基于支持虚拟安全架构策略的SDN / NFV的5G接入网络

基于支持虚拟安全架构策略的SDN / NFV的5G接入网络

原文链接我放百度云了，因为这是一篇IEEE的回会议论文需要付费，有需要的直接去百度云下载就好，链接：https://pan.baidu.com/s/1yfawKuO6VI6YO2JBl4fp2A     提取码：y6wi

摘要：面对5G网络的挑战性特征以及垂直行业的多种业务需求，当前的网络安全方法变得无能为力。解决5G网络的各种安全要求，关注5G的整体构建强大的安全架构技术和业务功能变得至关重要。本文描述了基于多租户的整体安全架构策略NFV / SDN的5G接入网络安全管理和监测以及智能分析。

 

关键词： 5G； 5G安全； 虚拟化安全性； 基于策略安全; 安全监控； 智能分析

 

引言

 

5G网络的新兴业务案例，例如智慧城市和工业4.0，业务需求复杂包括：低延迟，多租户，高效的网络资源利用率，端到端安全性以及自动化和快速的服务供应。边缘计算，网络功能虚拟化（NFV）和软件定义的网络（SDN）实现网络服务供应的自动化，管理网络中自定义点的硬件。这些技术，可以有效利用网络资源，更快的操作更改和更快的速度服务供应周期。NFV和SDN还通过用于虚拟的网络切片促进多租户网络运营商（VNO）访问基础架构。但是，这带来了新的挑战，因为基础架构运营商需要创建和在物理基础架构上管理虚拟片，以及将接口暴露给虚拟化的网络资源。在此外，基础架构运营商需要维护端到端安全性，包括用户安全性，网络安全性和虚拟化和物理资源的安全性。此外，不同租户之间的严格隔离至关重要。保证，虚拟化，多租户和安全性不会影响服务质量（QoS）和服务水平协议（SLA）。

 

当前，尚不存在全面的安全性的5G网络架构技术正在积极研发中。但是5G安全的要求和建议，在[1]中可以找到，由不同供应商和公司生产的产品在[2]和[3]可以找到。此外，由于NFV / SDN被认为是ETSI NFV安全工作组[4]的一部分也是是5G网络的固有部分，已经制定了许多与NFV安全相关的标准。为了满足5G网络的所有多种安全要求和服务，一个完整而强大的安全架构已成为5G技术和业务功能基本必要性。

 

在这方面，本文提出了一种用于支持多租户NFV / SDN的5G接入网络。假定5G接入网是基于NFV（用于虚拟化和切片）SDN（用于高效控制和管理网络资源）和云计算（用于IT资源的虚拟化）安全架构。最新完整的调查，详细的描述了NFV，SDN和切片，有兴趣的读者可以请参阅[5]和[6]。安全架构包括三个主要组件，安全策略管理器，监视和分析和虚拟安全功能（VSF）来实现启用多租户NFV / SDN的端到端安全目标5G网络。此外，安全解决方案的建议是与ETSI MANO框架[7]保持一致，并利用NFV / SDN技术来自动执行安全性设置。安全架构的很重要，因为网络和IT资源规划的传统流程基础架构使运营变得更加复杂，虚拟化变得必要，因此本文还研究了很多新的挑战。

 

本文的结构如下：第二部分介绍了5G安全挑战。第三节是有关5G接入网框架的概述。 第四节详细介绍了安全体系结构的三个主要方面和组件。本文结论安排在第五节并描述了未来需要进行的工作。

 

 

二  5G安全挑战

 

5G支持新的场景和应用包括，使用超高速，低延迟的电信通信技术用户服务和机器对机器的网络通讯。这些方案，介绍网络计算和网络基础架构的新范例，这将进一步加强了对自动化管理的需求，如实际控制功能与基础硬件和中间件功能（云计算，虚拟化和软件定义网络等），5G电信基础设施的控制。尤其是，提高基于云的范例基础架构的高度可访问性，并可以被多个用户共享用户（即虚拟网络运营商，VNO）访问，确保高度安全的网络变得越来越重要。同时能够提供强大的，灵活主动的机制来检测和预防安全性问题，并能够实时地执行自动化检测。

 

如前所述，确保网络及其服务变得更加复杂，因为5G网络引入了SDN和NFV。为了建立一致而强大的安全性的生态系统，网络功能和网络服务SDN / NFV环境需要全面的方法来确保物理和物理网络资源的端到端安全性虚拟化功能，可确保安全策略的自动调整网络在[8] [9]中提及。

 

5G网络的端到端安全性需要在以下多个网络技术领域做出多方面的努力。尤其是，坚持5G接入这项工作并缩小5G安全范围，[10]中提出了网络需求。确定的研究挑战包括：网络服务端到端安全性：这是指所有可以利用不同机制来确保机密性，完整性，可用性和不可否认性的网络服务。这些安全机制包括身份验证，授权，用户隐私/匿名，抗干扰，加密，数字签名等，是可以根据优先级和要求，用于处理与服务相关的漏洞。

 

租户隔离：通过多个虚拟机共享基础架构，网络运营商将严格的隔离多个级别用户，以确保绝对的安全性。尤其是，控制平面，数据平面和资源的不同方面必须确保隔离度并确保其为不同租客之间的划分的相关性。网络运营商可靠隔离服务，以及数据和通信的完整性和机密性。

 

虚拟化安全性：利用NFV环境，可以部署所需的网络安全功能，规划网络部署并在不同位置进行管理网络称为VNF，也称为虚拟安全性功能（VSF）。 但是，VNF本身的安全性必须作为考虑元素，例如VNF验证/证明，VNF代码健壮性等。

 

安全管理：如前所述，安全机制的复杂性助力5G网络增长，不仅是由于资源虚拟化，而且还因为由于不同级别或域的安全要求例如网络切片，网络服务和网络资源（物理和虚拟）。 因此，以一套已定义的以安全性为指导的整体安全管理系统政策，确保安全机制至关重要。

 

当下5G是研究热点，因此很难预见5G网络面对的不断变化的威胁，要采用整体方法来创建强大的5G通信网络，灵活和自治的网络管理解决方案可以应对不断变化的安全环境。这种方法，一方面可以是策略控制的实时分析系统，、另一方面，可以实时检测到的威胁的影响。本文提出了一种实时，自动化的安全管理5G电信网络框架，基于分析实时实现连续和闭环安全策略，基于环境检查制度的策略。特别的， 5G网络本身允许自动实例化和虚拟化，部署，配置和管理虚拟安全具有集中式编排的实时功能（VSF）方法。此外，利用边缘计算概念，网络智能的去中心化也有助于尽早发现并消除攻击，诊断和中和系统尽可能发起的攻击并防止敌对的恶意实体进入网络回传流量。

 

三  5G框架

 

NFV，SDN和云计算符合上一节中确定的安全要求。因此，我们从这些线索中探索设计对应技术。我们首先定义一个接入网模型结合了计算，存储和网络资源。然后我们将接入网模型嵌入架构的核心实现控制，管理和编排的框架多个VNO的边缘资源。

 

5G接入网络的定义如图1所示。它具有四个聚合级别，此后称为来自客户访问场所的聚合级别（AAL），AAL0处的设备（CPE）（根据用户需要退化设（UE））到达位于AAL3的中心（CO）。中间AAL托管（小型，微型，宏等）基础电台（BS）。每个AAL都包含计算和存储微型数据中心（µDC）的资源。这包括现有网络设备（例如，BS）中的备用资源；以及商用（COTS）服务器。之间的联系AAL可以是有线的也可以是无线的。此访问网络模型源自当前的实践，并且适用于5G接入网。

考虑到基础架构框架，旨在实现共享基础架构上的多个VNO，如图2所示它紧紧遵循ETSI NFV架构[7]。是一项已经在国际上发展多年的标准，致力于虚拟化和多租户。

 

该架构框架由四部分组成：虚拟化基础架构（VI），虚拟化网络功能（VNF），管理和编排（MANO）以及运营和业务支持系统（OSS / BSS）。 本文着重于安全方面将详细说明构成安全性的安全性组件支持多租户NFV / SDN的5G访问的体系结构网络。有关架构的整体描述框架，有兴趣的读者可以参考[10]。

四  安全架构

 

本节介绍了关键的体系结构组件扩展，ETSI MANO参考架构提供与安全性相关的功能。也就是说，安全性架构嵌入ETSI MANO利用现有控制，管理的架构和编排平面。其他组件包括服务策略管理器，服务监控和分析，虚拟化基础架构（VI）安全性和VI监视。安全体系结构针对虚拟安全、自动安全管理和VSF，以及前者在服务策略管理器的帮助下得以实现和服务监控与分析模块，并得到以下模块的支持VI安全性和VI监控模块；而后者作为VNF实施，可以通过协调器和虚拟化基础架构管理器自动进行配置（VIM）在NFV环境中。

 

A  服务策略管理

 

服务策略管理器是属于体系结构组件NFV Orchestrator的功能，如图3所示。服务策略管理器包含以下子组件：特定策略（例如安全性）管理器，如图3所示。通过这种方式，任何其他可以想象特定的策略管理器能够满足（InfP）和VNO要求。例如，将缓存作为服务和缓存策略管理器作为可以预见到网络服务。单一服务策略管理器，包括安全性，缓存或任何其他内容实施有很大的不同。此外，必须开发一种抽象服务政策，该策略是不在此范围之内安全架构。因此，本文着重于安全性策略管理，同时提供了扩展。

图3 NFVO：服务策略管理器、安全策略管理器的主要功能是制定网络服务的安全要求，确保了接入网中的网络切片或网络资源。安全策略管理，负责以输入为基础做出次优行动建议，服务监视和分析触发的事件功能，监视和分析实现的资源状态的变化。

 

如图4所示，为了主流政策保持一致架构，安全策略管理器由以下要素：

策略引擎：负责执行实际评估政策。至少应具有以下内容子组件：

 

规则引擎：负责评估中的表达式。

 

PiP政策信息点：负责检索对政策规则进行评估。

 

上下文收集（或输入）模块：负责并购模块和其他方面的数据沟通/上下文源，以便实时获取相关信息有关受监视资源的信息。

 

强制实施器（或输出）模块：政策引擎针对负责实际执行的实体受控资源（例如VIM，VNFM等）进行控制。

 

安全策略存储库：此组件存储有关服务，切片的安全和安全策略。

B  安全监控和分析

 

服务监控和分析组件（SMA）业务流程层从以下方面获取感知：i）NFVI资源； ii）VNF / VSF和iii）物理基础架构。NFVI资源包括所有物理和虚拟计算，存储和网络资源，例如VNF。我们的目的是监视和记录虚拟机指标，以及特定VNF / VSF的功能指标。物理基础设施包括所有除了包含NFVI的设备以外的其他设备，例如演进型分组核心（EPC），eNodeB和光线路终端（OLT）设备。

 

SMA组件合并获得的指标，产生事件/警报并将其传达给服务政策管理器。基于这些指标，服务策略管理器可以制定决策并采取行动与服务编排组件进行通信以对已经存在的网络服务进行更改部署或实例化并部署新服务。

 

 

五 服务监控和分析架构

 

功能实体

 

服务监控和分析架构如图5所示。

图 5

 

在NFV中，负责指标管理的是事件/警报引擎，消息队列，持久性管理器，存储数据库和网络用户界面。事件/警报引擎负责创建和删除警报并评估接收到的指标创建的警报。为了创建和删除警报，事件/警报引擎向服务策略公开API，管理器接受一个或多个创建请求。消息队列提供消息传递基础架构，以允许不同的组件通过一组共享的接口进行可靠的通信。根据其实现，消息队列在系统中为通信提供了不同的消息传递模式，例如发布/订阅，异步处理或工作队列。持久性管理器是负责将指标和警报写入到的组件存储数据库，以备将来检索。最后，Web UI提供到VNO，捕获指标并创建警报。

 

监控和分析组件从物理基础架构NFVI和已部署的VNF获取指标资源。对于原始NFVI资源中的指标，数据聚合器将在VIM层将运行代理。VNF指标和通知将被转发给管理每个VNF的VNFM的节点。最后，从物理设备获得的指标包括构成NFVI的基础设施，还有基础设施消息队列自定义接口，具体取决于设备。

 

定义监控和分析的关键任务体系结构是确定需要衡量的指标，从该项目的基础设施（包括NFVI）收集的NFVI和已部署的VNF / VSF获取指标

 

六  安全

 

通常虚拟基础架构的安全性由Virtual Infrastructure Manager提供。重要的是， 5G网络将包括：易于访问和管理的基础架构主流虚拟化解决方案（例如计算资源或SDN资源符合广泛接受SDN标准），而其他一些物理资源只能通过特定的（旧式）O＆M进行访问和管理机制。无论哪种方式，架构都应该能够处理两种类型的资源。

 

VIM要求一组安全功能是：

 

1. 安全访问虚拟资源。

典型特征包括：身份和访问管理（IAM）：

A：需要控制，保护不同的访问租户（NVO）和代表这些租户的最终用户租（例如，管理员用户与其他类型的用户）虚拟化资源。VIM通常应为托管一个负责提供集中化的实体IAM服务，包括生成和管理多种类型的访问令牌，安全服务发现等。

B：虚拟化之间的安全通信资源：资源之间的沟通应通常通过网络或传输层进行保护安全机制，例如TLS / SSH。

 

 

2.安全的数据存储：应该确保数据存储的完整性和机密性

 

 

1.防火墙，分区和拓扑隐藏。通常提供以下机制：

安全组：安全组通常是特定于租户的，并且是租户可以使用的主要机制用于控制虚拟机之间的网络流量或网络接口。安全组由一组规则定义的。例如，可以指定一条规则以允许所有传出流量，支持MAC地址防欺骗，并阻止非法DHCP消息。一条规则甚至引用安全组作为流量来源。这个可以屏蔽动态IP地址并减少流失安全组规则。

 

2.反欺骗：一般来说，IP欺骗是一种使用源地址生成IP数据包的技术，造成危险局域网上的主机允许访问其资源时通过检查主机的源IP为受信任的主机提供服务和服务数据包。使用欺骗手段，入侵者可以伪造源代码他的数据包的地址，并使它们看起来像它们源于受信任的主机。反欺骗保护的基本思想是创建分配给检查源的防火墙的外部接口穿过该接口的所有数据包。如果该地址属于内部网络或防火墙本身，则将丢弃该数据包。防欺骗可以支持多个级别，例如在MAC地址上，IP地址，ARP消息和DHCP消息级别。

 

网络地址转换（NAT）：网络地址转换使具有以下功能的虚拟机成为可能：私有IP地址，可与公共主机进行通信网络。这样可以隐藏网络拓扑。

 

网络隔离：例如，通过VLAN解决方案将流量分配不同的租户。

 

防火墙即服务：用于额外的资源保护。

 

4.计算隔离：需要隔离计算资源，特别是考虑到网络切片场景。就组织资源聚合而言，允许聚合和虚拟机隔离。例如，计算主机可以是根据安全区域所划分的。另一个用例是具有特定于租户的聚合多租户强化（即某些主机只能托管特定租户的虚拟机）。也应该有可能将特殊图像集的实例化为特殊图像集主机

 

5.可用性：适用于计算，存储或网络资源，需要组织划分具有独立可用性属性的区域。组织标准是灵活的。他们通常必须做地理位置划分，如，网络分段，电源，和某些硬件属性。因此，租户可以要求将虚拟机放置在多个区域中以实现高可用性。

      

6.日志记录：需要记录不同类型的事件，用于攻击补救和取证。

 

七 监控

 

VI监视组件负责收集和汇总有关虚拟化服务器的监视信息然后总体上计算，存储和网络资源基础设施。这些资源在很大程度上已虚拟化，VI监视组件的目的是收集监视虚拟机（VM）和虚拟机上的信息网络级别，即将收集到的信息关联到块。

 

由VM和虚拟机实现的已分配资源网络实例化。但是，与此同时，收集的信息是为了提供详细的视图，物理资源的整体利用，运营商获得基础架构资源的全局视图可用性。

 

VI监视组件首先负责接口（可视化）资源以收集原始计量指标。在µDC级别，此信息在驻留的可用虚拟机管理程序的支持下收集在NFVI端的Nf-Vi接口上的信息。集合监视有关NFVI外部设备的信息域（例如TrustNode，10GPON等）在可用SDN控制器的南向接口的顶部实现（例如，通过OpenFlow计数器的细粒度报告，例如回传开关。

 

 

收集了所需的信息后，VI Monitoring组件连接NFVO和VNFM组件Or-Vi和Or-Vnfm接口。尤其是：Or-Vi：如上所述，NFVO需要准确监视信息以支持有关实例化的决策和请求的NVF / NS的配置。VI监控组件通过Or-Vi界面传递此信息。监视信息在VNF / VM和VI基础，即计算节点基线，固定利率，统计和警报可用，以支持不同类型的NFVO级别的决策。固定利率，基线统计提供当前可用资源的视图，支持与新的VNF / NS实例化相关的决策。警报器可以支持与自动重新配置相关的操作NS，例如，根据超出了流量负载阈值。

 

 

Or-Vnfm：VI监视组件可进一步提供通过Or-Vnfm监视到VNFM的信息界面，以资源利用率警报的形式触发有关自动缩放的预定义的VNFM操作集。

 

C。虚拟安全功能

 

如前所述，所需的网络安全功能可以在不同的位置进行部署，协调和管理网络中的位置，称为VNF，也称为虚拟安全功能（VSF）。这符合安全即服务（SaaS）。例如，虚拟化入侵检测系统（vIDS）或虚拟化入侵预防系统（vIPS），主动式或预测式分析，可以以缓解5G的安全服务网络服务各种攻击，例如DoS。同样，虚拟化防火墙（v​​FW）在策略上位于不同的网络点，能够基于预先确定的一组安全规则可用于实施特定5G网络所需的一组策略服务过滤通流量。

 

同样，其他网络安全功能也可以根据需要轻松实现自动虚拟化和配置安全策略管理器，支持并进行监视和分析系统以解决广泛的安全问题5G网络的要求。

 

八  结论与展望

 

本文提供了5G网络有关的安全挑战的和见解，尤其是多租户NFV / SDN已启用的5G接入网络。网络服务端到端安全性，租户隔离，虚拟化安全性和安全性管理是5G面临的主要安全挑战中。

 

本文还提出了支持多租户NFV / SDN的5G接入网络的安全体系结构。安全体系结构包含三个主要部分，一个基于策略的安全管理系统，服务监视和分析系统和VSF，以实现所需的安全功能。安全体系结构是ETSI的扩展，NFV体系结构与正在现有的网络的兼容性虚拟化融合，以及实现NFV / SDN自动化和快速配置的技术安全即服务。

 

概念验证的部分（PoC）EuCNC中介绍了2016年议中描述的安全体系结构。该实例涉及借助vIDS在LTE网络上检测攻击和vFW缓解DoS攻击，用于自动配置规则。安全体系结构正在开发中，所提议的完整的安全体系结构PoC为预计在2017年底发布。

致谢

 

我们想感谢所有合作伙伴的努力CHARISMA项目财团。该项目已收到来自欧盟Horizo​​n 2020研究的资金以及第671704号赠款协议下的创新计划。

参考文献：