收稿日期:2020-02-27
利用可信计算技术增强MEC的安全性
Enhancing MEC Security with T rusted Computing T echnology
介绍了MEC 安全问题的特征,分析了可信计算技术增强MEC 安全的可行性,提出了MEC 物理安全可信设计、MEC 能力开放可信设计、软件版本完整性可信设计等关键技术,最后结合MEC 部署的特点提出了安全防护的建设建议。
MEC ;安全;可信计算
This paper introduces the characteristics of MEC security issues, analyzes the feasibility of enhancing MEC security by trusted computing technology, proposes key technologies of trusted designs for MEC physical security, MEC capability exposure, and software version integrity. Finally, based on the MEC deployment characteristics, construction suggestions are proposed for security protection.MEC; security; trusted computing
(中兴通讯股份有限公司,江苏 南京 210012)
(ZTE Corporation, Nanjing 210012, China)
【摘 要】
【关键词】
陆威,王全
LU Wei, WANG Quan
doi:10.3969/j.issn.1006-1010.2020.04.013 中图分类号:TN929.5
文献标志码:A 文章编号:1006-1010(2020)04-0059-06六一快乐英语
引用格式:陆威,王全. 利用可信计算技术增强MEC的安全性[J]. 移动通信, 2020,44(4): 59-64.
0 引言
5G 作为新一轮信息技术变革的关键基础设施,为各行各业数字化转型创造了新的机会。工业互联网是5G 的一个重要应用场景,近来获得了迅猛发展,各类应用逐步渗透到社会生活的方方面面,实现了各种生产要素的互联互通和智能化处理,让大量的机器每时每刻都在自动地相互协作,极大地延伸了人的智力和体力。但工业互联网对社会发展具有两面性,在网络正常时能极大地促进社会生产能力,
在网络出现大规模安全故障时,会中断整个产业链的协作,导致经济安全和国家安全问题。因此5G 安全是工业互联网安全、经济安全、国家安[Abstract]
[Key words]
全的最底层的基石,需要有高可靠的安全措施保障社会的正常运行。
3GPP 标准组织已为5G 制定了很多安全技术标准,但3GPP 为解决某些垂直行业应用的高可靠低时延需求时,引入了ETSI 定义的MEC (Multi-Access Edge Computing )技术,而ETSI 并没有对MEC 提供完整的安全保障技术,需要根据MEC 的应用场景,增强MEC 的安全技术。
MEC 的主要思想是把计算和网络处理能力尽量下沉到接入网附近,缩短终端和应用之间的传输路径,从而降低业务报文的传输时延,节省骨干网的传输资源[1]
。5G 借助于网络边缘的MEC ,提供高质量的eMBB 业务体验和高可靠极低时延的URLLC 业务[2]
。MEC 给5G 业务
OSID :
扫描二维码与作者交流
带来好处的同时,也带来了两类安全问题。一类是通用的安全问题,例如操作系统漏洞、网络攻击、数据泄露等,业界已有很多成熟的方法针对这些问题做好安全防护,例如操作系统安全加固技术、防火墙技术、数据加密技术等,本文不做详细介绍[3]
。另一类是MEC 特有的安全问题,即MEC 分布式部署在网络边缘,机房无人值守,非授权人员有机会引入安全问题[4]。本文从可信计算概念的角度,介绍了如何采用可信计算技术来保障MEC 的安全。
1 MEC 安全问题分析
MEC 整体架构顺从ETSI MEC 和NFV 规范,主要由COTS (Commercial Off-The-Shelf ,商用现成品)服务器、交换机、防火墙、边缘云平台、UPF (User Plane Function ,用户面功能)、MEP (Multi-Access Edge Platform ,多接入边缘平台)、能力开放网关等构成
[5-7]
可有可无的影子。
现有的安全技术对MEC 的多个层面做了安全保护。
在操作系统层面,有一套完整的安全加固手段,关闭未使用的端口和服务,及时打上漏洞补丁。在网络层面,根据业务类型划分相互隔离的网络平面,在不同的安全域间部署防火墙。在虚拟化层面,采用虚机隔离技术保证各虚机间不能相互访问。在管理账户接入度。在MEC 的接口协议方面,采用HTTPS 、VPN 分析MEC 系统的运行状态
[8-9]
。
的,只需在系统的边界进行防护。但守MEC 机房的安保人员,因此MEC 容易受到非授权人员的入侵,使得处在不可信的状态
[10]
。图1描述了MEC 的3类可信计算安全问题。
M E C 物理设备存在可信计算问MEC 站点机房一般部署在靠近侧的网络边缘,机房条件相对简陋,而且MEC 的硬件构成一般采用通用计算机架构,USB 、网络接口、PCIe 插槽等暴露在外,非授权人员进入MEC 机房后,可通过USB 、网络接口植入恶意软件,或者在PCIe 插槽中插入恶意板卡。需要利用可信计算技术持续监控MEC 运行的可信度。
MEC 把能力集暴露给第三方APP 使用,会引入API 调用的可信计算问题。一般第三方APP 部署在第三方的数据中心,资产属于第三方,运营商无权控制第三方数据中心的安全技术保障和安全管理,非授权人员有可能入侵第三方数据中心植入恶意软件,并仿照MEC 内的能力开放API 接口,恶意调用MEC 内的能力,非法获取数据。MEC 内的能力开放网关要有能力识别第三方APP 是否可信。
MEC 的软件升级过程也存在可信计算问题。MEC 部署量大,而且位于网络边缘,从降低运维成本和维护便利性的角度,一般采用远程方式进行批量升级。MEC 软件版本存放在中心机房(例如5GC 核心网站点),通过网络把软件版本传送到各个MEC 站点,在版本传输过程中,非授权人员可以劫持版本文件,替换版本中的某些文件,或植入恶意软件,导致MEC 升级后的软件成为非可信软件。需要MEC 能检查软件版本的一致性、完整UPF
接入USB 端口植入恶意软件;接入网络端口植入恶意软件;插入板卡植入恶意功能边缘节点 )
网络资源
存储资源 计算资源 虚拟化边缘计算执行环境
算什么男人 歌词MEP 能力开放API 网关
MEC 软件仓库
中心节点 非授权第三方应用调用MEC 非法获取信息第三方应用
植入恶意软件
5GC UPF
SMF
AMF PCF EMS
OSS BSS 非授权 APP
图1 MEC的可信计算安全问题
针对以上3种MEC可信问题,可采用可信计算技术保障MEC环境中的所有硬件、软件、数据、参数配置等资产跟运营商的预期设计一致,在系统运行过程中,能像人体的免疫系统一样,识别“自己”和“非己”成份,从而帮助运营商提升MEC环境的可信度[11]。
2 基于可信计算理念的安全性设计
2.1 可信计算原理
在信息安全领域,硬件安全和操作系统安全是基础,密码技术是关键,只有从整体上采取措施,特别是从底层采取措施,才能有效地解决信息安全问题,即从芯片、主板硬件结构、BIOS、操作系统等底层设施开始安全控制,才能从源头上控制大多数不安全因素。可信计算是实现这一目标的一种技术,由可信计算集团(Trusted Computing Group, TCG)组织业界的主要厂商制定一个可信计算的开放标准,让采用此技术的系统维持软硬件的完整性,在系统的整个生命周期中按照最初设计所期望的行为运行[12]。
可信计算的基本原理有两个关键技术,一个是在计算机系统中先建立信任根,另一个是建立BIOS Boot Block->BIOS->OS Loader->OS->APP的信任链,一级度量一级,一级信任一级,把信任关系扩大到整个计算机系统,从而确保计算机系统以及运行在其上的服务是可信的。
TCG把TPM(Trusted Platform Module,可信平台模块)芯片定义为信任根,TPM芯片嵌入在硬件平台上,该芯片一般设计成SoC(System on Chip)模式,内含运算模块、存储器、I/O、密码运算处理器等部件,完成可信度量的存储、密钥产生、加密签名、数据安全存储等功能。
当计算机系统上电启动后,就开始逐级建立信任链。硬件平台首先让TPM芯片自检,通过后对BIOS 进行可信验证,BIOS对OS Loader进行可信验证,OS Loader再对OS进行可信验证,OS对APP进行可信认证。在此验证过程中,任何一级的验证失败,都不会让该模块进入运行态,并立即产生告警信息,通知维护人员进入安全响应流程。
可信计算原理适用于MEC的架构特征。MEC作为多接入边缘计算,兼有网络能力和云计算能力,ETSI 考虑了MEC的普遍适用性,采用通用计算技术(一般基于x86)作为硬件平台,采用BIOS启动并加载OS,采用虚拟化技术作为云平台,采用虚机镜像作为应用软件。MEC的软硬件组织架构和可信计算采用的架构基本一致,因此可以借助可信计算技术来增强MEC的安全性[13]。
2.2 MEC物理安全可信设计
MEC站点环境一般较简陋,例如和共站点,或者位于网络边缘的汇聚机房,或者在企业客户的机房。这些机房环境除了要遵循传统机房的安全防护标准,还需要针对MEC处于边缘且无人值守的特点,设计更全面的防护措施。设计方案遵循由外而内,层层设防,有防有控的原则。
边做边爱 歌词对于MEC最外层的机房,防护措施的目标是“进不来”。可采用物理锁和电子门禁系统双层防护,并在机房内外部署具有人脸识别功能的视频监控系统,当有人进入MEC机房时,视频监控系统能识别出人的身份,并核对该身份是否有许可权限进入此M E C机房。如果身份核对失败,视频监控系统向远端运维中心发送告警信息,告警信息包括MEC站点位置、人员图像、人员身份、发生时间等关键信息,由运维中心做进一步的安全事件响应动作。由于视频监控和基于AI的人脸识别需要处理和传输大量的视频数据,为了节省网络带宽和降低处理时延,建议把视频监控系统的软件就近部署在MEC内。
对于机房内的MEC机柜和交换机服务器等核心设备,防护措施的目标是“进来了,但接入不了”。需在
机柜门上加锁,并采用物理手段或软件工具关闭服务器、交换机上不用的USB接口和网络接口,确保入侵者难以通过USB或网口等接入MEC系统并植入恶意软件。为了避免管理上的疏漏,要求远端的运维中心能定期自动远程巡检MEC机柜内设备的未用端口是否处于“关闭”状态[14]。
对于MEC设备内的BIOS、板卡、操作系统、云平台、APP等软硬件,防护措施的目标是“接入了,但用不了”。可在MEC服务器主板上增加TPM安全芯片,作为MEC系统的信任根。由于TPM是整个MEC系
巍巍中山陵统的信任源头,因此TPM的存储器是受保护的,第三方无法更改存储内容。图2是基于TPM芯片的逐级可信检测流程。爱不单行歌词
MEC受到以上多个层面的安全防护,非授权人员一般情况下进不了MEC机房,如果进入了,也很难接入MEC系统,如果接入MEC系统了,植入的恶意软硬件也能被可信计算检测到,从而无法运行。通过这一层层的防护,MEC即使部署在无人值守的网络边缘,也具备很高的安全性。
2.3 MEC能力开放可信设计
MEC有很多能力集,例如定位能力、无线网络资源能力、TCP优化能力、用户身份识别能力等,这些能力通过MEC的API Gateway供第三方APP调用[15-16]。由于第三方APP可以部署在企业客户自己的
机房中,运营商无法验证企业客户机房的可信度,非授权用户可利用企业机房的安全技术或管理漏洞,植入恶意软件,恶意软件后续就有机会攻击MEC系统,或者调用MEC的API非法获取信息。可通过API Gateway模块隔离技术、API消息数字签名来保障MEC系统的健壮性和安全性。
API Gateway模块隔离技术保障MEC的健壮性。MEC系统内有多个软件模块,大部分模块不对外暴露,部署防火墙,只开放API接口用到的IP地址、端口和协议类型,把非API消息阻挡在防火墙外。
API消息数字签名技术保障MEC能力在可信范围内被使用。这项技术需要运营商和第三方APP配合实施,当第三方APP获得运营商授权后,可通过密钥生成工具产生一对密钥(公钥和私钥),私钥留给第三方APP做数字签名用,公钥发布给运营商用于核对来自第三方APP的数字签名可信度。企业APP运行过程中,如果要向MEC发送API调用MEC的能力,需先对待发送的API消息报文进行数字签名,后续MEC的API Gateway收到消息时,用公钥对该消息报文进行签名认证。如果认证通过,说明该消息来自于许可的企业第三方APP,可正常处理业务流程;否则认为该消息来自非授权的第三方APP,拒绝该消息的进一步处理,并产生告警信息,通知运营商和第三方排查隐藏在第三方数据中心的恶意软件。
2.4 软件版本完整性可信设计
软件版本从开发者交付到安装部署,一般经过如下流程:开发者制作版本→开发者发布版本→版本经
过互联网传输到运营商版本服务器→MEC站点从版本服务器下载版本→MEC把版本加载到虚拟机中。在整个流程
步骤4:将Hash-Y、版本Image以及版本Image
Header合并,得到签名完成的版本。
软件开发者就可通过互联网把签名完成的版本发布给运营商。如果在版本文件传输过程中被非授权方拦截并植入恶意软件,运营商通过公钥能验证版本文件是否被篡改过。
软件版本文件可信验证步骤:
(1)运营商从软件开发者获取公钥,对Hash-Y进行验签,得到Hash-X;
(2)对版本中的Image Header和Image一起进行MD5运算,得到Hash-X';
(3)将Hash-X和Hash-X'进行比较,如果一致则说明版本可信。
运营商验证软件版本完整可信后,把版本文件保存在版本服务器,供各个MEC站点下载。一般版本服务器集中部署在中心机房,各个MEC站点分布在边缘,版本从服务器传输到MEC边缘站点的过程中,非授权用户可能拦截版本文件,并植入恶意软件。因此MEC站点接收版本文件后,需进行可信验证,验证原理同“软件版本文件可信验证步骤”。
当MEC系统加载软件版本到虚拟机时,MEC系统数字证书、软件版本等做可信检测,确保这些资料来源于正确的MEC设备提供商,没有第三方假冒的资料。
运营商建设MEC站点阶段,需要按照2.1章节描述的方法,构建多层次的安全防护机房。工程人员在安装配置MEC系统时,需要启用基于TPM的可信计算功能,并关闭未使用的USB接口、网络接口、服务。在组网方面,需要划分可信任网络域和DMZ网络域,把UPF等运营商专用的模块放在可信任网络域,把能力开放API Gateway 等面向第三方应用的模块放在DMZ网络域。在做MEC 和第三方APP互联互通时,运营商需要向第三方提出安全技术标准和安全管理流程要求,只有第三方APP满足条件后,运营商才能许可第三方APP和MEC进行互联互通,并通过数字签名技术对第三方APP进行可信度验证。
运营商运维MEC阶段,并不需要运维人员在MEC 站点值守,主要原因是MEC站点多、位置偏远,安排大量值守人员会带来高成本。运营商可采用远程视频监控、日志审计和定期远程巡检的方式来监控MEC站点是否处于可信状态。当运营商升级MEC站点的软件版本时,需要采用2.3章节描述的方法,对软件版本进行完整性和可信度检测。在升级过程中,该软件版本受到
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论