"\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002FR9LUmSs1AzJwry\" img_width=\"640\" img_height=\"242\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E\u003Cp\u003E來源：邊緣計算社區\u002Fedgewnet\u003C\u002Fp\u003E\u003Cp\u003E物聯網智庫 轉載\u003C\u002Fp\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002FR6JYwT38Mf8zj7\" img_width=\"72\" img_height=\"60\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E\u003Cp\u003E導 讀\u003C\u002Fp\u003E\u003Cp\u003E本文在介紹邊緣計算概念、應用場景的基礎上，分析移動邊緣計算的安全威脅、安全防護框架、安全防護方案，並展望後續研究方向。\u003C\u002Fp\u003E\u003Cp\u003E本文在介紹邊緣計算概念、應用場景的基礎上，分析移動邊緣計算的安全威脅、安全防護框架、安全防護方案，並展望後續研究方向。目前 5G 研究正在業界如火如荼的開展。5G網絡通過支持增強移動帶寬、低時延高可靠、大規模 MTC 終端連接三大業務場景，滿足用戶高帶寬、低時延和大連接業務的需求。移動邊緣計算提供本地分流、靈活路由、高效計算和存儲能力，成爲滿足5G 支持三大業務場景的關鍵技術如下。\u003C\u002Fp\u003E\u003Cp\u003E（1）增強移動帶寬 (eMBB) 的高帶寬，給核心網帶來更大的數據流量衝擊，負責用戶數據轉發的網關成爲整個網絡的瓶頸。移動邊緣計算提供的本地分流、靈活路由等，能夠有效減緩核心網的數據傳輸壓力。\u003C\u002Fp\u003E\u003Cp\u003E（2） 超低時延高可靠 (uRLLC) 的時延限制，對網絡時延提出苛刻的要求。移動邊緣計算提供的本地業務處理、內容加速等技術，明顯減少數據流在覈心網中的傳輸時間。\u003C\u002Fp\u003E\u003Cp\u003E（3）大規模 MTC 終端連接(mMTC) 存在很多資源受限的物聯網終端，無法實現高能耗的計算、存儲等。移動邊緣計算可爲物聯網終端近距離提供計算、存儲能力。\u003C\u002Fp\u003E\u003Cp\u003E在 5G 架構設計中，通過支持用戶面數據網關的下沉部署、靈活分流等，實現對移動邊緣計算的支持。同時， 移動邊緣計算可將移動網絡的位置服務、帶寬管理等開放給上層應用，從而實現優化業務應用，開發新商業模式，進一步促進移動通信網絡和業務的深度融合，提升網絡的價值，如圖 1 所示。\u003C\u002Fp\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002FRXc0kOS26j5cUc\" img_width=\"888\" img_height=\"424\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E\u003Cp\u003E圖1 邊緣計算的價值\u003C\u002Fp\u003E\u003Cp\u003E由於移動邊緣計算平臺和移動邊緣計算應用部署在通用服務器上，並且靠近用戶，處於相對不安全的物理環境、管理控制能力減弱等，導致移動邊緣計算存在移動邊緣計算平臺和移動邊緣計算應用遭受非授權訪問、敏感數據泄露、(D)DoS攻擊，物理設備遭受物理攻擊等安全問題。因此，移動邊緣計算安全成爲移動邊緣計算安全研究中需重點解決的問題之一。本文在介紹邊緣計算概念的基礎上，重點分析了移動邊緣計算的安全威脅、安全防護框架及防護要求，並展望後續研究方向。\u003C\u002Fp\u003E\u003Cp\u003E01\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E邊緣計算概念\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E1.ETSIMEC 移動邊緣計算\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E移動邊緣計算由歐洲電信標準化協會（ETSI）提出，主要是指通過在靠近網絡接入側部署通用服務器，從而提供 IT 服務環境以及雲計算能力，旨在進一步減少時延，提升網絡運營效率、提高業務分發、傳送能力，優化、改善終端用戶體驗。2014 年 9 月，ETSI 成立了 MEC（Mobile Edge Computing， 移動邊緣計算）工作組， 針對MEC 技術的服務場景、技術要求、框架以及參考架構（如圖 2 所示）等開展深入研究。2016 年，ETSI 把此概念擴展爲多接入邊緣計算， 將邊緣計算能力從電信蜂窩網絡進一步延伸至其它無線接入網絡（如 Wi-Fi）。\u003C\u002Fp\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002FRXc0kOs26Y6AKQ\" img_width=\"655\" img_height=\"424\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E\u003Cp\u003E圖2 MEC參考架構\u003C\u002Fp\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002FRXc0kPG2KLNqlF\" img_width=\"847\" img_height=\"348\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E\u003Cp\u003E圖3 MEC參考架構和NFV參考架構對比\u003C\u002Fp\u003E\u003Cp\u003EMEC 參考架構與 ETSI 的NFV 架構很類似（如圖3 所示）。由物理基礎設（MobileEdgeHost）和虛擬化基礎設施爲 ME app 和 MEC 平臺提供計算、存儲和網絡資源，由 MEC 平臺實現 ME app 的發現、通知以及爲ME app 提供路由選擇等管理，由虛擬化基礎設施管理提供對虛擬化基礎設施的管理， 由移動邊緣計算平臺管理提供對移動邊緣計算平臺的管理，由移動邊緣編排器提供對ME app 的編排。ETSI在 2017 年 2 月發佈了在 NFV 環境中如何部署MEC 架構，爲 MEC 在移動網絡中的落地提供了實施指南。此部署場景中，ME app 和移動邊緣計算平臺 MEP 均爲VNF 部署在 NFV 基礎設施上。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2.其它邊緣計算\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E隨着 5G 以及移動互聯網、物聯網的發展，邊緣計算目前已成爲一個業界高度關注的技術之一，產業界根據各自需求和現狀提出了多種邊緣計算的定義。如ECC(Edge ComputingConsortium) 定義邊緣計算是在靠近物或數據源頭的網絡邊緣側，融合網絡、計算、存儲、應用核心能力的開放平臺，並提出了邊緣計算參考架構 2.0；2011 年，思科針對物聯網場景提出了霧計算的概念，將數據、處理和應用程序集中在網絡邊緣的設備中，而不是幾乎全部保存在雲中，是雲計算的延伸概念。2015 年11 月， 由 ARM、思科、戴爾、英特爾以及微軟等成立了 OpenFog Consortium（開放霧聯盟）。霧計算技術將計算、通信、控制和存儲資源與服務分佈給用戶或靠近用戶的設備與系統。2017 年 2 月OpenFog Consortium 宣佈發佈 OpenFog 參考架構。該架構是一個旨在支持物聯網、5G 和人工智能應用的數據密集型需求的通用技術框架。OpenFog 參考架構描述了 OpenFog 的八大支柱和描述架構。\u003C\u002Fp\u003E\u003Cp\u003E以上標準和產業界的邊緣計算概念均具備靠近網絡邊緣、業務本地化處理等特點，從而更好的爲用戶提供高帶寬、低時延和大規模 MTC 終端連接業務。目前業界邊緣計算標準還在制定中，邊緣計算平臺以及業務的部署處於技術驗證階段。本文後續將基於ETSI MEC 架構展開分析。\u003C\u002Fp\u003E\u003Cp\u003E02\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E移動邊緣計算應用場景\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003EMEC 典型的應用場景可以分成本地分流、數據服務和業務優化 3 個大類。\u003C\u002Fp\u003E\u003Cp\u003E（1）本地分流是利用 MEC 進行內容本地分流業務，提升運營商用戶體驗、並節省運營商傳輸帶寬，主要包括本地視頻監控、VR\u002FAR、本地視頻直播、工業控制以及邊緣 CDN 等。\u003C\u002Fp\u003E\u003Cp\u003E（2）數據服務是 MEC 應用利用通過MEC 平臺提供的移動運營商網絡的位置信息等進行其它業務開發，提供高價值智能服務，主要包括室內定位、車聯網等。\u003C\u002Fp\u003E\u003Cp\u003E（3）業務優化是 MEC 應用根據網絡的QoS 來調整應用的發送機制，提升用戶的業務體驗，包括視頻直播和遊戲加速等。\u003C\u002Fp\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002FRXc0kPXC7FJZXg\" img_width=\"580\" img_height=\"476\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E\u003Cp\u003E圖4 網關+CDN下沉方案\u003C\u002Fp\u003E\u003Cp\u003E圖 4 描述了某運營商基於 MEC 的 CDN 下沉方案。該方案中，R-GW 充當分流網關，其分流策略可以通過手工或自動的方式進行配置。R-GW 將用戶流量分流到 MEC 平臺上的 CDN 應用，實現 CDN 下沉， 提供加速內容業務，從而給用戶提供更好的業務體驗。\u003C\u002Fp\u003E\u003Cp\u003E03\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E移動邊緣計算安全\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E1. 移動邊緣計算的安全威脅\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E對於運營商的網絡，一般認爲核心網機房處於相對封閉的環境，受運營商控制，安全性有一定保證。而接入網相對更易被用戶接觸，處於不安全的環境。邊緣計算的本地業務處理特性，使得數據在覈心網之外終結，運營商的控制力減弱，攻擊者可能通過邊緣計算平臺或的應用攻擊核心網，造成敏感數據泄露、(D)DOS 攻擊等。所以， 邊緣計算安全成爲邊緣計算建設必須要重點考慮的關鍵問題。根據 ETSI 的 MEC 架構， 其安全威脅如圖 5 所示。\u003C\u002Fp\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002FRXc0kQ7Gf73Udb\" img_width=\"721\" img_height=\"436\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E\u003Cp\u003E圖5 邊緣計算安全威脅\u003C\u002Fp\u003E\u003Cp\u003E邊緣計算的安全威脅重點應考慮如下。\u003C\u002Fp\u003E\u003Cp\u003E（1）基礎設施安全：與雲計算基礎設施的安全威脅類似，包括攻擊者可通過近距離接觸硬件基礎設施，對其進行物理攻擊 ；攻擊者可非法訪問物理服務器的I\u002FO 接口，獲得敏感信息 ；攻擊者可篡改鏡像，利用 Host OS 或虛擬化軟件漏洞攻擊 Host OS 或利用Guest OS 漏洞攻擊 MEC 平臺或者 ME app 所在的虛擬機或容器，從而實現對 MEC 平臺和 \u002F 或者 ME app 的攻擊。\u003C\u002Fp\u003E\u003Cp\u003E（2）MEC 平臺安全 ：平臺存在木馬、病毒攻擊 ；MEC 平臺和 ME app 等通信時， 傳輸數據被篡改、攔截、重放 ；攻擊者可通過惡意 ME app 對 MEC 平臺發起非授權訪問，導致敏感數據泄露或(D)DoS 攻擊等 ；當 MEC 平臺以 VNF 或容器方式部署時，VNF 或容器的安全威脅（如 VNF 分組被篡改、鏡像被篡改等）也會影響 ME app。\u003C\u002Fp\u003E\u003Cp\u003E（3）MEapp 安 全 ：MEapp 存 在 木馬、 病 毒 攻擊 ；MEapp 和 MEC 平臺等通信時，傳輸數據被篡改、攔截、重放 ；惡意用戶或惡意 MEapp 可非法訪問 ME app，導致敏感數據泄露、(D)DoS 攻擊等 ；當ME app 以 VNF 或容器方式部署時，VNF或容器的安全威脅（如VNF 分組被篡改、鏡像被篡改等）也會影響 MEapp。另外，在 ME app 的生命週期中，ME app 可能被非法創建、刪除、更新等。\u003C\u002Fp\u003E\u003Cp\u003E（4）MEC編排和管理系統 ：MEC 編排和管理系統的網元（如移動邊緣編排器）存在木馬、病毒攻擊 ；編排和管理網元的相關接口上傳輸的數據被篡改、攔截和重放等 ；攻擊者可通過大量惡意終端上的 UE app，不斷的向 User app 生命週期管理代理發送請求，實現MEC 平臺上的屬於該終端的 ME app 的加載加載、實例化、終止等，對 MEC 編排網元造成 (D)DoS 攻擊。\u003C\u002Fp\u003E\u003Cp\u003E（5）數據面網關安全 ：存在的木馬、病毒攻擊 ；攻擊者近距離接觸數據網關，獲取敏感數據或篡改數據網管配置，進一步攻擊核心網；數據面網關與 MEC 平臺等之間傳輸的數據被篡改、攔截和重放等。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2.移動邊緣計算的安全防護框架\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E邊緣計算安全除了考慮基礎設施的安全以及管理、組網安全之外，還應考慮 MEC 平臺安全、ME app 安全、數據面網關安全以及MEC 編排和管理的安全，其安全防護框架如圖 6 所示。移動邊緣計算的安全防護，應該包含以下要求。\u003C\u002Fp\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002FRXc0kjdIVkuwcf\" img_width=\"758\" img_height=\"389\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E\u003Cp\u003E圖6 邊緣計算安全防護框架\u003C\u002Fp\u003E\u003Cp\u003E（1）基礎設施安全 ：在物理基礎設施安全方面，應通過加鎖、人員管理等保證物理環境安全，並對服務器的 I\u002FO 進行訪問控制。在條件允許時，可使用可信計算保證物理服務器的可信 ；在虛擬基礎設施安全方面，應對 Host OS、虛擬化軟件、Guest OS 進行安全加固， 防止鏡像被篡改，並提供虛擬網絡隔離和數據安全機制。\u003C\u002Fp\u003E\u003Cp\u003E當部署容器時，還應考慮容器的安全，包括容器之間的隔離，容器使用 root 權限的限制等。\u003C\u002Fp\u003E\u003Cp\u003E（2） MEC 平臺安全 ：MEC 平臺與其它實體之間通信應進行相互認證，並對傳輸的數據進行機密性和完整性、防重放保護 ；調用 MEC 平臺的 API 應進行認證和授權 ；MEC 平臺應進行安全擊鼓，實現最小化原則，關閉所有不必要的端口和服務 ；MEC 平臺的敏感數據（如用戶中的位置信息、無線網絡的信息等）應進行安全存儲，禁止非授權訪問。MEC平臺還應具備 (D)DoS 防護功能等。\u003C\u002Fp\u003E\u003Cp\u003E（3） MEapp 安全 ：包含生命週期安全、用戶訪問控制、安全加固、(D)DoS 防護和敏感數據安全保護， 實現只有合法的 MEapp 才能夠上線，合法的用戶才能夠訪問 MEapp。具體包括 MEapp 加載、實例化以及更新、刪除等生命週期管理操作應被授權後執行 ；應對用戶的訪問進行認證和授權；MEapp 應進行安全加固； 應對MEapp 的敏感數據進行安全的存儲，防止非授權訪問 ；MEapp 佔用的虛擬資源應有限制，防止惡意移動邊緣應用故意佔用其它應用的虛擬化資源 ；MEapp 釋放資源後，應對所釋放的資源進行清零處理。\u003C\u002Fp\u003E\u003Cp\u003E（4）數據面網關安全：包含數據面網關的安全加固、接口安全、敏感數據保護以及物理接觸攻擊防護，實現用戶數據能夠按照分流策略進行正確的轉發。具體包括數據面與 MEP 之間，數據面與交互的核心網網元之間應進行相互認證 ；應對數據面與MEP 之間的接口，數據面與交互的核心網網元之間的接口上的通信內容進行機密性、完整性和防重放的保護 ; 應對數據面上的敏感信息（如分流策略）進行安全保護 ；數據面是核心網的數據轉發功能網元，從核心網下沉到接入網，應防止攻擊者篡改數據面網元的篡改配置數據、讀取敏感信息等。\u003C\u002Fp\u003E\u003Cp\u003E（5）MEC 編排和管理安全：包含接口安全、API 調用安全、數據安全和 MEC 編排和管理網元安全加固， 實現對資源的安全編排和管理。具體包括編排和管理網元的操作系統和數據庫應支持安全加固；應防止網元上的敏感數據泄漏，確保數據內容無法被未經授權的實體或個人獲取 ；編排和管理系統網元之間的通信、與其它系統之間的通信應進行相互認證，並建立安全通道；如果需遠程登錄移動邊緣編排和管理系統網元，應使用SSHv2 等安全協議登陸進行操作維護。\u003C\u002Fp\u003E\u003Cp\u003E（6）管理安全：與傳統網絡的安全管理一樣，包含賬號和口令的安全、授權、日誌的安全等，保證只有授權的用戶才能執行操作，所有操作記錄日誌。\u003C\u002Fp\u003E\u003Cp\u003E（7）組網安全：與傳統的組網安全原則相同，包含三平面的安全隔離、安全域的劃分和安全隔離。具體包括應該實現管理、業務和存儲三平面的流量安全隔離；在網絡部署時，應通過劃分不同的 VLAN 網段等實現不同安全域之間的邏輯隔離或者使用物理隔離方式實現不同安全級別的安全域之間的安全隔離，保證安全風險不在業務、數據和管理面之間、安全域之間擴散。\u003C\u002Fp\u003E\u003Cp\u003E04\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E移動邊緣計算安全展望\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E目前，移動邊緣計算還處於研究和試驗階段，對於ME app 的類型、應用場景等，運營商以及產業界均還在探索和試點中。本文主要針對移動邊緣計算概念、可能的應用場景、以及架構層面的安全威脅進行了分析，並提出架構層面的安全防護框架和安全防護要求。對於針對具體的移動邊緣計算應用場景的安全，還需根據應用的需求進行深入分析，包括移動邊緣計算應用的業務安全、數據安全以及安全監控等。另外，當對於有高安全級別需求的移動邊緣計算應用，運營商還應考慮如何通過能力開放，將網絡的安全能力以安全服務的方式提供給移動邊緣計算應用，實現在滿足安全需求的同時，開發更多的商業模式，創造更多的網絡價值。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E作者：莊小君，楊波，王旭，彭晉\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E中國移動通信有限公司研究院\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E首發於《電信工程技術與標準化》\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002FR69Z5GZ24xausB\" img_width=\"100\" img_height=\"20\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E\u003Cp\u003E“\u003Cstrong\u003E摯物•AIoT產業領袖峯會\u003C\u002Fstrong\u003E”\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E摯同道合，物所不能！\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002FRXc0iAg6RnkH06\" img_width=\"640\" img_height=\"2502\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E\u003Cul\u003E\u003Cli\u003E\u003Cp\u003E《共享單車上的智能鎖，做出來有多難？》\u003C\u002Fp\u003E\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cp\u003E《認知計算、區塊鏈IoT、物聯網安全…看懂的人將控制未來》\u003C\u002Fp\u003E\u003Cp\u003E\u003C\u002Fp\u003E\u003Cli\u003E\u003Ch2\u003E《【重磅發佈】2017-2018中國物聯網產業全景圖譜報告——物聯網對產業深度變革已開啓》\u003C\u002Fh2\u003E\u003C\u002Fli\u003E\u003Cp\u003E《【重磅】物聯網產業全景圖譜報告，首開國內IoT產業二維視角全景圖之先河》\u003C\u002Fp\u003E\u003Cp\u003E《一幅漫畫告訴你：除了WiFi，藍牙，最近火爆的NB-IoT能幹嘛？》\u003C\u002Fp\u003E\u003Cp\u003E《一幅漫畫告訴你：NB-IoT背後，還有一個大家都在說的LoRa是什麼？》\u003C\u002Fp\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002FRE3DsbpBb8iVRU\" img_width=\"634\" img_height=\"679\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002FRE3DscaADH4ekR\" img_width=\"640\" img_height=\"90\" alt=\"移動邊緣計算安全研究\" inline=\"0\"\u003E"'.slice(6, -6), groupId: '6719048672631325198