咱们一同聊聊虚构移动网络安保

1.引言

随着5G技术的崛起，虚构移动网络（VMNs）正成为现代通讯畛域的关键组成局部，为移动通讯带来了史无前例的灵敏性和效率。但是，随着这些翻新技术的宽泛运行，咱们也迎来了新的应战，其中突出的应战之一就是虚构移动网络安保。VMNs的虚构化、软件定义网络（SDN）和网络切片等新兴技术不只带来了高度的灵敏性，同时也引发了对数据和通讯安保新层面的关切。

本文将引见VMNS网络安保所面临的关键疑问，指明现代通讯基础设备中面临的要挟，并提出处置这些应战的战略和翻新，将疏导您深化了解VMNS网络安保的外围疑问及其应答方法。

总体概述

虚构移动网络（VMNs）应用云计算、网络性能虚构化（NFV）和软件定义网络（SDN），来有效地部署网络性能及在须要时裁减资源，为网络治理提供一致平台，从而成功电信网络即服务（TaaS）。如图所示，经过应用网络和虚构化技术，可以生成一个切片，例如车联万物（V2X）试验切片，以在相反的共享基础设备上提供多样化的服务。

图 启用SDN的切片和安保性能规划

因此，VMNs的安保性将取决于SDN、云平台以及最关键的虚构化技术NFV的安保性。通讯网络的虚构化使咱们能够在同一物理基础设备上部署多种服务。虚构化使通用商品系统能够运转一个或多个不同的虚构网络性能（VNFs）。网络性能虚构化（NFV），即经过软件成功网络性能，以在通用网络设备上部署，带来了虚构网络性能（VNFs）的兴起[1]。NFV随后成为5G及5G网络的关键技术[2]。未来，新型垂直畛域将超过多个运营商环境，提供诸如电子肥壮、智能家居和车辆对车辆通讯等新服务。

软件定义网络（SDN）是VMNs的关键使能技术之一，由于它具备提供物理网络基础设备形象的才干[3]。SDN将网络控制与数据转发元素分别，引入了网络可编程性，并在逻辑上将网络控制集中到中央位置启动整个网络的治理。这些个性使网络愈增弱小，简化了网络治理，并最小化了运营费用。但是，这些个性也为新的安保破绽和应战关闭了大门。SDN在VNF的部署方面为NFV提供了极大的便利，同时在网络基础设备中提供支持，因此SDN和NFV高度互补[4]。由于一切这些技术高度关系且相互依赖，在这一小节中咱们将讨论面临的安保应战及其或许的处置打算。

2.NFV的安保性应战

在虚构移动网络（VMNs）中，网络性能虚构化（NFV）所面临的安保应战关键集中在虚构化治理程序、虚构机（VM）和虚构网络性能（VNF）方面。虚构化要挟的概念在近期涌现，VMN中软配件的可用性、完整性和隐秘性都或许遭到要挟。在VMNs中，虚构化治理程序（hypervisor）是一个担任在配件上创立虚构实例的中央实体。安保要挟可动力于软件成功、VNF性能、治理程序和云平台的安保弱点，以及对VNF的间接攻打，如侧通道攻打、泛洪攻打和恶意软件注入[5]。

由于虚构网络性能（VNFs）的灵活个性，信赖治理成为了另一个重大的疑问。由于VNFs能够在多个网络之间移动，并由不同一切者和运营商保养的云平台支持[5]，它们或许成为攻打的指标。此类攻打的指标包含用户流量、VNF代码和战略输入，以及VNF的形态。攻打者或许会应用操作环境的固有限制，包含其软件和配件[6]，来成功这些攻打。此外，假设未定义规范接口，则或许面临更重大的安保应战[7]。

NFV的安保处置打算

与中心化或外围网络元素相似，包全虚构化治理程序NFV必定经过适当的身份验证、授权和问责机制，必定采取确保可用性的安保机制。对VNF包的安保验证审核可以防止在整个系统中引入安保破绽。因此，有多个提议提出经过适当的身份验证和完整性验证来启动VNF包的秘密性审核，以归入NFV系统。还有其余关于包全系统免受恶意VNF的提议。例如，文献[8]中的作者提出并演示了一种验证系统，经常使用规范TOSCA [9]数据模型包全NFV基础设备（NFVI）的不同VNF安保属性。

3.网络切片安保应战

网络切片经过在5G网络中成功资源共享，为移动通讯带来了翻新，但同时也为安保性和隐衷包全带来了新的应战。由于切片是移动网络的新概念，因此或许会产生与基于服务的架构（SBA）相似的设计和实施失误。在切片的生命周期治理中，切片模板、切片性能API和用户数据处置都或许成为攻打的指标。当切片运转时，或许会面临拒绝服务（DoS）攻打、性能攻打、数据暴露和隐衷侵犯等危险。潜在的攻打点涵盖了用户设备、服务接口、子切片、切片治理器、网络性能以及介入网络切片的各种网络资源。切片间通讯场景也为网络带来了额外的安保隐患[10]。此外，新的网络性能畛域，如切片治理、切片隔离、切片间的安保辨别，以及切片环节中演进分组外围（EPC）与5G外围网络（5GC）的交互，也都面临着潜在的移动网络安保要挟[11]。

网络切片安保处置打算

为了给一切5G网络切片提供分歧且高效的安保性，应特意关注确保端到端切片安保、切片隔离以及切片资源治理和编排的方法和技术。针对不同的切片场景，须要制订新的信赖模型以促成介入切片的各个行为者和网络之间的资源共享[10]。同时，树立弱小的隔离机制也是必要的，由于弱小的隔离机制可以最大限制地缩小一个恶意切片对其余切片及虚构化治理程序的影响[12]。经过被动监督网络流量，及时识别可疑和恶意优惠，并应用SDN概念中止入站流量，可以提高网络中不同切片的安保性。

4.软件定义网络的安保应战

数据平面与控制平面的分别、集中控制以及网络可编程性（经过可编程API）为SDN带来了安保应战[13]。例如，攻打者或许应用平面间的通讯通道伪装一个平面，发起对另一个平面的攻打。此外，由于集中式控制器的存在，使其成为DOS和资源耗尽攻打的潜在指标，这已经过对网络中实时数据包的时期戳[14]或往复时期[15]启动指纹识别获取了证实。因此，SDN中针对网络控制点的攻打相对容易实施。另外，SDN准许运行程序编程或更改网络行为的特点，或许使恶意程序无时机暗中操控网络资源，例如流量重定向至僵尸网络或黑客或窃取用户流量。在虚构移动网络（VMNs）中，由于查找恶意软件的难度更大，因此能够操纵网络的恶意软件的要挟水平更高。

软件定义网络的处置打算

要包全网络免受SDN攻打，首先须要克制传统SDN架构的弱点。举例来说，经过在逻辑上集中但在物理上扩散网络控制权，可以防范资源耗尽攻打，并确保网络控制点在数据平面中坚持一直可用[16]。为成功这种韧性，可采取多种战略，包含合成控制器性能，例照实施本地决策制订[17]、驳回分层控制器[18]、参与资源并优化资源才干，以及应用装备机器学习（ML）的智能安保系统，以在攻打进入网络弱点之前采取踊跃的预防措施[12]。

此外，SDN还可用于提高虚构网络的安保性[19]。经过应用SDN的虚构机（VM）迁徙技术，可以将资源移动到安保的区域。例如，面对DoS攻打，经过监测SDN转发平面中的负载形态（例如流表中的数据包计数器值），可以实时有效地启动VM迁徙，从而提高可裁减性。相较于传统网络，SDN经过在集中控制平台上对实时网络启动编程的可编程API，以及独立于分层IP协定栈的个性，成功处置了实时VM迁徙所面临的网络形态无法预测和VM迁徙仅限于局域网（LAN）的难题。因此，增强SDN的韧性有助于优化虚构移动网络（VMNs）的安保性[13]。

5.总结

本文深化讨论了虚构移动网络（VMNs）安保方面的关键疑问，特意聚焦于新兴技术如5G、网络性能虚构化（NFV）、软件定义网络（SDN）以及网络切片等对网络安保提出的应战。5G的引入使得VMNs能够更灵敏地共享物理基础设备，但同时也引入了新的安保疑问，例如flash网络流量的激增、无线接口的安保性、用户平面完整性等。网络切片的运行为资源共享提供了便利，NFV和SDN的运行为网络提供了更大的灵敏性，但他们使得VMNs更为复杂，带来了新的安保要挟。

本文还讨论了针对这些应战的安保处置打算，包含对NFV的包全、网络切片的端到端安保性保证、以及SDN中的攻打防范措施。强调了适当的身份验证、授权、问责机制以及安保验证审核的关键性，同时指出了在SDN中散布控制、资源参与、机器学习等措施可以提高全体网络的韧性和安保性等。

摘要

[1]B. Yi, X. Wang, S. K. Das, K. Li, and M. Huang, ''A comprehensive survey of network function virtualization,'' Comput. Netw., vol. 133, pp. 212–262, Mar. 2018.

[2] F. Z. Yousaf, M. Bredel, S. Schaller, and F. Schneider, ''NFV and SDN— Key technology enablers for 5G networks,'' IEEE J. Sel. Areas Commun., vol. 35, no. 11, pp. 2468–2478, Nov. 2017.

[3] G. Biczok, M. Dramitinos, L. Toka, P. E. Heegaard, and H. Lonsethagen, ''Manufactured by software: SDN-enabled multi-operator composite services with the 5G exchange,'' IEEE Commun. Mag., vol. 55, no. 4, pp. 80–86, Apr. 2017.

[4] J. Matias, J. Garay, N. Toledo, J. Unzilla, and E. Jacob, ''Toward an SDN-enabled NFV architecture,'' IEEE Commun. Mag., vol. 53, no. 4, pp. 187–193, Jan. 2.

[5] I. Ahmad, T. Kumar, M. Liyanage, J. Okwuibe, M. Ylianttila, and A. Gurtov, ''Overview of 5G security challenges and solutions,'' IEEE Commun. Standards Mag., vol. 2, no. 1, pp. 36–43, Mar. 2018.

[6] E. Marku, G. Biczok, and C. Boyd, ''Towards protected VNFs for multioperator service delivery,'' in Proc. IEEE Conf. Netw. Softw. (NetSoft), Jun. 2019, pp. 19–23.

[7] W. Yang and C. Fung, ''A survey on security in network functions virtualization,'' in Proc. IEEE NetSoft Conf. Workshops (NetSoft), Jun. 2016, pp. 15–19.

[8] M. Pattaranantakul, Y. Tseng, R. He, Z. Zhang, and A. Meddahi, ''A first step towards security extension for NFV orchestrator,'' in Proc. ACM Int. Workshop Secur. Softw. Defined Netw. Netw. Function Virtualization, New York, NY, USA, Mar. 2017, p. 25.

[9] Tosca Simple Profile for Network Functions Virtualization (NFV) Version 1.0, TOSCA, Atlanta, GA, USA, 2.

[10] R. F. Olimid and G. Nencioni, ''5G network slicing: A security overview,''IEEE Access, vol. 8, pp. 99999–100009, 2020.

[11] J. Cao, M. Ma, H. Li, R. Ma, Y. Sun, P. Yu, and L. Xiong, ''A survey on security aspects for 3GPP 5G networks,'' IEEE Commun. Surveys Tuts., vol. 22, no. 1, pp. 170–195, 1st Quart., 2020.

[12] M. Liyanage, I. Ahmad, A. B. Abro, A. Gurtov, and M. Ylianttila,A Comprehensive Guide to 5G Security. Hoboken, NJ, USA: Wiley, 2018.

[13] I. Ahmad, S. Namal, M. Ylianttila, and A. Gurtov, ''Security in software defined networks: A survey,'' IEEE Commun. Surveys Tuts., vol. 17, no. 4, pp. 2317–2346, 4th Quart., 2.

[14] A. Azzouni, O. Braham, T. M. Trang Nguyen, G. Pujolle, and R. Boutaba, ''Fingerprinting OpenFlow controllers: The first step to attack an SDN control plane,'' in Proc. IEEE Global Commun. Conf. (GLOBECOM), Dec. 2016, pp. 1–6.

[15] H. Cui, G. O. Karame, F. Klaedtke, and R. Bifulco, ''On the fingerprinting of software-defined networks,'' IEEE Trans. Inf. Forensics Security, vol. 11, no. 10, pp. 2160–2173, Oct. 2016.

[16] E. Sakic, N. Ðerić, and W. Kellerer, ''MORPH: An adaptive framework for efficient and Byzantine fault-tolerant SDN control plane,''IEEE J. Sel. Areas Commun., vol. 36, no. 10, pp. 2158–2174, Oct. 2018.

[17] J. C. Mogul, J. Tourrilhes, P. Yalagandula, P. Sharma, A. R. Curtis, and S. Banerjee, ''DevoFlow: Cost-effective flow management for high performance enterprise networks,'' in Proc. 9th ACM SIGCOMM Workshop Hot Topics Netw., 2010, pp. 1–6.

[18] M. A. Togou, D. A. Chekired, L. Khoukhi, and G.-M. Muntean, ''A hierarchical distributed control plane for path computation scalability in large scale software-defined networks,'' IEEE Trans. Netw. Service Manage., vol. 16, no. 3, pp. 1019–1031, Sep. 2019.

[19] M. Liyanage, I. Ahmad, M. Ylianttila, A. Gurtov, A. B. Abro, and E. M. de Oca, ''Leveraging LTE security with SDN and NFV,'' in Proc. IEEE 10th Int. Conf. Ind. Inf. Syst. (ICIIS), Dec. 2, pp. 220–225.