近日,愛立信官網發布了一篇名為《security considerations of open ran》的文章,引起業內人士廣泛**。
文中指出,隨著行業向vran和o-ran發展,採用基於風險的方法來充分解決安全風險非常重要。對於包括o-ran的任何新興技術,安全性在設計之初就應該完整構建,而不是事後再補。為了確保o-ran能滿足運營商安全級別,愛立信基於對o-ran標準的參與和實踐,指出其存在一些安全風險。
3gpp ran架構與o-ran架構的區別
如上圖,3gpp r15引入了cu和du分離的ran架構,定義了cu-cp(控制面)和cu-up(使用者面)之間的e1介面,以及cu與du之間的f1介面。
但o-ran進一步開放前傳介面,並在管理層和ran新引入了non-real-time ric和near-real-time ric兩個控制器,同時新增了a1、e2、o1、o2等介面。
從架構上不難看出,為了實現開放化和智慧型化,open ran架構更加複雜,這可能會增加如下安全風險。
開放前傳介面安全風險
在傳統ran部署方式下,du和ru來自同一廠家,du和ru之間的前傳介面由單廠家實現。而o-ran採用7-2x開放前傳介面,o-du和o-ru可以來自不同的廠家。
當o-du和o-ru來自不同廠家時,意味著o-du不能完全控制o-ru,需要通過更高層的服務管理與編排層來輔助管理,這可能會帶來通過前傳介面向o-du之上的北向系統發起中間人攻擊的風險。
near-real-time ric安全風險
為了便於理解,我們先來科普一下o-ran架構中的non-real-time ric和near-real-time ric這兩個控制器,以及smo(服務管理與編排)。
(o-ran架構)
smo,service management and orchestration,類似nfv中的mano,負責管理網路功能和nfvi基礎設施,其包含的管理介面和管理內容如下:
• o1介面:負責管理網路功能(vnf),包括配置、告警、效能、安全管理等。
• o2介面:負責管理雲平台(o-cloud)的資源和負載管理。
• m-plane介面:負責對o-ru管理。
ric,全稱為radio intelligent controller,無線智慧型控制器。顧名思義,就是通過引入ai實現ran運維自動化、智慧型化。
non-real-time,指非實時部分,負責處理時延要求大於1秒的業務,比如資料分析、ai模型訓練等。
near-real-time,指近實時部分,負責處理時延要求小於1秒(50ms-200ms)的業務,比如無線資源管理、切換決策、雙連線控制、負載均衡等。
non-real-time ric位於smo內,通過從ran和應用伺服器收集全域相關資料,進行資料分析和ai訓練,並將推理和策略通過a1介面下發、部署於near-real-time ric。
near-real-time ric位於ran內,負責收集和分析ran的即時資訊,結合non-real-time ric提供的額外或全域性資訊,並通過non-real-time ric下發的推理模型和策略,實時監控和**網路和使用者行為變化,並根據策略(比如qoe目標)實時對ran引數進行調整,包括調整資源分配、優先順序、切換等。比如,**到網路即將發生擁塞,near-rt ric根據推理實時調整網路引數以預防擁塞。
總之,o-ran通過引入non-real-time ric和near-real-time ric,兩者合力可基於ai對網路負載均衡、移動性管理、多連線控制、qos管理、網路節能等功能進行主動優化和調整,最終實現網路智慧型化、自動化。
near-real-time ric與gnodeb衝突
此外,愛立信在文章中還指出軟硬體解耦增加了對信任鏈的威脅,以及開源**增加了漏洞的暴露等其他安全隱患。
對於這些問題,愛立信認為,隨著ran向虛擬化、開放化發展,行業應該採用全新的方式來處理安全性,並表示將繼續在o-ran聯盟中發揮領導作用,整合安全最佳實踐,以確保o-ran滿足運營商的安全級別。
愛立信於2023年12月申**入o-ran,2023年2月正式加入o-ran,並在o-ran工作組中占有兩個主席職位。作為o-ran的主要成員之一,愛立信基於對o-ran的深入研究,在今年3月份主持的一次open ran網路研討會上,也提出了以上類似的觀點。
在會上,愛立信o-ran program manager per emanuelsson指出,由於o-ran引入了non-real-time ric、near-real-time ric和更多開放介面,存在以下挑戰:
1)non-real-time ric和a1介面
儘管通過non-real-time ric和a1介面,可收集包括核心網、傳輸網和應用等更廣域的資料,並實現閉環的自動化網路等,但存在用例不清晰、價值不明確等問題。
2)near-real-time ric
3)開放的前傳介面
愛立信認為,開放前傳介面後,運營商可以從不同的裝置商購買du和ru裝置,有助於擴大產業生態。
但存在以下挑戰:
• 增加測試和整合工作量
• 會明顯降低ran效能
4)雲化ran
雲化ran解耦了硬體和軟體,並將軟體部署於標準的cots硬體之上(至少部分是cots硬體),有利於組成資源池,擴大**商生態。
但存在以下挑戰:
• 相比專用硬體,效能會下降
• 裝置功耗會增加
架構設計(3) 架構模式
架構設計學習思維導圖 架構設計系列主要的adm 架構開發方法 主要基於togaf9或者togaf9.1來論述。這是個人學習實踐和總結筆記,專注並不斷積累和更新,努力精進自己。個人拙見,僅供參考。1 架構概述 了解架構基礎知識 架構定義 分類 級別 應用架構演進 架構是否合理 架構誤區等。談談架構 2...
Dubbo入門 3 架構原理
出處 dubbo入門 3 架構原理 在之前的兩篇文章中,我們了解了有關分布式服務的基本概念和簡單的使用。現在來了解一下dubbo是如何提供這些功能的 如何運作的,以及整個框架的層次結構。本文參考自dubbo架構設計詳解及dubbo官方使用者手冊 首先要了解dubbo提供的三大核心功能 通訊提供多種對...
Android OkHttp3架構分析
在okhttp3中,其靈活性很大程度上體現在,可以intercept其任意乙個環節,而這個優勢便是okhttp3整個請求響應架構體系的精髓所在 okhttp 中的對所有的任務採用namedrunnable,約束每個執行單元給出對應的業務名稱,以便於執行緒維護。1.非同步請求執行緒池 okhttp d...