面向5G網絡邊緣計算的安全技術方案與研究*

朱京毅

（中國移動通信集團上海有限公司，上海 200060）

0 引 言

網絡安全已成為事關國家政治、經濟、社會及國防等安全的重要組成部分，受到方方面面的政策環境影響。以習近平總書記網絡安全系列講話精神為指引，從國際和國內安全形勢分析入手，總結當前電信行業面臨的安全挑戰和機遇，并結合中美貿易摩擦的大背景，全面關注我國網絡安全的整體形勢。其中，5G發展已被提升至國家安全戰略層面，各國紛紛將5G安全定位為發展的重點。

中國在5G技術發展和市場競爭中日益占據先發優勢和主導地位，引發了部分歐美等國際社會對未來網絡空間安全的特別關注。來自中國企業的5G國際標準占3GPP全部國際標準提案的四成，同時在5G基礎網絡設施部署和核心設備供應方面占據領先地位[1]。

2019年，工信部向四家單位頒發了5G商用牌照，標志著正式進入5G商用元年。楊杰董事長在提出中國移動將在未來一段時間內加快5G+4G網絡建設與精品網打造進度，堅持網絡建設與能力打造同步，以5G與垂直行業融合為核心，推進5G+4G協同發展、5G+AICDE融合創新、5G+Ecology生態共建，實現5G+X應用延展，使5G真正成為社會信息流動的主動脈、產業轉型升級的加速器、數字社會建設的新基石，同時強調做好5G網絡安全保障，強化網絡安全核心技術研發和風險評估，防范各類網絡安全風險，守護網絡空間設施安全的必要性。綜上，5G網絡安全已經成為多方關注的焦點。

1 現狀分析

2019年上海移動在集團公司安排下持續擴展5G規模試驗區域，計劃在主城區、郊區業務熱點區域、垂直行業應用區域進行連續覆蓋，推動友好用戶測試，加速端到端產業成熟，面向競對形成規模優勢，全面具備2020年試商用能力。2月15日，上海公司召開了2019年“雙千兆”專項工作啟動會，會議就“雙千兆”專項工作進行了全面部署。計劃年內完成全網基礎資源配套改造，實現5G網絡外環內、郊區城鎮中心、垂直行業應用區域連續覆蓋，5G站點規模達到5 000個，面向競對形成規模優勢，具備2020年試商用能力。

以5G白皮書為指導意見，深化垂直行業技術場景融合，從交通、醫療、工業互聯網及高清視頻回傳等領域全面打造5G大帶寬、低時延的端到端業務試點項目。目前，中國移動通信集團上海有限公司已完成13個智慧社區NB項目建設。例如，與上海市第十人民醫院簽署聯合戰略協議，全面部署5G智慧醫院；與同濟大學共同開發5G無人駕駛項目，并于同濟大學嘉定校區內部署MEC，研發高速低時延無人車；與振華重工簽訂聯合戰略協議，于洋山深水港打造5G無人碼頭試點項目，通過部署MEC實現操作人員遠程控制輪胎場橋吊功能。

可見，無論是自主網絡建設情況，抑或業務發展驅策角度，如何在充分體現5G網絡能力的同時有效保障網絡安全，已成為多方關注與探討的重點。

2 研究目標

5G網絡即移動通信網絡發展中的第五代網絡。與之前的4G網絡相比，5G網絡的時延將低于1 ms，網絡帶寬將達到10 Mb/s，同時接入用戶數為100萬。從技術角度而言，5G網絡是在4G網絡提出將信令面數據與用戶面數據分離的基礎上，進一步下沉用戶面數據，以達到用戶之間通信無需再經過所有核心網元層層轉發，而是由離用戶最近的邊緣計算中心進行路由轉發，大大降低了訪問時延。

邊緣計算路由器（Mobile Edge Computing，MEC）作為邊緣計算中心的核心網絡設備，承載了高速率高時延的實現能力，同時具備獨特的地理位置——即可以屬于核心網絡歸屬于運營商統一組建，又可以由用戶根據自身需求進行建設，使其既可以屬于安全域又可以屬于非安全域。因此，針對MEC的網絡安全能力防護措施的研究已經成為未來5G網絡整體安全能力的核心。

如圖1所示，邊緣DC位于無線與核心網之間，主要對接設備包括無線基站、用戶終端、核心網和互聯網。這四者都可以向其發動網絡攻擊，從而造成安全隱患。此外，就單邊緣DC內部而言，從下往上為API接入、MEC平臺和SaaS應用，這三者間也存在安全隱患，存在進行相互攻擊的可能性。

圖1 5G網絡架構

3 對策思路

針對于MEC如何進行安全防護，細分之后主要分為MEC外部和MEC內部兩部分，部署關系如圖2所示。

外部威脅：

（1）無線側CU/DU部署對MEC安全影響挑戰；

（2）可信域與非可信域之間傳輸不可靠，有數據被非法竊取的安全挑戰；

（3）部分邊緣DC機房硬體環境不可靠，有供電安全、防盜及防止物理侵入等安全挑戰。

圖2 MEC部署關系

內部威脅：

（1）邊緣DC內RAN、CU、UPF、第三方應用共享NFVI資源，有資源非法訪問、Cloud OS入侵等I層安全挑戰；

（2）第三方應用部署于網內不可靠，有漏洞被利用、病毒/木馬注入及越權訪問等安全挑戰[2]。

通過對五大細分MEC安全場景的研究逐一進行分析，提出相應的技術解決方案。

3.1 無線側部署模式的安全影響

3.1.1 CU+DU合一部署

無線側與邊緣DC和中心DC之間均是3GPP定義的標準接口，均可通過起IPSec協議的方式進行保護。

如圖3所示，CU+DU合一部署，控制面和用戶面與邊緣DC和中心DC的接口一致，均為3GPP定義的標準接口。與邊緣DC和中心DC的鏈路保護方案一致，均受IPSec隧道保護。5G MEC部署至邊緣DC時，未改變RAN和核心網之間的安全模式，故直接使用IPSec隧道即可完成基本防護。

圖3 CU+DU合一部署結構

3.1.2 CU/DU分離部署

無線側與核心網之間接口未變，仍需IPSec保護，核心網不感知無線部署模式，如圖4所示。與CU+DU合一部署的場景情況下的安全防護措施基本保持一致。

圖4 CU/DU分離部署結構

此外，由于CU/DU分離的情況下，CU可能進行集中云化管理。此狀態下如果與MEC節點共享I層，會帶來多種安全風險，如不同VNF之間搶占資源，通過Cloud OS入侵等實現跨VM訪問，單VNF問題引起整體DC的業務風險等非法訪問、漏洞傳染的問題。因此，在部署邊緣DC時需考慮劃分不同的VDC，以實現硬件隔離。同時，RAN與MEC之間的接口啟用獨立防火墻，實現接口業務檢查。

3.2 可信域與非可信域之間的安全影響

眾所周知，3GPP規范對于接口數據并未有嚴格的安全要求。一般用戶面數據皆為不加密的形式，故當前的4G網絡在組網時對無線網與核心網之間的數據交互使用IPSec隧道方式進行安全防護。5G網絡采用分布式組網的方式，可沿用4G網絡的網絡保護機制，各網元之間均應采用IPSec隧道方式進行數據安全保護[3]，如圖5所示。

圖5 可信域與非可信域之間部署結構

3.3 部分邊緣DC機房硬體環境的安全影響

如果條件具備，邊緣MEC所在機房需具備如下安防能力，以確保未來高價值5G業務得到安全可靠的環境保障。

物聯安防：選址應考慮當地的政治、地理及氣候等綜合環境因素，遠離災害、危險及干擾等場所，確保水電和物理結構安全。

邊界安防：設置出入口控制系統、入侵報警及視頻監控等來監視和管控建筑出入口、通風口和線纜符合相關規定，防入侵篡改。

安防系統：按角色分級、系統狀態顯示與控制、告警與預處理、事件記錄與查詢等。

可靠性：使用POE/UPS雙路供電，與安防系統聯動，使用B/S架構，實現雙機熱備等。

3.4 NFV環境的安全影響

如圖6所示，將NFV環境的安全防護機制分為5種方式。

（1）外部攻擊防護方案：入口部署防火墻，防止如DDoS等類似攻擊，內部硬件資源合理劃分、預留，應用實現流控。

（2）領域隔離方案：內部按照RAN、核心網及自有應用、第三方APP劃分為3個VDC，硬件隔離并增加獨立防火墻。

（3）MEC子域隔離方案：可劃分UPF子域和應用子域，隔離I層資源，按需增加vFW。

（4）應用隔離方案：不同APP部署在不同主機組上，隔離I層資源，因內容安全較為敏感，建議增加vFW。

（5）NFV安全方案：通過可信啟動、動態度量支持軟硬件防篡改、硬件防替換安全防護、防軟件逆向工程等。

圖6 NFV環境的部署結構

3.5 第三方應用的安全影響

MEC的上層應用分為自有應用和第三方應用兩種形式。自有應用指通過自有可信任的開放方研發的內容，具有資源需求穩定的特點，如DNS服務、統計報表服務等。它的安全屬性相對較高，僅需通過應用數字簽名與效驗等基礎防護手段即可實行保護。與之相對，第三方應用是指由外在開發商研發的應用，其資源需求量大，彼此間的差異性也很大，因此存在的安全風險很大。MEC開放性和時效性決定其應用受第三方實時控制，建議除基本的應用數字簽名與校驗防護外，部署能力開放API接口訪問支持認證和鑒權、API接口訪問流控、應用之間可部署防火墻做隔離、不同應用部署于不同主機組等安全防護手段加強管控。

4 結 語

結合MEC內部與外部的安全隱患，總結五大細分場景進行安全風險與對應的防護手段的研究，在未來5G網絡用戶面數據進一步下沉的技術演進模式下，有效的MEC的安全防護措施將為高速率低時延的應用場景提供堅實的技術能力，為打造5G精品網絡的目標添磚加瓦。