引用本文:王建英,吕俟林,李文江. 5G网络安全监测预警机制浅析[J].通信技术,2020,54(11):.

摘 要

随着5G的发展,对5G网络安全进行监测预警的需求越来越迫切。传统4G网络的安全监测主要部署在IP网络侧,集中在应用层,具有很大的局限性。5G的3GPP标准在核心网中引入了NWDAF网元,实现了将切片特定的网络状态分析信息通知给其他用户,从而根据此进行网络安全监测预警,5G PPP也提出了PulSAR等四项监测功能,实现网络攻击进程监控等功能,但是,这些标准的研究目前只局限于监测预警机制的某一部分。因此,提出了一种基于SDN与现有5G网络架构深度融合的安全监测预警机制,该机制具有较强的扩展性及广泛的适用性,能全面对5G网络安全进行全程监测并预警。

关键词:5G;监测预警;SDN;网络安全

内容目录:

0 引 言

1 传统4G网络的安全监测技术

2 3GPP中的5G安全监测方案

3 5G PPP中的安全监测网元

4 一种5G网络安全监测预警机制

5 结 语

引言

随着5G网络商用的正式落地,5G已经引领着信息技术的新一代发展,正成为当前信息化及互联网的核心。5G网络的三大应用场景:增强移动宽带、超可靠低时延通信、海量机器类通信也给各类客户带来了极致的通信体验,5G的商业应用及专网应用的规模正在不断扩大。然而,随着5G的发展,其安全性也显得越来越重要,尤其是需要一种可靠的机制来实现对5G网络安全的监测预警。

对于移动通信安全的监测预警,4G时代主要集中在网络侧的应用层,无法保证对全网络安全的监测。在5G时代,3GPP标准和5G PPP组织都提出了一些相关的解决方案,但是这些方案要么并不是专门用于安全监测,要么只是一个个孤立的安全引擎,难以建立起系统的架构,因此,本文提出了一种5G网络安全监测预警机制,实现对5G安全的全面监控。

1、传统4G网络的安全监测技术

传统的4G LTE的网络架构主要由UE(User Equipment,终端)、E-UTRAN(Evolved UMTS Terrestrial RadioAccess Network,演进的UMTS陆地无线接入网)、EPC(Evolved Packet Core,4G核心网络)、外部网络四部分组成。4G网络的安全监测主要集中在IP网络侧,图1是4G网络的安全监测架构。

图1 4G网络安全监测架构

为了实现对4G网络的安全监测,采取的措施主要是在IP网络部署防火墙、WAF(Web Application Firewall,Web应用防火墙)、IDS(Intrusion Detection System,入侵检测系统)、IPS(Intrusion Prevention System,入侵防御系统)等设备。防火墙可以对流经的网络通信进行过滤,以避免攻击;WAF工作在应用层,通过执行HTTP/HTTPS的安全策略为Web应用提供保护;IDS通过对网络、系统的监测来发现各种攻击企图、行为、结果;IPS可以监测网络设备的传输行为。通过分析可知,传统4G安全监测方案都集中在IP网络侧,并不能对整个通信架构的全流程进行安全监测,具有很大的局限性。

2、3GPP中的5G安全监测方案

在3GPP标准的5G网络中,根据3GPP TS 23.503,基于服务的5G系统核心网参考架构由AMF(Access and Mobility Management Function,接入与移动性管理功能),SMF(Session Management Function,会话管理功能),UPF(User Plane Function,用户平面功能),UDR(Unified Data Repository,统一数据存储功能),NEF(Network Exposure Function,网络开放功能),NWDAF(Network Data Analytics Function,网络数据分析功能),AF(Application Function,应用功能),PCF(Policy Control Function,策略控制功能),CHF(Charging Function,计费功能)组成。图2为基于服务的5G核心网架构。

图2 基于服务的5G核心网架构

5G网络引入了网络切片新技术,其是指通过网络虚拟化技术,将网络中的各类物理资源抽象成虚拟资源,并基于指定的网络功能和特定的接入网技术,按需构建端到端的逻辑网络,提供一种或多种网络服务。

由于网络切片的存在,3GPP标准中通过NWDAF网元来实现安全监测功能,NWDAF代表运营商管理的网络分析逻辑功能。NWDAF为NF提供特定于片的网络数据分析,NWDAF在网络切片实例级别上向NF提供网络分析信息(即负载级别信息),并且NWDAF不需要知道使用该片的当前用户。NWDAF将切片特定的网络状态分析信息通知给用户它的NF,NF可以直接从NWDAF收集切片特定的网络状态分析信息。PCF和NSSF(Network Slice Selection Function,网络切片选择功能)都是网络分析的消费者,PCF可以在其策略决策中使用该数据,NSSF可以使用NWDAF提供的负载级别信息进行切片选择。

NWDAF可为5G核心网的NF(Network Function,网络功能)和OAM(Operation Administration and Maintenance,操作维护管理)提供分析信息,可以是过去的统计信息,也可以是预测信息。从图2可知,NWDAF可以根据对AMF、SMF、PCF、UDM、AF和OAM提供的事件订阅来收集数据,从数据存储库检索信息。检索有关NF的信息,从而向使用者提供分析服务。NWDAF可以收集网络通信的信令级信息,从而实现了信令级的监测。

NF服务是NF(NF服务生产者)通过基于服务的接口向其他授权的NF(NF服务消费者)公开的一种能力。根据3GPP TS 23.288,NWDAF给其他NF提供的服务分为订阅模式和请求模式两种。

在订阅模式下,NWDAF服务消费者通过调用Nnwdaf_AnalyticsSubscription_Subscribe / Nnwdaf_AnalyticsSubscription_Unsubscribe服务操作来订阅或取消订阅分析信息。当订阅信息时,NWDAF将向服务消费者通知分析信息,取消订阅后将不再接收。NWDAF订阅/取消流程如图3所示。

图3 NWDAF订阅/取消流程图

在请求模式下,NWDAF服务消费者可以调用Nnwdaf_AnalyticsInfo服务操作来请求分析信息,NWDAF收到请求后,确定是否需要触发新数据收集,如果确定要收集,则以分析信息响应NWDAF服务消费者。NWDAF请求流程如图4所示。

图4 NWDAF请求流程图

NWDAF最初引入时,主要用于对网络切片相关数据的分析,随着5G标准的不断发展,NWDAF获取数据范围不断扩大,还可以从运营商OAM,AF,5G核心网网络功能以及第三方应用获取数据。基于上述的数据收集,NWDAF进行数据分析,也可以将分析结果后提供给OAM,AF,5G核心网网络功能以及第三方应用。以NWDAF为核心的5G网络智能化的通用框架如图5所示。

图5 5G网络智能化的通用框架

3、5G PPP中的安全监测网元

在5G安全监测方面,欧洲5G PPP组织提出了5G-ENSURE计划,安全监测是此计划的一个主要技术关注点。其一共提出了4个相关网元,即SatNav,PulSAR,通用收集器接口以及系统安全状态存储库。

SatNav主要用于卫星网络监测,主要目标是在5G集成卫星和地面系统中提供伪实时监控和威胁检测。卫星网络监测主要包括两部分,客户端功能以及服务器端功能,客户端功能(例如5G-eNodeB,卫星终端,UE)能够从网络组件中收集指标并将其发送到服务器端,此功能应部署在每个网络组件。服务器端功能(即安全监视服务器),能够配置客户端功能部件以及提供消耗量指标的伪实时监控。此功能应部署在中央服务器。

PulSAR的目的是通过攻击图清晰地了解网络攻击的进程。PulSAR通过在5G网络中生成攻击图来对网络进行全面的风险分析。它依赖于网络的拓扑信息(防火墙规则、流矩阵、路由表、虚拟机放置等)以及来自物理和虚拟机的漏洞扫描信息。以枚举从任何计算机到任何其他计算机的所有攻击路径。然后根据这些攻击路径的可能性和难度(使用度量标准,例如长度和所利用漏洞的CVSS难度)进行评分,并通过REST API呈现给用户。

通用收集器接口旨在实现事件和日志之间的互操作性,以便允许在5G网络内部部署FastData技术。启动器提供日志和事件的唯一格式。通用收集器接口可以从5G网络元素以及组件收集数据,然后向授权方和参与方提供大量数据,包括与虚拟化,身份管理,通信协议/层/堆栈和某些特定特权升级有关的日志和事件。其还利用5G网络内部高效的FastData实施,以尽快发现网络的安全性和效率问题。通用收集器接口由三个主要的软件块组成,分别是客户端引擎软件、服务器引擎软件和服务软件。

系统安全状态存储库在一个可以可视化和分析的模型中捕获系统状态,以了解存在哪些威胁,并检查设计是否符合要求。

4、一种5G网络安全监测预警机制

对于普通的安全场景来说,3GPP标准中规定的NWDAF就可以实现基本的安全监测功能,但是其也有一定缺陷。一是其在5G核心网中,只适用于一般监测,不利于功能扩展,如果将5G PPP的一些模块加入将会导致系统结构混乱,不利于管理;二是其主要输出信息比较简单,并未经过复杂算法集成,仅靠一个网元难以进行,因此,借鉴5G网络的SDN架构,提出了一种新的5G网络安全监测预警机制。

在5G网络中,为了解决现有网络固有的功能扩展性差、个性定制化困难、基础设施成本居高不下的矛盾,于是引入了以SDN(Software Defined Network,软件定义网络)技术为基础的5G网络架构,SDN是一种数据控制分离、软件可编程的新兴网络体系结构。采用了集中式的控制平面和分布式的转发平面,控制平面利用开发的控制—转发通信接口对转发平面上的网络设备进行集中控制,同时提高了灵活的可编程能力。

5G中的SDN典型体系架构分为应用层、控制层、网络基础设施层3个层面。网络基础设施层又叫数据转发层,由各种转发设备组成,可以实现网络状态收集、存储、发送功能。控制层连接着应用层以及基础设施层,通过基础设施层的交换设备可以实现报告网络状态等功能,同时与应用层通过各种API进行连接,实现各种形式的服务访问。应用层主要是满足各类用户的服务需求而开发的各类商业应用,这些应用程序依托控制器控制基础设施层的转发设备,实现动态接入控制、服务器负载均衡、资源调度等功能。SDN典型架构如图5所示。

图5 SDN典型架构

在前面的标准中,为了实现安全监测预警功能,往往只是从核心网中添加一个个离散的互不关联的模块,并没有形成一个系统的安全监测预警系统。因此,基于5G网络的SDN架构进行了扩充,提出了一种将安全监测与网络通信松耦合的系统,通过单独的安全监测预警机制,将安全监测架构与5G网络架构融合起来,从基础设施层到控制层再到应用层,实现全流程全信息,同时适用于商用5G和专用5G网络的安全监测预警机制。此机制突破了传统的仅关注于应用层监测的局限,实现了信令级的监测。

图6 一种5G网络安全监测预警架构

一种5G网络安全监测预警架构,主要由普通网络域和安全监测域两大部分组成,普通网络域与经典SDN架构基本相同,而安全监测域与SDN架构一样,一共分为三层:

(1)安全监测应用层:根据5G网络安全监测预警的需求,开发的相应的安全应用SAPP,以直观化的方式向客户实时显示网络安全状态并进行预警。同时继承4G网络中的防火墙、WAF、IDS、IPS等安全技术,在应用层层面进行全面的安全监测。安全应用层与监测控制层通过安全接口进行通信,可以接收监测控制层传来的状态信息。

(2)监测控制层:监测控制层与普通网络域的控制层同级,主要由监测单元、预警单元、扩展单元、等模块组成,监测单元通过采集普通网络域的控制层的状态数据(包括信令级信息),然后通过预警单元进行预测,通过一定概率算法等预计网络安全状态,在应用层进行显示。扩展单元主要是添加一些安全监测新功能,如安全攻击路线计算、特殊场景的安全监测等,便于进行扩展,具有低成本、快速迭代、软件开放性等优势。

(3)安全监测设备层:主要部署安全监测所需要的设备,接受控制层下发的控制指令,并根据指令完成监测的相关任务。

这种5G网络安全监测预警机制,具有广泛的适用性,不仅可以应用于大规模的商用5G网络,而且对于小范围的专用5G网络同样适用。在商用网络中,可以根据实际安全需要,按需部署,既可以仅侧重于应用层等某一层的监测,也可以扩展到全层次的监测,既可以监测某一段小网络,也可以在上层扩展到大网。对于专用5G网络,其安全监测的需求较高,尤其是军民融合专网,可分为普通域和高安全域,其安全监测预警总体结构如图7所示。

图7 军民融合5G专网安全监测预警总体结构

在此系统中,终端侧植入安全监测探针进行底层监测,安全应用SAPP进行应用层监测预警;网络侧将普通域与高安全域通过防火墙隔离过滤,监测预警单元实现控制层监测功能,同时DN侧加入IDS、IPS、WAF等安全监测功能。这种机制从基础设施层、控制层、应用层全层次,从终端、传输、网络全系统实现了5G网络的监测预警功能。

5、结语

本文首先对4G网络的安全监测技术进行了介绍,然后详细分析了3GPP标准中网络监测的网元NWDAF及 5G PPP中的4个相关引擎,指出了目前在安全监测预警中存在的问题及局限性。在此基础上,根据5G SDN架构,提出了一种安全监测域与普通网络域松耦合的网络安全监测预警架构,其具有低成本、快速迭代、软件开放性等优势,也有广泛的适用性。采用该架构的5G网络安全监测预警机制,能够为5G安全监测提供一个参考方向。

作者简介

王建英,学士,主要研究方向为数据通信与信息安全;

吕俟林,学士,主要研究方向为数据通信与信息安全;

李文江,硕士,主要研究方向为5G网络安全。

选自《通信技术》2020年第11期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。