移動邊緣計算中的安全問題現狀
目前對邊緣計算安全和隱私保護的研究工作尚處於初級階段,已有的研究成果較少。其中,一個確實可行的研究思路是將現有的其他相關領域的安全技術移植到邊緣計算環境中。
一、MEC在傳統安全防護下的差異
1) 認證安全
MEC網路中包含大量地理分散的物聯網裝置,由於裝置在電力、處理和儲存等方面受到各種限制,網路裝置認證成為一個巨大的挑戰。由於物聯網裝置的資源限制,傳統使用證書和公 鑰基礎設施(PKI)的身份驗證機制不再適用。MEC節點經常動態地加入或離開MEC網路,當新的節點連線(或 離開)網路時,需要確保對已註冊終端使用者的不間斷服務。節點必須能夠相互驗證自己新形成的MEC網路。 此外,MEC節點還需要限制或拒絕來自惡意或受損節點的服務請求[11]。
2) 通訊安全
MEC網路中的裝置通訊主要包括物聯網裝置與MEC節點之間的通訊以及MEC節點之間的通訊,通常情況下,很多裝置可與MEC網路中的任何MEC節點進行通訊,請求MEC節點響應處理請求或儲存請求。但實際上,物聯網裝置可能並不清楚 MEC網路的存在,因此,物聯網裝置傳送的訊息不能使用對稱加密技術,非對稱金鑰加密也存在很多挑戰。 MEC節點之間的通訊需要端到端的安全,因為多條路徑中涉及的節點並不能被完全信任。
3) 隱私安全
MEC分散式節點的計算能力能夠降低資料中心的總壓力,但是,與終端使用者相鄰的MEC節點可能收集有關使用者身份、位置、應用程式使用等的敏感資料。另外,由於MEC節點的大面積分散,集中控制十分困難,安全性較差的邊緣節點可能成為入侵者進入MEC網路的入口,入侵者一旦進入網路,就可以挖掘和竊取使用者在實體間交換的隱私資料。
新挑戰:
1) 邊緣計算中基於多授權方的輕量級資料加密與細粒度資料共享新需求。
由於邊緣計算是一種融合了以授權實體為信任中心的多信任域共存的計算模式,使傳統的資料加密和共享策略不再適用。因此,設計針對多授權中心的資料加密方法顯得尤為重要,同時還應考慮演算法的複雜性問題。
2) 分散式計算環境下的多源異構資料傳播管控和安全管理問題。
在邊緣式大資料處理時代,網路邊緣裝置中資訊產生量呈現爆炸性增長。使用者或資料擁有者希望能夠採用有效的資訊傳播管控和訪問控制機制,來實現資料的分發、搜尋、獲取以及控制資料的授權範圍。此外,由於資料的外包特性,其所有權和控制權相互分離,因此有效的審計驗證方案能夠保證資料的完整性。
3) 邊緣計算的大規模互聯服務與資源受限終端之間的安全挑戰。
由於邊緣計算的多源資料融合特性、移動和網際網路絡的疊加性以及邊緣終端的儲存、計算和電池容量等方面的資源限制,使傳統較為複雜的加密演算法、訪問控制措施、身份認證協議和隱私保護方法在邊緣計算中無法適用。
4)面向萬物互聯的多樣化服務以及邊緣計算模式對高效隱私保護的新要求。
網路邊緣裝置產生的海量級資料均涉及個人隱私,使隱私安全問題顯得尤為突出。除了需要設計有效的資料、位置和身份隱私保護方案之外,如何將傳統的隱私保護方案與邊緣計算環境中的邊緣資料處理特性相結合,使其在多樣化的服務環境中實現使用者隱私保護是未來的研究趨勢。
二、安全威脅
1.網路基礎設施安全威脅
1)拒絕服務攻擊(Denial of Service,DoS)。
2)中間人攻擊(Man in the Middle,MITM)
3)偽造閘道器
2.邊緣資料中心安全威脅
1)隱私洩露
2)許可權升級
3)服務操作
4)流氓資料中心
5)物理損害
3.邊緣基礎設施安全威脅
1)隱私洩露
2)服務操作
3)流氓基礎設施
4.虛擬化基礎設施安全威脅
1)拒絕服務
2)資源濫用
3)隱私洩露
4)許可權升級
5)VM操作
5.使用者裝置安全威脅
1)資訊注入
2)服務操作
三、防禦策略及對應研究方向
1.加密
主要用的加密手段有基於屬性加密(ABE)、代理重加密(PRE)和 全同態加密(FHE)演算法。
文獻:【4】【5】【6】
研究方向展望:
資料加密技術為保證各類計算模式中的資料安全提供了有效的解決辦法。在開放式的邊緣計算環境下,如何將傳統的加密方案與邊緣計算中並行分散式架構、終端資源受限、邊緣大資料處理、高度動態環境等特性進行有機結合,實現輕量級、分散式的資料安全防護體系是未來的重點研究內容。
1) 在資料保密性和安全資料共享方面,結合屬性加密、代理重加密和同態加密等應用加密理論,如何設計低時延、支援動態操作的分散式安全儲存系統和正確處理網路邊緣裝置與雲中心之間的協同性是一個重要的研究思路。
2) 在資料完整性審計方面,一個主要的研究目的在於實現各種審計功能的同時儘可能提高審計效率並降低驗證開銷。其次,設計支援多源異構資料和動態資料更新的完整性審計方案有望成為未來的研究重點。
3) 在可搜尋加密方面,首先,如何在分散式儲存服務模型下構造基於關鍵字的搜尋方案,進一步擴充至邊緣計算環境中是一個可行的研究思路;其次,如何在安全多方共享模式下實現細粒度的搜尋許可權控制,使其在適用於不同信任域的多使用者搜尋環境的同時,保證搜尋的速度和精度。最後,針對 邊緣計算中分散式密文資料儲存模型,如何高效地構造安全索引使其適用於資源受限的網路邊緣裝置以及設計分散式可搜尋加密演算法是一個亟待解決的問題。
2.身份認證
統一認證、跨域認證、切換認證
文獻:【7】
研究方向展望:
當前,國內外研究者對身份認證協議的研究大多是在現有的安全協議基礎上進行改進和優化,包括協議的靈活性、高效性、節能性和隱私保護等。在邊緣計算中,身份認證協議的研究應借鑑現有方案的優勢之處,同時結合邊緣計算中分散式、移動性等特點,加強統一認證、跨域認證和切換認證技術的研究,以保障使用者在不同信任域和異構網路環境下的資料和隱私安全。
由於邊緣計算是一個多實體和多信任域共存 的開放式動態系統,因此身份認證協議要考慮到實體與信任域之間的對應關係。具體的研究內容包括同一實體在不同信任域之間的跨域認證和切換認證;不同實體在相同信任域內的身份認證和相互認證;最後,在實現輕量級身份認證的同時兼顧匿名性、完整性、可追溯性和批量認證等功能也是一個重要的研究點。
3.訪問控制
文獻:【8】
研究方向展望:
邊緣計算中的訪問控制系統在原則上應適用於不同信任域之間的多實體訪問許可權控制,同時還應考慮地理位置和資源所有權等各種因素。因此,設計一種細粒度、動態化、輕量級和多域訪問控制機制是接下來的研究重點,而高效的基於屬性和角色的訪問控制方法應該是比較適合邊緣計算環境的技術手段。
1) 支援跨域、跨群組的分級化訪問控制方案,實現從單域到多域的細粒度訪問控制,同時滿足設計目標和資源約束將是未來的一個重要研究方向。
2) 跨域訪問控制過程中的非法授權、訪問衝突以及金鑰管理、策略管理和屬性管理等方面仍然存在很多亟待解決的問題。
4.安全協議
四、潛在研究方向總結
l 1.協同計算中的資料隱私
l 2.傳統加密方案與分散式架構的結合
l 3.邊緣計算多實體的身份認證協議
l 4.安全與低時延資料共享問題
l 5.邊緣計算中的位置隱私
l 6.邊緣計算環境下的惡意軟體檢測
參考文獻
【1】曹咪, 徐雷, 陶冶. 移動邊緣計算安全問題與研究建議[J]. 資訊通訊技術, 2019, 13(001):67-75.
【2】張佳樂,趙彥超,陳兵,等.邊緣計算資料安全與隱私保護研究 綜述[J].通訊學報,2018(3):1-21
【3】Roman R, Lopez J, Mambo M. Mobile edge computing. A survey and analysis of security threats and challenges [J]. Future Generation Computer Systems, 2018, 78: 680-698
【4】ZUO C, SHAO J, WEI G Y, et al. CCA-secure ABE with outsourced decryption for fog computing[J]. Future Generation Computer Sys- tems, 2018, PP(78): 730-738.
【5】KHAN A N, ALI M, KHAN A U R, et al. A comparative study and workload distribution model for re-encryption schemes in a mobile cloud computing environment[J]. International Journal of Communication Systems, 2017, 30(16): e3308.
【6】LOUK M, LIM H. Homomorphic encryption in mobile multi cloud computing[C]//The 25th International Conference on Information Networking (ICOIN’15). 2015: 493-497.
【7】YANG X, HUANG X Y, LIU J K. Efficient handover authentication with user anonymity and untraceability for mobile cloud computing[J]. Future Generation Computer Systems, 2016, 62(C): 190-195.
【8】JIN Y, TIAN C, HE H, et al. A secure and lightweight data access control scheme for mobile cloud computing[C]//The 5th International Conference on Big Data and Cloud Computing (BDCloud’15). 2015: 172-179.