5G边缘计算安全白皮书（32页）

MEC 标准是双规发展制，一方面 ETSI 着重定义 MEC 的 平台、虚机和 API 管理等标准；另一方面 3GPP 着重定 义 MEC 和其它 5G 核心网元的交互方式，因此 MEC 从 架构上归属核心网。典型的，ETSI 规定了 UPF 网元的位 置即为 MEC 在 5G 网络架构中的位置。 ETSI 2016 年 3 月发布了 ETSI GS MEC 003, 定义了移 动边缘计算的框架和参考架构；后续还定义了 GS MEC  009、GS MEC 010-2、GS MEC 011、GS MEC 012 和 GS MEC 013 等标准，涵盖了应用生命周期管理，移动 边缘应用支持，无线网络信息和位置等主题。 3GPP 在 5G 网络架构标准规范 TS 23.501（Release 15） 中也对 5G 边缘计算定义了交互标准（support for Edge  Computing）。目前 3GPP 的 Release 17 中对 MEC 增强 以及 MEC 安全启动标准制订预计 2021 年 3 月后发布。 ITU 立项了 ITU-T X.5Gsec-netec“Security capabilities  of network layer for 5G edge computing” 和 ITU-T  X.5Gsec-ecs "Security Framework for 5G Edge  Computing Services" 两项边缘计算安全国际标准项目。 中国通信行业标准 CCSA 在《5G 核心网边缘计算总体技 术要求》也提出了 5G 边缘计算系统架构。

3GPP 标准上核心与非核心界面明确，即使 5G 核心网 的部分功能（如 UPF）下沉，位置上接近应用，依然遵 循 5G 核心网的配置分流策略，仍属于核心网。而且 5G  MEC 和 RAN 接入网位于不同的安全等级中，两者之间 必须部署安全网关或者防火墙，以确保 MEC 和 RAN 之 间的接口安全；同时，两者的接口是 3GPP 标准定义的， MEC 和 RAN 可以来自不同的厂商，各厂家遵从 3GPP 和 ETSI 标准，根据 3GPP 标准定义接口实现解耦和互操作。 CCSA 的安全架构中规定 MEC 的安全边界：MEC 除支持 UPF 通用安全要求外，还要求“应部署在运营商可控、 具有基本物理安全环境保障的机房，UPF 网元或者虚拟 化 UPF 所在的基础设施应具备物理安全保护机制（如： 防拆、防盗、防恶意断电、防篡改等，设备断电 / 重启、 链路断开等问题发生后应触发告警）。”因此，相比 RAN 的广域部署模式，MEC 与 RAN 部署在不同的地理 位置和安全区，所需要的保障安全等级是完全不同的。 MEC 原则上部署在物理安全环境有保障的机房，如，园 区和汇聚机房。因此与 RAN 的基站之间的安全边界是清 晰的，不可模糊的。