［鄧敏儀 曾凡濤 張昕 鐘永］

1 緒論

1.1 研究的背景及意義

根據(jù)中國信通院5G 經(jīng)濟發(fā)展報告指出，到2025 年，中國將占全世界30%的連接。意味著中國將是全世界最大的5G 市場。然而，5G 網(wǎng)絡為人們帶來便捷的同時，也面臨各種安全和性能挑戰(zhàn)。在MEC+UPF 組建方案中，5G 下沉工業(yè)網(wǎng)絡，潛在入侵點增加，因為在發(fā)送方發(fā)送的數(shù)據(jù)中含有大量隱私和敏感信息，在傳輸過程中一旦發(fā)生數(shù)據(jù)泄密，將會給用戶帶來無法估量的損失。與此同時，在大部分場景下，將面臨大量設備高發(fā)接入，若對每個設備單獨認證，會使認證開銷巨大且網(wǎng)絡負擔過重，導致客戶體驗感知下降等問題。面對這些挑戰(zhàn)，有必要對用戶隱私和通信安全做進一步探討和研究。

1.2 端到端接入安全威脅

MEC（UPF）安全挑戰(zhàn)總覽圖如圖1 所示。

圖1 MEC（UPF）安全挑戰(zhàn)總覽圖

多接入邊緣計算技術（MEC）是5G 業(yè)務多元化的核心技術之一。MEC 通過用戶面功能（UPF）下沉實現(xiàn)靈活分流，MEC 節(jié)點經(jīng)常動態(tài)地加入或離開MEC 網(wǎng)絡，當新的節(jié)點連接（或離開）網(wǎng)絡時，需要確保對已注冊終端用戶的不間斷服務。節(jié)點必須能夠相互驗證自己新形成的MEC 網(wǎng)絡。此外，MEC 節(jié)點還需要限制或拒絕來自惡意或受損節(jié)點的服務請求。

MEC 分布式節(jié)點的計算能力能夠降低數(shù)據(jù)中心的總壓力，但是，與終端用戶相鄰的MEC 節(jié)點可能收集有關用戶身份、位置、應用程序使用等的敏感數(shù)據(jù)。入侵者一旦進入網(wǎng)絡，就可以挖掘和竊取用戶在實體間交換的隱私數(shù)據(jù)。

MEC 部署相對于4G 網(wǎng)絡在物理位置、業(yè)務類型、網(wǎng)絡架構等方面均發(fā)生了革命性變化，使得傳統(tǒng)網(wǎng)絡架構和新架構存在巨大差異，針對上述問題，需要解決諸多安全挑戰(zhàn)：

（1）園區(qū)場景的安全挑戰(zhàn)：園區(qū)場景MEC（UPF）設備不由企業(yè)控制和管理，園區(qū)企業(yè)希望非法用戶不進園區(qū)，而且數(shù)據(jù)不出園區(qū)。

（2）網(wǎng)絡層的安全挑戰(zhàn)：網(wǎng)絡協(xié)議接口增多，攻擊面增大；MEC（UPF）部署到企業(yè)園區(qū)，邊緣與中心存在互相攻擊風險。

（3）網(wǎng)元層的安全挑戰(zhàn)：容易成為安全重災區(qū)；APP 受攻擊后可能攻擊MEC(UPF)。

（4）NFVI 層的安全挑戰(zhàn)：MEC（UPF）基于NFV，引入虛擬化（VM、容器）資源共享安全風險。

（5）硬件層的安全挑戰(zhàn)：邊緣部署場景存在物理入侵的安全隱患。

1.3 5G 網(wǎng)絡安全需求

（1）消息的不可否認性：網(wǎng)絡環(huán)境中用戶終端數(shù)目龐大，確保網(wǎng)絡均有保留所有接入用戶的接入認證消息記錄，可待查證；抵抗重放攻擊，網(wǎng)絡能夠識別失去實時性的消息，能抵抗重放攻擊。

（2）消息的認證性和完整性：用戶與網(wǎng)絡之間的傳遞的消息應該是能夠被認證并且是完整的，即接收方能夠辨別出消息是否由指定的發(fā)送者發(fā)出，并且能識別發(fā)送方發(fā)的消息是否被篡改。

（3）加密保護：身份保密性，合法用戶的身份隱私無法被攻擊者通過暴露的網(wǎng)絡環(huán)境截取并推測，攻擊者不能通過泄露的相關信息分析推測除用戶的相關信息。

（4）抵抗重放攻擊：網(wǎng)絡能識別失去實時性的消息，即能夠抵抗重放攻擊。如圖2 所示，進不來、沒權限、拿不走、解不開、賴不掉是總體安全目標。

圖2 MEC（UPF）安全防護總覽視圖

1.4 當前國內(nèi)外技術現(xiàn)狀

針對海量設備終端接入網(wǎng)絡，在國際上，首先提出用于大量漫游到同一個服務網(wǎng)絡的用戶設備的基于群組的認證技術。在基于組的聚合認證的方案中，大量設備構成一個設備組并選取一個組領導者。當設備中組中的設備同時連接到網(wǎng)絡時，組領導者將來自組成員的所有訪問請求信息聚合到單個訪問請求信息中，并將其發(fā)送到網(wǎng)絡，然后網(wǎng)絡中的驗證者可以通過驗證組的領導者生成的聚合簽名和聚合信息身份驗證代碼對這個設備組進行身份驗證。通過聚合技術，大大降低信令成本和通信成本。

2 預備知識

2.1 密鑰派生

gNodeB在PDCP（Packet Data Convergence Protocol）層完成對消息的加密和完整性保護。為了保證密鑰在無線接口傳輸中不被竊取，密鑰由UE和gNodeB分別派生出來。gNodeB 的密鑰派生圖如圖3 所示。

圖3 gNodeB 的密鑰派生圖

NH（Next Hop）是由UE 和MME 從KAMF 和上次使用的NH 派生出來的。NCC（Next Hop Chaining Count）是NH 的計數(shù)器，用于統(tǒng)計NH 密鑰鏈的衍生次數(shù)。當UE 發(fā)生切換或者狀態(tài)轉換過程中需要更新密鑰時，NCC用于同步UE 和gNodeB 之間的密鑰鏈，以決定下一個KgNB*是從當前的KgNB 派生還是從新的NH 派生。

KgNB 由 UE 和 AMF（Access and Mobility management Function）從KAMF 派生出來的。初始AS（Access Stratum）安全上下文建立過程中，KgNB 用于派生KRRCint、KRRCenc、KUPint 和KUPenc。KgNB* 是由UE 和源gNodeB 在切換流程中，根據(jù)KgNB（或新的NH）、目的物理小區(qū)ID、目的下行頻率派生出來。

2.2 空口加密

空口加密是指發(fā)送方和接收方通過RRC 消息協(xié)商出某一加密算法，發(fā)送方使用協(xié)商的加密算法對消息進行加密，然后將加密后的消息發(fā)送給接收方，接收方使用協(xié)商的加密算法對加密的消息進行解密，gNodeB 在PDCP 層對消息進行加密。加密在PDCP 實體中的位置如圖4 所示。

圖4 加密在PDCP 實體中的位置

空口加密特性可以防止gNodeB 和UE 間的數(shù)據(jù)被非法攔截或泄露，gNodeB 可配置如下兩個參數(shù)以決定其支持的加密算法和優(yōu)先級，配置的加密算法和優(yōu)先級對gNodeB 上所有小區(qū)有效。參數(shù)gNBCipherCapb.CipherAlgoPriority 表示加密算法優(yōu)先級，該參數(shù)可配置為“PRIMARY”、“SECOND”、“THIRD”、“FOURTH”。

參數(shù)gNBCipherCapb.CipherAlgo表示配置該加密算法優(yōu)先級對應的加密算法，該參數(shù)可配置為“NULL”、“NOT_CONFIG”、“AES_128”、“SNOW3G_128”、“ZUC_128”。

使用空口加密特性時，要求gNodeB 和UE 支持的加密算法相同。根據(jù)3GPP TS 33.501 V15.1.0 中的5.3.2 User data and signalling data confidentiality章節(jié)的定義，對于信令面和用戶面數(shù)據(jù)，gNodeB 和UE 需支持NEA0、NEA1、NEA2 和NEA3 算法。加密算法名稱和編號映射關系如表1 所示。

表1 加密算法名稱和編號映射關系

3 針對MEC（UPF）的高效安全解決方案

根據(jù)圖1 的MEC（UPF）安全挑戰(zhàn)總覽圖，此文給出了各個環(huán)節(jié)的具體方案，分別如下：

①園區(qū)場景的解決方案：防止惡意用戶非法訪問企業(yè)內(nèi)網(wǎng)；終端到企業(yè)的傳輸加密；UPF 數(shù)據(jù)統(tǒng)計核查；企業(yè)AAA 二次鑒權（CHAP/PAP，SMF 對接AAA）；

②網(wǎng)絡層的解決方案：外置物理防火墻隔離和防護；基于IPsec、TLS 安全協(xié)議實現(xiàn)傳輸加密；UPF 支持IPSec協(xié)議；內(nèi)置安全防護功能（ACL，畸形報文/特殊報文防護）；

③VNF/APP 層的解決方案：安全加固；去root 化、安全編譯選項等；密鑰分層管理；網(wǎng)絡平面隔離；

④NFVI 層的解決方案：計算、存儲、網(wǎng)絡等虛擬化資源隔離；

⑤硬件層的解決方案：禁用不需要的端口，本地維護端口接入默認開啟認證和授權。

接下來，將對每個環(huán)節(jié)開始方案敘述。

3.1 園區(qū)場景的解決方案

園區(qū)場景的解決方案如圖5 所示。

圖5 園區(qū)場景的解決方案

（1）數(shù)據(jù)本地終結：應用層安全、組網(wǎng)安全、轉發(fā)統(tǒng)計自證清白

①應用層安全：N3/N6 基于IPSec 傳輸加密；APP 應用層自行加密傳輸（不信任運營商）

②③物理組網(wǎng)安全：APP 和UPF 之間采用防火墻安全隔離，UPF 和本地網(wǎng)絡間N6 口采用防火墻安全隔離

④UPF 數(shù)據(jù)統(tǒng)計核查：N3 口的流量和N6 口流量監(jiān)控統(tǒng)計相同，自證無外發(fā)流量

遵循數(shù)據(jù)最小化使用，最小化接觸原則，園區(qū)只有需要網(wǎng)絡傳送的才到UPF；可在接口處設置特征抓包驗證是否有數(shù)據(jù)外發(fā)。

（2）數(shù)據(jù)分流安全：如圖6 所示，檢查ULCL 規(guī)則，N9 接口流量審計

圖6 數(shù)據(jù)分流安全

①②③應用層安全，組網(wǎng)隔離安全同本地終結場景，組網(wǎng)增加N9/N6 隔離；

④ULCL 分流規(guī)則自檢：檢查本地分流規(guī)則與IP/FQDN 一致性；

（1）APP ID（字符串）可映射到IP/FQDN+FAR（匹配規(guī)則的下一跳地址）

（2）最小數(shù)據(jù)外發(fā)原則，在N9 接口交換機上可配置APP ID 下L34 規(guī)則作為條件，確保沒有本地分流數(shù)據(jù)通過N9 接口傳送到大網(wǎng)。

⑤⑥接口流量統(tǒng)計核查：N3/N6/N9 接口流量統(tǒng)計確保N9 無多發(fā)報文端到端IP 業(yè)務流級檢測，N3=N6+N9。

（3）企業(yè)終端接入園區(qū)網(wǎng)絡二次鑒權（可選通過UPF 中轉），如圖7 所示。

圖7 二次鑒權

二次鑒權信令流程如圖8 所示，繼承使用4G Radius鑒權流程以保證接入安全。SMF 發(fā)起向AAA 的鑒權請求，并根據(jù)結果確定是否允許用戶上線。

圖8 二次鑒權信令

業(yè)務場景：使用Radius 協(xié)議的PAP、CHAP 鑒權方式，攜帶IMEI、IMSI、MSISDN 等附加信息，企業(yè)AAA 可通過這些附加信息對終端的合法性進行校驗，達到準入控制的目的。

關鍵痛點：終端SIM 卡遺失，企業(yè)需要及時控制SIM卡的接入權限；企業(yè)希望SIM 卡與設備綁定，防止被濫用；企業(yè)希望可以看到接入的終端的接入狀態(tài)。

依賴：DN-AAA 支持PAP、CHAP 認證；UE 支持PAP、CHAP。如果終端不支持PAP、CHAP 時，可由SMF 代填用戶名密碼的透明鑒權方式實現(xiàn)PAP/CHAP 鑒權；5GC核心網(wǎng)SMF 需要支持。

應用示例1：如圖9 所示，按位置訪問控制，只允許指定接入的訪問才能分流到園區(qū)內(nèi)網(wǎng)，企業(yè)園區(qū)用戶A 在園區(qū)覆蓋區(qū)域可正常訪問企業(yè)內(nèi)網(wǎng)，如查看或是設置生產(chǎn)、控制參數(shù)：

圖9 應用示例1

若下班后用戶A 移動到非園區(qū)覆蓋區(qū)域，為避免下班后園區(qū)缺乏監(jiān)管引發(fā)質(zhì)量事故，不再具有訪問企業(yè)內(nèi)網(wǎng)重要參數(shù)等權限，如圖10 所示。

圖10 非園區(qū)覆蓋區(qū)域情況

位置訪問控制，要求只能在園區(qū)覆蓋的這幾個基站下才能訪問，出了園區(qū)不能訪問。

應用示例2：如圖11 所示，按MSISDN 電話號碼提供用戶訪問控制

圖11 應用示例2

MSISDN 電話號碼跟終端sim 卡綁定，是無法仿冒的，MEC 通過允許客戶注冊MSISDN 號碼的方式來進行內(nèi)網(wǎng)訪問控制，規(guī)避了以往具有安全隱患的用戶名密碼機制，具有更高的安全級別，而且可以開放給用戶自行管理，是目前企業(yè)園區(qū)用戶訪問控制管理的最佳方案。

此外，基于無證書簽名的多方認證加密方案能通過匿名機制實現(xiàn)用戶身份保護；通過聚合認證，均能實現(xiàn)減少傳輸開銷、降低認證時延，通過無證書簽名和加密算法實現(xiàn)數(shù)據(jù)的隱私性和完整性保護；大量終端設備同時向網(wǎng)絡發(fā)送請求消息，會造成開銷過大，導致網(wǎng)絡擁塞，可考慮基于無證書簽密的的快速認證和傳輸方案，可以抵御重放攻擊、偽造攻擊等安全威脅。此外，對分辨惡意用戶根據(jù)認證時終端上報的imsi 或者suci/supi 可以追查。

3.2 網(wǎng)絡層的解決方案

（1）MEC 安全解決方案：網(wǎng)絡安全，如圖12 所示。

圖12 MEC 解決方案

從外部接口發(fā)起攻擊：網(wǎng)絡嗅探，中間人攻擊，流量攻擊等；

Mm4：MEAO 使用此接口通過VIM 間接實現(xiàn)對移動邊緣主機虛擬資源的管理等；

Mm5：MEPM 使用此接口實現(xiàn)對MEP 所包含功能實體的配置；

Mm6：MEPM 使用此接口通過VIM 實現(xiàn)對虛擬資源的管理；

Mp1：用于APP 進行服務注冊、服務發(fā)現(xiàn)、服務間通信等。

攻擊應對方案如表2 所示。

表2 攻擊應對方案

（2）傳輸通道安全，避免個人數(shù)據(jù)和企業(yè)數(shù)據(jù)泄露，如圖13 所示。

圖13 傳輸通道安全

控制面和用戶面為3GPP 定義的標準接口（N3/N4/N9），可選使用IPSec 隧道保護完整性和機密性；

中心側管理面與邊緣MEC 使用安全加密傳輸TLS,SNMPv3，ssh 等；

N6 接口：部分APP 希望N6 出口支持IPsec 加密，保護N6 口到APP 的流量

（3）通過防火墻確保跨域訪問安全，跨域攻擊可檢測和防御

APP 部署到MEC 的場景，見圖14。在UPF/MEP 類別的信任域，流量UPF/MEP--》APP，策略是允許訪問APP的特定IP 和端口；在APP 類別的DMZ，流量APP--》UPF/MEP，策略是允許訪問MEP 特定IP 和端口；在可能存在的企業(yè)/OTT（不可信任域），企業(yè)/OTT--》APP，策略是允許訪問APP 的特定IP 和端口。

圖14 APP 部署到MEC

APP 不部署到MEC 的場景，如圖15 所示。在UPF/MEP 類別的信任域，流量UPF/MEP--》APP，策略是允許訪問APP 的特定IP 和端口。

圖15 APP 不部署到MEC

（4）在實現(xiàn)安全準入和加密傳輸基礎上，需要進一步解決網(wǎng)絡邊界模糊、數(shù)據(jù)竊取與篡改、資源隔離等諸多安全問題。安全全景視圖如圖16 所示。

圖16 安全全景視圖

（1）網(wǎng)絡和邊界安全

①邊界安全

MEC 安全區(qū)域邊界安全設計主要從區(qū)域邊界訪問控制、區(qū)域邊界包過濾、區(qū)域邊界安全審計、區(qū)域完整性保護等幾個方面進行防護設計。

采用防火墻、WEB 應用防護系統(tǒng)、入侵防護、抗拒絕服務系統(tǒng)或者具有同等功能的產(chǎn)品，實現(xiàn)邊界數(shù)據(jù)包過濾。

②區(qū)域邊界安全審計

采用入侵審計、網(wǎng)絡流量審計、高級威脅檢測接入安全運營中心對區(qū)域邊界進行安全審計并及時處置告警信息。

③區(qū)域邊界惡意代碼防范

在邊界或者核心節(jié)點，或通過防毒墻、入侵檢測防護等安全技術產(chǎn)品實現(xiàn)入侵檢測和惡意代碼防范。

④網(wǎng)絡隔離和訪問控制

根據(jù)MEC 節(jié)點內(nèi)網(wǎng)元功能的不同，劃分為MEC 管理域、UPF 域、MEC APP 域和MEP 域，安全域之間通過防火墻或VPN 進行隔離。在資源許可的條件下，建議安全域不共用物理主機。

（2）虛擬設施的安全

MEC 的虛擬化設施安全包括虛機安全、容器安全、API 接口安全，針對容器鏡像完整性保護，防止鏡像被篡改；對敏感數(shù)據(jù)進行加密和完整性保護，防止MEC 平臺存儲的敏感數(shù)據(jù)被泄露。

①虛擬機安全

部署虛擬化入侵防護設備、防病毒系統(tǒng)或者惡意代碼防護措施，實現(xiàn)對物理主機或虛擬主機進行木馬、病毒、蠕蟲和惡意代碼等安全防護，及時發(fā)現(xiàn)/識別威脅文件、攔截活動病毒、木馬或者蠕蟲，并進行及時處理。

②邊緣云容器安全

目前MEP 平臺大多采用了容器技術進行平臺的構建部署，容器的安全風險應從容器的全生命周期進行安全防護，保證容器在鏡像制作、鏡像存儲、鏡像傳輸、容器運行過程中的安全。

（3）MEP（移動邊緣平臺）安全防護

MEP 平臺的防護應參照依據(jù)公安部、工信部關于等級保護的要求，從整體出發(fā)，保障MEP 平臺和承載的各種業(yè)務、服務的安全，滿足安全等級保護要求。應遵循以業(yè)務為中心，風險為導向的，基于安全域的縱深主動防護思想，綜合考慮MEP 平臺的安全威脅、需求特點和相關要求，對安全防護體系架構、內(nèi)容、實現(xiàn)機制及相關產(chǎn)品組件進行設計。

如圖17 所示，通過安全能力資源池與MEC 節(jié)點的UPF 或網(wǎng)關設備對接，通過策略路由或SDN 方式實現(xiàn)對MEC 本地流量及互聯(lián)網(wǎng)流量的安全檢測。

圖17 MEP（移動邊緣平臺）安全防護

安全資源池中的安全能力應根據(jù)安全合規(guī)及業(yè)務系統(tǒng)防護的需求部署相應的安全防護和檢測設備，建議具備的安全能力有：抗D 設備、虛擬化防火墻、虛擬化入侵防護、虛擬化WAF、虛擬化入侵檢測、安全審計、漏洞掃描、堡壘機、日志審計、數(shù)據(jù)庫審計、EDR 和終端防病毒、主機防篡改等。

安全資源池可以通過增加承載安全組件的計算節(jié)點，實現(xiàn)快速的橫向和縱向擴容，橫向是指自動增加虛擬機集群，提升安全防護能力，縱向是指通過調(diào)整虛擬安全組件的單臺虛擬機的CPU、內(nèi)存等能力，快速提供單臺虛擬設備的安全防護能力。

3.3 VNF/APP 層的解決方案

（1）MEC安全解決方案：VNF/APP安全，如圖18所示。

圖18 VNF/APP 安全

VNF/APP 安全解決方案詳如表3 所示。

表3 VNF/APP 安全解決方案

（2）MEC 基礎平臺和嚴選APP 安全發(fā)布和持續(xù)漏洞管理，及時軟硬件消除漏洞，如圖19 所示。

圖19 APP 安全發(fā)布和持續(xù)漏洞管理

3.4 NFVI 層的解決方案

（1）MEC 安全解決方案：NFVI 安全，如圖20 所示。

圖20 NFVI 安全

NFVI 安全解決方案如表4 所示。

表4 NFVI 安全解決方案見

（2）APP VM 資源隔離-CPU&內(nèi)存&磁盤隔離，如圖21 所示。

圖21 APP VM 資源隔離-CPU&內(nèi)存&磁盤隔離

①vCPU 調(diào)度隔離安全 vCPU 的上下文切換，由Hypervisor 負責調(diào)度，保證了操作 系統(tǒng)與應用程序之間的隔離。

②內(nèi)存隔離虛擬機通過內(nèi)存虛擬化來實現(xiàn)不同虛擬機之間的內(nèi)存隔離。

③磁盤I/O 隔離虛擬機所有的I/O 操作都會由Hypervisor 截獲處理，Hypervisor 保證虛擬機只能訪問分配給該虛擬機的物理磁盤，實現(xiàn)不同虛擬機硬盤的隔離。

④網(wǎng)絡隔離不通過APP 使用不同VLAN/VRF 隔離

3.5 硬件層的解決方案，如圖22 所示

圖22 硬件層的解決方案

硬件層的解決方案如表5 所示。

表5 硬件層的解決方案見

4 總結

為了實現(xiàn)架構上的靈活性，5G 在引入如SDN、NFV、云基礎設施等眾多新型技術的同時，也帶來了更多安全問題；5G 云化的基礎設施之上引入眾多第三方的應用，客觀上帶來的更大的暴露面和攻擊面。為了解決這些安全問題，在引入傳統(tǒng)電信網(wǎng)絡安全準入、數(shù)據(jù)端到端加密的基礎上，需要在滿足國家安全等級保護的基礎上，通過基礎設施安全、網(wǎng)絡和邊界安全、虛擬設施安全和安全運營等不同維度提供安全能力輸出，建立提供安全風險實時監(jiān)控、安全能力按需彈性調(diào)度的安全體系架構。