78、基于SDN/NFV的网络切片技术：原理、架构与安全

基于SDN/NFV的网络切片技术：原理、架构与安全

1. 网络切片的特性

网络切片具有多个关键特性，这些特性确保了网络能够根据不同租户的需求提供定制化、高效且安全的服务。
- 隔离性 ：可通过多种方式实现，如使用不同物理资源、在网络资源上实施虚拟化技术，或通过特定策略共享资源并定义每个租户的访问权限。
- 定制化 ：确保为租户提供满足其服务需求的资源。
- 可编程性 ：是网络切片的基本关键，通过开放的应用程序编程接口（APIs）以编程方式控制每个切片的资源。
- 端到端 ：使服务能够轻松地从服务提供商提供到最终用户。
- 弹性 ：与资源分配相关，允许在不显著影响本切片或其他切片服务的情况下实现所需的服务级别协议。
- 简化性 ：通过简化架构降低网络切片操作的复杂性，但需要在灵活性和成本削减简化之间找到平衡。

2. 网络切片架构

网络切片架构通常可概括为四个层次，各层次具有不同的功能和作用：
| 层次 | 描述 |
| — | — |
| 虚拟化基础设施层 | 提供网络资源的虚拟实例以映射到一个或多个切片，通过虚拟基础设施管理器进行管理，虚拟化在该层起主要作用。 |
| 网络切片实例层 | 代表运行在虚拟化基础设施层之上的逻辑切片，基础设施资源根据每个网络切片的需求按比例组织在切片上，并通过管理和编排层进行管理。 |
| 服务实例层 | 代表运行在所有其他层上的不同服务，这些服务由网络运营商或第三方提供。 |
| 网络管理和编排层 | 是网络管理的最重要组件，由以下子模块组成：
- 虚拟化基础设施管理器（VIM）：支持基础设施资源的虚拟化，每个VIM包含一个或多个网络管理程序软件。
- NFV编排器和管理器（NFVO和NFVM）。
- 软件定义网络编排器（SDNO）：可包含一个或多个SDN控制器用于管理网络切片。 |

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(虚拟化基础设施层):::process --> B(网络切片实例层):::process
    B --> C(服务实例层):::process
    D(网络管理和编排层):::process --> A
    D --> B
    D --> C

3. 网络切片生命周期

每个网络切片都有一个生命周期，可分为四个阶段：
- 准备阶段 ：此时没有网络切片，但会评估切片的需求，准备其他必要条件，并创建必要的网络环境。
- 调试阶段 ：在此阶段结束时，网络切片将准备好运行，期间会分配所需的网络资源。
- 运行阶段 ：包括多个与网络切片相关的子任务：
- 激活 ：通过一些操作（如将流量转移到切片）激活网络切片。
- 监督 ：持续监督网络切片。
- 监控 ：不断监控网络切片的性能指标。
- 修改 ：进行重新配置和更改网络切片的拓扑以适应必要的需求。
- 停用 ：将网络切片从活跃服务中移除。
- 退役阶段 ：此阶段之后，网络切片不再存在，因为在此阶段将释放分配给网络切片的资源和设置。

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(准备阶段):::process --> B(调试阶段):::process
    B --> C(运行阶段):::process
    C --> D(退役阶段):::process
    C1(激活):::process --> C2(监督):::process
    C2 --> C3(监控):::process
    C3 --> C4(修改):::process
    C4 --> C5(停用):::process
    C1 --> C
    C2 --> C
    C3 --> C
    C4 --> C
    C5 --> C

4. 网络切片类型

网络切片根据用例可分为两类：
- 垂直网络切片 ：特定网络切片内的所有节点执行相似功能，基础设施资源在各种服务和应用程序之间共享以提高服务质量（QoS），根据每个服务或应用程序分离流量。
- 水平网络切片 ：基础设施资源被划分为水平层，设备可以在多个切片上运行，分离计算资源以提供容量扩展，流量通常在接入网络和终端设备之间进行端到端本地传输。

此外，网络切片还可分为静态网络切片和动态网络切片：
- 静态网络切片 ：切片集预先创建，设备只需指定要连接的切片。
- 动态网络切片 ：运营商定义切片设计并动态分配和优化资源以适应服务需求或切片条件。

5. 网络切片实现场景

5.1 单所有者，单控制器

在这种场景中，使用单个控制器来管理网络切片，每个控制器专注于安排特定类型的网络基础设施资源域的资源。通过北向API接口在SDN控制之上实现管理和协调任务。SDN控制器在此情况下充当网络切片编排器和管理器。然而，这种场景适用于有限范围的网络，因为一个控制器控制所有不同的网络切片，会导致性能问题，并且代表单点故障，影响网络任务的可靠性和可用性。

5.2 单所有者，多控制器

该场景支持一个SDN代理，通过该代理将网络基础设施划分为多个虚拟网络，通常由基础设施所有者控制SDN代理。多个虚拟租户可以使用此场景在基础设施上部署自己的SDN控制器来管理网络切片并保持它们之间的隔离。FlowVisor是实现此场景的重要管理程序软件之一，它作为SDN代理拦截数据层和控制层之间的消息，将基础设施划分为相互隔离的逻辑网络切片，基础设施与FlowVisor以及FlowVisor与控制器之间通过OpenFlow协议进行通信。

5.3 多所有者，多控制器

此场景给予租户完全的自由，通过虚拟化层从基础设施层中选择所需的资源，为租户提供了灵活性。OpenVirteX网络虚拟化软件是实现这种情况的重要工具之一，尽管基础设施所有者保留对其SDN虚拟资源的控制权。

6. 网络切片安全

6.1 切片安全原则

网络切片的隔离特性是其最重要的特征，增强了网络切片架构的安全性和隐私性。一个网络切片不应影响其他切片，当特定切片受到攻击时，其他切片不受影响，且切片的状态信息不与其他切片共享。安全的基本目标包括机密性、完整性、可用性、认证和授权，在网络切片概念中的定义如下：
| 安全目标 | 描述 |
| — | — |
| 机密性 | 当数据包仅在同一切片或允许与之通信的切片内可用，且数据包内加载的信息仅对授权人员或最终用户可用时，实现网络切片的机密性。 |
| 完整性 | 意味着只有网络切片所有者能够更改应用程序、指定流、切片配置等。 |
| 可用性 | 表示基础设施按照MANO的约定或指定为网络段提供可用服务，要求NSMs和NFs始终保持可访问。 |
| 认证 | 验证连接到每个网络切片的人员和设备的真实性，以及与NFV管理和编排器（MANO）通信的验证和认证，以便仅由授权人员管理网络元素。 |
| 授权 | 指允许用户访问特定切片，每个切片的访问由切片所有者的管理进行控制，而基础设施提供商对网络切片管理和计费拥有完全控制权。 |

6.2 网络切片安全威胁及解决方案

网络切片环境面临五种主要威胁，以下是对这些威胁及相应解决方案的描述：
| 威胁向量 | 描述 | 可能的解决方案 |
| — | — | — |
| 攻击切片 - 服务连接 | 可能导致对服务的攻击（如DoS攻击），损坏服务并监控流量，服务的破坏可能导致网络切片的破坏，也可能影响同一切片上的其他服务。 | 使用双向认证机制（相互认证）通过安全协议保护服务和网络切片之间的通信，以及使用流量分析和行为分析技术调查未经授权的通信并检测异常。 |
| 攻击切片 | 攻击者利用不太安全的切片攻击重要且更安全的切片，当网络切片之间存在通信时会出现此威胁，导致未经授权的访问和机密信息的泄露。 | 在不同网络切片之间进行隔离，采取安全措施分配机密通信参数（如加密和认证密钥），为每个网络切片创建和使用独特的安全参数，不与其他切片共享。 |
| 攻击切片 - 资源层连接 | 攻击者可以攻击通信通道并修改网络切片对资源的需求，导致完整性丧失，还可利用通信通道对基础设施资源发起DoS攻击和资源耗尽。 | 使用安全机制和协议实现机密性、完整性、数据认证和对等认证的最低安全要求。 |
| 攻击切片管理 | 租户（管理其切片的管理员）试图访问超出协议范围的网络功能，或特定切片的租户试图未经授权访问通常属于不同租户的其他切片。 | 通过强大的认证和访问控制程序在不同切片管理器之间提供良好的隔离。 |
| 攻击基础设施资源 | 攻击者通过DoS和DDoS攻击耗尽物理资源，破坏网络切片和相关功能。 | 相互认证、执行严格的凭证访问策略、物理安全和安全检查等措施可减少物理攻击的影响。 |

6.3 网络切片安全研究

近年来，网络切片的安全受到广泛关注，但相关的研究成果并不多。过去的大多数工作主要集中在认证、加密和密钥管理方面，以及监控网络切片的一般行为。以下是一些相关研究的总结：
| 研究人员 | 解决方案 | 系统特征 | 实施环境 |
| — | — | — | — |
| Ni, Jianbing等 | 为5G IoT应用（包括网络切片和雾计算）提供有效的面向服务的认证解决方案，确保匿名性、用户可信度和服务数据机密性，用户通过IoT服务器生成的访问凭证进行认证。 | 认证服务：✔
流量监控：✖
密钥管理：✔
加密：✖ | 未在网络切片环境中实施该提案的结果 |
| Liu, Jingwei等 | 开发混合策略保护5G网络切片在不同公共密码系统之间的通信，使用两种异构密码方案实现公钥基础设施（PKI）和无证书公钥密码学（CLC）环境之间的相互通信。 | 认证服务：✔
流量监控：✖
密钥管理：✖
加密：✖ | 在客户端和服务器上使用两个单独的树莓派平台执行模拟 |
| Porambage, Pawani等 | 提出一种适用于网络切片架构的密钥分发方案，当切片被第三方应用程序访问时使用，包括Shamir的秘密共享技术和ElGamal密码系统。 | 认证服务：✔
流量监控：✖
密钥管理：✔
加密：✔ | - |
| Bonfim, Michel等 | 提出基于FrameRTP4的5G网络切片实时攻击检测场景，FrameRTP4是一个基于P4的框架，提供基于高效可扩展ACL的攻击检测方法和控制通道监控以减少通道开销。 | 认证服务：✖
流量监控：✔
密钥管理：✖
加密：✖ | 使用Python编程语言实现提案以监控流量，但未提及在网络切片环境中的实施情况 |
| Thantharate, Anurag等 | 探讨网络切片上的分布式拒绝服务攻击问题，提出基于深度学习的模型创建强大的网络切片框架，主动对抗DDoS攻击并在其影响和入侵5G网络之前消除过载连接。 | 认证服务：✖
流量监控：✔
密钥管理：✖
加密：✖ | - |
| Wang, Weili等 | 提出基于一类支持向量机（OCSVM）的新算法实时检测异常，同时使用基于典型相关分析的算法检测链路异常，旨在保护核心网络并在短时间内保护多个网络切片免受异常影响。 | 认证服务：✖
流量监控：✔
密钥管理：✖
加密：✖ | 使用合成和真实世界的网络数据集评估节点和链路中的异常检测算法 |

网络切片作为新一代网络中的重要概念，在满足不同用户需求和提高网络资源利用率方面具有巨大潜力。然而，为了确保其安全可靠地运行，需要深入研究和解决安全方面的问题。随着网络技术的不断发展，网络切片安全预计将在未来占据重要地位。

7. 网络切片技术优势总结

网络切片技术凭借其独特的特性和架构，在现代网络环境中展现出显著的优势，以下为详细总结：
| 优势类型 | 详细描述 |
| — | — |
| 定制化服务 | 通过定制化特性，能够根据租户的具体需求提供精准的资源，满足多样化的服务要求，如不同行业对网络的带宽、延迟等需求差异。 |
| 资源高效利用 | 隔离性和弹性特性使得网络资源可以在不同切片之间灵活分配，避免资源的浪费，提高整体资源利用率。 |
| 灵活管理 | 可编程性和简化性让网络切片的管理更加灵活和高效，通过开放的API接口可以方便地进行资源控制，同时简化的架构降低了管理的复杂度。 |
| 安全可靠 | 隔离特性增强了切片之间的安全性和隐私性，每个切片的独立性减少了相互影响，降低了安全风险。 |
| 端到端服务 | 端到端的特性确保了服务能够从提供商到最终用户的顺畅交付，提升了用户体验。 |

8. 不同实现场景对比

为了更清晰地了解不同网络切片实现场景的特点，下面对三种主要场景进行对比分析：
| 场景类型 | 优势 | 劣势 | 适用情况 |
| — | — | — | — |
| 单所有者，单控制器 | 实现相对简单，一个控制器便于集中管理 | 适用于有限范围网络，存在单点故障风险，影响可靠性和可用性 | 小型网络或对网络复杂度要求不高的场景 |
| 单所有者，多控制器 | 支持多个租户部署自己的控制器，增强了隔离性和灵活性 | 引入SDN代理增加了一定的管理复杂度 | 多个租户共享网络资源，需要保持隔离的场景 |
| 多所有者，多控制器 | 给予租户完全的资源选择自由，灵活性高 | 基础设施所有者和租户之间的协调管理可能较为复杂 | 租户对资源需求差异大，需要高度定制化的场景 |

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(单所有者，单控制器):::process --> B(简单管理):::process
    A --> C(单点故障):::process
    D(单所有者，多控制器):::process --> E(租户灵活):::process
    D --> F(管理复杂):::process
    G(多所有者，多控制器):::process --> H(租户自由):::process
    G --> I(协调复杂):::process

9. 安全威胁影响分析

网络切片面临的安全威胁对不同安全目标会产生不同程度的影响，以下表格总结了各威胁向量对主要安全目标的影响：
| 威胁向量 | 机密性 | 完整性 | 可用性 | 认证 | 授权 |
| — | — | — | — | — | — |
| 攻击切片 - 服务连接 | ✔ | ✔ | ✔ | | |
| 攻击切片 | ✔ | | | | |
| 攻击切片 - 资源层连接 | ✔ | ✔ | ✔ | | |
| 攻击切片管理 | ✔ | ✔ | ✔ | ✔ | |
| 攻击基础设施资源 | ✔ | ✔ | | | |

从表格中可以看出，不同的威胁向量对安全目标的影响各有侧重。例如，攻击切片 - 服务连接对机密性、完整性和可用性都有影响；而攻击切片主要影响机密性。了解这些影响有助于针对性地制定安全策略。

10. 未来发展展望

网络切片技术在新一代网络中已经展现出巨大的潜力，随着技术的不断发展，未来有望在以下几个方面取得进一步的突破：
- 更广泛的应用场景 ：随着5G、物联网等技术的普及，网络切片将在更多行业得到应用，如智能交通、工业互联网、医疗等领域，满足不同行业对网络的特殊需求。
- 安全技术的提升 ：针对网络切片面临的安全威胁，未来将有更多先进的安全技术出现，如更强大的加密算法、智能的入侵检测系统等，保障网络切片的安全运行。
- 自动化管理 ：借助人工智能和机器学习技术，实现网络切片的自动化管理和优化，提高管理效率和资源利用率。
- 标准和规范的完善 ：随着网络切片技术的发展，相关的标准和规范将不断完善，促进不同厂商之间的互操作性和兼容性。

网络切片技术作为现代网络发展的重要方向，虽然目前还面临一些挑战，但随着技术的进步和研究的深入，必将在未来的网络环境中发挥更加重要的作用。通过不断优化其特性、架构和安全机制，网络切片将为用户提供更加安全、高效、定制化的网络服务。