移動邊緣計算中的安全問題現狀
目前對邊緣計算安全和隱私保護的研究工作尚處於初級階段,已有的研究成果較少。其中,一個確實可行的研究思路是將現有的其他相關領域的安全技術移植到邊緣計算環境中。
一、MEC在傳統安全防護下的差異
1) 認證安全
MEC網絡中包含大量地理分散的物聯網設備,由於設備在電力、處理和存儲等方面受到各種限制,網絡設備認證成為一個巨大的挑戰。由於物聯網設備的資源限制,傳統使用證書和公 鑰基礎設施(PKI)的身份驗證機制不再適用。MEC節點經常動態地加入或離開MEC網絡,當新的節點連接(或 離開)網絡時,需要確保對已注冊終端用戶的不間斷服務。節點必須能夠相互驗證自己新形成的MEC網絡。 此外,MEC節點還需要限制或拒絕來自惡意或受損節點的服務請求[11]。
2) 通信安全
MEC網絡中的設備通信主要包括物聯網設備與MEC節點之間的通信以及MEC節點之間的通信,通常情況下,很多設備可與MEC網絡中的任何MEC節點進行通信,請求MEC節點響應處理請求或存儲請求。但實際上,物聯網設備可能並不清楚 MEC網絡的存在,因此,物聯網設備發送的消息不能使用對稱加密技術,非對稱密鑰加密也存在很多挑戰。 MEC節點之間的通信需要端到端的安全,因為多條路徑中涉及的節點並不能被完全信任。
3) 隱私安全
MEC分布式節點的計算能力能夠降低數據中心的總壓力,但是,與終端用戶相鄰的MEC節點可能收集有關用戶身份、位置、應用程序使用等的敏感數據。另外,由於MEC節點的大面積分散,集中控制十分困難,安全性較差的邊緣節點可能成為入侵者進入MEC網絡的入口,入侵者一旦進入網絡,就可以挖掘和竊取用戶在實體間交換的隱私數據。
新挑戰:
1) 邊緣計算中基於多授權方的輕量級數據加密與細粒度數據共享新需求。
由於邊緣計算是一種融合了以授權實體為信任中心的多信任域共存的計算模式,使傳統的數據加密和共享策略不再適用。因此,設計針對多授權中心的數據加密方法顯得尤為重要,同時還應考慮算法的復雜性問題。
2) 分布式計算環境下的多源異構數據傳播管控和安全管理問題。
在邊緣式大數據處理時代,網絡邊緣設備中信息產生量呈現爆炸性增長。用戶或數據擁有者希望能夠采用有效的信息傳播管控和訪問控制機制,來實現數據的分發、搜索、獲取以及控制數據的授權范圍。此外,由於數據的外包特性,其所有權和控制權相互分離,因此有效的審計驗證方案能夠保證數據的完整性。
3) 邊緣計算的大規模互聯服務與資源受限終端之間的安全挑戰。
由於邊緣計算的多源數據融合特性、移動和互聯網絡的疊加性以及邊緣終端的存儲、計算和電池容量等方面的資源限制,使傳統較為復雜的加密算法、訪問控制措施、身份認證協議和隱私保護方法在邊緣計算中無法適用。
4)面向萬物互聯的多樣化服務以及邊緣計算模式對高效隱私保護的新要求。
網絡邊緣設備產生的海量級數據均涉及個人隱私,使隱私安全問題顯得尤為突出。除了需要設計有效的數據、位置和身份隱私保護方案之外,如何將傳統的隱私保護方案與邊緣計算環境中的邊緣數據處理特性相結合,使其在多樣化的服務環境中實現用戶隱私保護是未來的研究趨勢。
二、安全威脅
1.網絡基礎設施安全威脅
1)拒絕服務攻擊(Denial of Service,DoS)。
2)中間人攻擊(Man in the Middle,MITM)
3)偽造網關
2.邊緣數據中心安全威脅
1)隱私泄露
2)權限升級
3)服務操作
4)流氓數據中心
5)物理損害
3.邊緣基礎設施安全威脅
1)隱私泄露
2)服務操作
3)流氓基礎設施
4.虛擬化基礎設施安全威脅
1)拒絕服務
2)資源濫用
3)隱私泄露
4)權限升級
5)VM操作
5.用戶設備安全威脅
1)信息注入
2)服務操作
三、防御策略及對應研究方向
1.加密
主要用的加密手段有基於屬性加密(ABE)、代理重加密(PRE)和 全同態加密(FHE)算法。
文獻:【4】【5】【6】
研究方向展望:
數據加密技術為保證各類計算模式中的數據安全提供了有效的解決辦法。在開放式的邊緣計算環境下,如何將傳統的加密方案與邊緣計算中並行分布式架構、終端資源受限、邊緣大數據處理、高度動態環境等特性進行有機結合,實現輕量級、分布式的數據安全防護體系是未來的重點研究內容。
1) 在數據保密性和安全數據共享方面,結合屬性加密、代理重加密和同態加密等應用加密理論,如何設計低時延、支持動態操作的分布式安全存儲系統和正確處理網絡邊緣設備與雲中心之間的協同性是一個重要的研究思路。
2) 在數據完整性審計方面,一個主要的研究目的在於實現各種審計功能的同時盡可能提高審計效率並降低驗證開銷。其次,設計支持多源異構數據和動態數據更新的完整性審計方案有望成為未來的研究重點。
3) 在可搜索加密方面,首先,如何在分布式存儲服務模型下構造基於關鍵字的搜索方案,進一步拓展至邊緣計算環境中是一個可行的研究思路;其次,如何在安全多方共享模式下實現細粒度的搜索權限控制,使其在適用於不同信任域的多用戶搜索環境的同時,保證搜索的速度和精度。最后,針對 邊緣計算中分布式密文數據存儲模型,如何高效地構造安全索引使其適用於資源受限的網絡邊緣設備以及設計分布式可搜索加密算法是一個亟待解決的問題。
2.身份認證
統一認證、跨域認證、切換認證
文獻:【7】
研究方向展望:
當前,國內外研究者對身份認證協議的研究大多是在現有的安全協議基礎上進行改進和優化,包括協議的靈活性、高效性、節能性和隱私保護等。在邊緣計算中,身份認證協議的研究應借鑒現有方案的優勢之處,同時結合邊緣計算中分布式、移動性等特點,加強統一認證、跨域認證和切換認證技術的研究,以保障用戶在不同信任域和異構網絡環境下的數據和隱私安全。
由於邊緣計算是一個多實體和多信任域共存 的開放式動態系統,因此身份認證協議要考慮到實體與信任域之間的對應關系。具體的研究內容包括同一實體在不同信任域之間的跨域認證和切換認證;不同實體在相同信任域內的身份認證和相互認證;最后,在實現輕量級身份認證的同時兼顧匿名性、完整性、可追溯性和批量認證等功能也是一個重要的研究點。
3.訪問控制
文獻:【8】
研究方向展望:
邊緣計算中的訪問控制系統在原則上應適用於不同信任域之間的多實體訪問權限控制,同時還應考慮地理位置和資源所有權等各種因素。因此,設計一種細粒度、動態化、輕量級和多域訪問控制機制是接下來的研究重點,而高效的基於屬性和角色的訪問控制方法應該是比較適合邊緣計算環境的技術手段。
1) 支持跨域、跨群組的分級化訪問控制方案,實現從單域到多域的細粒度訪問控制,同時滿足設計目標和資源約束將是未來的一個重要研究方向。
2) 跨域訪問控制過程中的非法授權、訪問沖突以及密鑰管理、策略管理和屬性管理等方面仍然存在很多亟待解決的問題。
4.安全協議
四、潛在研究方向總結
l 1.協同計算中的數據隱私
l 2.傳統加密方案與分布式架構的結合
l 3.邊緣計算多實體的身份認證協議
l 4.安全與低時延數據共享問題
l 5.邊緣計算中的位置隱私
l 6.邊緣計算環境下的惡意軟件檢測
參考文獻
【1】曹咪, 徐雷, 陶冶. 移動邊緣計算安全問題與研究建議[J]. 信息通信技術, 2019, 13(001):67-75.
【2】張佳樂,趙彥超,陳兵,等.邊緣計算數據安全與隱私保護研究 綜述[J].通信學報,2018(3):1-21
【3】Roman R, Lopez J, Mambo M. Mobile edge computing. A survey and analysis of security threats and challenges [J]. Future Generation Computer Systems, 2018, 78: 680-698
【4】ZUO C, SHAO J, WEI G Y, et al. CCA-secure ABE with outsourced decryption for fog computing[J]. Future Generation Computer Sys- tems, 2018, PP(78): 730-738.
【5】KHAN A N, ALI M, KHAN A U R, et al. A comparative study and workload distribution model for re-encryption schemes in a mobile cloud computing environment[J]. International Journal of Communication Systems, 2017, 30(16): e3308.
【6】LOUK M, LIM H. Homomorphic encryption in mobile multi cloud computing[C]//The 25th International Conference on Information Networking (ICOIN’15). 2015: 493-497.
【7】YANG X, HUANG X Y, LIU J K. Efficient handover authentication with user anonymity and untraceability for mobile cloud computing[J]. Future Generation Computer Systems, 2016, 62(C): 190-195.
【8】JIN Y, TIAN C, HE H, et al. A secure and lightweight data access control scheme for mobile cloud computing[C]//The 5th International Conference on Big Data and Cloud Computing (BDCloud’15). 2015: 172-179.