美国NIST发布《5G网络安全设计原则》白皮书

近日，美国国家标准与技术研究所发布了一份关于保护5G网络免受网络威胁的新白皮书。5G网络安全设计原则白皮书由NIST 国家网络安全卓越中心(NCCoE) 开发，为商业和私人5G网络运营商提供了网络基础设施安全设计原则。 该文件是应用5G 网络安全和隐私功能白皮书系列的一部分，该系列为商业移动网络运营商、私人5G网络运营商和使用5G技术的组织提供资源。

概述

根据3GPP标准的规定，5G系统采用基于服务的架构(SBA)，这种设计在利用微服务和容器技术的云原生技术实施时效果良好。单个5G 网络功能（NF）可以由运行在许多分布式服务器上的多个容器组成。5G NF 通过网络基础设施（包括运营商级路由器和交换机）相互通信。5G无线接入网（RAN）组件在分散的地理区域内运行，同时仍需要同时连接多种类型的5G 流量。

数据中心和云环境中的大多数网络流量流经相同的物理连接，并由相同的网络设备处理。由于物理分离不可行，因此需要从逻辑上分离5G 流量与其他流量的方法，并进一步分离5G 流量的类型，以提高5G 网络安全性和隐私性。

问题

数据中心和云环境会处理多种类型的流量。在5G 范围内，以下5G 流量类型是逻辑分离的起点：

• 数据平面：传输用户数据，如语音通话、视频流和互联网浏览。

• 信令：设置、维护和拆分通信会话。它包括切换、认证和资源分配等任务。

• 运行和维护（O&M）：为5G 网络设备提供连接，包括软件更新、故障检测和性能优化。

上述每种流量类型都携带不同敏感度的数据，如果被未经授权的用户或恶意用户访问，会对安全和隐私造成影响。运行和维护流量可访问构成5G环境的设备，使管理员拥有重要的权限和配置功能，而信令流量则携带关键的设置信息，数据平面则携带用户数据。例如，数据平面段容易受到N6接口上的分布式拒绝服务（DDoS）攻击，信令段可能受到信令风暴的影响，而运行和维护段则需要定义明确的用户和网络访问控制。

如果信令和运行与维护流量未与数据平面分离，恶意行为者也可能将其作为攻击目标。例如，攻击者可以通过权限升级和进程注入来获取管理权限，尝试破解节点上有效用户账户的密码，利用数据库和文件系统中的漏洞，以及利用路由器和交换机的不正确配置

将流量类型分开的另一个原因是防止攻击者针对一种类型的流量影响其他类型的性能。例如，如果攻击者使数据平面不堪重负，而信令和运行与维护流量没有与数据平面分开，那么攻击就会破坏关键网络功能和网络管理。因此，在设计网络基础设施时，必须将不同类型的流量安全地分离出来

3GPP定义的5G 标准并未规定支持和运行5G系统的底层网络基础设施的网络安全和隐私保护措施；这些方面被视为具体实施。

//

安全网络设计原则如何解决这一问题？

//

网络运营商可以使用通用网络技术，从逻辑上将5G 数据平面、信令和运行维护流量相互分离。这样做可以从多个方面改善网络安全和隐私，包括以下方面：

• 降低攻击从一个网段扩散到另一个网段的风险。这可以限制攻击者的可见度和影响力。

• 更容易对每类流量应用不同的网络安全要求。例如，用户数据可能需要加密以确保机密性，而信令流量则需要完整性和身份验证，以防止未经授权的访问和控制。运行和维护流量需要保护，以确保只有授权人员才能管理网络。

从逻辑上分离5G流量类型还能提高性能和可管理性。它允许对每种类型的流量进行量身定制的策略和监控，从而简化了网络管理。此外，当出现问题时，有一个独立的平面可以更容易地识别和隔离问题。

除了对流量类型进行逻辑分离外，还可采用网络切片、基于策略的网络控制和流量工程等其他技术，以实现更多的安全性、性能和可管理性优势。

本文接下来将重点介绍在5G网络中实现流量类型逻辑分离的方法：虚拟路由和转发（VRF）。VRF是一种网络技术，用于在单个物理路由器内创建路由表的多个虚拟实例，从而避免了对多套物理基础设施（如路由器、光纤、电源系统）的需求。VRF的主要优点包括：

• 流量分离、隔离和安全：VRF可确保不同的流量类型不会混合。每个 VRF实例独立运行，维护自己的路由表和转发决策。通过隔离路由表，VRF增强了安全性。即使 VRF位于同一物理网络设备上，来自一个 VRF实例的流量也不能被另一个访问，从而为敏感数据提供了一个安全的环境。

• 高效利用资源：VRF允许使用单个物理路由器支持多个虚拟网络，从而减少了对额外硬件的需求，并简化了网络管理。

• 增量增长：可根据需要在网络中添加新的VRF 实例，而无需对现有基础设施进行重大改动。

图1描述了多个VRF在同一物理交换机或路由器内运行时如何在逻辑上相互分离。

图1. VRF的逻辑视图

//

如何使用安全网络设计原则？

//

构建5G网络基础设施是一个复杂的过程，需要考虑很多因素。在设计初期确定对性能和可靠性的要求对于网络的正常运行至关重要。在最初的规划阶段，还可以将安全性和隐私要求作为基础。将所有这些要求纳入网络设计和采购流程，有助于确保部署的设备支持逻辑分离的技术机制。

网络工程师需要适当实施、配置和管理各种组件。除逻辑流量分离（即VRF）外，配置网络设备时应考虑的其他项目包括但不限于以下内容：

• 安全访问控制

  - 防火墙功能

  - 利用 IP 前缀列表

• 支持的加密套件和算法

• 设备之间的连接性

  - 介质和收发器类型

  - 正确使用物理端口类型和速度

  - 适用的路由协议，如边界网关协议(BGP)

实施5G流量类型的逻辑分离还可带来以下功能和性能优势：

• 优先级和服务质量（QoS）：数据平面要求高吞吐量和低延迟，以确保良好的用户体验。信令的带宽密集度通常较低，但要求低延迟和高可靠性。运行和维护流量通常较小，但对维护网络健康和性能至关重要。将这些平面分离开来，可以为每种流量量身定制 QoS 策略。

• 可扩展性：流量类型的分离可以更有效地分配网络资源。例如，数据平面可以独立扩展，以处理增加的用户数据流量，而不会影响信令或运行维护流量。

• 可靠性和弹性：隔离流量类型可确保一个平面的问题不会连带影响其他平面。例如，用户数据流量的激增不应使信令平面不堪重负，从而导致呼叫中断。

其他技术细节

本白皮书的其余部分面向希望更深入了解NCCoE网络设置（包括VRF的使用）的读者。

有关NCCoE 5G网络安全项目的背景信息，包括在演示实验室环境中构建的5G独立网络的架构和组件，请参阅NIST SP 1800-33 B卷，5G网络安全、方法、架构和安全特性。

//

网络架构

//

本节介绍 NCCoE如何设置其底层网络基础设施，以确保数据平面、信令和运维流量的分离。

图2描述了NCCoE 5G网络基础设施的高层架构。图的左侧是连接到5G无线接入网(RAN) 的用户设备(UE)（即使用5G网络的移动设备），通过几个路由器连接到回程，然后连接到由多个路由器组成的网络基础设施。网络基础设施将回程连接到5G核心和管理网络以及数据网络(DN)。网络基础设施还与云平台和共享服务相连。在所有路由器中都设置了数据平面、信令和运行与维护VRF，以分离这些流量类型。

图2. 高级网络基础设施

支持NCCoE 5G系统的网络基础设施采用脊叶架构。这种架构的设计使每个叶片都与每个脊柱相连，以确保所有叶片交换机之间的距离不超过一跳。这就为流量提供了多条路径，支持容错并最大限度地减少延迟。这种架构还具有可扩展性，可以添加或移除叶交换机以适应增长，而骨干交换机则提供可扩展的骨干网。

NCCoE 架构包括两个具有40GbE功能的主干交换机、两个具有100GbE 功能的叶子交换机和两个具有40GbE功能的叶子交换机。如图3所示，每个叶子交换机连接到每个主干交换机，以确保所有叶子交换机之间的距离不超过一跳。主干交换机和叶子交换机之间使用可扩展的第3层路由协议，边界网关协议（BGP）。此外，主干交换机和叶交换机之间还使用了等价多路径（ECMP）路由，以平衡第3层网络的流量负载。两对叶子交换机（叶1 和叶2以及叶3和叶4）使用虚拟链路中继（VLT），允许所有连接处于活动状态，同时提供容错功能。第3层和第 层的边界位于叶子交换机。从叶交换机到骨干交换机的连接是第3层，而从叶交换机到主机的连接是第2层。

图3. NCCoE 实验室叶片和脊柱网络架构

如图4所示，服务器和存储直接连接到叶片交换机。叶1和叶2通过第2层连接到云平台和5G核心与管理主机。叶3和叶4通过第2层连接到云平台和共享服务主机。

5G RAN通过基站路由器、核心聚合路由器以及叶1 和叶2 交换机与5G 核心通信。叶1和叶2使用外部边界网关协议（EBGP）路由协议连接到核心聚合路由器。此外核心聚合路由器和基站路由器之间还使用内部BGP（iBGP）路由协议。

网络中使用链路聚合组（LAG）来增加链路容量或冗余。对于本项目中的回程连接，在基站路由器和核心汇聚路由器之间使用了一个LAG，由2x 1GbE 链接组成。LAG被配置为使用默认端口阈值行为，即所有成员端口必须处于非活动状态，LAG才会被宣布关闭。

VRF配置在每种5G网络类型的所有主干和叶子交换机上。VRF还配置在叶1和叶2上，用于与核心聚合路由器的连接，以及核心聚合路由器与基站路由器之间的连接。这就实现了数据平面、信令和运行与维护流量的端到端分离，确保这些流量类型之间没有VRF 泄漏。由于运行维护和信令通信只需要从RAN 到 5G核心网，因此不需要穿越整个网络。数据平面则会穿越整个网络，因为它是从UE 的 RAN开始的，必须能够输出到数据网络。

网络测试设备一端连接到基站路由器，另一端连接到用户平面功能（UPF）防火墙，以执行端到端测试。叶3和叶4连接到UPF防火墙，以连接互联网、数据网络和网络测试设备。

图4. NCCoE实验室网络基础架构

网络配置

图5显示了NCCoE实验室叶1配置的一部分，以一个VRF 为例展示了数据平面的实施。它包括数据平面VRF、IP前缀列表和VLAN的配置，以及到 spines和核心聚合路由器接口的配置和数据平面BGP设置。仅显示数据平面相关配置，其他配置因简略而省略。VLAN编号由管理员定义，每个交换机都是唯一的。

图5. 以数据平面VRF为重点的叶1配置示例

//

确认数据平面、信令和运行维护流量分离

//

NCCoE实验室使用Cisco Secure Network Analytics (SNA) 网络工具监控数据平面、信令和运行维护流量。自定义报告可配置为显示高级别的VRF 分离情况，并在VRF之间出现任何泄漏时发出警报。图6显示，SNA可以显示三个VRF，而且它们之间没有泄漏。如果VRF之间有任何泄漏，一个或多个圆圈将变为红色并发出警报。VRF泄漏可能会导致孤立网段之间的流量意外路由，危及安全并造成运行中断。

图6. 思科安全网络分析(SNA) 显示三个VRF

声明：本文来自天极智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。