功能的高效配置和灵活部署，减少网络功能部署产生的资金开销、操作开销、空间以及能源消耗。SDN是一种新型的网络架构，其通过解耦网络设备的控制平面和数据平面，旨在实现灵活、智能的网络流量控制。作为两种独立的新兴网络技术，SDN 和NFV之间存在着相互弥补，互相促进的关系。为了满足多样化的服务要求，SDN数据层设备需要进行通用流量匹配和数据包转发，SDN交换机的成本和复杂性随之增加。另外，目前SDN架构缺乏对异构SDN控制器间交互的支持，使之无法提供灵活的跨自治域端对端服务．SDN在数据层面和控制层面存在的软件网络架构和硬件网络设施之间的紧耦合限制了SDN更加广泛地应用。目前仅在数据层面和控制层面的解耦已经无法有效地避免上述问题，软件服务功能和硬件网络设施的进一步解耦才能使得SDN 得以更加广泛地应用。因此，在SDN中使用NFV技术，可以为SDN提供更加灵活的网络服务。例如，使用NFV技术实现虚拟化SDN控制器，通过一致性接口实现异构虚拟SDN 控制器之间的交互、使用NFV技术实现虚拟化 SDN 数据层面可以根据不同的服务要求实现灵活的流量匹配和数据包转发．在 ETSI NFV 架构中，NFV管理和编排层是整个NFV平台有序、高效运行的保障。在NFV 平台动态网络环境中，需要复杂的控制和管理机制来对虚拟资源和物理资源进行合理的分配和管理．因此可编程 的网络控制不可或缺。SDN结合MANO可以高效地控制网络流量转发，向NFV平台提供VNF之间的可编程网络连接，以此来实现高效灵活的流量度[5]。

 

图一 SDN与NFV关系图

 

4   NFV和SDN在网络安全中的作用

开放式分布式架构由几个组件组成，NFV和SDN作为主干。NFV是一种提供网络服务的创新方式，涉及将软件与硬件分离。SDN通过提供实施虚拟化网络服务链（VNS）的平台来平衡NFV。NFV和SDN都可用于简化安全流程和控制。例如，系统内置的功能可以帮助检测网络中的安全威胁，然后应用安全补丁来修复代码漏洞。

由于NFV和SDN，开放式分布式体系结构可以比传统系统更好地支持加密等安全措施。加密是一种通过使文本难以理解的方式使数据保密的方法。作为一种安全工具，它提供机密性，身份验证，数据完整性和不可否认服务。使用NFV和SDN，可以在网络中的交换机上而不是在硬件设备上启动加密软件。这一功能在数据中心尤其有用，因为数据安全漏洞的报告似乎每个月都成为新闻头条。

此外，通过开放的分布式架构，SDN控制器可实时提供网络的全局视图。这有助于识别和响应网络漏洞。此外，安全服务提供商可以通过配置大量防火墙，在网络星期一等在线业务流量高峰时制定快速对策。随着网络攻击的变化，这些类型的安全功能可以通过NFV和SDN轻松更新。

 

5 NFV和SDN面临的安全问题

    因为NFV和SDN作为5G的基础，当前还没有大规模的商业化应用，所面临的安全问题我们也只能通过理论的层面来预测，既和传统的网络攻击类似，又区别于传统的网络攻击。详细见表一。

	NFV和SDN面临的攻击	传统网络面临的攻击
DoS攻击	√	√
ARP攻击	√	√
脚本攻击	√	√
嗅探扫描	√	√
硬件网元攻击	√	√
虚拟网元攻击	√	/
虚拟机攻击	√	/
针对SDN的攻击	√	/

表一 NFV、SDN与传统网络攻击异同

5.1 MFV面临的安全问题

NFV技术为基础电信运营商带来组网和成本下降便利的同时，也会引入新的安全风险。NFV安全风险主要来自两个方面：一是传统网络安全风险，如DDoS攻击、路由安全策略等，这与传统的网络技术所面临的风险没有太大区别；二是由NFV自身技术特点引入的新的安全风险。NFV从架构上看，大致可以分成硬件资源层、虚拟管理层、虚机层、虚拟网元层以及编排管理层，每一层都会引入新的安全风险。

在硬件资源层，由于缺少传统物理边界，存在安全能力短板效应（即平台整体安全能力受限于单个虚机安全能力）、数据跨域泄漏、密钥和网络配置等关键信息可能缺少足够的硬件防护措施等问题。在虚拟管理层，所有虚拟网元都具有非常高的读写权限，一旦被黑客攻陷，所有的虚拟网元就没有任何秘密可言，虚拟管理层也因此常常成为网络攻击的主要目标。在虚机层，主要存在虚机逃逸、虚机流量安全监控困难、问题虚机通过镜像文件快速扩散、敏感数据在虚机中保护难度大等问题。在虚拟网元层，主要存在虚拟网元间的通信容易被窃听、虚拟网元的调试和监测功能可能成为系统后门等风险。在编排管理层，由于该层主要负责对虚拟资源的编排和管理、虚拟网元的创建和生命周期管理，编排管理层被攻击后，将可能影响虚拟网元乃至整体网络的完整性和可用性。

5.2 SDN面临的安全问题

大多数SDN体系架构有三层：最底层是支持SDN功能的网络基础设施，中间层是具有网络核心控制权的SDN控制器，最上层包括SDN配置管理的应用程序和服务。尽管许多SDN架构相对较新，并且SDN仍处于早期探索的领域。但我们可以肯定，随着SDN技术的发展和更广泛地使用，它仍会成为攻击者的目标。

我们可以预见几种针对SDN架构的攻击方法。SDN架构较为常见网络安全问题包括对SDN架构中各层的攻击。下面以图2为例，简要说明攻击者可能从哪些地方发起攻击。

  

图二 SDN结构体系图

5.2.1 数据层的攻击

攻击者可能将来自网络本身的某个节点（例如，OF交换机，接入SDN交换机的主机）作为攻击目标。从理论上说，攻击者可以先获得未经网络访问的权限，然后尝试进行攻击运行状态不稳定的网络节点。这可能是一个拒绝服务攻击（Denial of Service , DoS），或者是对交换机等网络基础设施进行的Fuzzing攻击。

有许多南向接口协议用于控制器与数据层的交换机进行通信。这些SDN南向接口协议可以采用OpenFlow、Open vSwitch交换机配置管理协议(Open vSwitch Database Management Protocol, OVSDB)、路径计算单元的通信协议(Path Computation Element Communication Protocol，PCEP)、路由系统接口协议(Interface to the Routing System ，I2RS)、BGP-LS、OpenStack Neutron、开放管理基础设施(Open Management Infrastructure，OMI)、Puppet、 Chef、Diameter、Radius、NETCONF、可扩展通讯和表示协议(Extensible Messaging and Presence Protocol，XMPP)、名址分离网络协议(Locator/ID Separation Protocol, LISP)、简单网络管理协议(Simple Network Management Protocol，SNMP)、CLI、嵌入式事件管理器(Embedded Event Manager, EEM)、Cisco onePK、ACI，Opflex等等。每个协议虽然都有自己的安全通信机制。但因为这些协议都非常新，所以并没有能够实现综合安全部署的方法。

交换机与控制器之间的链路常常会成为DDoS攻击目标[6]，攻击者也可以利用这些协议的特性在OF交换机中添加新的流表项，。之所以这么做，是因为攻击者试图将这些特定服务类型的数据流进行欺骗“拦截”，不允许其在网络中传输。攻击者有可能引入一个新的数据流，并且指导引入的数据流绕过防火墙，从而使攻击者取得数据流走向的控制权。攻击者也有可能利用这些能力来进行网络嗅探，甚至可能引发中间人攻击。

攻击者可以通过在网络中嗅探得知哪些数据流正在流动，哪些数据流被允许在网络中传输。攻击者可以对OF交换机与控制器之间的南向接口通信进行嗅探，嗅探所获得的信息可用于再次发起攻击或进行简单的网络扫描探测。

大多SDN系统部署在数据中心，并且数据中心会频繁的使用数据中心互联（Data Center Interconnect, DCI）协议。例如：使用GRE的网络虚拟化（Network Virtualization using GRE, NVGRE）、无状态传输通道（Stateless Transport Tunneling, STT）、虚拟可扩展LAN（Virtual Extensible LAN, VXLAN）、思科虚拟化覆盖传输（Overlay Transport Virtualization, OTV）、L2MP、TRILL-based、SPB等等。这些协议可能缺少加密和认证机制来保证数据包内容在传输过程中的安全。这些新的协议在设计之初或在满足供应商或客户需求实现这些协议的时候，不免有漏洞存在。攻击者可能目的很明确的创建一个具有欺骗性质的数据流，让其在DCI连接中传输，或者通过针对DCI连接发起一个拒绝服务攻击。

5.2.2 控制层的攻击

SDN控制器是个很明显的攻击目标。攻击者可能会为了不同的目的而把SDN控制器作为攻击目标。攻击者可能会向控制器发送伪装的南向/北向接口对话消息，如果控制器回复了攻击者发送的南向/北向接口对话消息，那么攻击者就有能力绕过控制器所部署的安全策略的检测。

攻击者可能会向控制器发起DoS或其他方式的资源消耗攻击，使得控制器处理Packet In消息变得非常缓慢。甚至可能导致整个网络崩溃。

SDN控制器通常运行在像Linux这样的操作系统上。如果控制器运行在通用操作系统上，那么操作系统中存在的漏洞将会成为控制器的安全漏洞。而控制器的启动和工作通常是使用默认密码并且没有任何其他安全配置。所以，SDN工程师通常很小心的工作，在生产配置过程中都不愿碰这些控制器，因为害怕搞坏如此脆弱的系统。

最糟糕的情况是：攻击者部署自己的控制器，并且欺骗那些OF交换机，让它们误以为攻击者控制的“伪装”控制器为主控制器。随后，攻击者可以向OF交换机的流表中下发流表项。此时，SDN工程师部署的控制器对这些数据流没有访问控制权限。在这种情况下，攻击者拥有了网络控制的最高权限。

5.2.3 应用层的攻击

攻击北向接口协议的行为也可以看做是一种攻击的方法。这些北向接口都由控制器管理。这些北向接口可以通过Python、Java、C、REST、XML、JSON等方式进行数据封装。如果攻击者利用了这些公开且没有任何认证机制的北向接口，那么攻击者就可以通过控制器来控制SDN网络的通信，并且可以制定自己的“业务策略”。

在现有几个较为著名的SDN开源项目中，他们将自己的北向接口通过REST API的形式向外暴露，并且这些北向接口所提供认证机制的较为少数。如果一个SDN系统部署时没有改善这种情况。那么攻击者就可以查询部署系统的配置，并且部署自己的网络设置。

 

6 应对策略

• 采用身份认证。

确保所通信的网络实体、所调用的组件、所执行的代码等是合法可信的。实际上，ETSI提到加强NFV安全的一个重要举措就是引入可信计算。可信计算的一条重要原则就是身份认证。当可信计算发展到极致时，如计算机系统的每一次通信、调用或操作都需要校验，那对网络的信任要求就可以降低，甚至是“零信任”。

二、是通信加密。

身份认证可以防御仿冒攻击，但无法防御通信链路被窃听。通信加密可以弥补身份认证的不足，进一步提升系统的安全性。

三、是异常行为检测。

有时候，即使通信的对端是可信的，但对端也可能发送带有病毒的文件，从而使本端系统受到感染。对于这种情况只能通过异常行为检测来主动发现并防御了。通常来说，病毒激活后会有特定的行为模式，如修改注册表或不断复制自己等，可以利用病毒的这些行为特征，识别出特定病毒和攻击。

四、基于切片的安全隔离。

网络切片是5G的重要组件,它使得运营商可以根据不同的市场情景和丰富的需求定制网络,以提供最优的服务。一个网络切片是一系列为特定场景提供通信服务的网络功能的逻辑组合。网络切片本身是一种网络虚拟化技术,因此,不同切片的隔离是切片网络的基本要求。为了实现切片隔离,每个切片被预先配置一个切片ID,同时,符合网络规范条件的切片安全规则被存放于切片安全服务器(slice  security  server,简称 SSS)中,用户设备(user equipment,简称UE)在附着网络时需要提供切片ID,附着请求到达归属服务器(home subscriber server,简称HSS)时,由HSS根据SSS中对应切片的安全配置采取与该切片ID对应的安全措施,并选择对应的安全算法,再据此创建UE的认证矢量,该认证矢量的计算将绑定切片ID。通过以上步骤,来实现切片之间的安全隔离。保证NFV和SDN的安全。

 

 

 

 

 

 

 

 

 

 

 

 

结论：

    DFV和SDN作为5G通信技术的网络架构底层，位于最基础也是最核心的环节，一旦发生安全问题后果将不堪设想，有效的预防DFV和SDN层的安全问题能够保证整个5G生态系统的安全性。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

参考文献：

[1]  吴宏建. 5G时代NFV面临安全新挑战[N]. 人民邮电,2019-10-15(006).

[2] 2016 IEEE Conference on Network Function Virtualization and Software Defined Networks (NFV-SDN)

[3] 冯登国,徐静,兰晓.5G移动通信网络安全研究[J].软件学报,2018,29(06):1813-1825.

[4] 于建伟,张保华,于娟娟,卜忠贵.面向5G的NFV核心网演进方案研究[J].电信工程技术与标准化,2017,30(01)；42-47.

[5]  王进文,张晓丽,李琦,吴建平,江勇.网络功能虚拟化技术研究进展[J].计算机学报,2019,42(02)；185-206.

[6]  钱红燕,薛昊,陈鸣.UDM；基于NFV的防止DDoS攻击SDN控制器的机制[J].通信学报,2019,40(03)；116-124.