5G MEC系統安全能力部署方案

劉云毅，張建敏，馮曉麗，張麗偉

5G MEC系統安全能力部署方案

劉云毅1，張建敏1，馮曉麗2，張麗偉2

（1. 中國電信股份有限公司研究院，北京 102209；2. 中國電信集團有限公司，北京 100033）

多接入邊緣計算（multi-access edge computing，MEC）作為5G網絡的核心差異能力，是電信運營商為企業客戶打造5G專網的關鍵技術。隨著5G MEC節點數量的增多，安全風險和安全防護方案等問題也日益受到關注。首先介紹了5G MEC系統架構，對其潛在安全風險進行了分析。在此基礎上，提出了5G MEC系統安全能力部署架構和方案，并介紹部署案例。最后，針對目前邊緣計算安全能力部署存在的問題與挑戰進行了討論，為后續研究開發提供了參考。

5G；多接入邊緣計算；安全能力；部署方案

0 引言

多接入邊緣計算（multi-access edge computing，MEC）作為5G網絡的關鍵技術，可將計算能力和網絡能力按需下沉到靠近用戶的網絡邊緣，從而有效提升用戶的業務體驗，推動網絡與業務深度融合[1]。隨著5G技術在垂直行業中的廣泛應用，MEC在解決低時延、大帶寬、數據不出場等業務問題或客戶需求中發揮著日益重要的作用，已成為運營商5G定制專網的核心能力和產品之一[2]。

隨著邊緣計算產業發展和邊緣節點的大規模部署，未來大量的邊緣節點將下沉到地市、區縣、客戶園區等網絡邊緣。邊緣應用和網絡能力的開放作為邊緣計算系統的核心能力，需要邊緣計算系統與5G網絡、運營管理系統進行頻繁交互，實現基于用戶個性化業務需求的靈活調度。5G邊緣計算可能會給運營商網絡引入一定安全風險，因此，需要對5G邊緣計算系統的潛在安全風險進行全面分析，從而制定相關方案進行安全能力建設和管控。

國內外研究機構和標準組織針對邊緣計算領域的安全問題也展開了一系列研究。歐洲電信標準組織（European Telecommunications Standards Institute，ETSI）發布MEC安全性白皮書，分析了與MEC安全相關的用例和要求，強調了邊緣云和邊緣設備帶來的安全挑戰[3]。文獻[4]分析了MEC架構中不同類別的安全威脅以及保護措施，建議MEC提供商實施多層安全控制機制，以降低針對性的攻擊風險。文獻[5]重點研究了 5G 網絡中MEC典型應用場景的安全漏洞，并提出相應的安全流程和解決策略。文獻[6]對 5G 邊緣計算中10個安全關鍵問題進行了分析，并提出安全解決方案。工業互聯網產業聯盟面向運營商和5G行業用戶，提出了5G邊緣計算安全防護策略，指導行業提升邊緣計算的安全能力[7]。

1 5G MEC系統架構

5G MEC系統架構如圖1所示，包括MEC業務管理平臺（集團級）、MEC業務管理平臺省級匯聚層、MEC邊緣節點3級架構。

1.1 MEC業務管理平臺（集團級）

MEC業務管理平臺（集團級）負責邊緣計算系統和業務的統一管理和控制，主要包含合作方門戶、運營支撐門戶、運維管理門戶，為用戶、運營和運維人員提供服務；能力管理、運營支撐、云邊協同、編排管理、安全管理和運維管理子系統，為前端門戶提供支撐；同時搭建應用倉庫，用于存儲應用鏡像文件。

MEC編排器（MEC orchestrator，MEO）作為系統核心控制組件，負責維護MEC系統的總體視圖，包括邊緣資源、應用服務以及網絡拓撲等，加載MEC應用數據包、檢查鏡像完整性、驗證MEC應用的規則和需求，并負責MEC應用部署、生命周期管理和遷移。

為支撐MEC業務統一運營和管理需求，MEC業務管理平臺需與業務支撐系統（business support system，BSS）、云網運營系統、云管平臺對接。與BSS對接，實現訂單信息及計費話單傳遞。云網運營系統承接MEC產品套餐開通需求，將其分解為相關專業的編排需求，包括5G 核心網（5G core，5GC）、承載及云資源。對接云管平臺實現對邊緣資源的統一納管。

1.2 MEC業務管理平臺省級匯聚層

MEC業務管理平臺省級匯聚層是MEC業務管理平臺（集團級）在省級的延伸，負責完成本省內邊緣節點的匯聚管理，包括MEC平臺管理器（MEC platform management，MEPM）和5GC proxy。MEPM負責執行MEC平臺（MEC platform，MEP）監控、配置、性能等管理，承接MEO編排下發的邊緣應用生命周期管理和配置需求。MEC系統通過5GC proxy與5GC對接，實現對5GC網絡原子能力的調用，提供網絡協同和能力開放。

1.3 MEC邊緣節點

MEC邊緣節點是MEC系統的業務節點，包括虛擬化層、MEC平臺和MEC應用[8]。其中，虛擬化層為MEC系統提供平臺、應用、服務的部署環境。MEC平臺作為邊緣節點的核心組件，支持網絡能力和業務能力的統一開放，接受MEC業務管理平臺的管理調度，執行和實現相應能力調用和管理策略。MEC應用通過與MEC平臺交互提供或使用邊緣服務[9]。

圖1 5G MEC系統架構

按照部署場景、交付形式不同，MEC平臺分為共享型MEC平臺和獨享型MEC平臺兩類。共享型MEC平臺通過MEC業務管理平臺實現集約管控，在同一資源池為不同用戶分配邏輯隔離的計算和網絡資源；獨享型MEC平臺為客戶專享，提供自主管理的自服務門戶，滿足客戶的本地化部署、數據不出場、高安全、私密性等需求，實現快速、靈活的邊緣節點集成交付。

2 5G MEC系統安全風險分析

基于5G MEC系統架構，本文對其潛在的安全風險進行分析，為安全能力部署方案提供依據。本文重點關注邊緣計算系統安全風險分析及部署方案，5G NR、承載網、5G核心網等安全問題不作重點討論。

2.1 MEC業務管理平臺（集團級）安全風險

MEC業務管理平臺（集團級）作為MEC系統的核心及“大腦”，其潛在安全風險如下。

（1）門戶風險：MEC業務管理平臺為用戶、運營支撐人員、運維人員提供可公網訪問的門戶，存在惡意流量攻擊、惡意入侵、網站高危漏洞被利用等風險。

（2）編排管理風險：MEO編排系統存在權限濫用、非授權使用、管理失效、鑒權接口漏洞等安全風險，攻擊者可以非法控制MEC系統和資源[10]。編排管理網絡存在消息不可達、命令被劫持及惡意篡改等風險。

2.2 MEC業務管理平臺省級匯聚層安全風險

（1）5GC風險：省級匯聚層與5GC相關網元互通，有可能將安全風險引入5GC，從而影響5G網絡的正常運行，需要進行重點安全保障。

（2）編排管理風險：MEPM存在與MEO類似的編排管理安全風險。

2.3 MEC邊緣節點安全風險

（1）物理安全風險

MEC邊緣節點大多部署在無人值守的邊緣機房，存在惡意人員入侵、設備斷電、網絡中斷等風險。

（2）虛擬化基礎設施安全風險

虛擬機間惡意攻擊風險：由于同一服務器上的虛擬機共享計算、存儲等資源，虛擬機之間存在相互擠占資源或惡意攻擊的風險。

容器間滲透風險：由于容器應用共用宿主機內核資源，若進程、文件系統等隔離不當，存在容器間相互滲透的安全風險。

（3）MEC平臺安全風險

平臺權限漏洞：若MEC平臺存在權限設置或安全漏洞，MEC平臺可能被攻擊者非授權訪問，從而影響平臺正常運行。

數據安全風險：存儲在邊緣節點的數據存在被損壞、篡改、泄露的安全風險。

（4）MEC應用安全風險

資源擠占風險：MEC應用共享邊緣節點資源，若某一應用占用的計算、存儲等資源過高，就可能會對其他應用的正常運行造成影響。

安全漏洞風險：若MEC應用存在中高危安全漏洞，該應用上線后，可能發生由于自身漏洞被攻破，向其他應用或MEC平臺進行惡意攻擊的安全風險，從而影響整個邊緣節點的安全性。

（5）MEC能力開放安全風險

能力開放風險：能力開放作為MEC的核心能力，可以將業務能力和網絡能力通過開放應用程序接口（application programming interface，API）的方式，開放給用戶使用，提升業務體驗。如果能力開放的權限控制不當，或者認證鑒權手段存在漏洞，可能存在能力被濫用或惡意使用的風險。

（6）網絡安全風險

邊緣用戶面功能（user plane function，UPF）安全風險：部署在邊緣機房或客戶機房的UPF需要與5GC連接實現信令面控制，一旦UPF被非授權接入，將對5GC造成威脅。

網絡邊界安全風險：MEC在企業內網及互聯網邊界存在惡意訪問、分布式拒絕服務（distributed denial of service，DDoS）攻擊等風險。

3 5G MEC安全能力部署方案

基于5G MEC系統架構以及安全風險分析，本節提出5G MEC安全能力部署架構和方案，并給出部署案例。

3.1 總體原則

5G邊緣計算安全能力部署需要統籌考慮相關法律法規及客戶實際需求，以國家網絡安全法律法規和監管要求為指導，以滿足企業安全運營和客戶安全的需求為落腳點，并按照上級單位監管、等保2.0、定級備案等安全要求，進行同步規劃、建設和使用。同時，應根據集約化原則，在滿足安全需求的情況下，通過調用集中安全能力池或邊緣安全能力池的安全能力，實現5G邊緣計算安全防護。

5G邊緣計算系統安全防護需要將安全能力部署與內部安全加固相結合，通過安全域劃分、隔離、基線配置規范、漏洞安全管控、權限管控等方式，提升MEC平臺自身安全防護能力；通過鏡像安全管控、應用安全隔離、細粒度的授權控制、應用生命周期管理、容器安全監測等技術手段，降低第三方應用引入的安全風險；此外，輔以相應的安全維護管理手段，構建全方位的邊緣計算安全防護體系。

3.2 部署方案

5G MEC系統安全能力多級部署架構與邊緣計算系統多級架構相匹配，包括安全管理平臺、集中安全能力池、邊緣安全能力池3級架構，如圖2所示。

（1）MEC業務管理平臺（集團級）安全

門戶安全防護：建議優先復用所在資源池已具備能力，進行網站應用防護系統（Web application firewall，WAF）、DDoS防護、入侵防御系統（intrusion prevention system，IPS）、防病毒、防火墻的安全配置。

編排管理安全加固：MEC業務管理平臺（集團級）與MEPM間實施雙向認證和白名單接入，對API調用進行認證授權、安全審計；通過專用虛擬專用網絡（virtual private network，VPN）通道傳輸數據，并進行機密性和完整性保護，防止編排管理系統或網絡被入侵。

圖2 5G MEC系統安全能力多級部署架構

應用鏡像安全管理：MEC系統提供安全加固后的公共虛擬機鏡像供用戶使用，用戶也可自行上傳私有鏡像。在應用倉庫部署鏡像漏洞掃描系統，只允許通過漏洞掃描的應用進行部署，避免帶病入網；鏡像傳輸通道加密傳輸，并開啟完整性校驗。為保證邊緣應用部署流程的完整性，建議鏡像漏洞掃描系統與MEC業務管理平臺集成部署。

自身安全加固：復用集中安全能力池已有能力進行安全加固，在MEC業務管理平臺部署代理客戶端，集中安全能力池部署管理端。對接數據庫審計系統，提供數據庫安全保護和審計能力；對接敏感數據控制系統，提供敏感數據脫敏、控制能力；對接主機入侵防護系統，提供主機微隔離等綜合能力；對接漏洞掃描系統，定期進行平臺漏洞掃描和加固工作；對接基線核查系統，提供系統基線配置標準化核查能力。

（2）MEC業務管理平臺省級匯聚層安全

5GC安全隔離管控：5GC proxy與5GC通過專用VPN通道對接，對傳輸數據進行機密性和完整性保護；實施雙向認證，并啟用白名單，不允許白名單以外的IP地址或用戶接入；5GC proxy與5GC設置防火墻進行安全隔離；只允許5GC proxy訪問網絡開放功能（network exposure function，NEF）或只訪問特定網元（不具備NEF時）；在進行網絡能力調用時，不允許直接傳遞5GC參數信息，或對其進行機密性保護。

編排管理安全加固：同MEC業務管理平臺（集團級）加固方案。

自身安全加固：同MEC業務管理平臺（集團級）安全加固方案，復用集中安全能力池已有能力進行安全加固，如數據庫審計、敏感數據控制、主機入侵防護、漏洞掃描、基線核查等安全能力。

（3）MEC邊緣節點安全

MEC邊緣節點建議按不低于其所承載應用的等保級別進行定級備案和安全能力匹配。

①物理安全

機房環境安全：由于MEC邊緣節點部署在邊緣機房或客戶機房，應在物理訪問控制、防盜竊、防破壞、防雷擊、防火、防水防潮、溫濕度控制和電力供應等方面對所在機房提出相關要求，并通過加鎖、遠程監控、人員管理及定期巡檢等方式保證物理環境安全。

物理設備安全：應要求邊緣設備具備物理安全增強功能，包括默認關閉本地維護端口、啟用密碼保護、對服務器I/O訪問控制、具備遠端集中監控告警功能。

②虛擬化安全

三平面安全隔離：劃分管理、存儲、業務三平面，并在物理服務器網卡上為各平面分配獨立物理網口，采用交叉互聯方式，保證三平面之間彼此隔離，提高可靠性。

虛擬機安全隔離：配置宿主機資源訪問控制權限，對Host OS、虛擬化軟件、Guest OS進行安全加固；設置虛擬機操作權限及資源使用限制，對同一物理機上不同虛擬機之間的資源進行隔離，并對資源使用情況進行監控[11]；同時，部署主機入侵防護系統，提供入侵檢測和主動防護能力。

容器安全檢測：部署容器安全檢測系統，對容器運行進行安全檢測，及時發現容器運行的異常行為。

③MEC平臺安全

加強對MEC平臺自身安全、數據防護和接口管控，規范MEC節點配置，提升MEC平臺安全性，具體措施如下。

平臺安全加固：對接集中安全能力池漏洞掃描系統，對MEC平臺進行安全掃描與評估，修復中高危漏洞，保障平臺安全；對接基線核查系統，對平臺的運行環境參數、自身配置、開發端口等進行安全基線管理和定期核查，并及時修復整改；在邊緣節點內部部署防病毒軟件，進行病毒防護。

數據安全防護：通過對接數據庫審計系統、敏感數據控制系統、內容安全審計平臺進行數據庫保護、敏感數據脫敏、內容安全監測等，保護數據安全。

④MEC應用安全

MEC應用安全需要通過應用隔離、資源監控、鏡像安全等手段，統一融合在MEC應用生命周期安全管理中。

應用隔離：MEC應用之間可采用虛擬擴展局域網（virtual extensible local area network，VxLAN）、虛擬局域網（virtual local area network，VLAN）或虛擬私有云（virtual private cloud，VPC）等方式實現邏輯隔離；MEC應用之間的訪問啟用授權機制；MEC虛擬化基礎設施對MEC應用使用的CPU、內存、存儲等資源進行隔離。

資源監控：對MEC應用的資源情況進行實時監控，并對資源消耗配置限額。

鏡像安全：對于共享型MEC平臺應用，MEC業務管理平臺作為應用部署的唯一入口，可復用應用倉庫鏡像掃描能力進行處理；對于獨享型MEC平臺應用，可通過部署鏡像掃描插件或復用集中安全能力池的漏洞掃描能力，對應用鏡像進行漏洞掃描和加固。

⑤MEC能力開放安全

認證授權管控：規范API的安全調用，對MEC應用發起的API調用采用證書等方式進行認證與鑒權，防止API非法調用；通過訪問列表ACL限制MEC應用對API的訪問；開啟API白名單，同時API調用請求應進行合法性驗證。

⑥網絡安全

邊緣UPF安全：邊緣UPF通過5G承載網專用VPN與5GC連接，進行雙向認證與鑒權，對非授權設備通信進行限制；雙方配置互訪白名單，僅允許白名單內的設備與5GC互訪。

網絡邊界安全：通過復用邊緣節點所在機房或邊緣安全能力池的防火墻、IPS、DDoS防護等能力，實現MEC平臺與邊緣UPF、企業網和互聯網邊界的安全隔離和訪問控制，對MEC邊緣節點進行數據保護、高級威脅防御、僵尸網絡防護等。原則上不建議MEC邊緣節點直接開放互聯網出口。

⑦運維管理安全

邊緣計算系統及各節點通過對接集團/省級安全管理平臺，實現統一安全維護管理。

邊緣計算系統各節點內部部署4A前置機，納入集中4A平臺，實現運維管理人員的集中賬號管理、認證授權、訪問控制和行為操作審計，遵循最小授權訪問原則，建立權限分離機制[12]。

邊緣計算系統通過對接集中NSOC平臺，對邊緣計算系統安全基礎信息、配置變更等信息收集管理，對邊緣資產進行存活識別和管理，對各類設備日志信息收集分析，實現配置安全管理、資產安全管理、日志安全審計等安全管理功能。

根據以上分析和安全部署方案，除平臺、虛擬化等自身安全加固外，對5G邊緣計算系統需要部署的安全能力進行了梳理，見表1。

3.3 部署案例

為了更好地支持5G業務應用的本地化部署，運營商某省公司建設共享型MEC邊緣節點，并與省級匯聚層、UPF、5GC、安全等系統進行對接，某共享型MEC邊緣節點組網架構如圖3所示。

根據實際情況和需求，在資源池出口核心交換機部署防火墻、IPS、WAF等流量型安全能力，實現安全隔離、高級威脅防御及Web應用保護，防止信息泄露和外部入侵。MEC節點內部劃分VLAN，建立VLAN配置訪問控制列表，細化安全控制粒度。通過STN承載網VPN加強訪問通道安全，同時也防止外部終端直接對系統進行攻擊。根據項目實際情況，資源池同局址部署數據庫審計服務器，進行數據庫安全防護。

非流量型安全能力方面，MEC平臺中云化部署容器安全檢測系統、漏洞掃描器、防病毒軟件、基線掃描代理軟件。具體部署方式為在服務器、虛擬機中安裝相關Agent軟件，進行中間件、漏洞、基線等信息采集；在資源池內部署前置機進行信息采集匯總，通過Nginx反向代理服務與集中安全平臺對接。

運維管理方面，通過DCN與省內集中NSOC平臺和4A平臺對接，實現運維安全管理。

本地化部署建設完成后，由外部第三方安全公司對該邊緣節點進行安全測評，以識別5G邊緣節點系統可能存在的安全風險，為安全加固以及安全防護等保障工作提供依據，保障5G邊緣節點的安全穩定運行。本次測評從MEC邊緣節點物理安全、計算環境安全、邊界安全、通信網絡安全、運營管理等方面進行評估，并評估邊緣節點系統安全防護策略的全面性及執行情況等，共涉及測評項30項，其中符合30項，不符合0項，安全測評結果顯示安全能力建設滿足相關建設指引要求。

表1 5G MEC系統安全能力部署對應

4 問題及挑戰

綜上所述，基于集約化原則和多級部署架構的5G邊緣計算安全能力部署方案可以實現安全能力部署與邊緣計算系統的融合，解決邊緣計算場景中的安全防護問題。然而，上述安全能力部署架構和方案也有很多問題與挑戰亟待解決。

圖3 某共享型MEC邊緣節點組網架構

（1）安全管理系統繁多，對接流程復雜，缺少集約管理平臺

根據集約化建設原則，5G邊緣計算系統通過對接集團、各省級安全管理平臺（如4A平臺、NSOC平臺、資源管理平臺等）實現安全維護管理功能，降低建設投資成本。由于各個安全管理平臺分散獨立，5G邊緣計算系統需要分別與各省安全管理系統進行對接，并分別打通平臺、網絡、管理流程等，對接流程復雜，缺少集約管理平臺進行統一管理。

（2）安全能力池集中部署模式對智能化引流技術提出較高要求

從集約化角度出發，在邊緣或集中安全能力池進行安全能力部署有利于安全能力統一管理、節省投資和維護成本，但WAF、IPS等安全能力需要對業務流量進行引流和清洗，對智能引流、智能路由技術等要求較高，需要云、網、業緊密協同，實現邊緣計算業務與安全防護。

（3）不同業務的安全防護能力需求各不相同，需要進行靈活編排

不同租戶、不同業務的安全能力需求差異較大。例如，某些業務安全防護要求較低，僅需要某幾項安全能力，而某些業務安全防護要求較高，希望可以專享某些安全能力，而不與其他租戶共享。因此，需要對安全業務鏈流量進行靈活編排，將安全管理編排服務與MEC業務相融合，實現邊緣計算應用、邊緣安全能力、安全業務鏈的統一編排管理，實現不同租戶和不同業務所需安全能力的定制化加載和靈活管控。

5 結束語

5G邊緣計算可將網絡能力和計算能力延伸到網絡邊緣和用戶邊緣，并與5G專網相結合，在垂直行業客戶的數字化轉型升級中發揮重要作用。本文對5G邊緣計算安全風險進行詳細探討，并提出相應的安全能力部署架構和方案，并對存在的問題及挑戰進行了思考，建議未來可從智能化引流、安全能力編排等方面展開深入研究與實踐，期望本文可以為5G邊緣計算的安全防護及建設部署提供一定的借鑒。

[1] 劉云毅, 張建敏, 楊峰義. 基于MEC的移動網絡CDN增強及部署場景建議[J]. 電信科學, 2019, 35(S2): 36-43.

LIU Y Y, ZHANG J M, YANG F Y. MEC-based mobile network CDN enhancement and deployment scenario recommendations[J]. Telecommunications Science, 2019, 35(S2): 36-43.

[2] 張建敏, 楊峰義, 武洲云, 等．多接入邊緣計算（MEC）及關鍵技術[M]. 北京: 人民郵電出版社, 2019．

ZHANG J M, YANG F Y, WU Z Y, et al. Multi-access edge computing (MEC) and key technologies[M]. Beijing: Posts and Telecom Press, 2019．

[3] ETSI white paper No.46. MEC security: status of standards support and future evolutions[R].2021.

[4] ALI B, GREGORY M A, LI S. Multi-access edge computing architecture, data security and privacy: a review[J]. IEEE Access, 2021(9): 18706-18721.

[5] RANAWEERA P, JURCUT A, LIYANAGE M. MEC-enabled 5G use cases: a survey on security vulnerabilities and countermeasures[J]. ACM Computing Surveys, 2022, 54(9): 1-37.

[6] 楊紅梅, 王亞楠. 5G邊緣計算安全關鍵問題及標準研究[J]. 信息安全研究, 2021, 7(5): 390-395.

YANG H M, WANG Y N. Study on security key issues and standards of 5G MEC[J]. Journal of Information Security Research, 2021, 7(5): 390-395.

[7] 工業互聯網產業聯盟. 5G邊緣計算安全白皮書[R]. 2020.

Alliance of Industrial Internet. 5G edge computing security white paper[R]. 2020.

[8] 張建敏, 謝偉良, 楊峰義, 等. 移動邊緣計算技術及其本地分流方案[J]. 電信科學, 2016, 32(7): 132-139.

ZHANG J M, XIE W L, YANG F Y, et al. Mobile edge computing and application in traffic offloading[J]. Telecommunications Science, 2016, 32(7): 132-139.

[9] 張蕾, 劉云毅, 張建敏, 等. 基于MEC的能力開放及安全策略研究[J]. 電子技術應用, 2020, 46(6): 1-5.

ZHANG L, LIU Y Y, ZHANG J M, et al. Research on capability exposure and security strategy based on MEC[J]. Application of Electronic Technique, 2020, 46(6): 1-5.

[10] 何明, 沈軍, 吳國威, 等. MEC安全探討[J]. 移動通信, 2019, 43(10): 2-6.

HE M, SHEN J, WU G W, et al. Discussions on the security of MEC[J]. Mobile Communications, 2019, 43(10): 2-6.

[11] IMT-2020(5G)推進組, 中國信息通信研究院. 5G安全知識庫[R]. 2021.

IMT-2020(5G) Promotion Group, CAICT. 5G security knowledge base[R]. 2021.

[12] 何明, 沈軍, 吳國威. MEC安全建設策略[J]. 移動通信, 2021, 45(3): 26-29, 34.

HE M, SHEN J, WU G W. Strategy on the security construction of MEC[J]. Mobile Communications, 2021, 45(3): 26-29, 34.

5G MEC system security capability deployment scheme

LIU Yunyi1, ZHANG Jianmin1, FENG Xiaoli2, ZHANG Liwei2

1. Research Institute of China Telecom Co., Ltd., Beijing 102209, China 2. China Telecom Group Co., Ltd., Beijing 100033, China

Multi-access edge computing (MEC), as the core differentiated capability of 5G, is the key technology for telecom operators to build private 5G networks for enterprises. With the increase of 5G MEC nodes, security risks and protection schemes are increasingly concerned. Based on the description of 5G MEC system architecture, the potential security risks were analyzed. On this basis, the security capability deployment architecture and scheme of the 5G MEC system were proposed, and the deployment case was introduced. Finally, the current problems and challenges in the deployment of MEC security capabilities were discussed to provide references for subsequent research and development.

5G, MEC, security capability, deployment scheme

TN929.5

A

10.11959/j.issn.1000–0801.2022265

2022?03?23；

2022?09?23

劉云毅（1993? ），男，中國電信股份有限公司研究院中級工程師，主要研究方向為移動通信與邊緣計算。

張建敏（1983? ），男，中國電信股份有限公司研究院教授級高級工程師，主要研究方向為移動通信技術與邊緣計算等。

馮曉麗（1983? ），女，中國電信集團有限公司高級項目經理、5G MEC產品運營經理，主要研究方向為5G MEC。

張麗偉（1982? ），女，中國電信集團有限公司云網運營部政企智能服務運營中心室主任，主要研究方向為5G移動通信、5G定制專網等。