無線技術發展迅速, 5G 部署在世界各地取得了良好進展。直到最近,無線 RAN 還使用傳統 RAN 供應商的封閉式設備解決方案進行部署。這種封閉式方法不可擴展,未充分利用基礎設施,并且不能提供最佳的 RAN TCO 。它有許多缺點。
我們已經意識到,這種封閉式解決方案在 5G 時代是不可擴展和有效的。
因此,電信行業聯合起來,在具有開放和標準接口的商用現貨( COTS )硬件平臺上推廣和構建虛擬化和云原生 RAN 解決方案。這使得在通用服務器平臺上能夠實現更大的生態系統和靈活的解決方案,利用虛擬化和云原生技術的優點。
這種方法有很多積極的方面:更低的成本、更大的生態系統和供應商選擇、更快的創新周期、自動化和可擴展性。然而,一個令人擔憂的領域是,開放式 RAN 架構可能導致更大的攻擊面,并可能導致新的安全風險。
作為加速計算平臺的技術領導者, NVIDIA 一直與標準社區( 3GPP 和 O-RAN 聯盟)、合作伙伴和客戶密切合作,為 vRAN 平臺定義并提供一套強大的安全功能。
我們的愿景是推動云、人工智能和 5G 融合的更快創新,以實現未來的應用。我們將確保這些創新的基礎平臺在構建時考慮到最大的安全原則。
應對開放的安全挑戰 RAN 架構
在開放式 RAN 架構中引入新的標準接口,以及硬件和軟件的解耦,擴大了 RAN 系統的威脅面。一些例子:
- 用于分解 RAN 的新的開放接口,例如開放前端( OFH )、 A1 或 E2 。
- 近實時 RIC 和供應商提供的 xApps 可以利用 RAN 系統。
- 硬件與軟件的解耦增加了對信任鏈的威脅。
- OFH M 平面、 O1 或 O2 等管理接口可能會引發新的漏洞。
在 OFH 接口上實現安全功能(如加速密碼操作)時,必須考慮 RAN 上的嚴格延遲要求。對開源軟件的日益依賴也增加了開放式 RAN 對開源社區內安全開發實踐的依賴。最后,物聯網設備數量的急劇增長要求所有 RAN 部署都能保護自己免受受損設備日益增加的攻擊。
CSRIC 理事會
為了提高美國通信系統的安全性、可靠性和彈性,聯邦通信委員會( FCC )建立了通信安全性、可靠性和互操作性( CSRIC ) Council VIII。
理事會發表了一份關于安全開放 RAN 技術發展面臨的挑戰,以及為行業提供的一系列關于如何克服這些問題的建議。報告還建議開放式 RAN 行業采用的安全要求由 O-RAN 聯盟工作組 11 標準化。下一節將討論這些建議和要求。
CSRIC 理事會架構建議
FCC CSRIC VIII 的報告中為開放式 RAN 行業提出的一組關鍵的以安全為中心的體系結構建議如下:
- 數字簽名生產軟件應適用于開放式 RAN 工作負載,包括網絡功能和應用程序。
- 基于以太網的前端網絡應分段以將前端流量與其他流量隔離開來。
- 基于端口的身份驗證應當用于使得能夠對附接到 FH 網絡的網絡元件進行授權。
- 提供相互身份驗證的安全協議在美國生產網絡中部署基于以太網的前端無線電單元( RU )時應使用。
- 基于 IEEE 802 . 1X 端口的網絡訪問控制應當針對連接到以混合模式部署的 FH 網絡的所有網絡元件來實現。
- 開放式 RAN 的實現應該基于零信任架構( ZTA )的原則。
- 開放式 RAN 軟件應部署在安全服務器硬件開放式 RAN 軟件所使用的憑證和密鑰應當被加密并安全地存儲。
- 開放式 RAN 架構實現防御以防止對抗性機器學習攻擊.行業應在 O-RAN 聯盟內開展工作,推動緩解 AML 攻擊的安全規范。
- MNO 應使用基于硬件信任根,憑據安全存儲(例如,在硬件安全模塊( HSM )中),以及軟件簽名以建立端到端的信任鏈。
O-RAN WG11 定義了穩健的安全要求
O-RAN 聯盟安全工作組 (WG11) 負責跨越整個 O-RAN 架構的安全準則。正在與其他 O-RAN 工作組、監管機構和標準開發組織密切協調,制定安全分析和規范。它補充了前面討論的 FCC CSRIC VIII 發布的安全建議。
根據 O-RAN WG11 規范,開放式 RAN 系統的基本安全原則( SP )基于 16 個支柱(表 1 )。
| 安全原則 | 要求 | 支持 O-RAN WG11 的 NVIDIA 功能 |
| 1 . SP-AUTH :相互認證 | 檢測假冒基站和未經授權的用戶或應用程序。 | 支持基于訪問列表和訪問控制列表( ACL )的篩選以及按端口身份驗證。 |
| 2 . SP-ACC :門禁 | 隨時隨地禁止未經授權的訪問。 | 支持訪問列表和基于 ACL 的篩選。 |
| 3 . SP-CRYPTO :安全加密、密鑰管理和 PKI (公鑰基礎設施) | ·高級密碼方案和協議 ·安全的密鑰管理和 PKI 。 |
支持 IPSEC / TLS 和用于安全握手的加密協議。 |
| 4 . SP-TCOMM :可信通信 | 完整性、機密性、可用性、真實性和傳輸中的重放保護。 | 支持時間戳和封裝,以保護飛行中的數據。 |
| 5 . SP-SS :安全存儲 | 完整性、機密性和可用性保護。 | 支持靜態數據加密和與主機隔離。 |
| 6 . SP-SB :安全引導和自配置 | ·安全引導過程 ·簽名驗證 ·自配置 |
支持安全引導和驗證的信任根。 |
| 7 . SP-UPDT :安全更新 | 用于軟件更新或新軟件集成的安全更新管理過程。 | 支持信任根( RoT )和本地安全 BMC 。 |
| 8 . SP-RECO :可恢復性和備份 | 在惡意攻擊(例如,拒絕服務或 DoS )下恢復和重置。 | 支持從可信來源進行安全引導,并支持隔離以遏制 DDoS 。 |
| 9 . SP-OPNS :開源組件風險的安全管理 | ·軟件材料清單( SBOM ) ·安全分析(審計、漏洞掃描等) |
由合作伙伴生態系統支持。 |
| 10 . SP-ASSU :安全保證 | ·風險評估 ·安全代碼審查 ·滲透測試 |
由合作伙伴生態系統支持。 |
| 11 . SP-PRV :隱私 | 最終用戶的數據隱私、身份隱私和個人信息隱私 | 支持隔離和標記以及加密和封裝。 |
| 12 . SP-SLC :持續的安全開發、測試、日志記錄、監控和漏洞處理 | ·持續整合與持續發展( CI / CD ) ·軟件安全審核 ·實時記錄和分析安全事件 |
由合作伙伴生態系統支持。 |
| 13 . SP-ISO :穩健隔離 | 域內主機隔離。 | 支持與主機完全隔離。 |
| 14 . SP-PHY :物理安全 | 為以下人員提供物理安全的環境: – 敏感數據存儲 – 敏感功能執行 – 啟動和更新過程的執行。 |
具有硬化和加固版本。 |
| 15 . SP-CLD :安全的云計算和虛擬化 | 信任從硬件和固件到虛擬化軟件的端到端堆棧。 | 由合作伙伴生態系統支持。 |
| 16 . SP-ROB :穩健性 | 軟硬件資源的穩健性 | 作為我們軟件開發、驗證、 QA 和發布實踐的一部分提供支持。 |
NVIDIA 平臺內置安全功能
NVIDIA 的一個關鍵目標是提供涵蓋安全各個方面的強大安全功能:
- 零信任平臺安全用于在平臺上執行的數據。
- 網絡安全以保護穿越空中接口、前端和后端的所有數據。
- 存儲安全性用于存儲在平臺上的所有數據以及所有管理接口中的保護。
| 前端運輸 | 起重機 gNB ( DU / CU ) | 運輸(中程/回程) | 5G 邊緣/核心 |
|
|
|
|
| 操作和維護 | |||
|
Kubernetes 安全 |
|||
| 多租戶/ AI | |||
|
MIG (多實例 GPU ):工作負載隔離、有保證的延遲和性能 |
|||
為了實現這一目標,我們依靠業界最佳的安全實踐。NVIDIA ConnectX SmartNICs和NVIDIA BlueField 數據處理器( DPU )是在考慮到遠邊緣、近邊緣和云安全的情況下開發的。他們實現了邊緣和云提供商以及安全供應商基于 NVIDIA 平臺功能制定解決方案所需的所有要求。
ConnectX SmartNIC 包括以線路速率卸載和支持 MACSEC 、 IPSEC (以及其他基于加密的解決方案)、 TLS 、基于規則的過濾和精確時間戳的引擎。
DPU 通過一個完整的隔離平臺(服務器中的服務器)為列表添加了更多內容,該平臺包括:
- 安全 BMC
- 安全引導
- 信任的根源
- 深度包檢測( DPI )
- 用于自定義加密操作和數據平面管道處理的附加引擎
這些功能使您能夠部署加密、安全且與主機完全隔離的網絡。 DPU 致力于創建一個安全的 cloudRAN 架構,同時還提供與 GPU 的直接連接,并在不涉及主機的情況下提供后屏蔽數據包。
我們在硬件和軟件平臺中實現了 O-RAN WG11 要求NVIDIA Aerial5G vRAN 在由 BlueField DPU 和 NVIDIA A100 GPU 組成的聚合加速器上運行。 NVIDIA Aerial 軟件實現了 RAN 第 1 層的完全在線卸載,并具有所述的關鍵安全功能。
總結
在 NVIDIA ,當我們使用開放和基于標準的架構對 RAN 進行轉換和虛擬化時,安全是首要考慮的問題。 NVIDIA 還支持 5G 傳輸網絡、 5G 核心、編排和管理層以及邊緣 AI 應用程序的關鍵安全功能。
在為開放式 RAN 或 vRAN 規劃 5G 安全時,請與我們的專家交談,并考慮使用 NVIDIA 架構。
有關詳細信息,請參閱以下資源:
- ESF Members NSA and CISA Provide Threat Assessment, Best Practices for 5G Network Slicing
- Open Radio Access Network Security Considerations( PDF )
- Open RAN security: Challenges and Opportunities(白皮書)
- Proposal for a Regulation laying down harmonized rules on artificial intelligence
?
