面向5G網(wǎng)絡邊緣計算的安全技術(shù)方案與研究*

朱京毅

（中國移動通信集團上海有限公司，上海 200060）

0 引 言

網(wǎng)絡安全已成為事關(guān)國家政治、經(jīng)濟、社會及國防等安全的重要組成部分，受到方方面面的政策環(huán)境影響。以習近平總書記網(wǎng)絡安全系列講話精神為指引，從國際和國內(nèi)安全形勢分析入手，總結(jié)當前電信行業(yè)面臨的安全挑戰(zhàn)和機遇，并結(jié)合中美貿(mào)易摩擦的大背景，全面關(guān)注我國網(wǎng)絡安全的整體形勢。其中，5G發(fā)展已被提升至國家安全戰(zhàn)略層面，各國紛紛將5G安全定位為發(fā)展的重點。

中國在5G技術(shù)發(fā)展和市場競爭中日益占據(jù)先發(fā)優(yōu)勢和主導地位，引發(fā)了部分歐美等國際社會對未來網(wǎng)絡空間安全的特別關(guān)注。來自中國企業(yè)的5G國際標準占3GPP全部國際標準提案的四成，同時在5G基礎(chǔ)網(wǎng)絡設(shè)施部署和核心設(shè)備供應方面占據(jù)領(lǐng)先地位[1]。

2019年，工信部向四家單位頒發(fā)了5G商用牌照，標志著正式進入5G商用元年。楊杰董事長在提出中國移動將在未來一段時間內(nèi)加快5G+4G網(wǎng)絡建設(shè)與精品網(wǎng)打造進度，堅持網(wǎng)絡建設(shè)與能力打造同步，以5G與垂直行業(yè)融合為核心，推進5G+4G協(xié)同發(fā)展、5G+AICDE融合創(chuàng)新、5G+Ecology生態(tài)共建，實現(xiàn)5G+X應用延展，使5G真正成為社會信息流動的主動脈、產(chǎn)業(yè)轉(zhuǎn)型升級的加速器、數(shù)字社會建設(shè)的新基石，同時強調(diào)做好5G網(wǎng)絡安全保障，強化網(wǎng)絡安全核心技術(shù)研發(fā)和風險評估，防范各類網(wǎng)絡安全風險，守護網(wǎng)絡空間設(shè)施安全的必要性。綜上，5G網(wǎng)絡安全已經(jīng)成為多方關(guān)注的焦點。

1 現(xiàn)狀分析

2019年上海移動在集團公司安排下持續(xù)擴展5G規(guī)模試驗區(qū)域，計劃在主城區(qū)、郊區(qū)業(yè)務熱點區(qū)域、垂直行業(yè)應用區(qū)域進行連續(xù)覆蓋，推動友好用戶測試，加速端到端產(chǎn)業(yè)成熟，面向競對形成規(guī)模優(yōu)勢，全面具備2020年試商用能力。2月15日，上海公司召開了2019年“雙千兆”專項工作啟動會，會議就“雙千兆”專項工作進行了全面部署。計劃年內(nèi)完成全網(wǎng)基礎(chǔ)資源配套改造，實現(xiàn)5G網(wǎng)絡外環(huán)內(nèi)、郊區(qū)城鎮(zhèn)中心、垂直行業(yè)應用區(qū)域連續(xù)覆蓋，5G站點規(guī)模達到5 000個，面向競對形成規(guī)模優(yōu)勢，具備2020年試商用能力。

以5G白皮書為指導意見，深化垂直行業(yè)技術(shù)場景融合，從交通、醫(yī)療、工業(yè)互聯(lián)網(wǎng)及高清視頻回傳等領(lǐng)域全面打造5G大帶寬、低時延的端到端業(yè)務試點項目。目前，中國移動通信集團上海有限公司已完成13個智慧社區(qū)NB項目建設(shè)。例如，與上海市第十人民醫(yī)院簽署聯(lián)合戰(zhàn)略協(xié)議，全面部署5G智慧醫(yī)院；與同濟大學共同開發(fā)5G無人駕駛項目，并于同濟大學嘉定校區(qū)內(nèi)部署MEC，研發(fā)高速低時延無人車；與振華重工簽訂聯(lián)合戰(zhàn)略協(xié)議，于洋山深水港打造5G無人碼頭試點項目，通過部署MEC實現(xiàn)操作人員遠程控制輪胎場橋吊功能。

可見，無論是自主網(wǎng)絡建設(shè)情況，抑或業(yè)務發(fā)展驅(qū)策角度，如何在充分體現(xiàn)5G網(wǎng)絡能力的同時有效保障網(wǎng)絡安全，已成為多方關(guān)注與探討的重點。

2 研究目標

5G網(wǎng)絡即移動通信網(wǎng)絡發(fā)展中的第五代網(wǎng)絡。與之前的4G網(wǎng)絡相比，5G網(wǎng)絡的時延將低于1 ms，網(wǎng)絡帶寬將達到10 Mb/s，同時接入用戶數(shù)為100萬。從技術(shù)角度而言，5G網(wǎng)絡是在4G網(wǎng)絡提出將信令面數(shù)據(jù)與用戶面數(shù)據(jù)分離的基礎(chǔ)上，進一步下沉用戶面數(shù)據(jù)，以達到用戶之間通信無需再經(jīng)過所有核心網(wǎng)元層層轉(zhuǎn)發(fā)，而是由離用戶最近的邊緣計算中心進行路由轉(zhuǎn)發(fā)，大大降低了訪問時延。

邊緣計算路由器（Mobile Edge Computing，MEC）作為邊緣計算中心的核心網(wǎng)絡設(shè)備，承載了高速率高時延的實現(xiàn)能力，同時具備獨特的地理位置——即可以屬于核心網(wǎng)絡歸屬于運營商統(tǒng)一組建，又可以由用戶根據(jù)自身需求進行建設(shè)，使其既可以屬于安全域又可以屬于非安全域。因此，針對MEC的網(wǎng)絡安全能力防護措施的研究已經(jīng)成為未來5G網(wǎng)絡整體安全能力的核心。

如圖1所示，邊緣DC位于無線與核心網(wǎng)之間，主要對接設(shè)備包括無線基站、用戶終端、核心網(wǎng)和互聯(lián)網(wǎng)。這四者都可以向其發(fā)動網(wǎng)絡攻擊，從而造成安全隱患。此外，就單邊緣DC內(nèi)部而言，從下往上為API接入、MEC平臺和SaaS應用，這三者間也存在安全隱患，存在進行相互攻擊的可能性。

圖1 5G網(wǎng)絡架構(gòu)

3 對策思路

針對于MEC如何進行安全防護，細分之后主要分為MEC外部和MEC內(nèi)部兩部分，部署關(guān)系如圖2所示。

外部威脅：

（1）無線側(cè)CU/DU部署對MEC安全影響挑戰(zhàn)；

（2）可信域與非可信域之間傳輸不可靠，有數(shù)據(jù)被非法竊取的安全挑戰(zhàn)；

（3）部分邊緣DC機房硬體環(huán)境不可靠，有供電安全、防盜及防止物理侵入等安全挑戰(zhàn)。

圖2 MEC部署關(guān)系

內(nèi)部威脅：

（1）邊緣DC內(nèi)RAN、CU、UPF、第三方應用共享NFVI資源，有資源非法訪問、Cloud OS入侵等I層安全挑戰(zhàn)；

（2）第三方應用部署于網(wǎng)內(nèi)不可靠，有漏洞被利用、病毒/木馬注入及越權(quán)訪問等安全挑戰(zhàn)[2]。

通過對五大細分MEC安全場景的研究逐一進行分析，提出相應的技術(shù)解決方案。

3.1 無線側(cè)部署模式的安全影響

3.1.1 CU+DU合一部署

無線側(cè)與邊緣DC和中心DC之間均是3GPP定義的標準接口，均可通過起IPSec協(xié)議的方式進行保護。

如圖3所示，CU+DU合一部署，控制面和用戶面與邊緣DC和中心DC的接口一致，均為3GPP定義的標準接口。與邊緣DC和中心DC的鏈路保護方案一致，均受IPSec隧道保護。5G MEC部署至邊緣DC時，未改變RAN和核心網(wǎng)之間的安全模式，故直接使用IPSec隧道即可完成基本防護。

圖3 CU+DU合一部署結(jié)構(gòu)

3.1.2 CU/DU分離部署

無線側(cè)與核心網(wǎng)之間接口未變，仍需IPSec保護，核心網(wǎng)不感知無線部署模式，如圖4所示。與CU+DU合一部署的場景情況下的安全防護措施基本保持一致。

圖4 CU/DU分離部署結(jié)構(gòu)

此外，由于CU/DU分離的情況下，CU可能進行集中云化管理。此狀態(tài)下如果與MEC節(jié)點共享I層，會帶來多種安全風險，如不同VNF之間搶占資源，通過Cloud OS入侵等實現(xiàn)跨VM訪問，單VNF問題引起整體DC的業(yè)務風險等非法訪問、漏洞傳染的問題。因此，在部署邊緣DC時需考慮劃分不同的VDC，以實現(xiàn)硬件隔離。同時，RAN與MEC之間的接口啟用獨立防火墻，實現(xiàn)接口業(yè)務檢查。

3.2 可信域與非可信域之間的安全影響

眾所周知，3GPP規(guī)范對于接口數(shù)據(jù)并未有嚴格的安全要求。一般用戶面數(shù)據(jù)皆為不加密的形式，故當前的4G網(wǎng)絡在組網(wǎng)時對無線網(wǎng)與核心網(wǎng)之間的數(shù)據(jù)交互使用IPSec隧道方式進行安全防護。5G網(wǎng)絡采用分布式組網(wǎng)的方式，可沿用4G網(wǎng)絡的網(wǎng)絡保護機制，各網(wǎng)元之間均應采用IPSec隧道方式進行數(shù)據(jù)安全保護[3]，如圖5所示。

圖5 可信域與非可信域之間部署結(jié)構(gòu)

3.3 部分邊緣DC機房硬體環(huán)境的安全影響

如果條件具備，邊緣MEC所在機房需具備如下安防能力，以確保未來高價值5G業(yè)務得到安全可靠的環(huán)境保障。

物聯(lián)安防：選址應考慮當?shù)氐恼?、地理及氣候等綜合環(huán)境因素，遠離災害、危險及干擾等場所，確保水電和物理結(jié)構(gòu)安全。

邊界安防：設(shè)置出入口控制系統(tǒng)、入侵報警及視頻監(jiān)控等來監(jiān)視和管控建筑出入口、通風口和線纜符合相關(guān)規(guī)定，防入侵篡改。

安防系統(tǒng)：按角色分級、系統(tǒng)狀態(tài)顯示與控制、告警與預處理、事件記錄與查詢等。

可靠性：使用POE/UPS雙路供電，與安防系統(tǒng)聯(lián)動，使用B/S架構(gòu)，實現(xiàn)雙機熱備等。

3.4 NFV環(huán)境的安全影響

如圖6所示，將NFV環(huán)境的安全防護機制分為5種方式。

（1）外部攻擊防護方案：入口部署防火墻，防止如DDoS等類似攻擊，內(nèi)部硬件資源合理劃分、預留，應用實現(xiàn)流控。

（2）領(lǐng)域隔離方案：內(nèi)部按照RAN、核心網(wǎng)及自有應用、第三方APP劃分為3個VDC，硬件隔離并增加獨立防火墻。

（3）MEC子域隔離方案：可劃分UPF子域和應用子域，隔離I層資源，按需增加vFW。

（4）應用隔離方案：不同APP部署在不同主機組上，隔離I層資源，因內(nèi)容安全較為敏感，建議增加vFW。

（5）NFV安全方案：通過可信啟動、動態(tài)度量支持軟硬件防篡改、硬件防替換安全防護、防軟件逆向工程等。

圖6 NFV環(huán)境的部署結(jié)構(gòu)

3.5 第三方應用的安全影響

MEC的上層應用分為自有應用和第三方應用兩種形式。自有應用指通過自有可信任的開放方研發(fā)的內(nèi)容，具有資源需求穩(wěn)定的特點，如DNS服務、統(tǒng)計報表服務等。它的安全屬性相對較高，僅需通過應用數(shù)字簽名與效驗等基礎(chǔ)防護手段即可實行保護。與之相對，第三方應用是指由外在開發(fā)商研發(fā)的應用，其資源需求量大，彼此間的差異性也很大，因此存在的安全風險很大。MEC開放性和時效性決定其應用受第三方實時控制，建議除基本的應用數(shù)字簽名與校驗防護外，部署能力開放API接口訪問支持認證和鑒權(quán)、API接口訪問流控、應用之間可部署防火墻做隔離、不同應用部署于不同主機組等安全防護手段加強管控。

4 結(jié) 語

結(jié)合MEC內(nèi)部與外部的安全隱患，總結(jié)五大細分場景進行安全風險與對應的防護手段的研究，在未來5G網(wǎng)絡用戶面數(shù)據(jù)進一步下沉的技術(shù)演進模式下，有效的MEC的安全防護措施將為高速率低時延的應用場景提供堅實的技術(shù)能力，為打造5G精品網(wǎng)絡的目標添磚加瓦。