5GMEC關(guān)鍵技術(shù)及安全隔離措施研究

□ 文 黃 嘉 聶煒玲 王麗秋 李艷俊

1. 概述

MEC（Multi-access Edge Computing）概念出現(xiàn)于2013年，初期被稱為移動邊緣計(jì)算（Mobile Edge Computing），即將云計(jì)算平臺從移動核心網(wǎng)絡(luò)內(nèi)部遷移到移動接入網(wǎng)邊緣。ETSI定義的MEC是在靠近移動用戶的RAN網(wǎng)絡(luò)中為用戶提供基于IT架構(gòu)和云計(jì)算的能力的平臺。2016年后，MEC定義正式擴(kuò)展為多接入邊緣計(jì)算，將應(yīng)用場景從移動網(wǎng)絡(luò)進(jìn)一步延伸至其他網(wǎng)絡(luò)MEC（Multi-access Edge Computing）。

MEC是將應(yīng)用、內(nèi)容和核心網(wǎng)部分業(yè)務(wù)處理的功能一同部署到網(wǎng)絡(luò)邊緣，通過業(yè)務(wù)靠近用戶，以內(nèi)容、應(yīng)用和網(wǎng)絡(luò)的協(xié)同來提供極致、可靠的業(yè)務(wù)體驗(yàn)。

MEC可以看作是一個運(yùn)行在網(wǎng)絡(luò)邊緣的云服務(wù)器，是一個部署位置靈活的業(yè)務(wù)容器，可以部署在地市、縣級、單基站、C-RAN、城域甚至用戶園區(qū)等位置，還可以作為第三方平臺，按需在邊緣位置靈活地部署不同類型的業(yè)務(wù)。邊緣計(jì)算可以重點(diǎn)解決一些中心化云計(jì)算所無法高效解決的問題：例如構(gòu)建在RAN側(cè)，通過邊緣技術(shù)使得網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)功能脫離核心網(wǎng)絡(luò)，實(shí)現(xiàn)節(jié)省成本、降低時(shí)延、優(yōu)化流量、增強(qiáng)物理安全和緩存效率等優(yōu)勢，從而使用戶得到更加極致的體驗(yàn)。

本文主要介紹MEC產(chǎn)生的背景、適用的場景、業(yè)務(wù)處理流程及部署方案等，便于運(yùn)營商理解MEC技術(shù)的要點(diǎn)及部署關(guān)鍵點(diǎn)。

2. MEC的網(wǎng)絡(luò)架構(gòu)及特點(diǎn)

3GPP 23501中定義，MEC對應(yīng)的網(wǎng)元為5G核心網(wǎng)架構(gòu)中的邊緣UPF。邊緣UPF基于與本地網(wǎng)絡(luò)之間的N6接口實(shí)現(xiàn)業(yè)務(wù)的本地卸載和分流；通過N9與核心網(wǎng)的其他UPF對接；通過N4接口和SMF實(shí)現(xiàn)聯(lián)動如圖1所示。

MEC技術(shù)功能與特點(diǎn)如下：

● 精準(zhǔn)計(jì)費(fèi)

MEC支持將本地分流的業(yè)務(wù)數(shù)據(jù)流的計(jì)費(fèi)信息上報(bào)，從而實(shí)現(xiàn)基于流量類型和業(yè)務(wù)類型的精準(zhǔn)計(jì)費(fèi)，可無縫銜接和繼承運(yùn)營商已經(jīng)部署的計(jì)費(fèi)方式。

● 減少流量迂回、降低時(shí)延

下沉部署的MEC可以將本地業(yè)務(wù)的數(shù)據(jù)直接分流到本地部署的服務(wù)器，避免了流量到中心核心網(wǎng)的迂回，減少了業(yè)務(wù)傳輸時(shí)延，是挑戰(zhàn)超低時(shí)延的必要手段。MEC部署在靠近基站或企業(yè)園區(qū)等邊緣位置，使得內(nèi)容源最大程度的靠近用戶，甚至可以使終端在本地直接訪問到內(nèi)容源，從數(shù)據(jù)傳送路徑上降低了業(yè)務(wù)端到端響應(yīng)的時(shí)延。

比如在地市或者區(qū)縣部署的CDN服務(wù)器，當(dāng)機(jī)房中同時(shí)部署MEC時(shí)，訪問CDN服務(wù)器的用戶請求和響應(yīng)都不需要再迂回到省中心核心網(wǎng)，便可以直接從本地獲取數(shù)據(jù)，大大降低了業(yè)務(wù)訪問的時(shí)延。

比如AR/VR業(yè)務(wù)要求端到端時(shí)延需小于20ms以消除用戶的不適感；自動駕駛等時(shí)延敏感業(yè)務(wù)要求1ms端到端時(shí)延來支撐業(yè)務(wù)發(fā)展。MEC通過將網(wǎng)絡(luò)功能部署在最靠近用戶的邊緣位置，使用戶感受到極致的體驗(yàn)。

研究表明，未來有近70%的Internet內(nèi)容可以在靠近用戶的城域范圍內(nèi)終結(jié)?；谏鲜龅腗EC邊緣解決方案，可將這些內(nèi)容存儲在本地，MEC與用戶之間的傳輸距離縮短，流量在本地被卸載，大大節(jié)省了MEC到核心網(wǎng)和Internet的傳輸資源，進(jìn)而為運(yùn)營商節(jié)省近50%的網(wǎng)絡(luò)建設(shè)投資。

● 能力開放

ETSI定義的MEC，是一個具備無線網(wǎng)絡(luò)能力開放和運(yùn)營能力開放的平臺，MEC可通過公開API的方式，為運(yùn)行在平臺主機(jī)上的第三方應(yīng)用提供：業(yè)務(wù)控制、無線網(wǎng)絡(luò)信息、位置信息等多種服務(wù)。MEC提供能力的開放，可以集成第三方的各種應(yīng)用，解決運(yùn)營商急需的各種問題（如內(nèi)容下移），并且為運(yùn)營商打開垂直行業(yè)市場提供無限可能。

目前，越來越多的2B領(lǐng)域希望基于移動網(wǎng)絡(luò)實(shí)現(xiàn)行業(yè)定制服務(wù)。通過MEC提供開放的平臺，可以開啟電信行業(yè)和垂直行業(yè)的創(chuàng)新合作模式。

3. MEC關(guān)鍵技術(shù)

在5G SA核心網(wǎng)網(wǎng)絡(luò)架構(gòu)中，MEC解決方案對應(yīng)的網(wǎng)元實(shí)體是邊緣UPF。邊緣UPF將作為中心UPF的邊緣形態(tài)，實(shí)現(xiàn)流量卸載，并與SMF基于標(biāo)準(zhǔn)的N4接口對接，與其他UPF實(shí)現(xiàn)基于標(biāo)準(zhǔn)的N9接口對接。

MEC關(guān)鍵技術(shù)如下：

3.1 本地分流

對于邊緣的eMBB等業(yè)務(wù)，下沉部署的MEC可以將本地業(yè)務(wù)的數(shù)據(jù)直接分流到本地部署的MEP服務(wù)器，避免了流量在核心網(wǎng)的迂回，減少了業(yè)務(wù)傳輸時(shí)延，是挑戰(zhàn)零時(shí)延的必要手段。

MEC通過支持本地流量的分流（Local Breakout），作為遠(yuǎn)端節(jié)點(diǎn)下移到邊緣部署，滿足各種互聯(lián)網(wǎng)業(yè)務(wù)、CDN下移部署以及垂直行業(yè)本地分流的要求。比如在視頻監(jiān)控?cái)?shù)據(jù)上傳的某場景的視頻監(jiān)控器通過下移部署的MEC，監(jiān)控的數(shù)據(jù)可以直接上傳到本地服務(wù)器，而不需要上傳遠(yuǎn)端的互聯(lián)網(wǎng)，增強(qiáng)了監(jiān)控的實(shí)時(shí)性。

本地分流技術(shù)也可以應(yīng)用于校園、博物館、體育館等人口密集，本地業(yè)務(wù)訪問較為集中的場合，MEC本地分流技術(shù)的應(yīng)用和部署可以在此類業(yè)務(wù)中不斷復(fù)制。

3.2 能力開放

MEC與NEF配合可實(shí)現(xiàn)本地業(yè)務(wù)的能力開放，可應(yīng)用于文化場館、機(jī)場等場景的實(shí)時(shí)業(yè)務(wù)訂購和發(fā)放。例如，旅客在機(jī)場候機(jī)恰遇航班晚點(diǎn)，機(jī)場WIFI質(zhì)量無法滿足用戶需求，手機(jī)套餐流量費(fèi)用較高時(shí)，可通過向運(yùn)營商購買包時(shí)的本地免流量費(fèi)業(yè)務(wù)，在機(jī)場候機(jī)期間，免費(fèi)使用流量業(yè)務(wù)。

圖2 本地分流場景下的移動性管理示意圖

開放的能力由NEF提供。用戶向運(yùn)營商訂購實(shí)時(shí)的套餐，運(yùn)營商調(diào)用NEF開放的接口對單用戶開放本地業(yè)務(wù)。NEF基于與UPF之間的接口下發(fā)業(yè)務(wù)使能策略，MEC再傳遞用戶信息和業(yè)務(wù)策略。當(dāng)終端用戶發(fā)起對本地網(wǎng)絡(luò)的訪問時(shí)，MEC可以基于策略實(shí)時(shí)的控制對本地業(yè)務(wù)的使能。

3.3 移動性管理

當(dāng)部署了MEC的場景下進(jìn)行本地分流時(shí)，若用戶發(fā)生了跨NR的切換，如果兩個MEC對接同一個本地資源，則跨MEC切換時(shí)本地分流業(yè)務(wù)不會受到影響；若傳輸層的連接中斷，業(yè)務(wù)層面能夠斷點(diǎn)續(xù)傳（如視頻業(yè)務(wù)），則業(yè)務(wù)層面感知不到中斷如圖2所示。

用戶跨NR切換，對于部署了MEC進(jìn)行本地分流的場景，存在表1中描述的三種情況，對應(yīng)的影響分析如下：

表1 MEC本地分流場景對比分析表

表1針對的是MEC部署能夠影響的業(yè)務(wù)，對于VoLTE業(yè)務(wù)，由于采用了獨(dú)立APN是不受MEC部署影響的，業(yè)務(wù)連續(xù)性與MEC無關(guān)。

4. 邊緣計(jì)算安全管控措施

4.1 移動邊緣計(jì)算的安全威脅

對于移動運(yùn)營商的網(wǎng)絡(luò)，核心網(wǎng)機(jī)房處于相對封閉的環(huán)境，只受運(yùn)營商自行控制，安全性具有非常高等級的保證。而接入網(wǎng)相對更易被用戶接觸，處于相對不安全的環(huán)境。邊緣計(jì)算的本地業(yè)務(wù)卸載特性，使得數(shù)據(jù)在核心網(wǎng)之外終結(jié)，運(yùn)營商的控制力大大減弱，攻擊者可能通過MEP平臺或第三方應(yīng)用攻擊核心網(wǎng)，造成敏感數(shù)據(jù)泄露等威脅。所以，邊緣計(jì)算安全成為邊緣計(jì)算建設(shè)初期就必須要重點(diǎn)考慮的關(guān)鍵問題。

根據(jù)ETSI的MEC架構(gòu)，移動邊緣計(jì)算可能會受到的安全威脅重點(diǎn)應(yīng)考慮如下：

（1）基礎(chǔ)設(shè)施安全：與移動云計(jì)算基礎(chǔ)設(shè)施的安全威脅類似，攻擊者可通過近距離接觸硬件基礎(chǔ)設(shè)施，對其進(jìn)行物理攻擊；攻擊者可非法訪問服務(wù)器的I/O接口，獲得運(yùn)營商用戶的敏感信息；攻擊者可篡改鏡像，利用虛擬化軟件漏洞攻擊MEP平臺或者APP所在的虛擬機(jī)或容器，從而實(shí)現(xiàn)對MEP平臺或者APP的攻擊。

（2）MEP平臺安全：平臺存在病毒、木馬攻擊；MEP平臺和APP等通信時(shí)，傳輸數(shù)據(jù)被攔截、篡改；攻擊者可通過惡意APP對MEP平臺發(fā)起非授權(quán)訪問，導(dǎo)致用戶敏感數(shù)據(jù)泄露；當(dāng)MEC以虛擬化的VNF或者容器方式部署時(shí)，VNF及容器的安全威脅也會影響APP。

（3）APP安全：APP存在病毒、木馬攻擊；APP和MEP平臺等通信時(shí)，傳輸數(shù)據(jù)被攔截、篡改；惡意用戶或惡意APP可非法訪問用戶APP，導(dǎo)致敏感數(shù)據(jù)泄露等。另外，在APP的生命周期中，它可能隨時(shí)被非法創(chuàng)建、刪除等。

（4）MEC的MANO系統(tǒng)：MEC的編排和管理網(wǎng)元（如移動邊緣MANO）存在被木馬、病毒攻擊的可能性；MANO的相關(guān)接口上傳輸?shù)臄?shù)據(jù)被攔截和篡改等；攻擊者可通過大量惡意終端上的APP，不斷地向用戶APP生命周期管理節(jié)點(diǎn)發(fā)送請求，實(shí)現(xiàn)MEP上的屬于該用戶終端的APP的加載和終止，對MEC編排網(wǎng)元造成攻擊。

（5）數(shù)據(jù)面網(wǎng)關(guān)安全：存在的木馬、病毒攻擊；攻擊者近距離接觸數(shù)據(jù)網(wǎng)關(guān)，獲取敏感數(shù)據(jù)或篡改數(shù)據(jù)網(wǎng)管配置，進(jìn)一步攻擊核心網(wǎng)；U面網(wǎng)關(guān)與MEP平臺之間傳輸?shù)臄?shù)據(jù)被篡改、攔截等。

4.2 安全隔離措施

移動邊緣計(jì)算中的數(shù)據(jù)安全和隱私保護(hù)，主要面臨以下四個方面的挑戰(zhàn)：

（1）由于移動邊緣計(jì)算是一種融合了以授權(quán)實(shí)體為中心的多信任域共存的計(jì)算模式，使傳統(tǒng)的數(shù)據(jù)共享和加密策略不再適用于移動邊緣計(jì)算中基于多授權(quán)方的數(shù)據(jù)加密與細(xì)顆粒度數(shù)據(jù)共享需求。因此，設(shè)計(jì)面向多授權(quán)中心的數(shù)據(jù)加密方法便尤為重要。

（2）分布式計(jì)算環(huán)境下的多源數(shù)據(jù)傳播控制和安全性管理的問題。在邊緣大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)邊緣節(jié)點(diǎn)中的信息產(chǎn)生量呈現(xiàn)井噴式增長。運(yùn)營商希望能夠采用高效的信息傳播管控和訪問控制方法來實(shí)現(xiàn)數(shù)據(jù)的搜索、分發(fā)、獲取以及控制海量數(shù)據(jù)的授權(quán)范圍。

（3）移動邊緣計(jì)算的大規(guī)模互聯(lián)應(yīng)用與資源受限終端之間的安全隱患。由于移動邊緣計(jì)算的多源數(shù)據(jù)融合性、通信和互聯(lián)網(wǎng)絡(luò)的疊加性以及邊緣終端的計(jì)算、存儲等方面的資源限制，使傳統(tǒng)的身份認(rèn)證協(xié)議、訪問控制措施、加密算法和隱私保護(hù)策略在移動邊緣計(jì)算中無法適用。

綜上所述，面向SBA以及邊緣計(jì)算對高效隱私保護(hù)有新要求。網(wǎng)絡(luò)邊緣計(jì)算設(shè)備產(chǎn)生的數(shù)據(jù)均涉及用戶隱私，使安全問題顯得尤為突出。除了需要設(shè)計(jì)有效的隱私保護(hù)方案外，如何將傳統(tǒng)的個人隱私保護(hù)措施與邊緣計(jì)算環(huán)境中的數(shù)據(jù)處理特性相結(jié)合顯得尤為重要。

部署MEC并不影響運(yùn)營商的網(wǎng)絡(luò)安全，本地業(yè)務(wù)可在MEC與本地服務(wù)器之間通過部署防火墻的方式進(jìn)行網(wǎng)絡(luò)的隔離。對于在eNodeB/NR與S/PGW/UPF之間已經(jīng)部署了IPSEC的網(wǎng)絡(luò)，MEC支持維護(hù)IPSEC隧道，以保證數(shù)據(jù)傳輸?shù)陌踩?。具體如下圖3所示：

5. 小結(jié)

MEC是融合了IT和CT技術(shù)，基于面向未來5G架構(gòu)的ICT融合基礎(chǔ)設(shè)施。MEC支持本地網(wǎng)關(guān)和分流處理能力，支持SA能力，支持本地業(yè)務(wù)的計(jì)費(fèi)與合法監(jiān)聽協(xié)同處理。同時(shí)還提供虛擬化的計(jì)算和存儲資源，供第三方應(yīng)用軟件使用。除滿足通用計(jì)算、存儲、標(biāo)準(zhǔn)化之外，同時(shí)專注移動通信管道需要的大接入、大帶寬、低時(shí)延、高可靠能力；并提供豐富的硬件接口能力，滿足移動通信（接入、匯聚企業(yè)園區(qū)的機(jī)房）環(huán)境靈活部署要求，靈活構(gòu)建電信級云基礎(chǔ)設(shè)施。本文重點(diǎn)針對MEC的網(wǎng)絡(luò)架構(gòu)及特點(diǎn)、關(guān)鍵技術(shù)、和面臨的安全性問題及解決手段等要點(diǎn)進(jìn)行分析闡述，為運(yùn)營商建設(shè)5G核心網(wǎng)，大力發(fā)展邊緣計(jì)算業(yè)務(wù)提供參考?！?/p>

圖3 邊緣計(jì)算安全隔離示意圖