王琦

(中國信息通信研究院安全研究所，北京 100191)

0 引言

5G正在不斷加速經(jīng)濟發(fā)展速度，并將不斷增強社會運作能力，同時云化架構在5G網(wǎng)絡中的應用已逐漸從核心網(wǎng)擴散到網(wǎng)絡邊緣和網(wǎng)絡接入側。移動通信網(wǎng)絡云化后可讓運營商在一定程度上擺脫對單一設備供應商的依賴，提升運營商對網(wǎng)絡功能組件的控制權和選擇權，但其安全問題不容忽視。5G安全目前已成為世界各國關注焦點，在5G大規(guī)模發(fā)展和全面推進部署的背景下，安全問題應與5G發(fā)展處于同等重要的位置。在5G網(wǎng)絡全面云化趨勢下，如何緩解云化安全風險值得運營商和設備供應商重點關注。本文介紹了核心云、無線接入云、邊緣云3種模式的架構及特點，分析了3種模式存在的安全風險，并提出可能的安全風險緩解措施，最后梳理了云安全相關標準。

1 5G網(wǎng)絡的三朵云

為進一步擴大網(wǎng)絡服務范圍，全面提升網(wǎng)絡服務能力，綜合考慮運營成本及運維復雜度等問題，5G網(wǎng)絡引入了云計算和網(wǎng)絡功能虛擬化(Network Functions Virtualization，NFV)等關鍵技術。NFV將網(wǎng)絡能力、計算能力和存儲能力整合到了資源池中，為運營商提供一種新型業(yè)務服務模式，并為集約化管理創(chuàng)造了條件。通過利用NFV技術對資源進行按需編排，運營商以更少資金投入獲得更高的靈活性和可用性。NFV技術讓運營商擺脫了對專用硬件資源和設備供應商整體解決方案的依賴，有效提高了網(wǎng)絡彈性程度。

基于NFV技術的云化架構，已逐漸被應用到5G網(wǎng)絡核心側、邊緣側和接入側。在核心網(wǎng)側，5G控制面采用虛擬化大區(qū)部署模式，通過進行統(tǒng)一的運維管理，有效提高了運維效率，降低了運維管理成本。在邊緣側，多接入邊緣計算(Multi-access Edge Computing，MEC)技術是云化架構在網(wǎng)絡邊緣的一種應用。MEC將計算能力、存儲能力向網(wǎng)絡邊緣移動，有效降低了網(wǎng)絡服務時延，提升了用戶體驗[1]。在接入側，基于云化架構的開放無線接入網(wǎng)絡(Open Radio Access Network，O-RAN)模式已在商業(yè)領域逐步開展了嘗試和探索。

1.1 核心云

5G核心網(wǎng)云化已成為國內外運營商主推的部署方案。核心云中心一般采用大區(qū)部署模式，或部署于省會中心城市，利用虛擬化資源池，集中部署5G網(wǎng)絡控制面網(wǎng)元、骨干出口網(wǎng)關、網(wǎng)管/運營系統(tǒng)、業(yè)務與資源編排以及網(wǎng)絡切片等控制面網(wǎng)絡功能?？刂泼鎸嵤┐髤^(qū)云化部署的好處在于可以將大量跨區(qū)域的信令交互變成數(shù)據(jù)中心內部流量，進一步優(yōu)化信令處理時延。通過統(tǒng)一控制、靈活調度和規(guī)劃網(wǎng)絡資源，提高網(wǎng)絡業(yè)務響應速度。

1.2 無線接入云

無線接入云是將基于NFV技術的云化架構應用到了無線接入網(wǎng)。無線網(wǎng)絡功能分為射頻收發(fā)單元，即無線拉遠模塊(Remote Radio Unit，RRU)和無線網(wǎng)絡基帶處理模塊(Base Band Unite，BBU)。BBU包括集中單元(Centralized Unit，CU)和分布單元(Distributed Unit，DU)，CU單元集成了切換以及無線資源管理等功能，DU單元集成了調度、編碼等功能。由于對時延的要求低于DU單元，CU單元可進行集中式部署，作為無線云的主要組成部分。O-RAN作為無線云的主推架構之一，通過添加開放式接口，打破了整體解決方案的提供模式，形成一種由多廠家融合的開放式架構。O-RAN模式由于透明度高，運營商有更多設備供應商選擇權和內部組件控制權[2-4]。

1.3 MEC

MEC作為5G網(wǎng)絡的關鍵技術，將計算能力部署在移動網(wǎng)絡邊緣，有效減少了用戶業(yè)務對核心網(wǎng)絡及骨干傳輸網(wǎng)絡的占用，可為用戶提供低時延、本地化、實時性分析處理的服務。在5G網(wǎng)絡中，MEC平臺的邏輯位置部署在本地UPF(用戶面網(wǎng)關)之后。終端發(fā)起的業(yè)務經(jīng)過基站、本地UPF連接到MEC平臺。依據(jù)業(yè)務場景，MEC平臺的部署位置又可細分為接入側、邊緣側和匯聚側3個位置[5-6]。

MEC平臺部署于接入側時，可與基站CU單元、UPF進行集中云化部署(見圖1)。MEC平臺部署在邊緣云時，與用戶面UPF協(xié)同部署，服務于基站級別的區(qū)域范圍(見圖2)。MEC平臺部署在匯聚側時，可為地市范圍內的用戶提供服務，適用于廣覆蓋、大流量、大連接場景(見圖3)。

越靠近基站側部署，MEC業(yè)務所需時延越少，全網(wǎng)覆蓋所需部署的MEC數(shù)量越多。MEC越靠近控制面部署，業(yè)務服務時延越長，MEC平臺服務的用戶數(shù)越多，覆蓋全網(wǎng)所需部署的MEC數(shù)量越少。在5G商用中，運營商會綜合考慮業(yè)務時延和服務范圍需求，選擇合適的位置部署MEC平臺。

2 風險和安全挑戰(zhàn)

云化在構造開放5G網(wǎng)絡架構為運營商提供多樣化設備供應商選擇權的同時，不可避免地引入了一定的安全風險，具體包括以下幾方面。

2.1 權限管理難度提高

圖1 MEC平臺部署在接入云

圖2 MEC平臺部署在邊緣云

圖3 MEC平臺部署在匯聚側

5G網(wǎng)絡是由用戶、應用服務提供商、通信服務提供商、通信設備供應商等多個角色構成。當5G網(wǎng)絡全面解耦后，原有少數(shù)通信設備供應商構成的市場格局將被打破，更多軟硬件資源提供商將參與5G網(wǎng)絡建設。為保證互聯(lián)互通，不同供應商的組件需要具備開放式互操作接口和標準化的通信協(xié)議。當網(wǎng)絡接口越多時，網(wǎng)絡脆弱點也越多，被攻擊和利用的可能性也越大，5G網(wǎng)絡安全性的木桶效應會因此凸顯，整體安全性將取決于安全性最弱的設備。參與角色增多以及網(wǎng)絡組件分散將增大權限管理的難度和復雜度。

2.2 虛擬化安全風險被引入

虛擬化安全風險是5G網(wǎng)絡三朵云面臨的最主要安全風險。當虛機間的隔離失效或虛擬機遭受到惡意植入，都會引發(fā)嚴重安全問題。依據(jù)Orca Security最新發(fā)布的《2020年虛擬設備安全報告》，通過對來自540個軟件供應商的2218個虛擬設備映像進行分析，只有不到8%的虛擬設備沒有已知漏洞。在虛擬化環(huán)境下，惡意虛擬機可通過消耗其他正常虛擬機的計算、存儲和網(wǎng)絡資源發(fā)起DoS攻擊，造成正常虛擬機拒絕正常服務請求；惡意虛擬機還可通過執(zhí)行破解密碼等惡意程序，占用正常服務資源，造成服務器資源濫用；當虛擬機被惡意內部人員實施特權升級時，惡意虛擬機將會獲得較高權限，以達到竊取敏感信息的目的。虛擬機的鏡像功能也可能被惡意利用，造成問題虛機通過復制的方式生成更多惡意源[7]。

2.3 問題定位和主體溯源難度加大

由于5G網(wǎng)絡目前并沒有采用“零信任”模式，用戶僅在接入側進行鑒權，而網(wǎng)元間或虛機間的交互被默認為是可信的，黑客或內部人員可能會利用該弱點對網(wǎng)絡進行操作。當發(fā)生網(wǎng)絡安全問題時，運營商需對交互接口和網(wǎng)絡組件進行排查，定位漏洞和責任主體。因為參與角色增多，設備離散化程度加大，不同廠家設備的安全防護能力也有所差異，運營商問題定位和主體溯源難度同步提升。

2.4 網(wǎng)絡運維管理復雜度提高

運營商是移動通信網(wǎng)絡的運營和維護主體。在多供應商參與5G網(wǎng)絡云化建設情況下，運營商運維管理復雜度將同步提升。運營商必須清晰掌握網(wǎng)絡架構、網(wǎng)絡組件功能，以及供應商責任分工，才能建立一套合理有序的運維管理模式，以防止網(wǎng)絡運維管理失控，或因權限劃分不當造成信息泄露。

2.5 監(jiān)管手段需進一步完善

5G MEC部署在網(wǎng)絡邊緣后，由于部分流量不通過企業(yè)后臺處理，在現(xiàn)有內容管理模式下，企業(yè)無法對邊緣服務器的內容進行安全審查，有害內容可能通過邊緣服務器進行大規(guī)模傳播。若將用戶數(shù)據(jù)全部回傳至企業(yè)后臺，將可能因為業(yè)務時延增加，導致MEC失去業(yè)務在時延方面的優(yōu)勢。若企業(yè)在MEC服務器中同步部署內容管理服務器，又將大幅度增加企業(yè)監(jiān)管成本?，F(xiàn)有監(jiān)管手段，若要滿足MEC環(huán)境下的內容監(jiān)管需求，必須在部署模式等方面進行改進。

3 安全措施

在5G網(wǎng)絡全面云化的趨勢下，為有效緩解云化帶來的安全風險，可利用下列安全手段解決部分安全問題。

3.1 引入基于零信任架構的訪問控制機制

在虛機交互、第三方接入、敏感信息訪問等安全薄弱環(huán)節(jié)，應使用“零信任”架構代替“一次認證即可信”的訪問控制模式?；趯Y源不同安全級別的劃分，采用最小權限原則，限制用戶訪問匹配級別的資源，實現(xiàn)對資源的有效隔離和完整性保護。采用動態(tài)信任評估模式，對用戶可信度進行動態(tài)評判，防止黑客利用可信用戶身份接入網(wǎng)絡實施攻擊。

3.2 構建入侵檢測系統(tǒng)

在云化環(huán)境下，為虛機配置入侵檢測系統(tǒng)，監(jiān)測虛機、應用和管理編排等組件的行為與正常標準的偏離程度。若發(fā)現(xiàn)異常，立即中斷操作，并隔離應用程序。同時，對未授權用戶的鑒權過程實施監(jiān)視和記錄，當高頻次試探訪問發(fā)生時及時預警。入侵檢測系統(tǒng)的建立可檢測企圖危害虛擬化實體的攻擊，達到阻止黑客進一步攻擊的目的[7]。

3.3 為管理運維人員建立可信身份

由于參與廠家眾多，運營商需建立完善的管理運維機制防止管理運維過程被攻擊或管理運維人員被利用。一方面需加強對超級管理員賬戶的管理，嚴格限制運維人員的操作范圍。另一方面，可為運維人員建立電子可信身份，通過在身份校驗環(huán)節(jié)進行人臉、指紋等生物信息校驗，保障運維人員親自操作，并防止運維系統(tǒng)口令被盜用。

3.4 在MEC環(huán)境下制定分場景分應用的內容管理系統(tǒng)部署策略

應充分挖掘被管理業(yè)務在數(shù)據(jù)量、時延敏感度等方面特點，綜合考慮經(jīng)濟性、時效性等因素，為不同特點的MEC應用選擇不同的內容管理方案。在被管理的應用時延要求較高的情況下，內容管理系統(tǒng)可采用與MEC平臺關聯(lián)部署的模式；在經(jīng)費欠充足被管理的應用時延要求不高的情況下，內容管理系統(tǒng)可采用在匯接點處部署，可在一定程度上減少內容管理系統(tǒng)部署的個數(shù)。

4 安全標準化進展

在標準化方面， ETSI(歐洲電信標準協(xié)會)、3GPP(第三代合作伙伴計劃)、NIST(美國國家標準與技術研究院)等標準化組織主要針對NFV關鍵技術制定了安全規(guī)范，為設備供應商、運營商提升三朵云的安全能力提供了參考。ETSI制定的NFV-SEC 001、NFV-SEC 003和NFV-SEC 021等系列標準，定義了NFV安全域、NFV生命周期可信指南以及VNF(虛擬化網(wǎng)絡功能)實例化安全要求；3GPP TR 33.848闡述了24個與3GPP功能和架構虛擬化有關的關鍵安全問題；NIST SP 800-125、SP 800-125B及SP 800-190等系列標準全面定義了NFV安全要求，并為虛機、容器的安全配置提供了指導。云安全聯(lián)盟發(fā)布了《緩解NFV安全風險的最佳實踐》[8]，描述了保障NFV安全的技術手段。

由于核心云、接入云和MEC是基于NFV技術實現(xiàn)的，安全能力目前主要在NFV架構下部署[9]。標準化工作尚未考慮不同云因使用場景、風險來源和使用對象的不同產生的差異化安全需求，這也將成為后續(xù)標準化工作重點考慮的問題。此外，行業(yè)監(jiān)管部門也應結合安全標準，選擇合適的安全基線要求推動運營商和設備供應商落實維護5G云安全的責任。

5 結束語

在移動通信網(wǎng)絡演進的過程中，全網(wǎng)云化已成為一種趨勢。本文介紹了5G網(wǎng)絡中三朵云，分析了每朵云的技術優(yōu)勢和存在的安全風險，提出了可能緩解部分安全風險的措施建議，最后梳理了云安全標準化進展。安全能力在構建的同時，勢必會在一定程度上影響網(wǎng)絡性能。自動駕駛、智慧醫(yī)療等對網(wǎng)絡性能要求較高的應用在快速發(fā)展的同時，5G網(wǎng)絡安全也已成為世界各國關注焦點。如何權衡安全能力需求和網(wǎng)絡性能需求間的平衡，值得行業(yè)各參與方進行深入研究和探索。