利用可信计算技术增强MEC的安全性

来源:用户上传      作者:

　　【摘  要】
　　介绍了MEC安全问题的特征，分析了可信计算技术增强MEC安全的可行性，提出了MEC物理安全可信设计、MEC能力开放可信设计、软件版本完整性可信设计等关键技术，最后结合MEC部署的特点提出了安全防护的建设建议。
　　【关键词】 MEC;安全;可信计算
　　doi：10.3969/j.issn.1006-1010.2020.04.013      中图分类号：TN929.5
　　文献标志码：A      文章编号：1006-1010（2020）04-0059-06
　　引用格式：陆威，王全. 利用可信计算技术增强MEC的安全性[J]. 移动通信， 2020，44（4）： 59-64.
　　Enhancing MEC Security with Trusted Computing Technology
　　LU Wei， WANG Quan
　　（ZTE Corporation， Nanjing 210012， China）
　　[Abstract]
　　This paper introduces the characteristics of MEC security issues， analyzes the feasibility of enhancing MEC security by trusted computing technology， proposes key technologies of trusted designs for MEC physical security， MEC capability exposure， and software version integrity. Finally， based on the MEC deployment characteristics， construction suggestions are proposed for security protection.
　　[Key words] MEC; security; trusted computing
　　0   引言
　　5G作为新一轮信息技术变革的关键基础设施，为各行各业数字化转型创造了新的机会。工业互联网是5G的一个重要应用场景，近来获得了迅猛发展，各类应用逐步渗透到社会生活的方方面面，实现了各种生产要素的互联互通和智能化处理，让大量的机器每时每刻都在自动地相互协作，极大地延伸了人的智力和体力。但工业互联网对社会发展具有两面性，在网络正常时能极大地促进社会生产能力，在网络出现大规模安全故障时，会中断整个产业链的协作，导致经济安全和国家安全问题。因此5G安全是工业互联网安全、经济安全、国家安全的最底层的基石，需要有高可靠的安全措施保障社会的正常运行。
　　3GPP标准组织已为5G制定了很多安全技术标准，但3GPP为解决某些垂直行业应用的高可靠低时延需求时，引入了ETSI定义的MEC（Multi-Access Edge Computing）技术，而ETSI并没有对MEC提供完整的安全保障技术，需要根据MEC的应用场景，增强MEC的安全技术。
　　MEC的主要思想是把计算和网络处理能力尽量下沉到接入网附近，缩短终端和应用之间的传输路径，从而降低业务报文的传输时延，节省骨干网的传输资源[1]。5G借助于网络边缘的MEC，提供高质量的eMBB业务体验和高可靠极低时延的URLLC业务[2]。MEC给5G业务带来好处的同时，也带来了两类安全問题。一类是通用的安全问题，例如操作系统漏洞、网络攻击、数据泄露等，业界已有很多成熟的方法针对这些问题做好安全防护，例如操作系统安全加固技术、防火墙技术、数据加密技术等，本文不做详细介绍[3]。另一类是MEC特有的安全问题，即MEC分布式部署在网络边缘，机房无人值守，非授权人员有机会引入安全问题[4]。本文从可信计算概念的角度，介绍了如何采用可信计算技术来保障MEC的安全。
　　1   MEC安全问题分析
　　MEC整体架构顺从ETSI MEC和NFV规范，主要由COTS（Commercial Off-The-Shelf，商用现成品）服务器、交换机、防火墙、边缘云平台、UPF（User Plane Function，用户面功能）、MEP（Multi-Access Edge Platform，多接入边缘平台）、能力开放网关等构成[5-7]。现有的安全技术对MEC的多个层面做了安全保护。
　　在操作系统层面，有一套完整的安全加固手段，关闭未使用的端口和服务，及时打上漏洞补丁。在网络层面，根据业务类型划分相互隔离的网络平面，在不同的安全域间部署防火墙。在虚拟化层面，采用虚机隔离技术保证各虚机间不能相互访问。在管理账户接入方面，可以根据账户角色分配权限，并采用强密码策略和双因子认证方案提高账户身份的可信度。在MEC的接口协议方面，采用SSL、HTTPS、VPN等安全协议。在安全事件管理方面，采用日志、审计分析工具来记录并分析MEC系统的运行状态[8-9]。
　　以上这些常规的安全手段适用于运营商的中心机房，假定系统内部是可信和安全的，只需在系统的边界进行防护。但MEC部署的位置处在网络边缘，机房没有像运营商中心机房那样坚固的基础环境，没有长期值守MEC机房的安保人员，因此MEC的软硬件容易受到非授权人员的入侵，使得MEC站点处在不可信的状态[10]。图1描述了MEC面临的3类可信计算安全问题。
　　MEC物理设备存在可信计算问题。MEC站点机房一般部署在靠近基站侧的网络边缘，机房条件相对简陋，而且MEC的硬件构成一般采用通用计算机架构，USB、网络接口、PCIe插槽等暴露在外，非授权人员进入MEC机房后，可通过USB、网络接口植入恶意软件，或者在PCIe插槽中插入恶意板卡。需要利用可信计算技术持续监控MEC运行的可信度。 　　MEC把能力集暴露给第三方APP使用，会引入API调用的可信计算问题。一般第三方APP部署在第三方的数据中心，资产属于第三方，运营商无权控制第三方数据中心的安全技术保障和安全管理，非授权人员有可能入侵第三方数据中心植入恶意软件，并仿照MEC内的能力开放API接口，恶意调用MEC内的能力，非法获取数据。MEC内的能力开放网关要有能力识别第三方APP是否可信。
　　MEC的软件升级过程也存在可信计算问题。MEC部署量大，而且位于网络边缘，从降低运维成本和维护便利性的角度，一般采用远程方式进行批量升级。MEC软件版本存放在中心机房（例如5GC核心网站点），通过网络把软件版本传送到各个MEC站点，在版本传输过程中，非授权人员可以劫持版本文件，替换版本中的某些文件，或植入恶意软件，导致MEC升级后的软件成为非可信软件。需要MEC能检查软件版本的一致性、完整性，保证该软件是可信的。
　　针对以上3种MEC可信问题，可采用可信计算技术保障MEC环境中的所有硬件、软件、数据、参数配置等资产跟运营商的预期设计一致，在系统运行过程中，能像人体的免疫系统一样，识别“自己”和“非己”成份，从而帮助运营商提升MEC环境的可信度[11]。
　　2   基于可信计算理念的安全性设计
　　2.1 可信计算原理
　　在信息安全领域，硬件安全和操作系统安全是基础，密码技术是关键，只有从整体上采取措施，特别是从底层采取措施，才能有效地解决信息安全问题，即从芯片、主板硬件结构、BIOS、操作系统等底层设施开始安全控制，才能从源头上控制大多数不安全因素。可信计算是实现这一目标的一种技术，由可信计算集团（Trusted Computing Group， TCG）组织业界的主要厂商制定一个可信计算的开放标准，让采用此技术的系统维持软硬件的完整性，在系统的整个生命周期中按照最初设计所期望的行为运行[12]。
　　可信计算的基本原理有两个关键技术，一个是在计算机系统中先建立信任根，另一个是建立BIOS Boot Block->BIOS->OS Loader->OS->APP的信任链，一级度量一级，一级信任一级，把信任关系扩大到整个计算机系统，从而确保计算机系统以及运行在其上的服务是可信的。
　　TCG把TPM（Trusted Platform Module，可信平台模块）芯片定义为信任根，TPM芯片嵌入在硬件平台上，该芯片一般设计成SoC（System on Chip）模式，内含运算模块、存储器、I/O、密码运算处理器等部件，完成可信度量的存储、密钥产生、加密签名、数据安全存储等功能。
　　当计算机系统上电启动后，就开始逐级建立信任链。硬件平台首先让TPM芯片自检，通过后对BIOS进行可信验證，BIOS对OS Loader进行可信验证，OS Loader再对OS进行可信验证，OS对APP进行可信认证。在此验证过程中，任何一级的验证失败，都不会让该模块进入运行态，并立即产生告警信息，通知维护人员进入安全响应流程。
　　可信计算原理适用于MEC的架构特征。MEC作为多接入边缘计算，兼有网络能力和云计算能力，ETSI考虑了MEC的普遍适用性，采用通用计算技术（一般基于x86）作为硬件平台，采用BIOS启动并加载OS，采用虚拟化技术作为云平台，采用虚机镜像作为应用软件。MEC的软硬件组织架构和可信计算采用的架构基本一致，因此可以借助可信计算技术来增强MEC的安全性[13]。
　　2.2  MEC物理安全可信设计
　　MEC站点环境一般较简陋，例如和基站共站点，或者位于网络边缘的汇聚机房，或者在企业客户的机房。这些机房环境除了要遵循传统机房的安全防护标准，还需要针对MEC处于边缘且无人值守的特点，设计更全面的防护措施。设计方案遵循由外而内，层层设防，有防有控的原则。
　　对于MEC最外层的机房，防护措施的目标是“进不来”。可采用物理锁和电子门禁系统双层防护，并在机房内外部署具有人脸识别功能的视频监控系统，当有人进入MEC机房时，视频监控系统能识别出人的身份，并核对该身份是否有许可权限进入此MEC机房。如果身份核对失败，视频监控系统向远端运维中心发送告警信息，告警信息包括MEC站点位置、人员图像、人员身份、发生时间等关键信息，由运维中心做进一步的安全事件响应动作。由于视频监控和基于AI的人脸识别需要处理和传输大量的视频数据，为了节省网络带宽和降低处理时延，建议把视频监控系统的软件就近部署在MEC内。
　　对于机房内的MEC机柜和交换机服务器等核心设备，防护措施的目标是“进来了，但接入不了”。需在机柜门上加锁，并采用物理手段或软件工具关闭服务器、交换机上不用的USB接口和网络接口，确保入侵者难以通过USB或网口等接入MEC系统并植入恶意软件。为了避免管理上的疏漏，要求远端的运维中心能定期自动远程巡检MEC机柜内设备的未用端口是否处于“关闭”状态[14]。
　　对于MEC设备内的BIOS、板卡、操作系统、云平台、APP等软硬件，防护措施的目标是“接入了，但用不了”。可在MEC服务器主板上增加TPM安全芯片，作为MEC系统的信任根。由于TPM是整个MEC系统的信任源头，因此TPM的存储器是受保护的，第三方无法更改存储内容。图2是基于TPM芯片的逐级可信检测流程。
　　MEC受到以上多个层面的安全防护，非授权人员一般情况下进不了MEC机房，如果进入了，也很难接入MEC系统，如果接入MEC系统了，植入的恶意软硬件也能被可信计算检测到，从而无法运行。通过这一层层的防护，MEC即使部署在无人值守的网络边缘，也具备很高的安全性。
　　2.3  MEC能力开放可信设计
　　MEC有很多能力集，例如定位能力、无线网络资源能力、TCP优化能力、用户身份识别能力等，这些能力通过MEC的API Gateway供第三方APP调用[15-16]。由于第三方APP可以部署在企业客户自己的机房中，运营商无法验证企业客户机房的可信度，非授权用户可利用企业机房的安全技术或管理漏洞，植入恶意软件，恶意软件后续就有机会攻击MEC系统，或者调用MEC的API非法获取信息。可通过API Gateway模块隔离技术、API消息数字签名来保障MEC系统的健壮性和安全性。 　　API Gateway模块隔离技术保障MEC的健壮性。MEC系统内有多个软件模块，大部分模块不对外暴露，有较高的安全性，而API Gateway是直接暴露给第三方APP调用的模块，如果该模块被攻击或者感染病毒，可能会影响到MEC内部其他模块。应把API Gateway设计为独立模块，部署在MEC的DMZ（Demilitarized Zone，隔离区）中，该模块即使被攻击或感染病毒，也被隔离在自己的DMZ中，不会影响MEC内的其他模块。为了减少被攻击的可能性，还需在DMZ的对外边界部署防火墙，只开放API接口用到的IP地址、端口和协议类型，把非API消息阻挡在防火墙外。
　　API消息数字签名技术保障MEC能力在可信范围内被使用。这项技术需要运营商和第三方APP配合实施，当第三方APP获得运营商授权后，可通过密钥生成工具产生一对密钥（公钥和私钥），私钥留给第三方APP做数字签名用，公钥发布给运营商用于核对来自第三方APP的数字签名可信度。企业APP运行过程中，如果要向MEC发送API调用MEC的能力，需先对待发送的API消息报文进行数字签名，后续MEC的API Gateway收到消息时，用公钥对该消息报文进行签名认证。如果认证通过，说明该消息来自于许可的企业第三方APP，可正常处理业务流程;否则认为该消息来自非授权的第三方APP，拒绝该消息的进一步处理，并产生告警信息，通知运营商和第三方排查隐藏在第三方数据中心的恶意软件。
　　2.4  软件版本完整性可信设计
　　软件版本从开发者交付到安装部署，一般经过如下流程：开发者制作版本→开发者发布版本→版本经过互联网传输到运营商版本服务器→MEC站点从版本服务器下载版本→MEC把版本加载到虚拟机中。在整个流程中，非授权人员有机会非法篡改版本文件（例如植入恶意软件），导致MEC系统存在不可信软件。可采用病毒扫描、软件数字化签名等措施保证软件的完整性。
　　开发者发布软件版本（含补丁）前，需对版本文件进行防病毒扫描，扫描通过后采用数字签名方式制作软件版本镜像文件（Image）[17]，数字签名流程如图3所示。
　　数字签名步骤：
　　步骤1：先通过密钥生成工具产生密钥对（公钥和私钥）;
　　步骤2：用MD5算法对软件版本Image和Image Header进行Hash计算，获得Hash-X;
　　步骤3：使用私钥对Hash-X进行数字签名，获得Hash-Y;
　　步骤4：将Hash-Y、版本Image以及版本Image Header合并，得到签名完成的版本。
　　软件开发者就可通过互联网把签名完成的版本发布给运营商。如果在版本文件傳输过程中被非授权方拦截并植入恶意软件，运营商通过公钥能验证版本文件是否被篡改过。
　　软件版本文件可信验证步骤：
　　（1）运营商从软件开发者获取公钥，对Hash-Y进行验签，得到Hash-X;
　　（2）对版本中的Image Header和Image一起进行MD5运算，得到Hash-X';
　　（3）将Hash-X和Hash-X'进行比较，如果一致则说明版本可信。
　　运营商验证软件版本完整可信后，把版本文件保存在版本服务器，供各个MEC站点下载。一般版本服务器集中部署在中心机房，各个MEC站点分布在边缘，版本从服务器传输到MEC边缘站点的过程中，非授权用户可能拦截版本文件，并植入恶意软件。因此MEC站点接收版本文件后，需进行可信验证，验证原理同“软件版本文件可信验证步骤”。
　　当MEC系统加载软件版本到虚拟机时，MEC系统的Host OS基于TPM可信根，对软件版本进行可信检测，具体检测流程如图2所示。后续的虚机迁移、重生等都需要进行软件版本的可信验证。
　　3   MEC安全的部署建议
　　MEC在工业互联网领域有广泛的应用，MEC出现的安全问题会延伸到行业应用的安全，并引起更严重的经济和关键产业链的安全。因此MEC的商用部署和日常运维需要考虑端到端的安全措施，由运营商牵头，组织MEC设备提供商、行业客户、第三方APP提供商开展安全协作，让每个环节都有安全技术和安全管理流程的保障[18]。
　　运营商在采购MEC设备阶段，需要对MEC设备提供商进行安全认证，包括研发流程的安全认证、产品生产过程的安全认证、产品发布流程的安全认证。通过安全认证的设备具备较高的安全可信度，在产品源头避免带有恶意软硬件。
　　运营商接收到MEC设备后，需对设备携带的密钥、数字证书、软件版本等做可信检测，确保这些资料来源于正确的MEC设备提供商，没有第三方假冒的资料。
　　运营商建设MEC站点阶段，需要按照2.1章节描述的方法，构建多层次的安全防护机房。工程人员在安装配置MEC系统时，需要启用基于TPM的可信计算功能，并关闭未使用的USB接口、网络接口、服务。在组网方面，需要划分可信任网络域和DMZ网络域，把UPF等运营商专用的模块放在可信任网络域，把能力开放API Gateway等面向第三方应用的模块放在DMZ网络域。在做MEC和第三方APP互联互通时，运营商需要向第三方提出安全技术标准和安全管理流程要求，只有第三方APP满足条件后，运营商才能许可第三方APP和MEC进行互联互通，并通过数字签名技术对第三方APP进行可信度验证。
　　运营商运维MEC阶段，并不需要运维人员在MEC站点值守，主要原因是MEC站点多、位置偏远，安排大量值守人员会带来高成本。运营商可采用远程视频监控、日志审计和定期远程巡检的方式来监控MEC站点是否处于可信状态。当运营商升级MEC站点的软件版本时，需要采用2.3章节描述的方法，对软件版本进行完整性和可信度检测。在升级过程中，该软件版本受到MEC内基于TPM的可信计算流程控制，确保版本升级完成后，MEC的整系统是可信可控的。由于IT技术发展很快，新的漏洞会被发现，新的攻击手段不断出现，运营商需要采用迭代运维的机制，对MEC系统做周期性安全审计，持续加固MEC的安全性。 　　4   结束语
　　信息安全问题从信息技术产生的那天起就一直存在，安全解决方案也会伴随着信息技术的演进而演进。MEC作为当今5G网络的关键技术，在工业互联网中扮演着重要角色，同时MEC具有分布式部署在网络边缘的特征，MEC相比传统数据中心有特殊的安全问题，必须综合利用常规的安全技术和增强的可信计算技术来解决。可信计算技术能从源头建立可信根，再一级一级地验证MEC系统的可信度，从而大大增强MEC硬件、能力开放API Gateway、软件版本完整性和可信度等级。而基于此方案的端到端、全流程的安全部署过程，能让MEC应用的每个环节都有严密的安全管理和安全技术保障。随着可信计算技术在MEC中的广泛部署，将有力保障工业互联网中大量行业应用的安全性，提升全社会的经济安全和国家安全水平。
　　参考文献：
　　[1]    陆威，方琰崴，陈亚权. URLLC超低时延解決方案和          关键技术[J]. 移动通信， 2020，44（2）： 8-14.
　　[2]     李立平，王卫斌，方琰崴. 面向业务体验的5G核心网演 进分析及建设方案[C]//5G网络创新研讨会（2019）论文集. 广州： 移动通信， 2019： 294-301.
　　[3]     方琰崴，陈亚权. 基于虚拟化的电信云网络安全解决方 案[J]. 移动通信， 2018，42（12）： 1-7.
　　[4]   何明，沈军，吴国威，等. MEC安全探讨[J]. 移动通信， 2019，43（10）： 2-6.
　　[5]    ETSI. ETSI GS NFV-INF 001： Network Functions Virtualisation; Infrastructure Overview[S]. 2015.
　　[6]     ETSI. ETSI GS NFV 001： Network Functions Virtualisa-tion （NFV）; Use Cases[S]. 2013.
　　[7]    ETSI. ETSI GS NFV 002： Network Functions Virtua-lisation （NFV）; Architectural Framework[S]. 2013.
　　[8]      王全，方琰崴. 5G电信云网络安全解决方案[J]. 邮电设计技术， 2018（11）： 57-62.
　　[9]   方琰崴. 5G核心网安全解决方案[J]. 移动通信， 2019，43（10）： 19-25.
　　[10]   闫新成，毛玉欣，赵红勋. 5G典型应用场景安全需求及安全防护对策[J]. 中兴通讯技术， 2019，25（4）： 6-13.
　　[11]  王振宇. 可信计算与网络安全[J]. 保密科学技术， 2019（3）： 63-66.
　　[12]   Trusted Computing Group. TCG[EB/OL]. （2013-11-26）[2020-02-20]. http：//www.trustedcomputinggroup.org/.
　　[13]    何欣枫，田俊峰，刘凡鸣. 可信云平台技术综述[J]. 通信学报， 2019，40（2）： 154-163.
　　[14]    张岩，张艳菲，张曼君. 电信云安全分析与思考[J]. 邮电设计技术， 2019（4）： 63-66.
　　[15]   ETSI. ETSI GS MEC 011： Mobile Edge Computing （MEC）; Mobile Edge Platform Application Enablement[S]. 2017.
　　[16]   ETSI. ETSI GS MEC 003： Multi-access Edge Computing （MEC）; Framework and Reference Architecture[S]. 2019.
　　[17]    王全. 云原生Cloud Native核心网方案及关键技术[J]. 中国新通信， 2018（9）： 61-62.
　　[18]   吕华章，陈丹，王友祥. 运营商边缘云平台建设和典型案例分析[J]. 电信科学， 2019（3）： 7-17.
　　[19]   方琰崴. 面向云化的电信运营转型方案、关键技术和发展策略[J]. 信息通信技术， 2018（2）： 58-65.★
　　作者简介
　　陆威（orcid.org/0000-0001-7659-7331）：
　　硕士毕业于南京大学计算机专业，现任中兴通讯股份有限公司电信云与核心网产品线产品规划总工、产品市场总监，专业方向为5G核心网和边缘计算，获得专利四项。
　　王全（orcid.org/0000-0002-5487-4067）：学士毕业于南京大学电子学与信息系统专业，现任中兴通讯股份有限公司电信云核心网产品线副总经理，从事电信云核心网、NFV、SDN、MEC等产品规划工作，负责的相关产品及解决方案在5G论坛、SDN/NFV全球大会、世界边缘计算论坛、中国通信学会荣获多项大奖，获多项国家发明和实用新型专利，在核心期刊发表论文10余篇。
转载注明来源:https://www.xzbu.com/8/view-15186571.htm