□ 文 黃 嘉 聶煒玲 王麗秋 李艷俊
MEC(Multi-access Edge Computing)概念出現(xiàn)于2013年,初期被稱為移動邊緣計算(Mobile Edge Computing),即將云計算平臺從移動核心網(wǎng)絡(luò)內(nèi)部遷移到移動接入網(wǎng)邊緣。ETSI定義的MEC是在靠近移動用戶的RAN網(wǎng)絡(luò)中為用戶提供基于IT架構(gòu)和云計算的能力的平臺。2016年后,MEC定義正式擴展為多接入邊緣計算,將應(yīng)用場景從移動網(wǎng)絡(luò)進一步延伸至其他網(wǎng)絡(luò)MEC(Multi-access Edge Computing)。
MEC是將應(yīng)用、內(nèi)容和核心網(wǎng)部分業(yè)務(wù)處理的功能一同部署到網(wǎng)絡(luò)邊緣,通過業(yè)務(wù)靠近用戶,以內(nèi)容、應(yīng)用和網(wǎng)絡(luò)的協(xié)同來提供極致、可靠的業(yè)務(wù)體驗。
MEC可以看作是一個運行在網(wǎng)絡(luò)邊緣的云服務(wù)器,是一個部署位置靈活的業(yè)務(wù)容器,可以部署在地市、縣級、單基站、C-RAN、城域甚至用戶園區(qū)等位置,還可以作為第三方平臺,按需在邊緣位置靈活地部署不同類型的業(yè)務(wù)。邊緣計算可以重點解決一些中心化云計算所無法高效解決的問題:例如構(gòu)建在RAN側(cè),通過邊緣技術(shù)使得網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)功能脫離核心網(wǎng)絡(luò),實現(xiàn)節(jié)省成本、降低時延、優(yōu)化流量、增強物理安全和緩存效率等優(yōu)勢,從而使用戶得到更加極致的體驗。
本文主要介紹MEC產(chǎn)生的背景、適用的場景、業(yè)務(wù)處理流程及部署方案等,便于運營商理解MEC技術(shù)的要點及部署關(guān)鍵點。
3GPP 23501中定義,MEC對應(yīng)的網(wǎng)元為5G核心網(wǎng)架構(gòu)中的邊緣UPF。邊緣UPF基于與本地網(wǎng)絡(luò)之間的N6接口實現(xiàn)業(yè)務(wù)的本地卸載和分流;通過N9與核心網(wǎng)的其他UPF對接;通過N4接口和SMF實現(xiàn)聯(lián)動如圖1所示。
MEC技術(shù)功能與特點如下:
● 精準計費
MEC支持將本地分流的業(yè)務(wù)數(shù)據(jù)流的計費信息上報,從而實現(xiàn)基于流量類型和業(yè)務(wù)類型的精準計費,可無縫銜接和繼承運營商已經(jīng)部署的計費方式。
● 減少流量迂回、降低時延
下沉部署的MEC可以將本地業(yè)務(wù)的數(shù)據(jù)直接分流到本地部署的服務(wù)器,避免了流量到中心核心網(wǎng)的迂回,減少了業(yè)務(wù)傳輸時延,是挑戰(zhàn)超低時延的必要手段。MEC部署在靠近基站或企業(yè)園區(qū)等邊緣位置,使得內(nèi)容源最大程度的靠近用戶,甚至可以使終端在本地直接訪問到內(nèi)容源,從數(shù)據(jù)傳送路徑上降低了業(yè)務(wù)端到端響應(yīng)的時延。
比如在地市或者區(qū)縣部署的CDN服務(wù)器,當機房中同時部署MEC時,訪問CDN服務(wù)器的用戶請求和響應(yīng)都不需要再迂回到省中心核心網(wǎng),便可以直接從本地獲取數(shù)據(jù),大大降低了業(yè)務(wù)訪問的時延。
比如AR/VR業(yè)務(wù)要求端到端時延需小于20ms以消除用戶的不適感;自動駕駛等時延敏感業(yè)務(wù)要求1ms端到端時延來支撐業(yè)務(wù)發(fā)展。MEC通過將網(wǎng)絡(luò)功能部署在最靠近用戶的邊緣位置,使用戶感受到極致的體驗。
研究表明,未來有近70%的Internet內(nèi)容可以在靠近用戶的城域范圍內(nèi)終結(jié)?;谏鲜龅腗EC邊緣解決方案,可將這些內(nèi)容存儲在本地,MEC與用戶之間的傳輸距離縮短,流量在本地被卸載,大大節(jié)省了MEC到核心網(wǎng)和Internet的傳輸資源,進而為運營商節(jié)省近50%的網(wǎng)絡(luò)建設(shè)投資。
● 能力開放
ETSI定義的MEC,是一個具備無線網(wǎng)絡(luò)能力開放和運營能力開放的平臺,MEC可通過公開API的方式,為運行在平臺主機上的第三方應(yīng)用提供:業(yè)務(wù)控制、無線網(wǎng)絡(luò)信息、位置信息等多種服務(wù)。MEC提供能力的開放,可以集成第三方的各種應(yīng)用,解決運營商急需的各種問題(如內(nèi)容下移),并且為運營商打開垂直行業(yè)市場提供無限可能。
目前,越來越多的2B領(lǐng)域希望基于移動網(wǎng)絡(luò)實現(xiàn)行業(yè)定制服務(wù)。通過MEC提供開放的平臺,可以開啟電信行業(yè)和垂直行業(yè)的創(chuàng)新合作模式。
在5G SA核心網(wǎng)網(wǎng)絡(luò)架構(gòu)中,MEC解決方案對應(yīng)的網(wǎng)元實體是邊緣UPF。邊緣UPF將作為中心UPF的邊緣形態(tài),實現(xiàn)流量卸載,并與SMF基于標準的N4接口對接,與其他UPF實現(xiàn)基于標準的N9接口對接。
MEC關(guān)鍵技術(shù)如下:
對于邊緣的eMBB等業(yè)務(wù),下沉部署的MEC可以將本地業(yè)務(wù)的數(shù)據(jù)直接分流到本地部署的MEP服務(wù)器,避免了流量在核心網(wǎng)的迂回,減少了業(yè)務(wù)傳輸時延,是挑戰(zhàn)零時延的必要手段。
MEC通過支持本地流量的分流(Local Breakout),作為遠端節(jié)點下移到邊緣部署,滿足各種互聯(lián)網(wǎng)業(yè)務(wù)、CDN下移部署以及垂直行業(yè)本地分流的要求。比如在視頻監(jiān)控數(shù)據(jù)上傳的某場景的視頻監(jiān)控器通過下移部署的MEC,監(jiān)控的數(shù)據(jù)可以直接上傳到本地服務(wù)器,而不需要上傳遠端的互聯(lián)網(wǎng),增強了監(jiān)控的實時性。
本地分流技術(shù)也可以應(yīng)用于校園、博物館、體育館等人口密集,本地業(yè)務(wù)訪問較為集中的場合,MEC本地分流技術(shù)的應(yīng)用和部署可以在此類業(yè)務(wù)中不斷復(fù)制。
MEC與NEF配合可實現(xiàn)本地業(yè)務(wù)的能力開放,可應(yīng)用于文化場館、機場等場景的實時業(yè)務(wù)訂購和發(fā)放。例如,旅客在機場候機恰遇航班晚點,機場WIFI質(zhì)量無法滿足用戶需求,手機套餐流量費用較高時,可通過向運營商購買包時的本地免流量費業(yè)務(wù),在機場候機期間,免費使用流量業(yè)務(wù)。
圖2 本地分流場景下的移動性管理示意圖
開放的能力由NEF提供。用戶向運營商訂購實時的套餐,運營商調(diào)用NEF開放的接口對單用戶開放本地業(yè)務(wù)。NEF基于與UPF之間的接口下發(fā)業(yè)務(wù)使能策略,MEC再傳遞用戶信息和業(yè)務(wù)策略。當終端用戶發(fā)起對本地網(wǎng)絡(luò)的訪問時,MEC可以基于策略實時的控制對本地業(yè)務(wù)的使能。
當部署了MEC的場景下進行本地分流時,若用戶發(fā)生了跨NR的切換,如果兩個MEC對接同一個本地資源,則跨MEC切換時本地分流業(yè)務(wù)不會受到影響;若傳輸層的連接中斷,業(yè)務(wù)層面能夠斷點續(xù)傳(如視頻業(yè)務(wù)),則業(yè)務(wù)層面感知不到中斷如圖2所示。
用戶跨NR切換,對于部署了MEC進行本地分流的場景,存在表1中描述的三種情況,對應(yīng)的影響分析如下:
表1 MEC本地分流場景對比分析表
表1針對的是MEC部署能夠影響的業(yè)務(wù),對于VoLTE業(yè)務(wù),由于采用了獨立APN是不受MEC部署影響的,業(yè)務(wù)連續(xù)性與MEC無關(guān)。
對于移動運營商的網(wǎng)絡(luò),核心網(wǎng)機房處于相對封閉的環(huán)境,只受運營商自行控制,安全性具有非常高等級的保證。而接入網(wǎng)相對更易被用戶接觸,處于相對不安全的環(huán)境。邊緣計算的本地業(yè)務(wù)卸載特性,使得數(shù)據(jù)在核心網(wǎng)之外終結(jié),運營商的控制力大大減弱,攻擊者可能通過MEP平臺或第三方應(yīng)用攻擊核心網(wǎng),造成敏感數(shù)據(jù)泄露等威脅。所以,邊緣計算安全成為邊緣計算建設(shè)初期就必須要重點考慮的關(guān)鍵問題。
根據(jù)ETSI的MEC架構(gòu),移動邊緣計算可能會受到的安全威脅重點應(yīng)考慮如下:
(1)基礎(chǔ)設(shè)施安全:與移動云計算基礎(chǔ)設(shè)施的安全威脅類似,攻擊者可通過近距離接觸硬件基礎(chǔ)設(shè)施,對其進行物理攻擊;攻擊者可非法訪問服務(wù)器的I/O接口,獲得運營商用戶的敏感信息;攻擊者可篡改鏡像,利用虛擬化軟件漏洞攻擊MEP平臺或者APP所在的虛擬機或容器,從而實現(xiàn)對MEP平臺或者APP的攻擊。
(2)MEP平臺安全:平臺存在病毒、木馬攻擊;MEP平臺和APP等通信時,傳輸數(shù)據(jù)被攔截、篡改;攻擊者可通過惡意APP對MEP平臺發(fā)起非授權(quán)訪問,導(dǎo)致用戶敏感數(shù)據(jù)泄露;當MEC以虛擬化的VNF或者容器方式部署時,VNF及容器的安全威脅也會影響APP。
(3)APP安全:APP存在病毒、木馬攻擊;APP和MEP平臺等通信時,傳輸數(shù)據(jù)被攔截、篡改;惡意用戶或惡意APP可非法訪問用戶APP,導(dǎo)致敏感數(shù)據(jù)泄露等。另外,在APP的生命周期中,它可能隨時被非法創(chuàng)建、刪除等。
(4)MEC的MANO系統(tǒng):MEC的編排和管理網(wǎng)元(如移動邊緣MANO)存在被木馬、病毒攻擊的可能性;MANO的相關(guān)接口上傳輸?shù)臄?shù)據(jù)被攔截和篡改等;攻擊者可通過大量惡意終端上的APP,不斷地向用戶APP生命周期管理節(jié)點發(fā)送請求,實現(xiàn)MEP上的屬于該用戶終端的APP的加載和終止,對MEC編排網(wǎng)元造成攻擊。
(5)數(shù)據(jù)面網(wǎng)關(guān)安全:存在的木馬、病毒攻擊;攻擊者近距離接觸數(shù)據(jù)網(wǎng)關(guān),獲取敏感數(shù)據(jù)或篡改數(shù)據(jù)網(wǎng)管配置,進一步攻擊核心網(wǎng);U面網(wǎng)關(guān)與MEP平臺之間傳輸?shù)臄?shù)據(jù)被篡改、攔截等。
移動邊緣計算中的數(shù)據(jù)安全和隱私保護,主要面臨以下四個方面的挑戰(zhàn):
(1)由于移動邊緣計算是一種融合了以授權(quán)實體為中心的多信任域共存的計算模式,使傳統(tǒng)的數(shù)據(jù)共享和加密策略不再適用于移動邊緣計算中基于多授權(quán)方的數(shù)據(jù)加密與細顆粒度數(shù)據(jù)共享需求。因此,設(shè)計面向多授權(quán)中心的數(shù)據(jù)加密方法便尤為重要。
(2)分布式計算環(huán)境下的多源數(shù)據(jù)傳播控制和安全性管理的問題。在邊緣大數(shù)據(jù)時代,網(wǎng)絡(luò)邊緣節(jié)點中的信息產(chǎn)生量呈現(xiàn)井噴式增長。運營商希望能夠采用高效的信息傳播管控和訪問控制方法來實現(xiàn)數(shù)據(jù)的搜索、分發(fā)、獲取以及控制海量數(shù)據(jù)的授權(quán)范圍。
(3)移動邊緣計算的大規(guī)模互聯(lián)應(yīng)用與資源受限終端之間的安全隱患。由于移動邊緣計算的多源數(shù)據(jù)融合性、通信和互聯(lián)網(wǎng)絡(luò)的疊加性以及邊緣終端的計算、存儲等方面的資源限制,使傳統(tǒng)的身份認證協(xié)議、訪問控制措施、加密算法和隱私保護策略在移動邊緣計算中無法適用。
綜上所述,面向SBA以及邊緣計算對高效隱私保護有新要求。網(wǎng)絡(luò)邊緣計算設(shè)備產(chǎn)生的數(shù)據(jù)均涉及用戶隱私,使安全問題顯得尤為突出。除了需要設(shè)計有效的隱私保護方案外,如何將傳統(tǒng)的個人隱私保護措施與邊緣計算環(huán)境中的數(shù)據(jù)處理特性相結(jié)合顯得尤為重要。
部署MEC并不影響運營商的網(wǎng)絡(luò)安全,本地業(yè)務(wù)可在MEC與本地服務(wù)器之間通過部署防火墻的方式進行網(wǎng)絡(luò)的隔離。對于在eNodeB/NR與S/PGW/UPF之間已經(jīng)部署了IPSEC的網(wǎng)絡(luò),MEC支持維護IPSEC隧道,以保證數(shù)據(jù)傳輸?shù)陌踩?。具體如下圖3所示:
MEC是融合了IT和CT技術(shù),基于面向未來5G架構(gòu)的ICT融合基礎(chǔ)設(shè)施。MEC支持本地網(wǎng)關(guān)和分流處理能力,支持SA能力,支持本地業(yè)務(wù)的計費與合法監(jiān)聽協(xié)同處理。同時還提供虛擬化的計算和存儲資源,供第三方應(yīng)用軟件使用。除滿足通用計算、存儲、標準化之外,同時專注移動通信管道需要的大接入、大帶寬、低時延、高可靠能力;并提供豐富的硬件接口能力,滿足移動通信(接入、匯聚企業(yè)園區(qū)的機房)環(huán)境靈活部署要求,靈活構(gòu)建電信級云基礎(chǔ)設(shè)施。本文重點針對MEC的網(wǎng)絡(luò)架構(gòu)及特點、關(guān)鍵技術(shù)、和面臨的安全性問題及解決手段等要點進行分析闡述,為運營商建設(shè)5G核心網(wǎng),大力發(fā)展邊緣計算業(yè)務(wù)提供參考?!?/p>
圖3 邊緣計算安全隔離示意圖