Labs 導(dǎo)讀

移動邊緣計算作為將云計算能力下沉到邊緣節(jié)點的面向5G的新技術(shù)，具有路由控制、無線網(wǎng)絡(luò)能力開放和平臺管理三大區(qū)別于典型云平臺的獨特特性。在為終端提供低時延分布式的計算能力、智能節(jié)能的運行模式的同時，由于其靠近終端設(shè)備、運行資源有限、接入終端設(shè)備數(shù)據(jù)、支持設(shè)備移動性等特征，使得邊緣計算除了面臨云計算系統(tǒng)普遍存在的安全問題之外，還在基礎(chǔ)設(shè)施、虛擬化特征、數(shù)據(jù)資源、設(shè)備間交互和終端設(shè)備移動性等方面面臨新的安全威脅。本文將邊緣計算區(qū)別于一般云平臺的新特性入手，分析技術(shù)新特性帶來的安全問題并給出解決方案。

隨著5G網(wǎng)絡(luò)的到來，移動通信量將面臨巨幅的增長，通信量的增長和通信成本的壓力促使運營商實施多項變革，以保持用戶體驗的質(zhì)量、收入渠道的擴展、網(wǎng)絡(luò)運營的優(yōu)化和資源的充分利用。同時，隨著物聯(lián)網(wǎng)技術(shù)的快速發(fā)展和物聯(lián)網(wǎng)應(yīng)用的不斷涌現(xiàn)，物聯(lián)網(wǎng)連接設(shè)備的爆發(fā)式增長將進一步堵塞網(wǎng)絡(luò)，因此網(wǎng)絡(luò)運營商需要進行本地流量分析，采用網(wǎng)絡(luò)切片以緩解網(wǎng)絡(luò)擁塞帶來的影響。企業(yè)希望能夠通過更高效、安全和低延遲的連接方式來支持并與客戶接觸，應(yīng)用程序和內(nèi)容提供商在連接到云時也面臨網(wǎng)絡(luò)延遲的挑戰(zhàn)，而云計算的集中處理模式在大規(guī)模物聯(lián)網(wǎng)連接背景下存在無法滿足實時性需求、終端設(shè)備隱私數(shù)據(jù)信息上傳至云端數(shù)據(jù)中心會增加隱私泄露的風(fēng)險、連接數(shù)的增加帶來的云計算中心能耗問題等方面的不足，萬物互聯(lián)的需求催生出了邊緣計算模型。

1、移動邊緣計算

在2018年年底，中國電子技術(shù)標(biāo)準(zhǔn)化研究院、阿里云等單位共同編制并發(fā)布了一份《邊緣云計算技術(shù)與標(biāo)準(zhǔn)化白皮書》，定義了邊緣云計算的概念[1]，將移動邊緣計算設(shè)備部署在移動網(wǎng)絡(luò)邊緣、無線接入網(wǎng)絡(luò)(RAN)內(nèi)、靠近終端，為附近移動設(shè)備提供IT服務(wù)能力和云計算功能。移動邊緣計算設(shè)備可以直接訪問設(shè)備的上下文信息，如精確的地理位置、設(shè)備網(wǎng)絡(luò)狀態(tài)甚至終端設(shè)備的移動行為信息等。由于邊緣計算將計算能力直接下沉到靠近設(shè)備終端，不在網(wǎng)絡(luò)中進行長距離傳輸，因此可以降低敏感信息被泄露竊取的風(fēng)險[2]。但邊緣計算設(shè)備是終端設(shè)備數(shù)據(jù)的直接入口，能夠獲取到大量的用戶敏感信息數(shù)據(jù)，這就對邊緣計算設(shè)備的隱私保護機制提出了更高的要求。

移動邊緣計算將邊緣計算平臺的部署限制在5G等移動網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，在某些情況下，設(shè)備本身可以參與服務(wù)提供過程。在移動邊緣計算中，有幾類不同的用戶實體：云服務(wù)提供商、邊緣計算服務(wù)提供商和用戶。電信運營商可以成為移動邊緣計算的提供商，因為他們擁有部署邊緣數(shù)據(jù)中心的移動網(wǎng)絡(luò)基礎(chǔ)設(shè)施。第三方服務(wù)提供商可以與運營商密切合作，開發(fā)移動邊緣計算的專用服務(wù)。這樣的服務(wù)就可以被廣泛地測試，并可能以定制的方式集成。面對不同的用戶實體，其訪問資源的權(quán)限是不同的，在大規(guī)模的物聯(lián)網(wǎng)連接下，需要對不同的用戶實體滿足其最大限度享受資源共享需求的基礎(chǔ)上，實現(xiàn)對用戶訪問權(quán)限的管理，防止信息被非授權(quán)篡改和濫用。

移動邊緣計算是一個與RAN相鄰的高性能和電信級云平臺，允許在網(wǎng)絡(luò)邊緣進行計算。它同時處理從云服務(wù)主機到移動終端的下游數(shù)據(jù)和從移動終端到云主機的上游數(shù)據(jù)。移動邊緣計算平臺可以由標(biāo)準(zhǔn)IT服務(wù)器和基站內(nèi)外的網(wǎng)絡(luò)設(shè)備組成，第三方應(yīng)用程序在由網(wǎng)絡(luò)設(shè)備互連的虛擬機中部署和執(zhí)行。也可以簡單地使用標(biāo)準(zhǔn)IT服務(wù)器構(gòu)建移動邊緣計算平臺，其中網(wǎng)絡(luò)設(shè)備作為軟件實體實現(xiàn)。其架構(gòu)如圖1所示。

移動邊緣計算平臺的基本功能包括路由模塊、網(wǎng)絡(luò)能力開放模塊和平臺管理模塊[3]。路由模塊負(fù)責(zé)移動邊緣計算平臺、RAN和移動核心網(wǎng)之間以及移動邊緣計算平臺內(nèi)的分組轉(zhuǎn)發(fā)。網(wǎng)絡(luò)能力開放模塊允許無線網(wǎng)絡(luò)信息服務(wù)(RNIS)和無線資源管理(RRM)的授權(quán)功能開放。平臺管理模塊支持對第三方應(yīng)用程序進行認(rèn)證、授權(quán)、計費和管理[4]，涉及應(yīng)用程序部署的編排和對網(wǎng)絡(luò)能力開放的授權(quán)。

下面對移動邊緣計算框架中涉及的3個模塊中存在的安全問題做分析并給出解決方案。

2、路由控制模塊

2.1 安全風(fēng)險分析

通過路由控制模塊，用戶平面流量(上行鏈路或下行鏈路)被傳遞到一個應(yīng)用程序，該應(yīng)用程序可對流量進行監(jiān)控、修改或控制，然后將其發(fā)送回原始連接。邊緣環(huán)境下的終端設(shè)備具有很強的移動性，因此路由模塊應(yīng)該實現(xiàn)業(yè)務(wù)連續(xù)性。路由模塊應(yīng)具有在移動終端切換到連接不同移動邊緣計算平臺的接入點時，中斷并消除會話的能力。

路由模塊負(fù)責(zé)在移動邊緣計算平臺內(nèi)部虛擬機之間進行流量轉(zhuǎn)發(fā)，支持網(wǎng)絡(luò)虛擬化以促進靈活的分組轉(zhuǎn)發(fā)背板，在背板中根據(jù)需要分配網(wǎng)絡(luò)和安全服務(wù)給可進行編程管理的虛擬機。

在移動5G網(wǎng)絡(luò)中，需要加速內(nèi)容的交付，以便移動用戶及時檢索數(shù)據(jù)。為了實現(xiàn)優(yōu)化的數(shù)據(jù)傳輸，在基站和核心網(wǎng)絡(luò)之間引入了名為TCP性能增強代理(PEP)的中間箱[5]。引導(dǎo)移動網(wǎng)絡(luò)外部的TCP服務(wù)器向移動終端傳輸數(shù)據(jù)，并將無線信道容量的近實時信息插入無線網(wǎng)絡(luò)TCP數(shù)據(jù)分組的選項字段中。TCP服務(wù)器可以利用它來提高移動網(wǎng)絡(luò)的利用率。由于路由模塊需要負(fù)責(zé)流量的傳輸，并且邊緣節(jié)點的能力相較于云計算中心比較有限，容易遭到流量攻擊，盡管單個邊緣節(jié)點被破壞，附近網(wǎng)絡(luò)會迅速找到最近的可替代節(jié)點進行調(diào)節(jié)，損害并不大，但如果黑客將攻陷的邊緣節(jié)點作為“肉雞”去攻擊其它服務(wù)器，在短時間內(nèi)用大量的僵尸節(jié)點去訪問服務(wù)器，會導(dǎo)致服務(wù)器癱瘓進而會對整個網(wǎng)絡(luò)造成影響。

2.2解決方案

在進行流量轉(zhuǎn)發(fā)時建議劃分流量類型，并在中心和分支之間設(shè)置防火墻。在某些情況下，邊緣計算設(shè)備可能根本不需要連接到企業(yè)網(wǎng)絡(luò)，例如使用邊緣網(wǎng)站運營農(nóng)場或自動化工廠，就不需要訪問客戶數(shù)據(jù)。邊緣的微數(shù)據(jù)中心應(yīng)具有冗余保護級別的集群，并對傳輸?shù)臄?shù)據(jù)進行機密性和完整性、防重放保護，調(diào)用移動邊緣計算平臺的 API 時應(yīng)進行認(rèn)證和授權(quán)，移動邊緣計算平臺應(yīng)進行安全防護，實現(xiàn)最小化原則，關(guān)閉所有不必要的端口和服務(wù)，敏感數(shù)據(jù)(如用戶中的位置信息、無線網(wǎng)絡(luò)的信息等)應(yīng)進行安全存儲，禁止非授權(quán)訪問。移動邊緣計算臺應(yīng)具備 DDoS 防護功能等。

對于部署在虛擬化邊緣環(huán)境中的虛擬機，可以加強虛擬機之間的隔離，對不安全的設(shè)備進行嚴(yán)格隔離，防止用戶流量流入到惡意虛擬機中。另外，可以實時監(jiān)測虛擬機的運行情況，有效監(jiān)控惡意虛擬機行為，避免惡意虛擬機遷移對其它邊緣數(shù)據(jù)中心造成感染。

3、開放無線網(wǎng)絡(luò)能力

3.1 安全風(fēng)險分析

移動邊緣計算架構(gòu)中，邊緣設(shè)備可以通過開放的網(wǎng)絡(luò)能力利用同構(gòu)的應(yīng)用程序編程接口(API)將從底層移動網(wǎng)絡(luò)中提取的服務(wù)和功能安全的提供給第三方應(yīng)用。與此同時，這些開放的 API 也給移動邊緣計算帶來了一定的安全威脅。

在參考文獻(xiàn)[6]中提到，給各參與者如用戶、虛擬機和其它數(shù)據(jù)中心等提供服務(wù)的 API 集以及其它網(wǎng)絡(luò)應(yīng)用的接入點給攻擊者提供了數(shù)量可觀的攻擊面，增加了攻擊向量維度。邊緣計算客戶端越智能，越容易遭受惡意軟件和安全漏洞攻擊。同時，網(wǎng)絡(luò)邊緣高度動態(tài)的環(huán)境也使網(wǎng)絡(luò)變得更加脆弱和不受保護，從而帶來隱私泄露、權(quán)限升級和服務(wù)操縱等安全問題。

• 隱私泄露：邊緣設(shè)備主要存儲和處理來自其附近實體的信息，在某些特殊情況下(如分布式服務(wù)器、遷移虛擬機等)，它可以處理來自其它位置的數(shù)據(jù)。這些邊緣設(shè)備往往能夠提取有關(guān)用戶的敏感信息[7]。因此，隱私泄露是邊緣計算開放網(wǎng)絡(luò)能力的主要威脅之一。
• 權(quán)限升級：開放網(wǎng)絡(luò)能力給外部對手控制其服務(wù)提供了更多的攻擊面，使得這些基礎(chǔ)設(shè)施配置易被篡改，并且也容易被內(nèi)部攻擊者惡意利用和篡改權(quán)限。
• 服務(wù)操縱：一旦邊緣數(shù)據(jù)中心被惡意分子控制，通過權(quán)限提升或濫用自己的特權(quán)成為合法管理員，便可以操縱數(shù)據(jù)中心的服務(wù)，從而造成選擇性拒絕服務(wù)供給和選擇性信息篡改的安全風(fēng)險。

3.2 解決方案

在對外提供服務(wù)接口的基礎(chǔ)上，要對數(shù)據(jù)面網(wǎng)關(guān)進行安全加固、保障接口安全、保護敏感數(shù)據(jù)以及防護物理接觸攻擊，實現(xiàn)用戶數(shù)據(jù)能夠按照分流策略進行正確的轉(zhuǎn)發(fā)。具體包括數(shù)據(jù)面與移動邊緣計算之間、數(shù)據(jù)面與交互的核心網(wǎng)網(wǎng)元之間應(yīng)進行相互認(rèn)證;應(yīng)對數(shù)據(jù)面與移動邊緣計算之間的接口、數(shù)據(jù)面與交互的核心網(wǎng)網(wǎng)元之間的接口上的通信內(nèi)容進行機密性、完整性和防重放的保護;應(yīng)對數(shù)據(jù)面上的敏感信息(如分流策略)進行安全保護;數(shù)據(jù)面是核心網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)功能網(wǎng)元，從核心網(wǎng)下沉到接入網(wǎng)，應(yīng)防止攻擊者篡改數(shù)據(jù)面網(wǎng)元的配置數(shù)據(jù)、讀取敏感信息等。

針對權(quán)限升級和服務(wù)操縱問題，可考慮基于區(qū)塊鏈的信任安全架構(gòu)，中心思想是不自動信任任何內(nèi)部或外部的用戶或終端，在進行授權(quán)之前對任何試圖接入的設(shè)備進行驗證，限制黑客的橫向移動，防止攻擊者滲透端點設(shè)備成功后，在整個環(huán)境中橫向移動或者利用網(wǎng)絡(luò)釣魚獲得準(zhǔn)入憑證從而直接到達(dá)目標(biāo)資產(chǎn)所在的數(shù)據(jù)中心。

4、平臺管理

4.1安全風(fēng)險分析

平臺管理模塊對其它模塊和本地IT基礎(chǔ)設(shè)施進行管理，支持對網(wǎng)絡(luò)能力開放模塊和分配給第三方應(yīng)用程序的本地IT基礎(chǔ)設(shè)施資源進行認(rèn)證、授權(quán)和計費操作。對本地IT基礎(chǔ)設(shè)施的管理主要部署為基礎(chǔ)設(shè)施即服務(wù)(IaaS)[8]，如OpenStack。平臺管理模塊由控制計算、存儲和網(wǎng)絡(luò)資源的硬件池的相互關(guān)聯(lián)的組件組成，以便能夠根據(jù)第三方應(yīng)用程序的要求規(guī)劃和協(xié)調(diào)IT資源。在平臺管理的IaaS中，存在兩個方面的安全問題：終端的數(shù)據(jù)安全與不同終端間的數(shù)據(jù)安全。由于邊緣設(shè)備是數(shù)據(jù)的直接入口，終端用戶的可公開數(shù)據(jù)與隱私數(shù)據(jù)都是直接經(jīng)過邊緣設(shè)備進行傳輸與處理，這就需要邊緣設(shè)備對這些數(shù)據(jù)進行分別處理，對隱私數(shù)據(jù)進行加密保護，保證數(shù)據(jù)的安全和隔離，避免隱私數(shù)據(jù)被泄露和竊取。不同終端之間的數(shù)據(jù)是不同的，有些終端數(shù)據(jù)是不能外泄的。這就需要對不同終端間的數(shù)據(jù)進行隔離，保證各個終端的數(shù)據(jù)間的準(zhǔn)確和安全。

平臺管理模塊對網(wǎng)絡(luò)能力開放和路由模塊的管理是作為PaaS實體構(gòu)建的，包括中間件的創(chuàng)建、刪除、認(rèn)證和注冊。它應(yīng)提供標(biāo)準(zhǔn)化環(huán)境，以便移動邊緣計算平臺能夠容納來自不同供應(yīng)商的組件，管理層同樣存在移動網(wǎng)絡(luò)遭受錯誤或惡意API調(diào)用的干擾的安全問題。

管理模塊和網(wǎng)絡(luò)能力開放模塊可以對路由模塊啟動路由策略設(shè)置。管理模塊應(yīng)具備網(wǎng)絡(luò)安全系統(tǒng)處理特定功能的能力和對加載到本地網(wǎng)絡(luò)的用戶流量進行收費。管理模塊的權(quán)限較大，如果遭到攻擊將會對平臺造成很大的影響。移動邊緣計算平臺由于相對有限的計算與存儲資源，無法部署全局的入侵檢測系統(tǒng)，并且在大規(guī)模物聯(lián)網(wǎng)環(huán)境下，基礎(chǔ)設(shè)備的結(jié)構(gòu)、協(xié)議、服務(wù)提供商都是不同的，沒有統(tǒng)一的規(guī)范，因此難以檢測內(nèi)部攻擊和外部攻擊。

4.2 解決方案

平臺的安全管理同傳統(tǒng)網(wǎng)絡(luò)的安全管理一樣，涉及到賬號、密鑰的安全、授權(quán)管理和日志的安全等，要確保只有授權(quán)用戶才能執(zhí)行操作。用于訪問設(shè)備的密鑰不能是簡單的或者默認(rèn)密鑰，應(yīng)采用強密碼或多因素身份認(rèn)證，尤其是管理員和root-access賬戶。

由于邊緣計算是將計算能力下沉到了邊緣，一些操作與計算過程不經(jīng)過核心網(wǎng)，是在小范圍進行計算和數(shù)據(jù)傳輸，缺少了對這些操作的監(jiān)管。當(dāng)邊緣計算包括做出關(guān)鍵決策的能力時，需要額外關(guān)注它接收到的數(shù)據(jù)或命令，包括檢查傳統(tǒng)的網(wǎng)絡(luò)安全威脅如輸入錯誤，也必須包括對有效數(shù)據(jù)的完整性檢查。同時，建議對邊緣計算平臺的日志數(shù)據(jù)進行定時審計，以便及時發(fā)現(xiàn)上述攻擊事件與安全問題。

5、結(jié)束語

通過移動邊緣計算，使無線接入網(wǎng)具有計算和存儲能力，將各類計算服務(wù)從云側(cè)推到網(wǎng)絡(luò)邊緣，可以確保更短的響應(yīng)時間和更好的可靠性，同時也可以大幅節(jié)省數(shù)據(jù)傳輸?shù)膸抂9]。使用移動邊緣計算增強的RAN能夠依靠其邊緣服務(wù)器或云資源向移動終端提供上下文感知服務(wù)，并進行用戶流量轉(zhuǎn)發(fā)。

本文從移動邊緣計算的架構(gòu)入手，分析了路由轉(zhuǎn)發(fā)、無線網(wǎng)絡(luò)開放和平臺管理3個模塊的具體功能和相關(guān)的安全風(fēng)險，并提出了解決建議。在防范移動邊緣計算安全風(fēng)險的基礎(chǔ)上，對于有高安全級別需求的移動邊緣計算應(yīng)用，未來還應(yīng)考慮如何通過能力開放，將網(wǎng)絡(luò)的安全能力以安全服務(wù)的方式提供給移動邊緣計算應(yīng)用，在滿足安全需求的同時，支撐擴展更多的商業(yè)模式，創(chuàng)造更大的網(wǎng)絡(luò)價值。