5G边缘计算安全白皮书.pdf
《5G边缘计算安全白皮书.pdf》由会员分享,可在线阅读,更多相关《5G边缘计算安全白皮书.pdf(31页珍藏版)》请在悟道方案网上搜索。
1、5G 边缘计算安全 白皮书 发布日期: 2020 年 11 月 CONTENTS 目录 前言 1 5G 边缘计算概述 . 01 1.1 5G边缘计算介绍 . 01 1.2 5G边缘计算场景 . 01 2 5G 边缘计算标准及政策 . 03 2.1 5G边缘计算相关标准 . 03 2.2 5G边缘计算安全边界定义 . 04 3 5G 边缘计算安全威胁 . 05 3.1 网络服务安全威胁 . 05 3.2 硬件环境安全威胁 . 05 3.3 虚拟化安全威胁 . 05 3.4 边缘计算平台安全威胁 . 06 3.5 应用安全威胁 . 06 3.6 能力开放安全威胁 . 06 3.7 管理安全威胁 .
2、 07 3.8 数据安全威胁 . 07 4 5G 边缘计算安全防护 . 08 4.1 5G边缘计算安全防护架构 . 08 4.2 5G边缘计算安全防护要求 . 09 5 5G 边缘计算安全案例 . 19 5.1 智能电网 . 19 5.2 智慧工厂 . 23 6 未来展望 . 26 附录 1:缩略语 . 27 附录 2:参考文献 . 28 5G边缘计算安全白皮书 01 01 5G 边缘计算概述 1.1 5G 边缘计算介绍 1.2 5G 边缘计算场景 5G边缘计算(Multi-access Edge Computing,MEC) 是指在靠近用户业务数据源头的一侧,提供近端边缘计 算服务,满足行业
3、在低时延、高带宽、安全与隐私保护 等方面的基本需求,如:更接近用户位置的实时、安全 处理数据等。 5G PPP发布的白皮书5G empowering vertical industries 7 指出,5G通过边缘计算技术将应用部署到数据侧,而 不是将所有数据发送到集中的数据中心,满足应用的实 时性。白皮书认为,智慧工厂、智能电网、智能驾驶、 综合不同业务对时延、成本和企业数据安全性的考量, 下沉到汇聚机房和园区是主力部署方案,MEC的部署场 景可分为广域MEC和局域MEC两大类。 1.2.1 广域 MEC 场景 对于低时延业务,由于百公里传输引入的双向时延低于 1ms,基于广域MEC的5G公网
4、已经能够为大量垂直行 业提供5G网络服务。权衡应用对接、运维复杂度、设 备和工程成本等多种因素,MEC部署在安全可控的汇聚 机房是当前运营商广域MEC的主力方案。 健康医疗、娱乐和数字媒体是未来最具商业规模且排名 靠前的边缘计算需求场景,极具典型性,并且运营商也 在这些领域与行业客户紧密合作,基于用户需求,共同 推动边缘计算的发展,为用户提供安全可靠的边缘计算 业务。2019年由边缘计算产业联盟(ECC)与工业互联 网产业联盟(AII)联合发布的边缘计算安全白皮书 1 中指出边缘计算具有资源约束、分布式、实时性等特征, 所以边缘计算安全防护需考虑海量、异构、资源约束、 分布式、实时性等特征,提
5、出轻量级、针对性的边缘计 算安全防护架构。 图 1-1 MEC 部署场景 MEC部署 整体对接及运维复杂度、设备和工程成本高低 时延低适中 企业数据风险低高 RAN部署 5GC部署 基站站点 园区机房 汇聚机房 超低时延 超低时延 低时延 核心机房 广域MEC 核心网 5G边缘计算概述 5G边缘计算安全白皮书 02 图 1-2 广域 MEC 场景 图 1-3 局域 MEC 场景 广域MEC的主要应用场景包括:大网OTT连接(Cloud VR/云游戏)、大网集团连接(公交广告/普通安防)、 大网中的URLLC专网(电力等)、大网专线连接(企业 专线)等,这些应用场景下,通过将MEC部署在汇聚机
6、房,满足低时延的业务诉求。 1.2.2 局域 MEC 场景 对于安全与隐私保护高敏感的行业,可以选择将MEC部 署在园区,以满足数据不出园的要求。 港口龙门吊的远程操控,钢铁厂的天车远程操控,以及 大部分的制造、石化、教育、医疗等园区/厂区都是局 域MEC的典型场景。局域MEC部署场景下,MEC将满 足URLLC超低时延业务;同时支持企业业务数据本地流 量卸载(LBO),为园区客户提供本地网络管道。通过 增强隔离和认证能力,防止公网非法访问企业内网,构 建企业5G私网。 null通过DNN、切片等方案组成企业子网,只允许无线 终端接入园区内网络; null通过机卡绑定、企业AAA二次鉴权等手段
7、,只允许 特定终端访问园区网络; null通过基站广播园区专用 PLMN ID+NID 或者 CAG ID,只允许企业终端接入园区专用网络。 5G核心网 运营商汇聚机房 运营商汇聚机房 N6 企业DC UPF APP1 APPn MEC平台 UPF 企业 APP1 企业 APPn MEC平台 PCF UPF UDM NRF AMF SMF 局域移动边缘计算 UPF 企业网 Internet 虚拟化基础设施 MEP 二次认证 园区 企业 APPn 企业 APP1 UPF AMF SMF UDMAUSF 5G边缘计算概述 5G边缘计算安全白皮书 03 02 5G 边缘计算标准及政策 2.1 5G
8、边缘计算相关标准 MEC标准是双规发展制,一方面ETSI着重定义MEC的 平台、虚机和API管理等标准;另一方面3GPP着重定 义MEC和其它5G核心网元的交互方式,因此MEC从 架构上归属核心网。典型的,ETSI规定了UPF网元的位 置即为MEC在5G网络架构中的位置。 ETSI 2016年3月发布了ETSI GS MEC 003,定义了移 动边缘计算的框架和参考架构;后续还定义了GS MEC 009、GS MEC 010-2、GS MEC 011、GS MEC 012和 GS MEC 013等标准,涵盖了应用生命周期管理,移动 边缘应用支持,无线网络信息和位置等主题。 3GPP在5G网络架
9、构标准规范TS 23.501(Release 15) 中也对5G边缘计算定义了交互标准(support for Edge Computing)。目前3GPP的Release 17中对MEC增强 以及MEC安全启动标准制订预计2021年3月后发布。 ITU立项了ITU-T X.5Gsec-netec“Security capabilities of network layer for 5G edge computing”和ITU-T X.5Gsec-ecs Security Framework for 5G Edge Computing Services两项边缘计算安全国际标准项目。 中国通信行
10、业标准CCSA在5G核心网边缘计算总体技 术要求也提出了5G边缘计算系统架构,如下图所示: 图 2-1 5G 边缘计算系统逻辑架构 NSSF AUSF UDM SMF PCF APP1 APP2 边缘计算运营管理平台 MEC主机 MEO (MEAO+NFVO) APPn AMF (R)AN UPFUE NEF N11 N7 N5 N6 Mm7 Mm6 Mm5 Mp1 N3 N1 N2 N4 N33N13 N22 N12 N8 N10 N29 N30 N9 N14 N15 Mm1 Mm3 Mm4 Mm2 边缘计算平台 (MEP) 边缘计算 平台管理 (MEPM) VIM 虚拟化基础设施(虚机/容
11、器) 5G边缘计算标准及政策 5G边缘计算安全白皮书 04 2.2 5G 边缘计算安全边界定义 3GPP标准上核心与非核心界面明确,即使5G核心网 的部分功能(如UPF)下沉,位置上接近应用,依然遵 循5G核心网的配置分流策略,仍属于核心网。而且5G MEC和RAN接入网位于不同的安全等级中,两者之间 必须部署安全网关或者防火墙,以确保MEC和RAN之 间的接口安全;同时,两者的接口是3GPP标准定义的, MEC和RAN可以来自不同的厂商,各厂家遵从3GPP和 ETSI标准,根据3GPP标准定义接口实现解耦和互操作。 CCSA的安全架构中规定MEC的安全边界:MEC除支持 UPF通用安全要求外
12、,还要求“应部署在运营商可控、 具有基本物理安全环境保障的机房,UPF网元或者虚拟 化UPF所在的基础设施应具备物理安全保护机制(如: 防拆、防盗、防恶意断电、防篡改等,设备断电/重启、 链路断开等问题发生后应触发告警)。”因此,相比 RAN的广域部署模式,MEC与RAN部署在不同的地理 位置和安全区,所需要的保障安全等级是完全不同的。 MEC原则上部署在物理安全环境有保障的机房,如,园 区和汇聚机房。因此与RAN的基站之间的安全边界是清 晰的,不可模糊的。 图 2-2 5G 边缘计算典型部署位置 MEC部署园区和汇集机房,与RAN的物理边界清晰 无需MEC部署在基站侧 MEC部署园区和汇集机
13、房 极短时延 eMBB mMTC Built-in Firewall uRLLC RAN Core MEC 短时延 长时延 基站 园区机房 汇聚机房 核心机房 MEC MEC MEC 5GC MECRAN 5GC CCSA的5G边缘计算系统逻辑架构将5G的UPF作为边 缘计算的数据面,边缘计算平台系统(MEP)为边缘应 用提供运行环境并实现对边缘应用的管理。5G边缘计算 平台系统相对于5G核心网络是AF+DN(应用功能+数 据网络)的角色,与UPF之间为标准的N6接口连接。 此外,CCSA 正在研究5G边缘计算安全技术研究与 5G多接入边缘计算安全防护要求。 5G边缘计算标准及政策 5G边缘计
14、算安全白皮书 05 03 5G 边缘计算安全威胁 3.1 网络服务安全威胁 移动边缘架构下,接入设备数量庞大,类型众多,多种 安全域并存,安全风险点增加,并且更容易实施分布式 拒绝服务攻击。5G边缘计算节点部署位置下沉,导致攻 击者更容易接触到边缘计算节点硬件。攻击者可以通过 非法连接访问网络端口,获取网络传输的数据。此外, 传统的网络攻击手段仍然可威胁边缘计算系统,例如, 恶意代码入侵、缓冲区溢出、数据窃取、篡改、丢失和 伪造数据等。 3.2 硬件环境安全威胁 相比核心网中心机房完善的物理安全措施,边缘计算 节点可能部署在无人值守机房或者客户机房,甚至人 迹罕至的的地方,所处环境复杂多样,往
15、往防护与安 保措施较为薄弱,存在受到自然灾害而引发的设备断 电、网络断链等安全风险,此外更易遭受物理接触攻击, 如攻击者近距离接触硬件基础设施,篡改设备配置等。 攻击者可非法访问物理服务器的I/O 接口,获得敏感 信息。 3.3 虚拟化安全威胁 边缘计算基础设施中,容器或虚机是主要部署方式。攻 击者可篡改容器或虚机镜像,利用 Host OS 或虚拟化软 件漏洞攻击,针对容器或虚机的DDoS攻击,利用容器 或虚机逃逸攻击主机或主机上的其他容器和虚机等威胁。 一方面,MEC节点的计算资源、通信资源、存储资源较为丰富,承载了多个企业的敏感数据存储、通信应用和计算服务, 一旦攻击者控制了边缘节点,并利
16、用边缘节点进行进一步的横向或纵向攻击,会严重破坏应用、通信、数据的保密性、 可用性和完整性,会给用户和社会带来广泛的新型安全威胁。与此同时,MEC节点常常部署在无人值守的机房,且安全 生命周期里具备多重运营者和责任方,同时给物理安全防护以及安全运营管理带来了更多的挑战。 5G边缘计算安全威胁 5G边缘计算安全白皮书 06 3.4 边缘计算平台安全威胁 5G边缘计算平台MEP本身是基于虚拟化基础设施部署, 对外提供应用的发现、通知的接口。攻击者或者恶意应 用对MEP的服务接口进行非授权访问,拦截或者篡改 MEP与APP等之间的通信数据,对MEP实施DDoS攻击。 攻击者可以通过恶意应用访问MEP
17、上的敏感数据,窃取、 篡改和删除用户的敏感隐私数据。 3.5 应用安全威胁 边缘计算节点连接海量的异构终端,承载多种行业的应 用,终端和应用之间采用的通信协议具有多样化特点, 多数以连接、可靠为主,并未像传统通信协议一样考虑 安全性,所以攻击者可利用通信协议漏洞进行攻击,包 括拒绝服务攻击、越权访问、软件漏洞、权限滥用、身 份假冒等威胁。 边缘计算平台上可能会部署多个第三方APP,因此会存 在APP之间的非法访问的安全威胁,以及第三方APP恶 意消耗MEC系统资源造成系统服务不可用的安全威胁。 工业企业的应用种类繁多,随着承载高可靠、低延迟类应 用,边缘计算平台上更容易受到Dos攻击,从而造成
18、重 大的损失。由于边缘计算节点的资源受限,可能因为缺乏 有效的数据备份、恢复、以及审计措施,导致攻击者可能 修改或删除用户在边缘节点上的数据来销毁某些证据。 3.6 能力开放安全威胁 MEC为边缘计算提供了一个应用承载的平台。为了便于 用户开发所需的应用,MEC需要为用户提供一系列的开 放API,允许用户访问MEC相关的数据和功能。这些API 为应用的开发和部署带来了便利,同时也成为了攻击者的 目标。如果缺少有效的认证和鉴权手段,或者API的安全 性没有得到充分的测试和验证,那么攻击者将有可能通过 仿冒终端接入、漏洞攻击、侧信道攻击等手段,达到非法 调用API、非法访问或篡改用户数据等恶意攻击
19、目的。 5G边缘计算安全威胁 5G边缘计算安全白皮书 07 图 3-1 MEC 的安全风险 3.8 数据安全威胁 5G 边缘计算平台可收集、存储与其连接设备的数据,包 括应用数据、用户数据等。5G边缘计算的数据面临的安 全风险包括数据损毁风险、数据泄露风险。 因5G MEP平台设备毁坏、设备遭受攻击、重要数据未备 份、未具备数据恢复机制等造成的数据损毁等安全风险。 5G MEP平台业务开展过程中可获得和处理用户敏感隐 私数据,因未实施数据分级分类管理,未部署敏感数据 加密、脱敏手段,或开展不合规的数据开放共享等,可 能导致数据泄露等安全风险。 3.7 管理安全威胁 管理安全威胁主要包括恶意内部
- 温馨提示:
建议用WPS软件(.pptx、.docx)打开文档,少量文档使用Microsoft(.ppt、.doc)打开易出错。
- 配套讲稿:
如PPT文件的首页显示word图标打开文档,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 边缘 边沿 计算 安全 白皮书 工业 互联网