这篇文章最初发表在 NVIDIA 技术博客上。
无线技术发展迅速, 5G 部署在世界各地取得了良好进展。直到最近,无线 RAN 还使用传统 RAN 供应商的封闭式设备解决方案进行部署。这种封闭式方法不可扩展,未充分利用基础设施,并且不能提供最佳的 RAN TCO 。它有许多缺点。
我们已经意识到,这种封闭式解决方案在 5G 时代是不可扩展和有效的。
因此,电信行业联合起来,在具有开放和标准接口的商用现货( COTS )硬件平台上推广和构建虚拟化和云原生 RAN 解决方案。这使得在通用服务器平台上能够实现更大的生态系统和灵活的解决方案,利用虚拟化和云原生技术的优点。
这种方法有很多积极的方面:更低的成本、更大的生态系统和供应商选择、更快的创新周期、自动化和可扩展性。然而,一个令人担忧的领域是,开放式 RAN 架构可能导致更大的攻击面,并可能导致新的安全风险。
作为加速计算平台的技术领导者, NVIDIA 一直与标准社区( 3GPP 和 O-RAN 联盟)、合作伙伴和客户密切合作,为 vRAN 平台定义并提供一套强大的安全功能。
我们的愿景是推动云、人工智能和 5G 融合的更快创新,以实现未来的应用。我们将确保这些创新的基础平台在构建时考虑到最大的安全原则。
应对开放的安全挑战 RAN 架构
在开放式 RAN 架构中引入新的标准接口,以及硬件和软件的解耦,扩大了 RAN 系统的威胁面。一些例子:
- 用于分解 RAN 的新的开放接口,例如开放前端( OFH )、 A1 或 E2 。
- 近实时 RIC 和供应商提供的 xApps 可以利用 RAN 系统。
- 硬件与软件的解耦增加了对信任链的威胁。
- OFH M 平面、 O1 或 O2 等管理接口可能会引发新的漏洞。
在 OFH 接口上实现安全功能(如加速密码操作)时,必须考虑 RAN 上的严格延迟要求。对开源软件的日益依赖也增加了开放式 RAN 对开源社区内安全开发实践的依赖。最后,物联网设备数量的急剧增长要求所有 RAN 部署都能保护自己免受受损设备日益增加的攻击。
CSRIC 理事会
为了提高美国通信系统的安全性、可靠性和弹性,联邦通信委员会( FCC )建立了通信安全性、可靠性和互操作性( CSRIC ) Council VIII。
理事会发表了一份关于安全开放 RAN 技术发展面临的挑战,以及为行业提供的一系列关于如何克服这些问题的建议。报告还建议开放式 RAN 行业采用的安全要求由 O-RAN 联盟工作组 11 标准化。下一节将讨论这些建议和要求。
CSRIC 理事会架构建议
FCC CSRIC VIII 的报告中为开放式 RAN 行业提出的一组关键的以安全为中心的体系结构建议如下:
- 数字签名生产软件应适用于开放式 RAN 工作负载,包括网络功能和应用程序。
- 基于以太网的前端网络应分段以将前端流量与其他流量隔离开来。
- 基于端口的身份验证应当用于使得能够对附接到 FH 网络的网络元件进行授权。
- 提供相互身份验证的安全协议在美国生产网络中部署基于以太网的前端无线电单元( RU )时应使用。
- 基于 IEEE 802 . 1X 端口的网络访问控制应当针对连接到以混合模式部署的 FH 网络的所有网络元件来实现。
- 开放式 RAN 的实现应该基于零信任架构( ZTA )的原则。
- 开放式 RAN 软件应部署在安全服务器硬件开放式 RAN 软件所使用的凭证和密钥应当被加密并安全地存储。
- 开放式 RAN 架构实现防御以防止对抗性机器学习攻击.行业应在 O-RAN 联盟内开展工作,推动缓解 AML 攻击的安全规范。
- MNO 应使用基于硬件信任根,凭据安全存储(例如,在硬件安全模块( HSM )中),以及软件签名以建立端到端的信任链。
O-RAN WG11 定义了稳健的安全要求
O-RAN 联盟安全工作组 (WG11) 负责跨越整个 O-RAN 架构的安全准则。正在与其他 O-RAN 工作组、监管机构和标准开发组织密切协调,制定安全分析和规范。它补充了前面讨论的 FCC CSRIC VIII 发布的安全建议。
根据 O-RAN WG11 规范,开放式 RAN 系统的基本安全原则( SP )基于 16 个支柱(表 1 )。
| 安全原则 | 要求 | 支持 O-RAN WG11 的 NVIDIA 功能 |
| 1 . SP-AUTH :相互认证 | 检测假冒基站和未经授权的用户或应用程序。 | 支持基于访问列表和访问控制列表( ACL )的筛选以及按端口身份验证。 |
| 2 . SP-ACC :门禁 | 随时随地禁止未经授权的访问。 | 支持访问列表和基于 ACL 的筛选。 |
| 3 . SP-CRYPTO :安全加密、密钥管理和 PKI (公钥基础设施) | ·高级密码方案和协议·安全的密钥管理和 PKI 。 | 支持 IPSEC / TLS 和用于安全握手的加密协议。 |
| 4 . SP-TCOMM :可信通信 | 完整性、机密性、可用性、真实性和传输中的重放保护。 | 支持时间戳和封装,以保护飞行中的数据。 |
| 5 . SP-SS :安全存储 | 完整性、机密性和可用性保护。 | 支持静态数据加密和与主机隔离。 |
| 6 . SP-SB :安全引导和自配置 | ·安全引导过程·签名验证·自配置 | 支持安全引导和验证的信任根。 |
| 7 . SP-UPDT :安全更新 | 用于软件更新或新软件集成的安全更新管理过程。 | 支持信任根( RoT )和本地安全 BMC 。 |
| 8 . SP-RECO :可恢复性和备份 | 在恶意攻击(例如,拒绝服务或 DoS )下恢复和重置。 | 支持从可信来源进行安全引导,并支持隔离以遏制 DDoS 。 |
| 9 . SP-OPNS :开源组件风险的安全管理 | ·软件材料清单( SBOM )·安全分析(审计、漏洞扫描等) | 由合作伙伴生态系统支持。 |
| 10 . SP-ASSU :安全保证 | ·风险评估·安全代码审查·渗透测试 | 由合作伙伴生态系统支持。 |
| 11 . SP-PRV :隐私 | 最终用户的数据隐私、身份隐私和个人信息隐私 | 支持隔离和标记以及加密和封装。 |
| 12 . SP-SLC :持续的安全开发、测试、日志记录、监控和漏洞处理 | ·持续整合与持续发展( CI / CD )·软件安全审核·实时记录和分析安全事件 | 由合作伙伴生态系统支持。 |
| 13 . SP-ISO :稳健隔离 | 域内主机隔离。 | 支持与主机完全隔离。 |
| 14 . SP-PHY :物理安全 | 为以下人员提供物理安全的环境:-- 敏感数据存储-- 敏感功能执行-- 启动和更新过程的执行。 | 具有硬化和加固版本。 |
| 15 . SP-CLD :安全的云计算和虚拟化 | 信任从硬件和固件到虚拟化软件的端到端堆栈。 | 由合作伙伴生态系统支持。 |
| 16 . SP-ROB :稳健性 | 软硬件资源的稳健性 | 作为我们软件开发、验证、 QA 和发布实践的一部分提供支持。 |
表 1 。开放式 RAN 系统的安全原则、关键要求以及 NVIDIA 如何满足这些要求
NVIDIA 平台内置安全功能
NVIDIA 的一个关键目标是提供涵盖安全各个方面的强大安全功能:
- 零信任平台安全用于在平台上执行的数据。
- 网络安全以保护穿越空中接口、前端和后端的所有数据。
- 存储安全性用于存储在平台上的所有数据以及所有管理接口中的保护。
图 1 。基于 O-RAN 的虚拟 RAN 和 5G 核心的全面 E2E 安全
表 2 。为基于 O-RAN 的虚拟化 RAN 和 5G 核心提供全面的 E2E 安全 | 前端运输 | 起重机 gNB ( DU / CU ) | 运输(中程/回程) | 5G 边缘/核心 | | * MAC 秒
- 基于端口的身份验证和网络访问控制 | * IPsec
- 硬件信任根
- 安全引导
- 基础设施/租户隔离
- DDoS 攻击
- 防火墙
- 物理安全对策 | * 覆盖网络( VxLAN 、 EVPN )
- 完全传输安全 IPsec 、 SSL / TLS
- 网络 ACL
- 入侵检测系统 | * 硬件信任根
- 安全引导
- 基础设施/租户隔离
- DDoS 攻击
- NG 防火墙
- 云 SDN ( OVN / OVS )
- GTP-U 隧道分类、加速和安全 | | 操作和维护 | | Kubernetes 安全Kubernetes API 认证POD 安全基于角色的访问控制( RBAC )所有软件 PKI 已通过身份验证零信任体系结构( ZTA ) | | 多租户/ AI | | MIG (多实例 GPU ):工作负载隔离、有保证的延迟和性能预测性服务保证:人工智能识别、捕获威胁并采取行动 |
为了实现这一目标,我们依靠业界最佳的安全实践。NVIDIA ConnectX SmartNICs和NVIDIA BlueField 数据处理器( DPU )是在考虑到远边缘、近边缘和云安全的情况下开发的。他们实现了边缘和云提供商以及安全供应商基于 NVIDIA 平台功能制定解决方案所需的所有要求。
ConnectX SmartNIC 包括以线路速率卸载和支持 MACSEC 、 IPSEC (以及其他基于加密的解决方案)、 TLS 、基于规则的过滤和精确时间戳的引擎。
DPU 通过一个完整的隔离平台(服务器中的服务器)为列表添加了更多内容,该平台包括:
- 安全 BMC
- 安全引导
- 信任的根源
- 深度包检测( DPI )
- 用于自定义加密操作和数据平面管道处理的附加引擎
这些功能使您能够部署加密、安全且与主机完全隔离的网络。 DPU 致力于创建一个安全的 cloudRAN 架构,同时还提供与 GPU 的直接连接,并在不涉及主机的情况下提供后屏蔽数据包。
我们在硬件和软件平台中实现了 O-RAN WG11 要求NVIDIA Aerial5G vRAN 在由 BlueField DPU 和 NVIDIA A100 GPU 组成的聚合加速器上运行。 NVIDIA Aerial 软件实现了 RAN 第 1 层的完全在线卸载,并具有所述的关键安全功能。
总结
在 NVIDIA ,当我们使用开放和基于标准的架构对 RAN 进行转换和虚拟化时,安全是首要考虑的问题。 NVIDIA 还支持 5G 传输网络、 5G 核心、编排和管理层以及边缘 AI 应用程序的关键安全功能。
在为开放式 RAN 或 vRAN 规划 5G 安全时,请与我们的专家交谈,并考虑使用 NVIDIA 架构。
有关详细信息,请参阅以下资源: