利用可信计算技术增强MEC的安全性.docxVIP

利用可信计算技术增强MEC的安全性 　　【摘要】 　　介绍了mec安全问题的特征，分析了可信计算技术增强mec安全的可行性，提出了mec物理安全可信设计、mec能力开放可信设计、软件版本完整性可信设计等关键技术，最后结合mec部署的特点提出了安全防护的建设建议。 　　【关键词】mec;安全;可信计算 　　doi：10.3969/j.issn.1006-1010.2020.04.013中图分类号：tn929.5 　　文献标志码：a文章编号：1006-1010（2020）04-0059-06 　　引用格式：陆威，王全.利用可信计算技术增强mec的安全性[j].移动通信，2020，44（4）：59-64. 　　enhancingmecsecuritywithtrustedcomputingtechnology 　　luwei，wangquan 　　（ztecorporation，nanjing210012，china） 　　[abstract] 　　thispaperintroducesthecharacteristicsofmecsecurityissues，analyzesthefeasibilityofenhancingmecsecuritybytrustedcomputingtechnology，proposeskeytechnologiesoftrusteddesignsformecphysicalsecurity，meccapabilityexposure，andsoftwareversionintegrity.finally，basedonthemecdeploymentcharacteristics，constructionsuggestionsareproposedforsecurityprotection. 　　[keywords]mec;security;trustedcomputing 　　0引言 　　5g作为新一轮信息技术变革的关键基础设施，为各行各业数字化转型创造了新的机会。工业互联网是5g的一个重要应用场景，近来获得了迅猛发展，各类应用逐步渗透到社会生活的方方面面，实现了各种生产要素的互联互通和智能化处理，让大量的机器每时每刻都在自动地相互协作，极大地延伸了人的智力和体力。但工业互联网对社会发展具有两面性，在网络正常时能极大地促进社会生产能力，在网络出现大规模安全故障时，会中断整个产业链的协作，导致经济安全和国家安全问题。因此5g安全是工业互联网安全、经济安全、国家安全的最底层的基石，需要有高可靠的安全措施保障社会的正常运行。 　　3gpp标准组织已为5g制定了很多安全技术标准，但3gpp为解决某些垂直行业应用的高可靠低时延需求时，引入了etsi定义的mec（multi-accessedgecomputing）技术，而etsi并没有对mec提供完整的安全保障技术，需要根据mec的应用场景，增强mec的安全技术。 　　mec的主要思想是把计算和网络处理能力尽量下沉到接入网附近，缩短终端和应用之间的传输路径，从而降低业务报文的传输时延，节省骨干网的传输资源[1]。5g借助于网络边缘的mec，提供高质量的embb业务体验和高可靠极低时延的urllc业务[2]。mec给5g业务带来好处的同时，也带来了两类安全問题。一类是通用的安全问题，例如操作系统漏洞、网络攻击、数据泄露等，业界已有很多成熟的方法针对这些问题做好安全防护，例如操作系统安全加固技术、防火墙技术、数据加密技术等，本文不做详细介绍[3]。另一类是mec特有的安全问题，即mec分布式部署在网络边缘，机房无人值守，非授权人员有机会引入安全问题[4]。本文从可信计算概念的角度，介绍了如何采用可信计算技术来保障mec的安全。 　　1mec安全问题分析 　　mec整体架构顺从etsimec和nfv规范，主要由cots（commercialoff-the-shelf，商用现成品）服务器、交换机、防火墙、边缘云平台、upf（userplanefunction，用户面功能）、mep（multi-accessedgeplatform，多接入边缘平台）、能力开放网关等构成[5-7]。现有的安全技术对mec的多个层面做了安全保护。 　　在操作系统层面，有一套完整的安全加固手段，关闭未使用的端口和服务，及时打上漏洞补丁。在网络层面，根据业务类型划分相互隔离的网络平面，在不同的安全域间部署防火墙。在虚拟化层面，采用虚机隔离技术保证各虚机间不能相互访问。在管理账户接入方面，可以根据账户角色分配权限，并采用强密码策略和双因子认证方