核心网引入NFV后的安全防护方案探讨

admin

文字版：
18
2016年5月第5期（第29卷总第224期）月刊
电信工程技术与标准化NFV技术专题2016年第5期
TD-LTE网络深度覆盖专题
核心网引入NFV后的安全防护方案探讨
邵永平，钟正泉，杨旭，宋小明
（中国移动通信集团设计院有限公司，北京100080）
摘要本文先以VoLTE为例介绍了传统核心网的安全防护方案和安全域的划分，接着探讨引入NFV后核心网发生了
哪些变化，再提出NFV的安全域划分建议，分别对VNF和NFVI层进行安全防护方案的探讨。
关键词NFV；安全防护；VoLTE
中图分类号TN929.5文献标识码A文章编号1008-5599（2016）05-0018-05
收稿日期：2016-04-15
1前言
基于云计算架构的系统具有业务实现灵活快速、且
弹性可伸缩的优点，随着云计算技术的快速发展，产业
链的进一步完善，以及电信市场竞争日益激烈的需要，
电信网络云化逐渐成为业界的共识，特别是核心网云化
（即NFV）从前几年的概念提出进入到了现在各大运营
商具体落地部署试点阶段。本文主要探讨核心网引入
NFV以后，NFV与传统网元之间的关系，NFV安全防
护方案探讨。
2现有核心网的安全防护
VoLTE核心网是目前最为复杂的移动核心网网络，
以IMS为中心，还涉及了CS、PS和信令网各大核心
网子系统。考虑到核心网各子系统安全防护方案的思路
和原则是一致的，本文对VoLTEIMS域（系统接口繁
多，其面临的安全问题在核心网各大子系统中也是最多
的）为例进行安全防护方案介绍。
为保证不同业务与功能流量的安全隔离，VoLTE
在部署时，把VoLTE安全域划分为VoLTE核心控制域、
VoLTE接入域、VoLTE数据域、VoLTE网间互联域、
VoLTE应用域、VoLTE应用接入域、VoLTE计费域、
VoLTE业务管理域、VoLTE网管域等9个安全域。不
同安全域之间的子网或设备有不同的安全保护需求，需
要采用不同的安全措施进行隔离与防护。在同一个安全
域再划分为控制平面、媒体平面、管理平面等多个平面，
不同平面之间的访问也进行一定的安全隔离。图1为安
全域划分示意图。
3NFV安全防护方案探讨
3.1引入NFV以后的网络结构
核心网引入NFV后，其虚拟化后的网元与现网的
物理网元功能上没有区别，即虚拟化后的网元与现网可
以进行融合组网，可以与现网网元组Pool，当然也可
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。19
NFV技术专题电信工程技术与标准化
2016年5月第5期（第29卷总第224期）月刊
2016年第5期
以进行独立组网。NFV上层的信令流程和业务流程未
发生改变，图2以vIMS为例，其与HSS、VoLTEAS
S-CSCF\I-CSCF、VoLTESBC之间的逻辑关系没
有发生变化，可以与现网S-CSCF\I-CSCF组成一个
Pool。
基于NFV架构的核心网与传统核心网最大的变化
在于底层的物理形态发生了变化，由原先的专
用设备变成了通用的服务器、网络设备和存储
设备，设备的物理连接方式也发生了较大的变
化。同时NFV引入了虚拟化层和云管理平台，
便于上层对底层的计算、网络、存储资源的灵
活调度。
3.2NFV的安全域划分探讨
本文仍以VoLTE为例，进行安全防护
方案的探讨。通过以上分析，NFV与其它
网络的逻辑关系也未发生变化，因此其上层
VNF——网元功能虚拟化层的安全域划分原则
也未发生改变。基于NFV架构的VoLTE，其
安全域可以与传统VoLTE一致，可以划分为
VoLTE核心控制域、VoLTE接入域、VoLTE
数据域、VoLTE网间互联域、VoLTE应用域、VoLTE
应用接入域、VoLTE计费域、VoLTE业务管理域、
VoLTE网管域等9个安全域。
底层的安全隔离则发生了较大的变化，原先是各网
元单独配置接口板卡，为了系统安全，接入不同域配置
不同物理端口，而且要求信令和媒体接口分开，进行端
图2vIMS与传统IMS组Pool示意图
图1VoLTE安全域划分示意图
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。20
2016年5月第5期（第29卷总第224期）月刊
电信工程技术与标准化NFV技术专题2016年第5期
TD-LTE网络深度覆盖专题
口上的物理隔离。而采用NFV架构的系统，其服务器
配置的网卡接口数量有限，一般情况下每台服务器配置
2～6个以太网口，一般情况下通过划分子接口的方式
进行隔离。
3.2安全域边界防护方案
3.2.1VNF层边界防护方案
根据图2，VoLTE与其他系统有对接的域有
VoLTE接入域、VoLTE网间互联域、VoLTE应用接
入域、VoLTE计费域、VoLTE业务管理域、VoLTE
网管域等6个域，即此6个域需要设置边界防护策略，
保证系统的安全可靠。
（1）VoLTE接入域
VoLTE接入域的设备主要包括vSBC。vSBC与网
管网和EPC核心网对接，EPC核心网部分接口承载在
CMNet上，存在遭到公网攻击的可能性，需要布置防
火墙、IDS、异常流量监测等网络安全设备来防护。
（2）VoLTE网间互联域
VoLTE网间互联域的设备主要包括vMGCF/IMMGW、H-DRA、GMSC等网间互联设备。VoLTE网
间互联域的控制平面和媒体平面通过IP专用承载网相
连，需要考虑IP专用承载的其他系统遭到攻击可能出
现的跳板攻击，需要部署防火墙并配置访问控制策略进
行安全防护。
（3）VoLTE应用接入域
VoLTE应用接入域提供用户接入应用域的用户请
求处理和代理转发等功能，包括用户自助服务Portal，
WebProxy和应用接入服务器等相关设备。VoLTE
应用接入域的控制平面和媒体平面与CMNet直接连
接，可以提供VoLTE应用或终端的接入，有可能会遭
到来自公网的攻击，因此需要在边界进行特别的安全防
护，包括部署双层异构防火墙配置严格的访问控制策略。
VoLTE应用接入域设备建议设置在防火墙的DMZ区域。
（4）VoLTE计费域
VoLTE计费域主要包括用于话单采集和进行计费
统计与处理的计费网关、直采机以及相关的各种服务器
或工作站。VoLTE系统计费设备通过内部专用计费网
络与相关系统对接，建议配置访问控制策略避免计费
采集协议以外的流量通过，并只允许单向发起计费采
集请求。
（5）VoLTE业务管理域
VoLTE业务管理域主要包括提供VoLTE业务开通
和配置的网元，主要包括业务管理点（SMP）、业务控制
点（SCP）、智能外设UAP、生产充值中心（生产VC）
等设备。VoLTE业务管理域设备通过内部专用计费网
络与相关系统对接，相对比较安全，由于业务管理域存
在业务参数的变更和用户属性的配置功能，权限相对较
大，因此也需要部署防火墙进行相应的隔离，同时避免
业务配置平面直接对VoLTE设备进行管理或访问计费
平面。
（6）VoLTE网管域
VoLTE网管域主要用于部署VoLTE系统的核心设
备的监视和管理等相关的服务器、操作维护客户端，提
供VoLTE系统的设备状态信息采集、系统状态监视、
设备管理等功能，提供本地和远程的性能监视、故障排
除和异常响应等。
VoLTE系统的管理平面主要用于对VoLTE所有
设备的管理，接入网管网，不涉及业务的管理、信令控
制、媒体传媒及计费，因此在边界上需要和其它的平面
进行隔离，包括在边界上部署安全网关对接入进行严格
认证，并对所有的操作进行记录与审计，同时通过防火
墙的访问控制措施，避免管理平面访问其它的业务平面，
同时需要进行信息防泄露的监测与防护，防止用户信息
和VoLTE核心设备信息的泄露。
VNF层的安全边界防护可以考虑部署虚拟化的安
全设备，例如vFW、vNAT、vIPS、vIDS、vLB等，
充分发挥虚拟化网元灵活、快速等优点，与底层NFVI
层进行有区别的、针对性的防护，VNF层的防护主要
针对网络层以上应用的防护。
3.2.2NFVI层边界防护方案
以上对VNF层的设备进行安全域边界防护方案
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。21
NFV技术专题电信工程技术与标准化
2016年5月第5期（第29卷总第224期）月刊
2016年第5期
的探讨，引入NFV后，还需要考虑底层
服务器、网络设备和存储设备的安全防护。
VoLTE的安全边界分析可以得出，VoLTE
对外连接的网络主要有CMNet、IP承载网、
计费网和网管网，其中CMNet是公网，其
他3张网都是内部专用网络。同时，根据对
VoLTE消息承载平面进行的分类，CMNet
和IP承载网主要承载控制平面和媒体平面
的消息，计费网承载计费平面消息，网管网
承载网管平面消息。VoLTE网络对外部的
网络连接和主要消息类型如图3所示。
针对所连接网络的特点和承载消息的情况，采用不
同的安全防护方案：
（1）在CMNet出口处建议部署防双层异构火墙、
抗DDOS、入侵检测系统等安全设备和系统。
双层异构防火墙：外层防火墙主要对DMZ域与
Internet的访问策略进行控制；内层防火墙主要保证各
业务系统核心生产区的安全，并对核心生产区与DMZ、
内部互联接口区、测试区、管理维护区的访问策略进行
控制。
抗DDOS：防止攻击者发起DDOS攻击，保证用户
能够正常接入VoLTE网络。
（2）在IP专用承载网出口处建议部署异常流量监
测等安全设备和系统。
（3）在计费网出口处建议部署防火墙和访问控制策略。
（4）在网管网出口处建议部署防火墙和访问控制策略。
3.3安全域内部安全防护方案
3.3.1VNF层内部安全防护方案
内部安全防护主要防止入侵者伪装成某个网元，对
其它网元进行攻击和相关数据窃取，从而达到攻击网络
和窃取用户信息等目的。建议采用如下手段进行防护。
（1）VoLTE核心控制域的拓扑隐藏；
（2）保证VoLTE-SBC是唯一的外部网络可以接
入的点，即外部网络不能直接访问其它网元；
（3）网元之间的信令信息需要保证其机密性、完整
图3VoLTE与外部网络关系图
性与一致性从而保证VoLTE内部的网元是可信的；
（4）不同的平面承载着不同的业务数据，平面间
应进行数据隔离保护，不同的数据流应通过VLAN或
ACL等方式进行隔离，无法隔离或资源有限时可以采
用区分账号、权限或用户角色的方式来间接隔离。
3.3.2NFVI层内部安全防护方案
（1）接入相应的4A平台
为了保证基础设施层的系统安全，NFV系统所配
置的服务器、交换机、防火墙、存储设备均需要接入相
应的4A平台。通过4A管控平台使得系统和安全管理
人员可以对系统中的用户和各种资源进行集中管理、集
中权限分配、集中审计，从技术上保证系统安全策略的
实施。
（2）部署防病毒系统
虚拟化软件和云管理平台采用开源的软件后，存在
更大的病毒入侵风险。建议按照服务器/客户端方式建
设集中防病毒系统，即在所有x86服务器、虚拟机上部
署代理软件，进行日常病毒查杀和异常事件上报。
（3）部署漏洞扫描系统
通过部署漏洞扫描系统，扫描发现操作系统、数据
库、中间件等基础软件的漏洞情况，配置扫描任务进行
定期扫描，汇总结果并上报高风险漏洞预警等。
（4）防止内存泄漏
系统虚拟化后，存在不同的系统使用同一个物理内
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。22
2016年5月第5期（第29卷总第224期）月刊
电信工程技术与标准化NFV技术专题2016年第5期
TD-LTE网络深度覆盖专题
DiscussiononthesecurityprotectionschemeofNFVcorenetwork
SHAOYong-ping，ZHONGZheng-quan，YANGXu，SONGXiao-ming
（ChinaMobileGroupDesignInstituteCo.，Ltd.，Beijing100080，China）
AbstractInthispaper，wefirsttookVoLTEasanexampletointroducethesecurityprotectionschemeandthe
partitionofthesecuritydomainofthetraditionalcorenetwork，thendiscussdthechangeofthecore
networkafterNFV，andthenputforwardthepartitionofsecuritydomainNFVrecommendations，
respectivelyinvestigatesecurityprotectionschemeofVNFandNFVIlayer.
KeywordsNFV；securityprotection；VoLTE
存的场景，因此要通过提前规划，并且区分安全等级，
安全等级相同的可以使用相同的物理机等方式来方式内
存泄漏等问题。
4小结
核心网引入NFV后，其底层架构发生了根本性的
变化，从原有的专用硬件设备转变为通用服务器设备，
从各厂家特有的软件平台转变为通用的云计算软件平
台，从封闭的网络转变为开放的网络，从而带来一系列
云计算所面临的安全问题，需要我们去探讨如何构建更
加安全可靠的网络。云计算与其它新技术一样，除了带
来一些新的安全威胁，还带来新的安全解决方案，需要
我们在部署新的网络之前去充分评估和探讨。
诺基亚携手中国移动签署MEC合作备忘录
2016年4月19日，中国移动通信集团上海有限公司、中国移动通信有限公司研究院、诺基亚通信系统技术（北京）有
限公司在上海签署了关于MEC创新方案研究以及产业化推进项目的备忘录。
本次合作将对MEC在落地应用及未来多应用场景的创新方案进行研究、验证和演示，推进MEC和各项创新方案的制
定及推广，共同推动产业的发展。根据备忘录，三方将合作进行面向多层网络演进的MEC架构研究、MEC的传输汇聚节
点及IP路由规划研究、MEC用户管理模式研究以及面向业务扩展的应用业务方案研究。
该备忘录的签署将促进三方在MEC产业发展及应用等重大策略问题上保持积极协调与合作。三方将在工作层面继续保
持各项创新技术的研究及验证，针对热点技术问题开展定期交流，共同完成MEC现网的试点及MEC的产业化。同时，诺
基亚和中国移动也欢迎来自MEC垂直行业的精英共同深入探讨行业潜在机会，开拓合作各方的视野，催生创新思维。
（摘自：CCTIME飞象网）
News
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。