基于零信任的5G網絡切片安全研究

項海波,鮑聰穎,,孫 健,吳 昊,田亞偉

(1.寧波永耀電力投資集團有限公司,浙江 寧波 315099;2.國網浙江省電力有限公司寧波供電公司,浙江 寧波 315016;3.上海交通大學寧波人工智能研究院,浙江 寧波 315000;4.上海交通大學電子信息與電氣工程學院,上海 200240)

0 引言

5G網絡技術為應用場景的多樣化提供了更多可能。第三代合作伙伴計劃(3rd generation partnership project,3GPP)定義了5G網絡的三大應用場景,分別是增強移動寬帶(enhance mobile broadband,eMBB)、大規模機器類通信(massive machine type of communication,mMTC)和高可靠低時延通信(ultra-reliable low latency communication,uRLLC)。不同場景下的業務需求各不相同。為滿足靈活、高效的運營需求,3GPP正式提出了網絡切片(network slicing,NS)的概念。

NS[1]是按業務需求邏輯劃分的獨立網絡。每個切片都具備定制化的網絡資源。一方面,NS技術的發展有效滿足了用戶各自的業務需求,使得運營商能夠提供定制化的服務、降低成本;另一方面,NS的引入使得網絡結構愈加復雜,也引發了更加棘手的網絡安全問題[2]?，F有技術,如防火墻[3]、虛擬專網(virtual private network,VPN)[4]、入侵檢測[5]等將網絡劃分為內外域,無法避免從內部信任域發起的惡意攻擊;同時,內網中大量數據的交換也為攻擊者提供了更廣泛的攻擊面。Li等[6]提出在5G網絡中引入防篡改、可追溯的區塊鏈技術,以保護網絡通信過程數據隱私安全。但區塊鏈只能保護鏈上數據,無法保證數據端到端的安全可靠。

針對NS現有安全技術存在的缺陷,本文基于零信任持續驗證的理念、結合軟件定義安全邊界(software defined perimeter,SDP)技術設計切片的安全架構,建立虛擬邊界,對網絡訪問業務進行實時監控并動態調整策略。這可有效保護訪問客體資源安全。在零信任的信任管理中,本文基于服務質量(quality of service,QoS)參數提出了能夠實時反映訪問主體行為的可信度量方法。

1 5G NS安全分析

1.1 端到端的NS

NS作為5G網絡的重要特征之一,本質是一個端到端的網絡。端到端的切片結構如圖1所示。

圖1 端到端的切片結構

切片網絡由接入網、承載網、核心網組成,覆蓋終端、云端,通過端管云協同為用戶提供優質業務體驗。當切片運行時,不可避免地會與不同用戶、設備乃至不同切片通信。同一切片內的接入網子切片與核心網子切片也會進行交互。這些訪問控制過程中,攻擊者都有可能對切片發起攻擊,造成嚴重后果[7]。

當前的切片安全方案主要有兩個方面:一是切片的安全認證;二是切片的軟、硬隔離。無論是切片的認證還是隔離,都在一定程度上提高了切片通信的安全性。但這并不能滿足當下復雜5G網絡環境中的動態安全需求。

1.2 切片的認證安全

切片普遍采用基于可擴展認證協議[8](extensible authentication protocol,EAP)框架下的認證協議,進行認證授權。終端用戶通過無線接入網向核心網發送帶有用戶切片選擇信息的注冊請求,進而觸發一系列認證響應過程,即主認證與二次認證過程。

基于EAP框架下的切片認證雖然有效避免了非法訪問造成的切片信息泄漏、竊聽等安全問題,提高了切片認證的安全性,但也存在很多不足。切片的認證體系在經過對用戶進行驗證授權后,并不能持續監測用戶的后續行為、實時改進信任決策和訪問權限。特別是對于已經授權的內網用戶,其屬于“一次認證,長期信任”。當攻擊者對切片發起拒絕服務(denial of service,DoS)攻擊與分布式拒絕服務(distributed DoS,DDoS)攻擊時,現有的認證機制并不能區分正常用戶請求與攻擊請求,從而會極大地消耗網絡計算資源。

1.3 切片的隔離安全

切片隔離有軟、硬隔離之分。硬隔離即物理隔離,通過硬件資源的劃分實現。軟隔離即邏輯隔離,將不同切片功能虛擬化,使用虛擬機或容器建立隔離機制,保障切片內外安全[9]。NS的端到端隔離,一方面可以避免切片之間發生資源相互競爭,進而影響切片的正常部署和運行;另一方面也可以避免因單個切片的異常對其他切片安全產生影響。

無論是硬隔離還是軟隔離,都是建立在傳統的有內外之分的網絡環境上的。當前,由于應用的設備、程序、資源等都在無處不在的云環境中,移動用戶能夠通過Wi-Fi、VPN等工具隨時隨地進入內網獲得訪問權限,即合法用戶也能發起攻擊;而非法用戶可以繞過外網隔離措施,進入內網進行破壞活動。

2 基于零信任的NS安全

2.1 零信任模型

傳統的網絡環境根據網絡資源本身的敏感性與保密級別,將資源部署在擁有不同信任等級的網絡區域。零信任通用模型如圖2所示。

圖2 零信任通用模型

不同網絡區域通過防火墻進行訪問隔離。但隨著接入設備種類、數量的不斷增長,安全邊界日益模糊,攻擊者在通過身份認證后可以繞過訪問系統、防火墻等檢測,進而在內部網絡進行一系列惡意操作。因此,這種區分不同信任等級的傳統安全防護體系正在逐漸失效。

這種情況下,“永不信任”與“持續驗證”的零信任理念應運而生。

在零信任安全架構中[10],假設所有網絡區域都具有危險性,那么位于任何網絡區域中的設備、設備間的通信、資源的訪問主體均不可信。因此,必須對訪問主體實時監測并動態授權,一旦發現異常行為就及時限制權限或者中斷風險會話。

此外,美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)還提出了另一種實現零信任的技術——SDP。SDP作為現有零信任架構的補充,用軟件定義的邊界作為覆蓋網絡保護資源,通過單包授權(single packet authorization,SPA)協議實現網絡隱身。其通信端口默認不對主體開放,只有發送SPA數據包進行身份核驗才能訪問網關后的客體資源。

2.2 基于零信任的切片安全架構

基于現有零信任方案加以改進,結合SDP技術的切片安全架構如圖3所示。

圖3 切片安全架構

整個架構劃分為數據平面與控制平面。數據平面主要負責終端與業務資源的通信交互?？刂破矫媸钦麄€系統的關鍵部分,負責對數據平面進行策略制定與控制。

數據平面包含接入終端、切片、網關和業務資源。終端用戶包括待接入的設備、系統和應用等。切片包括下一代基站(gNB)以及用戶平面功能(user plane function,UPF)、接入和移動性管理功能(access and mobility management function,AMF)、會話管理功能(session management function,SMF)等網元。網關即訪問代理則部署在資源側,有效隔離切片網絡與業務資源。其中,專網用戶安裝了定制的SDP客戶端,在經過切片二次認證后還需要通過客戶端向控制器和網關發送SPA報文進行身份核驗后才能獲取服務信息,以使用切片網絡進行通信?？刂破矫鎰t通過控制器實時監控訪問主體,并根據可信度量算法動態授予訪問權限。

所設計的基于零信任的切片安全架構結合切片原有的認證與隔離安全機制,可以利用控制器與網關充當“中間人”角色,有效隔離用戶與資源。其中,控制器對用戶的訪問全過程進行實時監控,實現了“一次安全”到“實時安全”的轉變。相比傳統強調區域的安全,基于零信任的切片安全強調5G網絡環境中的內生安全,旨在保持NS靈活性、可拓展性的同時,增強網絡的安全性和可靠性。

零信任網絡連接時序如圖4所示。

圖4 零信任網絡連接時序

2.3 基于QoS的可信度量

零信任切片安全架構的關鍵是判定用戶行為的可信度量方法。在工業自動化場景下,其主要有運動控制、控制器間通信、過程自動化、移動機器人等用例。不同用例的業務需求各不相同[11]。例如,運動控制需求是傳輸速率大于1 bit/s、時延小于1 ms、通信服務可靠性99.999 9%～99.999 999%;控制器間通信需求是傳速速率5～10 Mbit/s、時延小于10 ms、通信服務可靠性大于99.999 9%。用戶在選擇接入時,會按照業務需求選擇對應的切片類別,即接入不同切片用戶的QoS參數也不同。與預設切片參數區間偏離越大,代表用戶的信任度越低、權限越小。一些信任度低的用戶甚至沒有訪問權限。5G標準化QoS特征示例如表1所示[12]。

表1 5G標準化QoS特征示例

由于篇幅限制,表1只列舉了部分特征描述。其中:5G服務質量標識(QoS identifier,QI)對應不同場景下的QoS屬性要求;承載的保證比特率(guaranteed bit rate,GBR)類型表示要預留一定的帶寬;互聯網協議(internet protocol, IP)地址多媒體子系統(IP multimedia subsystem,IMS)表示在IP基礎上構建開放核心網控制架構。

以任意切片為例,對于QoS參數,定義1組向量Q=(Q1,Qx,…,Qi,…,Qn)。其中,Qi為第i個QoS屬性偏離程度歸一化結果,0≤Qi≤1,1≤i≤n。參考表1中的QoS特征,本文選取可用性(Q1)、可靠性(Q2)和實時性(Q3)這3個指標參與信任計算。

(1)

式中:Vr、V0分別為當前實時監測的傳輸速率和切片的預置傳輸速率即期望的傳輸速率,Mbit/s;K1為靈敏度,根據容許偏差范圍設置。

(2)

式中:Dr、Dt分別為接收到的數據包數與發送的總數據包數,byte;Pr、P0分別為當前丟包率與切片預置的丟包率,Pr、P0∈[0,1]。

(3)

式中:Tr、T0分別為當前實時監測得到的時延數據和切片的預期時延,ms;K2為靈敏度。

(4)

控制器根據計算得到信任度劃分閾值Δ:大于Δ設為可信,允許訪問切片資源;小于Δ設為不可信,拒絕或中斷風險會話。

3 仿真與結果分析

3.1 試驗設置

本文采用Matlab軟件對基于QoS參數的可信度量計算式進行仿真試驗。試驗假設當前場景下傳輸速率偏差在10 Mbit/s內、丟包率偏差在0.2內、時延偏差在1.5 ms內為正常用戶,超出偏差范圍則為惡意用戶。試驗以t=1為初始時刻,觀察20個單位時間內信任度變化,并將信任初始值均設為0。每次用戶QoS參數更新代表新一次的通信。信任度動態更新。試驗中初始參數設置如表2所示。

表2 初始參數設置

3.2 結果分析

用戶的信任度變化曲線如圖5所示。

圖5 用戶的信任度變化曲線

由圖5(a)可知:正常用戶由于滿足當前接入切片類型的QoS值區間,信任度在較高的區間波動;惡意用戶偏離接入切片類型的QoS值區間,信任度始終維持在數值較低的區間;被攻擊者惡意劫持的正常用戶,初始經過身份驗證為正常用戶,被攻擊者控制后行為偏離接入切片類型,信任度在某個時間點驟降。因此,無論是正常用戶、惡意用戶還是劫持用戶,控制器都能夠根據實時輸出的信任度作出相應的判斷。該結果驗證了度量算法是實時、有效的。此外,試驗允許的誤差范圍已經給出,不難計算得到閾值:

(5)

圖5(a)中,正常用戶信任度始終大于閾值,而惡意用戶在閾值以下,符合試驗設置。由圖5(b)可知,調節因子越小,曲線滯后越明顯,對歷史信任度的參考越多。當α為1時,不考慮歷史信任度的實時曲線。雖然實時性強,但未參考歷史信任度導致波動較大。α為0.4、0.2、0.1時曲線更為平滑,滯后明顯,與實時曲線差距大,實時性不足。零信任更多強調對用戶的實時驗證,但歷史信任度反應用戶的歷史行為具有一定參考價值。當α為0.8時,曲線既接近實時曲線又能反映歷史信任度的考量。因此,α取0.8較為合適。根據推導得到的閾值Δ=0.46。信任初值應該在閾值以下,否則會對未來時間內的信任度產生影響。試驗中,信任初值設為0較合理,并且默認不信任任何用戶。

現有的可信度量方法是基于信任屬性的,因此信任屬性的選擇直接關系到度量結果的優劣。常見的信任屬性包括設備、身份、位置等。但這類信任屬性屬于固有屬性,并不能動態反映接入主體的行為。而基于QoS參數的可信度量算法中,QoS相關參數直接可以從切片網絡中獲取,是用戶通過切片訪問業務資源產生的數據。其實時跟蹤主體的動態行為。這不易被偽造,因而能夠滿足零信任對于可信度量方法實時性與準確性的要求。這是其他信任屬性難以達到的效果。

4 結論

本文針對5G NS的安全問題,分析現有認證與隔離技術存在的天然缺陷,提出了一種基于零信任的切片安全架構。該架構由傳統“一次認證,長期信任”過渡為“永不信任,持續驗證”,可以作為現有安全技術的補充,從而提高切片內生安全性。

用戶與切片通信過程中,一旦發現異常,控制器會通過網關及時切斷風險會話,能夠有效保護切片認證訪問過程的安全。為了實現對用戶信任的實時度量,本文引入了基于QoS參數的可信度量方法,并通過仿真試驗驗證了該方法在度量過程中的有效性。這為實現細粒度的訪問控制決策奠定了基礎。雖然基于零信任的切片安全架構能夠有效增強網絡內生安全性,但零信任控制器本身也有可能遭到惡意攻擊。因此,如何保證零信任控制器始終安全將是零信任未來的研究方向之一。