5GMEC关键技术及安全隔离措施研究

□ 文 黄 嘉 聂炜玲 王丽秋 李艳俊

1. 概述

MEC（Multi-access Edge Computing）概念出现于2013年，初期被称为移动边缘计算（Mobile Edge Computing），即将云计算平台从移动核心网络内部迁移到移动接入网边缘。ETSI定义的MEC是在靠近移动用户的RAN网络中为用户提供基于IT架构和云计算的能力的平台。2016年后，MEC定义正式扩展为多接入边缘计算，将应用场景从移动网络进一步延伸至其他网络MEC（Multi-access Edge Computing）。

MEC是将应用、内容和核心网部分业务处理的功能一同部署到网络边缘，通过业务靠近用户，以内容、应用和网络的协同来提供极致、可靠的业务体验。

MEC可以看作是一个运行在网络边缘的云服务器，是一个部署位置灵活的业务容器，可以部署在地市、县级、单基站、C-RAN、城域甚至用户园区等位置，还可以作为第三方平台，按需在边缘位置灵活地部署不同类型的业务。边缘计算可以重点解决一些中心化云计算所无法高效解决的问题：例如构建在RAN侧，通过边缘技术使得网络服务和网络功能脱离核心网络，实现节省成本、降低时延、优化流量、增强物理安全和缓存效率等优势，从而使用户得到更加极致的体验。

本文主要介绍MEC产生的背景、适用的场景、业务处理流程及部署方案等，便于运营商理解MEC技术的要点及部署关键点。

2. MEC的网络架构及特点

3GPP 23501中定义，MEC对应的网元为5G核心网架构中的边缘UPF。边缘UPF基于与本地网络之间的N6接口实现业务的本地卸载和分流；通过N9与核心网的其他UPF对接；通过N4接口和SMF实现联动如图1所示。

MEC技术功能与特点如下：

● 精准计费

MEC支持将本地分流的业务数据流的计费信息上报，从而实现基于流量类型和业务类型的精准计费，可无缝衔接和继承运营商已经部署的计费方式。

● 减少流量迂回、降低时延

下沉部署的MEC可以将本地业务的数据直接分流到本地部署的服务器，避免了流量到中心核心网的迂回，减少了业务传输时延，是挑战超低时延的必要手段。MEC部署在靠近基站或企业园区等边缘位置，使得内容源最大程度的靠近用户，甚至可以使终端在本地直接访问到内容源，从数据传送路径上降低了业务端到端响应的时延。

比如在地市或者区县部署的CDN服务器，当机房中同时部署MEC时，访问CDN服务器的用户请求和响应都不需要再迂回到省中心核心网，便可以直接从本地获取数据，大大降低了业务访问的时延。

比如AR/VR业务要求端到端时延需小于20ms以消除用户的不适感；自动驾驶等时延敏感业务要求1ms端到端时延来支撑业务发展。MEC通过将网络功能部署在最靠近用户的边缘位置，使用户感受到极致的体验。

研究表明，未来有近70%的Internet内容可以在靠近用户的城域范围内终结。基于上述的MEC边缘解决方案，可将这些内容存储在本地，MEC与用户之间的传输距离缩短，流量在本地被卸载，大大节省了MEC到核心网和Internet的传输资源，进而为运营商节省近50%的网络建设投资。

● 能力开放

ETSI定义的MEC，是一个具备无线网络能力开放和运营能力开放的平台，MEC可通过公开API的方式，为运行在平台主机上的第三方应用提供：业务控制、无线网络信息、位置信息等多种服务。MEC提供能力的开放，可以集成第三方的各种应用，解决运营商急需的各种问题（如内容下移），并且为运营商打开垂直行业市场提供无限可能。

目前，越来越多的2B领域希望基于移动网络实现行业定制服务。通过MEC提供开放的平台，可以开启电信行业和垂直行业的创新合作模式。

3. MEC关键技术

在5G SA核心网网络架构中，MEC解决方案对应的网元实体是边缘UPF。边缘UPF将作为中心UPF的边缘形态，实现流量卸载，并与SMF基于标准的N4接口对接，与其他UPF实现基于标准的N9接口对接。

MEC关键技术如下：

3.1 本地分流

对于边缘的eMBB等业务，下沉部署的MEC可以将本地业务的数据直接分流到本地部署的MEP服务器，避免了流量在核心网的迂回，减少了业务传输时延，是挑战零时延的必要手段。

MEC通过支持本地流量的分流（Local Breakout），作为远端节点下移到边缘部署，满足各种互联网业务、CDN下移部署以及垂直行业本地分流的要求。比如在视频监控数据上传的某场景的视频监控器通过下移部署的MEC，监控的数据可以直接上传到本地服务器，而不需要上传远端的互联网，增强了监控的实时性。

本地分流技术也可以应用于校园、博物馆、体育馆等人口密集，本地业务访问较为集中的场合，MEC本地分流技术的应用和部署可以在此类业务中不断复制。

3.2 能力开放

MEC与NEF配合可实现本地业务的能力开放，可应用于文化场馆、机场等场景的实时业务订购和发放。例如，旅客在机场候机恰遇航班晚点，机场WIFI质量无法满足用户需求，手机套餐流量费用较高时，可通过向运营商购买包时的本地免流量费业务，在机场候机期间，免费使用流量业务。

图2 本地分流场景下的移动性管理示意图

开放的能力由NEF提供。用户向运营商订购实时的套餐，运营商调用NEF开放的接口对单用户开放本地业务。NEF基于与UPF之间的接口下发业务使能策略，MEC再传递用户信息和业务策略。当终端用户发起对本地网络的访问时，MEC可以基于策略实时的控制对本地业务的使能。

3.3 移动性管理

当部署了MEC的场景下进行本地分流时，若用户发生了跨NR的切换，如果两个MEC对接同一个本地资源，则跨MEC切换时本地分流业务不会受到影响；若传输层的连接中断，业务层面能够断点续传（如视频业务），则业务层面感知不到中断如图2所示。

用户跨NR切换，对于部署了MEC进行本地分流的场景，存在表1中描述的三种情况，对应的影响分析如下：

表1 MEC本地分流场景对比分析表

表1针对的是MEC部署能够影响的业务，对于VoLTE业务，由于采用了独立APN是不受MEC部署影响的，业务连续性与MEC无关。

4. 边缘计算安全管控措施

4.1 移动边缘计算的安全威胁

对于移动运营商的网络，核心网机房处于相对封闭的环境，只受运营商自行控制，安全性具有非常高等级的保证。而接入网相对更易被用户接触，处于相对不安全的环境。边缘计算的本地业务卸载特性，使得数据在核心网之外终结，运营商的控制力大大减弱，攻击者可能通过MEP平台或第三方应用攻击核心网，造成敏感数据泄露等威胁。所以，边缘计算安全成为边缘计算建设初期就必须要重点考虑的关键问题。

根据ETSI的MEC架构，移动边缘计算可能会受到的安全威胁重点应考虑如下：

（1）基础设施安全：与移动云计算基础设施的安全威胁类似，攻击者可通过近距离接触硬件基础设施，对其进行物理攻击；攻击者可非法访问服务器的I/O接口，获得运营商用户的敏感信息；攻击者可篡改镜像，利用虚拟化软件漏洞攻击MEP平台或者APP所在的虚拟机或容器，从而实现对MEP平台或者APP的攻击。

（2）MEP平台安全：平台存在病毒、木马攻击；MEP平台和APP等通信时，传输数据被拦截、篡改；攻击者可通过恶意APP对MEP平台发起非授权访问，导致用户敏感数据泄露；当MEC以虚拟化的VNF或者容器方式部署时，VNF及容器的安全威胁也会影响APP。

（3）APP安全：APP存在病毒、木马攻击；APP和MEP平台等通信时，传输数据被拦截、篡改；恶意用户或恶意APP可非法访问用户APP，导致敏感数据泄露等。另外，在APP的生命周期中，它可能随时被非法创建、删除等。

（4）MEC的MANO系统：MEC的编排和管理网元（如移动边缘MANO）存在被木马、病毒攻击的可能性；MANO的相关接口上传输的数据被拦截和篡改等；攻击者可通过大量恶意终端上的APP，不断地向用户APP生命周期管理节点发送请求，实现MEP上的属于该用户终端的APP的加载和终止，对MEC编排网元造成攻击。

（5）数据面网关安全：存在的木马、病毒攻击；攻击者近距离接触数据网关，获取敏感数据或篡改数据网管配置，进一步攻击核心网；U面网关与MEP平台之间传输的数据被篡改、拦截等。

4.2 安全隔离措施

移动边缘计算中的数据安全和隐私保护，主要面临以下四个方面的挑战：

（1）由于移动边缘计算是一种融合了以授权实体为中心的多信任域共存的计算模式，使传统的数据共享和加密策略不再适用于移动边缘计算中基于多授权方的数据加密与细颗粒度数据共享需求。因此，设计面向多授权中心的数据加密方法便尤为重要。

（2）分布式计算环境下的多源数据传播控制和安全性管理的问题。在边缘大数据时代，网络边缘节点中的信息产生量呈现井喷式增长。运营商希望能够采用高效的信息传播管控和访问控制方法来实现数据的搜索、分发、获取以及控制海量数据的授权范围。

（3）移动边缘计算的大规模互联应用与资源受限终端之间的安全隐患。由于移动边缘计算的多源数据融合性、通信和互联网络的叠加性以及边缘终端的计算、存储等方面的资源限制，使传统的身份认证协议、访问控制措施、加密算法和隐私保护策略在移动边缘计算中无法适用。

综上所述，面向SBA以及边缘计算对高效隐私保护有新要求。网络边缘计算设备产生的数据均涉及用户隐私，使安全问题显得尤为突出。除了需要设计有效的隐私保护方案外，如何将传统的个人隐私保护措施与边缘计算环境中的数据处理特性相结合显得尤为重要。

部署MEC并不影响运营商的网络安全，本地业务可在MEC与本地服务器之间通过部署防火墙的方式进行网络的隔离。对于在eNodeB/NR与S/PGW/UPF之间已经部署了IPSEC的网络，MEC支持维护IPSEC隧道，以保证数据传输的安全性。具体如下图3所示：

5. 小结

MEC是融合了IT和CT技术，基于面向未来5G架构的ICT融合基础设施。MEC支持本地网关和分流处理能力，支持SA能力，支持本地业务的计费与合法监听协同处理。同时还提供虚拟化的计算和存储资源，供第三方应用软件使用。除满足通用计算、存储、标准化之外，同时专注移动通信管道需要的大接入、大带宽、低时延、高可靠能力；并提供丰富的硬件接口能力，满足移动通信（接入、汇聚企业园区的机房）环境灵活部署要求，灵活构建电信级云基础设施。本文重点针对MEC的网络架构及特点、关键技术、和面临的安全性问题及解决手段等要点进行分析阐述，为运营商建设5G核心网，大力发展边缘计算业务提供参考。■

图3 边缘计算安全隔离示意图