移動邊緣計算網絡安全防護關鍵技術研究

張振江 劉 賽 常曉林 曾劍雋 劉穎慧

1 北京交通大學 北京 100044

2 北京云馳未來科技有限公司 北京 100012

3 中國聯通研究院 北京 100176

引言

隨著云計算、大數據、移動互聯網、人工智能等技術的蓬勃發展，計算向著資源邊緣化的方向不斷延伸和發展[1]。物聯網技術的發展催生了大量智能終端的涌現，它們在物理位置上處于網絡的邊緣側，而且種類多樣。根據Statista的數據，到2025年，全球物聯網設備的數量將達到386億臺，并有超過50%的數據需要在網絡邊緣側分析、處理與儲存[2]。網絡邊緣的設備數量迅速增加，其所產生的數據已達到澤字節(ZB)級別，并且各種設備交互感知。更多的連接、更大的流量、更多的應用，在促進網絡的革命性發展。但由于安全標準滯后以及智能設備制造商缺乏安全意識和投入，物聯網存在的巨大安全隱患，是個人隱私、企業信息安全甚至國家關鍵基礎設施的頭號安全威脅。物聯網是與物理世界交互的，在自動駕駛、智能電網、災害監測等應用場景中，一旦出現安全問題就會涉及生命財產的損失[3]。因此，物聯網安全比互聯網安全更重要，影響更大。邊緣計算的引入為物聯網安全的發展帶來巨大的機遇，部署在邊緣的數據中心可以為終端執行隱私保護算法提供充足的資源，有效地保護終端的隱私數據。物聯網設備資源有限，無法執行完整的安全協議，可以借助邊緣服務器(節點)進行協議代理，實現數據的端到端安全傳輸。隨著第五代移動通信網絡(5G 網絡)的商用[4]，移動邊緣計算所具有的低時延、高帶寬、大容量等優勢，解決了傳統通信領域的諸多問題，但也導致數據流量的極速增長，因此運營商亟需提供安全、可靠、可行的網絡防護能力。

萬物互聯系統在緊密耦合網絡系統與物理世界中的關鍵性作用決定了其在安全屬性和隱私保護方面的需求比在以往任何信息系統中更加重要，安全成為MEC建設必須要考慮的關鍵問題[5]。針對MEC安全技術問題的相關研究多從MEC結構特征出發，研究其面臨的安全威脅。與傳統網絡相比，靠近網絡邊緣側的邊緣設備所處的網絡環境更加復雜，對終端具有較高的控制權限，導致其在萬物互聯網絡中提高數據傳輸和處理效率的同時，不可避免地帶來新的安全威脅[6]。因此，MEC在實際應用和長期發展的過程中，需要全面地了解新的攻擊威脅，及時發現邊緣計算安全隱患。

1 需求分析

邊緣計算[7]作為新興計算范式，具有廣泛的發展空間。對電信服務提供商而言，邊緣應用通過將業務拓展至邊緣網絡部署新型服務以吸引新客戶，從而拓寬業務渠道。隨著邊緣計算相關技術，特別是物聯網(IoT)和傳感器技術的進步，數據越來越需要在收集處或近用戶端進行處理[8]。由于邊緣計算具有內容感知、實時計算、并行處理等開放特性，其服務環境面臨移動終端數量龐大、環境復雜等問題，導致MEC平臺面臨的非授權訪問、敏感數據泄露、DDoS攻擊、物理攻擊等安全風險加劇，使原已存在于云計算的設備安全、數據安全和隱私保護等安全問題在MEC環境下愈發凸顯。

在相關標準方面，目前，邊緣計算安全特別是MEC安全尚未形成成熟的框架和標準，一些研究機構針對邊緣計算安全的部分問題進行了探討[9]。歐洲電信標準協會ETSI發布的《移動邊緣計算介紹性技術白皮書》指出，MEC面臨的安全挑戰源于將IT應用引入電信領域時，其與現有電信運行環境的合規性要求之間的沖突，并以此提出應用隔離、可信計算、可信第三方應用程序和網絡接口保護等多項安全措施；美國工業互聯網聯盟IIC發布的《IIoT中的邊緣計算簡介白皮書》認為在工業領域增加更多的信息組件和通信連接引入了新的攻擊向量，除需考慮端到端的安全防護外，還應考慮設備和網絡的內生安全以及對計算和節點進行安全監測等問題；邊緣計算產業聯盟ECC發布的《邊緣計算安全白皮書》分析了電信運營商、企業和IoT、工業互聯網三大典型價值場景下邊緣安全面臨的挑戰和需求，結合典型案例提出了處理相應安全問題的方法組合及邊緣安全的參考架構，但在與電信領域緊密結合的MEC方向，所提出的通用性框架尚需結合MEC的具體安全需求對相關技術進行細化。

構建邊緣范式生態系統的主要挑戰是安全性。一方面，邊緣計算融合了無線傳感器網絡、MEC和分布式數據存儲等多種技術，不同安全域之間的防御策略各異[10]；另一方面，邊緣設備更靠近終端用戶，所處的網絡環境更加復雜、不穩定，傳統的安全防御算法難以適應資源有限的邊緣節點[11]。因此，需要對安全防御模型進行重新設計。本文基于目前MEC安全發展現狀及趨勢分析，結合邊緣計算安全面臨的挑戰，著眼于MEC未來的安全需求，針對性地剖析移動邊緣計算安全防護需求。

2 MEC安全技術架構設計

本文充分利用互聯網安全與云安全的技術理念，重點研究MEC中節點安全、網絡安全、數據安全和應用安全四大關鍵安全問題，充分滿足面向萬物互聯的多樣化服務及邊緣計算范式對高效隱私保護、數據安全的新需求，采用大數據分析、全網主動防護管理等技術手段，解決安全態勢感知、安全管理編排等關鍵問題，為邊緣計算中數據保密性和安全計算遷移提供有效解決方案。本文提出的架構將傳統安全方案與邊緣計算中并行分布式架構、終端資源受限、大規模數據處理、環境動態變化等特性進行有機結合，對邊緣計算中數據安全防護技術、身份認證協議、隱私保護和訪問控制系統等關鍵技術進行總體研究與規劃，建立通用協作的邊緣計算安全防護體系。

MEC安全服務需要首先考慮以下5點原則：安全功能與MEC特定架構適配；安全功能部署具有靈活性與可擴展性；能夠在一定時間內持續抵抗攻擊；能在保持基礎功能始終運行的前提下容忍一定程度和范圍內的功能失效；整個安全系統能夠在部分功能失效后快速完全恢復。此外，邊緣網絡的安全設計還需覆蓋MEC架構的各個層級，需要有統一的態勢感知、安全管理與編排、身份認證與管理、安全運維體系，才能最大程度地保障整個架構的安全與可靠。

結合特定的應用場景，MEC安全架構設計具體如下：MEC安全功能輕量化，保證安全功能能夠在資源受限的物聯網設備中部署；海量異構的設備接入使得傳統的基于信任的安全模型不再適用，需要按照零信任和最小授權原則分配訪問權限；利用關鍵的節點設備(例如邊緣網關)實現網絡與域的隔離，對網絡攻擊進行抵御并將安全風險控制在一定范圍內，避免攻擊由點到面擴散；將安全態勢實時感知無縫嵌入到MEC架構中，實現持續的安全檢測與響應。如圖1所示，本文提出的移動邊緣計算安全防護架構主要分為節點安全、網絡安全、數據安全和應用安全4個方面，同時融合了身份認證、訪問控制、密鑰管理、可信計算、隱私保護、威脅檢測與溯源等先進技術。

圖1 MEC安全防護總體架構圖

3 MEC安全防護關鍵技術研究

MEC安全涉及到多個層面，相關的關鍵技術較多，下面詳細介紹典型的MEC安全技術。

3.1 網絡安全功能虛擬化技術

軟件定義的網絡和安全一體化編程模型用于支持網絡和安全一體化融合應用的開發，關注網絡和安全功能的需求描述及實現，其中的編程模型負責實現網絡和安全功能的融合邏輯，降低融合軟件開發難度。

軟件定義的網絡和安全一體化編程模型設計的重點是對網絡功能和安全功能的處理邏輯進行抽象，并通過軟件編程的方式對抽象對象進行編程，編程模型設計的難點是如何在保障網絡和安全功能融合邏輯正確性的同時保證網絡和安全處理性能。

MEC安全防護框架利用虛擬化技術實現安全功能組件的動態加載與編排調度。在硬件平臺上實現安全功能虛擬化是軟件定義MEC安全防護框架的基礎。安全功能組件承擔一個或多個網絡安全功能，如防火墻、入侵防護、Web應用防火墻(WAF)、負載均衡等。網絡功能虛擬化旨在將傳統網絡功能以軟件形式運行在高性能通用服務器上，實現功能與設備解耦，達到靈活部署、簡化管理、節約成本的目的。安全功能虛擬化是網絡功能虛擬化在安全設備上的應用，通過虛擬化技術，把安全功能組件以虛擬機形態運行在承載服務器上，如圖2所示，通過安全功能虛擬化把傳統安全設備轉換成一個虛擬網絡單元，通過對安全組件進行統一編排和管理，根據應用需求定義為不同的業務鏈，使不同業務流經過不同業務鏈內的安全組件進行處理，從而實現各種復雜的安全業務邏輯。

圖2 安全功能虛擬化技術

安全功能虛擬化技術的難點在于將安全設備的硬件和軟件解耦，并提供接近于物理硬件上的運行效能。本文采用虛擬機形態和容器形態相結合的模式，其中虛擬機形態適應性更好，很多傳統網絡組件都能提供虛擬機形態的模式；容器形態解決虛擬機效率低的問題，它只是系統隔離技術，并不需要硬件CPU支持虛擬化，執行效率接近主機性能，其劣勢是對網絡組件的改造比較大，并不是所有組件都能改造成容器形態。因此本文采用虛擬機和容器形態統一管理的方式，既有虛擬機形態的廣泛適用性，又具有容器形態的高性能優勢。

3.2 安全云服務聯動技術

安全云服務聯動涉及到策略自動下發和統一策略接口下發功能，其主要功能是在檢測到有威脅日志后，根據威脅日志自動響應，下發相應的防火墻策略，無須人工干預，形成安全云服務聯動過程，該過程是將安全運營相關的工具、技術、流程和人員等各種能力整合到一起的一種協同工作方式。

為了實現安全策略自動下發功能，本文研發了一個策略編排與自動響應平臺，可以無需編寫代碼即可實現自動化響應流程。通過可視化工具，基于應用編排出實際的安全服務場景劇本，實現無人值守全自動化操作。應用是將企業和組織安全運營過程中用到的各種安全設施通過應用程序編程接口(API)或圖形用戶界面(GUI)標準化統一封裝后形成的安全能力，并以服務的方式對外呈現出來。

安全聯動是將企業和組織在安全運營過程中涉及的不同系統或者同一系統內部不同組件的安全功能通過API封裝后形成的安全能力和人工檢查點按照一定的邏輯關系組合到一起，以完成某個特定的安全運營過程和規程。整個安全聯動自動下發的流程被稱為一個劇本。劇本是安全運營流程在聯動流程系統中的形式化表述，通常在編輯器中的工作流引擎驅動下執行。編寫劇本的過程就是將安全運營流程和規程轉換為劇本，并在劇本中將各種應用編排到一起的過程，也是將人讀安全運營流程轉換為機讀工作流的過程。圖3是一個安全聯動的實例。

如圖3所示，安全聯動策略自動下發技術首先通過WebHook控制器監聽安全產品的威脅日志，在監聽到威脅日志后，自動觸發“策略下發”應用下發相應的防火墻策略，并將下發成功或者失敗的結果顯示出來。其中核心應用是“策略下發”，主要實現根據WebHook控制器的結果下發相應防火墻策略的功能，“策略下發”應用串接了威脅日志監聽和自動解析，根據解析結果調用統一的策略下發接口，并下發對應的防火墻阻斷策略。圖3中的平臺可以監控策略下發安全聯動這個劇本的執行情況，包括總執行次數、各應用執行情況，使整個安全聯動過程具備可控性。

3.3 安全服務編排技術

安全服務編排技術將進入目標虛擬機的業務流量自定義串聯多個安全網元，從而實現對進出租戶的網絡流量的編排，使流量依次進入安全防護的網元中，待安全網元對流量進行清洗、處理后，再進入到目標地址，具體編排流程如圖4所示。

圖4 安全服務鏈拓撲圖

安全服務編排技術著眼于安全服務本身以及安全服務間的組合、重構與集成，以跨網交換系統的安全需求為導向，按照功能需求和業務邏輯生成服務鏈，提供高層次的安全功能，其具體分項功能如下。

1)安全需求分解：將安全需求進行分解，包括安全服務的種類、安全資源的占用(帶寬、性能)等。

2)安全服務評估：分析運行中的安全服務是否可以滿足安全需求，如果滿足跳轉到5)，如不滿足則計算出需要新增的安全服務。

3)安全資源評估：評估現有的安全資源是否可以支撐新增的安全服務；如果不能則提示返回失敗。

4)安全服務加載：根據需求向安全資源庫申請相關安全資源，生成新的安全服務，并對其進行策略配置。

5)安全功能鏈構建：根據分配的安全服務設計數據引流策略。

6)策略下發：將數據引流策略下發到各個物理交換設備和虛擬交換設備。

安全功能鏈借鑒服務功能鏈的思想，構建串行和并行結合的安全功能集合，提高安全檢查效率[12]。以一組數據交換的安全需求為例，如果交換需求為交換權限檢查、數據泄露防護、文檔格式檢查和惡意代碼查殺等安全功能，則構建由安全檢查功能集合構成的安全功能鏈，包括串行和并行的安全功能。由于交換權限是決定能否進行數據交換的先決條件，故需要和其他安全功能進行串行檢查。數據泄露防護、文檔格式檢查、惡意代碼查殺等安全功能沒有邏輯上的先后順序，故可以并行進行安全檢查。最后，匯總所有的安全檢查結果，確保均通過后才可以進行數據交換。

安全服務能力基于資源池構建，針對不同跨網交換任務基于預置策略對安全處理流程進行編排，當安全服務需求發生變化時，安全處理流程也隨之動態調整。例如，當安全服務需求發生變更時，需要增加數據脫敏的安全服務，則安全處理流程做如下調整：首先，數據脫敏設備(或虛擬的數據脫敏功能)向安全資源池注冊，進入安全資源池的管理。其次，啟動數據脫敏功能并進行策略配置，對現有安全功能鏈進行重新編排，增加數據脫敏處理流程，然后制定相關策略，并下發到相關網絡設備或虛擬安全功能執行，最終實現安全功能的增加和安全服務的動態調整。編排框架利用開放API和模型驅動模板，與第三方SDN控制器、網絡管理系統和編排平臺集成，以管理和協調由多個技術域和供應商域的物理和虛擬資源組成的服務，同時支持虛擬網絡和物理網絡。

3.4 安全組件協同聯動技術

MEC安全防護模塊具備高集成度、安全防護能力多樣等多種優勢，同時具備軟件定義安全的技術基礎。安全組件協同聯動技術可以實現安全組件協同防御、自適應安全等高級安全特性，進一步提升MEC安全防護模塊處理威脅的效果和安全增益。

在安全組件協同聯動方面，Gartner認為需要“預測→防御→監控→回溯(PPDR)”四個階段。如圖5所示，PPDR自適應安全模型構建協同安全架構通過全方位采集方式收集各安全組件的數據，進行歸一化過濾處理后上報到自適應安全主體，控制平面根據控制指令生成動態安全策略，再由集中管理的自適應安全主體下發到安全組件中，完成自適應安全能力構建。

圖5 自適應安全模型構建協同安全架構

MEC安全防護模塊可以利用網絡流量的監控手段分析、監控云平臺的數據流量，從網絡信息流、安全組件上報安全事件等多個方面對安全威脅進行關聯感知；基于大數據、數據建模及融合技術，建立多源層次化安全態勢感知模型，對資源性能、運行狀態信息、行為日志、安全日志、流量日志等各種安全要素進行關聯分析，實時感知最新安全狀況。通過機器學習算法建立安全態勢預測模型，根據網絡系統安全需求、安全狀態、特定用戶需求等，選擇最佳的網絡配置變化元素組合來應對潛在的攻擊，以滿足特定等級的安全需求。充分利用MEC安全防護模塊所具有的可編程性，動態更新網絡配置元素種類、網絡策略來應對新的威脅，保證持續演進。

4 結束語

移動邊緣計算作為一種新的計算范式，在為物聯網帶來巨大發展機遇的同時，不可避免地引入新的安全挑戰，傳統的安全解決方案無法有效地應用于MEC系統。本文結合MEC網絡基礎支撐統一化、能力服務化、流程編排化等特點，重點研究了MEC網絡安全防護技術，突破了安全功能高效虛擬化、安全云服務聯動、安全服務動態編排、安全功能自適應部署與協同調度、態勢感知和高級威脅檢測等技術瓶頸，形成軟件定義MEC網絡安全縱深防御體系，推進了其在5G、工業互聯網、超高清視頻及AI等典型行業中的應用，為5G商業化提供了有力的安全支持。未來，MEC安全研究將構建全方位、多維度的安全防護解決方案，促進5G網絡安全保障體系的建設，支持5G全面落地應用。