【導(dǎo)讀】今年5月,WannaCry2.0利用“永恒之藍”漏洞利用程序通過互聯(lián)網(wǎng)對全球Windows操作系統(tǒng)的計算機進行攻擊,惡意加密用戶文件以勒索比特幣。勒索病毒橫掃全球!1/2/3/4G為手機而生,而如今,5G要面向萬物互聯(lián),安全問題更加突出。那我們所了解的5G到底安全嗎?
從1G/2G到3G/4G,20多年來,移動通信網(wǎng)絡(luò)以其強大的加密與認證措施,一直都是最安全的商用網(wǎng)絡(luò)。
但是,1/2/3/4G僅為手機而生,而5G要面向萬物互聯(lián),安全問題更加突出。
比如,5G有一個用例叫遠程醫(yī)療,它可以拯救人類的生命,可想而知,網(wǎng)絡(luò)安全性有多么重要!
5G超高速率與超低時延也是一把雙刃劍,對于黑客而言,這也意味著攻擊速度更快!
另一方面,5G要網(wǎng)絡(luò)重構(gòu),要切片,要遷移到電信云,基于NFV/SDN的網(wǎng)絡(luò)虛擬化、自動化和開源化使能網(wǎng)絡(luò)更靈活、敏捷和低成本。
但這也是一把雙刃劍,網(wǎng)絡(luò)靈活和敏捷意味著更容易遭受惡意攻擊,伴隨開源和開放而來的還有敞開的漏洞。
通俗的講,1/2/3/4G網(wǎng)絡(luò)的安全機制是在網(wǎng)絡(luò)入口設(shè)置高高的“保護墻”來防止網(wǎng)絡(luò)遭受攻擊,而開放包容的5G會在一定程度上會打破“高墻”,部分依靠網(wǎng)絡(luò)內(nèi)部靈活慎密的安全機制來應(yīng)對網(wǎng)絡(luò)攻擊。
4G標(biāo)準安全構(gòu)架
因此,5G安全是一門前無所有的新課題、新挑戰(zhàn)。
5G面臨的安全挑戰(zhàn)
要理解5G安全機制,我們得先理解5G網(wǎng)絡(luò)重構(gòu),即基于云的網(wǎng)絡(luò)構(gòu)架。
我們講傳統(tǒng)的電信設(shè)備是“黑匣子”解決方案,5G要通過NFV(網(wǎng)絡(luò)功能虛擬化)來對“黑匣子”軟硬件解耦,并將解耦后的虛擬化網(wǎng)絡(luò)功能軟件分解成模塊化的組件運行于通用硬件之上,最終走向云化和開源的軟/硬件生態(tài)。
再以核心網(wǎng)為例...
這樣的5G網(wǎng)絡(luò)構(gòu)架主要會面臨哪些挑戰(zhàn)呢?
如上圖所示,5G網(wǎng)絡(luò)安全挑戰(zhàn)包括:
- 來自接入網(wǎng)側(cè)的控制面和用戶面DDoS攻擊,比如海量終端發(fā)起“信令風(fēng)暴”引發(fā)網(wǎng)絡(luò)擁塞甚至崩潰。
- 攻擊編排(Orchestration)漏洞
- 攻擊Hypervisor漏洞
- 來自互聯(lián)網(wǎng)DDoS/攻擊
- 虛擬化的5G網(wǎng)絡(luò)更具彈性和靈活性,但這同樣是把雙刃劍,這也意味著網(wǎng)絡(luò)攻擊更靈活。
其中,上圖也列出了虛擬化網(wǎng)絡(luò)的兩大主要應(yīng)對措施:DDOS緩解機制和安全功能虛擬化(Security Function Virtualization)。
5G如何應(yīng)對DDoS攻擊?
盡管傳統(tǒng)電信設(shè)備是“黑匣子”,但采用專用ASIC,處理性能穩(wěn)定,長期以來經(jīng)受住了網(wǎng)絡(luò)高峰考驗,堅挺而可靠。
而5G NFV把虛擬網(wǎng)絡(luò)功能運行于通用CPU之上,當(dāng)網(wǎng)絡(luò)負荷狂增時,尤其在受到DDoS攻擊時,軟件化后的網(wǎng)絡(luò)能否經(jīng)得起考驗?如何應(yīng)對?
現(xiàn)在我們假設(shè)大量物聯(lián)網(wǎng)終端感染了“遠程重啟”惡意軟件,這些物聯(lián)網(wǎng)終端組成所謂的“僵尸網(wǎng)絡(luò)”,黑客隨時準備向我們的5G網(wǎng)絡(luò)發(fā)起攻擊...
5G如何應(yīng)對?如下圖:
①黑客操控海量被感染的物聯(lián)網(wǎng)終端同時重啟,引發(fā)海量的附著請求(Attach Requests),從而發(fā)起“信令風(fēng)暴”攻擊。
②vMME處于被DDoS攻擊狀態(tài)。
③系統(tǒng)實時分析并發(fā)出“受攻擊”告警。
④編排器(Orchestrator)實例化新的虛擬機(VM)快速擴展vMME功能,以在對網(wǎng)絡(luò)攻擊進行進一步分析期間擴展更高的信令流量負荷,防止網(wǎng)絡(luò)癱瘓。
如果是用戶面的惡意流量呢?5G又如何應(yīng)對?
①移動終端上的惡意軟件向客戶云服務(wù)直接發(fā)送惡意IP數(shù)據(jù)包。
②分析引擎檢測到異常,并發(fā)送實時告警。
③SDN控制器動態(tài)修改防火墻規(guī)則,阻撓攻擊。
5G如何應(yīng)對漏洞攻擊?
舉個例子,我們說5G網(wǎng)絡(luò)要以用戶為中心,要實現(xiàn)終端用戶的自助服務(wù),比如用戶可以自助調(diào)整寬帶網(wǎng)速,甚至是添加類似防火墻一類的虛擬功能,但是,這一切都是用戶通過一個公共的外部網(wǎng)站或平臺來實現(xiàn)。
當(dāng)用戶自助修改功能時,需求通過外部網(wǎng)絡(luò)傳送到NFV編排器(Orchestrator),這就意味著,在外網(wǎng)和運營商內(nèi)網(wǎng)之間為終端用戶打開了一條控制網(wǎng)絡(luò)的通道。
這就為黑客利用漏洞發(fā)起攻擊提供了一條通道。
以Hypervisor漏洞攻擊為例...
黑客攻擊開源代碼漏洞,Hypervisor感染惡意軟件,進而篡改虛擬機(VM)、竊取和篡改數(shù)據(jù)。
再來看看SDN控制器漏洞攻擊...
眾所周知,傳統(tǒng)的電信設(shè)備是將控制面集成在一個封閉的盒子里,且控制面協(xié)議絕大部分預(yù)定義于設(shè)備中,只預(yù)留了少量的幾個參數(shù)可修改、調(diào)整。
而SDN將控制面從設(shè)備分離,并抽取出來,通過編程化的外部控制器來實現(xiàn)如同交通調(diào)度樞紐般的對網(wǎng)絡(luò)交通狀況進行動態(tài)調(diào)整,這同樣為黑客利用漏洞攻擊提供了機會。
黑客如何發(fā)起SDN控制器漏洞攻擊呢?
假設(shè)SDN控制器中代碼有BUG,沒有禁用外部實體接入,黑客就可以利用北向API發(fā)起XXE攻擊,進而竊取敏感數(shù)據(jù)或遠程代碼執(zhí)行。
對于漏洞攻擊的防范主要還是實時監(jiān)控、定期掃描、勤更新、堵端口等,尤其注意接入控制和API接口安全。
旁路攻擊
5G網(wǎng)絡(luò)需采用網(wǎng)絡(luò)切片技術(shù)來應(yīng)對不同的應(yīng)用場景,最典型的切片是:大規(guī)模物聯(lián)網(wǎng)、關(guān)鍵任務(wù)型物聯(lián)網(wǎng)和增強型移動寬帶三大切片。
網(wǎng)絡(luò)切片是指共享網(wǎng)絡(luò)物理資源,由Hypervisor管理和控制為不同應(yīng)用場景切出多個邏輯上獨立的虛擬網(wǎng)絡(luò)。
由于同一張物理網(wǎng)絡(luò)共存多個“切片”,容易遭受來自黑客的旁路攻擊。
黑客如何對5G切片網(wǎng)絡(luò)發(fā)起旁路攻擊呢?
未來的5G切片可能不僅僅是以上三大典型切片,其包括多個為特定服務(wù)定制的網(wǎng)絡(luò)切片,甚至是虛擬運營商自己定義切片,不同的切片對網(wǎng)絡(luò)可靠性和安全性要求不盡相同,黑客就可能通過了解“切片1”中的虛擬機中的代碼運行規(guī)律來推斷出“切片2”中的運行于同一物理資源之上的虛擬機的代碼運行規(guī)律,從而發(fā)起向“切片2”的網(wǎng)絡(luò)攻擊。
這種攻擊方式通常采用旁路攻擊。所謂旁路攻擊,在密碼學(xué)中指繞過對加密算法的繁瑣分析,利用密碼算法的硬件實現(xiàn)的運算中泄露的信息,如執(zhí)行時間、功耗、電磁輻射等,結(jié)合統(tǒng)計理論快速的破解密碼系統(tǒng)。
比如時序攻擊,黑客通過分析加密算法的時間執(zhí)行來推導(dǎo)出密匙。
所以,5G切片需部署慎密的隔離機制,尤其是虛擬機之間的隔離。
從另一個角度看,虛擬機的隔離機制也非常重要。
由于未來的5G網(wǎng)絡(luò)是分布式的,除了核心云,還有分布于基站、接入機房的邊緣數(shù)據(jù)中心,虛擬機遍布網(wǎng)絡(luò)。這些虛擬機經(jīng)常被實例化,一旦受到攻擊,病毒就可能從一個虛擬機傳播到另一個,或從一個主機上的虛擬機傳播到其它主機上,最終蔓延整個網(wǎng)絡(luò)。
因此,每一個切片網(wǎng)絡(luò)下的虛擬機可能都要做到被單獨監(jiān)視和保護。
相對于傳統(tǒng)2/3/4G的安全機制,很明顯,5G安全機制更加細化。
總之,對于5G而言,傳統(tǒng)2/3/4G網(wǎng)絡(luò)那套安全機制是行不通,和5G網(wǎng)絡(luò)重構(gòu)一樣,5G網(wǎng)絡(luò)的安全機制也是一次前所未有的顛覆:我們不但要防止網(wǎng)絡(luò)攻擊,還要時刻做最壞的打算,不斷假設(shè)網(wǎng)絡(luò)如果遭受攻擊應(yīng)該采取怎樣的措施,且能快速應(yīng)對。
以上內(nèi)容主要討論了虛擬化后5G網(wǎng)絡(luò)面臨的安全問題,盡管很重要,但并不是5G安全的全部,事實上,我們認為,5G安全機制是一次CT和IT領(lǐng)域的融合,范圍廣,復(fù)雜度高。
墨跡了這么久,那么5G到底安全嗎?
對不起,這個問題我們真回答不了,但是,我們始終相信,不管2/3/4G,還是5G,移動蜂窩網(wǎng)絡(luò)的安全性永遠是No.1。
目前,3GPP工作組SA3負責(zé)5G網(wǎng)絡(luò)安全構(gòu)架,其關(guān)注的領(lǐng)域如下:
5G第一階段的安全構(gòu)架將于2018年3月完成,屆時可查閱技術(shù)規(guī)范TS33.501。
最后,再上一張來自諾基亞貝爾實驗室的5G安全架構(gòu)圖...
好了,這就是我們所了解的關(guān)于5G安全那些事,不詳之處,歡迎補充。
推薦閱讀: