5G网络NFVI安全防护架构

张鉴 冯晓东 唐洪玉

【摘  要】基于5G网络“云化”和“虚拟化”的特点，NFV技术将在5G网络中发挥关键性的作用，提出了NFVI的安全防护架构，并针对物理层、网络层、虚拟化层、安全管理层等各层面提出具体的安全技术措施。

【关键词】5G网络;NFV;安全架构

1   引言

随着信息通信技术的快速发展和广泛应用，人类社会与信息网络密不可分。5G作为下一代无线通信技术将支持更加丰富的应用服务，深入融合到人们日常生活、工作、学习、娱乐以及现实社会的运行、管理中，应该站在网络空间的角度审视5G的安全。随着5G网络系统架构“云化”和“虚拟化”的变革，NFV技术将在5G网络中发挥关键的作用，因此研究5G中NFV的安全防护框架和技术也成为目前的一项重要课题。

2   5G网络总体架构

5G网络的设计融入了SDN、NFV、云计算技术的核心思想。5G网络架构由控制云、接入云和转发云共同组成（如图1所示），并可基于SDN/NFV技术实现[1]。

（1）接入云。支持用户在多种应用场景和业务需求下的智能无线接入，并实现多种无线接入技术的高效融合，无线组网可基于不同部署条件要求，进行灵活组网，并提供边缘计算能力。

（2）控制云。完成全局的策略控制、会话管理、移动性管理、策略管理、信息管理等，并支持面向业务的网络能力开放功能，实现定制网络与服务，满足不同新业务的差异化需求，并扩展新的网络服务能力。

（3）转发云。配合接入云和控制云，实现业务汇聚转发功能，基于不同新业务的带宽和时延等需求，实现增强移动宽带、海量连接、高可靠和低时延等不同业务数据流的高效转发与传输，保证业务端到端质量要求。

3   5G网络中NFV技术安全需求分析

3.1  5G新业态需要NFV技术支撑

国际电信联盟（ITU）定义了5G的三大应用场景[2]：增强移动宽带（eMBB）、海量机器类通信（mMTC）、高可靠低时延（uRLLC）。不同应用场景往往在多个关键指标上存在差异化要求，因此5G系统需要支持可靠性、时延、吞吐量、定位、计费、安全和可用性的定制组合。5G业务需求的多样性给5G网络规划和设计带来了新的挑战，包括网络功能、架构、资源、路由等多方面的定制化设计挑战。

随着大量5G特有的新型业务的出现，要求运营商必须在研发模式、运营模式、服务模式等各方面做出改变。采用NFV/SDN技术对电信网元的软硬件解耦，并结合云原生技术实现网络虚拟化、云化部署，通过网络功能模块化、控制和转发分离等使能技术，可以实现网络按照不同业务需求快速部署、动态的扩缩容和网络切片的全生命周期管理，包括端到端网络切片的灵活构建、业务路由的灵活调度、网络资源的灵活分配以及跨域、跨平台、跨厂家乃至跨运营商的端到端业务提供，可以快速实現网络功能和各种应用的开发和上线，以应对5G时代给电信市场带来的挑战。

3.2  NFV技术带来新的安全挑战

网络功能虚拟化（NFV）是构建5G网络的关键技术之一，但NFV技术的引入，对5G网络的安全提出了新的挑战。

5G网络需要解决安全边界变化、控制转发分离网络架构下的安全问题。支持应用、控制和转发功能的云安全，采取对网络流量进行镜像、阻断和过滤等安全操作，解决服务拒绝攻击、单点失效等安全问题。5G需要提供异构网络整体的安全措施，为不同网络提供标准的接口进行安全操作，隔离不同类型网络[3-4]。

NFV技术所带来的特有安全风险尤其需要重点关注，如NFV基础设施导致平台安全防护能力下降的问题。当平台运行不可信的虚机时，硬件平台的安全防护能力可能会整体下降。这是由于虚拟环境中缺乏天然的物理隔离，针对单个虚拟网元的威胁有可能会扩散至整个平台，进而影响其他虚拟网元的安全。此外，VNF虚拟网元存在权限管理复杂、VNF通信安全、虚拟网元系统后门等风险;MANO（管理和编排）存在未经授权任意创建或删除虚拟网元，非法获取虚拟网元配置信息、证书及密钥，实施对虚拟网元攻击的风险。

4   构建5G网络NFVI安全防护框架

4.1  NFV技术架构

NFV（Network Function Virtualization）的基本理念是基于标准的X86架构服务器、通用存储和交换机等硬件平台，利用虚拟化技术，在虚拟化硬件资源上承载各类功能的软件，由虚拟的网元替代传统的通信设备，从而实现网络功能虚拟化。

NFV的技术架构参考图2[5]，针对通信网络虚拟化应用的特性将电信系统NFV架构分为三层。

（1）NFVI（NFV Infrastructure，NFV基础设施）。NFVI提供部署、管理和执行环境，并实现对资源（包含硬件资源和虚拟资源）的管理和监控。硬件资源层、虚拟化层及其上的虚拟资源层实现对虚拟网络层业务网元的承载;虚拟基础设施管理（VIM）实现对资源的管理、调度、编排和监控功能。

（2）虚拟通信业务层。基于底层云化基础设施实现通信业务能力，主要包括VNF、EMS及VNF管理系统（VNFM）。其中，VNF是基于NFVI虚拟资源部署的业务网元;EMS是VNF业务网络管理系统，提供网元管理功能;VNFM是VNF管理系统，负责VNF生命周期管理以及VNFD的生成与解析。

（3）运营支撑层。实现对业务的编排、运维与管理，主要包括OSS/BSS和NFVO。

4.2  NFVI安全防护框架

NFVI在整个NFV技术体系中具有基础性和关键性的位置，将从NFV基础设施层面构建安全防护框架。

NFVI安全防护技术措施主要包含物理设施安全、虚拟设施安全、管理安全、网络安全四个方面。安全防护框架如图3所示。

（1）物理设施安全主要包含硬件设备（服务器、交换机等）自身安全、嵌入式软件安全、硬件设备操作系统和数据库系统安全。

（2）虚拟设施安全主要包含虚拟化软件Hypervisor安全、用于统筹虚拟资源分配管理的云操作系统安全。

（3）网络安全包含NFVI内部网络连接的网络架构、网络隔离、网络防护等功能。

（4）管理安全主要包含NFVI资源管理系统VIM安全，包括虚拟资产的安全管理，如身份认证、访问控制、安全监控和审计等。

4.3  NFVI安全防护技术措施

基于NFVI安全防护框架，结合5G网络安全需求，可以对物理设施安全、虚拟设施安全、网络安全、管理安全提出更加具体的安全技术措施，从而使整个安全防护框架更具可操作性。

（1）物理设施安全技术要求

物理基础设施为虚拟化底层部分，它的安全关系到整个虚拟化系统的安全，缺乏物理安全的控制时，即使管理、技术和上层软件系统访问控制的很好，也无法保证系统足够的安全性。如果怀有恶意的人员能够实现对服务器、存储、交换机等设备的物理访问，那么就几乎可以实施任何对系统的破坏和控制。物理设施安全技术要求可以从硬件设备物理接口、CPU安全漏洞、硬件设备存储介质、操作系统/数据库基础安全等方面进行考虑。

1）硬件设备物理接口

◆硬件设备应删除软盘、USB、串口等不必要的接口。

◆支持系统访问的物理接口均应支持通过软件设置关闭或访问控制机制。

◆用于数据转发的物理接口登录系统应支持完整用户认证，并支持在系统内禁用相关接口。

2）CPU安全漏洞

◆硬件设备应使用未受安全漏洞影响的CPU型号。

◆硬件设备已经安装软件补丁或具备规避措施，系统不受对应CPU漏洞的影响。

3）硬件设备存储介质

◆设备不存在外部可插拔的存储介质。

◆服务器的USB口应默认禁止挂载存储器件。

4）操作系统/数据库基础安全

◆系统只开放必要的服务端口，非必要的服务组件已经关闭。

◆系统不存在不需要的账号，不存在空口令的账号，应按照不同角色对用户和用户组权限进行合理设置，权限控制策略满足业务安全要求。

◆关键文件/目录读写权限合理。

◆数据库符合基础安全加固要求，至少不存在无用账号，使用了加强密码策略。

◆系统设备的软件版本不存在未修复的中高风险的安全漏洞。

◆经过漏洞扫描系统不存在中高风险的安全漏洞，对于中高风险的安全漏洞，需要有明确的修复或规避措施。

（2）虚拟设施安全技术要求

虚拟设施是承载在物理设施之上的虚拟系统，用于为虚拟化功能單元提供安装、部署、资源的生命周期管理服务。虚拟设施需要覆盖如下系统：虚拟化软件Hypervisor、用于统筹虚拟资源分配管理的云操作系统（如OpenStack）。

虚拟设施安全需要考虑的因素包括：账号和权限、访问控制、系统更新、安全管理、安全隔离、业务连续性、安全审计、虚拟存储。

1）账号和权限

◆Hypervisor系统用户身份标识应具备唯一性，应启用shadow文件。

◆Hypervisor系统应设置合理的口令策略，口令复杂度、口令长度、口令期限等应符合业务安全性要求。

◆不得存在多余、过期和共享账号，应按照不同角色对用户和用户组权限进行合理设置，权限控制策略满足业务安全要求。

2）访问控制

◆应启用安全协议进行虚拟主机远程登录，应对登录账号进行限制。

◆应禁用root账号对虚拟主机进行远程登录，应使用非特权账号进行远程管理。

◆应设置登录账号的密码期限，启用登录失败处理功能，设置登录超时策略。

3）系统更新

◆Hypervisor系统应及时进行系统更新，下载安装最新的安全补丁。

◆Hypervisor系统应采用数字签名方式进行更新，安全更新机制满足业务安全性要求。

4）安全管理

◆应正确配置SNMP，如果SNMP不被使用，应该保持禁用。如果被使用时，应配置适当的服务目标。

◆应禁用DCUI，阻止本地管理控制能力，如配置IP地址，主机名和root密码以及诊断功能等。

5）安全隔离

◆应保证不同虚拟机之间CPU指令隔离。

◆应保证不同虚拟机之间内存的隔离。

◆应保证虚拟机只能访问分配给自己的存储空间。

6）业务连续性

◆在不中断业务的情况下，应支持虚拟主机快速热迁移。

◆应支持完整的虚拟主机生命周期管理，支持宿主服务器物理资源利用情况监控和告警，支持虚拟机运行情况监控和告警。

7）安全审计

◆应启用安全审计和日志记录功能，能够对用户登录、虚拟机运行状况等行为进行日志记录，安全日志的存放和备份方式符合业务安全要求。

◆应正确配置NTP，确保所有的虚拟机系统都使用相同的时间源。

8）虚拟存储

◆应支持对虚拟磁盘设置访问策略，保证用户数据不能被其他非授权用户访问。

◆应支持对虚拟磁盘进行加密。应支持在用户要求删除数据或设备弃置、转售前将其所有数据彻底清除。

（3）网络安全技术要求

通过将主机内虚拟交换机和外部物理交换机统一配置和部署，实现虚拟系统的网络连通和隔离。网络安全需要重点考虑网络架构、网络隔离、网络配置和网络安全防护等方面。

1）网络架构

◆应保证关键网络设备及虚拟化网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。

◆应保证核心网络的带宽满足业务高峰期需要。

◆应提供开放接口，允许接入第三方安全产品。

2）网络隔离

◆应支持网络安全域划分，确保虚拟机之间的安全隔离，支持VLAN/VxLAN或安全组等方式。

◆应支持客户自定义虚拟机之间的安全策略。

3）网络配置

◆应禁用虚拟网卡的“混杂模式”“MAC地址更改”和“伪信号”的配置。

◆应防止虚拟机使用虚假的IP或MAC地址对外发起攻击。

4）安全防护

◆应支持虚拟化防火墙功能，支持虚拟机安全组配置，支持虚拟网络访问控制策略配置。

◆应支持在虚拟网络中对虚拟机监视器和虚拟机的入侵行为进行检测，并在发生入侵事件时提供告警。

（4）管理安全技术要求

NFVI资源的生命周期管理通过VIM来实现，包括NFVI的计算、存储和网络资源的控制与管理，收集性能监控和各项事件信息，并向上层业务提供开放接口。用户认证和授权管理是系统安全管理中必不可少的一个环节，此外安全管理还包含安全审计、传输安全、安全监控、Web安全等相关内容。

1）用户认证

◆用户在登录系统之前，应首先经过认证系统识别身份，然后根据用户身份进行授权，安全接入管理系统。

◆应支持口令长度及复杂度验证机制。

◆应提供对用户口令生命周期控制功能。

◆应支持自定义账号安全策略功能。包括非法探测登录防护功能、最大连接数控制功能等。

2）授权管理

◆应能够根据用户、用户组、用户级别的定义来对资源的访问进行集中授权。

◆应能够动态地创建、删除和修改角色，形成新的权限集合，以便分配给系统用户，达到控制系统用户权限的目的。

3）安全审计

◆支持对用户/管理员对登录日志的记录和审计。

◆支持对用户/管理员操作行为的記录和审计。

◆支持对自服务系统、资源管理系统及网络设备日志的记录和审计。

4）传输安全

◆应支持SSL、SSH、IPSec等方式为云计算系统内部的维护管理信息提供数据加密保护，保障维护管理信息的安全。

◆应支持SSL、SSH、IPSec等方式保护用户的数据传输安全。

5）安全监控

◆应支持对虚拟机状态的实时监控，形成各种安全事件信息。

◆应支持对安全事件信息进行处理，形成不同级别的安全告警信息。

◆应提供日志信息、安全事件、网络流量等相关信息查询。

6）Web安全

◆使用Web漏洞扫描工具对系统进行扫描，不存在中高风险漏洞。

◆Web系统关键功能均有权限控制，不存在越权操作的情况。

5   结束语

NFV技术是5G网络的关键性支撑技术之一，因此明确5G网络中NFVI的安全需求，构建符合5G安全需求和网络特性的安全防护架构，是当前一项重要工作。本文基于5G网络的安全需求和NFV技术架构，提出了完整和可操作性的5G网络NFVI安全防护架构，希望能为5G网络安全建设提供有借鉴性的参考。

参考文献：

[1] 中国电信. 中国电信5G技术白皮书[R]. 2018.

[2] 3GPP. 3GPP TS 23.501 V16.0.2： System Architecture for the 5G System[S]. 2019.

[3] 3GPP. 3GPP TS 33.501 V15.4.0： 5G Security Architecture and Procedures for 5G System[S]. 2019.

[4] 华为技术有限公司. 华为5G安全架构白皮书[R]. 2017.

[5] ETSI. ETSI GR NFV-SEC 003 V1.2.1： Network Functions Virtualization （NFV） Security and Trust Guidance[S]. 2016.