利用可信計算技術增強MEC的安全性

陸威 王全

【摘? 要】

介紹了MEC安全問題的特征，分析了可信計算技術增強MEC安全的可行性，提出了MEC物理安全可信設計、MEC能力開放可信設計、軟件版本完整性可信設計等關鍵技術，最后結合MEC部署的特點提出了安全防護的建設建議。

【關鍵詞】 MEC;安全;可信計算

doi：10.3969/j.issn.1006-1010.2020.04.013? ? ? 中圖分類號：TN929.5

文獻標志碼：A? ? ? 文章編號：1006-1010（2020）04-0059-06

引用格式：陸威，王全. 利用可信計算技術增強MEC的安全性[J]. 移動通信， 2020，44（4）： 59-64.

Enhancing MEC Security with Trusted Computing Technology

LU Wei， WANG Quan

（ZTE Corporation， Nanjing 210012， China）

[Abstract]

This paper introduces the characteristics of MEC security issues， analyzes the feasibility of enhancing MEC security by trusted computing technology， proposes key technologies of trusted designs for MEC physical security， MEC capability exposure， and software version integrity. Finally， based on the MEC deployment characteristics， construction suggestions are proposed for security protection.

[Key words] MEC; security; trusted computing

0? ?引言

5G作為新一輪信息技術變革的關鍵基礎設施，為各行各業數字化轉型創造了新的機會。工業互聯網是5G的一個重要應用場景，近來獲得了迅猛發展，各類應用逐步滲透到社會生活的方方面面，實現了各種生產要素的互聯互通和智能化處理，讓大量的機器每時每刻都在自動地相互協作，極大地延伸了人的智力和體力。但工業互聯網對社會發展具有兩面性，在網絡正常時能極大地促進社會生產能力，在網絡出現大規模安全故障時，會中斷整個產業鏈的協作，導致經濟安全和國家安全問題。因此5G安全是工業互聯網安全、經濟安全、國家安全的最底層的基石，需要有高可靠的安全措施保障社會的正常運行。

3GPP標準組織已為5G制定了很多安全技術標準，但3GPP為解決某些垂直行業應用的高可靠低時延需求時，引入了ETSI定義的MEC（Multi-Access Edge Computing）技術，而ETSI并沒有對MEC提供完整的安全保障技術，需要根據MEC的應用場景，增強MEC的安全技術。

MEC的主要思想是把計算和網絡處理能力盡量下沉到接入網附近，縮短終端和應用之間的傳輸路徑，從而降低業務報文的傳輸時延，節省骨干網的傳輸資源[1]。5G借助于網絡邊緣的MEC，提供高質量的eMBB業務體驗和高可靠極低時延的URLLC業務[2]。MEC給5G業務帶來好處的同時，也帶來了兩類安全問題。一類是通用的安全問題，例如操作系統漏洞、網絡攻擊、數據泄露等，業界已有很多成熟的方法針對這些問題做好安全防護，例如操作系統安全加固技術、防火墻技術、數據加密技術等，本文不做詳細介紹[3]。另一類是MEC特有的安全問題，即MEC分布式部署在網絡邊緣，機房無人值守，非授權人員有機會引入安全問題[4]。本文從可信計算概念的角度，介紹了如何采用可信計算技術來保障MEC的安全。

1? ?MEC安全問題分析

MEC整體架構順從ETSI MEC和NFV規范，主要由COTS（Commercial Off-The-Shelf，商用現成品）服務器、交換機、防火墻、邊緣云平臺、UPF（User Plane Function，用戶面功能）、MEP（Multi-Access Edge Platform，多接入邊緣平臺）、能力開放網關等構成[5-7]。現有的安全技術對MEC的多個層面做了安全保護。

在操作系統層面，有一套完整的安全加固手段，關閉未使用的端口和服務，及時打上漏洞補丁。在網絡層面，根據業務類型劃分相互隔離的網絡平面，在不同的安全域間部署防火墻。在虛擬化層面，采用虛機隔離技術保證各虛機間不能相互訪問。在管理賬戶接入方面，可以根據賬戶角色分配權限，并采用強密碼策略和雙因子認證方案提高賬戶身份的可信度。在MEC的接口協議方面，采用SSL、HTTPS、VPN等安全協議。在安全事件管理方面，采用日志、審計分析工具來記錄并分析MEC系統的運行狀態[8-9]。

以上這些常規的安全手段適用于運營商的中心機房，假定系統內部是可信和安全的，只需在系統的邊界進行防護。但MEC部署的位置處在網絡邊緣，機房沒有像運營商中心機房那樣堅固的基礎環境，沒有長期值守MEC機房的安保人員，因此MEC的軟硬件容易受到非授權人員的入侵，使得MEC站點處在不可信的狀態[10]。圖1描述了MEC面臨的3類可信計算安全問題。

MEC物理設備存在可信計算問題。MEC站點機房一般部署在靠近基站側的網絡邊緣，機房條件相對簡陋，而且MEC的硬件構成一般采用通用計算機架構，USB、網絡接口、PCIe插槽等暴露在外，非授權人員進入MEC機房后，可通過USB、網絡接口植入惡意軟件，或者在PCIe插槽中插入惡意板卡。需要利用可信計算技術持續監控MEC運行的可信度。

MEC把能力集暴露給第三方APP使用，會引入API調用的可信計算問題。一般第三方APP部署在第三方的數據中心，資產屬于第三方，運營商無權控制第三方數據中心的安全技術保障和安全管理，非授權人員有可能入侵第三方數據中心植入惡意軟件，并仿照MEC內的能力開放API接口，惡意調用MEC內的能力，非法獲取數據。MEC內的能力開放網關要有能力識別第三方APP是否可信。

MEC的軟件升級過程也存在可信計算問題。MEC部署量大，而且位于網絡邊緣，從降低運維成本和維護便利性的角度，一般采用遠程方式進行批量升級。MEC軟件版本存放在中心機房（例如5GC核心網站點），通過網絡把軟件版本傳送到各個MEC站點，在版本傳輸過程中，非授權人員可以劫持版本文件，替換版本中的某些文件，或植入惡意軟件，導致MEC升級后的軟件成為非可信軟件。需要MEC能檢查軟件版本的一致性、完整性，保證該軟件是可信的。

針對以上3種MEC可信問題，可采用可信計算技術保障MEC環境中的所有硬件、軟件、數據、參數配置等資產跟運營商的預期設計一致，在系統運行過程中，能像人體的免疫系統一樣，識別“自己”和“非己”成份，從而幫助運營商提升MEC環境的可信度[11]。

2? ?基于可信計算理念的安全性設計

2.1 可信計算原理

在信息安全領域，硬件安全和操作系統安全是基礎，密碼技術是關鍵，只有從整體上采取措施，特別是從底層采取措施，才能有效地解決信息安全問題，即從芯片、主板硬件結構、BIOS、操作系統等底層設施開始安全控制，才能從源頭上控制大多數不安全因素。可信計算是實現這一目標的一種技術，由可信計算集團（Trusted Computing Group， TCG）組織業界的主要廠商制定一個可信計算的開放標準，讓采用此技術的系統維持軟硬件的完整性，在系統的整個生命周期中按照最初設計所期望的行為運行[12]。

可信計算的基本原理有兩個關鍵技術，一個是在計算機系統中先建立信任根，另一個是建立BIOS Boot Block->BIOS->OS Loader->OS->APP的信任鏈，一級度量一級，一級信任一級，把信任關系擴大到整個計算機系統，從而確保計算機系統以及運行在其上的服務是可信的。

TCG把TPM（Trusted Platform Module，可信平臺模塊）芯片定義為信任根，TPM芯片嵌入在硬件平臺上，該芯片一般設計成SoC（System on Chip）模式，內含運算模塊、存儲器、I/O、密碼運算處理器等部件，完成可信度量的存儲、密鑰產生、加密簽名、數據安全存儲等功能。

當計算機系統上電啟動后，就開始逐級建立信任鏈。硬件平臺首先讓TPM芯片自檢，通過后對BIOS進行可信驗證，BIOS對OS Loader進行可信驗證，OS Loader再對OS進行可信驗證，OS對APP進行可信認證。在此驗證過程中，任何一級的驗證失敗，都不會讓該模塊進入運行態，并立即產生告警信息，通知維護人員進入安全響應流程。

可信計算原理適用于MEC的架構特征。MEC作為多接入邊緣計算，兼有網絡能力和云計算能力，ETSI考慮了MEC的普遍適用性，采用通用計算技術（一般基于x86）作為硬件平臺，采用BIOS啟動并加載OS，采用虛擬化技術作為云平臺，采用虛機鏡像作為應用軟件。MEC的軟硬件組織架構和可信計算采用的架構基本一致，因此可以借助可信計算技術來增強MEC的安全性[13]。

2.2? MEC物理安全可信設計

MEC站點環境一般較簡陋，例如和基站共站點，或者位于網絡邊緣的匯聚機房，或者在企業客戶的機房。這些機房環境除了要遵循傳統機房的安全防護標準，還需要針對MEC處于邊緣且無人值守的特點，設計更全面的防護措施。設計方案遵循由外而內，層層設防，有防有控的原則。

對于MEC最外層的機房，防護措施的目標是“進不來”。可采用物理鎖和電子門禁系統雙層防護，并在機房內外部署具有人臉識別功能的視頻監控系統，當有人進入MEC機房時，視頻監控系統能識別出人的身份，并核對該身份是否有許可權限進入此MEC機房。如果身份核對失敗，視頻監控系統向遠端運維中心發送告警信息，告警信息包括MEC站點位置、人員圖像、人員身份、發生時間等關鍵信息，由運維中心做進一步的安全事件響應動作。由于視頻監控和基于AI的人臉識別需要處理和傳輸大量的視頻數據，為了節省網絡帶寬和降低處理時延，建議把視頻監控系統的軟件就近部署在MEC內。

對于機房內的MEC機柜和交換機服務器等核心設備，防護措施的目標是“進來了，但接入不了”。需在機柜門上加鎖，并采用物理手段或軟件工具關閉服務器、交換機上不用的USB接口和網絡接口，確保入侵者難以通過USB或網口等接入MEC系統并植入惡意軟件。為了避免管理上的疏漏，要求遠端的運維中心能定期自動遠程巡檢MEC機柜內設備的未用端口是否處于“關閉”狀態[14]。

對于MEC設備內的BIOS、板卡、操作系統、云平臺、APP等軟硬件，防護措施的目標是“接入了，但用不了”。可在MEC服務器主板上增加TPM安全芯片，作為MEC系統的信任根。由于TPM是整個MEC系統的信任源頭，因此TPM的存儲器是受保護的，第三方無法更改存儲內容。圖2是基于TPM芯片的逐級可信檢測流程。

MEC受到以上多個層面的安全防護，非授權人員一般情況下進不了MEC機房，如果進入了，也很難接入MEC系統，如果接入MEC系統了，植入的惡意軟硬件也能被可信計算檢測到，從而無法運行。通過這一層層的防護，MEC即使部署在無人值守的網絡邊緣，也具備很高的安全性。

2.3? MEC能力開放可信設計

MEC有很多能力集，例如定位能力、無線網絡資源能力、TCP優化能力、用戶身份識別能力等，這些能力通過MEC的API Gateway供第三方APP調用[15-16]。由于第三方APP可以部署在企業客戶自己的機房中，運營商無法驗證企業客戶機房的可信度，非授權用戶可利用企業機房的安全技術或管理漏洞，植入惡意軟件，惡意軟件后續就有機會攻擊MEC系統，或者調用MEC的API非法獲取信息。可通過API Gateway模塊隔離技術、API消息數字簽名來保障MEC系統的健壯性和安全性。

API Gateway模塊隔離技術保障MEC的健壯性。MEC系統內有多個軟件模塊，大部分模塊不對外暴露，有較高的安全性，而API Gateway是直接暴露給第三方APP調用的模塊，如果該模塊被攻擊或者感染病毒，可能會影響到MEC內部其他模塊。應把API Gateway設計為獨立模塊，部署在MEC的DMZ（Demilitarized Zone，隔離區）中，該模塊即使被攻擊或感染病毒，也被隔離在自己的DMZ中，不會影響MEC內的其他模塊。為了減少被攻擊的可能性，還需在DMZ的對外邊界部署防火墻，只開放API接口用到的IP地址、端口和協議類型，把非API消息阻擋在防火墻外。

API消息數字簽名技術保障MEC能力在可信范圍內被使用。這項技術需要運營商和第三方APP配合實施，當第三方APP獲得運營商授權后，可通過密鑰生成工具產生一對密鑰（公鑰和私鑰），私鑰留給第三方APP做數字簽名用，公鑰發布給運營商用于核對來自第三方APP的數字簽名可信度。企業APP運行過程中，如果要向MEC發送API調用MEC的能力，需先對待發送的API消息報文進行數字簽名，后續MEC的API Gateway收到消息時，用公鑰對該消息報文進行簽名認證。如果認證通過，說明該消息來自于許可的企業第三方APP，可正常處理業務流程;否則認為該消息來自非授權的第三方APP，拒絕該消息的進一步處理，并產生告警信息，通知運營商和第三方排查隱藏在第三方數據中心的惡意軟件。

2.4? 軟件版本完整性可信設計

軟件版本從開發者交付到安裝部署，一般經過如下流程：開發者制作版本→開發者發布版本→版本經過互聯網傳輸到運營商版本服務器→MEC站點從版本服務器下載版本→MEC把版本加載到虛擬機中。在整個流程中，非授權人員有機會非法篡改版本文件（例如植入惡意軟件），導致MEC系統存在不可信軟件。可采用病毒掃描、軟件數字化簽名等措施保證軟件的完整性。

開發者發布軟件版本（含補丁）前，需對版本文件進行防病毒掃描，掃描通過后采用數字簽名方式制作軟件版本鏡像文件（Image）[17]，數字簽名流程如圖3所示。

數字簽名步驟：

步驟1：先通過密鑰生成工具產生密鑰對（公鑰和私鑰）;

步驟2：用MD5算法對軟件版本Image和Image Header進行Hash計算，獲得Hash-X;

步驟3：使用私鑰對Hash-X進行數字簽名，獲得Hash-Y;

步驟4：將Hash-Y、版本Image以及版本Image Header合并，得到簽名完成的版本。

軟件開發者就可通過互聯網把簽名完成的版本發布給運營商。如果在版本文件傳輸過程中被非授權方攔截并植入惡意軟件，運營商通過公鑰能驗證版本文件是否被篡改過。

軟件版本文件可信驗證步驟：

（1）運營商從軟件開發者獲取公鑰，對Hash-Y進行驗簽，得到Hash-X;

（2）對版本中的Image Header和Image一起進行MD5運算，得到Hash-X';

（3）將Hash-X和Hash-X'進行比較，如果一致則說明版本可信。

運營商驗證軟件版本完整可信后，把版本文件保存在版本服務器，供各個MEC站點下載。一般版本服務器集中部署在中心機房，各個MEC站點分布在邊緣，版本從服務器傳輸到MEC邊緣站點的過程中，非授權用戶可能攔截版本文件，并植入惡意軟件。因此MEC站點接收版本文件后，需進行可信驗證，驗證原理同“軟件版本文件可信驗證步驟”。

當MEC系統加載軟件版本到虛擬機時，MEC系統的Host OS基于TPM可信根，對軟件版本進行可信檢測，具體檢測流程如圖2所示。后續的虛機遷移、重生等都需要進行軟件版本的可信驗證。

3? ?MEC安全的部署建議

MEC在工業互聯網領域有廣泛的應用，MEC出現的安全問題會延伸到行業應用的安全，并引起更嚴重的經濟和關鍵產業鏈的安全。因此MEC的商用部署和日常運維需要考慮端到端的安全措施，由運營商牽頭，組織MEC設備提供商、行業客戶、第三方APP提供商開展安全協作，讓每個環節都有安全技術和安全管理流程的保障[18]。

運營商在采購MEC設備階段，需要對MEC設備提供商進行安全認證，包括研發流程的安全認證、產品生產過程的安全認證、產品發布流程的安全認證。通過安全認證的設備具備較高的安全可信度，在產品源頭避免帶有惡意軟硬件。

運營商接收到MEC設備后，需對設備攜帶的密鑰、數字證書、軟件版本等做可信檢測，確保這些資料來源于正確的MEC設備提供商，沒有第三方假冒的資料。

運營商建設MEC站點階段，需要按照2.1章節描述的方法，構建多層次的安全防護機房。工程人員在安裝配置MEC系統時，需要啟用基于TPM的可信計算功能，并關閉未使用的USB接口、網絡接口、服務。在組網方面，需要劃分可信任網絡域和DMZ網絡域，把UPF等運營商專用的模塊放在可信任網絡域，把能力開放API Gateway等面向第三方應用的模塊放在DMZ網絡域。在做MEC和第三方APP互聯互通時，運營商需要向第三方提出安全技術標準和安全管理流程要求，只有第三方APP滿足條件后，運營商才能許可第三方APP和MEC進行互聯互通，并通過數字簽名技術對第三方APP進行可信度驗證。

運營商運維MEC階段，并不需要運維人員在MEC站點值守，主要原因是MEC站點多、位置偏遠，安排大量值守人員會帶來高成本。運營商可采用遠程視頻監控、日志審計和定期遠程巡檢的方式來監控MEC站點是否處于可信狀態。當運營商升級MEC站點的軟件版本時，需要采用2.3章節描述的方法，對軟件版本進行完整性和可信度檢測。在升級過程中，該軟件版本受到MEC內基于TPM的可信計算流程控制，確保版本升級完成后，MEC的整系統是可信可控的。由于IT技術發展很快，新的漏洞會被發現，新的攻擊手段不斷出現，運營商需要采用迭代運維的機制，對MEC系統做周期性安全審計，持續加固MEC的安全性。

4? ?結束語

信息安全問題從信息技術產生的那天起就一直存在，安全解決方案也會伴隨著信息技術的演進而演進。MEC作為當今5G網絡的關鍵技術，在工業互聯網中扮演著重要角色，同時MEC具有分布式部署在網絡邊緣的特征，MEC相比傳統數據中心有特殊的安全問題，必須綜合利用常規的安全技術和增強的可信計算技術來解決。可信計算技術能從源頭建立可信根，再一級一級地驗證MEC系統的可信度，從而大大增強MEC硬件、能力開放API Gateway、軟件版本完整性和可信度等級。而基于此方案的端到端、全流程的安全部署過程，能讓MEC應用的每個環節都有嚴密的安全管理和安全技術保障。隨著可信計算技術在MEC中的廣泛部署，將有力保障工業互聯網中大量行業應用的安全性，提升全社會的經濟安全和國家安全水平。

參考文獻：

[1]? ? 陸威，方琰崴，陳亞權. URLLC超低時延解決方案和? ? ? ? ? 關鍵技術[J]. 移動通信， 2020，44（2）： 8-14.

[2]? ? ?李立平，王衛斌，方琰崴. 面向業務體驗的5G核心網演?進分析及建設方案[C]//5G網絡創新研討會（2019）論文集. 廣州： 移動通信， 2019： 294-301.

[3]? ? ?方琰崴，陳亞權. 基于虛擬化的電信云網絡安全解決方?案[J]. 移動通信， 2018，42（12）： 1-7.

[4]? ?何明，沈軍，吳國威，等. MEC安全探討[J]. 移動通信， 2019，43（10）： 2-6.

[5]? ? ETSI. ETSI GS NFV-INF 001： Network Functions Virtualisation; Infrastructure Overview[S]. 2015.

[6]? ? ?ETSI. ETSI GS NFV 001： Network Functions Virtualisa-tion （NFV）; Use Cases[S]. 2013.

[7]? ? ETSI. ETSI GS NFV 002： Network Functions Virtua-lisation （NFV）; Architectural Framework[S]. 2013.

[8]? ? ? 王全，方琰崴. 5G電信云網絡安全解決方案[J]. 郵電設計技術， 2018（11）： 57-62.

[9]? ?方琰崴. 5G核心網安全解決方案[J]. 移動通信， 2019，43（10）： 19-25.

[10]? ?閆新成，毛玉欣，趙紅勛. 5G典型應用場景安全需求及安全防護對策[J]. 中興通訊技術， 2019，25（4）： 6-13.

[11]? 王振宇. 可信計算與網絡安全[J]. 保密科學技術， 2019（3）： 63-66.

[12]? ?Trusted Computing Group. TCG[EB/OL]. （2013-11-26）[2020-02-20]. http：//www.trustedcomputinggroup.org/.

[13]? ? 何欣楓，田俊峰，劉凡鳴. 可信云平臺技術綜述[J]. 通信學報， 2019，40（2）： 154-163.

[14]? ? 張巖，張艷菲，張曼君. 電信云安全分析與思考[J]. 郵電設計技術， 2019（4）： 63-66.

[15]? ?ETSI. ETSI GS MEC 011： Mobile Edge Computing （MEC）; Mobile Edge Platform Application Enablement[S]. 2017.

[16]? ?ETSI. ETSI GS MEC 003： Multi-access Edge Computing （MEC）; Framework and Reference Architecture[S]. 2019.

[17]? ? 王全. 云原生Cloud Native核心網方案及關鍵技術[J]. 中國新通信， 2018（9）： 61-62.

[18]? ?呂華章，陳丹，王友祥. 運營商邊緣云平臺建設和典型案例分析[J]. 電信科學， 2019（3）： 7-17.

[19]? ?方琰崴. 面向云化的電信運營轉型方案、關鍵技術和發展策略[J]. 信息通信技術， 2018（2）： 58-65.★

作者簡介

陸威（orcid.org/0000-0001-7659-7331）：

碩士畢業于南京大學計算機專業，現任中興通訊股份有限公司電信云與核心網產品線產品規劃總工、產品市場總監，專業方向為5G核心網和邊緣計算，獲得專利四項。

王全（orcid.org/0000-0002-5487-4067）：學士畢業于南京大學電子學與信息系統專業，現任中興通訊股份有限公司電信云核心網產品線副總經理，從事電信云核心網、NFV、SDN、MEC等產品規劃工作，負責的相關產品及解決方案在5G論壇、SDN/NFV全球大會、世界邊緣計算論壇、中國通信學會榮獲多項大獎，獲多項國家發明和實用新型專利，在核心期刊發表論文10余篇。