［刘津羽］

1 引言

目前互联网已经广泛应用到了通信、金融以及水电等基础行业当中。伴随着网络技术和相关硬件设备的不断迭代，网络规模也在日益壮大。以数据为驱动的大数据新型产业正在不断涌现，很多企业（包括运营商）已经在内部组建了大规模的云数据中心。也因此延伸出了网络管理难、运营难、配置难等问题，给网络安全带来更为严峻的挑战。

目前5G 北向接口的控制器大多缺乏加密、授权等安全机制。第三方的应用系统可以通过黑客手段轻易调用北向接口从而获取其访问控制权限。而基于北向接口的不同控制器架构和编程语言存在较大区别，因此很难直接在源端上进行安全需求变动。综合上述问题，我们将访问操作进行抽象，通过串接代理中间件的方式来解决北向接口的安全访问。

2 5G 北向接口相关安全问题

目前5G 北向接口端网络架构如图1 所示。内部应用和外部应用系统都需要经由北向接口和控制器进行交互和访问。也因此存在以下4 种问题：

图1 5G 北向接口端网络架构

（1）由于目前北向接口与应用系统间还不具备统一的维度及互认证方法，现阶段对于应用系统的身份鉴别或访问控制全部基于控制器来实施。而基于此现状若期望对北向接口的安全进行加固，通常采用的方法是直接完善控制器的安全机制。但由于控制器的类型多种多样，需要根据不同类型的控制器设计不同的安全模块，相应的可移植性较差。特别对于5G 的SDN 架构下的控制器集群。若每次安全机制的更新都要涉及所有控制器的部署，则会导致北向接口的运维工作量爆炸性增长。而且目前这类任务由于权限问题只能通过运维人员或者网络管理员手动进行更新，工作耗时且易出现错误。

（2）由于控制器的访问逻辑是基于内部应用逻辑设定的，因此对于部署在云端及其他网络的应用系统其安全策略是无法完美生效的。现阶段较为常见的访问控制策略是基于API 挂钩的方式来拦截控制器内部的请求信息，通过比对接口中的传参是否符合预设的标准来确定该程序的执行逻辑是否符合规范（若异常就直接拦截，若符合规范就放行）。但这种方式对于从外部流入的请求信息是无法完全生效的，说明控制器的内部访问安全策略是欠缺泛用性的。

（3）对于数据传输过程中的信息保密性及信息完整性缺乏实质性的安全策略。这块暴露的问题目前也是攻击者常用来作为攻击入口的方式。攻击者通常可以监听北向接口上的应用系统及控制器间的传输信息。通过分析端口信息及接口等信息后，可以直接攻击性能较差的端口，例如直接进行拒绝服务攻击（DOS/DDOS）；此外攻击者通过监测的方式还可以获取控制器本身与应用系统交互的MR、KPI 等数据信息；如果获取信息并通过方式破解信息后可以直接篡改信息并将错误结果返回给应用系统，导致应用系统的服务出现错误结果。更深一步的方式还可以直接通过篡改信息获取系统的控制权限从而完全的控制应用系统及北向接口。

（4）目前系统对于应用系统的权限设置无法做到精细，这是由于应用系统在开发过程中会对模块进行封装，因此无法做到对每个模块都精细化的进行权限控制。况且对于数据的应用本身会随着通信技术的发展而不断增加，目前5G 的数据应用已经显著多于3G、4G 时代的数据应用。无法通过单一的系统授权管理策略做到面面俱到的安全效果。

由上述安全问题的分析可见，目前采用的安全策略应当偏向于智能化、精细化且可伸缩的通用安全机制。全方位的保障应用系统访问过程中的安全性以及北向接口与控制器间消息的传输安全性。

3 5G 北向接口安全问题的解决思路

3.1 基于代理中间件的安全解决思路

基于上述小节的结论，我们提出一种基于代理中间件的安全解决思路，其作用是智能化受理或拦截应用系统调用北向接口的请求以及根据控制器所上传的信息进行访问控制并从控制器提交的策略中智能化判断请求是否合法。基于图1 网络架构的改良，图2 为添加代理中间件后的网络架构。

图2 添加代理中间件后的网络架构

由于代理中间件解耦于北向接口架构，其自身可自定义配置多种安全策略，包括接入专用的安全架构来提高其安全性能。除此之外，代理中间件还基于SGX（Software Guard Extension）设计，该技术基于硬件处理器的维度来加密内存，黑客就算获取了本地的超级管理员权限也无法读取内存信息，使得录入的敏感信息不会在任何阶段被黑客窃取。因此代理中间件的安全性是极其可靠的。

而在改良后的北向接口网络架构中，代理中间件作为忠实的第三方监视者严格地保证控制器所提供的访问策略落实到应用系统，同时也确保访问控制的策略和凭证不会泄露。图3 为应用系统、代理中间件及控制器的交互流程。

如表11，单一样本T检验的统计结果显示，在99%的置信区间内，被受访者评价为“非常愉悦”的建筑高度变化范围在0.65～0.68之间，即为其最优值域。同理，建筑平均转折点数的最优值域为2.74～2.82，天际线层次比例的最优值域为0.42～0.49。

图3 应用系统、代理中间件及控制器的交互流程

通过表1 来整体介绍图3 中的流程信息。

3.2 智能化访问控制模型

在3.1 的步骤6 中提到了通过智能化访问控制模型验证访问请求从而达到验证访问请求是否安全的效果。实际上该模型的输入数据利用到了3.1 中所提及所有六个步骤中所保存的信息数据。如图4 为智能化访问控制模型的结构图。

该模型主要通过动态加权应用系统访问前、访问中、访问后以及异常态的四个过程来判定该应用系统是否违反了访问控制策略，如果访问行为被模型判定为越权或者不当行为等，应用系统会直接失去访问权限，代理中间件将不再为其提供服务，直到该应用系统进行过符合访问规则的安全整改才会重新提供访问的机会。对于上述提到的四个过程，其定义如下：

图4 智能化访问控制模型的结构图

（1）访问前是指应用系统IP 的访问频次定级、黑白名单定级等跟应用系统背景信息相关的核查。在应用系统请求服务时会调取应用系统的背景信息，生成访问行为的特征数据。

（2）访问中是指对于应用系统的请求命令、请求资源以及请求方式等与访问动作相关的行为进行定级，生成访问行为的特征数据。

（4）异常态通常是根据控制器实时报错信息、实时网络中断、实时拒绝服务等异常情况生成访问行为的特征数据。

模型根据四个过程的输入信息动态判断该访问请求是否需要拒绝。需要特别说明的是，访问前、访问中及访问后是依照前后顺序进行的过程，访问行为的特征数据也是通过这个过程依次获取；而异常态在整个模型识别过程中可以穿插在这三个过程中的任意位置（例如访问前、异常态、访问中及访问后的数据输入顺序），也可以是非必要的过程。

除去模型的应用模块，图4 的另一条线是将数据录入访问行为数据库中进行保存，并结合预设的拦截规则库以及安全策略库对模型进行训练。训练中心采用DNN 深度神经网络进行动态安全访问控制。图5为DNN网络结构图。

图5 DNN 网络结构图

搭建的DNN 网络由输入层、隐藏层、输出层和softmax 函数组成，其中输入层由多个的数据字段形成的神经元组成，对应访问态势涉及的4 个形态对应的数据特征作为输入向量。隐藏层有两层，每层分别有若干个神经元，之后为输出层，由3 个神经元组成，对应高威胁、无威胁、警告3 个类别，最后为softmax 函数，用于输出多分类概率。基于DNN 网络的特性，访问行为特征数据的输入过程是动态的，但是网络的识别也是动态的。因此可以在任意过程中根据动态权值对形成的高危访问进行拦截。可最大限度防止漏杀、误杀等情况。

通过上述代理中间件的解决思路以及其中的智能化访问控制模型的介绍，较好地解决了开头提及的安全模块耦合、安全策略泛用性差、安全策略不够智能以及权限精细化程度低等问题。全方位加固了5G 北向接口的网络架构。

4 小结

本课题对于5G 北向接口安全访问策略研究，先是探讨了5G 北向接口现阶段面临的安全问题。随后介绍了5G北向接口安全解决思路，即提供了代理中间件的解决思路以及其中包含的智能化访问控制模型。智能化实现了北向接口访问过程的安全控制，并解耦了北向接口的安全策略配置，使得5G 北向接口的网络架构变得更加智能化、精细化且可伸缩，综合安全性能获得较大提升。