劉佳佳，吳 昊，李盼盼

1.北京交通大學(xué) 軌道交通控制與安全國家重點實驗室，北京100044

2.北京交通大學(xué) 電子信息工程學(xué)院，北京100044

新基建的整體布局加快了中國鐵路向數(shù)字化、智能化發(fā)展的轉(zhuǎn)型。鐵路的智能化建設(shè)離不開信息通信技術(shù)與鐵路業(yè)務(wù)的深度融合，IMT-2020的5G促進(jìn)小組發(fā)布了有關(guān)“5G愿景和要求[1]”的白皮書，其中將高移動性的鐵路和超高密度的地鐵定義為5G的兩種典型方案[2]。未來智能鐵路將采用云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、北斗定位、5G通信、人工智能等新技術(shù)，實現(xiàn)鐵路智能建造、智能裝備、智能運營等水平的全面提升?？紤]到自動列車駕駛，鐵路實時高清視頻監(jiān)控等基于5G技術(shù)的新興業(yè)務(wù)需要更強大的計算能力，更廣泛的海量連接以及更低的處理延遲[3]。傳統(tǒng)的基于云的集中處理模式無法滿足差異化、低時延、密集化的網(wǎng)絡(luò)接入和服務(wù)需求，因此智能鐵路將引入邊緣計算作為云計算的補充。

移動邊緣計算（Mobile Edge Computing，MEC）的概念最初由歐洲電信標(biāo)準(zhǔn)化協(xié)會（ETSI）提出，在無線接入網(wǎng)內(nèi)靠近移動用戶終端的位置提供IT和云計算能力[4]，將云計算平臺從移動核心網(wǎng)絡(luò)內(nèi)部遷移到移動接入網(wǎng)邊緣，提供超低延遲和高帶寬的服務(wù)環(huán)境，實現(xiàn)本地化、近距離、分布式部署。作為5G新型網(wǎng)絡(luò)架構(gòu)之一，MEC非常適合應(yīng)用在智能鐵路超可靠低時延（Ultra Reliable Low Latency Communication，URLLC）場景中。越來越多的智能鐵路業(yè)務(wù)需要對大數(shù)據(jù)進(jìn)行即時處理、傳輸和計算，例如車載設(shè)備檢測數(shù)據(jù)實時處理、列車監(jiān)控視頻實時分析、檢修圖像實時分析、旅客娛樂辦公等，因此對帶寬、時延等傳輸質(zhì)量有著極高的要求。通過在更靠近終端側(cè)的基站位置部署MEC作為中心云的補充，就近為終端提供網(wǎng)絡(luò)和應(yīng)用服務(wù)，實現(xiàn)通信、計算與存儲資源的高效融合部署與彈性分配[5]。

MEC既繼承了中心計算的優(yōu)勢，又面臨和云計算相似的安全和隱私威脅，包括但不限于不安全的通信協(xié)議、虛擬化安全、鑒權(quán)和權(quán)限管理以及數(shù)據(jù)安全等。另一方面，由于增加了大量的分布式基礎(chǔ)設(shè)施和計算、通信過程，MEC具有的共生融合、按需鄰近部署、虛擬化構(gòu)建，基于用戶感知的定制化服務(wù)等特性會帶來新的安全和隱私問題，且更具威脅性。此外，高速鐵路場景復(fù)雜，網(wǎng)絡(luò)需求特點包括用戶群密集分布且高速移動，帶寬需求量大，移動終端多樣性，終端位置可預(yù)測性等；高速移動場景的網(wǎng)絡(luò)接入涉及無線接入網(wǎng)絡(luò)，車地通信網(wǎng)絡(luò)等多種異構(gòu)網(wǎng)絡(luò)并存和列車的高速移動給車地?zé)o線傳輸帶來的無線信道衰落、多普勒效應(yīng)、頻繁的小區(qū)切換問題[6]。這些使得邊緣服務(wù)器更容易受到黑客入侵、敏感數(shù)據(jù)被竊取等威脅，因此，MEC作為實現(xiàn)智能鐵路中超可靠低延遲場景下的關(guān)鍵技術(shù)，其安全問題不容忽視。研究如何保障鐵路5G邊緣計算安全，是鐵路5G移動通信MEC實施部署的前提和基礎(chǔ)。

1 MEC安全威脅

鐵路5G MEC具有運行資源有限、終端設(shè)備數(shù)據(jù)直接接入和支持設(shè)備移動性等特征，因此，除了面臨云計算系統(tǒng)普遍存在的安全問題之外，還在基礎(chǔ)設(shè)施、數(shù)據(jù)資源、設(shè)備間交互和終端設(shè)備移動性等方面面臨新的安全威脅[7]。圖1所示為鐵路5G移動通信系統(tǒng)MEC面臨的主要安全威脅，根據(jù)終端業(yè)務(wù)的數(shù)據(jù)流和攻擊路徑來看，以底層基礎(chǔ)設(shè)施提供的計算、存儲、網(wǎng)絡(luò)資源為基礎(chǔ)，鐵路5G移動系統(tǒng)網(wǎng)絡(luò)和應(yīng)用服務(wù)能力通過能力開放機(jī)制以提供更加滿足差異化業(yè)務(wù)需求的網(wǎng)絡(luò)服務(wù)。部分核心網(wǎng)功能跟隨MEC下沉到邊緣數(shù)據(jù)中心，增大了核心網(wǎng)的攻擊面，且MEC節(jié)點靠近網(wǎng)絡(luò)邊緣，外部環(huán)境可信度降低，管理控制能力減弱，使得MEC平臺和MEC應(yīng)用處于相對不安全的物理環(huán)境。

圖1 鐵路5G移動通信系統(tǒng)MEC安全威脅

1.1 終端安全威脅

（1）拒絕式服務(wù)攻擊（DDoS）

邊緣設(shè)備計算資源有限，如果缺乏管控，DDoS攻擊可通過部署的分布式資源進(jìn)行實施，以攻擊邊緣服務(wù)器[8]。智能鐵路場景下，由于列車的高速移動性和沿線邊緣服務(wù)器的緊密相關(guān)性，單個邊緣服務(wù)器遭受拒絕式服務(wù)攻擊可能會對整個列車運行系統(tǒng)產(chǎn)生影響，引起惡劣后果。

（2）中間人攻擊

中間人攻擊通過在兩個或多個通信方或?qū)嶓w之間存在惡意第三方來影響邊緣網(wǎng)絡(luò)的所有功能元素[9]。邊緣服務(wù)器作為云服務(wù)中心和車載及用戶終端設(shè)備的中間連接，一旦被惡意攻擊者入侵并控制，可能導(dǎo)致終端設(shè)備和云中心的交互數(shù)據(jù)被竊聽，返回虛假指令信息和錯誤結(jié)果。

（3）惡意入侵

作為整個智能鐵路通信系統(tǒng)中的組成部分，車載終端、普通用戶終端以及傳感器上傳給邊緣服務(wù)器大量的數(shù)據(jù)和請求服務(wù)，它們不僅是服務(wù)的請求者，也是服務(wù)的參與者[10]，惡意用戶通過入侵用戶設(shè)備和傳感器，向邊緣服務(wù)器注入虛假信息或提交惡意請求，導(dǎo)致邊緣服務(wù)器做出錯誤的判斷和指令，對列車運行和調(diào)度、乘客電子票務(wù)業(yè)務(wù)，將產(chǎn)生惡劣的影響。

（4）終端通信安全

接入網(wǎng)絡(luò)的傳感器終端數(shù)量巨大，資源受限同時安全能力差[11]。按照傳統(tǒng)的接入方式，海量傳感器終端并發(fā)接入極有可能產(chǎn)生信令風(fēng)暴，導(dǎo)致網(wǎng)絡(luò)擁塞，列車運行中無法做出對周圍環(huán)境的監(jiān)測及預(yù)判，可能會造成無法預(yù)料的事故。

1.2 接入網(wǎng)安全威脅

（1）終端通信安全

惡意用戶可通過干擾器發(fā)送偽造的信號，中斷緩存塊與邊緣節(jié)點正在進(jìn)行的無線傳輸，并進(jìn)而阻止用戶訪問緩存的內(nèi)容。例如，列車在高速移動場景下切換時會將內(nèi)容預(yù)緩存在基站邊緣服務(wù)器，若緩存內(nèi)容的傳輸被惡意中斷，導(dǎo)致網(wǎng)絡(luò)無法為用戶提供一致性的高質(zhì)量數(shù)據(jù)流。

（2）數(shù)據(jù)篡改及損毀

高速列車的移動性會引發(fā)無線信道和車載計算資源的動態(tài)變化，可能導(dǎo)致數(shù)據(jù)傳輸失敗和產(chǎn)生很大延遲，因此很難檢測到某些篡改行為。此外，邊緣服務(wù)器存儲、加密、備份設(shè)施不夠完善，惡意攻擊者可入侵或損壞邊緣服務(wù)器數(shù)據(jù)[12]。例如，鐵路沿線基站邊緣服務(wù)器的數(shù)據(jù)被損壞，對所屬區(qū)域軌道和途徑列車的判斷失誤，則會影響列車的調(diào)度指揮，甚至引發(fā)事故。

1.3 邊緣計算節(jié)點安全威脅

（1）硬件安全支持不足

MEC將核心網(wǎng)的部分功能下沉到近軌基站提供高質(zhì)量服務(wù)的同時，拉近了攻擊者與鐵路MEC基礎(chǔ)設(shè)施之間的距離，造成MEC物理設(shè)備毀壞風(fēng)險提升[13]。此外，鐵路大部分途經(jīng)隧道與高架橋，MEC節(jié)點面臨著各種自然災(zāi)害的威脅，可能會造成服務(wù)的突然中斷和數(shù)據(jù)的意外丟失。

（2）偽邊緣服務(wù)器

MEC節(jié)點一般沿鐵路呈特有的線型廣域分布，例如可選擇在一個車站部署一個MEC服務(wù)器，因而邊緣服務(wù)器數(shù)量龐大，監(jiān)管困難，攻擊者可通過部署偽邊緣服務(wù)器，誘使移動終端和云中心將數(shù)據(jù)和任務(wù)卸載至偽邊緣服務(wù)器，竊取敏感信息[12]。此外，高速移動的特性和地理環(huán)境的復(fù)雜性會造成頻繁的網(wǎng)絡(luò)切換，為了保證服務(wù)的連續(xù)性，需要同時連接兩個邊緣服務(wù)器，這可能導(dǎo)致偽邊緣服務(wù)器惡意獲取上下路兩個邊緣服務(wù)器關(guān)鍵信息。

（3）核心設(shè)備安全

針對鐵路URLLC場景下的業(yè)務(wù)需依賴網(wǎng)絡(luò)部署MEC邊緣計算能力，但是MEC部署位置如果脫離控制范圍，將增加核心設(shè)備的安全風(fēng)險。

1.4 邊緣應(yīng)用安全威脅

列車高速移動場景下，用戶群集中在列車車廂中，不同終端設(shè)備的無線接入方式具有較大的差異性，大多采用缺乏加密、防篡改等安全保護(hù)的WIFI、藍(lán)牙等通信協(xié)議[12]。

2 鐵路5G移動通信系統(tǒng)MEC需求與挑戰(zhàn)

2.1 MEC安全需求

（1）組網(wǎng)安全

組網(wǎng)安全包括鐵路5G移動通信網(wǎng)絡(luò)平面隔離，不同安全域隔離和核心網(wǎng)隔離三方面[7]。平面隔離應(yīng)支持管理、業(yè)務(wù)和存儲平面相互隔離；不同安全域隔離指旅客應(yīng)用、車載應(yīng)用和運營商應(yīng)用之間進(jìn)行安全隔離；核心網(wǎng)安全隔離取決于用戶面功能與核心網(wǎng)的部署位置，如果兩者之間存在可信鏈接，不需要安全隔離，反之應(yīng)部署防火墻等進(jìn)行安全隔離。

（2）接入安全

列車高速運行時數(shù)據(jù)服務(wù)難免發(fā)生跨節(jié)點切換，因而必須解決站點間相互信任、網(wǎng)絡(luò)連接上下文如何安全傳遞等安全問題[14]。

（3）身份、憑證和計費

列車高速運行下，大量異構(gòu)的終端設(shè)備要與基站MEC服務(wù)器在正常的切換響應(yīng)時間完成身份認(rèn)證和高效的切換[15]。另一方面，由于MEC系統(tǒng)的固有異質(zhì)性，鐵路客運票務(wù)MEC、車站安防MEC等不同類型的邊緣服務(wù)器可能由多個供應(yīng)商部署，且不同類型的移動設(shè)備共存使得傳統(tǒng)的云中心與設(shè)備之間的信任機(jī)制也不再適用，計費和合法監(jiān)聽等網(wǎng)絡(luò)安全問題需要進(jìn)一步解決。

2.2 邊緣基礎(chǔ)設(shè)施安全需求

（1）物理安全

MEC的部署位置由鐵路業(yè)務(wù)的應(yīng)用場景所決定，可能位于無人值守的沿路鐵軌旁，環(huán)境復(fù)雜惡劣，可能靠近用戶，還可能部署在邊緣數(shù)據(jù)中心，但因其處于相對開放的環(huán)境中更容易遭到物理性的破壞，不僅有必要保障MEC基礎(chǔ)設(shè)施的物理安全，提供安全的運行環(huán)境，更應(yīng)該使MEC節(jié)點具備在嚴(yán)苛，惡劣環(huán)境下的持續(xù)工作的能力。

（2）用戶面安全

UPF（User Plane Function，用戶面功能）下沉到網(wǎng)絡(luò)邊緣，容易遭遇不可控的原因?qū)е挛锢斫佑|攻擊和用戶面數(shù)據(jù)被竊取等[16]，需要實施觸發(fā)告警等物理安全保護(hù)。針對鐵路場景下不同的MEC部署模式，可選擇內(nèi)置安全功能實現(xiàn)環(huán)境的可信保護(hù)。

（3）MEC平臺安全

MEC平臺應(yīng)支持物理安全保護(hù)，防止其受到木馬或者病毒攻擊。API（Application Programming Interface，應(yīng)用程序接口）網(wǎng)關(guān)應(yīng)支持對MEC平臺的API調(diào)用進(jìn)行認(rèn)證和授權(quán)、安全審計[17]。

（4）邊緣編排和管理系統(tǒng)安全

鐵路5G邊緣網(wǎng)絡(luò)編排和管理系統(tǒng)應(yīng)支持對通信的身份認(rèn)證，并對列車及旅客的關(guān)鍵數(shù)據(jù)進(jìn)行CIA（Confidentiality，Integrity，Availability，機(jī)密性、完整性、可用性）保護(hù)；應(yīng)支持MEC應(yīng)用生命周期管理的相關(guān)操作安全，應(yīng)支持驗證MEC APP應(yīng)用鏡像的完整性等[7]。

2.3 鐵路邊緣數(shù)據(jù)特有安全需求

（1）數(shù)據(jù)不出路網(wǎng)

針對列車控制調(diào)度，運行維護(hù)等敏感度高的關(guān)鍵數(shù)據(jù)，要求數(shù)據(jù)不出路網(wǎng)。邊緣節(jié)點應(yīng)根據(jù)不同用戶要求按需部署5G用戶面功能等網(wǎng)絡(luò)實體，實現(xiàn)數(shù)據(jù)在路網(wǎng)APP內(nèi)實現(xiàn)閉環(huán)。

（2）鐵路內(nèi)容安全

車載CCTV視頻、智慧車站等內(nèi)容具有公眾效應(yīng)，若被惡意攻擊者丟棄、延遲或修改傳輸數(shù)據(jù)，可能嚴(yán)重影響社會穩(wěn)定，需要對內(nèi)容設(shè)置安全訪問控制權(quán)限[17]。此外，設(shè)計適用鐵路5G邊緣計算的內(nèi)容信息安全審核措施，使邊緣節(jié)點保障內(nèi)容安全。

（3）鐵路5G專網(wǎng)專用

針對自動駕駛等對網(wǎng)絡(luò)可靠性、覆蓋性等有嚴(yán)格要求，需要使用專有基站和頻率。一方面需要考慮鐵路專有基站和運營商之間的安全隔離，防止專用基站對5G核心網(wǎng)的惡意攻擊；另一方面，鐵路專用基站應(yīng)支持黑名單機(jī)制，不允許未經(jīng)授權(quán)的路網(wǎng)外用戶接入專用基站。

2.4 邊緣應(yīng)用安全需求

（1）終端安全需求

終端應(yīng)遵循最小化原則，定期使用檢測軟件進(jìn)行漏洞檢測[7]。對于存儲鐵路敏感數(shù)據(jù)的物聯(lián)網(wǎng)終端，應(yīng)實施訪問控制和數(shù)據(jù)保護(hù)。當(dāng)終端想要訪問邊緣APP時，需對網(wǎng)絡(luò)進(jìn)行認(rèn)證以防止偽造的APP，導(dǎo)致信息泄露或DDoS攻擊等攻擊。

（2）能力開放安全需求

鐵路5G移動通信網(wǎng)絡(luò)可以通過能力開放接口按照不同業(yè)務(wù)需求編排定制化的網(wǎng)絡(luò)服務(wù)[18]。當(dāng)MEC節(jié)點能力被其他平臺調(diào)用時，應(yīng)構(gòu)建身份認(rèn)證、可信計算等一系列措施，支持對調(diào)用方的身份認(rèn)證、授權(quán)和審計，對調(diào)用數(shù)據(jù)的傳輸進(jìn)行保護(hù)，同時配合資源動態(tài)部署與按需組合，為智能鐵路網(wǎng)絡(luò)提供靈活、可定制的差異化安全能力。

2.5 隱私安全需求

2.5.1 用戶隱私

（1）身份和數(shù)據(jù)隱私

以旅客為中心的業(yè)務(wù)包含大量的隱私信息，攻擊者可通過假冒合法用戶與不同功能實體間交互來訪問數(shù)據(jù)庫竊取用戶隱私。此外，云票務(wù)平臺的數(shù)據(jù)交互包含從公網(wǎng)售票模式發(fā)起的非內(nèi)網(wǎng)和車站級售票發(fā)起的內(nèi)網(wǎng)數(shù)據(jù)傳輸和訪問，數(shù)據(jù)交互環(huán)節(jié)較多[19]，一旦發(fā)生數(shù)據(jù)泄露，攻擊者能夠推測出旅客的生活模式等隱私信息，需要基于用戶偏好及行為進(jìn)行差異化隱私保護(hù)。

（2）位置隱私

列車的移動速度和前進(jìn)方向是固定的，從而可以動態(tài)定位和預(yù)估旅客的位置。此外，諸如行程推薦服務(wù)，用戶為了獲得基于LBS的服務(wù)，需要匯報自己的位置和相應(yīng)的服務(wù)請求，用戶通常會具有相對固定的興趣點，極可能會重復(fù)使用相同的邊緣服務(wù)器[20]，這使得用戶的位置信息非常容易預(yù)測，攻擊者通過用戶經(jīng)常使用的位置，利用數(shù)據(jù)挖掘技術(shù)使第三方能夠分析隱私數(shù)據(jù)，獲得更多的用戶信息。

2.5.2 網(wǎng)絡(luò)和業(yè)務(wù)隱私

邊緣計算同云計算相同，將部分或全部終端用戶的隱私數(shù)據(jù)外包給邊緣數(shù)據(jù)中心，用戶只具備數(shù)據(jù)的所有權(quán)而非控制權(quán)，這將導(dǎo)致嚴(yán)重的數(shù)據(jù)丟失、非法數(shù)據(jù)操作等問題[21]。此外，“公專網(wǎng)融合”的策略存在鐵路5G網(wǎng)絡(luò)安全威脅，需要借鑒其他專網(wǎng)、公網(wǎng)的安全防范措施，實現(xiàn)鐵路公專網(wǎng)系統(tǒng)隔離、業(yè)務(wù)隔離，構(gòu)建安全可信的鐵路5G網(wǎng)絡(luò)。

2.6 鐵路5G MEC公專融合通信安全

傳統(tǒng)的單純依賴鐵路專網(wǎng)建設(shè)無法滿足鐵路應(yīng)用業(yè)務(wù)的個性化需求，需要綜合鐵路專網(wǎng)和運營商公網(wǎng)資源[22]，同時利用邊緣計算技術(shù)實現(xiàn)公網(wǎng)的“專網(wǎng)化”，滿足差異化和碎片化業(yè)務(wù)的要求和泛在互聯(lián)。然而，鐵路公專網(wǎng)融合應(yīng)用天然存在網(wǎng)絡(luò)和信息安全風(fēng)險，開展鐵路5G邊緣計算中公專融合安全研究是鐵路5G應(yīng)用創(chuàng)新研究的重要組成部分。

2.6.1 鐵路公專網(wǎng)融合

網(wǎng)絡(luò)融合范圍不再是單一的公網(wǎng)或者鐵路專網(wǎng)，還包括了不同類型的網(wǎng)絡(luò)之間[23]。通過運營商公網(wǎng)作為專網(wǎng)的補充，解決鐵路全面覆蓋和高速數(shù)據(jù)業(yè)務(wù)應(yīng)用問題，繼續(xù)保留核心區(qū)域鐵路專網(wǎng)覆蓋，在公專網(wǎng)交疊覆蓋區(qū)域?qū)煞N標(biāo)準(zhǔn)的網(wǎng)絡(luò)和業(yè)務(wù)實現(xiàn)整合，充分發(fā)揮鐵路專網(wǎng)和公網(wǎng)各自的優(yōu)勢，實現(xiàn)“公專融合”。此外，三大運營商分別發(fā)布了關(guān)于5G垂直行業(yè)專網(wǎng)白皮書[24-26]，涵蓋5G行業(yè)專網(wǎng)的組網(wǎng)需求、網(wǎng)絡(luò)架構(gòu)、專網(wǎng)能力等多維度信息。5G鐵路專網(wǎng)+MEC可以為用戶提供從最基礎(chǔ)的網(wǎng)絡(luò)分流能力到各種CT-VAS（Value-Added-Service）/IT-VAS能力不同的組合，滿足鐵路行業(yè)對網(wǎng)絡(luò)以及PaaS能力的需求[24]。目前，根據(jù)安全隔離度和網(wǎng)絡(luò)時延的要求，5G專網(wǎng)中核心網(wǎng)部署方案分為全部網(wǎng)元下沉的5G專網(wǎng)、用戶面網(wǎng)絡(luò)資源下沉的5G專網(wǎng)、控制面及用戶面網(wǎng)絡(luò)資源下沉的5G專網(wǎng)三類[27]；根據(jù)專網(wǎng)的共享深度和定制化程度，可分為廣域形專網(wǎng)、時延型專網(wǎng)和安全類專網(wǎng)。

2.6.2 鐵路業(yè)務(wù)融合

業(yè)務(wù)融合是基于網(wǎng)絡(luò)融合，實現(xiàn)業(yè)務(wù)智能化，升級以語音呼叫和信令需求為中心的鐵路服務(wù)為視頻、數(shù)據(jù)融合的智能通信網(wǎng)智能旅客通信服務(wù)等，實現(xiàn)從核心網(wǎng)到終端，在公網(wǎng)覆蓋下支持全路業(yè)務(wù)、路局業(yè)務(wù)和站場業(yè)務(wù)，包括超視距軌道環(huán)境監(jiān)測預(yù)警、軌旁信號設(shè)備感知數(shù)據(jù)傳輸、編組站相關(guān)業(yè)務(wù)MEC應(yīng)用等，支持對公網(wǎng)、鐵專網(wǎng)用戶的統(tǒng)一編組、統(tǒng)一調(diào)度，實現(xiàn)網(wǎng)絡(luò)融合、功能融合、網(wǎng)絡(luò)智能化[28]。

2.6.3 鐵路終端融合

按使用場景將終端可劃分為車載類、手持類、物聯(lián)網(wǎng)類終端，或者結(jié)合鐵路業(yè)務(wù)功能可將終端劃分為語音類、數(shù)據(jù)類、視頻類終端等[22]。終端融合以網(wǎng)絡(luò)融合為基礎(chǔ)，包括一體化多模終端和應(yīng)用融合兩方面意義。前者指公專網(wǎng)融合后能夠在同一終端實現(xiàn)窄帶、寬帶、公網(wǎng)接入，滿足用戶不同場景的鐵路應(yīng)用需求；后者終端不僅可以支持集群業(yè)務(wù)等基礎(chǔ)業(yè)務(wù)，還可以實現(xiàn)基于智能系統(tǒng)的多媒體業(yè)務(wù)，實現(xiàn)終端的智能化。

2.6.4 鐵路公專網(wǎng)融合邊緣計算安全

（1）安全接入的身份驗證

鐵路5G組網(wǎng)部署方案的不同和接入網(wǎng)與核心網(wǎng)不同的部署方式會導(dǎo)致鑒權(quán)服務(wù)器功能進(jìn)行認(rèn)證時會有不同的流程及資源隔離方案[29]。應(yīng)該基于3GPP標(biāo)準(zhǔn)設(shè)計鐵路專網(wǎng)和公網(wǎng)定制化的身份認(rèn)證過程，必要時部署二次認(rèn)證機(jī)制，在運營商入網(wǎng)認(rèn)證的機(jī)制上，實現(xiàn)對邊緣計算節(jié)點之后鐵路專網(wǎng)應(yīng)用訪問的二次認(rèn)證。

（2）鐵路專網(wǎng)網(wǎng)絡(luò)認(rèn)證密鑰管理架構(gòu)與公網(wǎng)的一致性

專網(wǎng)設(shè)備在鐵路專網(wǎng)和公網(wǎng)之間移動時，需要提供零時服務(wù)中斷[29]，滿足低時延業(yè)務(wù)在邊緣高速移動涉及跨MEC切換場景下的業(yè)務(wù)連續(xù)性要求[30]。既要保證UE離開專網(wǎng)時公網(wǎng)的無縫覆蓋，還要保證UE離開公網(wǎng)時專網(wǎng)的無縫覆蓋。這需要鐵路專網(wǎng)建立與公網(wǎng)統(tǒng)一的認(rèn)證框架和密鑰體系，支持各種鐵路業(yè)務(wù)應(yīng)用場景下的身份鑒權(quán)。

（3）MEC APP認(rèn)證和對敏感數(shù)據(jù)的安全存儲

鐵路5G MEC通過API接口引入大量的第三方APP，承載不同類型的鐵路業(yè)務(wù)和數(shù)據(jù)。如果APP被黑客控制，可能利用能力開放接口對鐵路5G網(wǎng)絡(luò)發(fā)起攻擊、導(dǎo)致共享虛擬資源耗盡[31]，影響其他業(yè)務(wù)正常運行，甚至第三方通過MEC平臺劫持車載設(shè)備或者用戶的敏感數(shù)據(jù)，造成嚴(yán)重的列車誤判，隱私泄露等事故。

（4）鐵路專網(wǎng)網(wǎng)絡(luò)能力開放

鐵路安全能力開放保證開放的網(wǎng)絡(luò)能力安全地提供給第三方以及網(wǎng)絡(luò)的安全能力開放給第三方使用。根據(jù)業(yè)務(wù)的不同類別，基于專網(wǎng)和公網(wǎng)不同的安全能力設(shè)置專網(wǎng)和公網(wǎng)不同的認(rèn)證方式，增強安全性。

（5）鐵路專網(wǎng)多層次的安全隔離

多層次安全隔離是指專網(wǎng)與公網(wǎng)之間的系統(tǒng)隔離、業(yè)務(wù)隔離及加密管理，尤其是列車高速移動下跨區(qū)域?qū)＞W(wǎng)之間通信的安全管理等。

（6）安全機(jī)制與低時延的權(quán)衡

列車運行時根據(jù)業(yè)務(wù)質(zhì)量要求在帶寬和時延方面提供差異性的服務(wù)質(zhì)量保障，滿足超可靠低延遲場景下的關(guān)鍵業(yè)務(wù)，但是低時延需求造成復(fù)雜安全機(jī)制部署受限，接入認(rèn)證、鐵路數(shù)據(jù)傳輸安全保護(hù)、車載移動終端中切換等安全機(jī)制的部署都會增加額外的時延，無法滿足低時延業(yè)務(wù)的要求。從安全角度來看，需要優(yōu)化接入過程身份認(rèn)證的時延、數(shù)據(jù)傳輸安全保護(hù)帶來的時延，以及數(shù)據(jù)在網(wǎng)絡(luò)節(jié)點中加解密處理帶來的時延[32]。

3 MEC安全相關(guān)研究

3.1 標(biāo)準(zhǔn)進(jìn)展

（1）歐洲電信標(biāo)準(zhǔn)協(xié)會（ETSI）

ETSI在2014年組織了ETSI MEC ISG，旨在創(chuàng)建一個標(biāo)準(zhǔn)化的MEC開放環(huán)境，允許跨多供應(yīng)商多訪問邊緣計算平臺高效無縫地集成來自供應(yīng)商、服務(wù)提供商和第三方的應(yīng)用程序。目前ETSI發(fā)布的MEC安全標(biāo)準(zhǔn)及主要內(nèi)容見表1。

（2）第三代合作伙伴計劃（3GPP）

3GPP負(fù)責(zé)制定支持邊緣計算的5G系統(tǒng)架構(gòu)、本地分流和QoS保障等[33]。R16重點在為面向應(yīng)用場景的業(yè)務(wù)安全與能力開放安全進(jìn)行了增強，為邊緣計算提供安全保護(hù)能力，實現(xiàn)對5G系統(tǒng)的全面保障。表2詳細(xì)總結(jié)了3GPP制定的5G及MEC安全標(biāo)準(zhǔn)。

（3）其他組織和機(jī)構(gòu)

此外，NGMN聯(lián)盟更加側(cè)重于邊緣計算和網(wǎng)絡(luò)切片的標(biāo)準(zhǔn)化安全性[34]。中國移動攜手信通院、華為等產(chǎn)業(yè)伙伴在2020網(wǎng)絡(luò)安全大會發(fā)布《5G邊緣計算安全白皮書》[35]，提出了5G邊緣計算安全防護(hù)策略，方便行業(yè)用戶在開展5G邊緣計算及應(yīng)用的同時，指導(dǎo)行業(yè)提升5G邊緣計算安全防護(hù)能力。

表1 ETSI發(fā)布的MEC安全標(biāo)準(zhǔn)

表2 3GPP發(fā)布的MEC安全標(biāo)準(zhǔn)

3.2 相關(guān)研究

目前，已經(jīng)有一些文獻(xiàn)展開了針對互聯(lián)網(wǎng)或物聯(lián)網(wǎng)應(yīng)用場景的MEC安全性研究和方案設(shè)計，對于高安全要求的鐵路5G移動通信系統(tǒng)來說，可以借鑒這些研究所取得的部分經(jīng)驗和結(jié)果。

針對邊緣網(wǎng)絡(luò)安全挑戰(zhàn)，文獻(xiàn)[36]中提出DDoS協(xié)同防御架構(gòu)，通過考慮防御資源的使用效率和參加者的公平性，利用防御資源充足的MEC節(jié)點協(xié)助自身防御能力差的MEC節(jié)點。文獻(xiàn)[37]針對列控系統(tǒng)中的網(wǎng)絡(luò)攻擊，通過設(shè)計重播和偽造檢測算法檢測并以不中斷重要信息通信的方式動態(tài)響應(yīng)網(wǎng)絡(luò)攻擊，為主動列車控制提供網(wǎng)絡(luò)態(tài)勢感知的入侵檢測系統(tǒng)。文獻(xiàn)[38]通過5G MEC和備份云進(jìn)行相互協(xié)作的有效平衡來滿足對延遲敏感的應(yīng)用程序的位置感知要求，確保邊緣信息的安全。文獻(xiàn)[39]提出了一種有關(guān)多租戶和用戶移動性的針對5G網(wǎng)絡(luò)攻擊的橫向檢測系統(tǒng)，而無需考慮多個網(wǎng)絡(luò)流量封裝，且可以分配給幾乎所有的5G網(wǎng)絡(luò)段。該系統(tǒng)在沒有增加系統(tǒng)開銷的情況下，與IDS（Intrusion Detection System，入侵檢測系統(tǒng)）提供的時間相比沒有明顯的延遲，且具有可伸縮性。表3總結(jié)了鐵路網(wǎng)絡(luò)可以借鑒的邊緣網(wǎng)絡(luò)安全相關(guān)的解決方案。

為了抵抗惡意攻擊者攻擊脆弱的邊緣節(jié)點，例如無加密保護(hù)的沿軌或車載攝像機(jī)，影響MEC通信、存儲和緩存的安全，許多研究人員提出不同的解決方案。文獻(xiàn)[40]在具有隨機(jī)擾動的MEC網(wǎng)絡(luò)環(huán)境中部署MEC-IDS，在有效實現(xiàn)資源分配的同時保證身份認(rèn)證方案和通過發(fā)送友好干擾信號進(jìn)行防竊證安全性和穩(wěn)定性。文獻(xiàn)[41]研究MEC系統(tǒng)中的雙重UAV（Unmanned Aerial Vehicle，無人機(jī)）的輔助作用，作用分別是幫助地面終端設(shè)備（TD）計算。文獻(xiàn)[42]提出針對智能攻擊的抗干擾安全移動卸載方案，通過RL技術(shù)獲得關(guān)鍵的身份驗證參數(shù)輕量級的緩存協(xié)作方案。文獻(xiàn)[43]考慮車輛云計算各種技術(shù)特征的同時滿足HSR（High-Speed Rail，高速鐵路）上下文的特殊需求，解決由于高頻切換而導(dǎo)致的快速有效認(rèn)證問題。文獻(xiàn)[44]專注上行NOMA（Non-Orthogonal Multiple Access，非正交多址接入）的移動邊緣計算網(wǎng)絡(luò)中的安全卸載，無需了解竊聽者的信道狀態(tài)信息，通過對保密率、本地計算位和功率分配聯(lián)合設(shè)計為上行NOMA用戶最大化最小的防竊聽能力。表4總結(jié)了鐵路網(wǎng)絡(luò)中可以借鑒的邊緣節(jié)點的安全解決方案。

表3 邊緣網(wǎng)絡(luò)安全解決方案

針對邊緣數(shù)據(jù)安全挑戰(zhàn)，文獻(xiàn)[45]針對鐵路云服務(wù)的信息安全，提出一遍式輕量身份認(rèn)證的關(guān)聯(lián)數(shù)據(jù)加密方案，可以安全地防止差分、線性、偽造、篡改和統(tǒng)計攻擊。文獻(xiàn)[46]提出集成云和霧計算的支持有關(guān)設(shè)備移動性的數(shù)據(jù)分析和管理的架構(gòu)，通過SDN（Software Defined Network，軟件定義網(wǎng)絡(luò)）和NFV（Network Function Virtualization，網(wǎng)絡(luò)功能虛擬化）與NSC（Network Service Chaining，網(wǎng)絡(luò)服務(wù)鏈）模型協(xié)同工作，將Kerberos用于服務(wù)認(rèn)證來保護(hù)與授權(quán)移動設(shè)備的安全通信，抵御DDoS攻擊。

用戶隱私安全至關(guān)重要，文獻(xiàn)[47]提出了一種Ubi-PriSEQ框架，通過持續(xù)學(xué)習(xí)自適應(yīng)和動態(tài)地處理環(huán)境，制定策略并做出與無線電信道狀態(tài)，任務(wù)優(yōu)先級相關(guān)的決策，通過對SINR（Signal and Interference to Noise Ratio，信干燥比）、隱私度量、延遲進(jìn)行評估，可以在提供服務(wù)質(zhì)量和能源效率的同時保護(hù)隱私安全。文獻(xiàn)[48]提出了以MEC為關(guān)鍵樞紐的改進(jìn)的移動支持系統(tǒng)（MSS），該系統(tǒng)不僅可以保護(hù)用戶的隱私，還可以填補漫游用戶漫游時連接中斷的空白。文獻(xiàn)[49]提出了一個社會信任方案，考慮到基于信任具有MEC、高速緩存和D2D功能的單網(wǎng)絡(luò)管理系統(tǒng)中，該方案可以自動進(jìn)行最優(yōu)分配網(wǎng)絡(luò)資源。表5總結(jié)了鐵路網(wǎng)絡(luò)可以借鑒的邊緣數(shù)據(jù)和隱私安全相關(guān)的解決方案。

目前有關(guān)5G MEC安全的文獻(xiàn)研究較少，而關(guān)于鐵路5G移動通信系統(tǒng)MEC安全的研究才剛剛起步，存在許多挑戰(zhàn)和待解決的問題。例如，列車的高速移動性還可能對核心網(wǎng)數(shù)據(jù)中心的數(shù)據(jù)可用性和處理提出其他挑戰(zhàn)等。

因此，隨著智能鐵路的規(guī)劃和實施，在為鐵路5G移動通信系統(tǒng)部署MEC之前首先考慮安全和隱私問題，未來需要側(cè)重人工智能、大數(shù)據(jù)、區(qū)塊鏈、網(wǎng)絡(luò)切片等數(shù)字化技術(shù)，確保安全穩(wěn)定的鐵路5G移動通信系統(tǒng)MEC系統(tǒng)。

4 鐵路5G移動通信系統(tǒng)MEC安全研究未來方向

4.1 鐵路5G MEC基礎(chǔ)網(wǎng)絡(luò)能力和安全服務(wù)

鐵路5G移動通信系統(tǒng)旨在實現(xiàn)“內(nèi)生安全”，以鐵路5G MEC安全服務(wù)為基礎(chǔ)網(wǎng)絡(luò)能力，面向鐵路業(yè)務(wù)構(gòu)建可擴(kuò)展、可編排的智能鐵路5G安全架構(gòu)，兼顧高鐵場景下固有的特性，實現(xiàn)差異化安全能力的快速部署和安全能力開放，保障鐵路5G移動通信系統(tǒng)內(nèi)外部的安全。

傳統(tǒng)鐵路專網(wǎng)無法滿足鐵路數(shù)字化轉(zhuǎn)型，基于5G公網(wǎng)通信的寬帶應(yīng)用可以成為專網(wǎng)的有力補充和延伸，滿足鐵路業(yè)務(wù)應(yīng)用的調(diào)控和分流，實現(xiàn)“公專融合”的部署模式。如圖2所示，鐵路監(jiān)測傳感器、站場監(jiān)控、可視化調(diào)度等終端通過無線接入網(wǎng)（Radio Access Network，RAN）基于公網(wǎng)和專網(wǎng)邊緣計算節(jié)點提供特定業(yè)務(wù)應(yīng)用，包括8K可視化生產(chǎn)指揮調(diào)度、高鐵列車旅客信息服務(wù)等大區(qū)業(yè)務(wù)和調(diào)度命令與無線車次號校核傳送、機(jī)車同步操控等全路、路局業(yè)務(wù)。與此同時，鐵路5G移動通信網(wǎng)絡(luò)應(yīng)提供鐵路5G MEC端到端基礎(chǔ)網(wǎng)絡(luò)能力和保障鐵路5G MEC端到端安全服務(wù)。基礎(chǔ)網(wǎng)絡(luò)保護(hù)能力包括終端接入認(rèn)證、4G、5G、GSM-R、鐵路5G移動通信系統(tǒng)多種接入網(wǎng)融合、基于不同鐵路場景的用戶面保護(hù)、鐵路5G組網(wǎng)安全、鐵路5G邊緣平臺和基礎(chǔ)設(shè)施安全、邊緣應(yīng)用安全以及邊緣編排管理安全；鐵路5GMEC安全服務(wù)包括終端安全服務(wù)和鐵路MEC場景安全服務(wù)，鐵路場景應(yīng)用安全服務(wù)應(yīng)保障鐵路業(yè)務(wù)安全服務(wù)，防止DDoS攻擊、實現(xiàn)軌旁智能入侵檢測等，同時通過安全隔離和差異化策略保障鐵路5G MEC數(shù)據(jù)、隱私和內(nèi)容安全。

表4 邊緣節(jié)點安全解決方案

表5 邊緣數(shù)據(jù)和隱私安全解決方案

圖2 鐵路5G移動通信系統(tǒng)MEC端到端安全解決方案

4.2 邊緣網(wǎng)絡(luò)安全態(tài)勢感知

基于MEC構(gòu)建鐵路安全態(tài)勢感知平臺，如圖3所示，綜合運用大數(shù)據(jù)、AI等技術(shù)對智能鐵路的海量數(shù)據(jù)流進(jìn)行實時收集和綜合智能分析，使被動防御變主動預(yù)警，實現(xiàn)安全威脅態(tài)勢感知、故障預(yù)警、自愈重構(gòu)。

（1）列車運行數(shù)據(jù)采集與要素提取

通過安全設(shè)備和探針采集不同維度的各種列車安全防御檢測設(shè)備狀態(tài)信息和配置信息，結(jié)合高鐵場景的復(fù)雜性，網(wǎng)絡(luò)的不穩(wěn)定性，從基礎(chǔ)資產(chǎn)指標(biāo)，脆弱性指標(biāo)，威脅指標(biāo)三個維度提取態(tài)勢要素，通過量化算法獲取觀測序列，構(gòu)建態(tài)勢感知框架。

圖3 鐵路5G MEC網(wǎng)絡(luò)安全態(tài)勢感知架構(gòu)

（2）列車安全態(tài)勢評估

設(shè)計層次化高鐵網(wǎng)絡(luò)態(tài)勢評估模型，利用多維HMM建模實現(xiàn)對車輛節(jié)點多指標(biāo)的融合。高速列車面臨位置的快速變化，在不同MEC覆蓋區(qū)域的快速切換，考慮到不同區(qū)域內(nèi)的網(wǎng)絡(luò)性能是不同的，從而列車可能受到攻擊的影響程度不同。通過主成分分析法獲取車輛節(jié)點當(dāng)前所在MEC區(qū)域的網(wǎng)絡(luò)性能信息和重要性權(quán)重，將其與車輛節(jié)點態(tài)勢值融合得到MEC區(qū)域的態(tài)勢威脅。

（3）安全態(tài)勢感知與防御

鐵路通信安全中，持續(xù)采集基于列控的告警數(shù)據(jù)和運行狀態(tài)數(shù)據(jù)通過攻擊步驟與告警信息的關(guān)聯(lián)分析來進(jìn)行安全預(yù)警，自愈重構(gòu)，支持較大規(guī)模的高速鐵路網(wǎng)絡(luò)安全態(tài)勢評估，對系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢進(jìn)行集中監(jiān)控，提供全方位的安全態(tài)勢展示。

4.3 邊緣計算+網(wǎng)絡(luò)切片+安全

鐵路5G移動通信網(wǎng)絡(luò)通過參考5G網(wǎng)絡(luò)切片的多等級網(wǎng)絡(luò)隔離機(jī)制，基于各種鐵路MEC專用資源構(gòu)建專屬的鐵路關(guān)鍵業(yè)務(wù)切片。針對自動駕駛等對時延和安全性要求較高的應(yīng)用，實施物理隔離在鐵路專網(wǎng)部署端到端的網(wǎng)絡(luò)切片，為其分配特定的獨立專用頻段；針對車載娛樂等無嚴(yán)格要求的應(yīng)用，由于旅客時間和空間集中度高，相同時間下較大的數(shù)據(jù)文件無法使用更高的頻譜傳輸，因此選擇邏輯隔離實現(xiàn)切片的按需分配。鐵路基礎(chǔ)設(shè)施應(yīng)盡可能地采用安全專網(wǎng)等特殊定制的基礎(chǔ)設(shè)施架構(gòu)，通過封閉性與內(nèi)部的隱蔽性，實現(xiàn)鐵路5G移動通信系統(tǒng)內(nèi)生安全防御的目標(biāo)。此外，結(jié)合鐵路專網(wǎng)與運營商網(wǎng)絡(luò)共建5G基站并提供排他性的網(wǎng)絡(luò)接入，建設(shè)鐵路樞紐站場等熱點地區(qū)的無線接入能力，基于MEC提供邊緣接入與認(rèn)證功能，同時利用本地分流，將流量轉(zhuǎn)發(fā)至鐵路基礎(chǔ)設(shè)施[50]，實現(xiàn)數(shù)據(jù)不出鐵路網(wǎng)絡(luò)，滿足鐵路安全需求。

4.4 邊緣計算+人工智能+安全

智能鐵路特有的線型廣域分布、移動行為基線穩(wěn)定的特性有助于定制MEC安全防護(hù)的策略。與傳統(tǒng)人的行為的復(fù)雜性和不確定性相比，列車的運行模式較為簡單，業(yè)務(wù)流量模型可預(yù)測。因此，在未來的工作中，可以基于采集的海量網(wǎng)絡(luò)數(shù)據(jù)流，采用人工智能（Artificial Intelligence，AI）技術(shù)快速地進(jìn)行自主學(xué)習(xí)和訓(xùn)練，更加準(zhǔn)確地對智能鐵路中的不同業(yè)務(wù)流量類別和異常的行為進(jìn)行檢測、定位和根源分析，為鐵路5G移動通信系統(tǒng)提供全方位的安全分析與預(yù)警，故障定位，業(yè)務(wù)感知及差異化服務(wù)，從而防御各類安全威脅。此外，鐵路關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)拓?fù)渑c業(yè)務(wù)關(guān)系相對固定，通過與鐵路5G移動通信系統(tǒng)的融合身份認(rèn)證能力相結(jié)合，有助于構(gòu)建零信任的鐵路5G移動通信網(wǎng)絡(luò)。

4.5 邊緣計算+區(qū)塊鏈+安全

列車的高速移動性可能對核心數(shù)據(jù)中心的數(shù)據(jù)可用性和處理提出其他挑戰(zhàn)，并且隨著不同鐵路業(yè)務(wù)需求的爆炸式增長，MEC有限的計算、通信、緩存資源不能滿足日益增長的嚴(yán)格業(yè)務(wù)需求，因此不同MEC之間資源交互更加頻繁，這需要改進(jìn)MEC的交互協(xié)議與架構(gòu)，保證不同MEC實體間相互信任的內(nèi)容達(dá)成一致性。區(qū)塊鏈的可追溯性、不可篡改等安全屬性，通過其構(gòu)建鐵路5G邊緣計算區(qū)域安全可信網(wǎng)，可以通過事中監(jiān)管和事后威脅可追溯的分布式共識來保障MEC實體之間某些信息的的安全交互，防止單點故障或安全防護(hù)能力破壞[51]。此外，借助區(qū)塊鏈的零知識證明技術(shù)，確保接入鐵路5G移動通信系統(tǒng)邊緣網(wǎng)絡(luò)的異構(gòu)邊緣終端是可信的，實現(xiàn)對邊緣端點聯(lián)接入網(wǎng)的事前安全管控。

5 結(jié)論

本文分析了鐵路5G邊緣計算的安全威脅，細(xì)化安全需求和挑戰(zhàn)，在此基礎(chǔ)上，闡述了MEC安全標(biāo)準(zhǔn)進(jìn)展和相關(guān)研究，并結(jié)合鐵路5G邊緣計算特點，給出了MEC端到端安全服務(wù)方案和未來研究發(fā)展方向。未來，要構(gòu)建可信的鐵路5G邊緣計算“環(huán)境”，還需要依托鐵路5G安全標(biāo)準(zhǔn)體系的構(gòu)建，循序漸進(jìn)提升安全水平，使未來智能鐵路運營更加安全高效，更加綠色環(huán)保，更加便捷舒適。