移动边缘计算中的安全问题现状
⽬前对边缘计算安全和隐私保护的研究⼯作尚处于初级阶段,已有的研究成果较少。其中,⼀个确实可⾏的研究思路是将现有的其他相关领域的安全技术移植到边缘计算环境中。
⼀、MEC在传统安全防护下的差异
1) 认证安全
MEC⽹络中包含⼤量地理分散的物联⽹设备,由于设备在电⼒、处理和存储等⽅⾯受到各种限制,⽹络设备认证成为⼀个巨⼤的挑战。由于物联⽹设备的资源限制,传统使⽤证书和公钥基础设施(PKI)的⾝份验证机制不再适⽤。MEC节点经常动态地加⼊或离开MEC⽹络,当新的节点连接(或离开)⽹络时,需要确保对已注册终端⽤户的不间断服务。节点必须能够相互验证⾃⼰新形成的MEC⽹络。此外,MEC节点还需要限制或拒绝来⾃恶意或受损节点的服务请求[11]。
2) 通信安全
MEC⽹络中的设备通信主要包括物联⽹设备与MEC节点之间的通信以及MEC节点之间的通信,通常情
况下,很多设备可与MEC⽹络中的任何MEC节点进⾏通信,请求MEC节点响应处理请求或存储请求。但实际上,物联⽹设备可能并不清楚 MEC⽹络的存在,因此,物联⽹设备发送的消息不能使⽤对称加密技术,⾮对称密钥加密也存在很多挑战。 MEC节点之间的通信需要端到端的安全,因为多条路径中涉及的节点并不能被完全信任。
3) 隐私安全
MEC分布式节点的计算能⼒能够降低数据中⼼的总压⼒,但是,与终端⽤户相邻的MEC节点可能收集有关⽤户⾝份、位置、应⽤程序使⽤等的敏感数据。另外,由于MEC节点的⼤⾯积分散,集中控制⼗分困难,安全性较差的边缘节点可能成为⼊侵者进⼊MEC⽹络的⼊⼝,⼊侵者⼀旦进⼊⽹络,就可以挖掘和窃取⽤户在实体间交换的隐私数据。 新挑战:
1) 边缘计算中基于多授权⽅的轻量级数据加密与细粒度数据共享新需求。
由于边缘计算是⼀种融合了以授权实体为信任中⼼的多信任域共存的计算模式,使传统的数据加密和共享策略不再适⽤。因此,设计针对多授权中⼼的数据加密⽅法显得尤为重要,同时还应考虑算法的复杂性问题。
2) 分布式计算环境下的多源异构数据传播管控和安全管理问题。
在边缘式⼤数据处理时代,⽹络边缘设备中信息产⽣量呈现爆炸性增长。⽤户或数据拥有者希望能够采⽤有效的信息传播管控和访问控制机制,来实现数据的分发、搜索、获取以及控制数据的授权范围。此外,由于数据的外包特性,其所有权和控制权相互分离,因此有效的审计验证⽅案能够保证数据的完整性。
3) 边缘计算的⼤规模互联服务与资源受限终端之间的安全挑战。
由于边缘计算的多源数据融合特性、移动和互联⽹络的叠加性以及边缘终端的存储、计算和电池容量等⽅⾯的资源限制,使传统较为复杂的加密算法、访问控制措施、⾝份认证协议和隐私保护⽅法在边缘计算中⽆法适⽤。
4)⾯向万物互联的多样化服务以及边缘计算模式对⾼效隐私保护的新要求。
⽹络边缘设备产⽣的海量级数据均涉及个⼈隐私,使隐私安全问题显得尤为突出。除了需要设计有效的数据、位置和⾝份隐私保护⽅案之外,如何将传统的隐私保护⽅案与边缘计算环境中的边缘数据处理特性相结合,使其在多样化的服务环境中实现⽤户隐私保护是未来的研究趋势。
⼆、安全威胁
施梦月
1.⽹络基础设施安全威胁
1)拒绝服务攻击(Denial of Service,DoS)。
2)中间⼈攻击(Man in the Middle,MITM)
3)伪造⽹关
智能感应垃圾桶2.边缘数据中⼼安全威胁
1)隐私泄露
2)权限升级
3)服务操作
4)流氓数据中⼼
5)物理损害
3.边缘基础设施安全威胁
1)隐私泄露
2)服务操作
3)流氓基础设施
4.虚拟化基础设施安全威胁
1)拒绝服务
2)资源滥⽤
3)隐私泄露
4)权限升级
5)VM操作
5.⽤户设备安全威胁
1)信息注⼊
2)服务操作
三、防御策略及对应研究⽅向健康养生杯
1.加密
主要⽤的加密⼿段有基于属性加密(ABE)、代理重加密(PRE)和全同态加密(FHE)算法。
⽂献:【4】【5】【6】
研究⽅向展望:
数据加密技术为保证各类计算模式中的数据安全提供了有效的解决办法。在开放式的边缘计算环境下,如何将传统的加密⽅案与边缘计算中并⾏分布式架构、终端资源受限、边缘⼤数据处理、⾼度动态环境等特性进⾏有机结合,实现轻量级、分布式的数据安全防护体系是未来的重点研究内容。
1) 在数据保密性和安全数据共享⽅⾯,结合属性加密、代理重加密和同态加密等应⽤加密理论,如何设计低时延、⽀持动态操作的分布式安全存储系统和正确处理⽹络边缘设备与云中⼼之间的协同性是⼀个重要的研究思路。
2) 在数据完整性审计⽅⾯,⼀个主要的研究⽬的在于实现各种审计功能的同时尽可能提⾼审计效率并降低验证开销。其次,设计⽀持多源异构数据和动态数据更新的完整性审计⽅案有望成为未来的研究重点。
3) 在可搜索加密⽅⾯,⾸先,如何在分布式存储服务模型下构造基于关键字的搜索⽅案,进⼀步拓展⾄边缘计算环境中是⼀个可⾏的研究思路;其次,如何在安全多⽅共享模式下实现细粒度的搜索权限控制,使其在适⽤于不同信任域的多⽤户搜索环境的同时,保证搜索的速度和精度。最后,针对边缘计算中分布式密⽂数据存储模型,如何⾼效地构造安全索引使其适⽤于资源受限的⽹络边缘设备以及设计分布式可搜索加密算法是⼀个亟待解决的问题。
2.⾝份认证
统⼀认证、跨域认证、切换认证
⽂献:【7】
研究⽅向展望:
当前,国内外研究者对⾝份认证协议的研究⼤多是在现有的安全协议基础上进⾏改进和优化,包括协议的灵活性、⾼效性、节能性和隐私保护等。在边缘计算中,⾝份认证协议的研究应借鉴现有⽅案的
优势之处,同时结合边缘计算中分布式、移动性等特点,加强统⼀认证、跨域认证和切换认证技术的研究,以保障⽤户在不同信任域和异构⽹络环境下的数据和隐私安全。
由于边缘计算是⼀个多实体和多信任域共存的开放式动态系统,因此⾝份认证协议要考虑到实体与信任域之间的对应关系。具体的研究内容包括同⼀实体在不同信任域之间的跨域认证和切换认证;不同实体在相同信任域内的⾝份认证和相互认证;最后,在实现轻量级⾝份认证的同时兼顾匿名性、完整性、可追溯性和批量认证等功能也是⼀个重要的研究点。
3.访问控制
⽂献:【8】
研究⽅向展望:
边缘计算中的访问控制系统在原则上应适⽤于不同信任域之间的多实体访问权限控制,同时还应考虑地理位置和资源所有权等各种因素。因此,设计⼀种细粒度、动态化、轻量级和多域访问控制机制是接下来的研究重点,⽽⾼效的基于属性和⾓⾊的访问控制⽅法应该是⽐
较适合边缘计算环境的技术⼿段。
1) ⽀持跨域、跨组的分级化访问控制⽅案,实现从单域到多域的细粒度访问控制,同时满⾜设计⽬标和资源约束将是未来的⼀个重要研究⽅向。
2) 跨域访问控制过程中的⾮法授权、访问冲突以及密钥管理、策略管理和属性管理等⽅⾯仍然存在很多亟待解决的问题。
4.安全协议
四、潜在研究⽅向总结
密集书架
l 1.协同计算中的数据隐私
l 2.传统加密⽅案与分布式架构的结合
l 3.边缘计算多实体的⾝份认证协议
冷冲模 l 4.安全与低时延数据共享问题
l 5.边缘计算中的位置隐私
l 6.边缘计算环境下的恶意软件检测
参考⽂献
【1】曹咪, 徐雷, 陶冶. 移动边缘计算安全问题与研究建议[J]. 信息通信技术, 2019, 13(001):67-75.
格子衬衫面料【2】张佳乐,赵彦超,陈兵,等.边缘计算数据安全与隐私保护研究综述[J].通信学报,2018(3):1-21
【3】Roman R, Lopez J, Mambo M. Mobile edge computing. A survey and analysis of security threats and challenges [J]. Future Generation Computer Systems, 2018, 78: 680-698【4】ZUO C, SHAO J, WEI G Y, et al. CCA-secure ABE with outsourced decryption for fog computing[J]. Future Generation Computer Sys- tems, 2018, PP(78): 730-738.
【5】KHAN A N, ALI M, KHAN A U R, et al. A comparative study and workload distribution model for re-encryption schemes in a mobile cloud computing environment[J]. International Journal of Communication Systems, 2017, 30(16): e3308.
【6】LOUK M, LIM H. Homomorphic encryption in mobile multi cloud computing[C]//The 25th International Conference on Information Networking (ICOIN’15). 2015: 493-497.
【7】YANG X, HUANG X Y, LIU J K. Efficient handover authentication with user anonymity and untraceability for mobile cloud computing[J]. Future Generation Computer Systems, 2016, 62(C): 19
0-195.
【8】JIN Y, TIAN C, HE H, et al. A secure and lightweight data access control scheme for mobile cloud computing[C]//The 5th International Conference on Big Data and Cloud Computing (BDCloud’15). 2015: 172-179.
