基于5G SA+MEC企業(yè)園區(qū)組網(wǎng)的安全方案

控制要求時延在10～100ms級別。在算力方面，需15GSA+MEC企業(yè)園區(qū)組網(wǎng)的安全分析常見的企業(yè)園區(qū)5GSA+MEC組網(wǎng)如圖1所示，由運營商在企業(yè)園區(qū)內(nèi)部署下沉的用戶面功能(User擊；物理機(jī)、網(wǎng)絡(luò)功能虛擬化基礎(chǔ)設(shè)施(Network防護(hù)方案運營商匯聚/核心機(jī)房運營商匯聚/核心機(jī)房5G核心網(wǎng)專題：工業(yè)互聯(lián)網(wǎng)2022年第10期理，對設(shè)備實施網(wǎng)絡(luò)接入管理、關(guān)閉物理端口等保護(hù)方式。(2)用戶憑證保護(hù)：即對5G用戶永久標(biāo)識符基站攻擊；將用戶憑證的長期會話密鑰(K值)在終端護(hù)方案存儲在通用集成電路卡(UniversalIntegrated(3)接入二次認(rèn)證：即終端應(yīng)支持3GPP主認(rèn)證(5G-AKA認(rèn)證機(jī)制等)并在特定場景下支持主認(rèn)證之外的二次AAA認(rèn)證。(5)信令和數(shù)據(jù)加密：即用戶面數(shù)據(jù)和控制面信令采用NEA0、128NEA1/2/3、128NIA1/2/3等算法加密。(6)基站抗重放及可用性保護(hù)：即基站具備對重2.2傳輸安全MEC、5G核心網(wǎng)之間經(jīng)承載網(wǎng)傳輸過程中涉及的安全，主要圍繞加密傳輸及提高傳輸鏈路的可靠性和可用性，主要包括以下幾方面(見圖2)。(1)高可靠組網(wǎng)：即對承載網(wǎng)接入層設(shè)備采用環(huán)(2)傳輸通道加密：即對N2/N3/X2接口部署互密傳輸；在接入層和匯聚層設(shè)備間基于端到端偽線仿真(PseudoWireEmulationEdge-to層虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)隧道(3)承載鏈路主備：即接入層與匯聚層設(shè)備間的間、下沉與大網(wǎng)UPF+MEC間的主備/負(fù)荷分擔(dān)等模式提高傳輸容災(zāi)可靠性，參見圖3.(5)端到端切片隔離：無線網(wǎng)切片主要是指無線網(wǎng)會根據(jù)報文上已配置的保證/非保證比特速率用戶群體甚至單個用戶提供專用、高優(yōu)先級的無線網(wǎng)絡(luò)資源，具體包括為GBR業(yè)務(wù)提供最低帶寬保障且不允許其他業(yè)務(wù)搶占，不同5QI對應(yīng)差異化的轉(zhuǎn)發(fā)優(yōu)先可疊加使用。硬切片主要指在公眾業(yè)務(wù)和企業(yè)業(yè)務(wù)之2B硬切片A"急救援),通過配置不同的中間系統(tǒng)到中間系統(tǒng)OSPF)協(xié)議進(jìn)程、專用的虛擬局域網(wǎng)標(biāo)(DifferentiatedServicesCodePoint,DSCP)以及專用間部署雙向轉(zhuǎn)發(fā)檢測(BidirectionalForwardingBorderGatewayProtocol,eBGP)路由或靜態(tài)路由。(BorderGatewayProtocol,BGP)的Keepalive報文發(fā)送省會AUPF主備園區(qū)UPF正常時業(yè)務(wù)流主備園區(qū)UPF故障時業(yè)務(wù)流表1不同類型業(yè)務(wù)5QI與DSCP的映射資源類型5QI編號DSCP(示意)4K/8K直播(上行)超低時延保障(工業(yè)控制、遠(yuǎn)程醫(yī)療)46注：不同5QI編號不區(qū)分大小，只在3GPP標(biāo)準(zhǔn)中對應(yīng)不同的無線側(cè)時延、丟包率，且不對應(yīng)更高的DSCP優(yōu)先級。比如工業(yè)控制要求的時延極低，但數(shù)據(jù)處理通常在下沉的MEC進(jìn)行，不通過承載網(wǎng)長距離傳輸，因此雖然配置了對應(yīng)空口時延極低的5QI,DSCP優(yōu)先級反而低于通用帶寬保障專題：工業(yè)互聯(lián)網(wǎng)2022年第10期間隔默認(rèn)為60s,當(dāng)3個周期以上未接收到報文則判定為故障。而BFD是一種基于用戶數(shù)據(jù)報協(xié)議(User準(zhǔn)、和協(xié)議無關(guān)的快速故障檢測，實際應(yīng)用中可與議向設(shè)備通知BFD鄰居信息，兩臺鄰居設(shè)備建立BFD會話，之后相互以ms為單位(常見設(shè)備上可設(shè)置為的檢測周期(例如3個接收周期，30ms)內(nèi)檢測不到BFD報文時，BFD會通知上層應(yīng)用進(jìn)行故障處理，從2.3MEC平臺安全MEC平臺安全主要指邊緣MEC節(jié)點涉及的安系統(tǒng)互聯(lián)等方面出發(fā)，提供從物理層至應(yīng)用層自底而物理環(huán)境安全即確保MEC節(jié)點所在機(jī)房具備防2.3.2組網(wǎng)安全將MEC平臺流量劃分為管理、存儲、業(yè)務(wù)3個平離，與會話管理功能(SessionManagementFunction,數(shù)限制、支持賬號主動退出、管理賬號權(quán)限最小化等；關(guān)閉不必要的服務(wù)/端口，進(jìn)行安全基線配置和加固，對接集中安全平臺進(jìn)行安全審計；確保UPF具備防地用的最大限度，并在單個虛機(jī)崩潰后不會影響虛擬機(jī)(5)平臺安全域2.3.4虛擬化安全進(jìn)行安全加固；開啟鏡像完整性校驗，使用HTTPS等安全傳輸通道進(jìn)行鏡像上傳；虛擬機(jī)監(jiān)視器設(shè)置對虛機(jī)操作和使用資源權(quán)限的限制，同一物理機(jī)上不同虛機(jī)隔離并監(jiān)控資源使用情況；MEC平臺在部署階段對鏡像倉庫進(jìn)行安全監(jiān)管、對上傳的容器鏡像進(jìn)行漏洞2.3.5平臺安全在MEC平臺上開啟訪問的認(rèn)證和授權(quán)機(jī)制，防止非法訪問篡改；確保MEC平臺對外接口支持通信雙方(TransportLayerSecurity,TLS),不使用Telnet.FTP、2.3.6應(yīng)用安全確保MEC平臺可對應(yīng)用全生命周期管理和監(jiān)控，防止應(yīng)用的非法創(chuàng)建、修改及刪除；同時基于應(yīng)用間隔離；確保MEC平臺對APP資源使用情況進(jìn)2.3.7運維管理安全全問題愈發(fā)凸顯。我國在《中華人民共和國數(shù)據(jù)安全非法利用造成的危害程度，對數(shù)據(jù)實行分類分級保護(hù)。因此,數(shù)據(jù)安全主要應(yīng)防止數(shù)據(jù)被篡改、破壞和泄露，一般可通過以下手段對數(shù)據(jù)提供保護(hù)。2.4.1數(shù)據(jù)備份恢復(fù)Storage,SDS)技術(shù)的多副本分布式存儲方案如圖6所示，數(shù)據(jù)依據(jù)算法自動均衡地分布在不同的存儲節(jié)點，支持節(jié)點的快速添加和刪除橫向擴(kuò)展，支持節(jié)點故障2.4.2數(shù)據(jù)本地處理AH2.4.3數(shù)據(jù)安全審計3典型案例如在進(jìn)行某大型石化企業(yè)的5GMEC項目建設(shè)型或口字型冗余互聯(lián)，數(shù)據(jù)傳輸過程中采用IPsecCloud,VPC)隔離等技術(shù)實現(xiàn)。最后，企業(yè)可通過企業(yè)園區(qū)平臺CE網(wǎng)關(guān)2W號圖75GSA+MEC企業(yè)園區(qū)組網(wǎng)安全典型案例4結(jié)束語的安全規(guī)范和標(biāo)準(zhǔn)，避免出現(xiàn)木桶效應(yīng)。另外，云邊協(xié)專題：工業(yè)互聯(lián)網(wǎng)2022年第10明同、多個MEC間的容災(zāi)備份也使得安全問題更加復(fù)部署從企業(yè)園區(qū)復(fù)制擴(kuò)散至運營商5G核心網(wǎng)，甚至利用共享的MEC或公有云進(jìn)一步滲透至其他企業(yè)。參考文獻(xiàn)礎(chǔ)設(shè)施保護(hù)大會論文集，2020:163-168.DOI:作者簡介：胡兆烜中國電信股份有限公司研究院工程師，主要張建敏中國電信股份有限公司研究院教授級高級工邊緣計算等馮曉麗中國電信集團(tuán)有限公司高級項目經(jīng)理，主要研究方向為5GMEC產(chǎn)品運營等HUZhaoxuan1,ZHANGJianmin1,FENGXia