5GMEC關鍵技術及安全隔離措施研究

□ 文 黃 嘉 聶煒玲 王麗秋 李艷俊

1. 概述

MEC（Multi-access Edge Computing）概念出現于2013年，初期被稱為移動邊緣計算（Mobile Edge Computing），即將云計算平臺從移動核心網絡內部遷移到移動接入網邊緣。ETSI定義的MEC是在靠近移動用戶的RAN網絡中為用戶提供基于IT架構和云計算的能力的平臺。2016年后，MEC定義正式擴展為多接入邊緣計算，將應用場景從移動網絡進一步延伸至其他網絡MEC（Multi-access Edge Computing）。

MEC是將應用、內容和核心網部分業務處理的功能一同部署到網絡邊緣，通過業務靠近用戶，以內容、應用和網絡的協同來提供極致、可靠的業務體驗。

MEC可以看作是一個運行在網絡邊緣的云服務器，是一個部署位置靈活的業務容器，可以部署在地市、縣級、單基站、C-RAN、城域甚至用戶園區等位置，還可以作為第三方平臺，按需在邊緣位置靈活地部署不同類型的業務。邊緣計算可以重點解決一些中心化云計算所無法高效解決的問題：例如構建在RAN側，通過邊緣技術使得網絡服務和網絡功能脫離核心網絡，實現節省成本、降低時延、優化流量、增強物理安全和緩存效率等優勢，從而使用戶得到更加極致的體驗。

本文主要介紹MEC產生的背景、適用的場景、業務處理流程及部署方案等，便于運營商理解MEC技術的要點及部署關鍵點。

2. MEC的網絡架構及特點

3GPP 23501中定義，MEC對應的網元為5G核心網架構中的邊緣UPF。邊緣UPF基于與本地網絡之間的N6接口實現業務的本地卸載和分流；通過N9與核心網的其他UPF對接；通過N4接口和SMF實現聯動如圖1所示。

MEC技術功能與特點如下：

● 精準計費

MEC支持將本地分流的業務數據流的計費信息上報，從而實現基于流量類型和業務類型的精準計費，可無縫銜接和繼承運營商已經部署的計費方式。

● 減少流量迂回、降低時延

下沉部署的MEC可以將本地業務的數據直接分流到本地部署的服務器，避免了流量到中心核心網的迂回，減少了業務傳輸時延，是挑戰超低時延的必要手段。MEC部署在靠近基站或企業園區等邊緣位置，使得內容源最大程度的靠近用戶，甚至可以使終端在本地直接訪問到內容源，從數據傳送路徑上降低了業務端到端響應的時延。

比如在地市或者區縣部署的CDN服務器，當機房中同時部署MEC時，訪問CDN服務器的用戶請求和響應都不需要再迂回到省中心核心網，便可以直接從本地獲取數據，大大降低了業務訪問的時延。

比如AR/VR業務要求端到端時延需小于20ms以消除用戶的不適感；自動駕駛等時延敏感業務要求1ms端到端時延來支撐業務發展。MEC通過將網絡功能部署在最靠近用戶的邊緣位置，使用戶感受到極致的體驗。

研究表明，未來有近70%的Internet內容可以在靠近用戶的城域范圍內終結?；谏鲜龅腗EC邊緣解決方案，可將這些內容存儲在本地，MEC與用戶之間的傳輸距離縮短，流量在本地被卸載，大大節省了MEC到核心網和Internet的傳輸資源，進而為運營商節省近50%的網絡建設投資。

● 能力開放

ETSI定義的MEC，是一個具備無線網絡能力開放和運營能力開放的平臺，MEC可通過公開API的方式，為運行在平臺主機上的第三方應用提供：業務控制、無線網絡信息、位置信息等多種服務。MEC提供能力的開放，可以集成第三方的各種應用，解決運營商急需的各種問題（如內容下移），并且為運營商打開垂直行業市場提供無限可能。

目前，越來越多的2B領域希望基于移動網絡實現行業定制服務。通過MEC提供開放的平臺，可以開啟電信行業和垂直行業的創新合作模式。

3. MEC關鍵技術

在5G SA核心網網絡架構中，MEC解決方案對應的網元實體是邊緣UPF。邊緣UPF將作為中心UPF的邊緣形態，實現流量卸載，并與SMF基于標準的N4接口對接，與其他UPF實現基于標準的N9接口對接。

MEC關鍵技術如下：

3.1 本地分流

對于邊緣的eMBB等業務，下沉部署的MEC可以將本地業務的數據直接分流到本地部署的MEP服務器，避免了流量在核心網的迂回，減少了業務傳輸時延，是挑戰零時延的必要手段。

MEC通過支持本地流量的分流（Local Breakout），作為遠端節點下移到邊緣部署，滿足各種互聯網業務、CDN下移部署以及垂直行業本地分流的要求。比如在視頻監控數據上傳的某場景的視頻監控器通過下移部署的MEC，監控的數據可以直接上傳到本地服務器，而不需要上傳遠端的互聯網，增強了監控的實時性。

本地分流技術也可以應用于校園、博物館、體育館等人口密集，本地業務訪問較為集中的場合，MEC本地分流技術的應用和部署可以在此類業務中不斷復制。

3.2 能力開放

MEC與NEF配合可實現本地業務的能力開放，可應用于文化場館、機場等場景的實時業務訂購和發放。例如，旅客在機場候機恰遇航班晚點，機場WIFI質量無法滿足用戶需求，手機套餐流量費用較高時，可通過向運營商購買包時的本地免流量費業務，在機場候機期間，免費使用流量業務。

圖2 本地分流場景下的移動性管理示意圖

開放的能力由NEF提供。用戶向運營商訂購實時的套餐，運營商調用NEF開放的接口對單用戶開放本地業務。NEF基于與UPF之間的接口下發業務使能策略，MEC再傳遞用戶信息和業務策略。當終端用戶發起對本地網絡的訪問時，MEC可以基于策略實時的控制對本地業務的使能。

3.3 移動性管理

當部署了MEC的場景下進行本地分流時，若用戶發生了跨NR的切換，如果兩個MEC對接同一個本地資源，則跨MEC切換時本地分流業務不會受到影響；若傳輸層的連接中斷，業務層面能夠斷點續傳（如視頻業務），則業務層面感知不到中斷如圖2所示。

用戶跨NR切換，對于部署了MEC進行本地分流的場景，存在表1中描述的三種情況，對應的影響分析如下：

表1 MEC本地分流場景對比分析表

表1針對的是MEC部署能夠影響的業務，對于VoLTE業務，由于采用了獨立APN是不受MEC部署影響的，業務連續性與MEC無關。

4. 邊緣計算安全管控措施

4.1 移動邊緣計算的安全威脅

對于移動運營商的網絡，核心網機房處于相對封閉的環境，只受運營商自行控制，安全性具有非常高等級的保證。而接入網相對更易被用戶接觸，處于相對不安全的環境。邊緣計算的本地業務卸載特性，使得數據在核心網之外終結，運營商的控制力大大減弱，攻擊者可能通過MEP平臺或第三方應用攻擊核心網，造成敏感數據泄露等威脅。所以，邊緣計算安全成為邊緣計算建設初期就必須要重點考慮的關鍵問題。

根據ETSI的MEC架構，移動邊緣計算可能會受到的安全威脅重點應考慮如下：

（1）基礎設施安全：與移動云計算基礎設施的安全威脅類似，攻擊者可通過近距離接觸硬件基礎設施，對其進行物理攻擊；攻擊者可非法訪問服務器的I/O接口，獲得運營商用戶的敏感信息；攻擊者可篡改鏡像，利用虛擬化軟件漏洞攻擊MEP平臺或者APP所在的虛擬機或容器，從而實現對MEP平臺或者APP的攻擊。

（2）MEP平臺安全：平臺存在病毒、木馬攻擊；MEP平臺和APP等通信時，傳輸數據被攔截、篡改；攻擊者可通過惡意APP對MEP平臺發起非授權訪問，導致用戶敏感數據泄露；當MEC以虛擬化的VNF或者容器方式部署時，VNF及容器的安全威脅也會影響APP。

（3）APP安全：APP存在病毒、木馬攻擊；APP和MEP平臺等通信時，傳輸數據被攔截、篡改；惡意用戶或惡意APP可非法訪問用戶APP，導致敏感數據泄露等。另外，在APP的生命周期中，它可能隨時被非法創建、刪除等。

（4）MEC的MANO系統：MEC的編排和管理網元（如移動邊緣MANO）存在被木馬、病毒攻擊的可能性；MANO的相關接口上傳輸的數據被攔截和篡改等；攻擊者可通過大量惡意終端上的APP，不斷地向用戶APP生命周期管理節點發送請求，實現MEP上的屬于該用戶終端的APP的加載和終止，對MEC編排網元造成攻擊。

（5）數據面網關安全：存在的木馬、病毒攻擊；攻擊者近距離接觸數據網關，獲取敏感數據或篡改數據網管配置，進一步攻擊核心網；U面網關與MEP平臺之間傳輸的數據被篡改、攔截等。

4.2 安全隔離措施

移動邊緣計算中的數據安全和隱私保護，主要面臨以下四個方面的挑戰：

（1）由于移動邊緣計算是一種融合了以授權實體為中心的多信任域共存的計算模式，使傳統的數據共享和加密策略不再適用于移動邊緣計算中基于多授權方的數據加密與細顆粒度數據共享需求。因此，設計面向多授權中心的數據加密方法便尤為重要。

（2）分布式計算環境下的多源數據傳播控制和安全性管理的問題。在邊緣大數據時代，網絡邊緣節點中的信息產生量呈現井噴式增長。運營商希望能夠采用高效的信息傳播管控和訪問控制方法來實現數據的搜索、分發、獲取以及控制海量數據的授權范圍。

（3）移動邊緣計算的大規?；ヂ搼门c資源受限終端之間的安全隱患。由于移動邊緣計算的多源數據融合性、通信和互聯網絡的疊加性以及邊緣終端的計算、存儲等方面的資源限制，使傳統的身份認證協議、訪問控制措施、加密算法和隱私保護策略在移動邊緣計算中無法適用。

綜上所述，面向SBA以及邊緣計算對高效隱私保護有新要求。網絡邊緣計算設備產生的數據均涉及用戶隱私，使安全問題顯得尤為突出。除了需要設計有效的隱私保護方案外，如何將傳統的個人隱私保護措施與邊緣計算環境中的數據處理特性相結合顯得尤為重要。

部署MEC并不影響運營商的網絡安全，本地業務可在MEC與本地服務器之間通過部署防火墻的方式進行網絡的隔離。對于在eNodeB/NR與S/PGW/UPF之間已經部署了IPSEC的網絡，MEC支持維護IPSEC隧道，以保證數據傳輸的安全性。具體如下圖3所示：

5. 小結

MEC是融合了IT和CT技術，基于面向未來5G架構的ICT融合基礎設施。MEC支持本地網關和分流處理能力，支持SA能力，支持本地業務的計費與合法監聽協同處理。同時還提供虛擬化的計算和存儲資源，供第三方應用軟件使用。除滿足通用計算、存儲、標準化之外，同時專注移動通信管道需要的大接入、大帶寬、低時延、高可靠能力；并提供豐富的硬件接口能力，滿足移動通信（接入、匯聚企業園區的機房）環境靈活部署要求，靈活構建電信級云基礎設施。本文重點針對MEC的網絡架構及特點、關鍵技術、和面臨的安全性問題及解決手段等要點進行分析闡述，為運營商建設5G核心網，大力發展邊緣計算業務提供參考?！?/p>

圖3 邊緣計算安全隔離示意圖