广告

遭遇DDoS、漏洞及旁路攻击,5G如何应对?

2017-08-15 网优雇佣军 阅读:
今年5月,WannaCry2.0利用“永恒之蓝”漏洞利用程序通过互联网对全球Windows操作系统的计算机进行攻击,恶意加密用户文件以勒索比特币。勒索病毒横扫全球! 1/2/3/4G为手机而生,而如今,5G要面向万物互联,安全问题更加突出。那我们所了解的5G到底安全吗?

从1G/2G到3G/4G,20多年来,移动通信网络以其强大的加密与认证措施,一直都是最安全的商用网络。vx1ednc

但是,1/2/3/4G仅为手机而生,而5G要面向万物互联,安全问题更加突出。vx1ednc

比如,5G有一个用例叫远程医疗,它可以拯救人类的生命,可想而知,网络安全性有多么重要!vx1ednc

023ednc20170814vx1ednc

5G超高速率与超低时延也是一把双刃剑,对于黑客而言,这也意味着攻击速度更快!vx1ednc

另一方面,5G要网络重构,要切片,要迁移到电信云,基于NFV/SDN的网络虚拟化、自动化和开源化使能网络更灵活、敏捷和低成本。vx1ednc

但这也是一把双刃剑,网络灵活和敏捷意味着更容易遭受恶意攻击,伴随开源和开放而来的还有敞开的漏洞。vx1ednc

通俗的讲,1/2/3/4G网络的安全机制是在网络入口设置高高的“保护墙”来防止网络遭受攻击,而开放包容的5G会在一定程度上会打破“高墙”,部分依靠网络内部灵活慎密的安全机制来应对网络攻击。vx1ednc

025ednc20170814
▲4G标准安全构架vx1ednc

因此,5G安全是一门前无所有的新课题、新挑战。vx1ednc

5G面临的安全挑战

要理解5G安全机制,我们得先理解5G网络重构,即基于云的网络构架。vx1ednc

026ednc20170814vx1ednc

我们讲传统的电信设备是“黑匣子”解决方案,5G要通过NFV(网络功能虚拟化)来对“黑匣子”软硬件解耦,并将解耦后的虚拟化网络功能软件分解成模块化的组件运行于通用硬件之上,最终走向云化和开源的软/硬件生态。vx1ednc

再以核心网为例...vx1ednc

027ednc20170814vx1ednc

这样的5G网络构架主要会面临哪些挑战呢?vx1ednc

028ednc20170814vx1ednc

如上图所示,5G网络安全挑战包括:vx1ednc

•来自接入网侧的控制面和用户面DDoS攻击,比如海量终端发起“信令风暴”引发网络拥塞甚至崩溃。

•攻击编排(Orchestration)漏洞

•攻击Hypervisor漏洞

•来自互联网DDoS/攻击

•虚拟化的5G网络更具弹性和灵活性,但这同样是把双刃剑,这也意味着网络攻击更灵活。

其中,上图也列出了虚拟化网络的两大主要应对措施:DDOS缓解机制和安全功能虚拟化(Security Function Virtualization)。vx1ednc

5G如何应对DDoS攻击?

尽管传统电信设备是“黑匣子”,但采用专用ASIC,处理性能稳定,长期以来经受住了网络高峰考验,坚挺而可靠。vx1ednc

而5G NFV把虚拟网络功能运行于通用CPU之上,当网络负荷狂增时,尤其在受到DDoS攻击时,软件化后的网络能否经得起考验?如何应对?vx1ednc

现在我们假设大量物联网终端感染了“远程重启”恶意软件,这些物联网终端组成所谓的“僵尸网络”,黑客随时准备向我们的5G网络发起攻击...vx1ednc

5G如何应对?如下图:vx1ednc

029ednc20170814vx1ednc

①黑客操控海量被感染的物联网终端同时重启,引发海量的附着请求(Attach Requests),从而发起“信令风暴”攻击。

②vMME处于被DDoS攻击状态。

③系统实时分析并发出“受攻击”告警。

④编排器(Orchestrator)实例化新的虚拟机(VM)快速扩展vMME功能,以在对网络攻击进行进一步分析期间扩展更高的信令流量负荷,防止网络瘫痪。

如果是用户面的恶意流量呢?5G又如何应对?vx1ednc

030ednc20170814vx1ednc

①移动终端上的恶意软件向客户云服务直接发送恶意IP数据包。

②分析引擎检测到异常,并发送实时告警。

③SDN控制器动态修改防火墙规则,阻挠攻击。

5G如何应对漏洞攻击?

举个例子,我们说5G网络要以用户为中心,要实现终端用户的自助服务,比如用户可以自助调整宽带网速,甚至是添加类似防火墙一类的虚拟功能,但是,这一切都是用户通过一个公共的外部网站或平台来实现。vx1ednc

当用户自助修改功能时,需求通过外部网络传送到NFV编排器(Orchestrator),这就意味着,在外网和运营商内网之间为终端用户打开了一条控制网络的通道。vx1ednc

这就为黑客利用漏洞发起攻击提供了一条通道。vx1ednc

以Hypervisor漏洞攻击为例...vx1ednc

031ednc20170814vx1ednc

黑客攻击开源代码漏洞,Hypervisor感染恶意软件,进而篡改虚拟机(VM)、窃取和篡改数据。vx1ednc

再来看看SDN控制器漏洞攻击...vx1ednc

032ednc20170814vx1ednc

众所周知,传统的电信设备是将控制面集成在一个封闭的盒子里,且控制面协议绝大部分预定义于设备中,只预留了少量的几个参数可修改、调整。vx1ednc

而SDN将控制面从设备分离,并抽取出来,通过编程化的外部控制器来实现如同交通调度枢纽般的对网络交通状况进行动态调整,这同样为黑客利用漏洞攻击提供了机会。vx1ednc

黑客如何发起SDN控制器漏洞攻击呢?vx1ednc

假设SDN控制器中代码有BUG,没有禁用外部实体接入,黑客就可以利用北向API发起XXE攻击,进而窃取敏感数据或远程代码执行。vx1ednc

对于漏洞攻击的防范主要还是实时监控、定期扫描、勤更新、堵端口等,尤其注意接入控制和API接口安全。vx1ednc

旁路攻击

5G网络需采用网络切片技术来应对不同的应用场景,最典型的切片是:大规模物联网、关键任务型物联网和增强型移动宽带三大切片。vx1ednc

033ednc20170814vx1ednc

网络切片是指共享网络物理资源,由Hypervisor管理和控制为不同应用场景切出多个逻辑上独立的虚拟网络。vx1ednc

由于同一张物理网络共存多个“切片”,容易遭受来自黑客的旁路攻击。vx1ednc

黑客如何对5G切片网络发起旁路攻击呢?vx1ednc

未来的5G切片可能不仅仅是以上三大典型切片,其包括多个为特定服务定制的网络切片,甚至是虚拟运营商自己定义切片,不同的切片对网络可靠性和安全性要求不尽相同,黑客就可能通过了解“切片1”中的虚拟机中的代码运行规律来推断出“切片2”中的运行于同一物理资源之上的虚拟机的代码运行规律,从而发起向“切片2”的网络攻击。vx1ednc

这种攻击方式通常采用旁路攻击。所谓旁路攻击,在密码学中指绕过对加密算法的繁琐分析,利用密码算法的硬件实现的运算中泄露的信息,如执行时间、功耗、电磁辐射等,结合统计理论快速的破解密码系统。vx1ednc

比如时序攻击,黑客通过分析加密算法的时间执行来推导出密匙。vx1ednc

所以,5G切片需部署慎密的隔离机制,尤其是虚拟机之间的隔离。vx1ednc

从另一个角度看,虚拟机的隔离机制也非常重要。vx1ednc

由于未来的5G网络是分布式的,除了核心云,还有分布于基站、接入机房的边缘数据中心,虚拟机遍布网络。这些虚拟机经常被实例化,一旦受到攻击,病毒就可能从一个虚拟机传播到另一个,或从一个主机上的虚拟机传播到其它主机上,最终蔓延整个网络。vx1ednc

因此,每一个切片网络下的虚拟机可能都要做到被单独监视和保护。vx1ednc

相对于传统2/3/4G的安全机制,很明显,5G安全机制更加细化。vx1ednc

总之,对于5G而言,传统2/3/4G网络那套安全机制是行不通,和5G网络重构一样,5G网络的安全机制也是一次前所未有的颠覆:我们不但要防止网络攻击,还要时刻做最坏的打算,不断假设网络如果遭受攻击应该采取怎样的措施,且能快速应对。vx1ednc

以上内容主要讨论了虚拟化后5G网络面临的安全问题,尽管很重要,但并不是5G安全的全部,事实上,我们认为,5G安全机制是一次CT和IT领域的融合,范围广,复杂度高。vx1ednc

墨迹了这么久,那么5G到底安全吗?vx1ednc

对不起,这个问题我们真回答不了,但是,我们始终相信,不管2/3/4G,还是5G,移动蜂窝网络的安全性永远是No.1。vx1ednc

目前,3GPP工作组SA3负责5G网络安全构架,其关注的领域如下:vx1ednc

034ednc20170814vx1ednc

5G第一阶段的安全构架将于2018年3月完成,届时可查阅技术规范TS33.501。vx1ednc

最后,再上一张来自诺基亚贝尔实验室的5G安全架构图...vx1ednc

035ednc20170814vx1ednc

好了,这就是我们所了解的关于5G安全那些事,不详之处,欢迎补充。vx1ednc

20160630000123vx1ednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
您可能感兴趣的文章
  • 为云端时代建立AI与IoT的相关论述 技术产业正处于两次重大技术革命的边缘——人工智能(AI)负责执行人类无法完成的任务,以及数十亿台设备连接到因特网。除了技术幻想之外,它还提出了更多相关的问题…EDN编辑团队正忙于寻找这些答案,并将以最能满足设计工程师讯息需求的方式呈现。
  • 为何物联网设备都需要地理定位功能? 本文将探究应用于追踪高价值资产的定位功能有何显著优势。
  • 如何构建通用安全MCU的硬件防护力 数据存储和传输过程中,通常采用密码技术来保障数据的机密性、完整性、可用性、不可抵赖性、真实性、隐私性。安全芯片由于实现了强大的密码功能和高等级安全防护能力,是保障信息安全的硬件基础设施。
  • 多通道、高带宽嵌入式系统测试需要怎样的示波器? 目前在嵌入式领域,电路设计变得越来越复杂,对电路调试的要求也变得越来越高。这就对多通道示波器提出了新要求:既能支持八个通道,带宽又要超过2GHz,甚至达到6GHz。
  • 美国 5G 掉队简史 美国曾是现代通讯产业的发源地,为什么到了 5G 时代,却变得如此被动?
  • 物联网设备面临的安全威胁分析 本文中的案例研究介绍了如何确定网络摄像头物联网设备的安全要求。顾名思义,这种设备已经实现互联,并广泛应用于众多应用,从简单的家庭网络摄像头到复杂的工业系统,不一而足。
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告
    向右滑动:上一篇 向左滑动:下一篇 我知道了