移動(dòng)邊緣計(jì)算作為將云計(jì)算能力下沉到邊緣節(jié)點(diǎn)的面向5G的新技術(shù)，具有路由控制、無線網(wǎng)絡(luò)能力開放和平臺(tái)管理三大區(qū)別于典型云平臺(tái)的獨(dú)特特性。在為終端提供低時(shí)延分布式的計(jì)算能力、智能節(jié)能的運(yùn)行模式的同時(shí)，由于其靠近終端設(shè)備、運(yùn)行資源有限、接入終端設(shè)備數(shù)據(jù)、支持設(shè)備移動(dòng)性等特征，使得邊緣計(jì)算除了面臨云計(jì)算系統(tǒng)普遍存在的安全問題之外，還在基礎(chǔ)設(shè)施、虛擬化特征、數(shù)據(jù)資源、設(shè)備間交互和終端設(shè)備移動(dòng)性等方面面臨新的安全威脅。本文將邊緣計(jì)算區(qū)別于一般云平臺(tái)的新特性入手，分析技術(shù)新特性帶來的安全問題并給出解決方案。

隨著5G網(wǎng)絡(luò)的到來，移動(dòng)通信量將面臨巨幅的增長，通信量的增長和通信成本的壓力促使運(yùn)營商實(shí)施多項(xiàng)變革，以保持用戶體驗(yàn)的質(zhì)量、收入渠道的擴(kuò)展、網(wǎng)絡(luò)運(yùn)營的優(yōu)化和資源的充分利用。同時(shí)，隨著物聯(lián)網(wǎng)技術(shù)的快速發(fā)展和物聯(lián)網(wǎng)應(yīng)用的不斷涌現(xiàn)，物聯(lián)網(wǎng)連接設(shè)備的爆發(fā)式增長將進(jìn)一步堵塞網(wǎng)絡(luò)，因此網(wǎng)絡(luò)運(yùn)營商需要進(jìn)行本地流量分析，采用網(wǎng)絡(luò)切片以緩解網(wǎng)絡(luò)擁塞帶來的影響。企業(yè)希望能夠通過更高效、安全和低延遲的連接方式來支持并與客戶接觸，應(yīng)用程序和內(nèi)容提供商在連接到云時(shí)也面臨網(wǎng)絡(luò)延遲的挑戰(zhàn)，而云計(jì)算的集中處理模式在大規(guī)模物聯(lián)網(wǎng)連接背景下存在無法滿足實(shí)時(shí)性需求、終端設(shè)備隱私數(shù)據(jù)信息上傳至云端數(shù)據(jù)中心會(huì)增加隱私泄露的風(fēng)險(xiǎn)、連接數(shù)的增加帶來的云計(jì)算中心能耗問題等方面的不足，萬物互聯(lián)的需求催生出了邊緣計(jì)算模型。

1、移動(dòng)邊緣計(jì)算

在2018年年底，中國電子技術(shù)標(biāo)準(zhǔn)化研究院、阿里云等單位共同編制并發(fā)布了一份《邊緣云計(jì)算技術(shù)與標(biāo)準(zhǔn)化白皮書》，定義了邊緣云計(jì)算的概念［1］，將移動(dòng)邊緣計(jì)算設(shè)備部署在移動(dòng)網(wǎng)絡(luò)邊緣、無線接入網(wǎng)絡(luò)（RAN）內(nèi)、靠近終端，為附近移動(dòng)設(shè)備提供IT服務(wù)能力和云計(jì)算功能。移動(dòng)邊緣計(jì)算設(shè)備可以直接訪問設(shè)備的上下文信息，如精確的地理位置、設(shè)備網(wǎng)絡(luò)狀態(tài)甚至終端設(shè)備的移動(dòng)行為信息等。由于邊緣計(jì)算將計(jì)算能力直接下沉到靠近設(shè)備終端，不在網(wǎng)絡(luò)中進(jìn)行長距離傳輸，因此可以降低敏感信息被泄露竊取的風(fēng)險(xiǎn)［2］。但邊緣計(jì)算設(shè)備是終端設(shè)備數(shù)據(jù)的直接入口，能夠獲取到大量的用戶敏感信息數(shù)據(jù)，這就對邊緣計(jì)算設(shè)備的隱私保護(hù)機(jī)制提出了更高的要求。

移動(dòng)邊緣計(jì)算將邊緣計(jì)算平臺(tái)的部署限制在5G等移動(dòng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，在某些情況下，設(shè)備本身可以參與服務(wù)提供過程。在移動(dòng)邊緣計(jì)算中，有幾類不同的用戶實(shí)體：云服務(wù)提供商、邊緣計(jì)算服務(wù)提供商和用戶。電信運(yùn)營商可以成為移動(dòng)邊緣計(jì)算的提供商，因?yàn)樗麄儞碛胁渴疬吘墧?shù)據(jù)中心的移動(dòng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。第三方服務(wù)提供商可以與運(yùn)營商密切合作，開發(fā)移動(dòng)邊緣計(jì)算的專用服務(wù)。這樣的服務(wù)就可以被廣泛地測試，并可能以定制的方式集成。面對不同的用戶實(shí)體，其訪問資源的權(quán)限是不同的，在大規(guī)模的物聯(lián)網(wǎng)連接下，需要對不同的用戶實(shí)體滿足其最大限度享受資源共享需求的基礎(chǔ)上，實(shí)現(xiàn)對用戶訪問權(quán)限的管理，防止信息被非授權(quán)篡改和濫用。

移動(dòng)邊緣計(jì)算是一個(gè)與RAN相鄰的高性能和電信級云平臺(tái)，允許在網(wǎng)絡(luò)邊緣進(jìn)行計(jì)算。它同時(shí)處理從云服務(wù)主機(jī)到移動(dòng)終端的下游數(shù)據(jù)和從移動(dòng)終端到云主機(jī)的上游數(shù)據(jù)。移動(dòng)邊緣計(jì)算平臺(tái)可以由標(biāo)準(zhǔn)IT服務(wù)器和基站內(nèi)外的網(wǎng)絡(luò)設(shè)備組成，第三方應(yīng)用程序在由網(wǎng)絡(luò)設(shè)備互連的虛擬機(jī)中部署和執(zhí)行。也可以簡單地使用標(biāo)準(zhǔn)IT服務(wù)器構(gòu)建移動(dòng)邊緣計(jì)算平臺(tái)，其中網(wǎng)絡(luò)設(shè)備作為軟件實(shí)體實(shí)現(xiàn)。其架構(gòu)如圖1所示。

移動(dòng)邊緣計(jì)算平臺(tái)的基本功能包括路由模塊、網(wǎng)絡(luò)能力開放模塊和平臺(tái)管理模塊［3］。路由模塊負(fù)責(zé)移動(dòng)邊緣計(jì)算平臺(tái)、RAN和移動(dòng)核心網(wǎng)之間以及移動(dòng)邊緣計(jì)算平臺(tái)內(nèi)的分組轉(zhuǎn)發(fā)。網(wǎng)絡(luò)能力開放模塊允許無線網(wǎng)絡(luò)信息服務(wù)（RNIS）和無線資源管理（RRM）的授權(quán)功能開放。平臺(tái)管理模塊支持對第三方應(yīng)用程序進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)和管理［4］，涉及應(yīng)用程序部署的編排和對網(wǎng)絡(luò)能力開放的授權(quán)。

圖1 移動(dòng)邊緣計(jì)算架構(gòu)

下面對移動(dòng)邊緣計(jì)算框架中涉及的3個(gè)模塊中存在的安全問題做分析并給出解決方案。

2、路由控制模塊

2.1 安全風(fēng)險(xiǎn)分析

通過路由控制模塊，用戶平面流量（上行鏈路或下行鏈路）被傳遞到一個(gè)應(yīng)用程序，該應(yīng)用程序可對流量進(jìn)行監(jiān)控、修改或控制，然后將其發(fā)送回原始連接。邊緣環(huán)境下的終端設(shè)備具有很強(qiáng)的移動(dòng)性，因此路由模塊應(yīng)該實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。路由模塊應(yīng)具有在移動(dòng)終端切換到連接不同移動(dòng)邊緣計(jì)算平臺(tái)的接入點(diǎn)時(shí)，中斷并消除會(huì)話的能力。

路由模塊負(fù)責(zé)在移動(dòng)邊緣計(jì)算平臺(tái)內(nèi)部虛擬機(jī)之間進(jìn)行流量轉(zhuǎn)發(fā)，支持網(wǎng)絡(luò)虛擬化以促進(jìn)靈活的分組轉(zhuǎn)發(fā)背板，在背板中根據(jù)需要分配網(wǎng)絡(luò)和安全服務(wù)給可進(jìn)行編程管理的虛擬機(jī)。

在移動(dòng)5G網(wǎng)絡(luò)中，需要加速內(nèi)容的交付，以便移動(dòng)用戶及時(shí)檢索數(shù)據(jù)。為了實(shí)現(xiàn)優(yōu)化的數(shù)據(jù)傳輸，在基站和核心網(wǎng)絡(luò)之間引入了名為TCP性能增強(qiáng)代理（PEP）的中間箱［5］。引導(dǎo)移動(dòng)網(wǎng)絡(luò)外部的TCP服務(wù)器向移動(dòng)終端傳輸數(shù)據(jù)，并將無線信道容量的近實(shí)時(shí)信息插入無線網(wǎng)絡(luò)TCP數(shù)據(jù)分組的選項(xiàng)字段中。TCP服務(wù)器可以利用它來提高移動(dòng)網(wǎng)絡(luò)的利用率。由于路由模塊需要負(fù)責(zé)流量的傳輸，并且邊緣節(jié)點(diǎn)的能力相較于云計(jì)算中心比較有限，容易遭到流量攻擊，盡管單個(gè)邊緣節(jié)點(diǎn)被破壞，附近網(wǎng)絡(luò)會(huì)迅速找到最近的可替代節(jié)點(diǎn)進(jìn)行調(diào)節(jié)，損害并不大，但如果黑客將攻陷的邊緣節(jié)點(diǎn)作為“肉雞”去攻擊其它服務(wù)器，在短時(shí)間內(nèi)用大量的僵尸節(jié)點(diǎn)去訪問服務(wù)器，會(huì)導(dǎo)致服務(wù)器癱瘓進(jìn)而會(huì)對整個(gè)網(wǎng)絡(luò)造成影響。

2.2解決方案

在進(jìn)行流量轉(zhuǎn)發(fā)時(shí)建議劃分流量類型，并在中心和分支之間設(shè)置防火墻。在某些情況下，邊緣計(jì)算設(shè)備可能根本不需要連接到企業(yè)網(wǎng)絡(luò)，例如使用邊緣網(wǎng)站運(yùn)營農(nóng)場或自動(dòng)化工廠，就不需要訪問客戶數(shù)據(jù)。邊緣的微數(shù)據(jù)中心應(yīng)具有冗余保護(hù)級別的集群，并對傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性、防重放保護(hù)，調(diào)用移動(dòng)邊緣計(jì)算平臺(tái)的 API 時(shí)應(yīng)進(jìn)行認(rèn)證和授權(quán)，移動(dòng)邊緣計(jì)算平臺(tái)應(yīng)進(jìn)行安全防護(hù)，實(shí)現(xiàn)最小化原則，關(guān)閉所有不必要的端口和服務(wù)，敏感數(shù)據(jù)（如用戶中的位置信息、無線網(wǎng)絡(luò)的信息等）應(yīng)進(jìn)行安全存儲(chǔ)，禁止非授權(quán)訪問。移動(dòng)邊緣計(jì)算臺(tái)應(yīng)具備 DDoS 防護(hù)功能等。

對于部署在虛擬化邊緣環(huán)境中的虛擬機(jī)，可以加強(qiáng)虛擬機(jī)之間的隔離，對不安全的設(shè)備進(jìn)行嚴(yán)格隔離，防止用戶流量流入到惡意虛擬機(jī)中。另外，可以實(shí)時(shí)監(jiān)測虛擬機(jī)的運(yùn)行情況，有效監(jiān)控惡意虛擬機(jī)行為，避免惡意虛擬機(jī)遷移對其它邊緣數(shù)據(jù)中心造成感染。

3、開放無線網(wǎng)絡(luò)能力

3.1 安全風(fēng)險(xiǎn)分析

移動(dòng)邊緣計(jì)算架構(gòu)中，邊緣設(shè)備可以通過開放的網(wǎng)絡(luò)能力利用同構(gòu)的應(yīng)用程序編程接口（API）將從底層移動(dòng)網(wǎng)絡(luò)中提取的服務(wù)和功能安全的提供給第三方應(yīng)用。與此同時(shí)，這些開放的 API 也給移動(dòng)邊緣計(jì)算帶來了一定的安全威脅。

在參考文獻(xiàn)［6］中提到，給各參與者如用戶、虛擬機(jī)和其它數(shù)據(jù)中心等提供服務(wù)的 API 集以及其它網(wǎng)絡(luò)應(yīng)用的接入點(diǎn)給攻擊者提供了數(shù)量可觀的攻擊面，增加了攻擊向量維度。邊緣計(jì)算客戶端越智能，越容易遭受惡意軟件和安全漏洞攻擊。同時(shí)，網(wǎng)絡(luò)邊緣高度動(dòng)態(tài)的環(huán)境也使網(wǎng)絡(luò)變得更加脆弱和不受保護(hù)，從而帶來隱私泄露、權(quán)限升級和服務(wù)操縱等安全問題。

隱私泄露：邊緣設(shè)備主要存儲(chǔ)和處理來自其附近實(shí)體的信息，在某些特殊情況下（如分布式服務(wù)器、遷移虛擬機(jī)等），它可以處理來自其它位置的數(shù)據(jù)。這些邊緣設(shè)備往往能夠提取有關(guān)用戶的敏感信息［7］。因此，隱私泄露是邊緣計(jì)算開放網(wǎng)絡(luò)能力的主要威脅之一。

權(quán)限升級：開放網(wǎng)絡(luò)能力給外部對手控制其服務(wù)提供了更多的攻擊面，使得這些基礎(chǔ)設(shè)施配置易被篡改，并且也容易被內(nèi)部攻擊者惡意利用和篡改權(quán)限。

服務(wù)操縱：一旦邊緣數(shù)據(jù)中心被惡意分子控制，通過權(quán)限提升或?yàn)E用自己的特權(quán)成為合法管理員，便可以操縱數(shù)據(jù)中心的服務(wù)，從而造成選擇性拒絕服務(wù)供給和選擇性信息篡改的安全風(fēng)險(xiǎn)。

3.2 解決方案

在對外提供服務(wù)接口的基礎(chǔ)上，要對數(shù)據(jù)面網(wǎng)關(guān)進(jìn)行安全加固、保障接口安全、保護(hù)敏感數(shù)據(jù)以及防護(hù)物理接觸攻擊，實(shí)現(xiàn)用戶數(shù)據(jù)能夠按照分流策略進(jìn)行正確的轉(zhuǎn)發(fā)。具體包括數(shù)據(jù)面與移動(dòng)邊緣計(jì)算之間、數(shù)據(jù)面與交互的核心網(wǎng)網(wǎng)元之間應(yīng)進(jìn)行相互認(rèn)證;應(yīng)對數(shù)據(jù)面與移動(dòng)邊緣計(jì)算之間的接口、數(shù)據(jù)面與交互的核心網(wǎng)網(wǎng)元之間的接口上的通信內(nèi)容進(jìn)行機(jī)密性、完整性和防重放的保護(hù);應(yīng)對數(shù)據(jù)面上的敏感信息（如分流策略）進(jìn)行安全保護(hù);數(shù)據(jù)面是核心網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)功能網(wǎng)元，從核心網(wǎng)下沉到接入網(wǎng)，應(yīng)防止攻擊者篡改數(shù)據(jù)面網(wǎng)元的配置數(shù)據(jù)、讀取敏感信息等。

針對權(quán)限升級和服務(wù)操縱問題，可考慮基于區(qū)塊鏈的信任安全架構(gòu)，中心思想是不自動(dòng)信任任何內(nèi)部或外部的用戶或終端，在進(jìn)行授權(quán)之前對任何試圖接入的設(shè)備進(jìn)行驗(yàn)證，限制黑客的橫向移動(dòng)，防止攻擊者滲透端點(diǎn)設(shè)備成功后，在整個(gè)環(huán)境中橫向移動(dòng)或者利用網(wǎng)絡(luò)釣魚獲得準(zhǔn)入憑證從而直接到達(dá)目標(biāo)資產(chǎn)所在的數(shù)據(jù)中心。

4、平臺(tái)管理

4.1安全風(fēng)險(xiǎn)分析

平臺(tái)管理模塊對其它模塊和本地IT基礎(chǔ)設(shè)施進(jìn)行管理，支持對網(wǎng)絡(luò)能力開放模塊和分配給第三方應(yīng)用程序的本地IT基礎(chǔ)設(shè)施資源進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)操作。對本地IT基礎(chǔ)設(shè)施的管理主要部署為基礎(chǔ)設(shè)施即服務(wù)（IaaS）［8］，如OpenStack。平臺(tái)管理模塊由控制計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源的硬件池的相互關(guān)聯(lián)的組件組成，以便能夠根據(jù)第三方應(yīng)用程序的要求規(guī)劃和協(xié)調(diào)IT資源。在平臺(tái)管理的IaaS中，存在兩個(gè)方面的安全問題：終端的數(shù)據(jù)安全與不同終端間的數(shù)據(jù)安全。由于邊緣設(shè)備是數(shù)據(jù)的直接入口，終端用戶的可公開數(shù)據(jù)與隱私數(shù)據(jù)都是直接經(jīng)過邊緣設(shè)備進(jìn)行傳輸與處理，這就需要邊緣設(shè)備對這些數(shù)據(jù)進(jìn)行分別處理，對隱私數(shù)據(jù)進(jìn)行加密保護(hù)，保證數(shù)據(jù)的安全和隔離，避免隱私數(shù)據(jù)被泄露和竊取。不同終端之間的數(shù)據(jù)是不同的，有些終端數(shù)據(jù)是不能外泄的。這就需要對不同終端間的數(shù)據(jù)進(jìn)行隔離，保證各個(gè)終端的數(shù)據(jù)間的準(zhǔn)確和安全。

平臺(tái)管理模塊對網(wǎng)絡(luò)能力開放和路由模塊的管理是作為PaaS實(shí)體構(gòu)建的，包括中間件的創(chuàng)建、刪除、認(rèn)證和注冊。它應(yīng)提供標(biāo)準(zhǔn)化環(huán)境，以便移動(dòng)邊緣計(jì)算平臺(tái)能夠容納來自不同供應(yīng)商的組件，管理層同樣存在移動(dòng)網(wǎng)絡(luò)遭受錯(cuò)誤或惡意API調(diào)用的干擾的安全問題。

管理模塊和網(wǎng)絡(luò)能力開放模塊可以對路由模塊啟動(dòng)路由策略設(shè)置。管理模塊應(yīng)具備網(wǎng)絡(luò)安全系統(tǒng)處理特定功能的能力和對加載到本地網(wǎng)絡(luò)的用戶流量進(jìn)行收費(fèi)。管理模塊的權(quán)限較大，如果遭到攻擊將會(huì)對平臺(tái)造成很大的影響。移動(dòng)邊緣計(jì)算平臺(tái)由于相對有限的計(jì)算與存儲(chǔ)資源，無法部署全局的入侵檢測系統(tǒng)，并且在大規(guī)模物聯(lián)網(wǎng)環(huán)境下，基礎(chǔ)設(shè)備的結(jié)構(gòu)、協(xié)議、服務(wù)提供商都是不同的，沒有統(tǒng)一的規(guī)范，因此難以檢測內(nèi)部攻擊和外部攻擊。

4.2 解決方案

平臺(tái)的安全管理同傳統(tǒng)網(wǎng)絡(luò)的安全管理一樣，涉及到賬號(hào)、密鑰的安全、授權(quán)管理和日志的安全等，要確保只有授權(quán)用戶才能執(zhí)行操作。用于訪問設(shè)備的密鑰不能是簡單的或者默認(rèn)密鑰，應(yīng)采用強(qiáng)密碼或多因素身份認(rèn)證，尤其是管理員和root-access賬戶。

由于邊緣計(jì)算是將計(jì)算能力下沉到了邊緣，一些操作與計(jì)算過程不經(jīng)過核心網(wǎng)，是在小范圍進(jìn)行計(jì)算和數(shù)據(jù)傳輸，缺少了對這些操作的監(jiān)管。當(dāng)邊緣計(jì)算包括做出關(guān)鍵決策的能力時(shí)，需要額外關(guān)注它接收到的數(shù)據(jù)或命令，包括檢查傳統(tǒng)的網(wǎng)絡(luò)安全威脅如輸入錯(cuò)誤，也必須包括對有效數(shù)據(jù)的完整性檢查。同時(shí)，建議對邊緣計(jì)算平臺(tái)的日志數(shù)據(jù)進(jìn)行定時(shí)審計(jì)，以便及時(shí)發(fā)現(xiàn)上述攻擊事件與安全問題。

5、結(jié)束語

通過移動(dòng)邊緣計(jì)算，使無線接入網(wǎng)具有計(jì)算和存儲(chǔ)能力，將各類計(jì)算服務(wù)從云側(cè)推到網(wǎng)絡(luò)邊緣，可以確保更短的響應(yīng)時(shí)間和更好的可靠性，同時(shí)也可以大幅節(jié)省數(shù)據(jù)傳輸?shù)膸挘?］。使用移動(dòng)邊緣計(jì)算增強(qiáng)的RAN能夠依靠其邊緣服務(wù)器或云資源向移動(dòng)終端提供上下文感知服務(wù)，并進(jìn)行用戶流量轉(zhuǎn)發(fā)。

本文從移動(dòng)邊緣計(jì)算的架構(gòu)入手，分析了路由轉(zhuǎn)發(fā)、無線網(wǎng)絡(luò)開放和平臺(tái)管理3個(gè)模塊的具體功能和相關(guān)的安全風(fēng)險(xiǎn)，并提出了解決建議。在防范移動(dòng)邊緣計(jì)算安全風(fēng)險(xiǎn)的基礎(chǔ)上，對于有高安全級別需求的移動(dòng)邊緣計(jì)算應(yīng)用，未來還應(yīng)考慮如何通過能力開放，將網(wǎng)絡(luò)的安全能力以安全服務(wù)的方式提供給移動(dòng)邊緣計(jì)算應(yīng)用，在滿足安全需求的同時(shí)，支撐擴(kuò)展更多的商業(yè)模式，創(chuàng)造更大的網(wǎng)絡(luò)價(jià)值。