刘佳佳，吴 昊，李盼盼

1.北京交通大学 轨道交通控制与安全国家重点实验室，北京100044

2.北京交通大学 电子信息工程学院，北京100044

新基建的整体布局加快了中国铁路向数字化、智能化发展的转型。铁路的智能化建设离不开信息通信技术与铁路业务的深度融合，IMT-2020的5G促进小组发布了有关“5G愿景和要求[1]”的白皮书，其中将高移动性的铁路和超高密度的地铁定义为5G的两种典型方案[2]。未来智能铁路将采用云计算、物联网、大数据、北斗定位、5G通信、人工智能等新技术，实现铁路智能建造、智能装备、智能运营等水平的全面提升。考虑到自动列车驾驶，铁路实时高清视频监控等基于5G技术的新兴业务需要更强大的计算能力，更广泛的海量连接以及更低的处理延迟[3]。传统的基于云的集中处理模式无法满足差异化、低时延、密集化的网络接入和服务需求，因此智能铁路将引入边缘计算作为云计算的补充。

移动边缘计算（Mobile Edge Computing，MEC）的概念最初由欧洲电信标准化协会（ETSI）提出，在无线接入网内靠近移动用户终端的位置提供IT和云计算能力[4]，将云计算平台从移动核心网络内部迁移到移动接入网边缘，提供超低延迟和高带宽的服务环境，实现本地化、近距离、分布式部署。作为5G新型网络架构之一，MEC非常适合应用在智能铁路超可靠低时延（Ultra Reliable Low Latency Communication，URLLC）场景中。越来越多的智能铁路业务需要对大数据进行即时处理、传输和计算，例如车载设备检测数据实时处理、列车监控视频实时分析、检修图像实时分析、旅客娱乐办公等，因此对带宽、时延等传输质量有着极高的要求。通过在更靠近终端侧的基站位置部署MEC作为中心云的补充，就近为终端提供网络和应用服务，实现通信、计算与存储资源的高效融合部署与弹性分配[5]。

MEC既继承了中心计算的优势，又面临和云计算相似的安全和隐私威胁，包括但不限于不安全的通信协议、虚拟化安全、鉴权和权限管理以及数据安全等。另一方面，由于增加了大量的分布式基础设施和计算、通信过程，MEC具有的共生融合、按需邻近部署、虚拟化构建，基于用户感知的定制化服务等特性会带来新的安全和隐私问题，且更具威胁性。此外，高速铁路场景复杂，网络需求特点包括用户群密集分布且高速移动，带宽需求量大，移动终端多样性，终端位置可预测性等；高速移动场景的网络接入涉及无线接入网络，车地通信网络等多种异构网络并存和列车的高速移动给车地无线传输带来的无线信道衰落、多普勒效应、频繁的小区切换问题[6]。这些使得边缘服务器更容易受到黑客入侵、敏感数据被窃取等威胁，因此，MEC作为实现智能铁路中超可靠低延迟场景下的关键技术，其安全问题不容忽视。研究如何保障铁路5G边缘计算安全，是铁路5G移动通信MEC实施部署的前提和基础。

1 MEC安全威胁

铁路5G MEC具有运行资源有限、终端设备数据直接接入和支持设备移动性等特征，因此，除了面临云计算系统普遍存在的安全问题之外，还在基础设施、数据资源、设备间交互和终端设备移动性等方面面临新的安全威胁[7]。图1所示为铁路5G移动通信系统MEC面临的主要安全威胁，根据终端业务的数据流和攻击路径来看，以底层基础设施提供的计算、存储、网络资源为基础，铁路5G移动系统网络和应用服务能力通过能力开放机制以提供更加满足差异化业务需求的网络服务。部分核心网功能跟随MEC下沉到边缘数据中心，增大了核心网的攻击面，且MEC节点靠近网络边缘，外部环境可信度降低，管理控制能力减弱，使得MEC平台和MEC应用处于相对不安全的物理环境。

图1 铁路5G移动通信系统MEC安全威胁

1.1 终端安全威胁

（1）拒绝式服务攻击（DDoS）

边缘设备计算资源有限，如果缺乏管控，DDoS攻击可通过部署的分布式资源进行实施，以攻击边缘服务器[8]。智能铁路场景下，由于列车的高速移动性和沿线边缘服务器的紧密相关性，单个边缘服务器遭受拒绝式服务攻击可能会对整个列车运行系统产生影响，引起恶劣后果。

（2）中间人攻击

中间人攻击通过在两个或多个通信方或实体之间存在恶意第三方来影响边缘网络的所有功能元素[9]。边缘服务器作为云服务中心和车载及用户终端设备的中间连接，一旦被恶意攻击者入侵并控制，可能导致终端设备和云中心的交互数据被窃听，返回虚假指令信息和错误结果。

（3）恶意入侵

作为整个智能铁路通信系统中的组成部分，车载终端、普通用户终端以及传感器上传给边缘服务器大量的数据和请求服务，它们不仅是服务的请求者，也是服务的参与者[10]，恶意用户通过入侵用户设备和传感器，向边缘服务器注入虚假信息或提交恶意请求，导致边缘服务器做出错误的判断和指令，对列车运行和调度、乘客电子票务业务，将产生恶劣的影响。

（4）终端通信安全

接入网络的传感器终端数量巨大，资源受限同时安全能力差[11]。按照传统的接入方式，海量传感器终端并发接入极有可能产生信令风暴，导致网络拥塞，列车运行中无法做出对周围环境的监测及预判，可能会造成无法预料的事故。

1.2 接入网安全威胁

（1）终端通信安全

恶意用户可通过干扰器发送伪造的信号，中断缓存块与边缘节点正在进行的无线传输，并进而阻止用户访问缓存的内容。例如，列车在高速移动场景下切换时会将内容预缓存在基站边缘服务器，若缓存内容的传输被恶意中断，导致网络无法为用户提供一致性的高质量数据流。

（2）数据篡改及损毁

高速列车的移动性会引发无线信道和车载计算资源的动态变化，可能导致数据传输失败和产生很大延迟，因此很难检测到某些篡改行为。此外，边缘服务器存储、加密、备份设施不够完善，恶意攻击者可入侵或损坏边缘服务器数据[12]。例如，铁路沿线基站边缘服务器的数据被损坏，对所属区域轨道和途径列车的判断失误，则会影响列车的调度指挥，甚至引发事故。

1.3 边缘计算节点安全威胁

（1）硬件安全支持不足

MEC将核心网的部分功能下沉到近轨基站提供高质量服务的同时，拉近了攻击者与铁路MEC基础设施之间的距离，造成MEC物理设备毁坏风险提升[13]。此外，铁路大部分途经隧道与高架桥，MEC节点面临着各种自然灾害的威胁，可能会造成服务的突然中断和数据的意外丢失。

（2）伪边缘服务器

MEC节点一般沿铁路呈特有的线型广域分布，例如可选择在一个车站部署一个MEC服务器，因而边缘服务器数量庞大，监管困难，攻击者可通过部署伪边缘服务器，诱使移动终端和云中心将数据和任务卸载至伪边缘服务器，窃取敏感信息[12]。此外，高速移动的特性和地理环境的复杂性会造成频繁的网络切换，为了保证服务的连续性，需要同时连接两个边缘服务器，这可能导致伪边缘服务器恶意获取上下路两个边缘服务器关键信息。

（3）核心设备安全

针对铁路URLLC场景下的业务需依赖网络部署MEC边缘计算能力，但是MEC部署位置如果脱离控制范围，将增加核心设备的安全风险。

1.4 边缘应用安全威胁

列车高速移动场景下，用户群集中在列车车厢中，不同终端设备的无线接入方式具有较大的差异性，大多采用缺乏加密、防篡改等安全保护的WIFI、蓝牙等通信协议[12]。

2 铁路5G移动通信系统MEC需求与挑战

2.1 MEC安全需求

（1）组网安全

组网安全包括铁路5G移动通信网络平面隔离，不同安全域隔离和核心网隔离三方面[7]。平面隔离应支持管理、业务和存储平面相互隔离；不同安全域隔离指旅客应用、车载应用和运营商应用之间进行安全隔离；核心网安全隔离取决于用户面功能与核心网的部署位置，如果两者之间存在可信链接，不需要安全隔离，反之应部署防火墙等进行安全隔离。

（2）接入安全

列车高速运行时数据服务难免发生跨节点切换，因而必须解决站点间相互信任、网络连接上下文如何安全传递等安全问题[14]。

（3）身份、凭证和计费

列车高速运行下，大量异构的终端设备要与基站MEC服务器在正常的切换响应时间完成身份认证和高效的切换[15]。另一方面，由于MEC系统的固有异质性，铁路客运票务MEC、车站安防MEC等不同类型的边缘服务器可能由多个供应商部署，且不同类型的移动设备共存使得传统的云中心与设备之间的信任机制也不再适用，计费和合法监听等网络安全问题需要进一步解决。

2.2 边缘基础设施安全需求

（1）物理安全

MEC的部署位置由铁路业务的应用场景所决定，可能位于无人值守的沿路铁轨旁，环境复杂恶劣，可能靠近用户，还可能部署在边缘数据中心，但因其处于相对开放的环境中更容易遭到物理性的破坏，不仅有必要保障MEC基础设施的物理安全，提供安全的运行环境，更应该使MEC节点具备在严苛，恶劣环境下的持续工作的能力。

（2）用户面安全

UPF（User Plane Function，用户面功能）下沉到网络边缘，容易遭遇不可控的原因导致物理接触攻击和用户面数据被窃取等[16]，需要实施触发告警等物理安全保护。针对铁路场景下不同的MEC部署模式，可选择内置安全功能实现环境的可信保护。

（3）MEC平台安全

MEC平台应支持物理安全保护，防止其受到木马或者病毒攻击。API（Application Programming Interface，应用程序接口）网关应支持对MEC平台的API调用进行认证和授权、安全审计[17]。

（4）边缘编排和管理系统安全

铁路5G边缘网络编排和管理系统应支持对通信的身份认证，并对列车及旅客的关键数据进行CIA（Confidentiality，Integrity，Availability，机密性、完整性、可用性）保护；应支持MEC应用生命周期管理的相关操作安全，应支持验证MEC APP应用镜像的完整性等[7]。

2.3 铁路边缘数据特有安全需求

（1）数据不出路网

针对列车控制调度，运行维护等敏感度高的关键数据，要求数据不出路网。边缘节点应根据不同用户要求按需部署5G用户面功能等网络实体，实现数据在路网APP内实现闭环。

（2）铁路内容安全

车载CCTV视频、智慧车站等内容具有公众效应，若被恶意攻击者丢弃、延迟或修改传输数据，可能严重影响社会稳定，需要对内容设置安全访问控制权限[17]。此外，设计适用铁路5G边缘计算的内容信息安全审核措施，使边缘节点保障内容安全。

（3）铁路5G专网专用

针对自动驾驶等对网络可靠性、覆盖性等有严格要求，需要使用专有基站和频率。一方面需要考虑铁路专有基站和运营商之间的安全隔离，防止专用基站对5G核心网的恶意攻击；另一方面，铁路专用基站应支持黑名单机制，不允许未经授权的路网外用户接入专用基站。

2.4 边缘应用安全需求

（1）终端安全需求

终端应遵循最小化原则，定期使用检测软件进行漏洞检测[7]。对于存储铁路敏感数据的物联网终端，应实施访问控制和数据保护。当终端想要访问边缘APP时，需对网络进行认证以防止伪造的APP，导致信息泄露或DDoS攻击等攻击。

（2）能力开放安全需求

铁路5G移动通信网络可以通过能力开放接口按照不同业务需求编排定制化的网络服务[18]。当MEC节点能力被其他平台调用时，应构建身份认证、可信计算等一系列措施，支持对调用方的身份认证、授权和审计，对调用数据的传输进行保护，同时配合资源动态部署与按需组合，为智能铁路网络提供灵活、可定制的差异化安全能力。

2.5 隐私安全需求

2.5.1 用户隐私

（1）身份和数据隐私

以旅客为中心的业务包含大量的隐私信息，攻击者可通过假冒合法用户与不同功能实体间交互来访问数据库窃取用户隐私。此外，云票务平台的数据交互包含从公网售票模式发起的非内网和车站级售票发起的内网数据传输和访问，数据交互环节较多[19]，一旦发生数据泄露，攻击者能够推测出旅客的生活模式等隐私信息，需要基于用户偏好及行为进行差异化隐私保护。

（2）位置隐私

列车的移动速度和前进方向是固定的，从而可以动态定位和预估旅客的位置。此外，诸如行程推荐服务，用户为了获得基于LBS的服务，需要汇报自己的位置和相应的服务请求，用户通常会具有相对固定的兴趣点，极可能会重复使用相同的边缘服务器[20]，这使得用户的位置信息非常容易预测，攻击者通过用户经常使用的位置，利用数据挖掘技术使第三方能够分析隐私数据，获得更多的用户信息。

2.5.2 网络和业务隐私

边缘计算同云计算相同，将部分或全部终端用户的隐私数据外包给边缘数据中心，用户只具备数据的所有权而非控制权，这将导致严重的数据丢失、非法数据操作等问题[21]。此外，“公专网融合”的策略存在铁路5G网络安全威胁，需要借鉴其他专网、公网的安全防范措施，实现铁路公专网系统隔离、业务隔离，构建安全可信的铁路5G网络。

2.6 铁路5G MEC公专融合通信安全

传统的单纯依赖铁路专网建设无法满足铁路应用业务的个性化需求，需要综合铁路专网和运营商公网资源[22]，同时利用边缘计算技术实现公网的“专网化”，满足差异化和碎片化业务的要求和泛在互联。然而，铁路公专网融合应用天然存在网络和信息安全风险，开展铁路5G边缘计算中公专融合安全研究是铁路5G应用创新研究的重要组成部分。

2.6.1 铁路公专网融合

网络融合范围不再是单一的公网或者铁路专网，还包括了不同类型的网络之间[23]。通过运营商公网作为专网的补充，解决铁路全面覆盖和高速数据业务应用问题，继续保留核心区域铁路专网覆盖，在公专网交叠覆盖区域将两种标准的网络和业务实现整合，充分发挥铁路专网和公网各自的优势，实现“公专融合”。此外，三大运营商分别发布了关于5G垂直行业专网白皮书[24-26]，涵盖5G行业专网的组网需求、网络架构、专网能力等多维度信息。5G铁路专网+MEC可以为用户提供从最基础的网络分流能力到各种CT-VAS（Value-Added-Service）/IT-VAS能力不同的组合，满足铁路行业对网络以及PaaS能力的需求[24]。目前，根据安全隔离度和网络时延的要求，5G专网中核心网部署方案分为全部网元下沉的5G专网、用户面网络资源下沉的5G专网、控制面及用户面网络资源下沉的5G专网三类[27]；根据专网的共享深度和定制化程度，可分为广域形专网、时延型专网和安全类专网。

2.6.2 铁路业务融合

业务融合是基于网络融合，实现业务智能化，升级以语音呼叫和信令需求为中心的铁路服务为视频、数据融合的智能通信网智能旅客通信服务等，实现从核心网到终端，在公网覆盖下支持全路业务、路局业务和站场业务，包括超视距轨道环境监测预警、轨旁信号设备感知数据传输、编组站相关业务MEC应用等，支持对公网、铁专网用户的统一编组、统一调度，实现网络融合、功能融合、网络智能化[28]。

2.6.3 铁路终端融合

按使用场景将终端可划分为车载类、手持类、物联网类终端，或者结合铁路业务功能可将终端划分为语音类、数据类、视频类终端等[22]。终端融合以网络融合为基础，包括一体化多模终端和应用融合两方面意义。前者指公专网融合后能够在同一终端实现窄带、宽带、公网接入，满足用户不同场景的铁路应用需求；后者终端不仅可以支持集群业务等基础业务，还可以实现基于智能系统的多媒体业务，实现终端的智能化。

2.6.4 铁路公专网融合边缘计算安全

（1）安全接入的身份验证

铁路5G组网部署方案的不同和接入网与核心网不同的部署方式会导致鉴权服务器功能进行认证时会有不同的流程及资源隔离方案[29]。应该基于3GPP标准设计铁路专网和公网定制化的身份认证过程，必要时部署二次认证机制，在运营商入网认证的机制上，实现对边缘计算节点之后铁路专网应用访问的二次认证。

（2）铁路专网网络认证密钥管理架构与公网的一致性

专网设备在铁路专网和公网之间移动时，需要提供零时服务中断[29]，满足低时延业务在边缘高速移动涉及跨MEC切换场景下的业务连续性要求[30]。既要保证UE离开专网时公网的无缝覆盖，还要保证UE离开公网时专网的无缝覆盖。这需要铁路专网建立与公网统一的认证框架和密钥体系，支持各种铁路业务应用场景下的身份鉴权。

（3）MEC APP认证和对敏感数据的安全存储

铁路5G MEC通过API接口引入大量的第三方APP，承载不同类型的铁路业务和数据。如果APP被黑客控制，可能利用能力开放接口对铁路5G网络发起攻击、导致共享虚拟资源耗尽[31]，影响其他业务正常运行，甚至第三方通过MEC平台劫持车载设备或者用户的敏感数据，造成严重的列车误判，隐私泄露等事故。

（4）铁路专网网络能力开放

铁路安全能力开放保证开放的网络能力安全地提供给第三方以及网络的安全能力开放给第三方使用。根据业务的不同类别，基于专网和公网不同的安全能力设置专网和公网不同的认证方式，增强安全性。

（5）铁路专网多层次的安全隔离

多层次安全隔离是指专网与公网之间的系统隔离、业务隔离及加密管理，尤其是列车高速移动下跨区域专网之间通信的安全管理等。

（6）安全机制与低时延的权衡

列车运行时根据业务质量要求在带宽和时延方面提供差异性的服务质量保障，满足超可靠低延迟场景下的关键业务，但是低时延需求造成复杂安全机制部署受限，接入认证、铁路数据传输安全保护、车载移动终端中切换等安全机制的部署都会增加额外的时延，无法满足低时延业务的要求。从安全角度来看，需要优化接入过程身份认证的时延、数据传输安全保护带来的时延，以及数据在网络节点中加解密处理带来的时延[32]。

3 MEC安全相关研究

3.1 标准进展

（1）欧洲电信标准协会（ETSI）

ETSI在2014年组织了ETSI MEC ISG，旨在创建一个标准化的MEC开放环境，允许跨多供应商多访问边缘计算平台高效无缝地集成来自供应商、服务提供商和第三方的应用程序。目前ETSI发布的MEC安全标准及主要内容见表1。

（2）第三代合作伙伴计划（3GPP）

3GPP负责制定支持边缘计算的5G系统架构、本地分流和QoS保障等[33]。R16重点在为面向应用场景的业务安全与能力开放安全进行了增强，为边缘计算提供安全保护能力，实现对5G系统的全面保障。表2详细总结了3GPP制定的5G及MEC安全标准。

（3）其他组织和机构

此外，NGMN联盟更加侧重于边缘计算和网络切片的标准化安全性[34]。中国移动携手信通院、华为等产业伙伴在2020网络安全大会发布《5G边缘计算安全白皮书》[35]，提出了5G边缘计算安全防护策略，方便行业用户在开展5G边缘计算及应用的同时，指导行业提升5G边缘计算安全防护能力。

表1 ETSI发布的MEC安全标准

表2 3GPP发布的MEC安全标准

3.2 相关研究

目前，已经有一些文献展开了针对互联网或物联网应用场景的MEC安全性研究和方案设计，对于高安全要求的铁路5G移动通信系统来说，可以借鉴这些研究所取得的部分经验和结果。

针对边缘网络安全挑战，文献[36]中提出DDoS协同防御架构，通过考虑防御资源的使用效率和参加者的公平性，利用防御资源充足的MEC节点协助自身防御能力差的MEC节点。文献[37]针对列控系统中的网络攻击，通过设计重播和伪造检测算法检测并以不中断重要信息通信的方式动态响应网络攻击，为主动列车控制提供网络态势感知的入侵检测系统。文献[38]通过5G MEC和备份云进行相互协作的有效平衡来满足对延迟敏感的应用程序的位置感知要求，确保边缘信息的安全。文献[39]提出了一种有关多租户和用户移动性的针对5G网络攻击的横向检测系统，而无需考虑多个网络流量封装，且可以分配给几乎所有的5G网络段。该系统在没有增加系统开销的情况下，与IDS（Intrusion Detection System，入侵检测系统）提供的时间相比没有明显的延迟，且具有可伸缩性。表3总结了铁路网络可以借鉴的边缘网络安全相关的解决方案。

为了抵抗恶意攻击者攻击脆弱的边缘节点，例如无加密保护的沿轨或车载摄像机，影响MEC通信、存储和缓存的安全，许多研究人员提出不同的解决方案。文献[40]在具有随机扰动的MEC网络环境中部署MEC-IDS，在有效实现资源分配的同时保证身份认证方案和通过发送友好干扰信号进行防窃证安全性和稳定性。文献[41]研究MEC系统中的双重UAV（Unmanned Aerial Vehicle，无人机）的辅助作用，作用分别是帮助地面终端设备（TD）计算。文献[42]提出针对智能攻击的抗干扰安全移动卸载方案，通过RL技术获得关键的身份验证参数轻量级的缓存协作方案。文献[43]考虑车辆云计算各种技术特征的同时满足HSR（High-Speed Rail，高速铁路）上下文的特殊需求，解决由于高频切换而导致的快速有效认证问题。文献[44]专注上行NOMA（Non-Orthogonal Multiple Access，非正交多址接入）的移动边缘计算网络中的安全卸载，无需了解窃听者的信道状态信息，通过对保密率、本地计算位和功率分配联合设计为上行NOMA用户最大化最小的防窃听能力。表4总结了铁路网络中可以借鉴的边缘节点的安全解决方案。

表3 边缘网络安全解决方案

针对边缘数据安全挑战，文献[45]针对铁路云服务的信息安全，提出一遍式轻量身份认证的关联数据加密方案，可以安全地防止差分、线性、伪造、篡改和统计攻击。文献[46]提出集成云和雾计算的支持有关设备移动性的数据分析和管理的架构，通过SDN（Software Defined Network，软件定义网络）和NFV（Network Function Virtualization，网络功能虚拟化）与NSC（Network Service Chaining，网络服务链）模型协同工作，将Kerberos用于服务认证来保护与授权移动设备的安全通信，抵御DDoS攻击。

用户隐私安全至关重要，文献[47]提出了一种Ubi-PriSEQ框架，通过持续学习自适应和动态地处理环境，制定策略并做出与无线电信道状态，任务优先级相关的决策，通过对SINR（Signal and Interference to Noise Ratio，信干燥比）、隐私度量、延迟进行评估，可以在提供服务质量和能源效率的同时保护隐私安全。文献[48]提出了以MEC为关键枢纽的改进的移动支持系统（MSS），该系统不仅可以保护用户的隐私，还可以填补漫游用户漫游时连接中断的空白。文献[49]提出了一个社会信任方案，考虑到基于信任具有MEC、高速缓存和D2D功能的单网络管理系统中，该方案可以自动进行最优分配网络资源。表5总结了铁路网络可以借鉴的边缘数据和隐私安全相关的解决方案。

目前有关5G MEC安全的文献研究较少，而关于铁路5G移动通信系统MEC安全的研究才刚刚起步，存在许多挑战和待解决的问题。例如，列车的高速移动性还可能对核心网数据中心的数据可用性和处理提出其他挑战等。

因此，随着智能铁路的规划和实施，在为铁路5G移动通信系统部署MEC之前首先考虑安全和隐私问题，未来需要侧重人工智能、大数据、区块链、网络切片等数字化技术，确保安全稳定的铁路5G移动通信系统MEC系统。

4 铁路5G移动通信系统MEC安全研究未来方向

4.1 铁路5G MEC基础网络能力和安全服务

铁路5G移动通信系统旨在实现“内生安全”，以铁路5G MEC安全服务为基础网络能力，面向铁路业务构建可扩展、可编排的智能铁路5G安全架构，兼顾高铁场景下固有的特性，实现差异化安全能力的快速部署和安全能力开放，保障铁路5G移动通信系统内外部的安全。

传统铁路专网无法满足铁路数字化转型，基于5G公网通信的宽带应用可以成为专网的有力补充和延伸，满足铁路业务应用的调控和分流，实现“公专融合”的部署模式。如图2所示，铁路监测传感器、站场监控、可视化调度等终端通过无线接入网（Radio Access Network，RAN）基于公网和专网边缘计算节点提供特定业务应用，包括8K可视化生产指挥调度、高铁列车旅客信息服务等大区业务和调度命令与无线车次号校核传送、机车同步操控等全路、路局业务。与此同时，铁路5G移动通信网络应提供铁路5G MEC端到端基础网络能力和保障铁路5G MEC端到端安全服务。基础网络保护能力包括终端接入认证、4G、5G、GSM-R、铁路5G移动通信系统多种接入网融合、基于不同铁路场景的用户面保护、铁路5G组网安全、铁路5G边缘平台和基础设施安全、边缘应用安全以及边缘编排管理安全；铁路5GMEC安全服务包括终端安全服务和铁路MEC场景安全服务，铁路场景应用安全服务应保障铁路业务安全服务，防止DDoS攻击、实现轨旁智能入侵检测等，同时通过安全隔离和差异化策略保障铁路5G MEC数据、隐私和内容安全。

表4 边缘节点安全解决方案

表5 边缘数据和隐私安全解决方案

图2 铁路5G移动通信系统MEC端到端安全解决方案

4.2 边缘网络安全态势感知

基于MEC构建铁路安全态势感知平台，如图3所示，综合运用大数据、AI等技术对智能铁路的海量数据流进行实时收集和综合智能分析，使被动防御变主动预警，实现安全威胁态势感知、故障预警、自愈重构。

（1）列车运行数据采集与要素提取

通过安全设备和探针采集不同维度的各种列车安全防御检测设备状态信息和配置信息，结合高铁场景的复杂性，网络的不稳定性，从基础资产指标，脆弱性指标，威胁指标三个维度提取态势要素，通过量化算法获取观测序列，构建态势感知框架。

图3 铁路5G MEC网络安全态势感知架构

（2）列车安全态势评估

设计层次化高铁网络态势评估模型，利用多维HMM建模实现对车辆节点多指标的融合。高速列车面临位置的快速变化，在不同MEC覆盖区域的快速切换，考虑到不同区域内的网络性能是不同的，从而列车可能受到攻击的影响程度不同。通过主成分分析法获取车辆节点当前所在MEC区域的网络性能信息和重要性权重，将其与车辆节点态势值融合得到MEC区域的态势威胁。

（3）安全态势感知与防御

铁路通信安全中，持续采集基于列控的告警数据和运行状态数据通过攻击步骤与告警信息的关联分析来进行安全预警，自愈重构，支持较大规模的高速铁路网络安全态势评估，对系统的网络安全态势进行集中监控，提供全方位的安全态势展示。

4.3 边缘计算+网络切片+安全

铁路5G移动通信网络通过参考5G网络切片的多等级网络隔离机制，基于各种铁路MEC专用资源构建专属的铁路关键业务切片。针对自动驾驶等对时延和安全性要求较高的应用，实施物理隔离在铁路专网部署端到端的网络切片，为其分配特定的独立专用频段；针对车载娱乐等无严格要求的应用，由于旅客时间和空间集中度高，相同时间下较大的数据文件无法使用更高的频谱传输，因此选择逻辑隔离实现切片的按需分配。铁路基础设施应尽可能地采用安全专网等特殊定制的基础设施架构，通过封闭性与内部的隐蔽性，实现铁路5G移动通信系统内生安全防御的目标。此外，结合铁路专网与运营商网络共建5G基站并提供排他性的网络接入，建设铁路枢纽站场等热点地区的无线接入能力，基于MEC提供边缘接入与认证功能，同时利用本地分流，将流量转发至铁路基础设施[50]，实现数据不出铁路网络，满足铁路安全需求。

4.4 边缘计算+人工智能+安全

智能铁路特有的线型广域分布、移动行为基线稳定的特性有助于定制MEC安全防护的策略。与传统人的行为的复杂性和不确定性相比，列车的运行模式较为简单，业务流量模型可预测。因此，在未来的工作中，可以基于采集的海量网络数据流，采用人工智能（Artificial Intelligence，AI）技术快速地进行自主学习和训练，更加准确地对智能铁路中的不同业务流量类别和异常的行为进行检测、定位和根源分析，为铁路5G移动通信系统提供全方位的安全分析与预警，故障定位，业务感知及差异化服务，从而防御各类安全威胁。此外，铁路关键业务的网络拓扑与业务关系相对固定，通过与铁路5G移动通信系统的融合身份认证能力相结合，有助于构建零信任的铁路5G移动通信网络。

4.5 边缘计算+区块链+安全

列车的高速移动性可能对核心数据中心的数据可用性和处理提出其他挑战，并且随着不同铁路业务需求的爆炸式增长，MEC有限的计算、通信、缓存资源不能满足日益增长的严格业务需求，因此不同MEC之间资源交互更加频繁，这需要改进MEC的交互协议与架构，保证不同MEC实体间相互信任的内容达成一致性。区块链的可追溯性、不可篡改等安全属性，通过其构建铁路5G边缘计算区域安全可信网，可以通过事中监管和事后威胁可追溯的分布式共识来保障MEC实体之间某些信息的的安全交互，防止单点故障或安全防护能力破坏[51]。此外，借助区块链的零知识证明技术，确保接入铁路5G移动通信系统边缘网络的异构边缘终端是可信的，实现对边缘端点联接入网的事前安全管控。

5 结论

本文分析了铁路5G边缘计算的安全威胁，细化安全需求和挑战，在此基础上，阐述了MEC安全标准进展和相关研究，并结合铁路5G边缘计算特点，给出了MEC端到端安全服务方案和未来研究发展方向。未来，要构建可信的铁路5G边缘计算“环境”，还需要依托铁路5G安全标准体系的构建，循序渐进提升安全水平，使未来智能铁路运营更加安全高效，更加绿色环保，更加便捷舒适。