5G局域MEC场景下的产业园区安全协同方法研究

5G局域 MEC场景下的产业园区安全协同方法研究

郭仲勇 1，潘恒 2，张宏元 1，梁勇利 1，许高锋 1

（ 1.河南中盾云安信息科技有限公司，郑州 450018； 2.中原工学院前沿信息技术研究院，郑州 450007）

摘要：目前企业自建5G网络存在成本高、安全风险多、协同困难等诸多问题。产业园区作为企业集聚区，建立5G安全共享应用环境，可以极大提升对企业数字化服务及孵化能力。为此，本文提出一个5G局域MEC场景的园区安全协同方案。该方案采用5G+MEC方式，设计并实现了增强终端UE和感知层物链网安全网关，设计并开发部署边缘安全应用，构建了多方协同的园区区块链公共服务平台。该方案能够提高跨业务生态透明度和实现跨业务生态价值交换，切实加强服务型政府建设，带动更多的企业借助5G网络实现产业升级。

关键词：5G；网络切片；局域MEC；边缘应用；区块链

中图分类号：TN929.5 文献标识码：A

Research on Security Collaboration Method of Industrial

Park in 5G Local MEC Scenario

Guo Zhongyong ¹, Pan Heng²,Zhang HongYuan ¹, Liang Yong Li¹, Xu Gao Feng¹,

（1. HenanCnsecloud Information TechnologyCo.,Ltd.，Zhengzhou 450018, China;

2. Research Institute of Frontier Information Technology，Zhongyuan University of Technology，Zhengzhou 450007,China）

Abstract: Currently, enterprises self build their own 5G network with many problems such as high cost, many security risks, difficult coordination and so on. As an enterprise cluster, the establishment of 5G secure shared application environment in the industrial park can greatly improve the digital services and incubation abilities of enterprises. Therefore, this paper proposes a park security cooperation scheme for 5G local MEC scenario. The scheme adopts 5G + MEC mode, designs and implements the security gateway of enhanced terminal UE and perception level content chain network, designs, develops and deploys the edge security applications, and constructs a multi-party collaborative park blockchain public service platform. The scheme can improve the cross business ecological transparency, realize the cross business ecological value exchange, effectively strengthen the construction of service-oriented government and drive more enterprises to realize industrial upgrading with the help of 5G network, so as to realize the industrial upgrading with 5G network.

Keywords: 5G; network slicing; local MEC; edge application; blockchain

0 引言

5G与各垂直行业的融合发展是推动社会经济数字化转型的重要动力，5G MEC则是当前最主要的业务承载架构,是5G新基建的核心特征。通过5G基础网络提升园区网络技术服务能力，为园区内的企业提供更优质的网络技术服务，帮助高端装备制造、新材料、公共服务等方面的企业解决产业自动化、工业信息化等技术难题，提升对园区的管理与治理水平、促进园区内产业经济发展、助力园区高质量发展。目前5G切片还处于建设的初级阶段，网络切片技术的引入带来许多新的安全隐患与挑战，全面商用还在逐步推进中，受限于5G网络建网成本、交付模式、商业模式、终端能力与安全等诸多因素

^[1-2]。

本文提出一种基于5G局域MEC场景下的产业园区安全协同方案，通过面向园区企业的创新资源对接和配置服务，实现数据安全的共享与交换，利用数据提高管理与服务水平。在5G局域MEC部署场景下，通过网络切片等方式实现eMBB、URLLC、MLoT、V2X等对于不同行业不同业务的安全承载^[3-4]；支持企业业务数据本地流量卸载（LBO），为园区企业提供本地网络管道，通过增强隔离和认证能力，防止公网非法访问企业内网^[5-7]；基于5G网络，打造云、网、边、端、用一体化安全应用协同，5G技术融合密码、区块链、云计算、人工智能、物联网、边缘计算等技术融合^[8-9]，兼顾服务协同、管理协同、智能协同、数据协同、资源协同；通过区块链公共服务平台，推动网络和边缘计算深度融合，赋能数字经济发展，为园区数字化转型的企业更好的解决数据获取和互联互通，提高企业智能制造、信息化水平；构建边缘行业平台，汇聚多元生态体系，建立数据安全管理机制，依托产业数据、企业画像，利用数据精准匹配企业需求。

1相关技术

1.1网络切片

运营商在统一的基础设施上分离出多个虚拟的端到端网络，每个网络切片从无线接入网承载网再到核心网上进行逻辑隔离，以适配各种各样类型的应用。通过切片标识来标注不同的网络切片，切片标识可以为单一网络切片选择辅助信息(Single-Network Slie Selection Asistance information，S-NSSAI)，S-NSSAI是一个端到端的标识，即用户设备(User Equipment，UE)、基站、核心网设备都可以识别的切片标识。当UE需要在网络切片中进行业务数据传输时，需要先注册到网络切片中，收到网络的许可后，再建立传输业务数据的通路，即数据包单元(Packet Data Unit，PDU)会话。

1.2用户面功能（User Plane Function，UPF)

UPF是3GPP 5G 核心网系统架构的重要组成部分，主要负责5G核心网用户面数据包的路由和转发相关功能。UPF通过N4接口与会话管理功能（Session Management Function，SMF）进行交互，直接受SMF 控制和管理，依据SMF下发的各种策略执行业务流的处理。

1.3移动边缘平台（MEC Platform，MEP）

MEP为边缘应用提供服务化开放能力，包括：服务注册、服务发现、状态监控，本地分流（Traffic Rules Control）、DNS 服务（DNS handling），Local API网关、负载均衡器、防火墙，以及无线网络信息服务、位置信息服务、带宽管理服务等一系列无线网络能力服务。

1.4移动边缘应用（MEC Application，ME APP）

ME APP运行在虚拟化基础设施(Virtualized Infrastructure，VI）上的应用实例，可以通过Mp1参考点与移动边缘平台（MEC Platform，MEP）进行交互，以获取MEP平台的服务化开放能力。

1.5认证与鉴权

（1）主认证与鉴权：用户完成从3GPP和非3GPP网络接入5G网络时的认证。认证服务器功能(Authentication Server Function，AUSF)应能根据服务网络请求提供认证参数，并可在认证后向AMF提供用户永久标识符(Subscription Permanent Identifer，SUPI)。AUSF应能够支持5G AKA认证机制和EAP-AKA'认证机制。

（2）二次认证与鉴权：UE与外部数据网络（如业务提供方）之间的业务认证以及相关密钥管理，业务接入5G网络时，网络对于业务的授权。由第三方提供，企业为了自行对行业终端进行认证、鉴权和管理，部署企业AAA 服务对终端设备二次认证与鉴权，确保合法用户及合法终端才能访问相应的网络^[10-11]。

2 5G边缘计算安全方案设计

本文遵循3GPP、ITU、ETSI和CCSA等国际国内标准组织制定的相关技术标准和规范，提出基于5G局域MEC场景下的产业园区安全协同方法，构建基于5G局域MEC场景下的产业园区安全协同架构，如图1所示。

图1 基于5G局域MEC场景下的产业园区安全协同场景

Figure 1 Security collaboration scenario of industrial park based on 5G local area MEC scenarios

终端安全，对于移动终端设备^[12]

，通过增强安全SIM卡[13]、安全物联网卡、安全固件系以及应用和数据安全等技术^[14]，安全存储终端设备身份信息和密钥等信息，实现终端通过核心网的鉴权、业务平台二次鉴权、数据加密、隐私保护等，实现边缘相关网元和用户访问的安全防护^[15]。

感知层接入网关安全，在感知层部署5G安全网关^[16-17]，识别物联网终端设备，采集数据，通过网络切片技术传输数据。

MEC安全应用，接收、处理和转发来自现场层的数据流，提供智能感知、安全隐私保护、数据分析 智能计算、过程优化和实时控制等时间敏感服务。本文设计开发统一身份认证、时间戳、电子签约、区块链存证等安全APP^[18]，安全APP部署MEP平台之上，MEP为安全APP提供服务注册、服务发现、状态监控，本地分流（Traffic Rules Control）、DNS 服务（DNS handling），Local API 网关、位置信息服务等无线网络能力服务。租户通过订阅接口，调用相关服务。对于边缘云的用户和行业应用的私有数据(如加密key，个人身份信息，生物特征信息等)和关键算法IP，提供可信计算环境TEE(Trusted Execution Environment)，使得在TEE中运行的数据和算法能够保证其私密性和完整性^[19]。

2.1 终端安全

终端安全包括通讯安全和业务安全。通过密码技术，终端UE、网关与网络之间进行身份认证和密钥协商，终端对上下文信息加密传输，保证用户平面数据机密性和完整性，保护控制平面信令机密性和完整性。通过密钥载体安全、密钥算法合规性、边缘层安全应用等安全增强设计，为用户数据和业务应用提供安全保障。

2.1.1密钥载体安全

（1）高敏感业务：高敏感业务采用硬件载体，主要采用安全元件（Secure Element，SE）、可信执行环境（Trusted Execution Environment，TEE）等技术^[23]。SE具备极强的安全等级，密码运算、密钥的安全储存、物理真随机数发生等均在SE内实现，确保密钥及密码运算的安全性；TEE比SE的安全性要低，通过在芯片上划分安全性较高的隔离环境，需要保密的操做如指纹识别、数据加解密、安全认证等，在隔离环境中执行，通过接口与TEE通信。

（2）低敏感业务：运行低敏感业务的终端设备，采用虚拟机、容器等技术，在虚拟化环境中提供密码运算服务。本文在智能移动终端上创建虚拟密钥容器和虚拟密码设备，在虚拟密钥容器中存储密钥文件、数字证书等，并使用保护口令进行存取保护，在虚拟密码设备中进行密码运算^[24]。

2.1.2密钥算法合规性

采用标准的API函数提供密码服务，支持SM1、SM2、SM3、SM4、SM9等系列商用密码算法和AES、RSA、SHA256/512、ED25519等国际主流密码算法，提供数据加解密、签名验证、杂凑等密码运算服务，实现信息的机密性、完整性和有效性保护。

2.1.3 边缘层安全应用

在边缘层部署身份认证、电子签约、时间戳、区块链等安全应用程序，卸载到本地的业务可调用进行二次认证、电子签约、上链存证等服务，本文以终端UE调用边缘层电子签约应用为例，使用基于USBKey技术的可信虚拟终端技术，通过刷脸实名认证，下载数字证书，终端作为上链节点，流程图如图2所示。

图2 UE接入及调用电子签约服务流程图

Figure 2 Flow chart of UE accessing and invoking electronic subscription service

2.2 安全网关

安全网关搭载5G无线通信模组，支持5G NR Sub-6GHz频段以及5G独立组网（SA）和非独立组网（NSA）两种运行模式。本文选用汉威SS100网关进行安全设计，操作系统为Ubuntu 18.04.1 LTS系统，Docker为19.03.6版本，集成SJK-1823密码卡，采用F03X 5G模组。

2.2.1设备身份安全

安全网关身份信息及密钥存储在5G SIM卡和加密板卡内，密码计算在芯片内进行。在感知层，PLC、传感器、仪器仪表和各种控制器等与安全网关进行通信时，通过轻量级密码算法保障信息的机密性^[25]。在网络层，网关接入5G网络、MEC，经过主认证和（或）二次认证。

2.2.2 设备通信安全

1）数据及指令安全：在感知层，网关采集感知层终端数据，包括模拟量、数字量、开关量、视频、图像、语音等数据，需要通过轻量级加密算法对指令和采集的数据进行加密传输，网关对接收到的数据进行解密、解析、过滤、汇聚、处理、转换。在网络层，安全网关与5G网络、MEC通信时，通过5G SIM卡、加密板卡实现数据的加密传输。

2）防火墙：支持配置防火墙策略的包过滤，可以根据需求定制访问控制策略、访问控制表、NAT规则等保障网络不受外界攻击；物联网终端向安全网关传输数据时，能够阻止来自上层信息网的威胁。

3）协议识别与过滤：识别协议类型，根据协议白名单，阻断非授权的网络数据包。兼容多种主流工业实时以太网协议和工业总线协议，如Modbus tcp/rtu、profinet、 profibus-dp、opc ua等协议。

4）VPN：支持配置IPSec、GRE、L2TP、OpenVPN、数字证书，通过隧道技术、加解密技术、密钥管理技术和身份认证等技术，建立虚信道，在链路层和网络层，加密与压缩隧道数据，保障数据安全传输。

5）访问控制：按账户类型进行分级管理，能够对接入设备进行安全访问控制、疑似业务阻断，有效降低来自感知层的业务风险，减少网络层的攻击行为。

2.2.3轻节点管理

在安全网关中部署区块链BaaS服务提供的SDK，提供数据上链、数据验证、区块交易查询、智能合约等接口功能。数据采集程序通过智能合约调用上链接口，上传采集到的数据及其业务编号，共识节点对接收到的待上链数据进行共识，将结果上链存储；通过调用验证接口验证所存储数据是否被篡改；根据业务编号查询数据所在交易、所在区块，所在交易的源数据。

2.2.4 网关数据采集上链存证

智能传感器采集数据并上报到网关，网关通过签名、加密方式将采集到的数据推送到业务平台和边缘应用，业务平台可在边缘应用中验证网关身份、校验汇集数据是否被篡改，流程图如图3所示。

图3 数据采集及上链存证流程图

Figure 3 Flow chart of data collection and on-chain storage

2.3 5G MEC安全应用

MEC平台提供让App可以被发现、发布通知、消费和提供MEC服务的环境，本文基于5G边缘计算开源平台EdgeGallery^[26]，构建统一的MEC应用生态系统，APP开发、测试、发布、部署、调用步骤如下：

步骤一：集成开发，在一站式应用集成开发平台完成应用的集成开发，平台提供开放能力供开发者调用，支持模拟器沙箱和真实5G实验室环境，供用户完成应用的部署调试、验证应用功能。

步骤二：测试应用，开发者将应用发布到应用仓库之前，需要经过应用测试认证平台测试，该平台会根据用户选择的测试场景，自动化执行测试用例，并给出EdgeGallery认证报告。

步骤三：应用发布，测试通过的应用，将应用构建成应用镜像，可以将应用镜像发布到应用仓库中，也可发送到私有仓库或直接进行部署。

步骤四：应用部署，选择节点主机，配置远程主机资源，配置主机网络等，获取应用镜像，将镜像发布到远程主机进行安装并完成应用实例化。

步骤五：服务调用，业务平台配置边缘计算应用服务信息，业务平台在采集数据过程中，使用边缘应用进行管理授权设备、验证设备。

2.4 园区区块链公共服务平台设计

园区区块链公共服务平台由业务平台、数据交换与共享平台及区块链存证平台构成（如图1所示），本文重点对区块链存证平台、数据交换与共享平台的设计以及BaaS安全存证服务设计进行说明。

2.4.1区块链存证平台设计

本文选择云安链3.0作为区块链平台的底层基本平台，云安链提供BaaS服务，支持模块化、可扩展的开发方式，配合区块链网络的创建、管理、运行、维护组件，对应用提供快捷部署和可视化管理平台，降低了区块链应用的开发部署成本^[27]。本文通过可扩展的方式改进共识算法、增强节点安全机制，使用SM系列算法来防止欺骗攻击与重播攻击，使交易更加安全、稳定、高效，提高区块链平台可靠性与稳定性，区块链平台架构如图4所示。

图4 区块链存证平台架构

Figure 4 Blockchain certification platform architecture

区块链存证平台支持本地部署和云部署，实现对区块链节点的跨云部署支持，实现对公有云、私有云、混合云的虚拟机、Docker 容器等资源调度API 的封装，屏蔽各种云平台API 的差异性，对上层调用模块提供统一的资源管理接口；支持用户定制符合业务场景的区块链和计算资源，配置出块时间、区块大小、交易数量等运行参数，自适应共识算法，节点数量以及各节点的CPU、内存、存储、网络带宽等计算资源可灵活配置；支持智能合约的上传、发布、审核、安装、初始化、权限设置、升级等管理；支持对区块链网络和节点的运行状况进行监控报警；支持算法管理，支持软硬件加解密设备管理、隐私保护等安全管理；支持通过区块链浏览器查询区块链高度、交易数量、网络拓扑、安装的智能合约列表、具体交易情况等区块信息；提供存证、查证和通用智能合约调用API/SDK，业务平台通过调用相关API/SDK，实现业务数据的上链操作

^[28]。

2.4.2数据交换与共享平台设计

搭建基于联盟链的数据交换与共享平台，部署可信节点，连接数园区企业、行业主管部门、政务服务、相关委办局、园区管委会等单位，共同组成可信的区块链网络，平台架构如图5所示。

图5 数据交换与共享平台架构

Figure 5 Data exchange and sharing platform architecture

（1）将物联感知数据基于区块链及可信授权的跨部门跨区域共享与交换。通过链上授权链下交换、隐私保护机制实现企业数据授权访问。实现环保、燃气、供水、排水、供热等数据向环保、应急指挥、大数据局、税务、消防等各个政务部门基于区块链构建多方协作的数据格式标准、数据更新机制、安全可信的数据共享和授权访问机制,实现区块链数据治理协同^[29]，提升城市治理智慧化水平。

（2）基于区块链的信息资源目录，共享交换政务数据，如政务服务事项库、办件信息库、监管信息共享库、信用信息库等政务服务业务信息库，共享利用人口、法人、地理空间信息、电子证照等基础信息资源库。基于智能合约实现的身份认证、访问控制及数据共享^[30]，为园区企业、个人等提供全面、便利的“一网通办”服务，提高政务服务的自动化与智能化水平。

2.4.3 BaaS安全存证服务设计

采用http作为传输协议，使用post方式进行数据的传输工作，所有传输源内容采用json格式，字符串编码为：UTF-8。防止交易信息被篡改，采用签名+加密通信，获取到数据后双方要互相验证对方签名，只有验证通过后才能进行数据处理。

（1）公共参数

表1公共参数

（2）数字签名

使用SM3WithSM2作为数字签名算法，将post内容中的json各字段按照key1=value1&key2=value2拼接， key按照ASCII排序，对拼接后的内容使用开发者的私钥做签名，然后签名转为Base64编码。

（3）业务数据加密

使用SM4/ECB/PKCS5PADDING算法对业务数据加密,加密流程步骤如下：

步骤一：每次调用随机生成16字节密码；

步骤二：使用随机密码对业务数据加密；

步骤三：加密数据Base64编码。

（4）账户信息加密

使用SM4/ECB/PKCS5PADDING算法对账户信息加密，加密流程步骤如下：

步骤一：将业务数据中随机密码转为16进制字符串；

步骤二：拼接特定格式；

步骤三：使用BaaS服务公钥加密；

步骤四：加密数据Base64编码。

（5）存证服务

1）数据上链

功能描述：区块链轻节点服务数据上链接口，由数据采集程序调用。

API地址：http://{host}:{port}/api/save

2）查询存储数据

功能描述：根据流水号查询到数据所在交易、所在区块，所在交易的源数据，由平台端调用。

API地址：http://{host}:{port}/api/search/transaction

3）验证存储数据

功能描述：区块链存证系统BaaS服务 数据验证接口，由平台端调用。

API地址：http://{host}:{port}/api/search/verify

3结束语

随着5G商用步伐不断加快，将会有越来越多的行业借助5G网络实现产业升级。目前，存在园区企业5G网络建设成本高、安全风险点多、企业数字化共性安全应用重复建设、如何利用数据的支持来提升园区服务水平和管理水平等问题。为了兼顾成本、效率、效能等因素，使5G网络通信基础投资发挥更大的效益，进一步助力社会经济的数字转型，提出基于5G局域MEC场景下的园区安全协同建设方案。通过设计开发增强安全终端UE、开发部署边缘层安全网关、共建共享基站、开发部署5G边缘安全应用、搭建区块链公共服务平台等，有效保证云网边端用的协同与安全，为行业生态和商业模式的培育，为企业/行业用户的5G边缘计算提供方案参考。

参考文献

[1]刘建伟, 韩祎然, 刘斌,等. 5G网络切片安全模型研究[J].信息网络安全, 2020, 000(004):1-11.

[2]牛犇,游伟,汤红波.基于安全信任的网络切片部署策略研究[J].计算机应用研究, 2019, 036(002):574-579.

[3] 边缘计算产业联盟，工业互联网产业联盟.边缘计算安全白皮书[R].2019.

[4] 3GPP TS 33.501. Security Architecture and Procedures for 5G System[S], 3GPP.

[5]谢人超,廉晓飞,贾庆民,黄韬,刘韵洁.移动边缘计算卸载技术综述[J].通信学报,2018,39(11):138-155.

[6]中国信通院发布《面向行业5G网络架构白皮书》 [J].电信工程技术与标准化. 2019(11).

[7]《5G网络安全标准化白皮书》发布[J].信息网络安全,2021,21(06):98.

[8]杨峰义,谢伟良,张建敏.5G无线网络及关键技术[J].通信学报,2017,38(03):184.

[9]IMT-2020（5G）推进组.5G智慧城市安全需求与架构白皮书[R].2020.

[10] 3GPP Technical Specication Group Services and System Aspects, “Security architecture andprocedures for 5G system（Release 17）[S] ,” 3GPP TS 33.501, V17.1.0(2021-03). http://www.3gpp.org.

[11]李强.5G移动终端认证状态漫游和传递方法[J].电子科技大学学报,2018,47(05):680-685.

[12]中国电信.中国电信云终端白皮书[R].2020.

[13]中国电信.中国电信5G SA安全增强SIM卡白皮书[R].2020.

[14]物联网安全创新联合实验室.物联网终端安全白皮书[R].2019.

[15]中国移动研究院.中国联通研究院.5G智能终端切片白皮书[R].2020.

[16]陈文艺,高婧,杨辉.物联网网关实时双向通信模块化设计[J].计算机工程与设计,2021,42(05):1215-1221.

[17]邓见光,袁华强,张剑,潘晓衡.综合安全网关产品的设计与实现[J].计算机工程与设计,2012,33(10):3788-3791+3796.

[18]中国移动5G联合创新中心.区块链+边缘计算技术白皮书[R].2020.

[19]宁振宇, 张锋巍, 施巍松. A Study of Using TEE on Edge Computing[J]. 计算机研究与发展, 2019, 056(007):1441-1453.

[20]刘洁.面向工业园区的5G垂直组网类服务探讨[J].移动通信,2020.

[21]王继梅.5G网络技术在智慧园区中的典型应用[J].中国新通信,23(8):2.

[22]华为.埃森哲（中国）.未来智慧园区白皮书[R].2020.

[23]廖会敏,石欣,薛真.基于TEE+SE的移动终端数字证书应用研究[J].软件导刊,2020,19(05):164-167.

[24]张亚飞. 基于可信执行环境的智能密码钥匙设计与实现[D].西安电子科技大学,2014.

[25]张景芝. 面向物联网应用的轻量级分组密码算法的设计与分析[D].电子科技大学,2020.

[26]任旭东.开源促进5G MEC构建多边共赢产业协作关系[J].通信世界,2020(17):32-33.

[27]中国信通院.区块链白皮书[R].2020.

[28]可信区块链推进计划.区块链即服务平台BaaS白皮书[R].2019.

[29]宋俊典,戴炳荣,蒋丽雯,等.基于区块链的数据治理协同方法[J].计算机应用，2018, v.38;No.337(09):58-64.

[30]沈海波,陈强,黄海.面向物联网的基于智能合约的认证和授权方案[J].计算机应用与软件, 2020，v.37(01):315-319.

作者简介

郭仲勇（1973-），男，本科；主要研究方向：信息安全、区块链技术、物联网安全。

潘恒（1977-），女，博士，主要研究方向：网络系统安全态势评估、区块链技术。

张宏元 （1993-），本科；主要研究方向和关注领域：信息安全、区块链技术。

梁勇利 （1989-），本科；主要研究方向和关注领域：网络安全、区块链技术。

许高峰 （1986-），硕士；主要研究方向和关注领域：商用密码、区块链技术。

*基金项目：2020年度河南省重大公益专项（201300210300）