基于5G SA+MEC企业园区组网的安全方案

控制要求时延在10～100ms级别。在算力方面，需15GSA+MEC企业园区组网的安全分析常见的企业园区5GSA+MEC组网如图1所示，由运营商在企业园区内部署下沉的用户面功能(User击；物理机、网络功能虚拟化基础设施(Network防护方案运营商汇聚/核心机房运营商汇聚/核心机房5G核心网专题：工业互联网2022年第10期理，对设备实施网络接入管理、关闭物理端口等保护方式。(2)用户凭证保护：即对5G用户永久标识符基站攻击；将用户凭证的长期会话密钥(K值)在终端护方案存储在通用集成电路卡(UniversalIntegrated(3)接入二次认证：即终端应支持3GPP主认证(5G-AKA认证机制等)并在特定场景下支持主认证之外的二次AAA认证。(5)信令和数据加密：即用户面数据和控制面信令采用NEA0、128NEA1/2/3、128NIA1/2/3等算法加密。(6)基站抗重放及可用性保护：即基站具备对重2.2传输安全MEC、5G核心网之间经承载网传输过程中涉及的安全，主要围绕加密传输及提高传输链路的可靠性和可用性，主要包括以下几方面(见图2)。(1)高可靠组网：即对承载网接入层设备采用环(2)传输通道加密：即对N2/N3/X2接口部署互密传输；在接入层和汇聚层设备间基于端到端伪线仿真(PseudoWireEmulationEdge-to层虚拟专用网(VirtualPrivateNetwork,VPN)隧道(3)承载链路主备：即接入层与汇聚层设备间的间、下沉与大网UPF+MEC间的主备/负荷分担等模式提高传输容灾可靠性，参见图3.(5)端到端切片隔离：无线网切片主要是指无线网会根据报文上已配置的保证/非保证比特速率用户群体甚至单个用户提供专用、高优先级的无线网络资源，具体包括为GBR业务提供最低带宽保障且不允许其他业务抢占，不同5QI对应差异化的转发优先可叠加使用。硬切片主要指在公众业务和企业业务之2B硬切片A"急救援),通过配置不同的中间系统到中间系统OSPF)协议进程、专用的虚拟局域网标(DifferentiatedServicesCodePoint,DSCP)以及专用间部署双向转发检测(BidirectionalForwardingBorderGatewayProtocol,eBGP)路由或静态路由。(BorderGatewayProtocol,BGP)的Keepalive报文发送省会AUPF主备园区UPF正常时业务流主备园区UPF故障时业务流表1不同类型业务5QI与DSCP的映射资源类型5QI编号DSCP(示意)4K/8K直播(上行)超低时延保障(工业控制、远程医疗)46注：不同5QI编号不区分大小，只在3GPP标准中对应不同的无线侧时延、丢包率，且不对应更高的DSCP优先级。比如工业控制要求的时延极低，但数据处理通常在下沉的MEC进行，不通过承载网长距离传输，因此虽然配置了对应空口时延极低的5QI,DSCP优先级反而低于通用带宽保障专题：工业互联网2022年第10期间隔默认为60s,当3个周期以上未接收到报文则判定为故障。而BFD是一种基于用户数据报协议(User准、和协议无关的快速故障检测，实际应用中可与议向设备通知BFD邻居信息，两台邻居设备建立BFD会话，之后相互以ms为单位(常见设备上可设置为的检测周期(例如3个接收周期，30ms)内检测不到BFD报文时，BFD会通知上层应用进行故障处理，从2.3MEC平台安全MEC平台安全主要指边缘MEC节点涉及的安系统互联等方面出发，提供从物理层至应用层自底而物理环境安全即确保MEC节点所在机房具备防2.3.2组网安全将MEC平台流量划分为管理、存储、业务3个平离，与会话管理功能(SessionManagementFunction,数限制、支持账号主动退出、管理账号权限最小化等；关闭不必要的服务/端口，进行安全基线配置和加固，对接集中安全平台进行安全审计；确保UPF具备防地用的最大限度，并在单个虚机崩溃后不会影响虚拟机(5)平台安全域2.3.4虚拟化安全进行安全加固；开启镜像完整性校验，使用HTTPS等安全传输通道进行镜像上传；虚拟机监视器设置对虚机操作和使用资源权限的限制，同一物理机上不同虚机隔离并监控资源使用情况；MEC平台在部署阶段对镜像仓库进行安全监管、对上传的容器镜像进行漏洞2.3.5平台安全在MEC平台上开启访问的认证和授权机制，防止非法访问篡改；确保MEC平台对外接口支持通信双方(TransportLayerSecurity,TLS),不使用Telnet.FTP、2.3.6应用安全确保MEC平台可对应用全生命周期管理和监控，防止应用的非法创建、修改及删除；同时基于应用间隔离；确保MEC平台对APP资源使用情况进2.3.7运维管理安全全问题愈发凸显。我国在《中华人民共和国数据安全非法利用造成的危害程度，对数据实行分类分级保护。因此,数据安全主要应防止数据被篡改、破坏和泄露，一般可通过以下手段对数据提供保护。2.4.1数据备份恢复Storage,SDS)技术的多副本分布式存储方案如图6所示，数据依据算法自动均衡地分布在不同的存储节点，支持节点的快速添加和删除横向扩展，支持节点故障2.4.2数据本地处理AH2.4.3数据安全审计3典型案例如在进行某大型石化企业的5GMEC项目建设型或口字型冗余互联，数据传输过程中采用IPsecCloud,VPC)隔离等技术实现。最后，企业可通过企业园区平台CE网关2W号图75GSA+MEC企业园区组网安全典型案例4结束语的安全规范和标准，避免出现木桶效应。另外，云边协专题：工业互联网2022年第10明同、多个MEC间的容灾备份也使得安全问题更加复部署从企业园区复制扩散至运营商5G核心网，甚至利用共享的MEC或公有云进一步渗透至其他企业。参考文献础设施保护大会论文集，2020:163-168.DOI:作者简介：胡兆烜中国电信股份有限公司研究院工程师，主要张建敏中国电信股份有限公司研究院教授级高级工边缘计算等冯晓丽中国电信集团有限公司高级项目经理，主要研究方向为5GMEC产品运营等HUZhaoxuan¹,ZHANGJianmin¹,FENGXia