5G邊緣計算安全關鍵問題及標準研究

楊紅梅 王亞楠

(中國信息通信研究院安全研究所 北京 100191)

(yanghongmei@caict.ac.cn)

當前，以5G為核心的新一代信息通信技術發展日新月異，全球信息基礎設施規模建設不斷加速，引領社會生產新變革，創造人類生活新空間，不斷促進全球數字經濟社會的繁榮進步與快速發展[1].

5G應用正在向各行業領域融合滲透，逐步開啟萬物互聯的新局面.為了適應5G應用的多樣化差異化需求，5G網絡引入了多接入邊緣計算(multi-access edge computing, MEC)、網絡切片、網絡功能虛擬化等新技術[2].其中，MEC指的是，在網絡邊緣及靠近用戶的位置上提供IT服務、環境和云計算的能力[3].基于MEC技術，可支持用戶就近接入業務服務器，使用本地視頻、位置定位等低時延高帶寬業務，獲得超低時延超高可靠超大流量的極致體驗.不過，MEC技術在帶來便利的同時也面臨著新的安全風險和挑戰，需要有效防范、控制和化解安全風險.

1 5G邊緣計算系統邏輯架構

5G邊緣計算系統包含5G網絡和邊緣計算平臺系統.5G核心網通過控制面與用戶面分離，用戶面功能(UPF)可以靈活地下沉部署到網絡邊緣，而策略控制功能(PCF)以及會話管理功能(SMF)等控制面功能可以集中部署；5G網絡中的MEC部署與會話管理、用戶面路徑優化、網絡能力開放等功能密切相關.

5G邊緣計算系統邏輯架構如圖1所示[4].圖1中，5G的UPF實現邊緣計算的數據面功能， MEP(邊緣計算平臺)為邊緣應用提供運行環境并實現對邊緣應用的管理.根據具體的應用場景，UPF和邊緣計算平臺可以分開部署，也可以一體化部署.

圖1 5G MEC系統邏輯架構示意圖

2 5G邊緣計算安全

2.1 安全目標[5]

5G邊緣計算安全目標是遵照三同步原則，從規劃、建設、運營全方位滿足5G網絡和業務安全需求，有效應對當前攻防態勢.

5G邊緣計算的安全防護策略應能根據運營以及攻擊行為的變化，集中管理、可編排、可擴展；可以按需、靈活動態地為邊緣計算應用提供安全服務.一方面保護5G核心網和無線網絡的安全，并為應用提供安全的部署環境；另一方面，利用5G網絡的安全優勢，為應用提供安全審核、鏡像保護、惡意流量檢測等安全服務，從而保障應用的安全.

2.2 安全架構

5G邊緣計算安全體系包括基礎設施安全、網絡安全、數據安全、終端安全、MEC平臺安全、MEC應用安全以及管理安全.MEC安全邏輯架構如圖2所示.

圖2 MEC安全邏輯架構示意圖

2.3 5G邊緣計算安全關鍵問題

2.3.1 MEC基礎設施安全

MEC基礎設施是指為上層MEC能力、應用的運行提供計算、存儲、網絡等資源的底層基礎設施，包括計算服務器、存儲服務器、硬件加速卡等設備和硬件實體，以及NFVI(網絡功能虛擬化基礎設施)等虛擬化基礎設施.基礎設施安全面臨的問題主要包括物理環境安全和設備安全等.

2.3.2 核心網安全

核心網安全主要包括信令面安全、用戶面安全以及能力開放安全3方面.

信令面安全方面的關鍵問題：1)信令竊取和篡改問題.如果核心網信令被竊取或篡改，對UE會造成拒絕服務攻擊，對核心網會造成信令過載或非法訪問的威脅.2)跨UPF切換過程中，MEP和UPF的選擇聯動問題.如果本地域名服務器與SMF之間沒有安全保護，則可能會導致用戶無法獲取合適的邊緣計算服務.3)未授權使用服務問題.UE移動過程中，未經授權的UE可能可以使用目標邊緣數據網絡提供的服務.

用戶面安全方面的關鍵問題包括：用戶標識泄露問題、邊緣用戶面網元的物理接觸攻擊問題、邊緣用戶網元惡意計費問題、邊緣UPF DoS(拒絕服務)攻擊問題、邊緣合法監聽問題、移動場景下邊緣數據面安全問題等.

能力開放安全方面的關鍵問題是在沒有身份驗證和保護的情況下，攻擊者可能會竊聽、操縱或重放新接口上的通信.

2.3.3 MEC組網安全

在邊緣計算系統中除了要部署UPF和MEP之外，還要考慮在MEP上部署第三方應用，所以MEC組網安全除了依然存在傳統的組網安全問題之外，還可能會由于邊緣計算節點(UPF和MEP等)的部署模式，導致5G網絡的暴露面增大.因此，MEC組網安全的關鍵問題包括三平面隔離(業務、存儲、管理三平面物理/邏輯隔離)、區域間安全隔離、互聯網安全訪問、UPF流量隔離等.

2.3.4 MEC通信安全

MEC通信包括MEC內通信及MEC間通信2部分，MEC內通信主要包含應用與MEP之間以及核心網元之間的通信，分為服務訪問和數據轉發兩大類.如果MEC內的服務訪問未進行認證和授權，則存在服務被非法訪問的威脅；如果MEC內的業務數據轉發未進行安全保護，則存在用戶業務數據被攻擊者獲取，進而泄露用戶隱私的風險.另外，考慮用戶業務連續性等因素，MEC之間也需要進行通信來保障用戶在移動過程中的平滑切換.MEC之間的數據轉發如果未進行安全保護，則會導致數據被攻擊者竊取或篡改；MEC之間的信令流程如果未進行認證和授權則會導致邊緣平臺資源被濫用，影響合法用戶業務.因此，MEC通信安全關鍵問題主要包括：MEC內的服務訪問控制問題以及業務數據轉發安全保護問題、MEC之間數據轉發安全保護問題以及信令流程的認證和授權問題.

2.3.5 數據安全

MEC平臺存儲有用戶信息、無線網和核心網的網絡信息等多類敏感或隱私數據，需重點考慮數據遷移、共享、存儲、銷毀等方面潛在的數據損毀及泄露的安全風險，另外，如果在用戶不知情的情況下其隱私信息被發送到邊緣數據網絡中的邊緣應用服務器，則帶來用戶隱私泄露風險.

因此，數據安全的關鍵問題包括：存儲的大量數據的傳輸安全問題、重要數據的安全備份和恢復問題、用戶許可授權問題、用戶數據中的隱私保護問題等.

2.3.6 終端安全

邊緣網絡的接入端點多，如果邊緣終端防護措施及防護能力不足，攻擊者可利用海量接入終端發起超大流量的DDoS攻擊，一旦被攻擊容易形成僵尸網絡，成為攻擊源，進而引發對用戶應用和后臺系統等的網絡攻擊，帶來網絡中斷、系統癱瘓等安全風險；攻擊者也可利用終端系統漏洞或者應用程序病毒竊取敏感數據.因此，終端安全面臨的關鍵問題主要包括終端自身組件和應用的安全、數據安全以及接入網絡的安全.

2.3.7 MEC平臺安全

MEC平臺提供了移動邊緣應用部署和運行涉及的環境和服務，包括邊緣應用的注冊、發現等，并為其提供邊緣服務的環境，邊緣服務的環境通常以VNF(虛擬網絡功能)或者以容器的方式進行部署.當用戶需要邊緣計算服務時要向MEC平臺進行注冊，MEC平臺對其進行認證和授權.在邊緣應用和用戶向邊緣計算平臺注冊的過程中需要保證相關注冊信息不被篡改.

MEC平臺面臨的關鍵安全問題是：對MEP部署的虛擬化基礎設施安全加固問題、MEP的服務訪問接口認證和授權問題、MEP與MEC應用之間的數據傳輸安全保護問題以及MEP的用戶數據保護問題.

2.3.8 MEC應用安全[6]

MEC應用可以從MEC平臺獲取信息，并通過MEC平臺向外提供服務：一方面， MEC應用可能會通過MEC平臺提供非法服務，或者惡意消耗MEC平臺資源；另一方面，MEC應用可能會受到攻擊，導致數據泄露或者生命周期管理被破壞.

MEC應用安全的關鍵問題有：MEC應用的生命周期管理問題、MEC應用之間的安全隔離問題、MEC應用對MEC系統的訪問權限及資源占有和消耗的控制問題、MEC應用的漏洞掃描及加固問題等.

2.3.9 管理安全

MEC管理安全包括MEC編排和管理系統安全、接口訪問控制安全， API調用安全以及通信內容的安全保護等.

MEC的編排管理架構包括MEO (MEC編排器)和MEPM(MEC平臺管理)，其中MEO主要負責：根據已部署的MEC主機、可用資源、可用的MEC服務和拓撲，維護MEC系統的總體視圖；根據時延、可用資源、可用服務等約束條件，選擇合適的MEC主機進行應用實例化，同時還對應用程序包的上線、應用的實例化觸發等進行管理.而MEPM則管理應用的生命周期、管理應用規則和需求等.若編排管理實體被攻擊者控制或攻破，則會帶來邊緣系統的資源濫用、業務中斷、數據泄露、非法訪問等一系列安全風險.另外，如果編排管理實體與被管理實體間的接口被攻擊者篡改或竊取，也會帶來非授權訪問以及數據泄露等安全風險.

MEC編排和管理系統安全的關鍵問題包括：編排管理實體的安全加固問題，登錄認證授權問題；編排管理實體與被管理實體間的認證授權問題.

2.4 關鍵問題解決方案

2.4.1 MEC設備與環境安全保護

MEC服務器應提供設備可信驗證能力.設備可信主要包括硬件安全、系統可信保障和設備接口保護3個方面.其中，硬件安全包括硬件接口的安全防護、防近端攻擊以及獨立硬件安全模塊等；系統可信保障包括基于硬件信任根的系統或軟件的靜態可信驗證、應用程序執行環境的動態可信驗證以及關鍵文件的機密性和完整性保護；設備接口保護包括以最小權限原則設置訪問控制策略和規則、增強接口協議健壯性保護等.

環境安全保護主要包括邊緣計算系統機房出入口配置電子門禁系統，控制、鑒別和記錄進入的人員；機柜部署電子防拆封功能，并記錄、審計打開、關閉機柜的行為等.另外，邊緣計算設備應是可信設備，應防止非法設備接入系統.

部署于機房環境的MEC平臺在機房位置、電力供應、防火、防水、防靜電、溫濕度控制等方面應能滿足等級保護相關要求.

2.4.2 組網安全[5]

組網安全解決方案主要包括：1)三平面隔離、服務器和交換機等，應支持業務、存儲和管理三平面物理或邏輯隔離；2)根據業務需求進行安全隔離.行業應用側的應用應與運營商MEC應用、MEP、UPF進行安全隔離，應用側的應用之間、運營商自有應用之間也應進行安全隔離；3)保障互聯網安全訪問，根據業務訪問需求設置DMZ(隔離區)，并在邊界部署抗DDoS攻擊、入侵檢測、訪問控制、Web流量檢測等安全能力，實現邊界安全防護；4)UPF流量隔離.UPF應支持設置白名單，并在接口配備防火墻進行安全控制.

2.4.3 核心網安全及通信安全

信令面安全解決方案包括：服務化接口應能保護認證授權和傳輸安全；對AF(應用功能)進行認證和授權；邊緣UPF和核心網之間建立安全通道；本地DNS服務器和核心網之間建立安全通道.

用戶面安全解決方案包括：核心網配置用戶外部標識和核心網標識之間的映射關系，在與外部AF交互時使用外部身份標識進行通信，保護用戶隱私；UPF應部署在運營商可控、具有基本物理安全環境保障的機房，UPF網元或者虛擬化UPF所在的基礎設施應具備物理安全保護機制；對接入到MEC的設備進行生命周期管理；保障計費信息的傳輸和存儲安全；UPF入口部署防火墻，實現流量過濾和控制，也可在UPF進行流量過濾，丟棄非法流量，防止過載；監聽規則與監聽數據在傳輸和存儲時均進行機密性和完整性保護，防止泄露和篡改.

能力開放安全解決方案包括UPF和本地NEF之間建立安全通道以及AF對UPF上報數據進行校驗等.

另外，在通信安全方面，MEC內或MEC間的數據傳輸應部署安全通道；服務訪問應進行認證授權.

2.4.4 數據安全

加強對數據存儲、遷移和傳輸、共享、銷毀過程中的數據安全保護，采用加密傳輸與存儲、完整性校驗、身份認證、授權共享、分級分類、脫敏備份、徹底銷毀等手段，確保敏感及隱私數據的完整性、機密性、可用性.

2.4.5 終端安全

對終端接入進行認證，如4G的AKA(鑒權密鑰協商)、5G的AKA以及EPS(演進分組系統)-AKA’等，實現終端和運營商核心網之間的雙向身份認證，并可基于認證的參數計算空口信令/數據的加密和完整性保護的密鑰.持續進行終端異常流量監測、定期對終端進行病毒查殺、定期對終端安裝程序進行審核等.

2.4.6 MEC平臺安全與應用安全

在MEC平臺與外部網元之間的接口啟用安全隧道，對其傳輸的數據進行加密和完整性保護；MEC平臺對來自邊緣MEC應用的訪問開啟認證和授權；MEC平臺本身通過漏洞及端口掃描關閉不必要的端口和服務；MEC平臺部署的虛擬化基礎設施安全加固.

當MEC應用以虛擬機或容器部署時，相應的虛擬化基礎設施應支持MEC應用使用的虛擬CPU、虛擬內存以及I/O等資源與其他虛擬機或容器使用的資源進行隔離，對MEC應用鏡像和鏡像倉庫進行完整性、機密性、訪問控制保護等，同時，保障MEC生命周期安全，包括MEC應用軟件包數字簽名并通過安全的加密通道傳輸，MEC應用鏡像及快照加密存儲，鏡像包在注冊、加載、更新時進行完整性校驗等.

2.4.7 管理安全

OAM(操作管理維護)、OSS(網管系統)、MEO(MEC編排器)、MEPM(MEC平臺管理)之間的接口，除做好嚴格的訪問控制外，還可部署API(應用程序接口)網關對API的調用進行安全管控.邊緣計算系統的管理維護接口應支持對接入者的身份認證，并在身份認證成功后，使用安全的傳輸協議保護通信內容的機密性和完整性.

3 5G邊緣計算安全相關標準

針對以上5G邊緣計算安全關鍵問題，國際國內標準組織均已開展研究，并輸出了相關標準和研究報告.其中，相關國際標準主要在3GPP(第3代合作伙伴計劃)和ETSI(歐洲電信標準協會)研究制定[7]，包括：

3GPPTR 23.748 《5GC中支持邊緣計算的增強技術研究》[8]；

3GPPTR 33.839 《5GC中邊緣計算安全增強技術研究》；

3GPP TS 33.501《5G安全流程及架構》[9]；

ETSI GS MEC 003《移動邊緣計算(MEC);框架及參考架構》[10]；

ETSI GR MEC 017《移動邊緣計算(MEC);NFV環境中移動邊緣計算的部署》[11]；

ETSI白皮書 No. 28 《5G網絡中的MEC》[12].

國內標準及研究課題主要在中國通信標準化協會(CCSA)研究制定，具體如下：

《5G核心網邊緣計算總體技術要求》；

《5G核心網邊緣計算平臺技術要求》；

《5G核心網邊緣計算平臺測試方法》；

《5G邊緣計算能力開放技術要求》；

《支持云游戲的5G移動邊緣計算技術要求》；

《面向多接入邊緣計算的5G核心網增強技術研究》；

《5G 移動邊緣計算安全技術研究》；

《5G 移動邊緣計算安全技術要求》；

《5G 多接入邊緣計算平臺通用安全防護要求》《5G 多接入邊緣計算平臺通用安全防護檢測要求》.

4 結束語

隨著 5G 商用進程的快速推進，5G 發展已進入應用落地階段，5G 邊緣計算技術為滿足不同行業應用差異化業務需求提供了便利，但同時也面臨著新的安全問題，目前， 5G邊緣計算安全問題也越來越受到重視.建議后續MEC安全工作重點方向為，針對5G MEC安全關鍵問題，加強關鍵技術研究，加快推進標準化進展，挖掘解決方案與應用實踐，培育產業生態，促進創新發展，為百花齊放的5G應用發展保駕護航.