朱京毅

（中國移動通信集團上海有限公司，上海 200060）

0 引 言

網(wǎng)絡(luò)安全已成為事關(guān)國家政治、經(jīng)濟、社會及國防等安全的重要組成部分，受到方方面面的政策環(huán)境影響。以習(xí)近平總書記網(wǎng)絡(luò)安全系列講話精神為指引，從國際和國內(nèi)安全形勢分析入手，總結(jié)當(dāng)前電信行業(yè)面臨的安全挑戰(zhàn)和機遇，并結(jié)合中美貿(mào)易摩擦的大背景，全面關(guān)注我國網(wǎng)絡(luò)安全的整體形勢。其中，5G發(fā)展已被提升至國家安全戰(zhàn)略層面，各國紛紛將5G安全定位為發(fā)展的重點。

中國在5G技術(shù)發(fā)展和市場競爭中日益占據(jù)先發(fā)優(yōu)勢和主導(dǎo)地位，引發(fā)了部分歐美等國際社會對未來網(wǎng)絡(luò)空間安全的特別關(guān)注。來自中國企業(yè)的5G國際標(biāo)準(zhǔn)占3GPP全部國際標(biāo)準(zhǔn)提案的四成，同時在5G基礎(chǔ)網(wǎng)絡(luò)設(shè)施部署和核心設(shè)備供應(yīng)方面占據(jù)領(lǐng)先地位[1]。

2019年，工信部向四家單位頒發(fā)了5G商用牌照，標(biāo)志著正式進入5G商用元年。楊杰董事長在提出中國移動將在未來一段時間內(nèi)加快5G+4G網(wǎng)絡(luò)建設(shè)與精品網(wǎng)打造進度，堅持網(wǎng)絡(luò)建設(shè)與能力打造同步，以5G與垂直行業(yè)融合為核心，推進5G+4G協(xié)同發(fā)展、5G+AICDE融合創(chuàng)新、5G+Ecology生態(tài)共建，實現(xiàn)5G+X應(yīng)用延展，使5G真正成為社會信息流動的主動脈、產(chǎn)業(yè)轉(zhuǎn)型升級的加速器、數(shù)字社會建設(shè)的新基石，同時強調(diào)做好5G網(wǎng)絡(luò)安全保障，強化網(wǎng)絡(luò)安全核心技術(shù)研發(fā)和風(fēng)險評估，防范各類網(wǎng)絡(luò)安全風(fēng)險，守護網(wǎng)絡(luò)空間設(shè)施安全的必要性。綜上，5G網(wǎng)絡(luò)安全已經(jīng)成為多方關(guān)注的焦點。

1 現(xiàn)狀分析

2019年上海移動在集團公司安排下持續(xù)擴展5G規(guī)模試驗區(qū)域，計劃在主城區(qū)、郊區(qū)業(yè)務(wù)熱點區(qū)域、垂直行業(yè)應(yīng)用區(qū)域進行連續(xù)覆蓋，推動友好用戶測試，加速端到端產(chǎn)業(yè)成熟，面向競對形成規(guī)模優(yōu)勢，全面具備2020年試商用能力。2月15日，上海公司召開了2019年“雙千兆”專項工作啟動會，會議就“雙千兆”專項工作進行了全面部署。計劃年內(nèi)完成全網(wǎng)基礎(chǔ)資源配套改造，實現(xiàn)5G網(wǎng)絡(luò)外環(huán)內(nèi)、郊區(qū)城鎮(zhèn)中心、垂直行業(yè)應(yīng)用區(qū)域連續(xù)覆蓋，5G站點規(guī)模達到5 000個，面向競對形成規(guī)模優(yōu)勢，具備2020年試商用能力。

以5G白皮書為指導(dǎo)意見，深化垂直行業(yè)技術(shù)場景融合，從交通、醫(yī)療、工業(yè)互聯(lián)網(wǎng)及高清視頻回傳等領(lǐng)域全面打造5G大帶寬、低時延的端到端業(yè)務(wù)試點項目。目前，中國移動通信集團上海有限公司已完成13個智慧社區(qū)NB項目建設(shè)。例如，與上海市第十人民醫(yī)院簽署聯(lián)合戰(zhàn)略協(xié)議，全面部署5G智慧醫(yī)院；與同濟大學(xué)共同開發(fā)5G無人駕駛項目，并于同濟大學(xué)嘉定校區(qū)內(nèi)部署MEC，研發(fā)高速低時延無人車；與振華重工簽訂聯(lián)合戰(zhàn)略協(xié)議，于洋山深水港打造5G無人碼頭試點項目，通過部署MEC實現(xiàn)操作人員遠程控制輪胎場橋吊功能。

可見，無論是自主網(wǎng)絡(luò)建設(shè)情況，抑或業(yè)務(wù)發(fā)展驅(qū)策角度，如何在充分體現(xiàn)5G網(wǎng)絡(luò)能力的同時有效保障網(wǎng)絡(luò)安全，已成為多方關(guān)注與探討的重點。

2 研究目標(biāo)

5G網(wǎng)絡(luò)即移動通信網(wǎng)絡(luò)發(fā)展中的第五代網(wǎng)絡(luò)。與之前的4G網(wǎng)絡(luò)相比，5G網(wǎng)絡(luò)的時延將低于1 ms，網(wǎng)絡(luò)帶寬將達到10 Mb/s，同時接入用戶數(shù)為100萬。從技術(shù)角度而言，5G網(wǎng)絡(luò)是在4G網(wǎng)絡(luò)提出將信令面數(shù)據(jù)與用戶面數(shù)據(jù)分離的基礎(chǔ)上，進一步下沉用戶面數(shù)據(jù)，以達到用戶之間通信無需再經(jīng)過所有核心網(wǎng)元層層轉(zhuǎn)發(fā)，而是由離用戶最近的邊緣計算中心進行路由轉(zhuǎn)發(fā)，大大降低了訪問時延。

邊緣計算路由器（Mobile Edge Computing，MEC）作為邊緣計算中心的核心網(wǎng)絡(luò)設(shè)備，承載了高速率高時延的實現(xiàn)能力，同時具備獨特的地理位置——即可以屬于核心網(wǎng)絡(luò)歸屬于運營商統(tǒng)一組建，又可以由用戶根據(jù)自身需求進行建設(shè)，使其既可以屬于安全域又可以屬于非安全域。因此，針對MEC的網(wǎng)絡(luò)安全能力防護措施的研究已經(jīng)成為未來5G網(wǎng)絡(luò)整體安全能力的核心。

如圖1所示，邊緣DC位于無線與核心網(wǎng)之間，主要對接設(shè)備包括無線基站、用戶終端、核心網(wǎng)和互聯(lián)網(wǎng)。這四者都可以向其發(fā)動網(wǎng)絡(luò)攻擊，從而造成安全隱患。此外，就單邊緣DC內(nèi)部而言，從下往上為API接入、MEC平臺和SaaS應(yīng)用，這三者間也存在安全隱患，存在進行相互攻擊的可能性。

圖1 5G網(wǎng)絡(luò)架構(gòu)

3 對策思路

針對于MEC如何進行安全防護，細分之后主要分為MEC外部和MEC內(nèi)部兩部分，部署關(guān)系如圖2所示。

外部威脅：

（1）無線側(cè)CU/DU部署對MEC安全影響挑戰(zhàn)；

（2）可信域與非可信域之間傳輸不可靠，有數(shù)據(jù)被非法竊取的安全挑戰(zhàn)；

（3）部分邊緣DC機房硬體環(huán)境不可靠，有供電安全、防盜及防止物理侵入等安全挑戰(zhàn)。

圖2 MEC部署關(guān)系

內(nèi)部威脅：

（1）邊緣DC內(nèi)RAN、CU、UPF、第三方應(yīng)用共享NFVI資源，有資源非法訪問、Cloud OS入侵等I層安全挑戰(zhàn)；

（2）第三方應(yīng)用部署于網(wǎng)內(nèi)不可靠，有漏洞被利用、病毒/木馬注入及越權(quán)訪問等安全挑戰(zhàn)[2]。

通過對五大細分MEC安全場景的研究逐一進行分析，提出相應(yīng)的技術(shù)解決方案。

3.1 無線側(cè)部署模式的安全影響

3.1.1 CU+DU合一部署

無線側(cè)與邊緣DC和中心DC之間均是3GPP定義的標(biāo)準(zhǔn)接口，均可通過起IPSec協(xié)議的方式進行保護。

如圖3所示，CU+DU合一部署，控制面和用戶面與邊緣DC和中心DC的接口一致，均為3GPP定義的標(biāo)準(zhǔn)接口。與邊緣DC和中心DC的鏈路保護方案一致，均受IPSec隧道保護。5G MEC部署至邊緣DC時，未改變RAN和核心網(wǎng)之間的安全模式，故直接使用IPSec隧道即可完成基本防護。

圖3 CU+DU合一部署結(jié)構(gòu)

3.1.2 CU/DU分離部署

無線側(cè)與核心網(wǎng)之間接口未變，仍需IPSec保護，核心網(wǎng)不感知無線部署模式，如圖4所示。與CU+DU合一部署的場景情況下的安全防護措施基本保持一致。

圖4 CU/DU分離部署結(jié)構(gòu)

此外，由于CU/DU分離的情況下，CU可能進行集中云化管理。此狀態(tài)下如果與MEC節(jié)點共享I層，會帶來多種安全風(fēng)險，如不同VNF之間搶占資源，通過Cloud OS入侵等實現(xiàn)跨VM訪問，單VNF問題引起整體DC的業(yè)務(wù)風(fēng)險等非法訪問、漏洞傳染的問題。因此，在部署邊緣DC時需考慮劃分不同的VDC，以實現(xiàn)硬件隔離。同時，RAN與MEC之間的接口啟用獨立防火墻，實現(xiàn)接口業(yè)務(wù)檢查。

3.2 可信域與非可信域之間的安全影響

眾所周知，3GPP規(guī)范對于接口數(shù)據(jù)并未有嚴(yán)格的安全要求。一般用戶面數(shù)據(jù)皆為不加密的形式，故當(dāng)前的4G網(wǎng)絡(luò)在組網(wǎng)時對無線網(wǎng)與核心網(wǎng)之間的數(shù)據(jù)交互使用IPSec隧道方式進行安全防護。5G網(wǎng)絡(luò)采用分布式組網(wǎng)的方式，可沿用4G網(wǎng)絡(luò)的網(wǎng)絡(luò)保護機制，各網(wǎng)元之間均應(yīng)采用IPSec隧道方式進行數(shù)據(jù)安全保護[3]，如圖5所示。

圖5 可信域與非可信域之間部署結(jié)構(gòu)

3.3 部分邊緣DC機房硬體環(huán)境的安全影響

如果條件具備，邊緣MEC所在機房需具備如下安防能力，以確保未來高價值5G業(yè)務(wù)得到安全可靠的環(huán)境保障。

物聯(lián)安防：選址應(yīng)考慮當(dāng)?shù)氐恼?、地理及氣候等綜合環(huán)境因素，遠離災(zāi)害、危險及干擾等場所，確保水電和物理結(jié)構(gòu)安全。

邊界安防：設(shè)置出入口控制系統(tǒng)、入侵報警及視頻監(jiān)控等來監(jiān)視和管控建筑出入口、通風(fēng)口和線纜符合相關(guān)規(guī)定，防入侵篡改。

安防系統(tǒng)：按角色分級、系統(tǒng)狀態(tài)顯示與控制、告警與預(yù)處理、事件記錄與查詢等。

可靠性：使用POE/UPS雙路供電，與安防系統(tǒng)聯(lián)動，使用B/S架構(gòu)，實現(xiàn)雙機熱備等。

3.4 NFV環(huán)境的安全影響

如圖6所示，將NFV環(huán)境的安全防護機制分為5種方式。

（1）外部攻擊防護方案：入口部署防火墻，防止如DDoS等類似攻擊，內(nèi)部硬件資源合理劃分、預(yù)留，應(yīng)用實現(xiàn)流控。

（2）領(lǐng)域隔離方案：內(nèi)部按照RAN、核心網(wǎng)及自有應(yīng)用、第三方APP劃分為3個VDC，硬件隔離并增加獨立防火墻。

（3）MEC子域隔離方案：可劃分UPF子域和應(yīng)用子域，隔離I層資源，按需增加vFW。

（4）應(yīng)用隔離方案：不同APP部署在不同主機組上，隔離I層資源，因內(nèi)容安全較為敏感，建議增加vFW。

（5）NFV安全方案：通過可信啟動、動態(tài)度量支持軟硬件防篡改、硬件防替換安全防護、防軟件逆向工程等。

圖6 NFV環(huán)境的部署結(jié)構(gòu)

3.5 第三方應(yīng)用的安全影響

MEC的上層應(yīng)用分為自有應(yīng)用和第三方應(yīng)用兩種形式。自有應(yīng)用指通過自有可信任的開放方研發(fā)的內(nèi)容，具有資源需求穩(wěn)定的特點，如DNS服務(wù)、統(tǒng)計報表服務(wù)等。它的安全屬性相對較高，僅需通過應(yīng)用數(shù)字簽名與效驗等基礎(chǔ)防護手段即可實行保護。與之相對，第三方應(yīng)用是指由外在開發(fā)商研發(fā)的應(yīng)用，其資源需求量大，彼此間的差異性也很大，因此存在的安全風(fēng)險很大。MEC開放性和時效性決定其應(yīng)用受第三方實時控制，建議除基本的應(yīng)用數(shù)字簽名與校驗防護外，部署能力開放API接口訪問支持認證和鑒權(quán)、API接口訪問流控、應(yīng)用之間可部署防火墻做隔離、不同應(yīng)用部署于不同主機組等安全防護手段加強管控。

4 結(jié) 語

結(jié)合MEC內(nèi)部與外部的安全隱患，總結(jié)五大細分場景進行安全風(fēng)險與對應(yīng)的防護手段的研究，在未來5G網(wǎng)絡(luò)用戶面數(shù)據(jù)進一步下沉的技術(shù)演進模式下，有效的MEC的安全防護措施將為高速率低時延的應(yīng)用場景提供堅實的技術(shù)能力，為打造5G精品網(wǎng)絡(luò)的目標(biāo)添磚加瓦。