基于5G SA+MEC企業(yè)園區(qū)組網(wǎng)的安全方案

·19·基于5GSA+MEC企業(yè)園區(qū)組網(wǎng)的安全方案隨著我國工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,以及制造、冶金、礦山等行業(yè)的數(shù)字化轉(zhuǎn)型升級驅(qū)動,企業(yè)對時延、算力、安全的要求正在不斷提高。在時延方面,工業(yè)自動化控制中運(yùn)動控制通常要求時延在1ms級別,過程控制要求時延在10~100ms級別[1]。在算力方面,需要系統(tǒng)支持大量工業(yè)終端的高并發(fā)和對結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)的本地處理。在安全方面,企業(yè)需要降低內(nèi)部數(shù)據(jù)的泄露風(fēng)險,需要應(yīng)用具備較高的可用性,支持故障時的快速切換和恢復(fù)。MEC)通過將計算存儲能力與業(yè)務(wù)服務(wù)能力向網(wǎng)絡(luò)邊緣遷移,使得應(yīng)用、服務(wù)和內(nèi)容可以實現(xiàn)本地化、近距寬、高算力、數(shù)據(jù)本地處理等特征,可以準(zhǔn)確匹配行業(yè)客戶業(yè)務(wù)需求,比較典型的應(yīng)用場景包括:AGV搬運(yùn)、AR維修等室內(nèi)大范圍移動場景,以及遠(yuǎn)程駕駛、無人機(jī)巡檢等室外光纖難覆蓋場景。同時,MEC還支持異構(gòu)工業(yè)終端的多種網(wǎng)絡(luò)接入,面向固定或室內(nèi)小范圍移動場景,兼容企業(yè)的已有固網(wǎng)、Wi-Fi接入設(shè)備,可以降低改造成本和對現(xiàn)有業(yè)務(wù)的影響。得益于上述優(yōu)勢,目前5GMEC在垂直行業(yè)中的應(yīng)關(guān)系基礎(chǔ)設(shè)施和國計民生的重要領(lǐng)域。此類應(yīng)用對準(zhǔn)算資源宕機(jī)、應(yīng)用軟件不可用、數(shù)據(jù)篡改都極易引發(fā)嚴(yán)重事故。所以,做好安全防護(hù),規(guī)避和減少5GSA+MEC組網(wǎng)下的安全風(fēng)險,已經(jīng)是業(yè)界普遍關(guān)注的重點問題。15GSA+MEC企業(yè)園區(qū)組網(wǎng)的安全分析常見的企業(yè)園區(qū)5GSA+MEC組網(wǎng)如圖1所示,·20·信息通信技術(shù)與政策由運(yùn)營商在企業(yè)園區(qū)內(nèi)部署下沉的用戶面功能(User數(shù)據(jù)不出園區(qū)時,還會下沉部署承載網(wǎng)接入層設(shè)備。運(yùn)營商側(cè)5G核心網(wǎng)只負(fù)責(zé)與園區(qū)的終端、UPF網(wǎng)元進(jìn)行5G的控制信令交互。各類終端從5G宏站、室分接入,經(jīng)承載網(wǎng)傳輸至園區(qū)下沉UPF網(wǎng)元,本地業(yè)務(wù)流量由園區(qū)UPF網(wǎng)元以數(shù)據(jù)網(wǎng)絡(luò)標(biāo)識(DataNetworkName,DNN)或上行分類器(UplinkClassifier,ULCL)等模式分流至MEC平臺,通過MEC平臺提供的高算力實現(xiàn)數(shù)據(jù)在企業(yè)園區(qū)的就近處理。MEC支持客戶自主管理,可以與企業(yè)內(nèi)網(wǎng)按需打通,實現(xiàn)與內(nèi)網(wǎng)各業(yè)務(wù)平臺的協(xié)同。在上述常見的5GSA+MEC組網(wǎng)下,整個業(yè)務(wù)流程主要面臨的安全風(fēng)險可歸納為如下5類。一是接入風(fēng)險,主要包括終端和接入網(wǎng)面臨的安全風(fēng)險,例如:基站被物理破壞、入侵;偽基站對用戶進(jìn)行欺詐;非法用戶憑證和非授權(quán)終端接入;終端非法濫用(如離開園區(qū)、攻擊等異常行為);空口數(shù)據(jù)/信令被竊取/篡改;大量惡意連接造成基站不可用等。二是傳輸風(fēng)險,主要包括數(shù)據(jù)傳輸過程中面臨的安全風(fēng)險,例如:接入層設(shè)備故障或被物理破壞;數(shù)據(jù)傳輸過程中被竊聽、篡改;傳輸鏈路被物理破壞或不可靠;UPF等轉(zhuǎn)發(fā)網(wǎng)元的故障;不同用戶/業(yè)務(wù)共用傳輸鏈路,缺乏保密性和可用性保障等。運(yùn)營商匯聚/核心機(jī)房三是MEC平臺風(fēng)險,主要包括MEC節(jié)點從物理層至應(yīng)用層遭遇的安全威脅以及不規(guī)范的運(yùn)維操作導(dǎo)致的安全風(fēng)險,例如:對主機(jī)的物理破壞、非法插線接運(yùn)營商匯聚/核心機(jī)房入;不安全組網(wǎng)導(dǎo)致MEC、UPF甚至5G核心網(wǎng)被攻錄;操作系統(tǒng)的漏洞;宿主機(jī)/虛機(jī)的漏洞、容器/虛機(jī)鏡像的篡改、容器逃逸;平臺非授權(quán)登錄、通過應(yīng)用程行東西向攻擊;后臺刪改日志、數(shù)據(jù),無備份情況下升級等不規(guī)范的運(yùn)維操作等。四是數(shù)據(jù)風(fēng)險,主要包括客戶、應(yīng)用數(shù)據(jù)面臨的風(fēng)險,例如:數(shù)據(jù)的損毀、篡改、竊取;對敏感數(shù)據(jù)的非授五是管理風(fēng)險,網(wǎng)絡(luò)與信息安全是由技術(shù)、人員、管理三者共同構(gòu)成的,缺乏規(guī)范的管理制度、操作規(guī)范和安全意識,精心設(shè)計的網(wǎng)絡(luò)安全防御體系也會形同虛設(shè)。2基于5GSA+MEC企業(yè)園區(qū)組網(wǎng)的安全防護(hù)方案基于業(yè)界共識和主流技術(shù),目前針對前述5類安全風(fēng)險一般可從以下幾方面加強(qiáng)安全防護(hù)。2.1接入安全接入安全是指圍繞終端安全接入5G網(wǎng)絡(luò),而在終端、基站側(cè)涉及的一系列包括認(rèn)證、鑒權(quán)、加密、限制、保護(hù)等在內(nèi)的安全手段,具體包括以下幾方面。(1)物理環(huán)境安全:即對基站設(shè)備所處的機(jī)房采控制信令業(yè)務(wù)數(shù)據(jù)匯聚層核心層集中UPF控制信令業(yè)務(wù)數(shù)據(jù)匯聚層核心層集中UPF控制面5G核心網(wǎng)運(yùn)營商側(cè)客戶園區(qū)側(cè)企業(yè)內(nèi)網(wǎng)客戶園區(qū)側(cè)企業(yè)內(nèi)網(wǎng)5G宏站HUB/BBU防火墻本地業(yè)務(wù)平臺MEC客戶機(jī)房接入層開放PRRU客戶園區(qū)終端MEC+UPF接入層開放PRRU客戶園區(qū)終端MEC+UPF圖1常見企業(yè)園區(qū)的5GSA+MEC組網(wǎng)架構(gòu)·21·專題:工業(yè)互聯(lián)網(wǎng)2022年第10期用門禁、監(jiān)控、入侵告警、設(shè)備維護(hù)記錄、機(jī)房準(zhǔn)入管理,對設(shè)備實施網(wǎng)絡(luò)接入管理、關(guān)閉物理端口等保護(hù)方式。(2)用戶憑證保護(hù):即對5G用戶永久標(biāo)識符基站攻擊;將用戶憑證的長期會話密鑰(K值)在終端加密存儲并通過HTTPS/SFTP安全協(xié)議傳輸;SUPI保CircuitCard,UICC)中并限制嘗試訪問次數(shù)等。(3)接入二次認(rèn)證:即終端應(yīng)支持3GPP主認(rèn)證(5G-AKA認(rèn)證機(jī)制等)并在特定場景下支持主認(rèn)證之外的二次AAA認(rèn)證。(4)非法訪問限制:即基于SUPI、小區(qū)全球識別碼綁定、IMEI黑名單多種手段對異常終端限制接入。(5)信令和數(shù)據(jù)加密:即用戶面數(shù)據(jù)和控制面信算法加密。(6)基站抗重放及可用性保護(hù):即基站具備對重放RRC信令和用戶面數(shù)據(jù)識別丟棄能力,通過網(wǎng)管監(jiān)Control,RRC)連接成功率/阻塞率、掉話率等,基站設(shè)備啟用控制訪問。2.2傳輸安全MEC、5G核心網(wǎng)之間經(jīng)承載網(wǎng)傳輸過程中涉及的安全,主要圍繞加密傳輸及提高傳輸鏈路的可靠性和可用性,主要包括以下幾方面(見圖2)。(1)高可靠組網(wǎng):即對承載網(wǎng)接入層設(shè)備采用環(huán)狀組網(wǎng)、對匯聚層設(shè)備采用成對組網(wǎng)部署。(2)傳輸通道加密:即對N2/N3/X2接口部署互密傳輸;在接入層和匯聚層設(shè)備間基于端到端偽線仿建立虛鏈路(PseudoWire,PW),數(shù)據(jù)通過點到點的二承載。(3)承載鏈路主備:即接入層與匯聚層設(shè)備間的PW主備;匯聚層設(shè)備提供雙網(wǎng)關(guān)保護(hù)。(4)UPF+MEC主備容災(zāi):即通過下沉UPF+MEC間、下沉與大網(wǎng)UPF+MEC間的主備/負(fù)荷分擔(dān)等模式提高傳輸容災(zāi)可靠性,參見圖3。(5)端到端切片隔離:無線網(wǎng)切片主要是指無線服務(wù)質(zhì)量(QualityofService,QoS)參數(shù),為特定業(yè)務(wù)、用戶群體甚至單個用戶提供專用、高優(yōu)先級的無線網(wǎng)絡(luò)資源,具體包括為GBR業(yè)務(wù)提供最低帶寬保障且不允許其他業(yè)務(wù)搶占,不同5QI對應(yīng)差異化的轉(zhuǎn)發(fā)優(yōu)先承載網(wǎng)切片可分為硬、軟兩種不同實現(xiàn)方式,兩者可疊加使用。硬切片主要指在公眾業(yè)務(wù)和企業(yè)業(yè)務(wù)之VLAN進(jìn)程VLAN進(jìn)程隔離圖2常見承載網(wǎng)傳輸安全保障方案·22·信息通信技術(shù)與政策間,以及不同需求的企業(yè)業(yè)務(wù)之間(例如視頻監(jiān)控和應(yīng)現(xiàn)網(wǎng)絡(luò)完全隔離。軟切片主要依靠差分服務(wù)代碼點VPN實現(xiàn)。其中,DSCP是IP報文頭部用于標(biāo)識優(yōu)先級的字段,5G基站會按照預(yù)置規(guī)則將5QI參數(shù)映射為對應(yīng)的DSCP標(biāo)識,具體參見表1。會根據(jù)DSCP標(biāo)識進(jìn)行優(yōu)先轉(zhuǎn)發(fā)并提供QoS保障,轉(zhuǎn)發(fā)過程中依據(jù)特定的路由目標(biāo)(RouteTarget,RT)值將報文導(dǎo)入到對應(yīng)的VPN中。核心網(wǎng)切片主要是指,核心網(wǎng)側(cè)為特定的某類或單個業(yè)務(wù)提供獨(dú)立的UPF+MEC或獨(dú)立的輕量級5G核心網(wǎng),實現(xiàn)業(yè)務(wù)享有獨(dú)立的數(shù)據(jù)面、控制面。(6)毫秒級故障檢測:即在接入層與匯聚層設(shè)備Detection,BFD)機(jī)制,快速檢測鏈路故障;B設(shè)備與當(dāng)未部署B(yǎng)FD時,常見的OSPF、IS-IS等路由協(xié)議的Hello報文發(fā)送間隔默認(rèn)為10s,邊界網(wǎng)關(guān)協(xié)議圖3UPF+MEC主備容災(zāi)方案表1不同類型業(yè)務(wù)5QI與DSCP的映射業(yè)務(wù)資源類型DSCP(示意)4K/8K直播(上行)GBR超低時延保障(工業(yè)控制、遠(yuǎn)程醫(yī)療)GBR通用帶寬保障GBR4通用優(yōu)先保障6注:不同5QI編號不區(qū)分大小,只在3GPP標(biāo)準(zhǔn)中對應(yīng)不同的無線側(cè)時延、丟包率,且不對應(yīng)更高的DSCP優(yōu)先級。比如,工業(yè)控制要求的時延極低,但數(shù)據(jù)處理通常在下沉的MEC進(jìn)行,不通過承載網(wǎng)長距離傳輸,因此雖然配置了對應(yīng)空口時延極低的5QI,DSCP優(yōu)先級反而低于通用帶寬保障·23·專題:工業(yè)互聯(lián)網(wǎng)2022年第10期間隔默認(rèn)為60s,當(dāng)3個周期以上未接收到報文則判定為故障。而BFD是一種基于用戶數(shù)據(jù)報協(xié)議(UserLabelSwitching,MPLS)等其他協(xié)議聯(lián)動,由聯(lián)動的協(xié)議向設(shè)備通知BFD鄰居信息,兩臺鄰居設(shè)備建立BFD會話,之后相互以ms為單位(常見設(shè)備上可設(shè)置為的檢測周期(例如3個接收周期,30ms)內(nèi)檢測不到BFD報文時,BFD會通知上層應(yīng)用進(jìn)行故障處理,從而將故障檢測周期控制在ms級別。2.3MEC平臺安全MEC平臺安全主要指邊緣MEC節(jié)點涉及的安全,重點從MEC自身安全、MEC承載的應(yīng)用、與外部系統(tǒng)互聯(lián)等方面出發(fā),提供從物理層至應(yīng)用層自底而上的全方位安全防護(hù),具體如圖4、圖5所示。物理環(huán)境安全即確保MEC節(jié)點所在機(jī)房具備防理安全防護(hù)能力。將MEC平臺流量劃分為管理、存儲、業(yè)務(wù)3個平面,不同平面獨(dú)占網(wǎng)口,物理隔離;通過部署防火墻實現(xiàn)MEC平臺與UPF間、MEC平臺與客戶內(nèi)網(wǎng)安全隔離;交換機(jī)配置虛擬局域網(wǎng)(VirtualLocalAreaNetwork,VLAN)隔離、防火墻配置訪問控制、資源池與其他系統(tǒng)不共用物理資源;UPF側(cè)配置白名單,針對SMF)的N4接口設(shè)置訪問控制?；A(chǔ)設(shè)施安全即對底層硬件、NFVI等基礎(chǔ)設(shè)施配置認(rèn)證/鑒權(quán)和訪問控制,包括:復(fù)雜口令、登錄失敗次數(shù)限制、支持賬號主動退出、管理賬號權(quán)限最小化等;關(guān)閉不必要的服務(wù)/端口,進(jìn)行安全基線配置和加固,對接集中安全平臺進(jìn)行安全審計;確保UPF具備防地Lists,ACL)過濾、告警和IPsec隧道等能力;確保MEC平臺具備資源管理機(jī)制,限定單個用戶、進(jìn)程對資源使用的最大限度,并在單個虛機(jī)崩潰后不會影響虛擬機(jī)監(jiān)視器和其他虛機(jī)。……(1)物理環(huán)境安全(2)組網(wǎng)安全1×GE(帶外管理)(3)基礎(chǔ)設(shè)施安全圖4典型的MEC企業(yè)園區(qū)機(jī)房組網(wǎng)拓?fù)鋱D·24·信息通信技術(shù)與政策客戶客戶……v NFVI硬件客戶客戶……v NFVI硬件!(6)應(yīng)用安全!域域(7)運(yùn)維管理安全……(5)平臺安全MEC平臺(4)虛擬化安全圖5MEC平臺虛擬化層以上安全架構(gòu)示意圖虛擬化安全即對宿主機(jī)、虛機(jī)、虛擬化等不同層面進(jìn)行安全加固;開啟鏡像完整性校驗,使用HTTPS等安全傳輸通道進(jìn)行鏡像上傳;虛擬機(jī)監(jiān)視器設(shè)置對虛機(jī)操作和使用資源權(quán)限的限制,同一物理機(jī)上不同虛機(jī)隔離并監(jiān)控資源使用情況;MEC平臺在部署階段對鏡像倉庫進(jìn)行安全監(jiān)管、對上傳的容器鏡像進(jìn)行漏洞掃描,在運(yùn)行時確保容器實例與宿主機(jī)內(nèi)核隔離。在MEC平臺上開啟訪問的認(rèn)證和授權(quán)機(jī)制,防止非法訪問篡改;確保MEC平臺對外接口支持通信雙方雙向認(rèn)證;MEC平臺與APP之間通信進(jìn)行加密;API接口采用安全的通信協(xié)議和通道,如安全傳輸層協(xié)議SSHv1等不安全協(xié)議;對接入到MEC節(jié)點的終端進(jìn)行身份識別。確保MEC平臺可對應(yīng)用全生命周期管理和監(jiān)控,Kubernetes(K8S)內(nèi)部網(wǎng)絡(luò)、虛擬防火墻等手段實現(xiàn)應(yīng)用間隔離;確保MEC平臺對APP資源使用情況進(jìn)行實時監(jiān)控和限制管理;對應(yīng)用進(jìn)行漏洞掃描和加固,對鏡像進(jìn)行病毒查殺。運(yùn)維管理安全即通過統(tǒng)一自服務(wù)門戶對宿主機(jī)、虛機(jī)、虛擬化管理、MEC平臺、APP進(jìn)行運(yùn)維管理,提供性能告警并留存系統(tǒng)日志,并按需對接集中告警監(jiān)控平臺。2.4數(shù)據(jù)安全近年來,企業(yè)數(shù)據(jù)泄露、篡改等問題頻發(fā),數(shù)據(jù)安全問題愈發(fā)凸顯。我國在《中華人民共和國數(shù)據(jù)安全法》中明確建立了數(shù)據(jù)分類分級保護(hù)制度,根據(jù)數(shù)據(jù)的重要程度及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用造成的危害程度,對數(shù)據(jù)實行分類分級保護(hù)。因此,數(shù)據(jù)安全主要應(yīng)防止數(shù)據(jù)被篡改、破壞和泄露,一般可通過以下手段對數(shù)據(jù)提供保護(hù)。Storage,SDS)技術(shù)的多副本分布式存儲方案如圖6所示,數(shù)據(jù)依據(jù)算法自動均衡地分布在不同的存儲節(jié)點,支持節(jié)點的快速添加和刪除橫向擴(kuò)展,支持節(jié)點故障或損壞后數(shù)據(jù)自動重建自愈合,避免數(shù)據(jù)受到破壞。通過UPF+MEC下沉部署,實現(xiàn)數(shù)據(jù)采集、處理、·25·專題:工業(yè)互聯(lián)網(wǎng)2022年第10期BBCCDDEEFFGGHHAABAHBAHDBEABD圖6多副本分布式存儲方案(以三副本為例)存儲等全生命周期本地化,規(guī)避數(shù)據(jù)泄露至企業(yè)園區(qū)外部。按需部署審計設(shè)備或?qū)蛹邪踩珜徲嬈脚_對數(shù)據(jù)導(dǎo)出、變更、系統(tǒng)日志進(jìn)行審計,避免數(shù)據(jù)被非法篡2.5運(yùn)維管理安全即便再先進(jìn)的安全技術(shù)和完善的防護(hù)方案,也需要安全管理人員的執(zhí)行,因此除了前述四部分安全外,MEC所有者還需要建立規(guī)范的安全管理制度、設(shè)置安全管理機(jī)構(gòu)、配置專兼職安全管理人員、進(jìn)行安全意識及技能培訓(xùn)、制定系統(tǒng)建設(shè)和運(yùn)行維護(hù)過程中應(yīng)遵循的相應(yīng)制度和規(guī)范等。3典型案例如在進(jìn)行某大型石化企業(yè)的5GMEC項目建設(shè)時,考慮到石化原料通常具有易燃易爆有毒等危險特征,一旦企業(yè)因遭受網(wǎng)絡(luò)攻擊、數(shù)據(jù)篡改發(fā)生業(yè)務(wù)中斷時,極易引發(fā)嚴(yán)重的生產(chǎn)事故導(dǎo)致人員傷亡,因此應(yīng)提高其網(wǎng)絡(luò)安全保障的需求級別。依據(jù)此類項目的客戶需求,應(yīng)以至少滿足等保2級為目標(biāo)為企業(yè)提供網(wǎng)絡(luò)與信息安全保障,具體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖7所示。整體物理安全由企業(yè)園區(qū)機(jī)房提供不低于等保2級要求的門禁、機(jī)房準(zhǔn)入、防火防水防靜電等措施,在此不再贅述。在接入安全方面,除要提供5GSA網(wǎng)絡(luò)標(biāo)準(zhǔn)的認(rèn)定DNN、只允許用戶在特定位置和基站接入等方式實現(xiàn)網(wǎng)絡(luò)的安全接入和終端訪問控制。在傳輸安全方面,承載網(wǎng)接入層設(shè)備(STN-A)和網(wǎng)關(guān)設(shè)備在企業(yè)園區(qū)內(nèi)成對部署,各傳輸鏈路呈雙星加密。在MEC平臺安全方面:一是組網(wǎng)安全,將MEC平臺流量三平面隔離,在MEC平臺、邊緣UPF和企業(yè)內(nèi)網(wǎng)間部署防火墻,并在防火墻、交換機(jī)上配置VLAN、獨(dú)立的VRF隔離和訪問控制;二是基礎(chǔ)設(shè)施安全,對網(wǎng)絡(luò)設(shè)備、服務(wù)器、NFVI等配置復(fù)雜口令認(rèn)證和訪問控制,關(guān)閉不必要的服務(wù)/端口,部署安管一體機(jī),實現(xiàn)基礎(chǔ)設(shè)施的漏洞掃描、安全基線配置和安全審計,UPF提供防地址欺騙、異常報文丟棄等安全能力,MEC平臺提供資源管理機(jī)制;三是虛擬化安全、平臺安全和應(yīng)用安全,這三部分安全能力主要由MEC平臺提供,通過部署和運(yùn)用鏡像安全掃描、容器安全檢測、TLS加密MEC平臺自助服務(wù)門戶統(tǒng)一對宿主機(jī)、虛機(jī)、MEC平臺等不同層面進(jìn)行啟動、關(guān)閉、查看告警、業(yè)務(wù)恢復(fù)等操作,實現(xiàn)運(yùn)維管理安全。在數(shù)據(jù)安全方面:一是采用三副本分布式存儲和存儲計算分離的架構(gòu)提供數(shù)據(jù)恢復(fù)和可靠保障;二是·26·信息通信技術(shù)與政策圖75GSA+MEC企業(yè)園區(qū)組網(wǎng)安全典型案例通過安管一體機(jī)實現(xiàn)日志安全審計;三是通過下沉專用的承載網(wǎng)接入設(shè)備和獨(dú)享型MEC實現(xiàn)數(shù)據(jù)不出園區(qū),避免數(shù)據(jù)泄露風(fēng)險。在管理安全方面,企業(yè)已建立安全管理制度和機(jī)構(gòu)、配置專職安全管理人員,并制定應(yīng)急預(yù)案,應(yīng)定期組織應(yīng)急演練,運(yùn)營商則負(fù)責(zé)提供專業(yè)的安全響應(yīng)團(tuán)4結(jié)束語5GMEC在運(yùn)營商網(wǎng)絡(luò)邊緣引入了云計算和IT服務(wù)環(huán)境,使得運(yùn)營商原本封閉的承載網(wǎng)網(wǎng)絡(luò)架構(gòu)更加開放,企業(yè)業(yè)務(wù)數(shù)據(jù)會經(jīng)運(yùn)營商承載網(wǎng)再進(jìn)入企業(yè),所以對運(yùn)營商和企業(yè)來說,MEC均不屬于傳統(tǒng)的安全域,云網(wǎng)基礎(chǔ)設(shè)施、企業(yè)內(nèi)網(wǎng)與業(yè)務(wù)應(yīng)用在MEC上交錯,網(wǎng)絡(luò)安全邊界進(jìn)一步模糊,而相關(guān)的行業(yè)標(biāo)準(zhǔn)還在探討制定中,因此5GSA+MEC企業(yè)園區(qū)組網(wǎng)的安全防護(hù)還面臨很多問題與挑戰(zhàn)亟待研究解決。一是容器逃逸帶來的安全挑戰(zhàn)。由于容器與宿主機(jī)共用內(nèi)核,并且在內(nèi)核層面的隔離性不足,這使得攻擊者可通過利用漏洞“逃逸”出自身擁有的權(quán)限,實現(xiàn)對宿主機(jī)或宿主機(jī)上其他容器的訪問[3]。由于MEC平臺一般采用云原生架構(gòu),因此也不可避免地面臨著容器逃逸問題,容器逃逸將直接影響到MEC承載容器的底層基礎(chǔ)設(shè)施,攻擊者可以借此獲得主機(jī)上的根用戶(Root)級訪問權(quán)限甚至接管K8S集群。二是網(wǎng)元下沉帶來的安全挑戰(zhàn)。在當(dāng)前5GSA+MEC組網(wǎng)下,企業(yè)園區(qū)內(nèi)下沉部署邊緣UPF和MEC,使得用戶數(shù)據(jù)在本地處理,大幅提高了數(shù)據(jù)安全性,并可以基于前文方案加強(qiáng)安全防護(hù),但5G控制信令主要仍由企業(yè)園區(qū)外的運(yùn)營商核心網(wǎng)處理,控制信令在園區(qū)外傳輸過程中同樣面臨著傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下的竊聽、篡改等威脅,因此部分對安全程度需求極高的企業(yè)(如礦山等),會進(jìn)一步希望在企業(yè)園區(qū)內(nèi)下沉輕量級的5G核心網(wǎng),實現(xiàn)控制信令和業(yè)務(wù)數(shù)據(jù)完全在本地處理,5G核心網(wǎng)的下沉又會進(jìn)一步增加5G網(wǎng)絡(luò)暴露面,使得5G網(wǎng)絡(luò)更易受