基于5G SA+MEC企業(yè)園區(qū)組網(wǎng)的安全方案

控制要求時(shí)延在10～100ms級(jí)別。在算力方面，需15GSA+MEC企業(yè)園區(qū)組網(wǎng)的安全分析常見(jiàn)的企業(yè)園區(qū)5GSA+MEC組網(wǎng)如圖1所示，由運(yùn)營(yíng)商在企業(yè)園區(qū)內(nèi)部署下沉的用戶面功能(User擊；物理機(jī)、網(wǎng)絡(luò)功能虛擬化基礎(chǔ)設(shè)施(Network防護(hù)方案運(yùn)營(yíng)商匯聚/核心機(jī)房運(yùn)營(yíng)商匯聚/核心機(jī)房5G核心網(wǎng)專題：工業(yè)互聯(lián)網(wǎng)2022年第10期理，對(duì)設(shè)備實(shí)施網(wǎng)絡(luò)接入管理、關(guān)閉物理端口等保護(hù)方式。(2)用戶憑證保護(hù)：即對(duì)5G用戶永久標(biāo)識(shí)符基站攻擊；將用戶憑證的長(zhǎng)期會(huì)話密鑰(K值)在終端護(hù)方案存儲(chǔ)在通用集成電路卡(UniversalIntegrated(3)接入二次認(rèn)證：即終端應(yīng)支持3GPP主認(rèn)證(5G-AKA認(rèn)證機(jī)制等)并在特定場(chǎng)景下支持主認(rèn)證之外的二次AAA認(rèn)證。(5)信令和數(shù)據(jù)加密：即用戶面數(shù)據(jù)和控制面信令采用NEA0、128NEA1/2/3、128NIA1/2/3等算法加密。(6)基站抗重放及可用性保護(hù)：即基站具備對(duì)重2.2傳輸安全MEC、5G核心網(wǎng)之間經(jīng)承載網(wǎng)傳輸過(guò)程中涉及的安全，主要圍繞加密傳輸及提高傳輸鏈路的可靠性和可用性，主要包括以下幾方面(見(jiàn)圖2)。(1)高可靠組網(wǎng)：即對(duì)承載網(wǎng)接入層設(shè)備采用環(huán)(2)傳輸通道加密：即對(duì)N2/N3/X2接口部署互密傳輸；在接入層和匯聚層設(shè)備間基于端到端偽線仿真(PseudoWireEmulationEdge-to層虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)隧道(3)承載鏈路主備：即接入層與匯聚層設(shè)備間的間、下沉與大網(wǎng)UPF+MEC間的主備/負(fù)荷分擔(dān)等模式提高傳輸容災(zāi)可靠性，參見(jiàn)圖3.(5)端到端切片隔離：無(wú)線網(wǎng)切片主要是指無(wú)線網(wǎng)會(huì)根據(jù)報(bào)文上已配置的保證/非保證比特速率用戶群體甚至單個(gè)用戶提供專用、高優(yōu)先級(jí)的無(wú)線網(wǎng)絡(luò)資源，具體包括為GBR業(yè)務(wù)提供最低帶寬保障且不允許其他業(yè)務(wù)搶占，不同5QI對(duì)應(yīng)差異化的轉(zhuǎn)發(fā)優(yōu)先可疊加使用。硬切片主要指在公眾業(yè)務(wù)和企業(yè)業(yè)務(wù)之2B硬切片A"急救援),通過(guò)配置不同的中間系統(tǒng)到中間系統(tǒng)OSPF)協(xié)議進(jìn)程、專用的虛擬局域網(wǎng)標(biāo)(DifferentiatedServicesCodePoint,DSCP)以及專用間部署雙向轉(zhuǎn)發(fā)檢測(cè)(BidirectionalForwardingBorderGatewayProtocol,eBGP)路由或靜態(tài)路由。(BorderGatewayProtocol,BGP)的Keepalive報(bào)文發(fā)送省會(huì)AUPF主備園區(qū)UPF正常時(shí)業(yè)務(wù)流主備園區(qū)UPF故障時(shí)業(yè)務(wù)流表1不同類型業(yè)務(wù)5QI與DSCP的映射資源類型5QI編號(hào)DSCP(示意)4K/8K直播(上行)超低時(shí)延保障(工業(yè)控制、遠(yuǎn)程醫(yī)療)46注：不同5QI編號(hào)不區(qū)分大小，只在3GPP標(biāo)準(zhǔn)中對(duì)應(yīng)不同的無(wú)線側(cè)時(shí)延、丟包率，且不對(duì)應(yīng)更高的DSCP優(yōu)先級(jí)。比如工業(yè)控制要求的時(shí)延極低，但數(shù)據(jù)處理通常在下沉的MEC進(jìn)行，不通過(guò)承載網(wǎng)長(zhǎng)距離傳輸，因此雖然配置了對(duì)應(yīng)空口時(shí)延極低的5QI,DSCP優(yōu)先級(jí)反而低于通用帶寬保障專題：工業(yè)互聯(lián)網(wǎng)2022年第10期間隔默認(rèn)為60s,當(dāng)3個(gè)周期以上未接收到報(bào)文則判定為故障。而B(niǎo)FD是一種基于用戶數(shù)據(jù)報(bào)協(xié)議(User準(zhǔn)、和協(xié)議無(wú)關(guān)的快速故障檢測(cè)，實(shí)際應(yīng)用中可與議向設(shè)備通知BFD鄰居信息，兩臺(tái)鄰居設(shè)備建立BFD會(huì)話，之后相互以ms為單位(常見(jiàn)設(shè)備上可設(shè)置為的檢測(cè)周期(例如3個(gè)接收周期，30ms)內(nèi)檢測(cè)不到BFD報(bào)文時(shí)，BFD會(huì)通知上層應(yīng)用進(jìn)行故障處理，從2.3MEC平臺(tái)安全MEC平臺(tái)安全主要指邊緣MEC節(jié)點(diǎn)涉及的安系統(tǒng)互聯(lián)等方面出發(fā)，提供從物理層至應(yīng)用層自底而物理環(huán)境安全即確保MEC節(jié)點(diǎn)所在機(jī)房具備防2.3.2組網(wǎng)安全將MEC平臺(tái)流量劃分為管理、存儲(chǔ)、業(yè)務(wù)3個(gè)平離，與會(huì)話管理功能(SessionManagementFunction,數(shù)限制、支持賬號(hào)主動(dòng)退出、管理賬號(hào)權(quán)限最小化等；關(guān)閉不必要的服務(wù)/端口，進(jìn)行安全基線配置和加固，對(duì)接集中安全平臺(tái)進(jìn)行安全審計(jì)；確保UPF具備防地用的最大限度，并在單個(gè)虛機(jī)崩潰后不會(huì)影響虛擬機(jī)(5)平臺(tái)安全域2.3.4虛擬化安全進(jìn)行安全加固；開(kāi)啟鏡像完整性校驗(yàn)，使用HTTPS等安全傳輸通道進(jìn)行鏡像上傳；虛擬機(jī)監(jiān)視器設(shè)置對(duì)虛機(jī)操作和使用資源權(quán)限的限制，同一物理機(jī)上不同虛機(jī)隔離并監(jiān)控資源使用情況；MEC平臺(tái)在部署階段對(duì)鏡像倉(cāng)庫(kù)進(jìn)行安全監(jiān)管、對(duì)上傳的容器鏡像進(jìn)行漏洞2.3.5平臺(tái)安全在MEC平臺(tái)上開(kāi)啟訪問(wèn)的認(rèn)證和授權(quán)機(jī)制，防止非法訪問(wèn)篡改；確保MEC平臺(tái)對(duì)外接口支持通信雙方(TransportLayerSecurity,TLS),不使用Telnet.FTP、2.3.6應(yīng)用安全確保MEC平臺(tái)可對(duì)應(yīng)用全生命周期管理和監(jiān)控，防止應(yīng)用的非法創(chuàng)建、修改及刪除；同時(shí)基于應(yīng)用間隔離；確保MEC平臺(tái)對(duì)APP資源使用情況進(jìn)2.3.7運(yùn)維管理安全全問(wèn)題愈發(fā)凸顯。我國(guó)在《中華人民共和國(guó)數(shù)據(jù)安全非法利用造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。因此,數(shù)據(jù)安全主要應(yīng)防止數(shù)據(jù)被篡改、破壞和泄露，一般可通過(guò)以下手段對(duì)數(shù)據(jù)提供保護(hù)。2.4.1數(shù)據(jù)備份恢復(fù)Storage,SDS)技術(shù)的多副本分布式存儲(chǔ)方案如圖6所示，數(shù)據(jù)依據(jù)算法自動(dòng)均衡地分布在不同的存儲(chǔ)節(jié)點(diǎn)，支持節(jié)點(diǎn)的快速添加和刪除橫向擴(kuò)展，支持節(jié)點(diǎn)故障2.4.2數(shù)據(jù)本地處理AH2.4.3數(shù)據(jù)安全審計(jì)3典型案例如在進(jìn)行某大型石化企業(yè)的5GMEC項(xiàng)目建設(shè)型或口字型冗余互聯(lián)，數(shù)據(jù)傳輸過(guò)程中采用IPsecCloud,VPC)隔離等技術(shù)實(shí)現(xiàn)。最后，企業(yè)可通過(guò)企業(yè)園區(qū)平臺(tái)CE網(wǎng)關(guān)2W號(hào)圖75GSA+MEC企業(yè)園區(qū)組網(wǎng)安全典型案例4結(jié)束語(yǔ)的安全規(guī)范和標(biāo)準(zhǔn)，避免出現(xiàn)木桶效應(yīng)。另外，云邊協(xié)專題：工業(yè)互聯(lián)網(wǎng)2022年第10明同、多個(gè)MEC間的容災(zāi)備份也使得安全問(wèn)題更加復(fù)部署從企業(yè)園區(qū)復(fù)制擴(kuò)散至運(yùn)營(yíng)商5G核心網(wǎng)，甚至利用共享的MEC或公有云進(jìn)一步滲透至其他企業(yè)。參考文獻(xiàn)礎(chǔ)設(shè)施保護(hù)大會(huì)論文集，2020:163-168.DOI:作者簡(jiǎn)介：胡兆烜中國(guó)電信股份有限公司研究院工程師，主要張建敏中國(guó)電信股份有限公司研究院教授級(jí)高級(jí)工邊緣計(jì)算等馮曉麗中國(guó)電信集團(tuán)有限公司高級(jí)項(xiàng)目經(jīng)理，主要研究方向?yàn)?GMEC產(chǎn)品運(yùn)營(yíng)等HUZhaoxuan1,ZHANGJianmin1,FENGXia