□ 文 黃 嘉 聶煒玲 王麗秋 李艷俊

1. 概述

MEC（Multi-access Edge Computing）概念出現(xiàn)于2013年，初期被稱(chēng)為移動(dòng)邊緣計(jì)算（Mobile Edge Computing），即將云計(jì)算平臺(tái)從移動(dòng)核心網(wǎng)絡(luò)內(nèi)部遷移到移動(dòng)接入網(wǎng)邊緣。ETSI定義的MEC是在靠近移動(dòng)用戶(hù)的RAN網(wǎng)絡(luò)中為用戶(hù)提供基于IT架構(gòu)和云計(jì)算的能力的平臺(tái)。2016年后，MEC定義正式擴(kuò)展為多接入邊緣計(jì)算，將應(yīng)用場(chǎng)景從移動(dòng)網(wǎng)絡(luò)進(jìn)一步延伸至其他網(wǎng)絡(luò)MEC（Multi-access Edge Computing）。

MEC是將應(yīng)用、內(nèi)容和核心網(wǎng)部分業(yè)務(wù)處理的功能一同部署到網(wǎng)絡(luò)邊緣，通過(guò)業(yè)務(wù)靠近用戶(hù)，以?xún)?nèi)容、應(yīng)用和網(wǎng)絡(luò)的協(xié)同來(lái)提供極致、可靠的業(yè)務(wù)體驗(yàn)。

MEC可以看作是一個(gè)運(yùn)行在網(wǎng)絡(luò)邊緣的云服務(wù)器，是一個(gè)部署位置靈活的業(yè)務(wù)容器，可以部署在地市、縣級(jí)、單基站、C-RAN、城域甚至用戶(hù)園區(qū)等位置，還可以作為第三方平臺(tái)，按需在邊緣位置靈活地部署不同類(lèi)型的業(yè)務(wù)。邊緣計(jì)算可以重點(diǎn)解決一些中心化云計(jì)算所無(wú)法高效解決的問(wèn)題：例如構(gòu)建在RAN側(cè)，通過(guò)邊緣技術(shù)使得網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)功能脫離核心網(wǎng)絡(luò)，實(shí)現(xiàn)節(jié)省成本、降低時(shí)延、優(yōu)化流量、增強(qiáng)物理安全和緩存效率等優(yōu)勢(shì)，從而使用戶(hù)得到更加極致的體驗(yàn)。

本文主要介紹MEC產(chǎn)生的背景、適用的場(chǎng)景、業(yè)務(wù)處理流程及部署方案等，便于運(yùn)營(yíng)商理解MEC技術(shù)的要點(diǎn)及部署關(guān)鍵點(diǎn)。

2. MEC的網(wǎng)絡(luò)架構(gòu)及特點(diǎn)

3GPP 23501中定義，MEC對(duì)應(yīng)的網(wǎng)元為5G核心網(wǎng)架構(gòu)中的邊緣UPF。邊緣UPF基于與本地網(wǎng)絡(luò)之間的N6接口實(shí)現(xiàn)業(yè)務(wù)的本地卸載和分流；通過(guò)N9與核心網(wǎng)的其他UPF對(duì)接；通過(guò)N4接口和SMF實(shí)現(xiàn)聯(lián)動(dòng)如圖1所示。

MEC技術(shù)功能與特點(diǎn)如下：

● 精準(zhǔn)計(jì)費(fèi)

MEC支持將本地分流的業(yè)務(wù)數(shù)據(jù)流的計(jì)費(fèi)信息上報(bào)，從而實(shí)現(xiàn)基于流量類(lèi)型和業(yè)務(wù)類(lèi)型的精準(zhǔn)計(jì)費(fèi)，可無(wú)縫銜接和繼承運(yùn)營(yíng)商已經(jīng)部署的計(jì)費(fèi)方式。

● 減少流量迂回、降低時(shí)延

下沉部署的MEC可以將本地業(yè)務(wù)的數(shù)據(jù)直接分流到本地部署的服務(wù)器，避免了流量到中心核心網(wǎng)的迂回，減少了業(yè)務(wù)傳輸時(shí)延，是挑戰(zhàn)超低時(shí)延的必要手段。MEC部署在靠近基站或企業(yè)園區(qū)等邊緣位置，使得內(nèi)容源最大程度的靠近用戶(hù)，甚至可以使終端在本地直接訪問(wèn)到內(nèi)容源，從數(shù)據(jù)傳送路徑上降低了業(yè)務(wù)端到端響應(yīng)的時(shí)延。

比如在地市或者區(qū)縣部署的CDN服務(wù)器，當(dāng)機(jī)房中同時(shí)部署MEC時(shí)，訪問(wèn)CDN服務(wù)器的用戶(hù)請(qǐng)求和響應(yīng)都不需要再迂回到省中心核心網(wǎng)，便可以直接從本地獲取數(shù)據(jù)，大大降低了業(yè)務(wù)訪問(wèn)的時(shí)延。

比如AR/VR業(yè)務(wù)要求端到端時(shí)延需小于20ms以消除用戶(hù)的不適感；自動(dòng)駕駛等時(shí)延敏感業(yè)務(wù)要求1ms端到端時(shí)延來(lái)支撐業(yè)務(wù)發(fā)展。MEC通過(guò)將網(wǎng)絡(luò)功能部署在最靠近用戶(hù)的邊緣位置，使用戶(hù)感受到極致的體驗(yàn)。

研究表明，未來(lái)有近70%的Internet內(nèi)容可以在靠近用戶(hù)的城域范圍內(nèi)終結(jié)?；谏鲜龅腗EC邊緣解決方案，可將這些內(nèi)容存儲(chǔ)在本地，MEC與用戶(hù)之間的傳輸距離縮短，流量在本地被卸載，大大節(jié)省了MEC到核心網(wǎng)和Internet的傳輸資源，進(jìn)而為運(yùn)營(yíng)商節(jié)省近50%的網(wǎng)絡(luò)建設(shè)投資。

● 能力開(kāi)放

ETSI定義的MEC，是一個(gè)具備無(wú)線(xiàn)網(wǎng)絡(luò)能力開(kāi)放和運(yùn)營(yíng)能力開(kāi)放的平臺(tái)，MEC可通過(guò)公開(kāi)API的方式，為運(yùn)行在平臺(tái)主機(jī)上的第三方應(yīng)用提供：業(yè)務(wù)控制、無(wú)線(xiàn)網(wǎng)絡(luò)信息、位置信息等多種服務(wù)。MEC提供能力的開(kāi)放，可以集成第三方的各種應(yīng)用，解決運(yùn)營(yíng)商急需的各種問(wèn)題（如內(nèi)容下移），并且為運(yùn)營(yíng)商打開(kāi)垂直行業(yè)市場(chǎng)提供無(wú)限可能。

目前，越來(lái)越多的2B領(lǐng)域希望基于移動(dòng)網(wǎng)絡(luò)實(shí)現(xiàn)行業(yè)定制服務(wù)。通過(guò)MEC提供開(kāi)放的平臺(tái)，可以開(kāi)啟電信行業(yè)和垂直行業(yè)的創(chuàng)新合作模式。

3. MEC關(guān)鍵技術(shù)

在5G SA核心網(wǎng)網(wǎng)絡(luò)架構(gòu)中，MEC解決方案對(duì)應(yīng)的網(wǎng)元實(shí)體是邊緣UPF。邊緣UPF將作為中心UPF的邊緣形態(tài)，實(shí)現(xiàn)流量卸載，并與SMF基于標(biāo)準(zhǔn)的N4接口對(duì)接，與其他UPF實(shí)現(xiàn)基于標(biāo)準(zhǔn)的N9接口對(duì)接。

MEC關(guān)鍵技術(shù)如下：

3.1 本地分流

對(duì)于邊緣的eMBB等業(yè)務(wù)，下沉部署的MEC可以將本地業(yè)務(wù)的數(shù)據(jù)直接分流到本地部署的MEP服務(wù)器，避免了流量在核心網(wǎng)的迂回，減少了業(yè)務(wù)傳輸時(shí)延，是挑戰(zhàn)零時(shí)延的必要手段。

MEC通過(guò)支持本地流量的分流（Local Breakout），作為遠(yuǎn)端節(jié)點(diǎn)下移到邊緣部署，滿(mǎn)足各種互聯(lián)網(wǎng)業(yè)務(wù)、CDN下移部署以及垂直行業(yè)本地分流的要求。比如在視頻監(jiān)控?cái)?shù)據(jù)上傳的某場(chǎng)景的視頻監(jiān)控器通過(guò)下移部署的MEC，監(jiān)控的數(shù)據(jù)可以直接上傳到本地服務(wù)器，而不需要上傳遠(yuǎn)端的互聯(lián)網(wǎng)，增強(qiáng)了監(jiān)控的實(shí)時(shí)性。

本地分流技術(shù)也可以應(yīng)用于校園、博物館、體育館等人口密集，本地業(yè)務(wù)訪問(wèn)較為集中的場(chǎng)合，MEC本地分流技術(shù)的應(yīng)用和部署可以在此類(lèi)業(yè)務(wù)中不斷復(fù)制。

3.2 能力開(kāi)放

MEC與NEF配合可實(shí)現(xiàn)本地業(yè)務(wù)的能力開(kāi)放，可應(yīng)用于文化場(chǎng)館、機(jī)場(chǎng)等場(chǎng)景的實(shí)時(shí)業(yè)務(wù)訂購(gòu)和發(fā)放。例如，旅客在機(jī)場(chǎng)候機(jī)恰遇航班晚點(diǎn)，機(jī)場(chǎng)WIFI質(zhì)量無(wú)法滿(mǎn)足用戶(hù)需求，手機(jī)套餐流量費(fèi)用較高時(shí)，可通過(guò)向運(yùn)營(yíng)商購(gòu)買(mǎi)包時(shí)的本地免流量費(fèi)業(yè)務(wù)，在機(jī)場(chǎng)候機(jī)期間，免費(fèi)使用流量業(yè)務(wù)。

圖2 本地分流場(chǎng)景下的移動(dòng)性管理示意圖

開(kāi)放的能力由NEF提供。用戶(hù)向運(yùn)營(yíng)商訂購(gòu)實(shí)時(shí)的套餐，運(yùn)營(yíng)商調(diào)用NEF開(kāi)放的接口對(duì)單用戶(hù)開(kāi)放本地業(yè)務(wù)。NEF基于與UPF之間的接口下發(fā)業(yè)務(wù)使能策略，MEC再傳遞用戶(hù)信息和業(yè)務(wù)策略。當(dāng)終端用戶(hù)發(fā)起對(duì)本地網(wǎng)絡(luò)的訪問(wèn)時(shí)，MEC可以基于策略實(shí)時(shí)的控制對(duì)本地業(yè)務(wù)的使能。

3.3 移動(dòng)性管理

當(dāng)部署了MEC的場(chǎng)景下進(jìn)行本地分流時(shí)，若用戶(hù)發(fā)生了跨NR的切換，如果兩個(gè)MEC對(duì)接同一個(gè)本地資源，則跨MEC切換時(shí)本地分流業(yè)務(wù)不會(huì)受到影響；若傳輸層的連接中斷，業(yè)務(wù)層面能夠斷點(diǎn)續(xù)傳（如視頻業(yè)務(wù)），則業(yè)務(wù)層面感知不到中斷如圖2所示。

用戶(hù)跨NR切換，對(duì)于部署了MEC進(jìn)行本地分流的場(chǎng)景，存在表1中描述的三種情況，對(duì)應(yīng)的影響分析如下：

表1 MEC本地分流場(chǎng)景對(duì)比分析表

表1針對(duì)的是MEC部署能夠影響的業(yè)務(wù)，對(duì)于VoLTE業(yè)務(wù)，由于采用了獨(dú)立APN是不受MEC部署影響的，業(yè)務(wù)連續(xù)性與MEC無(wú)關(guān)。

4. 邊緣計(jì)算安全管控措施

4.1 移動(dòng)邊緣計(jì)算的安全威脅

對(duì)于移動(dòng)運(yùn)營(yíng)商的網(wǎng)絡(luò)，核心網(wǎng)機(jī)房處于相對(duì)封閉的環(huán)境，只受運(yùn)營(yíng)商自行控制，安全性具有非常高等級(jí)的保證。而接入網(wǎng)相對(duì)更易被用戶(hù)接觸，處于相對(duì)不安全的環(huán)境。邊緣計(jì)算的本地業(yè)務(wù)卸載特性，使得數(shù)據(jù)在核心網(wǎng)之外終結(jié)，運(yùn)營(yíng)商的控制力大大減弱，攻擊者可能通過(guò)MEP平臺(tái)或第三方應(yīng)用攻擊核心網(wǎng)，造成敏感數(shù)據(jù)泄露等威脅。所以，邊緣計(jì)算安全成為邊緣計(jì)算建設(shè)初期就必須要重點(diǎn)考慮的關(guān)鍵問(wèn)題。

根據(jù)ETSI的MEC架構(gòu)，移動(dòng)邊緣計(jì)算可能會(huì)受到的安全威脅重點(diǎn)應(yīng)考慮如下：

（1）基礎(chǔ)設(shè)施安全：與移動(dòng)云計(jì)算基礎(chǔ)設(shè)施的安全威脅類(lèi)似，攻擊者可通過(guò)近距離接觸硬件基礎(chǔ)設(shè)施，對(duì)其進(jìn)行物理攻擊；攻擊者可非法訪問(wèn)服務(wù)器的I/O接口，獲得運(yùn)營(yíng)商用戶(hù)的敏感信息；攻擊者可篡改鏡像，利用虛擬化軟件漏洞攻擊MEP平臺(tái)或者APP所在的虛擬機(jī)或容器，從而實(shí)現(xiàn)對(duì)MEP平臺(tái)或者APP的攻擊。

（2）MEP平臺(tái)安全：平臺(tái)存在病毒、木馬攻擊；MEP平臺(tái)和APP等通信時(shí)，傳輸數(shù)據(jù)被攔截、篡改；攻擊者可通過(guò)惡意APP對(duì)MEP平臺(tái)發(fā)起非授權(quán)訪問(wèn)，導(dǎo)致用戶(hù)敏感數(shù)據(jù)泄露；當(dāng)MEC以虛擬化的VNF或者容器方式部署時(shí)，VNF及容器的安全威脅也會(huì)影響APP。

（3）APP安全：APP存在病毒、木馬攻擊；APP和MEP平臺(tái)等通信時(shí)，傳輸數(shù)據(jù)被攔截、篡改；惡意用戶(hù)或惡意APP可非法訪問(wèn)用戶(hù)APP，導(dǎo)致敏感數(shù)據(jù)泄露等。另外，在APP的生命周期中，它可能隨時(shí)被非法創(chuàng)建、刪除等。

（4）MEC的MANO系統(tǒng)：MEC的編排和管理網(wǎng)元（如移動(dòng)邊緣MANO）存在被木馬、病毒攻擊的可能性；MANO的相關(guān)接口上傳輸?shù)臄?shù)據(jù)被攔截和篡改等；攻擊者可通過(guò)大量惡意終端上的APP，不斷地向用戶(hù)APP生命周期管理節(jié)點(diǎn)發(fā)送請(qǐng)求，實(shí)現(xiàn)MEP上的屬于該用戶(hù)終端的APP的加載和終止，對(duì)MEC編排網(wǎng)元造成攻擊。

（5）數(shù)據(jù)面網(wǎng)關(guān)安全：存在的木馬、病毒攻擊；攻擊者近距離接觸數(shù)據(jù)網(wǎng)關(guān)，獲取敏感數(shù)據(jù)或篡改數(shù)據(jù)網(wǎng)管配置，進(jìn)一步攻擊核心網(wǎng)；U面網(wǎng)關(guān)與MEP平臺(tái)之間傳輸?shù)臄?shù)據(jù)被篡改、攔截等。

4.2 安全隔離措施

移動(dòng)邊緣計(jì)算中的數(shù)據(jù)安全和隱私保護(hù)，主要面臨以下四個(gè)方面的挑戰(zhàn)：

（1）由于移動(dòng)邊緣計(jì)算是一種融合了以授權(quán)實(shí)體為中心的多信任域共存的計(jì)算模式，使傳統(tǒng)的數(shù)據(jù)共享和加密策略不再適用于移動(dòng)邊緣計(jì)算中基于多授權(quán)方的數(shù)據(jù)加密與細(xì)顆粒度數(shù)據(jù)共享需求。因此，設(shè)計(jì)面向多授權(quán)中心的數(shù)據(jù)加密方法便尤為重要。

（2）分布式計(jì)算環(huán)境下的多源數(shù)據(jù)傳播控制和安全性管理的問(wèn)題。在邊緣大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)邊緣節(jié)點(diǎn)中的信息產(chǎn)生量呈現(xiàn)井噴式增長(zhǎng)。運(yùn)營(yíng)商希望能夠采用高效的信息傳播管控和訪問(wèn)控制方法來(lái)實(shí)現(xiàn)數(shù)據(jù)的搜索、分發(fā)、獲取以及控制海量數(shù)據(jù)的授權(quán)范圍。

（3）移動(dòng)邊緣計(jì)算的大規(guī)模互聯(lián)應(yīng)用與資源受限終端之間的安全隱患。由于移動(dòng)邊緣計(jì)算的多源數(shù)據(jù)融合性、通信和互聯(lián)網(wǎng)絡(luò)的疊加性以及邊緣終端的計(jì)算、存儲(chǔ)等方面的資源限制，使傳統(tǒng)的身份認(rèn)證協(xié)議、訪問(wèn)控制措施、加密算法和隱私保護(hù)策略在移動(dòng)邊緣計(jì)算中無(wú)法適用。

綜上所述，面向SBA以及邊緣計(jì)算對(duì)高效隱私保護(hù)有新要求。網(wǎng)絡(luò)邊緣計(jì)算設(shè)備產(chǎn)生的數(shù)據(jù)均涉及用戶(hù)隱私，使安全問(wèn)題顯得尤為突出。除了需要設(shè)計(jì)有效的隱私保護(hù)方案外，如何將傳統(tǒng)的個(gè)人隱私保護(hù)措施與邊緣計(jì)算環(huán)境中的數(shù)據(jù)處理特性相結(jié)合顯得尤為重要。

部署MEC并不影響運(yùn)營(yíng)商的網(wǎng)絡(luò)安全，本地業(yè)務(wù)可在MEC與本地服務(wù)器之間通過(guò)部署防火墻的方式進(jìn)行網(wǎng)絡(luò)的隔離。對(duì)于在eNodeB/NR與S/PGW/UPF之間已經(jīng)部署了IPSEC的網(wǎng)絡(luò)，MEC支持維護(hù)IPSEC隧道，以保證數(shù)據(jù)傳輸?shù)陌踩?。具體如下圖3所示：

5. 小結(jié)

MEC是融合了IT和CT技術(shù)，基于面向未來(lái)5G架構(gòu)的ICT融合基礎(chǔ)設(shè)施。MEC支持本地網(wǎng)關(guān)和分流處理能力，支持SA能力，支持本地業(yè)務(wù)的計(jì)費(fèi)與合法監(jiān)聽(tīng)協(xié)同處理。同時(shí)還提供虛擬化的計(jì)算和存儲(chǔ)資源，供第三方應(yīng)用軟件使用。除滿(mǎn)足通用計(jì)算、存儲(chǔ)、標(biāo)準(zhǔn)化之外，同時(shí)專(zhuān)注移動(dòng)通信管道需要的大接入、大帶寬、低時(shí)延、高可靠能力；并提供豐富的硬件接口能力，滿(mǎn)足移動(dòng)通信（接入、匯聚企業(yè)園區(qū)的機(jī)房）環(huán)境靈活部署要求，靈活構(gòu)建電信級(jí)云基礎(chǔ)設(shè)施。本文重點(diǎn)針對(duì)MEC的網(wǎng)絡(luò)架構(gòu)及特點(diǎn)、關(guān)鍵技術(shù)、和面臨的安全性問(wèn)題及解決手段等要點(diǎn)進(jìn)行分析闡述，為運(yùn)營(yíng)商建設(shè)5G核心網(wǎng)，大力發(fā)展邊緣計(jì)算業(yè)務(wù)提供參考?！?/p>

圖3 邊緣計(jì)算安全隔離示意圖