5G边缘计算安全白皮书-工业互联网产业联盟&中国移动&中国信通院-2020.11-32页.pdf

1、5G 边缘计算安全白皮书发布日期：2020 年 11月 5G 边缘计算作为 5G 网络新型网络架构之一，通过将云计算能力和 IT 服务环境下沉到移动通信网络边缘，就近向用户提供服务，从而构建一个具备高性能、低时延与高带宽的电信级服务环境 1。5G 边缘计算将核心网功能下沉到网络边缘，具备丰富的应用场景，带来新的安全挑战的同时，也加大了安全监管难度；与此同时，原有的安全防护方案并没有覆盖到边缘场景，包含3GPP 等国际标准组织针对边缘计算的标准，都在同步研制和探讨中 2-6。本白皮书结合前期的实践经验，面向运营商和 5G行业用户，提出了 5G 边缘计算安全防护策略，方便行业用户在开展 5G 边缘

2、计算应用的同时，落实安全三同步（同步规划、建设、维护）方针，指导行业提升边缘计算的安全能力。PREFACE前言参与编写单位：中国移动通信集团有限公司中国信息通信研究院中国电信集团公司中国联通股份有限公司北京邮电大学中国南方电网有限责任公司爱立信(中国)通信有限公司上海诺基亚贝尔股份有限公司华为技术有限公司中兴通讯股份有限公司三一重工股份有限公司北京交通大学双湃科技有限公司北京奇虎科技有限公司北京六方云科技有限公司北京山石网科信息技术有限公司北京神州绿盟科技有限公司杭州安恒信息技术股份有限公司东软集团股份有限公司北京万维物联科技发展有限公司长扬科技（北京）有限公司北京信安世纪科技股份有限公司郑州

3、信大捷安信息技术股份有限公司 工业信息安全（四川）创新中心有限公司江苏亨通工控安全研究院有限公司编写组成员：张 滨、袁 捷、魏 亮、张 峰、于 乐、田慧蓉、沈 彬、陶耀东、李江力、李祥军、林 欢、闫 霞、张弘扬、安宝宇、张国翊、曹 扬、袁 琦、程 渤、赵 帅、何国锋、张建宇、高 枫、董 悦、滕志猛、陆 伟、李 娜、刘秀龙、朱 兵、徐高峰、葛林娜、张雪菲、李鸿彬、张 屹、任 亮、魏立平、辛毅、陈 凯、高 勇、汪义舟、刘尚麟、张 森、付 军、李剑锋、谷久宏、张洪宇、刘为华、胡晶晶、常 静、陈夏裕CONTENTS目录前言1 5G 边缘计算概述.011.1 5G 边缘计算介绍.011.2 5G 边缘计

4、算场景.012 5G 边缘计算标准及政策.032.1 5G 边缘计算相关标准.032.2 5G 边缘计算安全边界定义.043 5G 边缘计算安全威胁.053.1 网络服务安全威胁.053.2 硬件环境安全威胁.053.3 虚拟化安全威胁.053.4 边缘计算平台安全威胁.063.5 应用安全威胁.063.6 能力开放安全威胁.063.7 管理安全威胁.073.8 数据安全威胁.074 5G 边缘计算安全防护.084.1 5G 边缘计算安全防护架构.084.2 5G 边缘计算安全防护要求.095 5G 边缘计算安全案例.195.1 智能电网.195.2 智慧工厂.236 未来展望.26附录 1：

5、缩略语.27附录 2：参考文献.285G边缘计算安全白皮书01015G 边缘计算概述1.1 5G 边缘计算介绍1.2 5G 边缘计算场景5G 边缘计算（Multi-access Edge Computing，MEC）是指在靠近用户业务数据源头的一侧，提供近端边缘计算服务，满足行业在低时延、高带宽、安全与隐私保护等方面的基本需求，如：更接近用户位置的实时、安全处理数据等。5G PPP 发布的白皮书5G empowering vertical industries7指出，5G 通过边缘计算技术将应用部署到数据侧，而不是将所有数据发送到集中的数据中心，满足应用的实时性。白皮书认为，智慧工厂、智能电网

6、、智能驾驶、综合不同业务对时延、成本和企业数据安全性的考量，下沉到汇聚机房和园区是主力部署方案，MEC 的部署场景可分为广域 MEC 和局域 MEC 两大类。1.2.1 广域 MEC 场景对于低时延业务，由于百公里传输引入的双向时延低于1ms，基于广域 MEC 的 5G 公网已经能够为大量垂直行业提供 5G 网络服务。权衡应用对接、运维复杂度、设备和工程成本等多种因素，MEC 部署在安全可控的汇聚机房是当前运营商广域 MEC 的主力方案。健康医疗、娱乐和数字媒体是未来最具商业规模且排名靠前的边缘计算需求场景，极具典型性，并且运营商也在这些领域与行业客户紧密合作，基于用户需求，共同推动边缘计算的

7、发展，为用户提供安全可靠的边缘计算业务。2019 年由边缘计算产业联盟（ECC）与工业互联网产业联盟（AII）联合发布的边缘计算安全白皮书1中指出边缘计算具有资源约束、分布式、实时性等特征，所以边缘计算安全防护需考虑海量、异构、资源约束、分布式、实时性等特征，提出轻量级、针对性的边缘计算安全防护架构。图 1-1 MEC 部署场景MEC部署整体对接及运维复杂度、设备和工程成本高低时延低适中企业数据风险低高RAN部署5GC部署基站站点园区机房汇聚机房超低时延超低时延低时延核心机房广域MEC核心网5G边缘计算概述5G边缘计算安全白皮书02图 1-2 广域 MEC 场景图 1-3 局域 MEC 场景广

8、域 MEC 的主要应用场景包括：大网 OTT 连接（Cloud VR/云游戏）、大网集团连接（公交广告/普通安防）、大网中的 URLLC 专网（电力等）、大网专线连接（企业专线）等，这些应用场景下，通过将 MEC 部署在汇聚机房，满足低时延的业务诉求。1.2.2 局域 MEC 场景对于安全与隐私保护高敏感的行业，可以选择将 MEC 部署在园区，以满足数据不出园的要求。港口龙门吊的远程操控，钢铁厂的天车远程操控，以及大部分的制造、石化、教育、医疗等园区/厂区都是局域 MEC 的典型场景。局域 MEC 部署场景下，MEC 将满足 URLLC 超低时延业务；同时支持企业业务数据本地流量卸载（LBO）

9、，为园区客户提供本地网络管道。通过增强隔离和认证能力，防止公网非法访问企业内网，构建企业 5G 私网。通过 DNN、切片等方案组成企业子网，只允许无线终端接入园区内网络；通过机卡绑定、企业 AAA 二次鉴权等手段，只允许特定终端访问园区网络；通过基站广播园区专用 PLMN ID+NID 或者 CAG ID，只允许企业终端接入园区专用网络。5G核心网运营商汇聚机房运营商汇聚机房N6企业DCUPFAPP1APPnMEC平台UPF企业APP1企业APPnMEC平台PCFUPFUDMNRFAMFSMF局域移动边缘计算UPF企业网Internet虚拟化基础设施MEP二次认证园区企业APPn企业APP1U

10、PFAMFSMFUDMAUSF5G边缘计算概述 5G边缘计算安全白皮书03025G 边缘计算标准及政策2.1 5G 边缘计算相关标准MEC 标准是双规发展制，一方面 ETSI 着重定义 MEC 的平台、虚机和 API 管理等标准；另一方面 3GPP 着重定义 MEC 和其它 5G 核心网元的交互方式，因此 MEC 从架构上归属核心网。典型的，ETSI 规定了 UPF 网元的位置即为 MEC 在 5G 网络架构中的位置。ETSI 2016 年 3 月发布了 ETSI GS MEC 003,定义了移动边缘计算的框架和参考架构；后续还定义了 GS MEC 009、GS MEC 010-2、GS ME

11、C 011、GS MEC 012 和GS MEC 013 等标准，涵盖了应用生命周期管理，移动边缘应用支持，无线网络信息和位置等主题。3GPP 在 5G 网络架构标准规范 TS 23.501（Release 15）中也对 5G 边缘计算定义了交互标准（support for Edge Computing）。目前 3GPP 的 Release 17 中对 MEC 增强以及 MEC 安全启动标准制订预计 2021 年 3 月后发布。ITU 立项了 ITU-T X.5Gsec-netec“Security capabilities of network layer for 5G edge compu

12、ting”和 ITU-T X.5Gsec-ecs Security Framework for 5G Edge Computing Services 两项边缘计算安全国际标准项目。中国通信行业标准 CCSA 在5G 核心网边缘计算总体技术要求也提出了 5G 边缘计算系统架构，如下图所示:图 2-1 5G 边缘计算系统逻辑架构NSSFAUSFUDMSMFPCFAPP1APP2边缘计算运营管理平台MEC主机MEO（MEAO+NFVO）APPnAMF(R)ANUPFUENEFN11N7N5N6Mm7Mm6Mm5Mp1N3N1N2N4N33N13N22N12N8N10N29N30N9N14N15Mm1

13、Mm3Mm4Mm2边缘计算平台（MEP）边缘计算平台管理（MEPM）VIM虚拟化基础设施（虚机/容器）5G边缘计算标准及政策 5G边缘计算安全白皮书042.2 5G 边缘计算安全边界定义3GPP 标准上核心与非核心界面明确，即使 5G 核心网的部分功能（如 UPF）下沉，位置上接近应用，依然遵循 5G 核心网的配置分流策略，仍属于核心网。而且 5G MEC 和 RAN 接入网位于不同的安全等级中，两者之间必须部署安全网关或者防火墙，以确保 MEC 和 RAN 之间的接口安全；同时，两者的接口是 3GPP 标准定义的，MEC 和 RAN 可以来自不同的厂商，各厂家遵从 3GPP 和ETSI 标准

14、，根据 3GPP 标准定义接口实现解耦和互操作。CCSA 的安全架构中规定 MEC 的安全边界：MEC 除支持UPF 通用安全要求外，还要求“应部署在运营商可控、具有基本物理安全环境保障的机房，UPF 网元或者虚拟化 UPF 所在的基础设施应具备物理安全保护机制（如：防拆、防盗、防恶意断电、防篡改等，设备断电/重启、链路断开等问题发生后应触发告警）。”因此，相比RAN 的广域部署模式，MEC 与 RAN 部署在不同的地理位置和安全区，所需要的保障安全等级是完全不同的。MEC 原则上部署在物理安全环境有保障的机房，如，园区和汇聚机房。因此与 RAN 的基站之间的安全边界是清晰的，不可模糊的。图

15、2-2 5G 边缘计算典型部署位置MEC部署园区和汇集机房，与RAN的物理边界清晰无需MEC部署在基站侧MEC部署园区和汇集机房极短时延eMBBmMTCBuilt-inFirewalluRLLCRANCoreMEC短时延长时延基站园区机房汇聚机房核心机房MECMECMEC5GCMECRAN5GCCCSA 的 5G 边缘计算系统逻辑架构将 5G 的 UPF 作为边缘计算的数据面，边缘计算平台系统（MEP）为边缘应用提供运行环境并实现对边缘应用的管理。5G 边缘计算平台系统相对于 5G 核心网络是 AF+DN（应用功能+数据网络）的角色，与 UPF 之间为标准的 N6 接口连接。此外，CCSA 正

16、在研究5G 边缘计算安全技术研究与5G 多接入边缘计算安全防护要求。5G边缘计算标准及政策 5G边缘计算安全白皮书05035G 边缘计算安全威胁3.1 网络服务安全威胁移动边缘架构下，接入设备数量庞大，类型众多，多种安全域并存，安全风险点增加，并且更容易实施分布式拒绝服务攻击。5G 边缘计算节点部署位置下沉，导致攻击者更容易接触到边缘计算节点硬件。攻击者可以通过非法连接访问网络端口，获取网络传输的数据。此外，传统的网络攻击手段仍然可威胁边缘计算系统，例如，恶意代码入侵、缓冲区溢出、数据窃取、篡改、丢失和伪造数据等。3.2 硬件环境安全威胁相比核心网中心机房完善的物理安全措施，边缘计算节点可能部署在无人值守机房或者客户机房，甚至人迹罕至的的地方，所处环境复杂多样，往往防护与安保措施较为薄弱，存在受到自然灾害而引发的设备断电、网络断链等安全风险，此外更易遭受物理接触攻击，如攻击者近距离接触硬件基础设施，篡改设备配置等。攻击者可非法访问物理服务器的 I/O 接口，获得敏感信息。3.3 虚拟化安全威胁边缘计算基础设施中，容器或虚机是主要部署方式。攻击者可篡改容器或虚机镜像，利用 Host OS