1.引言
随着5G技术的崛起,虚拟移动网络(VMNs)正成为现代通信领域的重要组成部分,为移动通信带来了前所未有的灵活性和效率。然而,随着这些创新技术的广泛应用,我们也迎来了新的挑战,其中突出的挑战之一就是虚拟移动网络安全。VMNs的虚拟化、软件定义网络(SDN)和网络切片等新兴技术不仅带来了高度的灵活性,同时也引发了对数据和通信安全新层面的关切。
本文将介绍VMNS网络安全所面临的关键问题,指明现代通信基础设施中面临的威胁,并提出解决这些挑战的策略和创新,将引导您深入了解VMNS网络安全的核心问题及其应对方法。
总体概述
虚拟移动网络(VMNs)利用云计算、网络功能虚拟化(NFV)和软件定义网络(SDN),来有效地部署网络功能及在需要时扩展资源,为网络管理提供统一平台,从而实现电信网络即服务(TaaS)。如图所示,通过利用网络和虚拟化技术,可以生成一个切片,例如车联万物(V2X)实验切片,以在相同的共享基础设施上提供多样化的服务。
图 启用SDN的切片和安全功能布局
因此,VMNs的安全性将取决于SDN、云平台以及最重要的虚拟化技术NFV的安全性。通信网络的虚拟化使我们能够在同一物理基础设施上部署多种服务。虚拟化使通用商品系统能够运行一个或多个不同的虚拟网络功能(VNFs)。网络功能虚拟化(NFV),即通过软件实现网络功能,以在通用网络设备上部署,带来了虚拟网络功能(VNFs)的兴起[1]。NFV随后成为5G及5G以后网络的重要技术[2]。未来,新型垂直领域将跨越多个运营商环境,提供诸如电子健康、智能家居和车辆对车辆通信等新服务。
软件定义网络(SDN)是VMNs的主要使能技术之一,因为它具有提供物理网络基础设施抽象的能力[3]。SDN将网络控制与数据转发元素分离,引入了网络可编程性,并在逻辑上将网络控制集中到中央位置进行整个网络的管理。这些特性使网络更加强大,简化了网络管理,并最小化了运营费用。然而,这些特性也为新的安全漏洞和挑战敞开了大门。SDN在VNF的部署方面为NFV提供了极大的便利,同时在网络基础设施中提供支持,因此SDN和NFV高度互补[4]。由于所有这些技术高度相关且相互依赖,在这一小节中我们将讨论面临的安全挑战及其可能的解决方案。
2.NFV的安全性挑战
在虚拟移动网络(VMNs)中,网络功能虚拟化(NFV)所面临的安全挑战主要集中在虚拟化管理程序、虚拟机(VM)和虚拟网络功能(VNF)方面。虚拟化威胁的概念在近期涌现,VMN中软硬件的可用性、完整性和保密性都可能受到威胁。在VMNs中,虚拟化管理程序(hypervisor)是一个负责在硬件上创建虚拟实例的中央实体。安全威胁可能源于软件实现、VNF配置、管理程序和云平台的安全弱点,以及对VNF的直接攻击,如侧通道攻击、泛洪攻击和恶意软件注入[5]。
由于虚拟网络功能(VNFs)的动态特性,信任管理成为了另一个严重的问题。因为VNFs能够在多个网络之间移动,并由不同所有者和运营商维护的云平台支持[5],它们可能成为攻击的目标。此类攻击的目标包括用户流量、VNF代码和策略输入,以及VNF的状态。攻击者可能会利用操作环境的固有限制,包括其软件和硬件[6],来实现这些攻击。此外,如果未定义标准接口,则可能面临更严重的安全挑战[7]。
NFV的安全解决方案
与中心化或核心网络元素类似,保护虚拟化管理程序NFV必须通过适当的身份验证、授权和问责机制,必须采取确保可用性的安全机制。对VNF包的安全验证检查可以避免在整个系统中引入安全漏洞。因此,有多个提议提出通过适当的身份验证和完整性验证来进行VNF包的机密性检查,以纳入NFV系统。还有其他关于保护系统免受恶意VNF的提议。例如,文献[8]中的作者提出并演示了一种验证系统,使用标准TOSCA [9]数据模型保护NFV基础设施(NFVI)的不同VNF安全属性。
3.网络切片安全挑战
网络切片通过在5G网络中实现资源共享,为移动通信带来了创新,但同时也为安全性和隐私保护带来了新的挑战。由于切片是移动网络的新概念,因此可能会出现与基于服务的架构(SBA)相似的设计和实施错误。在切片的生命周期管理中,切片模板、切片配置API和用户数据处理都可能成为攻击的目标。当切片运行时,可能会面临拒绝服务(DoS)攻击、性能攻击、数据泄露和隐私侵犯等风险。潜在的攻击点涵盖了用户设备、服务接口、子切片、切片管理器、网络功能以及参与网络切片的各种网络资源。切片间通信场景也为网络带来了额外的安全隐患[10]。此外,新的网络功能领域,如切片管理、切片隔离、切片间的安全区分,以及切片过程中演进分组核心(EPC)与5G核心网络(5GC)的交互,也都面临着潜在的移动网络安全威胁[11]。
网络切片安全解决方案
为了给所有5G网络切片提供一致且高效的安全性,应特别关注确保端到端切片安全、切片隔离以及切片资源管理和编排的方法和技术。针对不同的切片场景,需要制定新的信任模型以促进参与切片的各个行为者和网络之间的资源共享[10]。同时,建立强大的隔离机制也是必要的,因为强大的隔离机制可以最大限度地减少一个恶意切片对其他切片及虚拟化管理程序的影响[12]。通过主动监视网络流量,及时识别可疑和恶意活动,并利用SDN概念停止入站流量,可以提高网络中不同切片的安全性。
4.软件定义网络的安全挑战
数据平面与控制平面的分离、集中控制以及网络可编程性(通过可编程API)为SDN带来了安全挑战[13]。例如,攻击者可能利用平面间的通信通道伪装一个平面,发动对另一个平面的攻击。此外,由于集中式控制器的存在,使其成为DOS和资源耗尽攻击的潜在目标,这已通过对网络中实时数据包的时间戳[14]或往返时间[15]进行指纹识别得到了证明。因此,SDN中针对网络控制点的攻击相对容易实施。另外,SDN允许应用程序编程或更改网络行为的特点,可能使恶意程序有机会暗中操控网络资源,例如流量重定向至僵尸网络或黑客或窃取用户流量。在虚拟移动网络(VMNs)中,由于查找恶意软件的难度更大,因此能够操纵网络的恶意软件的威胁程度更高。
软件定义网络的解决方案
要保护网络免受SDN攻击,首先需要克服传统SDN架构的弱点。举例来说,通过在逻辑上集中但在物理上分散网络控制权,可以防范资源耗尽攻击,并确保网络控制点在数据平面中保持始终可用[16]。为实现这种韧性,可采取多种策略,包括分解控制器功能,例如实施本地决策制定[17]、采用分层控制器[18]、增加资源并提升资源能力,以及利用配备机器学习(ML)的智能安全系统,以在攻击进入网络弱点之前采取积极的预防措施[12]。
此外,SDN还可用于提高虚拟网络的安全性[19]。通过利用SDN的虚拟机(VM)迁移技术,可以将资源移动到安全的区域。例如,面对DoS攻击,通过监测SDN转发平面中的负载状态(例如流表中的数据包计数器值),可以实时有效地进行VM迁移,从而提高可扩展性。相较于传统网络,SDN通过在集中控制平台上对实时网络进行编程的可编程API,以及独立于分层IP协议栈的特性,成功解决了实时VM迁移所面临的网络状态不可预测和VM迁移仅限于局域网(LAN)的难题。因此,加强SDN的韧性有助于提升虚拟移动网络(VMNs)的安全性[13]。
5.总结
本文深入探讨了虚拟移动网络(VMNs)安全方面的关键问题,特别聚焦于新兴技术如5G、网络功能虚拟化(NFV)、软件定义网络(SDN)以及网络切片等对网络安全提出的挑战。5G的引入使得VMNs能够更灵活地共享物理基础设施,但同时也引入了新的安全问题,例如flash网络流量的激增、无线接口的安全性、用户平面完整性等。网络切片的应用为资源共享提供了便利,NFV和SDN的应用为网络提供了更大的灵活性,但他们使得VMNs更为复杂,带来了新的安全威胁。
本文还探讨了针对这些挑战的安全解决方案,包括对NFV的保护、网络切片的端到端安全性保障、以及SDN中的攻击防范措施。强调了适当的身份验证、授权、问责机制以及安全验证检查的重要性,同时指出了在SDN中分布控制、资源增加、机器学习等措施可以提高整体网络的韧性和安全性等。
摘要
[1]B. Yi, X. Wang, S. K. Das, K. Li, and M. Huang, ''A comprehensive survey of network function virtualization,'' Comput. Netw., vol. 133, pp. 212–262, Mar. 2018.
[2] F. Z. Yousaf, M. Bredel, S. Schaller, and F. Schneider, ''NFV and SDN— Key technology enablers for 5G networks,'' IEEE J. Sel. Areas Commun., vol. 35, no. 11, pp. 2468–2478, Nov. 2017.
[3] G. Biczok, M. Dramitinos, L. Toka, P. E. Heegaard, and H. Lonsethagen, ''Manufactured by software: SDN-enabled multi-operator composite services with the 5G exchange,'' IEEE Commun. Mag., vol. 55, no. 4, pp. 80–86, Apr. 2017.
[4] J. Matias, J. Garay, N. Toledo, J. Unzilla, and E. Jacob, ''Toward an SDN-enabled NFV architecture,'' IEEE Commun. Mag., vol. 53, no. 4, pp. 187–193, Jan. 2015.
[5] I. Ahmad, T. Kumar, M. Liyanage, J. Okwuibe, M. Ylianttila, and A. Gurtov, ''Overview of 5G security challenges and solutions,'' IEEE Commun. Standards Mag., vol. 2, no. 1, pp. 36–43, Mar. 2018.
[6] E. Marku, G. Biczok, and C. Boyd, ''Towards protected VNFs for multioperator service delivery,'' in Proc. IEEE Conf. Netw. Softw. (NetSoft), Jun. 2019, pp. 19–23.
[7] W. Yang and C. Fung, ''A survey on security in network functions virtualization,'' in Proc. IEEE NetSoft Conf. Workshops (NetSoft), Jun. 2016, pp. 15–19.
[8] M. Pattaranantakul, Y. Tseng, R. He, Z. Zhang, and A. Meddahi, ''A first step towards security extension for NFV orchestrator,'' in Proc. ACM Int. Workshop Secur. Softw. Defined Netw. Netw. Function Virtualization, New York, NY, USA, Mar. 2017, p. 25.
[9] Tosca Simple Profile for Network Functions Virtualization (NFV) Version 1.0, TOSCA, Atlanta, GA, USA, 2015.
[10] R. F. Olimid and G. Nencioni, ''5G network slicing: A security overview,''IEEE Access, vol. 8, pp. 99999–100009, 2020.
[11] J. Cao, M. Ma, H. Li, R. Ma, Y. Sun, P. Yu, and L. Xiong, ''A survey on security aspects for 3GPP 5G networks,'' IEEE Commun. Surveys Tuts., vol. 22, no. 1, pp. 170–195, 1st Quart., 2020.
[12] M. Liyanage, I. Ahmad, A. B. Abro, A. Gurtov, and M. Ylianttila,A Comprehensive Guide to 5G Security. Hoboken, NJ, USA: Wiley, 2018.
[13] I. Ahmad, S. Namal, M. Ylianttila, and A. Gurtov, ''Security in software defined networks: A survey,'' IEEE Commun. Surveys Tuts., vol. 17, no. 4, pp. 2317–2346, 4th Quart., 2015.
[14] A. Azzouni, O. Braham, T. M. Trang Nguyen, G. Pujolle, and R. Boutaba, ''Fingerprinting OpenFlow controllers: The first step to attack an SDN control plane,'' in Proc. IEEE Global Commun. Conf. (GLOBECOM), Dec. 2016, pp. 1–6.
[15] H. Cui, G. O. Karame, F. Klaedtke, and R. Bifulco, ''On the fingerprinting of software-defined networks,'' IEEE Trans. Inf. Forensics Security, vol. 11, no. 10, pp. 2160–2173, Oct. 2016.
[16] E. Sakic, N. Ðerić, and W. Kellerer, ''MORPH: An adaptive framework for efficient and Byzantine fault-tolerant SDN control plane,''IEEE J. Sel. Areas Commun., vol. 36, no. 10, pp. 2158–2174, Oct. 2018.
[17] J. C. Mogul, J. Tourrilhes, P. Yalagandula, P. Sharma, A. R. Curtis, and S. Banerjee, ''DevoFlow: Cost-effective flow management for high performance enterprise networks,'' in Proc. 9th ACM SIGCOMM Workshop Hot Topics Netw., 2010, pp. 1–6.
[18] M. A. Togou, D. A. Chekired, L. Khoukhi, and G.-M. Muntean, ''A hierarchical distributed control plane for path computation scalability in large scale software-defined networks,'' IEEE Trans. Netw. Service Manage., vol. 16, no. 3, pp. 1019–1031, Sep. 2019.
[19] M. Liyanage, I. Ahmad, M. Ylianttila, A. Gurtov, A. B. Abro, and E. M. de Oca, ''Leveraging LTE security with SDN and NFV,'' in Proc. IEEE 10th Int. Conf. Ind. Inf. Syst. (ICIIS), Dec. 2015, pp. 220–225.