对网络功能虚拟化 (NFV) 安全问题的思考

一、5G时代的到来必将带动网络功能虚拟化技术的发展

今年6月，我国发放了四张5G商用牌照，标志着我国正式进入5G时代。5G网络除了具备高速率、低时延、高可靠性三大典型特征外，在网络架构方面也发生了重大变革，支持很多新的特性，例如支持网络动态扩缩容，网络切片，能力开放。这些新特性都得益于5G网络中引入了一项新的技术：网络功能虚拟化（NFV）。NFV让5G网络组网变得更加灵活，能够更好地支持不同垂直行业的接入，并满足不同行业用户差异化的服务质量需求。

NFV技术的需求来自于基础电信运营商，于2012年提出，相关技术内容在欧洲电信标准化协会（ETSI）进行标准化。NFV主要借鉴虚拟化等IT技术，提升运营商网络组网的灵活性以及硬件资源的利用率，最终达到降低运营商CAPEX(资本性支出)和OPEX（运营成本）的目的。

需要说明的是，NFV并不是5G独有的技术， 4G网络、IP多媒体网络（IMS）等也可以基于NFV方式部署，但由于技术成熟度和时机等因素，NFV技术在这些网络中并没有得到大规模商用。随着各国5G商用牌照的发放，NFV将在全球范围内迎来大规模商用的浪潮。作为通信网内即将大规模部署的新兴技术，我们有必要对其的安全风险进行深入分析，以便做好充足的应对准备。

二、NFV技术将给通信网络带来新的安全风险

NFV技术给基础电信运营商带来组网便利和成本下降的同时，也会引入新的安全风险。NFV安全风险主要来自两个方面，一是传统网络安全风险，如：DDOS攻击、路由安全策略等，这与传统的网络技术所面临的风险没有太大区别；二是由NFV自身技术特点引入的新的安全风险。针对后者，下面列举了NFV技术带来的一些安全风险点。

NFV从架构上看，大致可以分成：硬件资源层、虚拟管理层（Hypervisor）、虚机层（VM）、虚拟化网络功能层（VNF）以及编排管理层（MANO）。NFV架构中每一层都会引入新的安全风险。

对于硬件资源层，由于缺少了传统物理边界，存在安全能力短板效应（即平台整体安全能力受限于单个虚机安全能力）、数据跨域泄漏、密钥和网络配置等关键信息可能缺少足够的硬件防护措施等问题。

对于Hypervisor，其对所有虚拟网元都具有非常高的读写权限，一旦被攻陷，所有的虚拟网元对黑客来说，就没有任何秘密可言，Hypervisor也因此常常成为攻击的主要目标。

对于虚机层，主要存在虚机逃逸、虚机流量安全监控困难、问题虚机通过镜像文件快速扩散、敏感数据在虚机中保护难度大等问题。

对于虚拟网元层，主要存在虚拟网元间的通信容易被窃听、虚拟网元的调试和监测功能可能成为系统后门等风险。

对于编排管理层，由于其主要负责对虚拟资源的编排和管理、虚拟网元的创建和生命周期管理。编排管理层被攻击后，将可能影响虚拟网元乃至整体网络的完整性和可用性。

三、应对NFV的安全风险需要新的思路

NFV本质上是通信技术和信息技术融合的产物。其需求虽然来源自传统通信领域，但是借鉴的是云计算、虚机技术等IT技术。NFV所带来的安全问题很大一部分也是由虚拟化技术带来的。由于技术思路和架构的不同，传统的通信网络对网络安全重视程度不如互联网行业。在当今ICT融合的大背景下，尤其是采用NFV技术组网的通信网络，亟需积极借鉴IT技术的安全防御技术，提升通信网络的安全能力。未来，NFV至少需要考虑从以下几个方面提升网络安全能力。

（一） 启用新的安全防御架构

传统网络的安全防御主要采用边界安全防御架构，即把主要的防御设施架设在网络或系统的边界。边界防御的前提是假设所有攻击均来自外部，对内是完全可信的。但这种假设往往不能成立。一方面内部网络中只要有一台主机被攻陷，攻击者就可以通过“出站攻击”窃取内部信息，或者在“安全”网络内“横向移动”，扩大攻击面；另一方面云计算、NFV等虚拟化技术打破了网络或系统的传统物理边界，让传统边界防御架构越来越力不从心。所以，对于NFV网络来说，仅依赖于边界防御是远远不够，必须从边界防御架构向内生安全防御架构转变。

所谓内生安全，就是计算机系统在架构设计上天然具有对攻击的识别和防御能力。内生安全至少需要具备以下三个特性：

一是身份认证，即确保所通信的网络实体、所调用的组件、所执行的代码等是合法可信的。实际上，ETSI提到加强NFV安全的一个重要举措就是引入可信计算。可信计算的一条重要原则就是身份认证。当可信计算发展到极致，如要求计算机系统的每一次通信、调用或操作都需要校验，那对网络的信任要求就可以降低，甚至是 “零信任“。这就是Forrester公司分析师John Kindervag在2010年提出的“零信任网络”的基本理论基础。虽然零信任网络的相关研究才刚刚开始，但它在解决边界防御架构的缺陷方面，提供了一种全新思路，或许也代表了未来网络安全防御架构的发展方向。

二是通信加密。身份认证可以防御仿冒攻击，但无法防御通信链路被窃听。通信加密可以弥补身份认证的不足，进一步提升系统的安全性。

三是异常行为检测。有时候，即使通信的对端是可信的，但对端也可能发送带有病毒的文件，从而使本端系统受到感染。对于这种情况只能通过异常行为检测来主动发现并防御了。通常来说，病毒激活后会有特定的行为模式，如修改注册表、或不断复制自己等，可以利用病毒的这些行为特征，识别出特定病毒和攻击。

（二） 采用基于硬件的技术

虽然NFV设计的初衷就是让网元架构于虚拟资源之上，但出于安全考虑，NFV虚拟网元还是应该采用一些基于物理硬件的技术，如TPM（可信平台模块）、HSM（硬件安全模块）、HMEE（硬件辅助运行专属区域）。

• TPM是计算机主板上的一种专用硬件芯片，用来存储系统私钥、BIOS开机密码以及硬盘密码等关键信息。它是系统可信引导的关键部件，是系统的信任根，通过信任的派生和传递，逐级构建出一系列可信节点。

• HSM有两大功能，一是存储加密密钥等关键信息，这与TPM类似；二是对加密进行硬件加速。不同于TPM内嵌在服务器中，HSM基本都是外置于服务器之外。

• HMEE是指基于硬件的一块专门用来运行特定程序代码的区域或内存。它可以确保在该区域内运行的程序免于遭受窃听、重放和修改。

这些技术能够有效保障虚拟网元的运行安全、关键数据的安全以及通信安全。

事实上，在互联网应用领域，这些都不算是新技术，早都得到广泛应用。根据可信计算研究组（TCG）发布的白皮书，早在2007年，市场上就已经卖出了超过1亿台自带TPM的品牌电脑。HSM也不是新技术，在1990年就已经提出，只是该技术在不断发展，目前HSM已经广泛应用于电子发票、线上信用卡支付、电子护照等领域。

四、NFV安全研究仍任重道远

总体而言，相比于NFV技术本身，业界对NFV安全问题的认识和研究相对滞后。一是传统通信运营商或多或少还是习惯于沿用边界防御的思路来应对NFV安全问题。二是防御架构的变化、安全机制和措施的加载，通常会带来成本上升和性能的下降，运营商缺乏足够的动力去加强NFV网络的安全。三是虽然ETSI对NFV的安全提出了一些技术和措施，但并未针对具体的网元，在具体实践过程中，可操作性不强。

在5G网络即将大规模部署的当下，亟需凝聚产业界各方的力量，加快NFV安全技术的研究，一是促进内生安全等基础理论的成熟，推动基于硬件的相关技术在NFV网络中的应用，让NFV技术安全可靠地发挥它应有的作用；二是加快NFV安全标准的步伐，有效指导NFV产品的研发和安全部署，推动NFV产业的健康发展。

作者简介：

吴宏建：中国信息通信研究院安全研究所重要通信研究部副主任，高级工程师，长期从事网络技术的研究。目前主要研究方向为5G、NFV及安全相关技术。

王琦：中国信息通信研究院安全研究所工程师，目前从事NFV、MEC及5G安全相关技术研究。

邮箱：wuhongjian@caict.ac.cn，wangqi3@caict.ac.cn

声明：本文来自中国信息通信研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。