【摘 要】本文在分析面向垂直行業(yè)邊緣計算的安全威脅和安全要求，梳理特定典型行業(yè)領域安全要求的基礎上，提出面向垂直行業(yè)的端到端邊緣計算安全防護方案。

【關鍵詞】5G 邊緣計算 安全防護

 

1 引言

隨著5G的商用，邊緣計算憑借低時延、大帶寬、數據不出場等技術特點，成為運營商為垂直行業(yè)客戶提供計算、網絡、存儲等資源及服務的重要技術之一。根據ETSI定義，邊緣計算技術主要是指在移動網絡邊緣提供IT服務環(huán)境和計算能力，強調靠近移動用戶，以減少網絡操作和服務網交付的時延，提高用戶體驗。其他組織也有類似的定義，如OpenStack社區(qū)在Cloud Edge Computing:Beyond the Data Center中，提出邊緣計算是為應用開發(fā)者和服務提供商在網絡的邊緣側提供云服務和IT環(huán)境服務，其目標是在靠近數據輸入或用戶的地方提供計算、存儲和網絡帶寬。

3GPP定義的5G網絡架構中通過用戶功能模塊（UPF）下沉、分流機制以及業(yè)務連續(xù)性模式，為基于邊緣計算技術構建垂直行業(yè)應用打好了基礎。由于具有低時延、大帶寬、高安全等的優(yōu)勢，目前邊緣計算已經在工業(yè)、農業(yè)、互聯網等領域逐步應用。邊緣計算帶來了電信網絡架構的改變，因此產生了一些新的安全挑戰(zhàn)，比如：下沉的UPF所處物理環(huán)境設施和安全保障不如核心網機房安全，可能成為物理攻擊或通信攻擊的對象，所以運營商引入邊緣計算增加了網絡的暴露面，需要對安全進行增強。對于垂直行業(yè)客戶，由于客戶的上下行數據需要經過運營商的基站、下沉的UPF在終端和App之間傳輸，如果運營商網絡的空口未做安全保護，導致App下發(fā)的控制命令被篡改，會導致客戶終端進行錯誤的操作；如果App本身被植入病毒等惡意代碼，App將給終端下發(fā)錯誤的指令，或對其他App、移動邊緣平臺（MEP）以及運營商核心網等發(fā)起攻擊；如果App存儲的數據被非法訪問，會導致客戶的敏感數據泄露。并且，垂直行業(yè)的業(yè)務很多與人身安全（如自動駕駛）和社會安全（如智能電網）緊密相關，一旦發(fā)生安全事故，其后果更加嚴重。所以，邊緣計算的安全對于運營商和垂直行業(yè)客戶來說都非常重要。運營商一方面要保障邊緣計算網絡的安全，保證給行業(yè)客戶提供安全的網絡；另一方面，運營商也應根據客戶的業(yè)務需求，給客戶提供終端安全加固、App惡意代碼檢查、數據安全存儲等安全方案，保障客戶App安全運行，數據安全傳輸和存儲，從而保障客戶的業(yè)務安全、穩(wěn)定運行。

本文在分析面向垂直行業(yè)邊緣計算的安全威脅和安全要求，梳理特定典型行業(yè)安全要求的基礎上，提出面向垂直行業(yè)的端到端邊緣計算安全防護方案。

2 邊緣計算的部署模式

從圖1可以看出，邊緣計算不同的部署模式，其網絡暴露面不同。對于運營商的網絡來說，部署模式一中，客戶（如云游戲提供商）對運營商信任度高，運營商的設備位于運營商機房，屬于相對可控范圍，網絡暴露面相對較小。部署模式二中，客戶對運營商的信任度較低，UPF位于客戶園區(qū)（如無人礦山園區(qū)），處于客戶可控而運營商不可控的物理環(huán)境中，運營商網絡的暴露面嚴重，需要考慮部署在園區(qū)的UPF和MEP的物理保護，并且UPF應和核心網之間進行嚴格的安全隔離。部署模式三中，對于運營商來說，重要設備（如用戶面網關）位于運營商可控機房，客戶的App位于客戶的機房，運營商網絡暴露面小于部署模式二中的暴露面，但大于部署模式一中的暴露面，應重點考慮部署在客戶機房的邊緣計算平臺的物理安全以及與用戶面網關UPF回見的安全隔離。對于垂直行業(yè)客戶來說，部署模式二和部署模式三中，客戶的數據可以實現終結在客戶可控的園區(qū)App，從而滿足客戶數據不出場的要求。邊緣計算的組網安全威脅、UPF和MEP的安全威脅以及相關的安全要求等應根據不同的部署模式進行分析。

3 邊緣計算安全威脅

5G邊緣計算不僅面臨傳統網絡的安全威脅，還面臨網絡虛擬化技術、軟件定義安全等新技術引入，UPF下沉入駐、第三方App托管等帶來的新安全威脅。并且，隨著運營商網絡成為國家關鍵基礎設施以及垂直行業(yè)關系社會民生，某些傳統威脅在邊緣計算場景的影響后果更嚴重。本文根據客戶業(yè)務的數據流以及攻擊路徑，分析5G邊緣計算端到端的安全威脅。

5G邊緣計算安全威脅包括終端、接入網、邊緣計算節(jié)點以及應用相關的安全威脅，如圖2所示。

（1）終端安全威脅：終端操作系統漏洞被利用；終端上安裝的App被置入木馬、病毒等，從而竊取用戶終端上的敏感數據；終端對敏感數據未加密保存，被攻擊者獲取；終端對網絡或App未進行認證，從而接入了虛假的網絡或App。

（2）接入網安全威脅：空口數據傳輸行業(yè)客戶的數據/控制指令在空口傳輸未做保護，導致被攔截、篡改或重放，從而導致敏感數據泄露或業(yè)務操作錯誤/失敗（如無人礦山的機械臂收到被篡改的控制指令，導致錯誤的操作）；回傳鏈路被物理破壞，導致數據泄露等。

（3）邊緣計算節(jié)點安全威脅包括組網、基礎設施、UPF、MEP、邊緣編排和管理（MEO）以及邊緣運營管理平臺、能力開放相關的安全威脅。

a）組網安全威脅：攻擊者通過互聯網邊界攻擊邊緣計算節(jié)點，導致App被非法訪問等；業(yè)務面的安全風險向管理面擴散等。

b）基礎設施安全威脅：邊緣基礎設施虛擬層漏洞被利用，或虛擬層的資源未隔離，導致App被其他App非法訪問等。

c）UPF安全威脅：UPF上的分流策略被篡改，導致數據被分流到其他App；UPF被攻擊者物理接觸，篡改配置等。

d）MEP安全威脅：MEP的API接口被非法訪問，MEC平臺和ME App等通信時，傳輸數據被篡改、攔截、重放等。

e）邊緣編排和管理（MEO）以及邊緣運營管理平臺安全威脅：MEO或邊緣運營管理平臺的接口被非法訪問，其操作系統、數據庫漏洞被利用。管理員/操作員對App進行非法生命周期管理操作（如非授權實例化一個App）等。

f）能力開放安全威脅：一方面，App通過MEP調用運營商能力開放平臺的網絡能力的信息可能被篡改，導致App使用錯誤的信息。另一方面，運營商能力開放平臺可能非法調用App提供的能力，導致對App的非授權訪問。

（4）App安全威脅：App的接口被非法訪問，其操作系統、數據庫漏洞被利用；App和行業(yè)客戶的私網之間的通信未做保護，導致通信數據被篡改、攔截或重放；ME App存在木馬、病毒攻擊等。

4 邊緣計算安全要求

4.1 通用安全要求

4.1.1 終端安全要求

終端安全包括終端自身組件和應用的安全、數據安全以及接入網絡的安全。首先，終端應遵循最小化原則，只安裝必要的組件和應用，并使用防病毒軟件定期進行病毒查殺；其次，對于存儲敏感數據的終端，應在終端上實施敏感數據的訪問控制，并對敏感數據進行加密存儲。當終端要訪問邊緣App時，首先要接入到運營商的網絡。此時，終端應對運營商網絡進行認證，防止偽基站、虛假核心網等攻擊。終端成功接入到運營商網絡，發(fā)起對App的訪問時，終端應對訪問的App進行認證，防止接入假冒的App，導致信息泄露或者DoS攻擊。

4.1.2 接入網安全要求

行業(yè)客戶的數據在采用5G新空口或者4G空口、Wi-Fi機制傳輸時，應根據業(yè)務需求開啟數據加密、完整性保護，防止攻擊者攔截、篡改客戶的業(yè)務敏感數據。回傳鏈路應支持根據客戶需求開啟IP層安全保護（IPSec），對傳輸的數據進行機密性和完整性保護。

4.1.3 邊緣計算節(jié)點安全

（1）組網安全

組網安全應滿足三平面隔離、安全域劃分與隔離、核心網安全隔離。并且，邊緣節(jié)點不同的部署模式，會導致安全域劃分與隔離、核心網安全隔離要求存在差異。

◎三平面隔離：服務器、交換機應支持管理、業(yè)務和存儲三平面物理/邏輯隔離，防止不同平面之間的風險相互影響。

◎安全域劃分與隔離：行業(yè)客戶App應與運營商App、MEP、UPF處于不同的安全域，安全域之間應進行安全隔離。行業(yè)客戶的應用之間、運營商自有應用之間也應進行安全隔離。當UPF和MEP單獨部署，通過N6接口通信時，UPF和MEP應處于不同的安全域，并應進行安全隔離。UPF和MEP為一體機形態(tài)部署時，兩者處于相同安全域。對于有互聯網訪問需求的場景，需要根據業(yè)務暴露面劃分DMZ區(qū)，在互聯網邊界實現邊界安全防護。部署模式二中，UPF和MEP均位于客戶機房，其安全域劃分與部署模式一相同；部署模式三中，UPF與MEP處于不同的安全域，應進行安全隔離。

◎核心網安全隔離：部署模式一和部署模式三中，UPF與核心網之間屬于可信的連接，不需要安全隔離；部署模式二中，UPF與核心網之間應部署防火墻進行安全隔離。

（2）基礎設施安全

基礎設施應提供安全的運行環(huán)境，包括物理I/O安全接入、物理環(huán)境安全、操作端/客戶端安全加固、虛擬化軟件安全加固、虛擬機鏡像防篡改、容器倉庫及容器鏡像防篡改等。

（3）UPF安全

下沉到邊緣的UPF還應支持物理安全保護（如：設備斷電/重啟、鏈路網口斷開等問題發(fā)生后應觸發(fā)告警等），信令流過載控制。對于部署模式二，UPF應支持內置安全功能（如支持IPSec協議/內置虛擬防火墻）。UPF所在的宿主機可支持可信啟動，保證UPF運行在可信環(huán)境。

（4）MEP安全

MEP應支持物理安全保護，支持對通信對端進行身份認證。API網關應支持對MEC平臺的API調用進行認證和授權、安全審計。對于部署模式二和三，MEP所在的宿主機可支持可信啟動，保證MEP運行在可信環(huán)境。

（5）邊緣運營管理平臺安全

邊緣運營管理平臺應對訪問進行身份認證和授權，對上架的App進行安全審核（如驗證App來源合法、內容合法等），只上架經過安全審核的App。業(yè)務邊緣運營管理平臺中能夠被Internet直接訪問的模塊（如web portal）應部署到DMZ區(qū)，并和可信區(qū)進行安全隔離。

（6）邊緣編排和管理系統安全

邊緣編排和管理系統應支持對通信對端的身份進行認證，并對傳輸的數據進行機密性和完整性保護；應支持對API接口調用進行認證和授權、安全審計，應支持MEC應用生命周期管理的相關操作安全，如MEC App應用加載和實例化時應支持驗證管理員的身份和權限，應支持驗證MEC App應用鏡像的完整性等。

（7）能力開放安全要求

當邊緣計算節(jié)點能力被其他平臺調用時，應支持對調用方的身份認證和授權、審計，對調用數據的傳輸進行機密性和完整性保護。當邊緣計算節(jié)點從運營商的其他能力開放平臺調用網絡能力時，應支持對調用數據的傳輸、存儲進行機密性和完整性保護以及不再使用時安全擦除。

4.1.4 App安全要求

App應支持對通信對端進行身份認證，對API調用進行認證和授權，安全審計，并對傳輸的數據進行機密性和完整性保護。

4.1.5 安全管理通用要求

邊緣計算節(jié)點中的UPF、邊緣計算平臺、邊緣編排和管理系統、邊緣運營管理平臺和App等應使用標準x.509證書，支持證書過期前提醒、證書更換，支持安全加固、流量過載限制、漏洞檢查、端口和服務最小化、敏感數據保護、賬號口令管理、日志審計要求等。

4.2 特有行業(yè)的其他安全要求

根據《5G應用場景白皮書》中14個重點行業(yè)中與邊緣計算相關的垂直行業(yè)業(yè)務特征的分析，除了上述端到端的通用安全要求，部分垂直行業(yè)根據業(yè)務需求，還要求邊緣計算節(jié)點支持數據不出場、隱私保護、內容安全、專網專用等相關的安全要求，具體描述如下：

◎數據不出場：智慧工廠、醫(yī)院、能源等的數據敏感度高，行業(yè)客戶要求數據不出場，即數據在園區(qū)App實現閉環(huán)。在客戶安全要求特別高的情況下，邊緣計算節(jié)點應支持按照客戶要求設置客戶專屬UPF，并在UPF上設置專屬深度神經網絡（DNN）或上行分類器（Uplink Classifier，UL-CL）分流等，實現客戶數據只能終結在園區(qū)App。否則，可使用非客戶專屬UPF，在UPF上設置DNN或分流策略。

◎隱私保護：智慧金融、校園、電力等涉及用戶的賬號、消費記錄、行為特征等個人隱私信息，行業(yè)客戶要求對隱私數據進行保護。邊緣節(jié)點應支持對傳輸的以及存儲的敏感數據進行機密性、完整性保護，并對存儲的數據設置訪問控制權限。對于敏感數據的使用，應支持為客戶提供脫敏措施，防止在使用中泄露敏感數據。在客戶不使用邊緣計算節(jié)點資源或者要刪除存儲在邊緣計算節(jié)點上的敏感數據時，應支持對不需要的敏感數據進行完全擦除。

◎內容安全：智慧文旅、行業(yè)視頻等的內容具有公眾效應，如果被篡改或者泄露，可能造成不良的社會效應，影響社會穩(wěn)定，所以應支持對客戶的內容數據的傳輸和存儲進行機密和完整性保護，并設置訪問控制權限。同時，為了避免傳播非法內容，對社會造成危害，邊緣計算節(jié)點應支持對內容進行信息安全審核。傳統的針對內容的信息安全審核機制在核心網執(zhí)行，無法覆蓋邊緣計算場景，應考慮新的邊緣計算的內容信息安全審核措施。

◎專網專用：對于智慧能源、無人礦山等，對網絡可靠性、網絡覆蓋性、特殊作業(yè)有嚴格要求，所以要求在園區(qū)使用專用基站和頻率。從安全的角度，一方面應考慮部署在園區(qū)的專用基站與運營商核心網之間的安全隔離，防止專用基站對核心網的攻擊；另一方面，專用基站應支持白名單機制，只允許園區(qū)客戶接入該基站。

5 端到端安全解決方案

5.1 端到端安全能力和安全服務

運營商擁有覆蓋面廣、穩(wěn)定、可靠的網絡，以及成熟的安全運維經驗，能夠基于網絡現有的安全能力給客戶提供基礎的網絡安全功能之外，還能夠根據客戶需求，為每一個行業(yè)客戶提供按需的、端到端的安全解決方案，如圖3所示。

5.2 基礎端到端安全方案

運營商可以為行業(yè)客戶提供終端接入認證、數據傳輸安全、邊緣節(jié)點安全的基礎端到端安全方案，具體包括：

◎終端接入認證：可以提供標準化的接入機制，如4G的AKA，5G的AKA以及EPS-AKA等，能夠實現終端和運營商核心網之間的雙向身份認證，并可基于認證的參數計算空口信令/數據的加密和完整性保護的密鑰。

◎空口傳輸安全：客戶有對空口數據進行保護的需求時，運營商可以開啟空口終端和基站之間的安全保護，即使用空口信令/數據的加密和完整性保護的密鑰來保護空口數據安全。

◎回傳安全：基站和UPF之間一般使用光纖進行傳輸，相對比較安全。如果客戶有數據保護需求，基站和UPF之間可以建立IPSec安全通道，對傳輸的數據進行機密性和完整性保護。

◎邊緣節(jié)點安全：組網安全方面，應使用防火墻實現不同安全域之間的隔離；應在互聯網邊界部署抗DDoS、入侵檢測、防火墻、Web流量檢測等安全設備。基礎設施安全方面，借鑒公有云、私有云以及電信云的安全方案，實施機房、硬件基礎設施和虛擬化基礎設施的安全方案，包括門禁設置、人員管理、服務器初始口令和弱口令清理、虛擬化軟件配置檢查等。UPF和MEP可以看成是虛擬網絡架構（VNF），可通過對操作系統、數據庫、中間件的安全配置進行檢查，保證安全配置被執(zhí)行，并設置流量閾值，對超過閾值的流量進行限速處理等。邊緣運營管理平臺、邊緣編排和管理系統除了正確配置操作系統、數據庫和中間件，設置流量閾值之外，還可使用OAuth2.0等機制實現API訪問的認證和授權，并啟用日志記錄訪問。

◎應用安全：App在部署到運營商的邊緣節(jié)點之前，應接受運營商的安全審查（如軟件包是否被篡改，是否包含漏洞，是否為合法來源等），并且App可通過OAuth2.0等機制實現API訪問的認證和授權。

5.3 安全服務方案

運營商可以通過構建安全資源池，給行業(yè)客戶按需提供防護、檢測、運維審計、主機安全等多個維度的安全服務。

安全資源池可以包含防護類、檢測類、運維審計類以及主機安全類的虛擬化的安全設備或者物理安全設備。行業(yè)客戶可以通過邊緣計算運營管理平臺來訂購安全服務，通過MEP來調用安全資源池中的安全能力。當行業(yè)客戶成功訂閱安全服務后，可根據客戶訂閱的安全服務對App流量進行安全防護。例如可通過在核心交換機上設置策略路由或者通過SDN控制器給交換機下發(fā)流表的方式將App流量引流到安全資源池的防護設備進行防護；或者通過核心交換機鏡像將需要檢測的App流量復制一份到檢測類設備進行安全檢測等。

目前業(yè)界的安全廠商已經有成熟的安全資源池，安全資源池中的安全設備可以是虛擬化的安全設備，即安全功能部署在通用服務器上的虛擬機中，并且由統一的安全管理平臺通過私有接口對安全設備進行集中的配置和管理，虛擬化安全設備的拉起、刪除等由廠家私有實現，不納入邊緣節(jié)點的資源編排。從資源統一編排、有效利用以及安全設備解耦、接口標準化、提升運維效率的角度，將虛擬化的安全設備統一納入邊緣編排和管理系統進行編排和管理將是后續(xù)安全資源池靈活為客戶提供安全服務的發(fā)展方向。

6 結語

本文分析了邊緣計算常見的部署模式、安全威脅。在此基礎上，針對行業(yè)客戶的通用安全要求和部分特有行業(yè)的其他安全要求進行了分析，并提出了端到端安全解決方案、安全服務方案。邊緣計算涉及多種垂直行業(yè)，每個垂直行業(yè)細化的安全需求千差萬別，后續(xù)還應通過和垂直行業(yè)的緊密合作，深挖每個垂直行業(yè)細化的安全需求，并針對細化的安全需求完善端到端安全方案以及提升安全資源池的安全服務輸出能力。

 

（原載于《保密科學技術》雜志2020年9月刊）