今日頭條
官方微信
官方抖音
資訊頻道一、移動邊緣計(jì)算簡介
移動邊緣計(jì)算(Mobile Edge Computing, MEC)概念最初于2013年出現(xiàn)。IBM與Nokia Siemens網(wǎng)絡(luò)當(dāng)時共同推出了一款計(jì)算平臺,可在無線基站內(nèi)部運(yùn)行應(yīng)用程序,向移動用戶提供業(yè)務(wù)。歐洲電信標(biāo)準(zhǔn)協(xié)會(ETSI)于2014年成立移動邊緣計(jì)算規(guī)范工作組,正式宣布推動移動邊緣計(jì)算標(biāo)準(zhǔn)化。
ETSI定義MEC為在移動網(wǎng)邊緣提供IT服務(wù)環(huán)境和云計(jì)算能力。隨著一些具有高速率、低時延需求的新型業(yè)務(wù)的出現(xiàn),傳統(tǒng)通過核心網(wǎng)完成數(shù)據(jù)傳輸和數(shù)據(jù)處理的方式已難以滿足這些業(yè)務(wù)的需求。MEC的出現(xiàn),將網(wǎng)絡(luò)業(yè)務(wù)和計(jì)算能力下沉到更接近用戶的無線接入網(wǎng)側(cè),從而降低核心網(wǎng)的負(fù)載和開銷,并降低了業(yè)務(wù)時延。2016年,ETSI將邊緣計(jì)算的概念擴(kuò)展為多接入點(diǎn)邊緣計(jì)算(Multi-Access Edge Computing),將MEC從電信蜂窩網(wǎng)絡(luò)擴(kuò)展至其他無線接入網(wǎng)絡(luò)(如WLAN)。MEC可以為用戶提供本地視頻、AR/VR、用戶定位、視頻QoS優(yōu)化、視頻監(jiān)控、流量分析等服務(wù)。
MEC還將作為關(guān)鍵技術(shù)滿足5G本地低時延業(yè)務(wù)的需求。ETSI在2018年6月份發(fā)布了《MEC in 5G networks》白皮書,介紹了5G服務(wù)化網(wǎng)絡(luò)架構(gòu)與MEC服務(wù)的融合方式。MEC可以作為應(yīng)用功能(AF)與5G核心網(wǎng)的網(wǎng)絡(luò)開放功能(NEF)進(jìn)行交互,通過策略控制功能(PCF),向會話管理功能(SMF)下發(fā)本地流量路由策略,從而使用戶的業(yè)務(wù)流量流向本地用戶面功能(UPF),再到MEC提供的本地?cái)?shù)據(jù)網(wǎng)絡(luò)。
二、MEC面臨的安全風(fēng)險
MEC將云數(shù)據(jù)中心的計(jì)算能力下沉到了網(wǎng)絡(luò)邊緣,一方面,MEC基礎(chǔ)設(shè)施通常部署在無線基站等網(wǎng)絡(luò)邊緣,使其更容易暴露在不安全的環(huán)境中。另一方面,MEC將采用開放應(yīng)用編程接口(API)、開放的網(wǎng)絡(luò)功能虛擬化(NFV)等技術(shù),開放性的引入容易將MEC暴露給外部攻擊者。然而,與云中心相比,由于邊緣設(shè)施的資源和能力有限,難以提供與云數(shù)據(jù)中心一致的安全能,MEC服務(wù)面臨一定的安全風(fēng)險問題(如圖1所示),包含以下幾個方面:
1. 認(rèn)證與授權(quán)
MEC可以認(rèn)為是在網(wǎng)絡(luò)上層為用戶提供邊緣業(yè)務(wù), MEC服務(wù)可以由網(wǎng)絡(luò)運(yùn)營商或者第三方服務(wù)商提供。如果MEC服務(wù)由運(yùn)營商提供,可以認(rèn)為MEC服務(wù)與網(wǎng)絡(luò)之間是可信的。但如果MEC服務(wù)由第三方提供,在接入網(wǎng)絡(luò)的時候如果沒有與網(wǎng)絡(luò)之間進(jìn)行認(rèn)證與授權(quán),則面臨惡意第三方接入網(wǎng)絡(luò)提供非法服務(wù)的風(fēng)險。
2. 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全
空口傳輸安全:邊緣MEC服務(wù)器可部署在無線基站側(cè),用戶與基站之間的空口通信容易受到DDoS、無線干擾、惡意監(jiān)聽等攻擊。
中間人攻擊:外部的惡意用戶可以通過入侵和控制部分MEC網(wǎng)絡(luò)設(shè)備,發(fā)起非法監(jiān)聽或者流量篡改等攻擊行為, 例如當(dāng)網(wǎng)絡(luò)之間的網(wǎng)關(guān)被入侵后,所有通過該網(wǎng)關(guān)的流量將會暴露給惡意用戶。
偽設(shè)備:惡意用戶會可能在MEC服務(wù)區(qū)域部署偽基站、偽網(wǎng)關(guān)等設(shè)備,造成用戶的流量被非法監(jiān)聽或篡改。
3. 邊緣數(shù)據(jù)中心安全
物理破壞:MEC邊緣數(shù)據(jù)中心的服務(wù)設(shè)施可能部署在不可信的物理環(huán)境中,部分區(qū)域的設(shè)備可能會受到惡意用戶的物理破壞。由于MEC服務(wù)設(shè)施通常部署在本地,物理破壞通常發(fā)生在局部區(qū)域內(nèi)。
隱私泄露:雖然邊緣數(shù)據(jù)中心通常只處理和存儲一定地理范圍內(nèi)用戶的數(shù)據(jù),但是如果缺乏相關(guān)的數(shù)據(jù)保護(hù)機(jī)制,外部惡意用戶可能會入侵?jǐn)?shù)據(jù)中心并獲取MEC用戶的敏感數(shù)據(jù),尤其是用戶位置等敏感數(shù)據(jù)。
服務(wù)篡改:如果惡意用戶通過權(quán)限升級或者惡意軟件入侵攻擊邊緣數(shù)據(jù)中心,并獲得了系統(tǒng)的控制權(quán)限,則惡意用戶可能會終止或者篡改MEC主機(jī)提供的業(yè)務(wù),并且可以發(fā)起選擇性的DoS攻擊或者用戶敏感信息竊取。
4. 虛擬化安全
開放接口攻擊:通常邊緣數(shù)據(jù)中心會采用網(wǎng)絡(luò)功能虛擬化的方式實(shí)現(xiàn),通常邊緣的虛擬化設(shè)施會為用戶和邊緣數(shù)據(jù)中心配置開放API,這些接口會傳輸物理和邏輯環(huán)境中的信息,例如本地網(wǎng)絡(luò)的狀態(tài)。如果接口被外部惡意用戶攻擊,會造成NFV環(huán)境中的敏感數(shù)據(jù)泄露。
權(quán)限升級:惡意的VM可能會通過獲取主機(jī)的操作管理權(quán)限,如果虛擬機(jī)(VM)之間的隔離不足,惡意VM可以篡改其他VM的計(jì)算任務(wù),影響邊緣數(shù)據(jù)計(jì)算和業(yè)務(wù)處理的結(jié)果。此外,惡意用戶可能在VM中植入惡意軟件、木馬病毒等。 當(dāng)用戶發(fā)生移動導(dǎo)致VM發(fā)生遷移時,惡意VM會感染其他區(qū)域內(nèi)的虛擬化MEC主機(jī)和系統(tǒng)。
資源濫用:一方面,惡意VM 占用MEC系統(tǒng)的資源執(zhí)行惡意程序,例如破解MEC系統(tǒng)管理員密碼,或作為僵尸服務(wù)器發(fā)動DDoS攻擊等。另一方面,通常MEC邊緣的網(wǎng)絡(luò)、計(jì)算和存儲資源不如云數(shù)據(jù)中心充足,惡意VM可能通過執(zhí)行與計(jì)算任務(wù)無關(guān)的程序,耗盡MEC系統(tǒng)的網(wǎng)絡(luò)、計(jì)算和存儲資源,影響MEC系統(tǒng)工作效率。
5. 用戶設(shè)備安全
當(dāng)MEC用戶設(shè)備被惡意用戶控制后,一方面會造成用戶隱私數(shù)據(jù)泄露風(fēng)險;另一方面用戶設(shè)備可能被惡意控制向周邊其他邊緣用戶發(fā)送虛假信息,例如受感染的車聯(lián)網(wǎng)MEC終端設(shè)備傳播錯誤的路況信息。
三、MEC安全問題解決思路
為了應(yīng)對上述安全風(fēng)險問題,可以通過以下方式增強(qiáng)MEC服務(wù)的安全。
1. 采用集中式或分布式的鑒權(quán)和認(rèn)證方法
一方面,可以通過第三方認(rèn)證服務(wù)器,對MEC設(shè)備之間進(jìn)行鑒權(quán)和認(rèn)證。但是這種方式要求部署第三方服務(wù)器,依賴于第三方認(rèn)證服務(wù)的可靠性和安全性。 另一方面,由于邊緣計(jì)算服務(wù)器和設(shè)備數(shù)量較多,且可能采用分布式交互的方式,因此一些分布式認(rèn)證和鑒權(quán)機(jī)制也可以用于邊緣設(shè)備之間的認(rèn)證和鑒權(quán),例如設(shè)備之間通過公鑰基礎(chǔ)設(shè)施(PKI)進(jìn)行雙向認(rèn)證。這樣的認(rèn)證可以不依賴于第三方認(rèn)證服務(wù),但是要求邊緣用戶存儲相關(guān)的認(rèn)證信息。
2. 充分利用已有通信安全協(xié)議
在MEC服務(wù)中,用戶與MEC服務(wù)器之間的通信會涉及到許多通信協(xié)議,例如TCP/IP協(xié)議、802.11系列協(xié)議、5G協(xié)議等。這些協(xié)議中都包含對用戶的接入認(rèn)證、數(shù)據(jù)傳輸安全等相關(guān)的安全協(xié)議和機(jī)制。例如,IETF剛在8月份發(fā)布了TLS 1.3版本,通過增強(qiáng)對握手協(xié)商的加密來保護(hù)數(shù)據(jù)免受竊聽。3GPP也于2018年3月份發(fā)布了R15版本的5G安全協(xié)議。在MEC服務(wù)框架下,可以充分利用上述安全協(xié)議的特點(diǎn),解決MEC服務(wù)中認(rèn)證鑒權(quán)、數(shù)據(jù)傳輸、隱私保護(hù)等安全問題。
3. 采用入侵檢測技術(shù)發(fā)現(xiàn)惡意攻擊
應(yīng)用于云數(shù)據(jù)中心的入侵檢測技術(shù)也可以應(yīng)用于邊緣數(shù)據(jù)中心,對惡意軟件、惡意攻擊等行為進(jìn)行檢測。此外,對于邊緣分布式的特點(diǎn),可以通過相應(yīng)的分布式邊緣入侵檢測技術(shù)來進(jìn)行識別,通過多節(jié)點(diǎn)之間進(jìn)行協(xié)作,以自組織的方式實(shí)現(xiàn)對惡意攻擊的檢測。
4. 應(yīng)用數(shù)據(jù)加密增強(qiáng)用戶隱私安全
還可以對邊緣數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行保密性和完整性保護(hù),增強(qiáng)對VM數(shù)據(jù)存儲、計(jì)算處理和遷移過程中的數(shù)據(jù)安全保護(hù),提高用戶隱私數(shù)據(jù)的安全性。
5. 通過虛擬機(jī)隔離提升虛擬化安全
對于部署在虛擬化邊緣環(huán)境中的VM,可以加強(qiáng)VM之間的隔離,對不安全的設(shè)備進(jìn)行嚴(yán)格隔離,防止用戶流量流入到惡意VM中。另外,可以實(shí)時監(jiān)測VM的運(yùn)行情況,有效發(fā)掘惡意VM行為,避免惡意VM遷移對其他邊緣數(shù)據(jù)中心造成感染。
來源:中國信通院網(wǎng)站
北京市公安局海淀分局備案號:11010802023656號