□ 文 黃 嘉 聶煒玲 王麗秋 李艷俊
MEC(Multi-access Edge Computing)概念出現(xiàn)于2013年,初期被稱(chēng)為移動(dòng)邊緣計(jì)算(Mobile Edge Computing),即將云計(jì)算平臺(tái)從移動(dòng)核心網(wǎng)絡(luò)內(nèi)部遷移到移動(dòng)接入網(wǎng)邊緣。ETSI定義的MEC是在靠近移動(dòng)用戶(hù)的RAN網(wǎng)絡(luò)中為用戶(hù)提供基于IT架構(gòu)和云計(jì)算的能力的平臺(tái)。2016年后,MEC定義正式擴(kuò)展為多接入邊緣計(jì)算,將應(yīng)用場(chǎng)景從移動(dòng)網(wǎng)絡(luò)進(jìn)一步延伸至其他網(wǎng)絡(luò)MEC(Multi-access Edge Computing)。
MEC是將應(yīng)用、內(nèi)容和核心網(wǎng)部分業(yè)務(wù)處理的功能一同部署到網(wǎng)絡(luò)邊緣,通過(guò)業(yè)務(wù)靠近用戶(hù),以?xún)?nèi)容、應(yīng)用和網(wǎng)絡(luò)的協(xié)同來(lái)提供極致、可靠的業(yè)務(wù)體驗(yàn)。
MEC可以看作是一個(gè)運(yùn)行在網(wǎng)絡(luò)邊緣的云服務(wù)器,是一個(gè)部署位置靈活的業(yè)務(wù)容器,可以部署在地市、縣級(jí)、單基站、C-RAN、城域甚至用戶(hù)園區(qū)等位置,還可以作為第三方平臺(tái),按需在邊緣位置靈活地部署不同類(lèi)型的業(yè)務(wù)。邊緣計(jì)算可以重點(diǎn)解決一些中心化云計(jì)算所無(wú)法高效解決的問(wèn)題:例如構(gòu)建在RAN側(cè),通過(guò)邊緣技術(shù)使得網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)功能脫離核心網(wǎng)絡(luò),實(shí)現(xiàn)節(jié)省成本、降低時(shí)延、優(yōu)化流量、增強(qiáng)物理安全和緩存效率等優(yōu)勢(shì),從而使用戶(hù)得到更加極致的體驗(yàn)。
本文主要介紹MEC產(chǎn)生的背景、適用的場(chǎng)景、業(yè)務(wù)處理流程及部署方案等,便于運(yùn)營(yíng)商理解MEC技術(shù)的要點(diǎn)及部署關(guān)鍵點(diǎn)。
3GPP 23501中定義,MEC對(duì)應(yīng)的網(wǎng)元為5G核心網(wǎng)架構(gòu)中的邊緣UPF。邊緣UPF基于與本地網(wǎng)絡(luò)之間的N6接口實(shí)現(xiàn)業(yè)務(wù)的本地卸載和分流;通過(guò)N9與核心網(wǎng)的其他UPF對(duì)接;通過(guò)N4接口和SMF實(shí)現(xiàn)聯(lián)動(dòng)如圖1所示。
MEC技術(shù)功能與特點(diǎn)如下:
● 精準(zhǔn)計(jì)費(fèi)
MEC支持將本地分流的業(yè)務(wù)數(shù)據(jù)流的計(jì)費(fèi)信息上報(bào),從而實(shí)現(xiàn)基于流量類(lèi)型和業(yè)務(wù)類(lèi)型的精準(zhǔn)計(jì)費(fèi),可無(wú)縫銜接和繼承運(yùn)營(yíng)商已經(jīng)部署的計(jì)費(fèi)方式。
● 減少流量迂回、降低時(shí)延
下沉部署的MEC可以將本地業(yè)務(wù)的數(shù)據(jù)直接分流到本地部署的服務(wù)器,避免了流量到中心核心網(wǎng)的迂回,減少了業(yè)務(wù)傳輸時(shí)延,是挑戰(zhàn)超低時(shí)延的必要手段。MEC部署在靠近基站或企業(yè)園區(qū)等邊緣位置,使得內(nèi)容源最大程度的靠近用戶(hù),甚至可以使終端在本地直接訪問(wèn)到內(nèi)容源,從數(shù)據(jù)傳送路徑上降低了業(yè)務(wù)端到端響應(yīng)的時(shí)延。
比如在地市或者區(qū)縣部署的CDN服務(wù)器,當(dāng)機(jī)房中同時(shí)部署MEC時(shí),訪問(wèn)CDN服務(wù)器的用戶(hù)請(qǐng)求和響應(yīng)都不需要再迂回到省中心核心網(wǎng),便可以直接從本地獲取數(shù)據(jù),大大降低了業(yè)務(wù)訪問(wèn)的時(shí)延。
比如AR/VR業(yè)務(wù)要求端到端時(shí)延需小于20ms以消除用戶(hù)的不適感;自動(dòng)駕駛等時(shí)延敏感業(yè)務(wù)要求1ms端到端時(shí)延來(lái)支撐業(yè)務(wù)發(fā)展。MEC通過(guò)將網(wǎng)絡(luò)功能部署在最靠近用戶(hù)的邊緣位置,使用戶(hù)感受到極致的體驗(yàn)。
研究表明,未來(lái)有近70%的Internet內(nèi)容可以在靠近用戶(hù)的城域范圍內(nèi)終結(jié)?;谏鲜龅腗EC邊緣解決方案,可將這些內(nèi)容存儲(chǔ)在本地,MEC與用戶(hù)之間的傳輸距離縮短,流量在本地被卸載,大大節(jié)省了MEC到核心網(wǎng)和Internet的傳輸資源,進(jìn)而為運(yùn)營(yíng)商節(jié)省近50%的網(wǎng)絡(luò)建設(shè)投資。
● 能力開(kāi)放
ETSI定義的MEC,是一個(gè)具備無(wú)線(xiàn)網(wǎng)絡(luò)能力開(kāi)放和運(yùn)營(yíng)能力開(kāi)放的平臺(tái),MEC可通過(guò)公開(kāi)API的方式,為運(yùn)行在平臺(tái)主機(jī)上的第三方應(yīng)用提供:業(yè)務(wù)控制、無(wú)線(xiàn)網(wǎng)絡(luò)信息、位置信息等多種服務(wù)。MEC提供能力的開(kāi)放,可以集成第三方的各種應(yīng)用,解決運(yùn)營(yíng)商急需的各種問(wèn)題(如內(nèi)容下移),并且為運(yùn)營(yíng)商打開(kāi)垂直行業(yè)市場(chǎng)提供無(wú)限可能。
目前,越來(lái)越多的2B領(lǐng)域希望基于移動(dòng)網(wǎng)絡(luò)實(shí)現(xiàn)行業(yè)定制服務(wù)。通過(guò)MEC提供開(kāi)放的平臺(tái),可以開(kāi)啟電信行業(yè)和垂直行業(yè)的創(chuàng)新合作模式。
在5G SA核心網(wǎng)網(wǎng)絡(luò)架構(gòu)中,MEC解決方案對(duì)應(yīng)的網(wǎng)元實(shí)體是邊緣UPF。邊緣UPF將作為中心UPF的邊緣形態(tài),實(shí)現(xiàn)流量卸載,并與SMF基于標(biāo)準(zhǔn)的N4接口對(duì)接,與其他UPF實(shí)現(xiàn)基于標(biāo)準(zhǔn)的N9接口對(duì)接。
MEC關(guān)鍵技術(shù)如下:
對(duì)于邊緣的eMBB等業(yè)務(wù),下沉部署的MEC可以將本地業(yè)務(wù)的數(shù)據(jù)直接分流到本地部署的MEP服務(wù)器,避免了流量在核心網(wǎng)的迂回,減少了業(yè)務(wù)傳輸時(shí)延,是挑戰(zhàn)零時(shí)延的必要手段。
MEC通過(guò)支持本地流量的分流(Local Breakout),作為遠(yuǎn)端節(jié)點(diǎn)下移到邊緣部署,滿(mǎn)足各種互聯(lián)網(wǎng)業(yè)務(wù)、CDN下移部署以及垂直行業(yè)本地分流的要求。比如在視頻監(jiān)控?cái)?shù)據(jù)上傳的某場(chǎng)景的視頻監(jiān)控器通過(guò)下移部署的MEC,監(jiān)控的數(shù)據(jù)可以直接上傳到本地服務(wù)器,而不需要上傳遠(yuǎn)端的互聯(lián)網(wǎng),增強(qiáng)了監(jiān)控的實(shí)時(shí)性。
本地分流技術(shù)也可以應(yīng)用于校園、博物館、體育館等人口密集,本地業(yè)務(wù)訪問(wèn)較為集中的場(chǎng)合,MEC本地分流技術(shù)的應(yīng)用和部署可以在此類(lèi)業(yè)務(wù)中不斷復(fù)制。
MEC與NEF配合可實(shí)現(xiàn)本地業(yè)務(wù)的能力開(kāi)放,可應(yīng)用于文化場(chǎng)館、機(jī)場(chǎng)等場(chǎng)景的實(shí)時(shí)業(yè)務(wù)訂購(gòu)和發(fā)放。例如,旅客在機(jī)場(chǎng)候機(jī)恰遇航班晚點(diǎn),機(jī)場(chǎng)WIFI質(zhì)量無(wú)法滿(mǎn)足用戶(hù)需求,手機(jī)套餐流量費(fèi)用較高時(shí),可通過(guò)向運(yùn)營(yíng)商購(gòu)買(mǎi)包時(shí)的本地免流量費(fèi)業(yè)務(wù),在機(jī)場(chǎng)候機(jī)期間,免費(fèi)使用流量業(yè)務(wù)。
圖2 本地分流場(chǎng)景下的移動(dòng)性管理示意圖
開(kāi)放的能力由NEF提供。用戶(hù)向運(yùn)營(yíng)商訂購(gòu)實(shí)時(shí)的套餐,運(yùn)營(yíng)商調(diào)用NEF開(kāi)放的接口對(duì)單用戶(hù)開(kāi)放本地業(yè)務(wù)。NEF基于與UPF之間的接口下發(fā)業(yè)務(wù)使能策略,MEC再傳遞用戶(hù)信息和業(yè)務(wù)策略。當(dāng)終端用戶(hù)發(fā)起對(duì)本地網(wǎng)絡(luò)的訪問(wèn)時(shí),MEC可以基于策略實(shí)時(shí)的控制對(duì)本地業(yè)務(wù)的使能。
當(dāng)部署了MEC的場(chǎng)景下進(jìn)行本地分流時(shí),若用戶(hù)發(fā)生了跨NR的切換,如果兩個(gè)MEC對(duì)接同一個(gè)本地資源,則跨MEC切換時(shí)本地分流業(yè)務(wù)不會(huì)受到影響;若傳輸層的連接中斷,業(yè)務(wù)層面能夠斷點(diǎn)續(xù)傳(如視頻業(yè)務(wù)),則業(yè)務(wù)層面感知不到中斷如圖2所示。
用戶(hù)跨NR切換,對(duì)于部署了MEC進(jìn)行本地分流的場(chǎng)景,存在表1中描述的三種情況,對(duì)應(yīng)的影響分析如下:
表1 MEC本地分流場(chǎng)景對(duì)比分析表
表1針對(duì)的是MEC部署能夠影響的業(yè)務(wù),對(duì)于VoLTE業(yè)務(wù),由于采用了獨(dú)立APN是不受MEC部署影響的,業(yè)務(wù)連續(xù)性與MEC無(wú)關(guān)。
對(duì)于移動(dòng)運(yùn)營(yíng)商的網(wǎng)絡(luò),核心網(wǎng)機(jī)房處于相對(duì)封閉的環(huán)境,只受運(yùn)營(yíng)商自行控制,安全性具有非常高等級(jí)的保證。而接入網(wǎng)相對(duì)更易被用戶(hù)接觸,處于相對(duì)不安全的環(huán)境。邊緣計(jì)算的本地業(yè)務(wù)卸載特性,使得數(shù)據(jù)在核心網(wǎng)之外終結(jié),運(yùn)營(yíng)商的控制力大大減弱,攻擊者可能通過(guò)MEP平臺(tái)或第三方應(yīng)用攻擊核心網(wǎng),造成敏感數(shù)據(jù)泄露等威脅。所以,邊緣計(jì)算安全成為邊緣計(jì)算建設(shè)初期就必須要重點(diǎn)考慮的關(guān)鍵問(wèn)題。
根據(jù)ETSI的MEC架構(gòu),移動(dòng)邊緣計(jì)算可能會(huì)受到的安全威脅重點(diǎn)應(yīng)考慮如下:
(1)基礎(chǔ)設(shè)施安全:與移動(dòng)云計(jì)算基礎(chǔ)設(shè)施的安全威脅類(lèi)似,攻擊者可通過(guò)近距離接觸硬件基礎(chǔ)設(shè)施,對(duì)其進(jìn)行物理攻擊;攻擊者可非法訪問(wèn)服務(wù)器的I/O接口,獲得運(yùn)營(yíng)商用戶(hù)的敏感信息;攻擊者可篡改鏡像,利用虛擬化軟件漏洞攻擊MEP平臺(tái)或者APP所在的虛擬機(jī)或容器,從而實(shí)現(xiàn)對(duì)MEP平臺(tái)或者APP的攻擊。
(2)MEP平臺(tái)安全:平臺(tái)存在病毒、木馬攻擊;MEP平臺(tái)和APP等通信時(shí),傳輸數(shù)據(jù)被攔截、篡改;攻擊者可通過(guò)惡意APP對(duì)MEP平臺(tái)發(fā)起非授權(quán)訪問(wèn),導(dǎo)致用戶(hù)敏感數(shù)據(jù)泄露;當(dāng)MEC以虛擬化的VNF或者容器方式部署時(shí),VNF及容器的安全威脅也會(huì)影響APP。
(3)APP安全:APP存在病毒、木馬攻擊;APP和MEP平臺(tái)等通信時(shí),傳輸數(shù)據(jù)被攔截、篡改;惡意用戶(hù)或惡意APP可非法訪問(wèn)用戶(hù)APP,導(dǎo)致敏感數(shù)據(jù)泄露等。另外,在APP的生命周期中,它可能隨時(shí)被非法創(chuàng)建、刪除等。
(4)MEC的MANO系統(tǒng):MEC的編排和管理網(wǎng)元(如移動(dòng)邊緣MANO)存在被木馬、病毒攻擊的可能性;MANO的相關(guān)接口上傳輸?shù)臄?shù)據(jù)被攔截和篡改等;攻擊者可通過(guò)大量惡意終端上的APP,不斷地向用戶(hù)APP生命周期管理節(jié)點(diǎn)發(fā)送請(qǐng)求,實(shí)現(xiàn)MEP上的屬于該用戶(hù)終端的APP的加載和終止,對(duì)MEC編排網(wǎng)元造成攻擊。
(5)數(shù)據(jù)面網(wǎng)關(guān)安全:存在的木馬、病毒攻擊;攻擊者近距離接觸數(shù)據(jù)網(wǎng)關(guān),獲取敏感數(shù)據(jù)或篡改數(shù)據(jù)網(wǎng)管配置,進(jìn)一步攻擊核心網(wǎng);U面網(wǎng)關(guān)與MEP平臺(tái)之間傳輸?shù)臄?shù)據(jù)被篡改、攔截等。
移動(dòng)邊緣計(jì)算中的數(shù)據(jù)安全和隱私保護(hù),主要面臨以下四個(gè)方面的挑戰(zhàn):
(1)由于移動(dòng)邊緣計(jì)算是一種融合了以授權(quán)實(shí)體為中心的多信任域共存的計(jì)算模式,使傳統(tǒng)的數(shù)據(jù)共享和加密策略不再適用于移動(dòng)邊緣計(jì)算中基于多授權(quán)方的數(shù)據(jù)加密與細(xì)顆粒度數(shù)據(jù)共享需求。因此,設(shè)計(jì)面向多授權(quán)中心的數(shù)據(jù)加密方法便尤為重要。
(2)分布式計(jì)算環(huán)境下的多源數(shù)據(jù)傳播控制和安全性管理的問(wèn)題。在邊緣大數(shù)據(jù)時(shí)代,網(wǎng)絡(luò)邊緣節(jié)點(diǎn)中的信息產(chǎn)生量呈現(xiàn)井噴式增長(zhǎng)。運(yùn)營(yíng)商希望能夠采用高效的信息傳播管控和訪問(wèn)控制方法來(lái)實(shí)現(xiàn)數(shù)據(jù)的搜索、分發(fā)、獲取以及控制海量數(shù)據(jù)的授權(quán)范圍。
(3)移動(dòng)邊緣計(jì)算的大規(guī)模互聯(lián)應(yīng)用與資源受限終端之間的安全隱患。由于移動(dòng)邊緣計(jì)算的多源數(shù)據(jù)融合性、通信和互聯(lián)網(wǎng)絡(luò)的疊加性以及邊緣終端的計(jì)算、存儲(chǔ)等方面的資源限制,使傳統(tǒng)的身份認(rèn)證協(xié)議、訪問(wèn)控制措施、加密算法和隱私保護(hù)策略在移動(dòng)邊緣計(jì)算中無(wú)法適用。
綜上所述,面向SBA以及邊緣計(jì)算對(duì)高效隱私保護(hù)有新要求。網(wǎng)絡(luò)邊緣計(jì)算設(shè)備產(chǎn)生的數(shù)據(jù)均涉及用戶(hù)隱私,使安全問(wèn)題顯得尤為突出。除了需要設(shè)計(jì)有效的隱私保護(hù)方案外,如何將傳統(tǒng)的個(gè)人隱私保護(hù)措施與邊緣計(jì)算環(huán)境中的數(shù)據(jù)處理特性相結(jié)合顯得尤為重要。
部署MEC并不影響運(yùn)營(yíng)商的網(wǎng)絡(luò)安全,本地業(yè)務(wù)可在MEC與本地服務(wù)器之間通過(guò)部署防火墻的方式進(jìn)行網(wǎng)絡(luò)的隔離。對(duì)于在eNodeB/NR與S/PGW/UPF之間已經(jīng)部署了IPSEC的網(wǎng)絡(luò),MEC支持維護(hù)IPSEC隧道,以保證數(shù)據(jù)傳輸?shù)陌踩?。具體如下圖3所示:
MEC是融合了IT和CT技術(shù),基于面向未來(lái)5G架構(gòu)的ICT融合基礎(chǔ)設(shè)施。MEC支持本地網(wǎng)關(guān)和分流處理能力,支持SA能力,支持本地業(yè)務(wù)的計(jì)費(fèi)與合法監(jiān)聽(tīng)協(xié)同處理。同時(shí)還提供虛擬化的計(jì)算和存儲(chǔ)資源,供第三方應(yīng)用軟件使用。除滿(mǎn)足通用計(jì)算、存儲(chǔ)、標(biāo)準(zhǔn)化之外,同時(shí)專(zhuān)注移動(dòng)通信管道需要的大接入、大帶寬、低時(shí)延、高可靠能力;并提供豐富的硬件接口能力,滿(mǎn)足移動(dòng)通信(接入、匯聚企業(yè)園區(qū)的機(jī)房)環(huán)境靈活部署要求,靈活構(gòu)建電信級(jí)云基礎(chǔ)設(shè)施。本文重點(diǎn)針對(duì)MEC的網(wǎng)絡(luò)架構(gòu)及特點(diǎn)、關(guān)鍵技術(shù)、和面臨的安全性問(wèn)題及解決手段等要點(diǎn)進(jìn)行分析闡述,為運(yùn)營(yíng)商建設(shè)5G核心網(wǎng),大力發(fā)展邊緣計(jì)算業(yè)務(wù)提供參考?!?/p>
圖3 邊緣計(jì)算安全隔離示意圖