一、移動(dòng)邊緣計算簡(jiǎn)介

　　移動(dòng)邊緣計算（Mobile Edge Computing, MEC）概念最初于2013年出現。IBM與Nokia Siemens網(wǎng)絡(luò )當時(shí)共同推出了一款計算平臺，可在無(wú)線(xiàn)基站內部運行應用程序，向移動(dòng)用戶(hù)提供業(yè)務(wù)。歐洲電信標準協(xié)會(huì )（ETSI）于2014年成立移動(dòng)邊緣計算規范工作組，正式宣布推動(dòng)移動(dòng)邊緣計算標準化。

　　ETSI定義MEC為在移動(dòng)網(wǎng)邊緣提供IT服務(wù)環(huán)境和云計算能力。隨著(zhù)一些具有高速率、低時(shí)延需求的新型業(yè)務(wù)的出現，傳統通過(guò)核心網(wǎng)完成數據傳輸和數據處理的方式已難以滿(mǎn)足這些業(yè)務(wù)的需求。MEC的出現，將網(wǎng)絡(luò )業(yè)務(wù)和計算能力下沉到更接近用戶(hù)的無(wú)線(xiàn)接入網(wǎng)側，從而降低核心網(wǎng)的負載和開(kāi)銷(xiāo)，并降低了業(yè)務(wù)時(shí)延。2016年，ETSI將邊緣計算的概念擴展為多接入點(diǎn)邊緣計算（Multi-Access Edge Computing），將MEC從電信蜂窩網(wǎng)絡(luò )擴展至其他無(wú)線(xiàn)接入網(wǎng)絡(luò )（如WLAN）。MEC可以為用戶(hù)提供本地視頻、AR/VR、用戶(hù)定位、視頻QoS優(yōu)化、視頻監控、流量分析等服務(wù)。

　　MEC還將作為關(guān)鍵技術(shù)滿(mǎn)足5G本地低時(shí)延業(yè)務(wù)的需求。ETSI在2018年6月份發(fā)布了《MEC in 5G networks》白皮書(shū)，介紹了5G服務(wù)化網(wǎng)絡(luò )架構與MEC服務(wù)的融合方式。MEC可以作為應用功能（AF）與5G核心網(wǎng)的網(wǎng)絡(luò )開(kāi)放功能（NEF）進(jìn)行交互，通過(guò)策略控制功能（PCF），向會(huì )話(huà)管理功能（SMF）下發(fā)本地流量路由策略，從而使用戶(hù)的業(yè)務(wù)流量流向本地用戶(hù)面功能（UPF），再到MEC提供的本地數據網(wǎng)絡(luò )。

　　二、MEC面臨的安全風(fēng)險

　　MEC將云數據中心的計算能力下沉到了網(wǎng)絡(luò )邊緣，一方面，MEC基礎設施通常部署在無(wú)線(xiàn)基站等網(wǎng)絡(luò )邊緣，使其更容易暴露在不安全的環(huán)境中。另一方面，MEC將采用開(kāi)放應用編程接口（API）、開(kāi)放的網(wǎng)絡(luò )功能虛擬化（NFV）等技術(shù)，開(kāi)放性的引入容易將MEC暴露給外部攻擊者。然而，與云中心相比，由于邊緣設施的資源和能力有限，難以提供與云數據中心一致的安全能，MEC服務(wù)面臨一定的安全風(fēng)險問(wèn)題（如圖1所示），包含以下幾個(gè)方面：

　　1. 認證與授權

　　MEC可以認為是在網(wǎng)絡(luò )上層為用戶(hù)提供邊緣業(yè)務(wù)， MEC服務(wù)可以由網(wǎng)絡(luò )運營(yíng)商或者第三方服務(wù)商提供。如果MEC服務(wù)由運營(yíng)商提供，可以認為MEC服務(wù)與網(wǎng)絡(luò )之間是可信的。但如果MEC服務(wù)由第三方提供，在接入網(wǎng)絡(luò )的時(shí)候如果沒(méi)有與網(wǎng)絡(luò )之間進(jìn)行認證與授權，則面臨惡意第三方接入網(wǎng)絡(luò )提供非法服務(wù)的風(fēng)險。

　　2. 網(wǎng)絡(luò )基礎設施安全

　　空口傳輸安全：邊緣MEC服務(wù)器可部署在無(wú)線(xiàn)基站側，用戶(hù)與基站之間的空口通信容易受到DDoS、無(wú)線(xiàn)干擾、惡意監聽(tīng)等攻擊。

　　中間人攻擊：外部的惡意用戶(hù)可以通過(guò)入侵和控制部分MEC網(wǎng)絡(luò )設備，發(fā)起非法監聽(tīng)或者流量篡改等攻擊行為， 例如當網(wǎng)絡(luò )之間的網(wǎng)關(guān)被入侵后，所有通過(guò)該網(wǎng)關(guān)的流量將會(huì )暴露給惡意用戶(hù)。

　　偽設備：惡意用戶(hù)會(huì )可能在MEC服務(wù)區域部署偽基站、偽網(wǎng)關(guān)等設備，造成用戶(hù)的流量被非法監聽(tīng)或篡改。

　　3. 邊緣數據中心安全

　　物理破壞：MEC邊緣數據中心的服務(wù)設施可能部署在不可信的物理環(huán)境中，部分區域的設備可能會(huì )受到惡意用戶(hù)的物理破壞。由于MEC服務(wù)設施通常部署在本地，物理破壞通常發(fā)生在局部區域內。

　　隱私泄露：雖然邊緣數據中心通常只處理和存儲一定地理范圍內用戶(hù)的數據，但是如果缺乏相關(guān)的數據保護機制，外部惡意用戶(hù)可能會(huì )入侵數據中心并獲取MEC用戶(hù)的敏感數據，尤其是用戶(hù)位置等敏感數據。

　　服務(wù)篡改：如果惡意用戶(hù)通過(guò)權限升級或者惡意軟件入侵攻擊邊緣數據中心，并獲得了系統的控制權限，則惡意用戶(hù)可能會(huì )終止或者篡改MEC主機提供的業(yè)務(wù)，并且可以發(fā)起選擇性的DoS攻擊或者用戶(hù)敏感信息竊取。

　　4. 虛擬化安全

　　開(kāi)放接口攻擊：通常邊緣數據中心會(huì )采用網(wǎng)絡(luò )功能虛擬化的方式實(shí)現，通常邊緣的虛擬化設施會(huì )為用戶(hù)和邊緣數據中心配置開(kāi)放API，這些接口會(huì )傳輸物理和邏輯環(huán)境中的信息，例如本地網(wǎng)絡(luò )的狀態(tài)。如果接口被外部惡意用戶(hù)攻擊，會(huì )造成NFV環(huán)境中的敏感數據泄露。

　　權限升級：惡意的VM可能會(huì )通過(guò)獲取主機的操作管理權限，如果虛擬機（VM）之間的隔離不足，惡意VM可以篡改其他VM的計算任務(wù)，影響邊緣數據計算和業(yè)務(wù)處理的結果。此外，惡意用戶(hù)可能在VM中植入惡意軟件、木馬病毒等。 當用戶(hù)發(fā)生移動(dòng)導致VM發(fā)生遷移時(shí)，惡意VM會(huì )感染其他區域內的虛擬化MEC主機和系統。

　　資源濫用：一方面，惡意VM 占用MEC系統的資源執行惡意程序，例如破解MEC系統管理員密碼，或作為僵尸服務(wù)器發(fā)動(dòng)DDoS攻擊等。另一方面，通常MEC邊緣的網(wǎng)絡(luò )、計算和存儲資源不如云數據中心充足，惡意VM可能通過(guò)執行與計算任務(wù)無(wú)關(guān)的程序，耗盡MEC系統的網(wǎng)絡(luò )、計算和存儲資源，影響MEC系統工作效率。

　　5. 用戶(hù)設備安全

　　當MEC用戶(hù)設備被惡意用戶(hù)控制后，一方面會(huì )造成用戶(hù)隱私數據泄露風(fēng)險；另一方面用戶(hù)設備可能被惡意控制向周邊其他邊緣用戶(hù)發(fā)送虛假信息，例如受感染的車(chē)聯(lián)網(wǎng)MEC終端設備傳播錯誤的路況信息。

三、MEC安全問(wèn)題解決思路

　　為了應對上述安全風(fēng)險問(wèn)題，可以通過(guò)以下方式增強MEC服務(wù)的安全。

　　1. 采用集中式或分布式的鑒權和認證方法

　　一方面，可以通過(guò)第三方認證服務(wù)器，對MEC設備之間進(jìn)行鑒權和認證。但是這種方式要求部署第三方服務(wù)器，依賴(lài)于第三方認證服務(wù)的可靠性和安全性。 另一方面，由于邊緣計算服務(wù)器和設備數量較多，且可能采用分布式交互的方式，因此一些分布式認證和鑒權機制也可以用于邊緣設備之間的認證和鑒權，例如設備之間通過(guò)公鑰基礎設施（PKI）進(jìn)行雙向認證。這樣的認證可以不依賴(lài)于第三方認證服務(wù)，但是要求邊緣用戶(hù)存儲相關(guān)的認證信息。

　　2. 充分利用已有通信安全協(xié)議

　　在MEC服務(wù)中，用戶(hù)與MEC服務(wù)器之間的通信會(huì )涉及到許多通信協(xié)議，例如TCP/IP協(xié)議、802.11系列協(xié)議、5G協(xié)議等。這些協(xié)議中都包含對用戶(hù)的接入認證、數據傳輸安全等相關(guān)的安全協(xié)議和機制。例如，IETF剛在8月份發(fā)布了TLS 1.3版本，通過(guò)增強對握手協(xié)商的加密來(lái)保護數據免受竊聽(tīng)。3GPP也于2018年3月份發(fā)布了R15版本的5G安全協(xié)議。在MEC服務(wù)框架下，可以充分利用上述安全協(xié)議的特點(diǎn)，解決MEC服務(wù)中認證鑒權、數據傳輸、隱私保護等安全問(wèn)題。

　　3. 采用入侵檢測技術(shù)發(fā)現惡意攻擊

　　應用于云數據中心的入侵檢測技術(shù)也可以應用于邊緣數據中心，對惡意軟件、惡意攻擊等行為進(jìn)行檢測。此外，對于邊緣分布式的特點(diǎn)，可以通過(guò)相應的分布式邊緣入侵檢測技術(shù)來(lái)進(jìn)行識別，通過(guò)多節點(diǎn)之間進(jìn)行協(xié)作，以自組織的方式實(shí)現對惡意攻擊的檢測。

　　4. 應用數據加密增強用戶(hù)隱私安全

　　還可以對邊緣數據中心的數據進(jìn)行保密性和完整性保護，增強對VM數據存儲、計算處理和遷移過(guò)程中的數據安全保護，提高用戶(hù)隱私數據的安全性。

　　5. 通過(guò)虛擬機隔離提升虛擬化安全

　　對于部署在虛擬化邊緣環(huán)境中的VM，可以加強VM之間的隔離，對不安全的設備進(jìn)行嚴格隔離，防止用戶(hù)流量流入到惡意VM中。另外，可以實(shí)時(shí)監測VM的運行情況，有效發(fā)掘惡意VM行為，避免惡意VM遷移對其他邊緣數據中心造成感染。

       來(lái)源：中國信通院網(wǎng)站