移動邊緣計算安全研究

莊小君, 楊波, 王旭, 彭晉

（中國移動通信有限公司研究院，北京 100053）

目前5G研究正在業(yè)界如火如荼的開展。5G網絡通過支持增強移動帶寬、低時延高可靠、大規(guī)模MTC終端連接三大業(yè)務場景，滿足用戶高帶寬、低時延和大連接業(yè)務的需求。移動邊緣計算提供本地分流、靈活路由、高效計算和存儲能力，成為滿足5G支持三大業(yè)務場景的關鍵技術如下。

（1） 增強移動帶寬(eMBB)的高帶寬，給核心網帶來更大的數據流量沖擊，負責用戶數據轉發(fā)的網關成為整個網絡的瓶頸。移動邊緣計算提供的本地分流、靈活路由等，能夠有效減緩核心網的數據傳輸壓力。

（2） 超低時延高可靠(uRLLC)的時延限制，對網絡時延提出苛刻的要求。移動邊緣計算提供的本地業(yè)務處理、內容加速等技術，明顯減少數據流在核心網中的傳輸時間。

（3） 大規(guī)模MTC終端連接(mMTC)存在很多資源受限的物聯(lián)網終端，無法實現高能耗的計算、存儲等。移動邊緣計算可為物聯(lián)網終端近距離提供計算、存儲能力。

在5G架構設計中，通過支持用戶面數據網關的下沉部署、靈活分流等，實現對移動邊緣計算的支持。同時，移動邊緣計算可將移動網絡的位置服務、帶寬管理等開放給上層應用，從而實現優(yōu)化業(yè)務應用，開發(fā)新商業(yè)模式，進一步促進移動通信網絡和業(yè)務的深度融合，提升網絡的價值，如圖1所示。

由于移動邊緣計算平臺和移動邊緣計算應用部署在通用服務器上，并且靠近用戶，處于相對不安全的物理環(huán)境、管理控制能力減弱等，導致移動邊緣計算存在移動邊緣計算平臺和移動邊緣計算應用遭受非授權訪問、敏感數據泄露、(D)DoS攻擊，物理設備遭受物理攻擊等安全問題。因此，移動邊緣計算安全成為移動邊緣計算安全研究中需重點解決的問題之一。

本文在介紹邊緣計算概念的基礎上，重點分析了移動邊緣計算的安全威脅、安全防護框架及防護要求，并展望后續(xù)研究方向。

圖1 邊緣計算的價值

1 邊緣計算概念

1.1 ETSI MEC移動邊緣計算

移動邊緣計算由歐洲電信標準化協(xié)會（ETSI）提出，主要是指通過在靠近網絡接入側部署通用服務器，從而提供IT服務環(huán)境以及云計算能力，旨在進一步減少時延，提升網絡運營效率、提高業(yè)務分發(fā)、傳送能力，優(yōu)化、改善終端用戶體驗。2014年9月，ETSI成立了MEC（Mobile Edge Computing，移動邊緣計算）工作組，針對MEC技術的服務場景、技術要求、框架以及參考架構（如圖2所示）等開展深入研究。2016年，ETSI把此概念擴展為多接入邊緣計算，將邊緣計算能力從電信蜂窩網絡進一步延伸至其它無線接入網絡（如Wi-Fi）。

MEC參考架構與ETSI的NFV架構很類似（如圖3所示）。由物理基礎設施（Mobile Edge Host）和虛擬化基礎設施為ME app和MEC平臺提供計算、存儲和網絡資源，由MEC平臺實現ME app的發(fā)現、通知以及為ME app提供路由選擇等管理，由虛擬化基礎設施管理提供對虛擬化基礎設施的管理，由移動邊緣計算平臺管理提供對移動邊緣計算平臺的管理，由移動邊緣編排器提供對ME app的編排。ETSI在2017年2月發(fā)布了在NFV環(huán)境中如何部署MEC架構，為MEC在移動網絡中的落地提供了實施指南。此部署場景中，ME app和移動邊緣計算平臺MEP均為VNF部署在NFV基礎設施上。

圖2 MEC參考架構

圖3 MEC參考架構和NFV參考架構對比

1.2 其它邊緣計算

隨著5G以及移動互聯(lián)網、物聯(lián)網的發(fā)展，邊緣計算目前已成為一個業(yè)界高度關注的技術之一，產業(yè)界根據各自需求和現狀提出了多種邊緣計算的定義。如ECC(Edge Computing Consortium)定義邊緣計算是在靠近物或數據源頭的網絡邊緣側，融合網絡、計算、存儲、應用核心能力的開放平臺，并提出了邊緣計算參考架構2.0；2011年，思科針對物聯(lián)網場景提出了霧計算的概念，將數據、處理和應用程序集中在網絡邊緣的設備中，而不是幾乎全部保存在云中，是云計算的延伸概念。2015年11月，由ARM、思科、戴爾、英特爾以及微軟等成立了OpenFog Consortium（開放霧聯(lián)盟）。霧計算技術將計算、通信、控制和存儲資源與服務分布給用戶或靠近用戶的設備與系統(tǒng)。2017年2月OpenFog Consortium宣布發(fā)布OpenFog參考架構。該架構是一個旨在支持物聯(lián)網、5G和人工智能應用的數據密集型需求的通用技術框架。OpenFog參考架構描述了OpenFog的八大支柱和描述架構。

以上標準和產業(yè)界的邊緣計算概念均具備靠近網絡邊緣、業(yè)務本地化處理等特點，從而更好的為用戶提供高帶寬、低時延和大規(guī)模MTC終端連接業(yè)務。目前業(yè)界邊緣計算標準還在制定中，邊緣計算平臺以及業(yè)務的部署處于技術驗證階段。本文后續(xù)將基于ETSI MEC架構展開分析。

2 移動邊緣計算應用場景

MEC典型的應用場景可以分成本地分流、數據服務和業(yè)務優(yōu)化3個大類。

（1）本地分流是利用MEC進行內容本地分流業(yè)務，提升運營商用戶體驗、并節(jié)省運營商傳輸帶寬，主要包括本地視頻監(jiān)控、VR/AR、本地視頻直播、工業(yè)控制以及邊緣CDN等。

（2）數據服務是MEC應用利用通過MEC平臺提供的移動運營商網絡的位置信息等進行其它業(yè)務開發(fā)，提供高價值智能服務，主要包括室內定位、車聯(lián)網等。

（3）業(yè)務優(yōu)化是MEC應用根據網絡的QoS來調整應用的發(fā)送機制，提升用戶的業(yè)務體驗，包括視頻直播和游戲加速等。

圖4描述了某運營商基于MEC的CDN下沉方案。

圖4 網關+CDN下沉方案

該方案中，R-GW充當分流網關，其分流策略可以通過手工或自動的方式進行配置。R-GW將用戶流量分流到MEC平臺上的CDN應用，實現CDN下沉，提供加速內容業(yè)務，從而給用戶提供更好的業(yè)務體驗。

3 移動邊緣計算安全

3.1 移動邊緣計算的安全威脅

對于運營商的網絡，一般認為核心網機房處于相對封閉的環(huán)境，受運營商控制，安全性有一定保證。而接入網相對更易被用戶接觸，處于不安全的環(huán)境。邊緣計算的本地業(yè)務處理特性，使得數據在核心網之外終結，運營商的控制力減弱，攻擊者可能通過邊緣計算平臺或的應用攻擊核心網，造成敏感數據泄露、 (D)DOS攻擊等。所以，邊緣計算安全成為邊緣計算建設必須要重點考慮的關鍵問題。根據ETSI的MEC架構，其安全威脅如圖5所示。

圖5 邊緣計算安全威脅

邊緣計算的安全威脅重點應考慮如下。

（1）基礎設施安全：與云計算基礎設施的安全威脅類似，包括攻擊者可通過近距離接觸硬件基礎設施，對其進行物理攻擊；攻擊者可非法訪問物理服務器的I/O接口，獲得敏感信息；攻擊者可篡改鏡像，利用Host OS或虛擬化軟件漏洞攻擊Host OS或利用Guest OS漏洞攻擊MEC平臺或者ME app所在的虛擬機或容器，從而實現對MEC平臺和/或者ME app的攻擊。

（2）MEC平臺安全：平臺存在木馬、病毒攻擊；MEC平臺和ME app等通信時，傳輸數據被篡改、攔截、重放；攻擊者可通過惡意ME app對MEC平臺發(fā)起非授權訪問，導致敏感數據泄露或(D)DoS攻擊等；當MEC平臺以VNF或容器方式部署時，VNF或容器的安全威脅（如VNF分組被篡改、鏡像被篡改等）也會影響ME app。

（3）ME app安全：ME app存在木馬、病毒攻擊；ME app和MEC平臺等通信時，傳輸數據被篡改、攔截、重放；惡意用戶或惡意ME app可非法訪問ME app，導致敏感數據泄露、(D)DoS攻擊等；當ME app以VNF或容器方式部署時，VNF或容器的安全威脅（如VNF分組被篡改、鏡像被篡改等）也會影響ME app。另外，在ME app的生命周期中，ME app可能被非法創(chuàng)建、刪除、更新等。

（4）MEC編排和管理系統(tǒng)：MEC編排和管理系統(tǒng)的網元（如移動邊緣編排器）存在木馬、病毒攻擊；編排和管理網元的相關接口上傳輸的數據被篡改、攔截和重放等；攻擊者可通過大量惡意終端上的UE app，不斷的向User app生命周期管理代理發(fā)送請求，實現MEC平臺上的屬于該終端的ME app的加載加載、實例化、終止等，對MEC編排網元造成(D)DoS攻擊。

（5）數據面網關安全：存在的木馬、病毒攻擊；攻擊者近距離接觸數據網關，獲取敏感數據或篡改數據網管配置，進一步攻擊核心網；數據面網關與MEC平臺等之間傳輸的數據被篡改、攔截和重放等。

3.2 移動邊緣計算的安全防護框架

邊緣計算安全除了考慮基礎設施的安全以及管理、組網安全之外，還應考慮MEC平臺安全、ME app安全、數據面網關安全以及MEC編排和管理的安全，其安全防護框架如圖6所示。

移動邊緣計算的安全防護，應該包含以下要求。

（1）基礎設施安全：在物理基礎設施安全方面，應通過加鎖、人員管理等保證物理環(huán)境安全，并對服務器的I/O進行訪問控制。在條件允許時，可使用可信計算保證物理服務器的可信；在虛擬基礎設施安全方面，應對Host OS、虛擬化軟件、Guest OS進行安全加固，防止鏡像被篡改，并提供虛擬網絡隔離和數據安全機制。當部署容器時，還應考慮容器的安全，包括容器之間的隔離，容器使用root權限的限制等。

（2）MEC平臺安全：MEC平臺與其它實體之間通信應進行相互認證，并對傳輸的數據進行機密性和完整性、防重放保護； 調用MEC平臺的API應進行認證和授權；MEC平臺應進行安全擊鼓，實現最小化原則，關閉所有不必要的端口和服務；MEC平臺的敏感數據（如用戶中的位置信息、無線網絡的信息等）應進行安全存儲，禁止非授權訪問。MEC平臺還應具備 (D)DoS防護功能等。

（3）ME app安全：包含生命周期安全、用戶訪問控制、安全加固、(D)DoS防護和敏感數據安全保護，實現只有合法的ME app才能夠上線，合法的用戶才能夠訪問ME app。具體包括ME app加載、實例化以及更新、刪除等生命周期管理操作應被授權后執(zhí)行；應對用戶的訪問進行認證和授權；ME app應進行安全加固；應對ME app的敏感數據進行安全的存儲，防止非授權訪問；ME app占用的虛擬資源應有限制，防止惡意移動邊緣應用故意占用其它應用的虛擬化資源；ME app釋放資源后，應對所釋放的資源進行清零處理。

圖6 邊緣計算安全防護框架

（4）數據面網關安全：包含數據面網關的安全加固、接口安全、敏感數據保護以及物理接觸攻擊防護，實現用戶數據能夠按照分流策略進行正確的轉發(fā)。具體包括數據面與MEP之間，數據面與交互的核心網網元之間應進行相互認證；應對數據面與MEP之間的接口，數據面與交互的核心網網元之間的接口上的通信內容進行機密性、完整性和防重放的保護；應對數據面上的敏感信息（如分流策略）進行安全保護；數據面是核心網的數據轉發(fā)功能網元，從核心網下沉到接入網，應防止攻擊者篡改數據面網元的篡改配置數據、讀取敏感信息等。

（5）MEC編排和管理安全：包含接口安全、API調用安全、數據安全和MEC編排和管理網元安全加固，實現對資源的安全編排和管理。具體包括編排和管理網元的操作系統(tǒng)和數據庫應支持安全加固；應防止網元上的敏感數據泄漏，確保數據內容無法被未經授權的實體或個人獲取；編排和管理系統(tǒng)網元之間的通信、與其它系統(tǒng)之間的通信應進行相互認證，并建立安全通道；如果需遠程登錄移動邊緣編排和管理系統(tǒng)網元，應使用SSHv2等安全協(xié)議登陸進行操作維護。

（6）管理安全：與傳統(tǒng)網絡的安全管理一樣，包含賬號和口令的安全、授權、日志的安全等，保證只有授權的用戶才能執(zhí)行操作，所有操作記錄日志。

（7）組網安全：與傳統(tǒng)的組網安全原則相同，包含三平面的安全隔離、安全域的劃分和安全隔離。具體包括應該實現管理、業(yè)務和存儲三平面的流量安全隔離；在網絡部署時，應通過劃分不同的VLAN網段等實現不同安全域之間的邏輯隔離或者使用物理隔離方式實現不同安全級別的安全域之間的安全隔離，保證安全風險不在業(yè)務、數據和管理面之間、安全域之間擴散。

4 移動邊緣計算安全展望

目前，移動邊緣計算還處于研究和試驗階段，對于ME app的類型、應用場景等，運營商以及產業(yè)界均還在探索和試點中。本文主要針對移動邊緣計算概念、可能的應用場景、以及架構層面的安全威脅進行了分析，并提出架構層面的安全防護框架和安全防護要求。對于針對具體的移動邊緣計算應用場景的安全，還需根據應用的需求進行深入分析，包括移動邊緣計算應用的業(yè)務安全、數據安全以及安全監(jiān)控等。另外，當對于有高安全級別需求的移動邊緣計算應用，運營商還應考慮如何通過能力開放，將網絡的安全能力以安全服務的方式提供給移動邊緣計算應用，實現在滿足安全需求的同時，開發(fā)更多的商業(yè)模式，創(chuàng)造更多的網絡價值。