张如意 中国信息通信研究院安全研究所助理工程师

芦 玥 中国信息通信研究院安全研究所助理工程师

1 引言

网络功能虚拟化（NFV）技术是电信网络软件化以及云化的基础，代表了未来电信网络技术的演进方向。其最初由全球13家主流的运营商于2012年在SDN和OpenFlow世界大会上共同倡议提出，会上同意在ETSI（欧洲电信标准组织）下成立一个NFV产业标准工作组（简称ISG NFV），推动NFV的相关技术和标准工作。该技术提出的初衷是期望通过充分利用虚拟化技术（如云计算技术）以及具有工业级标准的大容量服务器等IT技术，提升运营商网络组网的灵活性以及硬件资源的利用率，最终达到降低运营商CAPEX(资本性支出)和OPEX（运营成本）的目的。

经过近6年的发展，NFV技术的标准化工作已基本完成，包括NFV技术的功能需求、主体架构、主要参考点接口协议等。目前，NFV ISG的标准工作主要集中在两个方面：一是继续完善和丰富NFV的功能和接口协议，如编排功能与安全管理网关之间的接口等；二是积极吸收新的能力特性和技术点，例如对容器技术、服务架构等的支持。从运营商期望实现网元软硬件解耦的最初诉求来看，现有的NFV的标准已经基本能够满足运营商的组网需求。

目前，全球范围内已有部分NFV的商用部署案例，如韩国运营商SKT，其在2017年新上线的4G核心网EPC设备80%都采用虚拟化的方式。各国运营商首批实现虚拟化的网元通常都集中在核心网，如对IMS网络、4G核心网EPC等的虚拟化。我国三大运营商尚无商用网络，但也在积极组建试验网，进行NFV的技术试验。随着5G商用步伐的临近，作为5G核心网的关键技术之一的NFV，也将在全球范围内迎来大规模商用的浪潮。

2 NFV安全问题分析

与NFV技术的优势和产业化进程相比，目前业界对NFV的安全问题关注并不多，相关研究工作进展也比较缓慢。在NFV技术迎来大规模商用之前，有必要全面梳理一下NFV的安全问题，研究应对技术及策略，为NFV技术的健康有序发展铺平道路。

网络设备引入NFV技术后，所面临的安全问题可分成两类，一类是与传统网络相同的网络安全风险，如DDoS攻击、路由策略安全等；另一类是虚拟化技术所带来的安全风险，如内存泄漏、隔离失效等。考虑到通用网络安全威胁在业界研究比较多，应对技术也比较成熟，本文将重点讨论分析虚拟化技术所带来的安全威胁。

根据ETSI给出的NFV网络架构，NFV技术主要包括虚拟网元（VNF）、虚拟管理层（Hypervisor）和基础设施层和编排管理（MANO）。其中，虚拟管理层负责将传统硬件资源进行虚拟化，按需组成逻辑虚机（VM），用于承载VNF应用程序的运行（见图1）。下面将从NFV的基础设施层、Hypervisor、VM、VNF和MANO五个方面详细梳理NFV引入新的安全风险。

2.1 基础设施安全风险

基础设施层主要指NFV网络环境中的硬件设施，包括统一的存储资源、计算资源和网络资源等。基础设施层主要面临的安全风险包括：

●跨域数据泄漏。硬件基础设施可能为不同的安全级别的租户提供服务，当不同安全级别的域之间传递数据时，有可能会出现跨不同安全域的信息泄漏。

●平台安全防护能力下降。当平台运行不可信的虚机时，整个硬件平台的安全防护能力有可能会整体下降。这是由于虚拟环境中缺乏天然的物理隔离，针对单个虚机的威胁有可能会扩散到整个平台，影响到其他虚机的安全。

●密钥安全。在虚拟环境中，如果密钥管理机制缺乏安全防护机制，如存储在不安全的区域，或采用低强度的加密机制将会给网络和应用带来新的安全风险。

●网络配置安全。网络配置错误或相应的安全防护措施不足，都会影响运行在基础设施层上所有的软件和应用。考虑到虚拟资源池的规模，虚拟环境下的网络配置所面临的安全风险比传统网络中的安全风险更大，所产生的影响也更大。

2.2 Hypervisor安全风险

Hypervisor是虚拟化的关键技术，它可以是软件、硬件或固件，它运行在特定的主计算机系统上，创建客户虚机，并负责虚机的运行和监测。

由于Hypervisor的特殊性，整个处于Hypervisor控制下的虚拟环境对Hypervisor来说没有任何秘密可言。通过基于Hypervisor的自省（Introspection）技术能够查看、注入或修改NFV的操作状态信息。通过对这些状态信息的访问可以任意读写内存、存储器中的内容以及密钥库和其他NFV操作信息。

Hypervisor自省技术又分为管理性自省模式和处理性自省模式。其中，管理性自省模式可以启用管理员、根账号或超级用户账号，可以获得系统资源的完全访问权，能够查看或修改系统内存中存储的私钥、对称密钥、密码等高度敏感信息，以及NFV环境的网络系统配置等信息。通过自省技术修改日志、报告和告警等信息，能够实现隐藏恶意访问和擦除攻击痕迹的目的。

鉴于Hypervisor在NFV环境中的重要性，Hypervisor已经成为一些恶意软件天然的攻击目标。目前，有一款名为“Hyper-jacking”的恶意软件，就是通过渗透到一个虚机后，对Hypervisor发起攻击。一旦Hypervisor被攻克，基于该Hypervisor的所有虚机都将处于非安全的环境当中。

由此可见，Hypervisor自省技术给NFV生态的私密性、完整性以及可用性都带来严重的安全风险。对Hypervisor的安全防护非常关键。

2.3 虚机安全风险

图1 NFV基本架构

虚机面临的安全威胁和风险主要体现在以下4个方面：

（1）休眠或离线的虚机可能会的引入新的安全风险。在NFV环境下，休眠或离线的虚机很容易被重新唤醒连入网络，如果这些虚机没有及时更新最新的安全补丁，就可能会给整个虚拟网络带来巨大的安全风险。

（2）不安全虚机容易快速蔓延。由于虚机可以通过镜像文件克隆的方式安装，如果源虚机存在安全风险，那么虚拟网络中可能会因镜像文件的大量复制而降低整个网络的安全性。

（3）流量的安全监控困难。传统基于硬件的网络中会通过监测防火墙、路由器等设备的流量进行安全分析，但在虚拟环境中大量流量仅在内部进行交换，不经过外部的防火墙、路由器等设备，对这一部分流量的安全监控比较困难。

（4）虚机中敏感数据保护难度大。虚机的镜像文件中不应包含一些敏感信息，如系统密码、密钥、证书以及一些用户的隐私信息等，只有在虚拟启动的时候再注入虚机中，这些敏感信息的保护和分发是个问题。黑客或非授权的内部员工很容易通过在虚机镜像中注入恶意代码后获取这些敏感数据。此外，镜像文件的私钥分配也是个问题，不同的镜像是否采用不同的私钥，这也需要结合具体应用场景来确定。

2.4 VNF安全风险

VNF的安全风险主要存在于VNF内部、VNF之间以及VNF与外部实体之间。具体主要表现在以下3个方面：

一是管理域较多，权限管理复杂。在NFV环境中，存在多种管理者角色，如基础设施的管理者、租户的管理者，MANO管理者。如果存在多租户，不同租户的管理者也是不同的。这些管理者的管理职责不同，需要划分不同的管理域，彼此之间需要隔离。而一个VNF的创建，可能会跨越多个管理域，如租户管理域、基础设施域、MANO域等。这种相互交叉有需要隔离的需求，对权限的设置和划分提出很高要求。

二是虚拟环境的调试和监测功能有可能成为系统后门。传统的网元都会具有系统调测和监测功能，而且有可能用于远程操作。这些功能主要用于故障定位、系统状态监测等目的。但在虚拟环境中，这些功能很可能给系统引入安全风险。

三是VNF的通信安全。VNF之间通信以及VNF与外部网元的通信可能共用虚拟交换机，共用物理网卡，通信数据存在被旁路监听甚至恶意篡改的风险。

2.5 MANO安全风险

MANO是NFV架构特有的关键模块，主要负责对虚拟资源的编排和管理，负责VNF的创建和生命周期管理。MANO可能存在的安全风险包括：

●未经授权任意创建或删除虚拟网元，严重影响网络的完整性、可用性和安全性。

●MANO可以在VNF实例化过程中，从安全管理网关获取虚拟网元配置信息、证书及密钥等，所以MANO可能被黑客利用实现对虚拟网元的攻击。

3 安全应对技术探讨

针对虚拟化技术以及NFV技术带来的安全风险，国际上有不少标准组织以及技术论坛都给出了相关的指导意见。例如，ISO/IEC 21878分别从虚拟服务器的生命周期的安全管理、设计阶段的安全考虑、实现阶段安全检查清单都给出一些具体的建议；ETSI GS NFVSEC 012则侧重于对NFV敏感数据的保护给出了一些原则性的建议；ETSI GR NFV-SEC 003则给出了提高NFV安全性和可信任度的指南。这些标准对研究NFV技术的安全都具有很好的借鉴意义。

目前，国际上提的比较多的可提升NFV安全性的关键技术有TPM（可信平台模块）、HSM（硬件安全模块）、UEFI（标准可扩展固件接口）、HMEE（硬件辅助运行专属区域）等，其中：

●TPM是计算机主板上的一种专用硬件芯片，用来存储系统私钥、BIOS开机密码以及硬盘密码等关键信息，可实现硬盘锁定保护，此外还可以产生、存储和保护加解密过程中的产生的其他密钥。TPM常用作系统的信任根，通过信任的派生和传递，逐级构建出一系列可信节点。

●HSM与TPM功能类似，主要的区别在于TPM内嵌在服务器中，如果所购服务器不包含TPM芯片，想以后升级时再新增则基本不太可能。而HSM是服务器之外的设备，可以根据需要随时增加。HSM已经广泛应用于电子发票、线上信用卡支付、电子护照等领域。

●UEFI是校验已签名的固件和软件的架构和机制，由UEFI论坛标准化。虽然UEFI尚未得到广泛应用，但是基于UEFI的安全启动，可以有效地发现BIOS配置、启动顺序、Hypervisor和操作系统的非授权变化，从而确保启动的安全，有效防御Rootkit（一种获取根用户权限的恶意软件）和重启攻击。

●HMEE是指基于硬件的一块专门用来运行特定程序代码的区域或内存。它可以确保在该区域内运行的程序免于遭受窃听、重放和修改。

除了部署必要的安全技术手段之外，为进一步提高NFV环境的安全，还需要增加一些配套的安全管理措施。针对前面提到的NFV五大关键部件所存在的安全问题，结合国际标准的建议，表1对各部件所适用的安全应对技术以及措施分别作了梳理。

NFV环境的安全防护是一个系统工程，安全防护技术和措施，无论是针对传统物理网络的还是针对虚拟网络的，对提升NFV环境的安全性都是有益的。运营商在实际部署过程中可能会结合成本等其他因素对这些技术和措施进行取舍。但无论如何取舍，都应优先保障基础设施层和Hypervisor层的安全。在这些应对技术和措施中，基于硬件的虚拟化安全技术是构建整个虚拟环境安全的基础，而安全的认证机制和加密机制是确保虚拟网元以及数据安全的关键，在部署NFV技术时建议优先给以考虑。

4 结束语

NFV的初衷是为了减少运营商的CAPEX/OPEX、提高网络和业务不熟的灵活性，但由于其改变了网元原有的基于硬件的天然保护屏障，引入了新的安全风险。为了解决虚拟化带来安全风险，运营商可能还需要投入更多的人力、物力和财力，例如新增安全设备、升级扩容现有网络资源（用以支持部署安全技术及措施带来的性能损耗）等，这显然与运营商降低成本的初衷是相矛盾的。总之，NFV作为一项新兴技术，存在问题是正常的，只是在其大规模部署应用之前，需要业界能够更加全面客观地评估其所存在的安全问题，并研究和完善相关的应对技术。虽然国际标准给出了一些应对建议，但很多技术是以牺牲NFV的灵活性以及网络性能为代价的，而且有些安全技术的有效性也有待检验。所以，NFV安全问题的研究应是今后几年产业界共同努力的一个重要方向。

表1 提升NFV安全性的关键技术和措施

为此，建议我国产业界在关注NFV技术优势的同时，也适当关注NFV的安全问题，一方面是加强NFV安全应对技术的研究，找到NFV技术的灵活性和安全性之间的平衡点，推动我国NFV安全标准和基于虚拟化技术安全防护标准的制定，指导业界安全可靠地部署NFV网络；另一方面是适时启动对NFV网络的安全动态监测，分析针对NFV技术的安全威胁，评估安全应对技术或措施的有效性，不断提高NFV网络的安全防护能力。

中国铁塔与11家新能源汽车企业签署战略合作协议，推进动力电池梯次利用

为落实工信部等7部委下发的《关于做好新能源汽车动力蓄电池回收利用试点工作的通知》精神，中国汽车工业协会、中国电动汽车动力电池产业创新联盟10月31日在京召开“2018年新能源汽车动力蓄电池回收利用体系论坛”。作为动力电池梯级利用主体企业，中国铁塔与11家新能源汽车主流企业签署了战略合作协议，进一步推进动力电池梯次利用，实现绿色发展。

根据协议，中国铁塔将与新能源汽车企业按计划、有步骤、分批次地组织开展全国范围内的退役动力电池回收合作，网点及人员对接。中国铁塔将继续秉承共享发展理念，利用自身及代维等合作单位遍布全国的资源，为新能源汽车企业提供退役电池回收的网点支撑服务，负责整个回收体系的运营、人员、管理、物流、仓储等工作。