面向垂直行業(yè)的5G邊緣計(jì)算安全研究

【摘 要】本文在分析面向垂直行業(yè)邊緣計(jì)算的安全威脅和安全要求，梳理特定典型行業(yè)領(lǐng)域安全要求的基礎(chǔ)上，提出面向垂直行業(yè)的端到端邊緣計(jì)算安全防護(hù)方案。

【關(guān)鍵詞】5G 邊緣計(jì)算 安全防護(hù)

 

1 引言

隨著5G的商用，邊緣計(jì)算憑借低時(shí)延、大帶寬、數(shù)據(jù)不出場(chǎng)等技術(shù)特點(diǎn)，成為運(yùn)營(yíng)商為垂直行業(yè)客戶提供計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)等資源及服務(wù)的重要技術(shù)之一。根據(jù)ETSI定義，邊緣計(jì)算技術(shù)主要是指在移動(dòng)網(wǎng)絡(luò)邊緣提供IT服務(wù)環(huán)境和計(jì)算能力，強(qiáng)調(diào)靠近移動(dòng)用戶，以減少網(wǎng)絡(luò)操作和服務(wù)網(wǎng)交付的時(shí)延，提高用戶體驗(yàn)。其他組織也有類似的定義，如OpenStack社區(qū)在Cloud Edge Computing:Beyond the Data Center中，提出邊緣計(jì)算是為應(yīng)用開(kāi)發(fā)者和服務(wù)提供商在網(wǎng)絡(luò)的邊緣側(cè)提供云服務(wù)和IT環(huán)境服務(wù)，其目標(biāo)是在靠近數(shù)據(jù)輸入或用戶的地方提供計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)帶寬。

3GPP定義的5G網(wǎng)絡(luò)架構(gòu)中通過(guò)用戶功能模塊（UPF）下沉、分流機(jī)制以及業(yè)務(wù)連續(xù)性模式，為基于邊緣計(jì)算技術(shù)構(gòu)建垂直行業(yè)應(yīng)用打好了基礎(chǔ)。由于具有低時(shí)延、大帶寬、高安全等的優(yōu)勢(shì)，目前邊緣計(jì)算已經(jīng)在工業(yè)、農(nóng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域逐步應(yīng)用。邊緣計(jì)算帶來(lái)了電信網(wǎng)絡(luò)架構(gòu)的改變，因此產(chǎn)生了一些新的安全挑戰(zhàn)，比如：下沉的UPF所處物理環(huán)境設(shè)施和安全保障不如核心網(wǎng)機(jī)房安全，可能成為物理攻擊或通信攻擊的對(duì)象，所以運(yùn)營(yíng)商引入邊緣計(jì)算增加了網(wǎng)絡(luò)的暴露面，需要對(duì)安全進(jìn)行增強(qiáng)。對(duì)于垂直行業(yè)客戶，由于客戶的上下行數(shù)據(jù)需要經(jīng)過(guò)運(yùn)營(yíng)商的基站、下沉的UPF在終端和App之間傳輸，如果運(yùn)營(yíng)商網(wǎng)絡(luò)的空口未做安全保護(hù)，導(dǎo)致App下發(fā)的控制命令被篡改，會(huì)導(dǎo)致客戶終端進(jìn)行錯(cuò)誤的操作；如果App本身被植入病毒等惡意代碼，App將給終端下發(fā)錯(cuò)誤的指令，或?qū)ζ渌鸄pp、移動(dòng)邊緣平臺(tái)（MEP）以及運(yùn)營(yíng)商核心網(wǎng)等發(fā)起攻擊；如果App存儲(chǔ)的數(shù)據(jù)被非法訪問(wèn)，會(huì)導(dǎo)致客戶的敏感數(shù)據(jù)泄露。并且，垂直行業(yè)的業(yè)務(wù)很多與人身安全（如自動(dòng)駕駛）和社會(huì)安全（如智能電網(wǎng)）緊密相關(guān)，一旦發(fā)生安全事故，其后果更加嚴(yán)重。所以，邊緣計(jì)算的安全對(duì)于運(yùn)營(yíng)商和垂直行業(yè)客戶來(lái)說(shuō)都非常重要。運(yùn)營(yíng)商一方面要保障邊緣計(jì)算網(wǎng)絡(luò)的安全，保證給行業(yè)客戶提供安全的網(wǎng)絡(luò)；另一方面，運(yùn)營(yíng)商也應(yīng)根據(jù)客戶的業(yè)務(wù)需求，給客戶提供終端安全加固、App惡意代碼檢查、數(shù)據(jù)安全存儲(chǔ)等安全方案，保障客戶App安全運(yùn)行，數(shù)據(jù)安全傳輸和存儲(chǔ)，從而保障客戶的業(yè)務(wù)安全、穩(wěn)定運(yùn)行。

本文在分析面向垂直行業(yè)邊緣計(jì)算的安全威脅和安全要求，梳理特定典型行業(yè)安全要求的基礎(chǔ)上，提出面向垂直行業(yè)的端到端邊緣計(jì)算安全防護(hù)方案。

2 邊緣計(jì)算的部署模式

從圖1可以看出，邊緣計(jì)算不同的部署模式，其網(wǎng)絡(luò)暴露面不同。對(duì)于運(yùn)營(yíng)商的網(wǎng)絡(luò)來(lái)說(shuō)，部署模式一中，客戶（如云游戲提供商）對(duì)運(yùn)營(yíng)商信任度高，運(yùn)營(yíng)商的設(shè)備位于運(yùn)營(yíng)商機(jī)房，屬于相對(duì)可控范圍，網(wǎng)絡(luò)暴露面相對(duì)較小。部署模式二中，客戶對(duì)運(yùn)營(yíng)商的信任度較低，UPF位于客戶園區(qū)（如無(wú)人礦山園區(qū)），處于客戶可控而運(yùn)營(yíng)商不可控的物理環(huán)境中，運(yùn)營(yíng)商網(wǎng)絡(luò)的暴露面嚴(yán)重，需要考慮部署在園區(qū)的UPF和MEP的物理保護(hù)，并且UPF應(yīng)和核心網(wǎng)之間進(jìn)行嚴(yán)格的安全隔離。部署模式三中，對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)，重要設(shè)備（如用戶面網(wǎng)關(guān)）位于運(yùn)營(yíng)商可控機(jī)房，客戶的App位于客戶的機(jī)房，運(yùn)營(yíng)商網(wǎng)絡(luò)暴露面小于部署模式二中的暴露面，但大于部署模式一中的暴露面，應(yīng)重點(diǎn)考慮部署在客戶機(jī)房的邊緣計(jì)算平臺(tái)的物理安全以及與用戶面網(wǎng)關(guān)UPF回見(jiàn)的安全隔離。對(duì)于垂直行業(yè)客戶來(lái)說(shuō)，部署模式二和部署模式三中，客戶的數(shù)據(jù)可以實(shí)現(xiàn)終結(jié)在客戶可控的園區(qū)App，從而滿足客戶數(shù)據(jù)不出場(chǎng)的要求。邊緣計(jì)算的組網(wǎng)安全威脅、UPF和MEP的安全威脅以及相關(guān)的安全要求等應(yīng)根據(jù)不同的部署模式進(jìn)行分析。

3 邊緣計(jì)算安全威脅

5G邊緣計(jì)算不僅面臨傳統(tǒng)網(wǎng)絡(luò)的安全威脅，還面臨網(wǎng)絡(luò)虛擬化技術(shù)、軟件定義安全等新技術(shù)引入，UPF下沉入駐、第三方App托管等帶來(lái)的新安全威脅。并且，隨著運(yùn)營(yíng)商網(wǎng)絡(luò)成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施以及垂直行業(yè)關(guān)系社會(huì)民生，某些傳統(tǒng)威脅在邊緣計(jì)算場(chǎng)景的影響后果更嚴(yán)重。本文根據(jù)客戶業(yè)務(wù)的數(shù)據(jù)流以及攻擊路徑，分析5G邊緣計(jì)算端到端的安全威脅。

5G邊緣計(jì)算安全威脅包括終端、接入網(wǎng)、邊緣計(jì)算節(jié)點(diǎn)以及應(yīng)用相關(guān)的安全威脅，如圖2所示。

（1）終端安全威脅：終端操作系統(tǒng)漏洞被利用；終端上安裝的App被置入木馬、病毒等，從而竊取用戶終端上的敏感數(shù)據(jù)；終端對(duì)敏感數(shù)據(jù)未加密保存，被攻擊者獲�。唤K端對(duì)網(wǎng)絡(luò)或App未進(jìn)行認(rèn)證，從而接入了虛假的網(wǎng)絡(luò)或App。

（2）接入網(wǎng)安全威脅：空口數(shù)據(jù)傳輸行業(yè)客戶的數(shù)據(jù)/控制指令在空口傳輸未做保護(hù)，導(dǎo)致被攔截、篡改或重放，從而導(dǎo)致敏感數(shù)據(jù)泄露或業(yè)務(wù)操作錯(cuò)誤/失敗（如無(wú)人礦山的機(jī)械臂收到被篡改的控制指令，導(dǎo)致錯(cuò)誤的操作）；回傳鏈路被物理破壞，導(dǎo)致數(shù)據(jù)泄露等。

（3）邊緣計(jì)算節(jié)點(diǎn)安全威脅包括組網(wǎng)、基礎(chǔ)設(shè)施、UPF、MEP、邊緣編排和管理（MEO）以及邊緣運(yùn)營(yíng)管理平臺(tái)、能力開(kāi)放相關(guān)的安全威脅。

a）組網(wǎng)安全威脅：攻擊者通過(guò)互聯(lián)網(wǎng)邊界攻擊邊緣計(jì)算節(jié)點(diǎn)，導(dǎo)致App被非法訪問(wèn)等；業(yè)務(wù)面的安全風(fēng)險(xiǎn)向管理面擴(kuò)散等。

b）基礎(chǔ)設(shè)施安全威脅：邊緣基礎(chǔ)設(shè)施虛擬層漏洞被利用，或虛擬層的資源未隔離，導(dǎo)致App被其他App非法訪問(wèn)等。

c）UPF安全威脅：UPF上的分流策略被篡改，導(dǎo)致數(shù)據(jù)被分流到其他App；UPF被攻擊者物理接觸，篡改配置等。

d）MEP安全威脅：MEP的API接口被非法訪問(wèn)，MEC平臺(tái)和ME App等通信時(shí)，傳輸數(shù)據(jù)被篡改、攔截、重放等。

e）邊緣編排和管理（MEO）以及邊緣運(yùn)營(yíng)管理平臺(tái)安全威脅：MEO或邊緣運(yùn)營(yíng)管理平臺(tái)的接口被非法訪問(wèn)，其操作系統(tǒng)、數(shù)據(jù)庫(kù)漏洞被利用。管理員/操作員對(duì)App進(jìn)行非法生命周期管理操作（如非授權(quán)實(shí)例化一個(gè)App）等。

f）能力開(kāi)放安全威脅：一方面，App通過(guò)MEP調(diào)用運(yùn)營(yíng)商能力開(kāi)放平臺(tái)的網(wǎng)絡(luò)能力的信息可能被篡改，導(dǎo)致App使用錯(cuò)誤的信息。另一方面，運(yùn)營(yíng)商能力開(kāi)放平臺(tái)可能非法調(diào)用App提供的能力，導(dǎo)致對(duì)App的非授權(quán)訪問(wèn)。

（4）App安全威脅：App的接口被非法訪問(wèn)，其操作系統(tǒng)、數(shù)據(jù)庫(kù)漏洞被利用；App和行業(yè)客戶的私網(wǎng)之間的通信未做保護(hù)，導(dǎo)致通信數(shù)據(jù)被篡改、攔截或重放；ME App存在木馬、病毒攻擊等。

4 邊緣計(jì)算安全要求

4.1 通用安全要求

4.1.1 終端安全要求

終端安全包括終端自身組件和應(yīng)用的安全、數(shù)據(jù)安全以及接入網(wǎng)絡(luò)的安全。首先，終端應(yīng)遵循最小化原則，只安裝必要的組件和應(yīng)用，并使用防病毒軟件定期進(jìn)行病毒查殺；其次，對(duì)于存儲(chǔ)敏感數(shù)據(jù)的終端，應(yīng)在終端上實(shí)施敏感數(shù)據(jù)的訪問(wèn)控制，并對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)。當(dāng)終端要訪問(wèn)邊緣App時(shí)，首先要接入到運(yùn)營(yíng)商的網(wǎng)絡(luò)。此時(shí)，終端應(yīng)對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行認(rèn)證，防止偽基站、虛假核心網(wǎng)等攻擊。終端成功接入到運(yùn)營(yíng)商網(wǎng)絡(luò)，發(fā)起對(duì)App的訪問(wèn)時(shí)，終端應(yīng)對(duì)訪問(wèn)的App進(jìn)行認(rèn)證，防止接入假冒的App，導(dǎo)致信息泄露或者DoS攻擊。

4.1.2 接入網(wǎng)安全要求

行業(yè)客戶的數(shù)據(jù)在采用5G新空口或者4G空口、Wi-Fi機(jī)制傳輸時(shí)，應(yīng)根據(jù)業(yè)務(wù)需求開(kāi)啟數(shù)據(jù)加密、完整性保護(hù)，防止攻擊者攔截、篡改客戶的業(yè)務(wù)敏感數(shù)據(jù)�；貍麈溌窇�(yīng)支持根據(jù)客戶需求開(kāi)啟IP層安全保護(hù)（IPSec），對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。

4.1.3 邊緣計(jì)算節(jié)點(diǎn)安全

（1）組網(wǎng)安全

組網(wǎng)安全應(yīng)滿足三平面隔離、安全域劃分與隔離、核心網(wǎng)安全隔離。并且，邊緣節(jié)點(diǎn)不同的部署模式，會(huì)導(dǎo)致安全域劃分與隔離、核心網(wǎng)安全隔離要求存在差異。

◎三平面隔離：服務(wù)器、交換機(jī)應(yīng)支持管理、業(yè)務(wù)和存儲(chǔ)三平面物理/邏輯隔離，防止不同平面之間的風(fēng)險(xiǎn)相互影響。

◎安全域劃分與隔離：行業(yè)客戶App應(yīng)與運(yùn)營(yíng)商App、MEP、UPF處于不同的安全域，安全域之間應(yīng)進(jìn)行安全隔離。行業(yè)客戶的應(yīng)用之間、運(yùn)營(yíng)商自有應(yīng)用之間也應(yīng)進(jìn)行安全隔離。當(dāng)UPF和MEP單獨(dú)部署，通過(guò)N6接口通信時(shí)，UPF和MEP應(yīng)處于不同的安全域，并應(yīng)進(jìn)行安全隔離。UPF和MEP為一體機(jī)形態(tài)部署時(shí)，兩者處于相同安全域。對(duì)于有互聯(lián)網(wǎng)訪問(wèn)需求的場(chǎng)景，需要根據(jù)業(yè)務(wù)暴露面劃分DMZ區(qū)，在互聯(lián)網(wǎng)邊界實(shí)現(xiàn)邊界安全防護(hù)。部署模式二中，UPF和MEP均位于客戶機(jī)房，其安全域劃分與部署模式一相同；部署模式三中，UPF與MEP處于不同的安全域，應(yīng)進(jìn)行安全隔離。

◎核心網(wǎng)安全隔離：部署模式一和部署模式三中，UPF與核心網(wǎng)之間屬于可信的連接，不需要安全隔離；部署模式二中，UPF與核心網(wǎng)之間應(yīng)部署防火墻進(jìn)行安全隔離。

（2）基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施應(yīng)提供安全的運(yùn)行環(huán)境，包括物理I/O安全接入、物理環(huán)境安全、操作端/客戶端安全加固、虛擬化軟件安全加固、虛擬機(jī)鏡像防篡改、容器倉(cāng)庫(kù)及容器鏡像防篡改等。

（3）UPF安全

下沉到邊緣的UPF還應(yīng)支持物理安全保護(hù)（如：設(shè)備斷電/重啟、鏈路網(wǎng)口斷開(kāi)等問(wèn)題發(fā)生后應(yīng)觸發(fā)告警等），信令流過(guò)載控制。對(duì)于部署模式二，UPF應(yīng)支持內(nèi)置安全功能（如支持IPSec協(xié)議/內(nèi)置虛擬防火墻）。UPF所在的宿主機(jī)可支持可信啟動(dòng)，保證UPF運(yùn)行在可信環(huán)境。

（4）MEP安全

MEP應(yīng)支持物理安全保護(hù)，支持對(duì)通信對(duì)端進(jìn)行身份認(rèn)證。API網(wǎng)關(guān)應(yīng)支持對(duì)MEC平臺(tái)的API調(diào)用進(jìn)行認(rèn)證和授權(quán)、安全審計(jì)。對(duì)于部署模式二和三，MEP所在的宿主機(jī)可支持可信啟動(dòng)，保證MEP運(yùn)行在可信環(huán)境。

（5）邊緣運(yùn)營(yíng)管理平臺(tái)安全

邊緣運(yùn)營(yíng)管理平臺(tái)應(yīng)對(duì)訪問(wèn)進(jìn)行身份認(rèn)證和授權(quán)，對(duì)上架的App進(jìn)行安全審核（如驗(yàn)證App來(lái)源合法、內(nèi)容合法等），只上架經(jīng)過(guò)安全審核的App。業(yè)務(wù)邊緣運(yùn)營(yíng)管理平臺(tái)中能夠被Internet直接訪問(wèn)的模塊（如web portal）應(yīng)部署到DMZ區(qū)，并和可信區(qū)進(jìn)行安全隔離。

（6）邊緣編排和管理系統(tǒng)安全

邊緣編排和管理系統(tǒng)應(yīng)支持對(duì)通信對(duì)端的身份進(jìn)行認(rèn)證，并對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)；應(yīng)支持對(duì)API接口調(diào)用進(jìn)行認(rèn)證和授權(quán)、安全審計(jì)，應(yīng)支持MEC應(yīng)用生命周期管理的相關(guān)操作安全，如MEC App應(yīng)用加載和實(shí)例化時(shí)應(yīng)支持驗(yàn)證管理員的身份和權(quán)限，應(yīng)支持驗(yàn)證MEC App應(yīng)用鏡像的完整性等。

（7）能力開(kāi)放安全要求

當(dāng)邊緣計(jì)算節(jié)點(diǎn)能力被其他平臺(tái)調(diào)用時(shí)，應(yīng)支持對(duì)調(diào)用方的身份認(rèn)證和授權(quán)、審計(jì)，對(duì)調(diào)用數(shù)據(jù)的傳輸進(jìn)行機(jī)密性和完整性保護(hù)。當(dāng)邊緣計(jì)算節(jié)點(diǎn)從運(yùn)營(yíng)商的其他能力開(kāi)放平臺(tái)調(diào)用網(wǎng)絡(luò)能力時(shí)，應(yīng)支持對(duì)調(diào)用數(shù)據(jù)的傳輸、存儲(chǔ)進(jìn)行機(jī)密性和完整性保護(hù)以及不再使用時(shí)安全擦除。

4.1.4 App安全要求

App應(yīng)支持對(duì)通信對(duì)端進(jìn)行身份認(rèn)證，對(duì)API調(diào)用進(jìn)行認(rèn)證和授權(quán)，安全審計(jì)，并對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。

4.1.5 安全管理通用要求

邊緣計(jì)算節(jié)點(diǎn)中的UPF、邊緣計(jì)算平臺(tái)、邊緣編排和管理系統(tǒng)、邊緣運(yùn)營(yíng)管理平臺(tái)和App等應(yīng)使用標(biāo)準(zhǔn)x.509證書(shū)，支持證書(shū)過(guò)期前提醒、證書(shū)更換，支持安全加固、流量過(guò)載限制、漏洞檢查、端口和服務(wù)最小化、敏感數(shù)據(jù)保護(hù)、賬號(hào)口令管理、日志審計(jì)要求等。

4.2 特有行業(yè)的其他安全要求

根據(jù)《5G應(yīng)用場(chǎng)景白皮書(shū)》中14個(gè)重點(diǎn)行業(yè)中與邊緣計(jì)算相關(guān)的垂直行業(yè)業(yè)務(wù)特征的分析，除了上述端到端的通用安全要求，部分垂直行業(yè)根據(jù)業(yè)務(wù)需求，還要求邊緣計(jì)算節(jié)點(diǎn)支持?jǐn)?shù)據(jù)不出場(chǎng)、隱私保護(hù)、內(nèi)容安全、專網(wǎng)專用等相關(guān)的安全要求，具體描述如下：

◎數(shù)據(jù)不出場(chǎng)：智慧工廠、醫(yī)院、能源等的數(shù)據(jù)敏感度高，行業(yè)客戶要求數(shù)據(jù)不出場(chǎng)，即數(shù)據(jù)在園區(qū)App實(shí)現(xiàn)閉環(huán)。在客戶安全要求特別高的情況下，邊緣計(jì)算節(jié)點(diǎn)應(yīng)支持按照客戶要求設(shè)置客戶專屬UPF，并在UPF上設(shè)置專屬深度神經(jīng)網(wǎng)絡(luò)（DNN）或上行分類器（Uplink Classifier，UL-CL）分流等，實(shí)現(xiàn)客戶數(shù)據(jù)只能終結(jié)在園區(qū)App。否則，可使用非客戶專屬UPF，在UPF上設(shè)置DNN或分流策略。

◎隱私保護(hù)：智慧金融、校園、電力等涉及用戶的賬號(hào)、消費(fèi)記錄、行為特征等個(gè)人隱私信息，行業(yè)客戶要求對(duì)隱私數(shù)據(jù)進(jìn)行保護(hù)。邊緣節(jié)點(diǎn)應(yīng)支持對(duì)傳輸?shù)囊约按鎯?chǔ)的敏感數(shù)據(jù)進(jìn)行機(jī)密性、完整性保護(hù)，并對(duì)存儲(chǔ)的數(shù)據(jù)設(shè)置訪問(wèn)控制權(quán)限。對(duì)于敏感數(shù)據(jù)的使用，應(yīng)支持為客戶提供脫敏措施，防止在使用中泄露敏感數(shù)據(jù)。在客戶不使用邊緣計(jì)算節(jié)點(diǎn)資源或者要?jiǎng)h除存儲(chǔ)在邊緣計(jì)算節(jié)點(diǎn)上的敏感數(shù)據(jù)時(shí)，應(yīng)支持對(duì)不需要的敏感數(shù)據(jù)進(jìn)行完全擦除。

◎內(nèi)容安全：智慧文旅、行業(yè)視頻等的內(nèi)容具有公眾效應(yīng)，如果被篡改或者泄露，可能造成不良的社會(huì)效應(yīng)，影響社會(huì)穩(wěn)定，所以應(yīng)支持對(duì)客戶的內(nèi)容數(shù)據(jù)的傳輸和存儲(chǔ)進(jìn)行機(jī)密和完整性保護(hù)，并設(shè)置訪問(wèn)控制權(quán)限。同時(shí)，為了避免傳播非法內(nèi)容，對(duì)社會(huì)造成危害，邊緣計(jì)算節(jié)點(diǎn)應(yīng)支持對(duì)內(nèi)容進(jìn)行信息安全審核。傳統(tǒng)的針對(duì)內(nèi)容的信息安全審核機(jī)制在核心網(wǎng)執(zhí)行，無(wú)法覆蓋邊緣計(jì)算場(chǎng)景，應(yīng)考慮新的邊緣計(jì)算的內(nèi)容信息安全審核措施。

◎?qū)＞W(wǎng)專用：對(duì)于智慧能源、無(wú)人礦山等，對(duì)網(wǎng)絡(luò)可靠性、網(wǎng)絡(luò)覆蓋性、特殊作業(yè)有嚴(yán)格要求，所以要求在園區(qū)使用專用基站和頻率。從安全的角度，一方面應(yīng)考慮部署在園區(qū)的專用基站與運(yùn)營(yíng)商核心網(wǎng)之間的安全隔離，防止專用基站對(duì)核心網(wǎng)的攻擊；另一方面，專用基站應(yīng)支持白名單機(jī)制，只允許園區(qū)客戶接入該基站。

5 端到端安全解決方案

5.1 端到端安全能力和安全服務(wù)

運(yùn)營(yíng)商擁有覆蓋面廣、穩(wěn)定、可靠的網(wǎng)絡(luò)，以及成熟的安全運(yùn)維經(jīng)驗(yàn)，能夠基于網(wǎng)絡(luò)現(xiàn)有的安全能力給客戶提供基礎(chǔ)的網(wǎng)絡(luò)安全功能之外，還能夠根據(jù)客戶需求，為每一個(gè)行業(yè)客戶提供按需的、端到端的安全解決方案，如圖3所示。

5.2 基礎(chǔ)端到端安全方案

運(yùn)營(yíng)商可以為行業(yè)客戶提供終端接入認(rèn)證、數(shù)據(jù)傳輸安全、邊緣節(jié)點(diǎn)安全的基礎(chǔ)端到端安全方案，具體包括：

◎終端接入認(rèn)證：可以提供標(biāo)準(zhǔn)化的接入機(jī)制，如4G的AKA，5G的AKA以及EPS-AKA等，能夠?qū)崿F(xiàn)終端和運(yùn)營(yíng)商核心網(wǎng)之間的雙向身份認(rèn)證，并可基于認(rèn)證的參數(shù)計(jì)算空口信令/數(shù)據(jù)的加密和完整性保護(hù)的密鑰。

◎空口傳輸安全：客戶有對(duì)空口數(shù)據(jù)進(jìn)行保護(hù)的需求時(shí)，運(yùn)營(yíng)商可以開(kāi)啟空口終端和基站之間的安全保護(hù)，即使用空口信令/數(shù)據(jù)的加密和完整性保護(hù)的密鑰來(lái)保護(hù)空口數(shù)據(jù)安全。

◎回傳安全：基站和UPF之間一般使用光纖進(jìn)行傳輸，相對(duì)比較安全。如果客戶有數(shù)據(jù)保護(hù)需求，基站和UPF之間可以建立IPSec安全通道，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。

◎邊緣節(jié)點(diǎn)安全：組網(wǎng)安全方面，應(yīng)使用防火墻實(shí)現(xiàn)不同安全域之間的隔離；應(yīng)在互聯(lián)網(wǎng)邊界部署抗DDoS、入侵檢測(cè)、防火墻、Web流量檢測(cè)等安全設(shè)備�；�礎(chǔ)設(shè)施安全方面，借鑒公有云、私有云以及電信云的安全方案，實(shí)施機(jī)房、硬件基礎(chǔ)設(shè)施和虛擬化基礎(chǔ)設(shè)施的安全方案，包括門禁設(shè)置、人員管理、服務(wù)器初始口令和弱口令清理、虛擬化軟件配置檢查等。UPF和MEP可以看成是虛擬網(wǎng)絡(luò)架構(gòu)（VNF），可通過(guò)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件的安全配置進(jìn)行檢查，保證安全配置被執(zhí)行，并設(shè)置流量閾值，對(duì)超過(guò)閾值的流量進(jìn)行限速處理等。邊緣運(yùn)營(yíng)管理平臺(tái)、邊緣編排和管理系統(tǒng)除了正確配置操作系統(tǒng)、數(shù)據(jù)庫(kù)和中間件，設(shè)置流量閾值之外，還可使用OAuth2.0等機(jī)制實(shí)現(xiàn)API訪問(wèn)的認(rèn)證和授權(quán)，并啟用日志記錄訪問(wèn)。

◎應(yīng)用安全：App在部署到運(yùn)營(yíng)商的邊緣節(jié)點(diǎn)之前，應(yīng)接受運(yùn)營(yíng)商的安全審查（如軟件包是否被篡改，是否包含漏洞，是否為合法來(lái)源等），并且App可通過(guò)OAuth2.0等機(jī)制實(shí)現(xiàn)API訪問(wèn)的認(rèn)證和授權(quán)。

5.3 安全服務(wù)方案

運(yùn)營(yíng)商可以通過(guò)構(gòu)建安全資源池，給行業(yè)客戶按需提供防護(hù)、檢測(cè)、運(yùn)維審計(jì)、主機(jī)安全等多個(gè)維度的安全服務(wù)。

安全資源池可以包含防護(hù)類、檢測(cè)類、運(yùn)維審計(jì)類以及主機(jī)安全類的虛擬化的安全設(shè)備或者物理安全設(shè)備。行業(yè)客戶可以通過(guò)邊緣計(jì)算運(yùn)營(yíng)管理平臺(tái)來(lái)訂購(gòu)安全服務(wù)，通過(guò)MEP來(lái)調(diào)用安全資源池中的安全能力。當(dāng)行業(yè)客戶成功訂閱安全服務(wù)后，可根據(jù)客戶訂閱的安全服務(wù)對(duì)App流量進(jìn)行安全防護(hù)。例如可通過(guò)在核心交換機(jī)上設(shè)置策略路由或者通過(guò)SDN控制器給交換機(jī)下發(fā)流表的方式將App流量引流到安全資源池的防護(hù)設(shè)備進(jìn)行防護(hù)；或者通過(guò)核心交換機(jī)鏡像將需要檢測(cè)的App流量復(fù)制一份到檢測(cè)類設(shè)備進(jìn)行安全檢測(cè)等。

目前業(yè)界的安全廠商已經(jīng)有成熟的安全資源池，安全資源池中的安全設(shè)備可以是虛擬化的安全設(shè)備，即安全功能部署在通用服務(wù)器上的虛擬機(jī)中，并且由統(tǒng)一的安全管理平臺(tái)通過(guò)私有接口對(duì)安全設(shè)備進(jìn)行集中的配置和管理，虛擬化安全設(shè)備的拉起、刪除等由廠家私有實(shí)現(xiàn)，不納入邊緣節(jié)點(diǎn)的資源編排。從資源統(tǒng)一編排、有效利用以及安全設(shè)備解耦、接口標(biāo)準(zhǔn)化、提升運(yùn)維效率的角度，將虛擬化的安全設(shè)備統(tǒng)一納入邊緣編排和管理系統(tǒng)進(jìn)行編排和管理將是后續(xù)安全資源池靈活為客戶提供安全服務(wù)的發(fā)展方向。

6 結(jié)語(yǔ)

本文分析了邊緣計(jì)算常見(jiàn)的部署模式、安全威脅。在此基礎(chǔ)上，針對(duì)行業(yè)客戶的通用安全要求和部分特有行業(yè)的其他安全要求進(jìn)行了分析，并提出了端到端安全解決方案、安全服務(wù)方案。邊緣計(jì)算涉及多種垂直行業(yè)，每個(gè)垂直行業(yè)細(xì)化的安全需求千差萬(wàn)別，后續(xù)還應(yīng)通過(guò)和垂直行業(yè)的緊密合作，深挖每個(gè)垂直行業(yè)細(xì)化的安全需求，并針對(duì)細(xì)化的安全需求完善端到端安全方案以及提升安全資源池的安全服務(wù)輸出能力。

 

（原載于《保密科學(xué)技術(shù)》雜志2020年9月刊）