1.引言

隨著5G技術(shù)的崛起，虛擬移動網(wǎng)絡(luò)（VMNs）正成為現(xiàn)代通信領(lǐng)域的重要組成部分，為移動通信帶來了前所未有的靈活性和效率。然而，隨著這些創(chuàng)新技術(shù)的廣泛應(yīng)用，我們也迎來了新的挑戰(zhàn)，其中突出的挑戰(zhàn)之一就是虛擬移動網(wǎng)絡(luò)安全。VMNs的虛擬化、軟件定義網(wǎng)絡(luò)（SDN）和網(wǎng)絡(luò)切片等新興技術(shù)不僅帶來了高度的靈活性，同時也引發(fā)了對數(shù)據(jù)和通信安全新層面的關(guān)切。

本文將介紹VMNS網(wǎng)絡(luò)安全所面臨的關(guān)鍵問題，指明現(xiàn)代通信基礎(chǔ)設(shè)施中面臨的威脅，并提出解決這些挑戰(zhàn)的策略和創(chuàng)新，將引導(dǎo)您深入了解VMNS網(wǎng)絡(luò)安全的核心問題及其應(yīng)對方法。

總體概述

虛擬移動網(wǎng)絡(luò)（VMNs）利用云計算、網(wǎng)絡(luò)功能虛擬化（NFV）和軟件定義網(wǎng)絡(luò)（SDN），來有效地部署網(wǎng)絡(luò)功能及在需要時擴(kuò)展資源，為網(wǎng)絡(luò)管理提供統(tǒng)一平臺，從而實現(xiàn)電信網(wǎng)絡(luò)即服務(wù)（TaaS）。如圖所示，通過利用網(wǎng)絡(luò)和虛擬化技術(shù)，可以生成一個切片，例如車聯(lián)萬物（V2X）實驗切片，以在相同的共享基礎(chǔ)設(shè)施上提供多樣化的服務(wù)。

圖 啟用SDN的切片和安全功能布局

因此，VMNs的安全性將取決于SDN、云平臺以及最重要的虛擬化技術(shù)NFV的安全性。通信網(wǎng)絡(luò)的虛擬化使我們能夠在同一物理基礎(chǔ)設(shè)施上部署多種服務(wù)。虛擬化使通用商品系統(tǒng)能夠運行一個或多個不同的虛擬網(wǎng)絡(luò)功能（VNFs）。網(wǎng)絡(luò)功能虛擬化（NFV），即通過軟件實現(xiàn)網(wǎng)絡(luò)功能，以在通用網(wǎng)絡(luò)設(shè)備上部署，帶來了虛擬網(wǎng)絡(luò)功能（VNFs）的興起[1]。NFV隨后成為5G及5G以后網(wǎng)絡(luò)的重要技術(shù)[2]。未來，新型垂直領(lǐng)域?qū)⒖缭蕉鄠€運營商環(huán)境，提供諸如電子健康、智能家居和車輛對車輛通信等新服務(wù)。

軟件定義網(wǎng)絡(luò)（SDN）是VMNs的主要使能技術(shù)之一，因為它具有提供物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施抽象的能力[3]。SDN將網(wǎng)絡(luò)控制與數(shù)據(jù)轉(zhuǎn)發(fā)元素分離，引入了網(wǎng)絡(luò)可編程性，并在邏輯上將網(wǎng)絡(luò)控制集中到中央位置進(jìn)行整個網(wǎng)絡(luò)的管理。這些特性使網(wǎng)絡(luò)更加強(qiáng)大，簡化了網(wǎng)絡(luò)管理，并最小化了運營費用。然而，這些特性也為新的安全漏洞和挑戰(zhàn)敞開了大門。SDN在VNF的部署方面為NFV提供了極大的便利，同時在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中提供支持，因此SDN和NFV高度互補(bǔ)[4]。由于所有這些技術(shù)高度相關(guān)且相互依賴，在這一小節(jié)中我們將討論面臨的安全挑戰(zhàn)及其可能的解決方案。

2.NFV的安全性挑戰(zhàn)

在虛擬移動網(wǎng)絡(luò)（VMNs）中，網(wǎng)絡(luò)功能虛擬化（NFV）所面臨的安全挑戰(zhàn)主要集中在虛擬化管理程序、虛擬機(jī)（VM）和虛擬網(wǎng)絡(luò)功能（VNF）方面。虛擬化威脅的概念在近期涌現(xiàn)，VMN中軟硬件的可用性、完整性和保密性都可能受到威脅。在VMNs中，虛擬化管理程序（hypervisor）是一個負(fù)責(zé)在硬件上創(chuàng)建虛擬實例的中央實體。安全威脅可能源于軟件實現(xiàn)、VNF配置、管理程序和云平臺的安全弱點，以及對VNF的直接攻擊，如側(cè)通道攻擊、泛洪攻擊和惡意軟件注入[5]。

由于虛擬網(wǎng)絡(luò)功能（VNFs）的動態(tài)特性，信任管理成為了另一個嚴(yán)重的問題。因為VNFs能夠在多個網(wǎng)絡(luò)之間移動，并由不同所有者和運營商維護(hù)的云平臺支持[5]，它們可能成為攻擊的目標(biāo)。此類攻擊的目標(biāo)包括用戶流量、VNF代碼和策略輸入，以及VNF的狀態(tài)。攻擊者可能會利用操作環(huán)境的固有限制，包括其軟件和硬件[6]，來實現(xiàn)這些攻擊。此外，如果未定義標(biāo)準(zhǔn)接口，則可能面臨更嚴(yán)重的安全挑戰(zhàn)[7]。

NFV的安全解決方案

與中心化或核心網(wǎng)絡(luò)元素類似，保護(hù)虛擬化管理程序NFV必須通過適當(dāng)?shù)纳矸蒡炞C、授權(quán)和問責(zé)機(jī)制，必須采取確保可用性的安全機(jī)制。對VNF包的安全驗證檢查可以避免在整個系統(tǒng)中引入安全漏洞。因此，有多個提議提出通過適當(dāng)?shù)纳矸蒡炞C和完整性驗證來進(jìn)行VNF包的機(jī)密性檢查，以納入NFV系統(tǒng)。還有其他關(guān)于保護(hù)系統(tǒng)免受惡意VNF的提議。例如，文獻(xiàn)[8]中的作者提出并演示了一種驗證系統(tǒng)，使用標(biāo)準(zhǔn)TOSCA [9]數(shù)據(jù)模型保護(hù)NFV基礎(chǔ)設(shè)施（NFVI）的不同VNF安全屬性。

3.網(wǎng)絡(luò)切片安全挑戰(zhàn)

網(wǎng)絡(luò)切片通過在5G網(wǎng)絡(luò)中實現(xiàn)資源共享，為移動通信帶來了創(chuàng)新，但同時也為安全性和隱私保護(hù)帶來了新的挑戰(zhàn)。由于切片是移動網(wǎng)絡(luò)的新概念，因此可能會出現(xiàn)與基于服務(wù)的架構(gòu)（SBA）相似的設(shè)計和實施錯誤。在切片的生命周期管理中，切片模板、切片配置API和用戶數(shù)據(jù)處理都可能成為攻擊的目標(biāo)。當(dāng)切片運行時，可能會面臨拒絕服務(wù)（DoS）攻擊、性能攻擊、數(shù)據(jù)泄露和隱私侵犯等風(fēng)險。潛在的攻擊點涵蓋了用戶設(shè)備、服務(wù)接口、子切片、切片管理器、網(wǎng)絡(luò)功能以及參與網(wǎng)絡(luò)切片的各種網(wǎng)絡(luò)資源。切片間通信場景也為網(wǎng)絡(luò)帶來了額外的安全隱患[10]。此外，新的網(wǎng)絡(luò)功能領(lǐng)域，如切片管理、切片隔離、切片間的安全區(qū)分，以及切片過程中演進(jìn)分組核心（EPC）與5G核心網(wǎng)絡(luò)（5GC）的交互，也都面臨著潛在的移動網(wǎng)絡(luò)安全威脅[11]。

網(wǎng)絡(luò)切片安全解決方案

為了給所有5G網(wǎng)絡(luò)切片提供一致且高效的安全性，應(yīng)特別關(guān)注確保端到端切片安全、切片隔離以及切片資源管理和編排的方法和技術(shù)。針對不同的切片場景，需要制定新的信任模型以促進(jìn)參與切片的各個行為者和網(wǎng)絡(luò)之間的資源共享[10]。同時，建立強(qiáng)大的隔離機(jī)制也是必要的，因為強(qiáng)大的隔離機(jī)制可以最大限度地減少一個惡意切片對其他切片及虛擬化管理程序的影響[12]。通過主動監(jiān)視網(wǎng)絡(luò)流量，及時識別可疑和惡意活動，并利用SDN概念停止入站流量，可以提高網(wǎng)絡(luò)中不同切片的安全性。

4.軟件定義網(wǎng)絡(luò)的安全挑戰(zhàn)

數(shù)據(jù)平面與控制平面的分離、集中控制以及網(wǎng)絡(luò)可編程性（通過可編程API）為SDN帶來了安全挑戰(zhàn)[13]。例如，攻擊者可能利用平面間的通信通道偽裝一個平面，發(fā)動對另一個平面的攻擊。此外，由于集中式控制器的存在，使其成為DOS和資源耗盡攻擊的潛在目標(biāo)，這已通過對網(wǎng)絡(luò)中實時數(shù)據(jù)包的時間戳[14]或往返時間[15]進(jìn)行指紋識別得到了證明。因此，SDN中針對網(wǎng)絡(luò)控制點的攻擊相對容易實施。另外，SDN允許應(yīng)用程序編程或更改網(wǎng)絡(luò)行為的特點，可能使惡意程序有機(jī)會暗中操控網(wǎng)絡(luò)資源，例如流量重定向至僵尸網(wǎng)絡(luò)或黑客或竊取用戶流量。在虛擬移動網(wǎng)絡(luò)（VMNs）中，由于查找惡意軟件的難度更大，因此能夠操縱網(wǎng)絡(luò)的惡意軟件的威脅程度更高。

軟件定義網(wǎng)絡(luò)的解決方案

要保護(hù)網(wǎng)絡(luò)免受SDN攻擊，首先需要克服傳統(tǒng)SDN架構(gòu)的弱點。舉例來說，通過在邏輯上集中但在物理上分散網(wǎng)絡(luò)控制權(quán)，可以防范資源耗盡攻擊，并確保網(wǎng)絡(luò)控制點在數(shù)據(jù)平面中保持始終可用[16]。為實現(xiàn)這種韌性，可采取多種策略，包括分解控制器功能，例如實施本地決策制定[17]、采用分層控制器[18]、增加資源并提升資源能力，以及利用配備機(jī)器學(xué)習(xí)（ML）的智能安全系統(tǒng)，以在攻擊進(jìn)入網(wǎng)絡(luò)弱點之前采取積極的預(yù)防措施[12]。

此外，SDN還可用于提高虛擬網(wǎng)絡(luò)的安全性[19]。通過利用SDN的虛擬機(jī)（VM）遷移技術(shù)，可以將資源移動到安全的區(qū)域。例如，面對DoS攻擊，通過監(jiān)測SDN轉(zhuǎn)發(fā)平面中的負(fù)載狀態(tài)（例如流表中的數(shù)據(jù)包計數(shù)器值），可以實時有效地進(jìn)行VM遷移，從而提高可擴(kuò)展性。相較于傳統(tǒng)網(wǎng)絡(luò)，SDN通過在集中控制平臺上對實時網(wǎng)絡(luò)進(jìn)行編程的可編程API，以及獨立于分層IP協(xié)議棧的特性，成功解決了實時VM遷移所面臨的網(wǎng)絡(luò)狀態(tài)不可預(yù)測和VM遷移僅限于局域網(wǎng)（LAN）的難題。因此，加強(qiáng)SDN的韌性有助于提升虛擬移動網(wǎng)絡(luò)（VMNs）的安全性[13]。

5.總結(jié)

本文深入探討了虛擬移動網(wǎng)絡(luò)（VMNs）安全方面的關(guān)鍵問題，特別聚焦于新興技術(shù)如5G、網(wǎng)絡(luò)功能虛擬化（NFV）、軟件定義網(wǎng)絡(luò)（SDN）以及網(wǎng)絡(luò)切片等對網(wǎng)絡(luò)安全提出的挑戰(zhàn)。5G的引入使得VMNs能夠更靈活地共享物理基礎(chǔ)設(shè)施，但同時也引入了新的安全問題，例如flash網(wǎng)絡(luò)流量的激增、無線接口的安全性、用戶平面完整性等。網(wǎng)絡(luò)切片的應(yīng)用為資源共享提供了便利，NFV和SDN的應(yīng)用為網(wǎng)絡(luò)提供了更大的靈活性，但他們使得VMNs更為復(fù)雜，帶來了新的安全威脅。

本文還探討了針對這些挑戰(zhàn)的安全解決方案，包括對NFV的保護(hù)、網(wǎng)絡(luò)切片的端到端安全性保障、以及SDN中的攻擊防范措施。強(qiáng)調(diào)了適當(dāng)?shù)纳矸蒡炞C、授權(quán)、問責(zé)機(jī)制以及安全驗證檢查的重要性，同時指出了在SDN中分布控制、資源增加、機(jī)器學(xué)習(xí)等措施可以提高整體網(wǎng)絡(luò)的韌性和安全性等。

摘要

[1]B. Yi, X. Wang, S. K. Das, K. Li, and M. Huang, ''A comprehensive survey of network function virtualization,'' Comput. Netw., vol. 133, pp. 212–262, Mar. 2018.

[2] F. Z. Yousaf, M. Bredel, S. Schaller, and F. Schneider, ''NFV and SDN— Key technology enablers for 5G networks,'' IEEE J. Sel. Areas Commun., vol. 35, no. 11, pp. 2468–2478, Nov. 2017.

[3] G. Biczok, M. Dramitinos, L. Toka, P. E. Heegaard, and H. Lonsethagen, ''Manufactured by software: SDN-enabled multi-operator composite services with the 5G exchange,'' IEEE Commun. Mag., vol. 55, no. 4, pp. 80–86, Apr. 2017.

[4] J. Matias, J. Garay, N. Toledo, J. Unzilla, and E. Jacob, ''Toward an SDN-enabled NFV architecture,'' IEEE Commun. Mag., vol. 53, no. 4, pp. 187–193, Jan. 2015. 

[5] I. Ahmad, T. Kumar, M. Liyanage, J. Okwuibe, M. Ylianttila, and A. Gurtov, ''Overview of 5G security challenges and solutions,'' IEEE Commun. Standards Mag., vol. 2, no. 1, pp. 36–43, Mar. 2018.

[6] E. Marku, G. Biczok, and C. Boyd, ''Towards protected VNFs for multioperator service delivery,'' in Proc. IEEE Conf. Netw. Softw. (NetSoft), Jun. 2019, pp. 19–23. 

[7] W. Yang and C. Fung, ''A survey on security in network functions virtualization,'' in Proc. IEEE NetSoft Conf. Workshops (NetSoft), Jun. 2016, pp. 15–19.

[8] M. Pattaranantakul, Y. Tseng, R. He, Z. Zhang, and A. Meddahi, ''A first step towards security extension for NFV orchestrator,'' in Proc. ACM Int. Workshop Secur. Softw. Defined Netw. Netw. Function Virtualization, New York, NY, USA, Mar. 2017, p. 25.

[9] Tosca Simple Profile for Network Functions Virtualization (NFV) Version 1.0, TOSCA, Atlanta, GA, USA, 2015.

[10] R. F. Olimid and G. Nencioni, ''5G network slicing: A security overview,''IEEE Access, vol. 8, pp. 99999–100009, 2020.

[11] J. Cao, M. Ma, H. Li, R. Ma, Y. Sun, P. Yu, and L. Xiong, ''A survey on security aspects for 3GPP 5G networks,'' IEEE Commun. Surveys Tuts., vol. 22, no. 1, pp. 170–195, 1st Quart., 2020.

[12] M. Liyanage, I. Ahmad, A. B. Abro, A. Gurtov, and M. Ylianttila,A Comprehensive Guide to 5G Security. Hoboken, NJ, USA: Wiley, 2018.

[13] I. Ahmad, S. Namal, M. Ylianttila, and A. Gurtov, ''Security in software defined networks: A survey,'' IEEE Commun. Surveys Tuts., vol. 17, no. 4, pp. 2317–2346, 4th Quart., 2015.

[14] A. Azzouni, O. Braham, T. M. Trang Nguyen, G. Pujolle, and R. Boutaba, ''Fingerprinting OpenFlow controllers: The first step to attack an SDN control plane,'' in Proc. IEEE Global Commun. Conf. (GLOBECOM), Dec. 2016, pp. 1–6.

[15] H. Cui, G. O. Karame, F. Klaedtke, and R. Bifulco, ''On the fingerprinting of software-defined networks,'' IEEE Trans. Inf. Forensics Security, vol. 11, no. 10, pp. 2160–2173, Oct. 2016.

[16] E. Sakic, N. Deric?, and W. Kellerer, ''MORPH: An adaptive framework for efficient and Byzantine fault-tolerant SDN control plane,''IEEE J. Sel. Areas Commun., vol. 36, no. 10, pp. 2158–2174, Oct. 2018.

[17] J. C. Mogul, J. Tourrilhes, P. Yalagandula, P. Sharma, A. R. Curtis, and S. Banerjee, ''DevoFlow: Cost-effective flow management for high performance enterprise networks,'' in Proc. 9th ACM SIGCOMM Workshop Hot Topics Netw., 2010, pp. 1–6.

[18] M. A. Togou, D. A. Chekired, L. Khoukhi, and G.-M. Muntean, ''A hierarchical distributed control plane for path computation scalability in large scale software-defined networks,'' IEEE Trans. Netw. Service Manage., vol. 16, no. 3, pp. 1019–1031, Sep. 2019.

[19] M. Liyanage, I. Ahmad, M. Ylianttila, A. Gurtov, A. B. Abro, and E. M. de Oca, ''Leveraging LTE security with SDN and NFV,'' in Proc. IEEE 10th Int. Conf. Ind. Inf. Syst. (ICIIS), Dec. 2015, pp. 220–225.