我們一起聊聊虛擬移動網絡安全
1.引言
隨著5G技術的崛起,虛擬移動網絡(VMNs)正成為現代通信領域的重要組成部分,為移動通信帶來了前所未有的靈活性和效率。然而,隨著這些創新技術的廣泛應用,我們也迎來了新的挑戰,其中突出的挑戰之一就是虛擬移動網絡安全。VMNs的虛擬化、軟件定義網絡(SDN)和網絡切片等新興技術不僅帶來了高度的靈活性,同時也引發了對數據和通信安全新層面的關切。
本文將介紹VMNS網絡安全所面臨的關鍵問題,指明現代通信基礎設施中面臨的威脅,并提出解決這些挑戰的策略和創新,將引導您深入了解VMNS網絡安全的核心問題及其應對方法。
總體概述
虛擬移動網絡(VMNs)利用云計算、網絡功能虛擬化(NFV)和軟件定義網絡(SDN),來有效地部署網絡功能及在需要時擴展資源,為網絡管理提供統一平臺,從而實現電信網絡即服務(TaaS)。如圖所示,通過利用網絡和虛擬化技術,可以生成一個切片,例如車聯萬物(V2X)實驗切片,以在相同的共享基礎設施上提供多樣化的服務。
圖 啟用SDN的切片和安全功能布局
因此,VMNs的安全性將取決于SDN、云平臺以及最重要的虛擬化技術NFV的安全性。通信網絡的虛擬化使我們能夠在同一物理基礎設施上部署多種服務。虛擬化使通用商品系統能夠運行一個或多個不同的虛擬網絡功能(VNFs)。網絡功能虛擬化(NFV),即通過軟件實現網絡功能,以在通用網絡設備上部署,帶來了虛擬網絡功能(VNFs)的興起[1]。NFV隨后成為5G及5G以后網絡的重要技術[2]。未來,新型垂直領域將跨越多個運營商環境,提供諸如電子健康、智能家居和車輛對車輛通信等新服務。
軟件定義網絡(SDN)是VMNs的主要使能技術之一,因為它具有提供物理網絡基礎設施抽象的能力[3]。SDN將網絡控制與數據轉發元素分離,引入了網絡可編程性,并在邏輯上將網絡控制集中到中央位置進行整個網絡的管理。這些特性使網絡更加強大,簡化了網絡管理,并最小化了運營費用。然而,這些特性也為新的安全漏洞和挑戰敞開了大門。SDN在VNF的部署方面為NFV提供了極大的便利,同時在網絡基礎設施中提供支持,因此SDN和NFV高度互補[4]。由于所有這些技術高度相關且相互依賴,在這一小節中我們將討論面臨的安全挑戰及其可能的解決方案。
2.NFV的安全性挑戰
在虛擬移動網絡(VMNs)中,網絡功能虛擬化(NFV)所面臨的安全挑戰主要集中在虛擬化管理程序、虛擬機(VM)和虛擬網絡功能(VNF)方面。虛擬化威脅的概念在近期涌現,VMN中軟硬件的可用性、完整性和保密性都可能受到威脅。在VMNs中,虛擬化管理程序(hypervisor)是一個負責在硬件上創建虛擬實例的中央實體。安全威脅可能源于軟件實現、VNF配置、管理程序和云平臺的安全弱點,以及對VNF的直接攻擊,如側通道攻擊、泛洪攻擊和惡意軟件注入[5]。
由于虛擬網絡功能(VNFs)的動態特性,信任管理成為了另一個嚴重的問題。因為VNFs能夠在多個網絡之間移動,并由不同所有者和運營商維護的云平臺支持[5],它們可能成為攻擊的目標。此類攻擊的目標包括用戶流量、VNF代碼和策略輸入,以及VNF的狀態。攻擊者可能會利用操作環境的固有限制,包括其軟件和硬件[6],來實現這些攻擊。此外,如果未定義標準接口,則可能面臨更嚴重的安全挑戰[7]。
NFV的安全解決方案
與中心化或核心網絡元素類似,保護虛擬化管理程序NFV必須通過適當的身份驗證、授權和問責機制,必須采取確保可用性的安全機制。對VNF包的安全驗證檢查可以避免在整個系統中引入安全漏洞。因此,有多個提議提出通過適當的身份驗證和完整性驗證來進行VNF包的機密性檢查,以納入NFV系統。還有其他關于保護系統免受惡意VNF的提議。例如,文獻[8]中的作者提出并演示了一種驗證系統,使用標準TOSCA [9]數據模型保護NFV基礎設施(NFVI)的不同VNF安全屬性。
3.網絡切片安全挑戰
網絡切片通過在5G網絡中實現資源共享,為移動通信帶來了創新,但同時也為安全性和隱私保護帶來了新的挑戰。由于切片是移動網絡的新概念,因此可能會出現與基于服務的架構(SBA)相似的設計和實施錯誤。在切片的生命周期管理中,切片模板、切片配置API和用戶數據處理都可能成為攻擊的目標。當切片運行時,可能會面臨拒絕服務(DoS)攻擊、性能攻擊、數據泄露和隱私侵犯等風險。潛在的攻擊點涵蓋了用戶設備、服務接口、子切片、切片管理器、網絡功能以及參與網絡切片的各種網絡資源。切片間通信場景也為網絡帶來了額外的安全隱患[10]。此外,新的網絡功能領域,如切片管理、切片隔離、切片間的安全區分,以及切片過程中演進分組核心(EPC)與5G核心網絡(5GC)的交互,也都面臨著潛在的移動網絡安全威脅[11]。
網絡切片安全解決方案
為了給所有5G網絡切片提供一致且高效的安全性,應特別關注確保端到端切片安全、切片隔離以及切片資源管理和編排的方法和技術。針對不同的切片場景,需要制定新的信任模型以促進參與切片的各個行為者和網絡之間的資源共享[10]。同時,建立強大的隔離機制也是必要的,因為強大的隔離機制可以最大限度地減少一個惡意切片對其他切片及虛擬化管理程序的影響[12]。通過主動監視網絡流量,及時識別可疑和惡意活動,并利用SDN概念停止入站流量,可以提高網絡中不同切片的安全性。
4.軟件定義網絡的安全挑戰
數據平面與控制平面的分離、集中控制以及網絡可編程性(通過可編程API)為SDN帶來了安全挑戰[13]。例如,攻擊者可能利用平面間的通信通道偽裝一個平面,發動對另一個平面的攻擊。此外,由于集中式控制器的存在,使其成為DOS和資源耗盡攻擊的潛在目標,這已通過對網絡中實時數據包的時間戳[14]或往返時間[15]進行指紋識別得到了證明。因此,SDN中針對網絡控制點的攻擊相對容易實施。另外,SDN允許應用程序編程或更改網絡行為的特點,可能使惡意程序有機會暗中操控網絡資源,例如流量重定向至僵尸網絡或黑客或竊取用戶流量。在虛擬移動網絡(VMNs)中,由于查找惡意軟件的難度更大,因此能夠操縱網絡的惡意軟件的威脅程度更高。
軟件定義網絡的解決方案
要保護網絡免受SDN攻擊,首先需要克服傳統SDN架構的弱點。舉例來說,通過在邏輯上集中但在物理上分散網絡控制權,可以防范資源耗盡攻擊,并確保網絡控制點在數據平面中保持始終可用[16]。為實現這種韌性,可采取多種策略,包括分解控制器功能,例如實施本地決策制定[17]、采用分層控制器[18]、增加資源并提升資源能力,以及利用配備機器學習(ML)的智能安全系統,以在攻擊進入網絡弱點之前采取積極的預防措施[12]。
此外,SDN還可用于提高虛擬網絡的安全性[19]。通過利用SDN的虛擬機(VM)遷移技術,可以將資源移動到安全的區域。例如,面對DoS攻擊,通過監測SDN轉發平面中的負載狀態(例如流表中的數據包計數器值),可以實時有效地進行VM遷移,從而提高可擴展性。相較于傳統網絡,SDN通過在集中控制平臺上對實時網絡進行編程的可編程API,以及獨立于分層IP協議棧的特性,成功解決了實時VM遷移所面臨的網絡狀態不可預測和VM遷移僅限于局域網(LAN)的難題。因此,加強SDN的韌性有助于提升虛擬移動網絡(VMNs)的安全性[13]。
5.總結
本文深入探討了虛擬移動網絡(VMNs)安全方面的關鍵問題,特別聚焦于新興技術如5G、網絡功能虛擬化(NFV)、軟件定義網絡(SDN)以及網絡切片等對網絡安全提出的挑戰。5G的引入使得VMNs能夠更靈活地共享物理基礎設施,但同時也引入了新的安全問題,例如flash網絡流量的激增、無線接口的安全性、用戶平面完整性等。網絡切片的應用為資源共享提供了便利,NFV和SDN的應用為網絡提供了更大的靈活性,但他們使得VMNs更為復雜,帶來了新的安全威脅。
本文還探討了針對這些挑戰的安全解決方案,包括對NFV的保護、網絡切片的端到端安全性保障、以及SDN中的攻擊防范措施。強調了適當的身份驗證、授權、問責機制以及安全驗證檢查的重要性,同時指出了在SDN中分布控制、資源增加、機器學習等措施可以提高整體網絡的韌性和安全性等。
摘要
[1]B. Yi, X. Wang, S. K. Das, K. Li, and M. Huang, ''A comprehensive survey of network function virtualization,'' Comput. Netw., vol. 133, pp. 212–262, Mar. 2018.
[2] F. Z. Yousaf, M. Bredel, S. Schaller, and F. Schneider, ''NFV and SDN— Key technology enablers for 5G networks,'' IEEE J. Sel. Areas Commun., vol. 35, no. 11, pp. 2468–2478, Nov. 2017.
[3] G. Biczok, M. Dramitinos, L. Toka, P. E. Heegaard, and H. Lonsethagen, ''Manufactured by software: SDN-enabled multi-operator composite services with the 5G exchange,'' IEEE Commun. Mag., vol. 55, no. 4, pp. 80–86, Apr. 2017.
[4] J. Matias, J. Garay, N. Toledo, J. Unzilla, and E. Jacob, ''Toward an SDN-enabled NFV architecture,'' IEEE Commun. Mag., vol. 53, no. 4, pp. 187–193, Jan. 2015.
[5] I. Ahmad, T. Kumar, M. Liyanage, J. Okwuibe, M. Ylianttila, and A. Gurtov, ''Overview of 5G security challenges and solutions,'' IEEE Commun. Standards Mag., vol. 2, no. 1, pp. 36–43, Mar. 2018.
[6] E. Marku, G. Biczok, and C. Boyd, ''Towards protected VNFs for multioperator service delivery,'' in Proc. IEEE Conf. Netw. Softw. (NetSoft), Jun. 2019, pp. 19–23.
[7] W. Yang and C. Fung, ''A survey on security in network functions virtualization,'' in Proc. IEEE NetSoft Conf. Workshops (NetSoft), Jun. 2016, pp. 15–19.
[8] M. Pattaranantakul, Y. Tseng, R. He, Z. Zhang, and A. Meddahi, ''A first step towards security extension for NFV orchestrator,'' in Proc. ACM Int. Workshop Secur. Softw. Defined Netw. Netw. Function Virtualization, New York, NY, USA, Mar. 2017, p. 25.
[9] Tosca Simple Profile for Network Functions Virtualization (NFV) Version 1.0, TOSCA, Atlanta, GA, USA, 2015.
[10] R. F. Olimid and G. Nencioni, ''5G network slicing: A security overview,''IEEE Access, vol. 8, pp. 99999–100009, 2020.
[11] J. Cao, M. Ma, H. Li, R. Ma, Y. Sun, P. Yu, and L. Xiong, ''A survey on security aspects for 3GPP 5G networks,'' IEEE Commun. Surveys Tuts., vol. 22, no. 1, pp. 170–195, 1st Quart., 2020.
[12] M. Liyanage, I. Ahmad, A. B. Abro, A. Gurtov, and M. Ylianttila,A Comprehensive Guide to 5G Security. Hoboken, NJ, USA: Wiley, 2018.
[13] I. Ahmad, S. Namal, M. Ylianttila, and A. Gurtov, ''Security in software defined networks: A survey,'' IEEE Commun. Surveys Tuts., vol. 17, no. 4, pp. 2317–2346, 4th Quart., 2015.
[14] A. Azzouni, O. Braham, T. M. Trang Nguyen, G. Pujolle, and R. Boutaba, ''Fingerprinting OpenFlow controllers: The first step to attack an SDN control plane,'' in Proc. IEEE Global Commun. Conf. (GLOBECOM), Dec. 2016, pp. 1–6.
[15] H. Cui, G. O. Karame, F. Klaedtke, and R. Bifulco, ''On the fingerprinting of software-defined networks,'' IEEE Trans. Inf. Forensics Security, vol. 11, no. 10, pp. 2160–2173, Oct. 2016.
[16] E. Sakic, N. Deric?, and W. Kellerer, ''MORPH: An adaptive framework for efficient and Byzantine fault-tolerant SDN control plane,''IEEE J. Sel. Areas Commun., vol. 36, no. 10, pp. 2158–2174, Oct. 2018.
[17] J. C. Mogul, J. Tourrilhes, P. Yalagandula, P. Sharma, A. R. Curtis, and S. Banerjee, ''DevoFlow: Cost-effective flow management for high performance enterprise networks,'' in Proc. 9th ACM SIGCOMM Workshop Hot Topics Netw., 2010, pp. 1–6.
[18] M. A. Togou, D. A. Chekired, L. Khoukhi, and G.-M. Muntean, ''A hierarchical distributed control plane for path computation scalability in large scale software-defined networks,'' IEEE Trans. Netw. Service Manage., vol. 16, no. 3, pp. 1019–1031, Sep. 2019.
[19] M. Liyanage, I. Ahmad, M. Ylianttila, A. Gurtov, A. B. Abro, and E. M. de Oca, ''Leveraging LTE security with SDN and NFV,'' in Proc. IEEE 10th Int. Conf. Ind. Inf. Syst. (ICIIS), Dec. 2015, pp. 220–225.
