5G网络NFVI安全防护架构 .pdfVIP

5G网络NFVI安全防护架构

张鉴;冯晓东;唐洪玉

【期刊名称】《《移动通信》》

【年(卷),期】2019(043)010

【总页数】6页(P43-48)

【关键词】5G网络;NFV;安全架构

【作者】张鉴;冯晓东;唐洪玉

【作者单位】中国电信股份有限公司网络与信息安全研究院上海200000;中国电

信股份有限公司网络安全产品运营中心北京100010

【正文语种】中文

【中图分类】TN929.5

1引言

随着信息通信技术的快速发展和广泛应用，人类社会与信息网络密不可分。5G作

为下一代无线通信技术将支持更加丰富的应用服务，深入融合到人们日常生活、工

作、学习、娱乐以及现实社会的运行、管理中，应该站在网络空间的角度审视5G

的安全。随着5G网络系统架构“云化”和“虚拟化”的变革，NFV技术将在5G

网络中发挥关键的作用，因此研究5G中NFV的安全防护框架和技术也成为目前

的一项重要课题。

25G网络总体架构

5G网络的设计融入了SDN、NFV、云计算技术的核心思想。5G网络架构由控制

云、接入云和转发云共同组成（如图1所示），并可基于SDN/NFV技术实现[1]。

（1）接入云。支持用户在多种应用场景和业务需求下的智能无线接入，并实现多

种无线接入技术的高效融合，无线组网可基于不同部署条件要求，进行灵活组网，

并提供边缘计算能力。

（2）控制云。完成全局的策略控制、会话管理、移动性管理、策略管理、信息管

理等，并支持面向业务的网络能力开放功能，实现定制网络与服务，满足不同新业

务的差异化需求，并扩展新的网络服务能力。

（3）转发云。配合接入云和控制云，实现业务汇聚转发功能，基于不同新业务的

带宽和时延等需求，实现增强移动宽带、海量连接、高可靠和低时延等不同业务数

据流的高效转发与传输，保证业务端到端质量要求。

35G网络中NFV技术安全需求分析

3.15G新业态需要NFV技术支撑

国际电信联盟（ITU）定义了5G的三大应用场景[2]：增强移动宽带（eMBB）、

海量机器类通信（mMTC）、高可靠低时延（uRLLC）。不同应用场景往往在多

个关键指标上存在差异化要求，因此5G系统需要支持可靠性、时延、吞吐量、定

位、计费、安全和可用性的定制组合。5G业务需求的多样性给5G网络规划和设

计带来了新的挑战，包括网络功能、架构、资源、路由等多方面的定制化设计挑战。

随着大量5G特有的新型业务的出现，要求运营商必须在研发模式、运营模式、服

务模式等各方面做出改变。采用NFV/SDN技术对电信网元的软硬件解耦，并结

合云原生技术实现网络虚拟化、云化部署，通过网络功能模块化、控制和转发分离

等使能技术，可以实现网络按照不同业务需求快速部署、动态的扩缩容和网络切片

的全生命周期管理，包括端到端网络切片的灵活构建、业务路由的灵活调度、网络

资源的灵活分配以及跨域、跨平台、跨厂家乃至跨运营商的端到端业务提供，可以

快速实现网络功能和各种应用的开发和上线，以应对5G时代给电信市场带来的挑

战。

3.2NFV技术带来新的安全挑战

图1三朵云5G网络总体逻辑架构D2D：设备到设备MEC：移动边缘计算HEW：

高效率无线局域网PDN：个人数据网络M2M：机器到机器S-RAN：智能无线接

入网络MANO：网络功能虚拟化管理和编排

网络功能虚拟化（NFV）是构建5G网络的关键技术之一，但NFV技术的引入，

对5G网络的安全提出了新的挑战。

5G网络需要解决安全边界变化、控制转发分离网络架构下的安全问题。支持应用、

控制和转发功能的云安全，采取对网络流量进行镜像、阻断和过滤等安全操作，解

决服务拒绝攻击、单点失效等安全问题。5G需要提供异构网络整体的安全措施，

为不同网络提供标准的接口进行安全操作，隔离不同类型网络[3-4]。

NFV技术所带来的特有安全风险尤其需要重点关注，如NFV基础设施导致平台安

全防护能力下降的问题。当平台运行不可信的虚机时，硬件平台的安全防护能力可

能会整体下降。这是由于虚拟环境中缺乏天然的物理隔离，针对单个虚拟网元的威

胁有可能会扩散至整个平台，进而影响其他虚拟网元的安全。此外，VNF虚拟网

元