论5GMEC安全能力建设

论5GMEC安全能力建设

徐云峰

321028197808267810

摘要：5GMEC的核心功能由5GUPF和边缘计算平台系统共同构成。针对MEC的体系结构，从物理安全、边缘云安全、MECAPP安全、UPF数据安全、组网安全、MEC平台安全、MEC编排管理安全、通用安全管理等方面，研究MEC的安全能力构建方法，并针对MEC在实际应用过程中遇到的问题给出相应的对策。

关键词：5GMEC；安全问题；安全策略

引言

多用户边缘计算（MEC）能够满足高清视频、虚拟现实、工业互联网和车联网等应用发展的需要，是5G网络改造的核心技术。MEC是3GPP与ETSI相结合开发的一个范例。3GPP着重于对5GC及5GC网络单元的可传播模式进行了界定，而ETSI则侧重于对MEC平台体系结构、虚机管理及API管理进行了详细的阐述。

MEC是云计算的一种进化，它通过将IDC服务器中的应用迁移到互联网的边界，使其与互联网中的信息资源更加紧密地结合，使其与互联网中的信息资源更加紧密地结合在一起，充分发挥其在互联网中所具有的高带宽、低延时、近端部署等特点，进而催生新的商机、新的商机、新的商业模式。

MEC是5G系统中降低时延、提高传输速率的核心技术，它以客户表面函数（UPF）为基础，将移动计算资源向外延伸，从而提高5G系统的性能，提高5G系统的性能。所以，MEC为应用程序和服务开启了网络边缘，对来自第三方的应用程序和服务进行打包，从而使通信网络能够转化为垂直行业及其客户群体的多功能服务平台。

在5GMEC体系结构下，其物理位置、业务类型和网络结构等都出现了巨大的改变，给其带来了一系列崭新的安全性问题。

2.5GMEC安全问题分析

2.15GMEC系统架构

按照ETSI的标准，MEC系统分为两个层级：一个是主机级，另一个是System,MECSystem级的网络管，包括MEC的排序器MEO,OSS，应用LoadManagementAgent，而主机级则包括MECHoster和MEC的主机级网络管。

MEC主机包括了虚拟化基础设施VI、MEC平台MEP、MEC应用三部分。MEC平台为MEC应用提供了一个可以发现并使用内部或外部服务的环境，并可以通过对第三方MEC应用的开放，来强化网络与业务的深度融合。MEC主机级网络管理包括MEC平台的网管MEPM、虚拟设备的网络管理VIM。

2.25GMEC部署位置

(1)MEC部署在接入DC

这种模式通常是将MEC与基站CU共用一个机房，将其部署在基站的后方，这样的话，数据业务就会更加接近于用户，而终端发出的业务会经过基站、MEC主机再到网络/第三方内容服务。这种模式的应用是在只有在边缘能够满足需求的场合中，这种方式的应用范围是在1ms到10ms之间，比如无人机投递业务（10ms,15Mbit/s）、智慧场馆（10ms,1Gbit/s）、自动驾驶（1ms,50Mbit/s以上）、远程医疗诊断（10ms,50Mbit/s）、机器人协作（1ms,1~10Mbit/s）、远程手术（1ms~10ms,300Mbit/s）等。

(2)MEC部署在边缘DC

这种方式的MEC通常被部署在局域网汇聚机房，它的逻辑位置在UPF/PGW-U（用户面网关）之后，它会增加一部分回传网络的时延，能够为用户提供低时延、高带宽服务，比如AR/VR业务（20ms,1Gbit/s）、移动视频监控（20ms,50Mbit/s）、移动广播（低于100ms,10Mbit/s）、公共安全（20ms,10Mbit/s）、高清视频（20ms,10Mbit/s）等。

为了减少时延，使用户能够在附近获得所需要的信息，提升用户接入的响应时间和命中率，MEC与常规CDN相比，更加接近WEB的边缘、深度、时延更短。同时，MEC还具有本地化的计算、存储、开源API等功能，具有较高的时延、较高的智能性。除了CDN以外，它还将在一些对智能有需求的领域，比如车联网，智慧医疗等。

2.35GMEC安全风险

(1)物理安全风险

MEC设备分布在网络边界附近，使得攻击对象的攻击范围更小，其对外界的可信程度更低，控制效果更差，极易引发设备损坏、服务中断、用户隐私及信息泄露等问题。

(2)边缘云安全风险

随着运营商网络功能与非信任的第三方软件被广泛地部署到了边缘云中，带来了大量的安全隐患，如越权访问、缓冲区溢出、外部攻击、信息泄露、数据盗取和篡改、日志删除和伪造、资源隔离等。软件包的安全和镜像可能受到病毒、特洛伊木马的侵扰或破坏。

(3)用户面临数据安全风险

MEC系统是一个既承担行业业务又承担互联网业务的移动通信系统，其核心网元UPF向下配置，使得其在移动通信系统中的边界变得模糊不清，使得攻击者可以利用UPF对其整体进行攻击。在网络环境下，网络中存在着大量的网络信息，这些信息易被窃听，易被欺骗，从而增加了网络信息安全的潜在威胁。

3.5GMEC安全解决方案

3.1物理安全

在系统中，通过人为的方法，如门禁、监视和定期的巡视来防止系统被入侵；

在装置设计方面，通过关闭本地串行接口、调试接口、USB接口等本地维修接口，避免了黑客入侵。

在软件方面，利用IEEE802.1X技术，实现了对实体网的身份验证，避免了实体网的非法连接和不安全连接；通过对以太网数据包的加密，在非安全实体网中保护了二级数据包的窃听、嗅探和篡改等攻击。

3.2边缘云安全

对安全性有较高需求的资料（例如，用户身份，访问地点等）必须以密码保存。对于具有较高工业价值的资料，采用像IPSec/TLS这样的安全性方法，防止资料在传送时被泄露或被破坏；负责数据处理，分析，使用，验证，授权，并做好运行记录。

对主机操作系统，虚拟化软件，GuestOS的安全性进行了加强；利用安全组的配置、访问控制列表（ACL）或者配置虚拟防火墙来实现对虚拟网的隔离；利用信任计算来确保对实体服务器的信任；对网络中的虚拟资源进行了监控，发现了网络中的恶意操作，并对其进行了报警和隔离。

3.3用户层面数据安全

UPF融合了防火墙与安全网关的功能，确保了外部数据的隐私与完整。首先，从数据的存储角度出发，通过完全独立的网络与资源，确保其他用户不能对非自己的数据进行访问。通过对数据的安全保护，敏感数据的发现，数据的脱敏与审核，保证数据的安全；为使用者提供高保密等级的资料，可为使用者提供口令及资料加密之服务；其次，对于网络中的信息传递，采用了“安全套接层”、“虚拟私有网”等技术，对网络中的信息进行了加密处理，并对网络中的信息进行了有效的保护。

结语

作为5G核心功能和产业数字化变革的有力工具，MEC的本质是连接+计算。对于电信公司来说，基站是一项重要的资产，而接入则是其独有的优势。以差异化的边缘计算+连接能力为基础，运营商可以继续进行强化连接，将计算进行延伸，将网络能力与MEC相结合，逐渐建立起一个具备核心竞争力的严选生态，实现云网协同，将边缘价值发挥到极致。

参考文献：

[1]何明,沈军,吴国威.MEC安全建设策略[J].移动通信,2021,45(03):26-29+34.

[2]赵志斌,何力毅,刘广红等.5GMEC行业应用部署方案研究[J].邮电设计技术,2021(01):25-30.

[3]陆威,王全.利用可信计算技术增强MEC的安全性[J].移动通信,2020,44(04):59-64.