Abstract
摘要cdna文库
移动边缘计算(Mobile Edge Computing, MEC)概念最初于2013年出现。IBM与Nokia Siemens⽹络当时共同推出了⼀款计算平台,可在⽆线内部运⾏应⽤程序,向移动⽤户提供业务。欧洲电信标准协会(ETSI)于2014年成⽴移动边缘计算规范⼯作组,正式宣布推动移动边缘计算标准化。
预测地震的方法移动边缘计算简介
移动边缘计算(Mobile Edge Computing, MEC)概念最初于2013年出现。IBM与Nokia Siemens⽹络当时共同推出了⼀款计算平台,可在⽆线内部运⾏应⽤程序,向移动⽤户提供业务。欧洲电信标准协会(ETSI)于2014年成⽴移动边缘计算规范⼯作组,正式宣布推动移动边缘计算标准化。
ETSI定义MEC为在移动⽹边缘提供IT服务环境和云计算能⼒。随着⼀些具有⾼速率、低时延需求的新型业务的出现,传统通过核⼼⽹完成数据传输和数据处理的⽅式已难以满⾜这些业务的需求。MEC的出现,将⽹络业务和计算能⼒下沉到更接近⽤户的⽆线接⼊⽹侧,从⽽降低核⼼⽹的负载和开销,并降低了业务时延。2016年,ETSI将边缘计算的概念扩展为多接⼊点边缘计算(Multi-Access Edge Computin g),将MEC从电信蜂窝⽹络扩展⾄其他⽆线接⼊⽹络(如WLAN)。MEC可以为⽤户提供本地视频、AR/VR、⽤户定位、视频QoS优化、视频监控、流量分析等服务。
MEC还将作为关键技术满⾜5G本地低时延业务的需求。ETSI在2018年6⽉份发布了《MEC in 5G networks》⽩⽪书,介绍了5G服务化⽹络架构与MEC服务的融合⽅式。MEC可以作为应⽤功能(AF)与5G核⼼⽹的⽹络开放功能(NEF)进⾏交互,通过策略控制功能(PCF),向会话管理功能(SMF)下发本地流量路由策略,从⽽使⽤户的业务流量流向本地⽤户⾯功能(UPF),再到MEC提供的本地数据⽹络。
开关电源模块并联供电系统
MEC⾯临的安全风险
MEC将云数据中⼼的计算能⼒下沉到了⽹络边缘,⼀⽅⾯,MEC基础设施通常部署在⽆线等⽹络边缘,使其更容易暴露在不安全的环境中。另⼀⽅⾯,MEC将采⽤开放应⽤编程接⼝(API)、开放的⽹络功能虚拟化(NFV)等技术,开放性的引⼊容易将MEC暴露给外部攻击者。然⽽,与云中⼼相⽐,由于边缘设施的资源和能⼒有限,难以提供与云数据中⼼⼀致的安全能,MEC服务⾯临⼀定的安全风险问题(如图1所⽰),包含以下⼏个⽅⾯:
认证与授权
方便盒
MEC可以认为是在⽹络上层为⽤户提供边缘业务, MEC服务可以由⽹络运营商或者第三⽅服务商提供。如果MEC服务由运营商提供,可以认为MEC服务与⽹络之间是可信的。但如果MEC服务由第三⽅提供,在接⼊⽹络的时候如果没有与⽹络之间进⾏认证与授权,则⾯临恶意第三⽅接⼊⽹络提供⾮法服务的风险。
⽹络基础实施安全
空⼝传输安全:边缘MEC服务器可部署在⽆线侧,⽤户与之间的空⼝通信容易受到DDoS、⽆线⼲扰、恶意监听等攻击。
中间⼈攻击:外部的恶意⽤户可以通过⼊侵和控制部分MEC⽹络设备,发起⾮法监听或者流量篡改等攻击⾏为,例如当⽹络之间的⽹关被⼊侵后,所有通过该⽹关的流量将会暴露给恶意⽤户。
伪设备:恶意⽤户会可能在MEC服务区域部署、伪⽹关等设备,造成⽤户的流量被⾮法监听或篡改。
边缘数据中⼼安全
物理破坏:MEC边缘数据中⼼的服务设施可能部署在不可信的物理环境中,部分区域的设备可能会受到恶意⽤户的物理破坏。由于MEC服务设施通常部署在本地,物理破坏通常发⽣在局部区域内。
光伏并网发电模拟装置
破坏。由于MEC服务设施通常部署在本地,物理破坏通常发⽣在局部区域内。
隐私泄露:虽然边缘数据中⼼通常只处理和存储⼀定地理范围内⽤户的数据,但是如果缺乏相关的数据保护机制,外部恶意⽤户可能会⼊侵数据中⼼并获取MEC⽤户的敏感数据,尤其是⽤户位置等敏感数据。
服务篡改:如果恶意⽤户通过权限升级或者恶意软件⼊侵攻击边缘数据中⼼,并获得了系统的控制权限,则恶意⽤户可能会终⽌或者篡改MEC主机提供的业务,并且可以发起选择性的DoS攻击或者⽤户敏感信息窃取。
虚拟化安全
开放接⼝攻击:通常边缘数据中⼼会采⽤⽹络功能虚拟化的⽅式实现,通常边缘的虚拟化设施会为⽤户和边缘数据中⼼配置开放API,这些接⼝会传输物理和逻辑环境中的信息,例如本地⽹络的状态。如果接⼝被外部恶意⽤户攻击,会造成NFV环境中的敏感数据泄露。
权限升级:恶意的VM可能会通过获取主机的操作管理权限,如果虚拟机(VM)之间的隔离不⾜,恶意VM可以篡改其他VM的计算任务,影响边缘数据计算和业务处理的结果。此外,恶意⽤户可能在VM中植⼊恶意软件、⽊马病毒等。当⽤户发⽣移动导致VM发⽣迁移时,恶意VM会感染其他区域内的虚拟化MEC主机和系统。
资源滥⽤:⼀⽅⾯,恶意VM 占⽤MEC系统的资源执⾏恶意程序,例如破解MEC系统管理员密码,或作为僵⼫服务器发动DDoS攻击等。另⼀⽅⾯,通常MEC边缘的⽹络、计算和存储资源不如云数据中⼼充⾜,恶意VM可能通过执⾏与计算任务⽆关的程序,耗尽MEC系统的⽹络、计算和存储资源,影响MEC系统⼯作效率。
⽤户设备安全
当MEC⽤户设备被恶意⽤户控制后,⼀⽅⾯会造成⽤户隐私数据泄露风险;另⼀⽅⾯⽤户设备可能被恶意控制向周边其他边缘⽤户发送虚假信息,例如受感染的车联⽹MEC终端设备传播错误的路况信息。
图1 MEC安全风险
MEC安全问题解决思路
为了应对上述安全风险问题,可以通过以下⽅式增强MEC服务的安全。
1. 采⽤集中式或分布式的鉴权和认证⽅法
⼀⽅⾯,可以通过第三⽅认证服务器,对MEC设备之间进⾏鉴权和认证。但是这种⽅式要求部署第三
⽅服务器,依赖于第三⽅认证服务的可靠性和安全性。另⼀⽅⾯,由于边缘计算服务器和设备数量较多,且可能采⽤分布式交互的⽅式,因此⼀些分布式认证和鉴权机制也可以⽤于边缘设备之间的认证和鉴权,例如设备之间通过公钥基础设施(PKI)进⾏双向认证。这样的认证可以不依赖于第三⽅认证服务,但是要求边缘⽤户存储相关的认证信息。
2. 充分利⽤已有通信安全协议
在MEC服务中,⽤户与MEC服务器之间的通信会涉及到许多通信协议,例如TCP/IP协议、802.11系列协议、5G协议等。这些协议中都包含对⽤户的接⼊认证、数据传输安全等相关的安全协议和机制。例如,IETF刚在8⽉份发布了TLS 1.3版本,通过增强对握⼿协商的加密来保护数据免受窃听。3GPP也于2018年3⽉份发布了R15版本的5G安全协议。在MEC服务框架下,可以充分利⽤上述安全协议的特点,解决MEC服务中认证鉴权、数据传输、隐私保护等安全问题。
3. 采⽤⼊侵检测技术发现恶意攻击
应⽤于云数据中⼼的⼊侵检测技术也可以应⽤于边缘数据中⼼,对恶意软件、恶意攻击等⾏为进⾏检测。此外,对于边缘分布式的特点,可以通过相应的分布式边缘⼊侵检测技术来进⾏识别,通过多节点之间进⾏协作,以⾃组织的⽅式实现对恶意攻击的检测。
4. 应⽤数据加密增强⽤户隐私安全
还可以对边缘数据中⼼的数据进⾏保密性和完整性保护,增强对VM数据存储、计算处理和迁移过程中的数据安全保
还可以对边缘数据中⼼的数据进⾏保密性和完整性保护,增强对VM数据存储、计算处理和迁移过程中的数据安全保护,提⾼⽤户隐私数据的安全性。
5. 通过虚拟机隔离提升虚拟化安全
对于部署在虚拟化边缘环境中的VM,可以加强VM之间的隔离,对不安全的设备进⾏严格隔离,防⽌⽤户流量流⼊到恶意VM中。另外,可以实时监测VM的运⾏情况,有效发掘恶意VM⾏为,避免恶意VM迁移对其他边缘数据中⼼造成感染。
4800
1800
8.88
须知
