杨红梅 王亚楠
(中国信息通信研究院安全研究所 北京 100191)
(yanghongmei@caict.ac.cn)
当前,以5G为核心的新一代信息通信技术发展日新月异,全球信息基础设施规模建设不断加速,引领社会生产新变革,创造人类生活新空间,不断促进全球数字经济社会的繁荣进步与快速发展[1].
5G应用正在向各行业领域融合渗透,逐步开启万物互联的新局面.为了适应5G应用的多样化差异化需求,5G网络引入了多接入边缘计算(multi-access edge computing, MEC)、网络切片、网络功能虚拟化等新技术[2].其中,MEC指的是,在网络边缘及靠近用户的位置上提供IT服务、环境和云计算的能力[3].基于MEC技术,可支持用户就近接入业务服务器,使用本地视频、位置定位等低时延高带宽业务,获得超低时延超高可靠超大流量的极致体验.不过,MEC技术在带来便利的同时也面临着新的安全风险和挑战,需要有效防范、控制和化解安全风险.
5G边缘计算系统包含5G网络和边缘计算平台系统.5G核心网通过控制面与用户面分离,用户面功能(UPF)可以灵活地下沉部署到网络边缘,而策略控制功能(PCF)以及会话管理功能(SMF)等控制面功能可以集中部署;5G网络中的MEC部署与会话管理、用户面路径优化、网络能力开放等功能密切相关.
5G边缘计算系统逻辑架构如图1所示[4].图1中,5G的UPF实现边缘计算的数据面功能, MEP(边缘计算平台)为边缘应用提供运行环境并实现对边缘应用的管理.根据具体的应用场景,UPF和边缘计算平台可以分开部署,也可以一体化部署.
图1 5G MEC系统逻辑架构示意图
5G边缘计算安全目标是遵照三同步原则,从规划、建设、运营全方位满足5G网络和业务安全需求,有效应对当前攻防态势.
5G边缘计算的安全防护策略应能根据运营以及攻击行为的变化,集中管理、可编排、可扩展;可以按需、灵活动态地为边缘计算应用提供安全服务.一方面保护5G核心网和无线网络的安全,并为应用提供安全的部署环境;另一方面,利用5G网络的安全优势,为应用提供安全审核、镜像保护、恶意流量检测等安全服务,从而保障应用的安全.
5G边缘计算安全体系包括基础设施安全、网络安全、数据安全、终端安全、MEC平台安全、MEC应用安全以及管理安全.MEC安全逻辑架构如图2所示.
图2 MEC安全逻辑架构示意图
2.3.1 MEC基础设施安全
MEC基础设施是指为上层MEC能力、应用的运行提供计算、存储、网络等资源的底层基础设施,包括计算服务器、存储服务器、硬件加速卡等设备和硬件实体,以及NFVI(网络功能虚拟化基础设施)等虚拟化基础设施.基础设施安全面临的问题主要包括物理环境安全和设备安全等.
2.3.2 核心网安全
核心网安全主要包括信令面安全、用户面安全以及能力开放安全3方面.
信令面安全方面的关键问题:1)信令窃取和篡改问题.如果核心网信令被窃取或篡改,对UE会造成拒绝服务攻击,对核心网会造成信令过载或非法访问的威胁.2)跨UPF切换过程中,MEP和UPF的选择联动问题.如果本地域名服务器与SMF之间没有安全保护,则可能会导致用户无法获取合适的边缘计算服务.3)未授权使用服务问题.UE移动过程中,未经授权的UE可能可以使用目标边缘数据网络提供的服务.
用户面安全方面的关键问题包括:用户标识泄露问题、边缘用户面网元的物理接触攻击问题、边缘用户网元恶意计费问题、边缘UPF DoS(拒绝服务)攻击问题、边缘合法监听问题、移动场景下边缘数据面安全问题等.
能力开放安全方面的关键问题是在没有身份验证和保护的情况下,攻击者可能会窃听、操纵或重放新接口上的通信.
2.3.3 MEC组网安全
在边缘计算系统中除了要部署UPF和MEP之外,还要考虑在MEP上部署第三方应用,所以MEC组网安全除了依然存在传统的组网安全问题之外,还可能会由于边缘计算节点(UPF和MEP等)的部署模式,导致5G网络的暴露面增大.因此,MEC组网安全的关键问题包括三平面隔离(业务、存储、管理三平面物理/逻辑隔离)、区域间安全隔离、互联网安全访问、UPF流量隔离等.
2.3.4 MEC通信安全
MEC通信包括MEC内通信及MEC间通信2部分,MEC内通信主要包含应用与MEP之间以及核心网元之间的通信,分为服务访问和数据转发两大类.如果MEC内的服务访问未进行认证和授权,则存在服务被非法访问的威胁;如果MEC内的业务数据转发未进行安全保护,则存在用户业务数据被攻击者获取,进而泄露用户隐私的风险.另外,考虑用户业务连续性等因素,MEC之间也需要进行通信来保障用户在移动过程中的平滑切换.MEC之间的数据转发如果未进行安全保护,则会导致数据被攻击者窃取或篡改;MEC之间的信令流程如果未进行认证和授权则会导致边缘平台资源被滥用,影响合法用户业务.因此,MEC通信安全关键问题主要包括:MEC内的服务访问控制问题以及业务数据转发安全保护问题、MEC之间数据转发安全保护问题以及信令流程的认证和授权问题.
2.3.5 数据安全
MEC平台存储有用户信息、无线网和核心网的网络信息等多类敏感或隐私数据,需重点考虑数据迁移、共享、存储、销毁等方面潜在的数据损毁及泄露的安全风险,另外,如果在用户不知情的情况下其隐私信息被发送到边缘数据网络中的边缘应用服务器,则带来用户隐私泄露风险.
因此,数据安全的关键问题包括:存储的大量数据的传输安全问题、重要数据的安全备份和恢复问题、用户许可授权问题、用户数据中的隐私保护问题等.
2.3.6 终端安全
边缘网络的接入端点多,如果边缘终端防护措施及防护能力不足,攻击者可利用海量接入终端发起超大流量的DDoS攻击,一旦被攻击容易形成僵尸网络,成为攻击源,进而引发对用户应用和后台系统等的网络攻击,带来网络中断、系统瘫痪等安全风险;攻击者也可利用终端系统漏洞或者应用程序病毒窃取敏感数据.因此,终端安全面临的关键问题主要包括终端自身组件和应用的安全、数据安全以及接入网络的安全.
2.3.7 MEC平台安全
MEC平台提供了移动边缘应用部署和运行涉及的环境和服务,包括边缘应用的注册、发现等,并为其提供边缘服务的环境,边缘服务的环境通常以VNF(虚拟网络功能)或者以容器的方式进行部署.当用户需要边缘计算服务时要向MEC平台进行注册,MEC平台对其进行认证和授权.在边缘应用和用户向边缘计算平台注册的过程中需要保证相关注册信息不被篡改.
MEC平台面临的关键安全问题是:对MEP部署的虚拟化基础设施安全加固问题、MEP的服务访问接口认证和授权问题、MEP与MEC应用之间的数据传输安全保护问题以及MEP的用户数据保护问题.
2.3.8 MEC应用安全[6]
MEC应用可以从MEC平台获取信息,并通过MEC平台向外提供服务:一方面, MEC应用可能会通过MEC平台提供非法服务,或者恶意消耗MEC平台资源;另一方面,MEC应用可能会受到攻击,导致数据泄露或者生命周期管理被破坏.
MEC应用安全的关键问题有:MEC应用的生命周期管理问题、MEC应用之间的安全隔离问题、MEC应用对MEC系统的访问权限及资源占有和消耗的控制问题、MEC应用的漏洞扫描及加固问题等.
2.3.9 管理安全
MEC管理安全包括MEC编排和管理系统安全、接口访问控制安全, API调用安全以及通信内容的安全保护等.
MEC的编排管理架构包括MEO (MEC编排器)和MEPM(MEC平台管理),其中MEO主要负责:根据已部署的MEC主机、可用资源、可用的MEC服务和拓扑,维护MEC系统的总体视图;根据时延、可用资源、可用服务等约束条件,选择合适的MEC主机进行应用实例化,同时还对应用程序包的上线、应用的实例化触发等进行管理.而MEPM则管理应用的生命周期、管理应用规则和需求等.若编排管理实体被攻击者控制或攻破,则会带来边缘系统的资源滥用、业务中断、数据泄露、非法访问等一系列安全风险.另外,如果编排管理实体与被管理实体间的接口被攻击者篡改或窃取,也会带来非授权访问以及数据泄露等安全风险.
MEC编排和管理系统安全的关键问题包括:编排管理实体的安全加固问题,登录认证授权问题;编排管理实体与被管理实体间的认证授权问题.
2.4.1 MEC设备与环境安全保护
MEC服务器应提供设备可信验证能力.设备可信主要包括硬件安全、系统可信保障和设备接口保护3个方面.其中,硬件安全包括硬件接口的安全防护、防近端攻击以及独立硬件安全模块等;系统可信保障包括基于硬件信任根的系统或软件的静态可信验证、应用程序执行环境的动态可信验证以及关键文件的机密性和完整性保护;设备接口保护包括以最小权限原则设置访问控制策略和规则、增强接口协议健壮性保护等.
环境安全保护主要包括边缘计算系统机房出入口配置电子门禁系统,控制、鉴别和记录进入的人员;机柜部署电子防拆封功能,并记录、审计打开、关闭机柜的行为等.另外,边缘计算设备应是可信设备,应防止非法设备接入系统.
部署于机房环境的MEC平台在机房位置、电力供应、防火、防水、防静电、温湿度控制等方面应能满足等级保护相关要求.
2.4.2 组网安全[5]
组网安全解决方案主要包括:1)三平面隔离、服务器和交换机等,应支持业务、存储和管理三平面物理或逻辑隔离;2)根据业务需求进行安全隔离.行业应用侧的应用应与运营商MEC应用、MEP、UPF进行安全隔离,应用侧的应用之间、运营商自有应用之间也应进行安全隔离;3)保障互联网安全访问,根据业务访问需求设置DMZ(隔离区),并在边界部署抗DDoS攻击、入侵检测、访问控制、Web流量检测等安全能力,实现边界安全防护;4)UPF流量隔离.UPF应支持设置白名单,并在接口配备防火墙进行安全控制.
2.4.3 核心网安全及通信安全
信令面安全解决方案包括:服务化接口应能保护认证授权和传输安全;对AF(应用功能)进行认证和授权;边缘UPF和核心网之间建立安全通道;本地DNS服务器和核心网之间建立安全通道.
用户面安全解决方案包括:核心网配置用户外部标识和核心网标识之间的映射关系,在与外部AF交互时使用外部身份标识进行通信,保护用户隐私;UPF应部署在运营商可控、具有基本物理安全环境保障的机房,UPF网元或者虚拟化UPF所在的基础设施应具备物理安全保护机制;对接入到MEC的设备进行生命周期管理;保障计费信息的传输和存储安全;UPF入口部署防火墙,实现流量过滤和控制,也可在UPF进行流量过滤,丢弃非法流量,防止过载;监听规则与监听数据在传输和存储时均进行机密性和完整性保护,防止泄露和篡改.
能力开放安全解决方案包括UPF和本地NEF之间建立安全通道以及AF对UPF上报数据进行校验等.
另外,在通信安全方面,MEC内或MEC间的数据传输应部署安全通道;服务访问应进行认证授权.
2.4.4 数据安全
加强对数据存储、迁移和传输、共享、销毁过程中的数据安全保护,采用加密传输与存储、完整性校验、身份认证、授权共享、分级分类、脱敏备份、彻底销毁等手段,确保敏感及隐私数据的完整性、机密性、可用性.
2.4.5 终端安全
对终端接入进行认证,如4G的AKA(鉴权密钥协商)、5G的AKA以及EPS(演进分组系统)-AKA’等,实现终端和运营商核心网之间的双向身份认证,并可基于认证的参数计算空口信令/数据的加密和完整性保护的密钥.持续进行终端异常流量监测、定期对终端进行病毒查杀、定期对终端安装程序进行审核等.
2.4.6 MEC平台安全与应用安全
在MEC平台与外部网元之间的接口启用安全隧道,对其传输的数据进行加密和完整性保护;MEC平台对来自边缘MEC应用的访问开启认证和授权;MEC平台本身通过漏洞及端口扫描关闭不必要的端口和服务;MEC平台部署的虚拟化基础设施安全加固.
当MEC应用以虚拟机或容器部署时,相应的虚拟化基础设施应支持MEC应用使用的虚拟CPU、虚拟内存以及I/O等资源与其他虚拟机或容器使用的资源进行隔离,对MEC应用镜像和镜像仓库进行完整性、机密性、访问控制保护等,同时,保障MEC生命周期安全,包括MEC应用软件包数字签名并通过安全的加密通道传输,MEC应用镜像及快照加密存储,镜像包在注册、加载、更新时进行完整性校验等.
2.4.7 管理安全
OAM(操作管理维护)、OSS(网管系统)、MEO(MEC编排器)、MEPM(MEC平台管理)之间的接口,除做好严格的访问控制外,还可部署API(应用程序接口)网关对API的调用进行安全管控.边缘计算系统的管理维护接口应支持对接入者的身份认证,并在身份认证成功后,使用安全的传输协议保护通信内容的机密性和完整性.
针对以上5G边缘计算安全关键问题,国际国内标准组织均已开展研究,并输出了相关标准和研究报告.其中,相关国际标准主要在3GPP(第3代合作伙伴计划)和ETSI(欧洲电信标准协会)研究制定[7],包括:
3GPPTR 23.748 《5GC中支持边缘计算的增强技术研究》[8];
3GPPTR 33.839 《5GC中边缘计算安全增强技术研究》;
3GPP TS 33.501《5G安全流程及架构》[9];
ETSI GS MEC 003《移动边缘计算(MEC);框架及参考架构》[10];
ETSI GR MEC 017《移动边缘计算(MEC);NFV环境中移动边缘计算的部署》[11];
ETSI白皮书 No. 28 《5G网络中的MEC》[12].
国内标准及研究课题主要在中国通信标准化协会(CCSA)研究制定,具体如下:
《5G核心网边缘计算总体技术要求》;
《5G核心网边缘计算平台技术要求》;
《5G核心网边缘计算平台测试方法》;
《5G边缘计算能力开放技术要求》;
《支持云游戏的5G移动边缘计算技术要求》;
《面向多接入边缘计算的5G核心网增强技术研究》;
《5G 移动边缘计算安全技术研究》;
《5G 移动边缘计算安全技术要求》;
《5G 多接入边缘计算平台通用安全防护要求》《5G 多接入边缘计算平台通用安全防护检测要求》.
随着 5G 商用进程的快速推进,5G 发展已进入应用落地阶段,5G 边缘计算技术为满足不同行业应用差异化业务需求提供了便利,但同时也面临着新的安全问题,目前, 5G边缘计算安全问题也越来越受到重视.建议后续MEC安全工作重点方向为,针对5G MEC安全关键问题,加强关键技术研究,加快推进标准化进展,挖掘解决方案与应用实践,培育产业生态,促进创新发展,为百花齐放的5G应用发展保驾护航.