今日頭條
官方微信
官方抖音
資訊頻道一、移動邊緣計算簡介
移動邊緣計算(Mobile Edge Computing, MEC)概念最初于2013年出現。IBM與Nokia Siemens網絡當時共同推出了一款計算平臺,可在無線基站內部運行應用程序,向移動用戶提供業務。歐洲電信標準協會(ETSI)于2014年成立移動邊緣計算規范工作組,正式宣布推動移動邊緣計算標準化。
ETSI定義MEC為在移動網邊緣提供IT服務環境和云計算能力。隨著一些具有高速率、低時延需求的新型業務的出現,傳統通過核心網完成數據傳輸和數據處理的方式已難以滿足這些業務的需求。MEC的出現,將網絡業務和計算能力下沉到更接近用戶的無線接入網側,從而降低核心網的負載和開銷,并降低了業務時延。2016年,ETSI將邊緣計算的概念擴展為多接入點邊緣計算(Multi-Access Edge Computing),將MEC從電信蜂窩網絡擴展至其他無線接入網絡(如WLAN)。MEC可以為用戶提供本地視頻、AR/VR、用戶定位、視頻QoS優化、視頻監控、流量分析等服務。
MEC還將作為關鍵技術滿足5G本地低時延業務的需求。ETSI在2018年6月份發布了《MEC in 5G networks》白皮書,介紹了5G服務化網絡架構與MEC服務的融合方式。MEC可以作為應用功能(AF)與5G核心網的網絡開放功能(NEF)進行交互,通過策略控制功能(PCF),向會話管理功能(SMF)下發本地流量路由策略,從而使用戶的業務流量流向本地用戶面功能(UPF),再到MEC提供的本地數據網絡。
二、MEC面臨的安全風險
MEC將云數據中心的計算能力下沉到了網絡邊緣,一方面,MEC基礎設施通常部署在無線基站等網絡邊緣,使其更容易暴露在不安全的環境中。另一方面,MEC將采用開放應用編程接口(API)、開放的網絡功能虛擬化(NFV)等技術,開放性的引入容易將MEC暴露給外部攻擊者。然而,與云中心相比,由于邊緣設施的資源和能力有限,難以提供與云數據中心一致的安全能,MEC服務面臨一定的安全風險問題(如圖1所示),包含以下幾個方面:
1. 認證與授權
MEC可以認為是在網絡上層為用戶提供邊緣業務, MEC服務可以由網絡運營商或者第三方服務商提供。如果MEC服務由運營商提供,可以認為MEC服務與網絡之間是可信的。但如果MEC服務由第三方提供,在接入網絡的時候如果沒有與網絡之間進行認證與授權,則面臨惡意第三方接入網絡提供非法服務的風險。
2. 網絡基礎設施安全
空口傳輸安全:邊緣MEC服務器可部署在無線基站側,用戶與基站之間的空口通信容易受到DDoS、無線干擾、惡意監聽等攻擊。
中間人攻擊:外部的惡意用戶可以通過入侵和控制部分MEC網絡設備,發起非法監聽或者流量篡改等攻擊行為, 例如當網絡之間的網關被入侵后,所有通過該網關的流量將會暴露給惡意用戶。
偽設備:惡意用戶會可能在MEC服務區域部署偽基站、偽網關等設備,造成用戶的流量被非法監聽或篡改。
3. 邊緣數據中心安全
物理破壞:MEC邊緣數據中心的服務設施可能部署在不可信的物理環境中,部分區域的設備可能會受到惡意用戶的物理破壞。由于MEC服務設施通常部署在本地,物理破壞通常發生在局部區域內。
隱私泄露:雖然邊緣數據中心通常只處理和存儲一定地理范圍內用戶的數據,但是如果缺乏相關的數據保護機制,外部惡意用戶可能會入侵數據中心并獲取MEC用戶的敏感數據,尤其是用戶位置等敏感數據。
服務篡改:如果惡意用戶通過權限升級或者惡意軟件入侵攻擊邊緣數據中心,并獲得了系統的控制權限,則惡意用戶可能會終止或者篡改MEC主機提供的業務,并且可以發起選擇性的DoS攻擊或者用戶敏感信息竊取。
4. 虛擬化安全
開放接口攻擊:通常邊緣數據中心會采用網絡功能虛擬化的方式實現,通常邊緣的虛擬化設施會為用戶和邊緣數據中心配置開放API,這些接口會傳輸物理和邏輯環境中的信息,例如本地網絡的狀態。如果接口被外部惡意用戶攻擊,會造成NFV環境中的敏感數據泄露。
權限升級:惡意的VM可能會通過獲取主機的操作管理權限,如果虛擬機(VM)之間的隔離不足,惡意VM可以篡改其他VM的計算任務,影響邊緣數據計算和業務處理的結果。此外,惡意用戶可能在VM中植入惡意軟件、木馬病毒等。 當用戶發生移動導致VM發生遷移時,惡意VM會感染其他區域內的虛擬化MEC主機和系統。
資源濫用:一方面,惡意VM 占用MEC系統的資源執行惡意程序,例如破解MEC系統管理員密碼,或作為僵尸服務器發動DDoS攻擊等。另一方面,通常MEC邊緣的網絡、計算和存儲資源不如云數據中心充足,惡意VM可能通過執行與計算任務無關的程序,耗盡MEC系統的網絡、計算和存儲資源,影響MEC系統工作效率。
5. 用戶設備安全
當MEC用戶設備被惡意用戶控制后,一方面會造成用戶隱私數據泄露風險;另一方面用戶設備可能被惡意控制向周邊其他邊緣用戶發送虛假信息,例如受感染的車聯網MEC終端設備傳播錯誤的路況信息。
三、MEC安全問題解決思路
為了應對上述安全風險問題,可以通過以下方式增強MEC服務的安全。
1. 采用集中式或分布式的鑒權和認證方法
一方面,可以通過第三方認證服務器,對MEC設備之間進行鑒權和認證。但是這種方式要求部署第三方服務器,依賴于第三方認證服務的可靠性和安全性。 另一方面,由于邊緣計算服務器和設備數量較多,且可能采用分布式交互的方式,因此一些分布式認證和鑒權機制也可以用于邊緣設備之間的認證和鑒權,例如設備之間通過公鑰基礎設施(PKI)進行雙向認證。這樣的認證可以不依賴于第三方認證服務,但是要求邊緣用戶存儲相關的認證信息。
2. 充分利用已有通信安全協議
在MEC服務中,用戶與MEC服務器之間的通信會涉及到許多通信協議,例如TCP/IP協議、802.11系列協議、5G協議等。這些協議中都包含對用戶的接入認證、數據傳輸安全等相關的安全協議和機制。例如,IETF剛在8月份發布了TLS 1.3版本,通過增強對握手協商的加密來保護數據免受竊聽。3GPP也于2018年3月份發布了R15版本的5G安全協議。在MEC服務框架下,可以充分利用上述安全協議的特點,解決MEC服務中認證鑒權、數據傳輸、隱私保護等安全問題。
3. 采用入侵檢測技術發現惡意攻擊
應用于云數據中心的入侵檢測技術也可以應用于邊緣數據中心,對惡意軟件、惡意攻擊等行為進行檢測。此外,對于邊緣分布式的特點,可以通過相應的分布式邊緣入侵檢測技術來進行識別,通過多節點之間進行協作,以自組織的方式實現對惡意攻擊的檢測。
4. 應用數據加密增強用戶隱私安全
還可以對邊緣數據中心的數據進行保密性和完整性保護,增強對VM數據存儲、計算處理和遷移過程中的數據安全保護,提高用戶隱私數據的安全性。
5. 通過虛擬機隔離提升虛擬化安全
對于部署在虛擬化邊緣環境中的VM,可以加強VM之間的隔離,對不安全的設備進行嚴格隔離,防止用戶流量流入到惡意VM中。另外,可以實時監測VM的運行情況,有效發掘惡意VM行為,避免惡意VM遷移對其他邊緣數據中心造成感染。
來源:中國信通院網站
北京市公安局海淀分局備案號:11010802023656號