在5G移动通信网络中采用容器承载虚拟网元,具有编排能力强和资源利用率高等优点,能够满足5G移动通信网络的服务化架构需求。与虚拟机相比,容器的安全性、资源隔离性较弱,面临多种安全风险。如何提高容器化虚拟网元的安全性,进而实现安全的5G移动通信网络,成为亟需解决的关键问题。传统网络安全防护措施如入侵检测、病毒查杀和防火墙是被动的防御手段,难以对容器化虚拟网元进行主动安全防护并对可信性进行有效评估,而且与云计算场景中的容器云相比,5G网络中的容器化虚拟网元面临的环境更复杂,面临的攻击手段和漏洞缺陷也更多样。可信计算技术以安全芯片为核心,能够增强通用计算平台和网络的可信性,针对面向5G的容器化虚拟网元的安全防护需求,本文以工作节点容器化虚拟网元、仓库中的容器化虚拟网元镜像为研究对象,分为可信度量、远程证明两个阶段展开研究工作,设计了相应的访问控制模型、度量架构、度量算法和远程证明协议,在开源移动网络平台Open Air Interface上对关键技术进行了实验验证,完成了相应的性能分析。本文的主要研究内容和创新点如下:1.针对承载虚拟网元的容器资源隔离性差,访问权限不明确的问题,提出基于可信计算的容器化虚拟网元访问控制模型,通过TPM的可信度量保证系统中信息数据库和访问控制策略库等内容的完整性。针对网络功能虚拟化架构中承载虚拟网元的裸机容器和虚拟机容器不同的度量需求,设计了度量架构。在此基础上,根据容器化虚拟网元长时间无间断运行的特点,设计了动态度量算法满足动态度量需求。最后,在开源移动网络平台Open Air Interface上对完整性度量功能进行了验证,设计实验对度量算法的资源使用进行了分析。2.针对容器化虚拟网元镜像远程证明时存在平台信息泄露和验证效率低的问题,通过提取容器镜像度量值,解析容器镜像层的信息,重构基于Merkle树的非平衡度量列表。在此基础上,针对现有网络功能虚拟化架构中缺少对容器化虚拟网元镜像进行远程挑战的问题,设计了相应的远程挑战功能模块。然后,设计了基于可信第三方（Privacy Certificate Authority,PCA）的证明流程,实验结果显示,基于Merkle树的非平衡度量列表能够减少证明过程中信息泄露和提高验证效率。3.针对二进制远程证明方案所存在的隐私泄露、不适用5G场景下网元不断更新升级和无法满足多种挑战需求等问题,在分析容器化虚拟网元安全风险和特点的基础上,定义容器化虚拟网元的安全属性,设计了基于属性的远程证明方案。最后,基于Ban逻辑对协议进行了形式化分析,结果显示协议能够满足预期目标。