物聯(lián)網(wǎng)環(huán)境下移動(dòng)邊緣計(jì)算安全問題

劉京 段續(xù) 李陽(yáng) 時(shí)博涵

摘要：物聯(lián)網(wǎng)時(shí)代多類型流量的接入與應(yīng)用場(chǎng)景的多樣性，從計(jì)算能力、存儲(chǔ)和業(yè)務(wù)時(shí)延等多個(gè)方面對(duì)當(dāng)前集中式云計(jì)算架構(gòu)提出新的挑戰(zhàn)。移動(dòng)邊緣計(jì)算（MEC）作為一種在網(wǎng)絡(luò)邊緣為用戶提供服務(wù)的解決方案，能夠滿足物聯(lián)網(wǎng)多樣性的業(yè)務(wù)需求。針對(duì)移動(dòng)邊緣計(jì)算在物聯(lián)網(wǎng)中的安全問題，對(duì)移動(dòng)邊緣計(jì)算的概念、應(yīng)用場(chǎng)景和安全進(jìn)程進(jìn)行介紹，著重從數(shù)據(jù)傳輸安全、存儲(chǔ)安全和計(jì)算安全3個(gè)方面闡述了移動(dòng)邊緣計(jì)算在物聯(lián)網(wǎng)時(shí)代所面臨的安全挑戰(zhàn)。

關(guān)鍵詞：移動(dòng)邊緣計(jì)算；物聯(lián)網(wǎng)；信息安全；計(jì)算安全

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2021）03-58-3

0引言

隨著萬(wàn)物互聯(lián)時(shí)代的開啟，物聯(lián)網(wǎng)已經(jīng)成為當(dāng)今世界新一輪經(jīng)濟(jì)和科技發(fā)展的戰(zhàn)略制高點(diǎn)之一。物聯(lián)網(wǎng)的發(fā)展備受世界各國(guó)的關(guān)注，我國(guó)也將物聯(lián)網(wǎng)發(fā)展上升為國(guó)家發(fā)展重點(diǎn)，并在《“十二五”規(guī)劃綱要》中明確提出，要推動(dòng)物聯(lián)網(wǎng)關(guān)鍵技術(shù)研發(fā)和重點(diǎn)領(lǐng)域的應(yīng)用示范。而物聯(lián)網(wǎng)時(shí)代多樣性流量的涌入和多樣化應(yīng)用場(chǎng)景的需求，對(duì)當(dāng)前集中式云計(jì)算架構(gòu)提出了新的挑戰(zhàn)，同時(shí)推動(dòng)了新的云計(jì)算范式的產(chǎn)生。在物聯(lián)網(wǎng)時(shí)代，移動(dòng)設(shè)備不再只是單純的手機(jī)、平板電腦等，而是包括了類型更加豐富的增強(qiáng)/虛擬現(xiàn)實(shí)（A/VR）設(shè)備、智能醫(yī)療設(shè)備和移動(dòng)車輛等。應(yīng)用場(chǎng)景也從語(yǔ)音通話及視頻等業(yè)務(wù)擴(kuò)展為虛擬空間體驗(yàn)、智能制造及車聯(lián)網(wǎng)等[1]。

另外，在距用戶最短距離的計(jì)算節(jié)點(diǎn)中處理數(shù)據(jù)將減少傳輸時(shí)間。在基于云計(jì)算的服務(wù)中，數(shù)據(jù)傳輸速度會(huì)受到網(wǎng)絡(luò)流量的影響，而繁重的流量會(huì)導(dǎo)致傳輸時(shí)間長(zhǎng)，從而增加功耗成本。因此，采用移動(dòng)邊緣計(jì)算（Mobile Edge Computing，MEC）[2]的方式可以滿足物聯(lián)網(wǎng)設(shè)備的需求。

1基本概念和應(yīng)用場(chǎng)景

MEC的概念最初由歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)（ETSI）提出，其定義是在網(wǎng)絡(luò)邊緣為應(yīng)用開發(fā)者和內(nèi)容提供商提供云計(jì)算的能力以及IT服務(wù)的環(huán)境[2]。近來，ETSI將MEC中的M由Mobile擴(kuò)展為Multi-access，即通過支持多種接入方式將MEC的概念擴(kuò)展至多場(chǎng)景[3]。MEC的優(yōu)點(diǎn)[4-5]主要有以下幾個(gè)：

（1）低時(shí)延和低負(fù)載

MEC能夠?yàn)榈蜁r(shí)延需求業(yè)務(wù)提供服務(wù)和提升用戶體驗(yàn)（QoE）。MEC相比于云計(jì)算的方式，能夠有效降低時(shí)延。因?yàn)樵朴?jì)算的方式需要將業(yè)務(wù)傳輸至距離用戶數(shù)百千米外的數(shù)據(jù)中心處理，業(yè)務(wù)在傳輸過程中需要經(jīng)過核心網(wǎng)，復(fù)雜的網(wǎng)絡(luò)環(huán)境會(huì)造成時(shí)延的不確定性。而MEC則只需要將業(yè)務(wù)卸載至臨近的MEC服務(wù)器進(jìn)行處理，然后返回至用戶端。距離上的靠近以及不需要經(jīng)過核心網(wǎng)的傳輸方式，能夠有效降低時(shí)間開銷。同時(shí)，業(yè)務(wù)在網(wǎng)絡(luò)邊緣的處理模式，避免了大量業(yè)務(wù)涌入核心網(wǎng)，降低了接入核心網(wǎng)絡(luò)的負(fù)載。

（2）長(zhǎng)周期和低功耗

在物聯(lián)網(wǎng)應(yīng)用場(chǎng)景中，設(shè)備功耗一直是亟需解決的問題，因設(shè)備的電池容量有限和無(wú)線充電較為困難，降低設(shè)備功耗能夠有效延長(zhǎng)設(shè)備的任務(wù)周期。在物聯(lián)網(wǎng)的應(yīng)用場(chǎng)景中部署MEC服務(wù)器，可以將需要處理的業(yè)務(wù)卸載至MEC服務(wù)器中，降低了設(shè)備計(jì)算處理的功耗，且近距離卸載能夠降低無(wú)線傳輸?shù)墓模M(jìn)而延長(zhǎng)設(shè)備任務(wù)周期。

（3）應(yīng)用場(chǎng)景

云游戲和增強(qiáng)現(xiàn)實(shí)以及智能家居和城市是物聯(lián)網(wǎng)時(shí)代MEC的典型案例。采用MEC技術(shù)可以高效、穩(wěn)定地為云游戲、AV/R等提供支持。這種將業(yè)務(wù)卸載至MEC服務(wù)器處理的方式，將允許數(shù)據(jù)傳播較短的距離，從而獲得更加身臨其境的互動(dòng)游戲體驗(yàn)[6-7]，同時(shí)通過執(zhí)行本地計(jì)算和數(shù)據(jù)緩沖/緩存來減少請(qǐng)求和數(shù)據(jù)在核心網(wǎng)傳輸時(shí)的時(shí)間。

2 MEC基本結(jié)構(gòu)和安全

2.1 MEC典型結(jié)構(gòu)

MEC典型結(jié)構(gòu)如圖1所示，分為3層，最底層為邊緣設(shè)備層，包括移動(dòng)終端、智能設(shè)備、VR設(shè)備及機(jī)械設(shè)施等；中間層為邊緣計(jì)算節(jié)點(diǎn)，邊緣設(shè)備通過移動(dòng)網(wǎng)絡(luò)（如4G，WLAN）或者固定網(wǎng)絡(luò)（如光纖網(wǎng)絡(luò)）接入邊緣計(jì)算節(jié)點(diǎn)，將需要處理的數(shù)據(jù)卸載至邊緣計(jì)算節(jié)點(diǎn)；最高層為云數(shù)據(jù)中心層，邊緣計(jì)算節(jié)點(diǎn)通過核心網(wǎng)與云數(shù)據(jù)中心完成數(shù)據(jù)交互，同時(shí)對(duì)時(shí)延等不是特別敏感的業(yè)務(wù)也可通過邊緣計(jì)算節(jié)點(diǎn)傳輸至云數(shù)據(jù)中心處理。

2.2 MEC的隱私和安全

在隱私保護(hù)管理中多采用以下4種[8]方式：

①假名：使用假名作為ID，以確保個(gè)人可以利用來源而不會(huì)透露來源的真實(shí)身份。但是，用戶仍然可以安全使用。

②不可觀察性：確保個(gè)人可以在沒有其他第三方的情況下利用資源或服務(wù)，并具有觀察資源或服務(wù)正在使用的能力。

③不可鏈接性：確保第三方（例如攻擊者）無(wú)法識(shí)別2個(gè)對(duì)象是否相互鏈接。

④匿名：個(gè)人可以在不透露其身份的情況下利用資源。

對(duì)MEC系統(tǒng)的評(píng)估有如下幾個(gè)安全性的關(guān)鍵組件[9]：

①機(jī)密性：僅確保數(shù)據(jù)所有者和個(gè)人可以在邊緣計(jì)算中訪問個(gè)人信息。當(dāng)個(gè)人數(shù)據(jù)在邊緣或核心網(wǎng)絡(luò)框架中傳輸并收集，以及在邊緣或云節(jié)點(diǎn)中保存或處理數(shù)據(jù)時(shí)，它可防止未經(jīng)批準(zhǔn)的各方訪問數(shù)據(jù)。

②完整性：確保將數(shù)據(jù)正確、穩(wěn)定地傳輸給經(jīng)認(rèn)證的個(gè)人，而不會(huì)未經(jīng)授權(quán)地修改數(shù)據(jù)。由于缺乏誠(chéng)信措施，個(gè)人隱私可能會(huì)受到影響。

③可用性：確保被授權(quán)方能夠根據(jù)個(gè)人需求在任何區(qū)域訪問邊緣服務(wù)，可以在各種實(shí)際需要下處理邊緣或云節(jié)點(diǎn)中保存的個(gè)人數(shù)據(jù)以及密文格式。

④訪問控制和身份驗(yàn)證：訪問控制通過訪問控制技術(shù)模仿了所有隱私和安全要求的鏈接點(diǎn)；身份驗(yàn)證可確保對(duì)個(gè)人的身份進(jìn)行認(rèn)證。

3物聯(lián)網(wǎng)下的移動(dòng)邊緣計(jì)算安全挑戰(zhàn)

物聯(lián)網(wǎng)的安全性問題，在學(xué)術(shù)界和產(chǎn)業(yè)界都得到了關(guān)注。本文從MEC與物聯(lián)網(wǎng)時(shí)代下數(shù)據(jù)安全相關(guān)的傳輸、計(jì)算和存儲(chǔ)3個(gè)方面描述MEC面對(duì)的安全問題。

（1）數(shù)據(jù)傳輸安全

MEC因部署在網(wǎng)絡(luò)邊緣，需要接入各種類型的網(wǎng)絡(luò)，如無(wú)線網(wǎng)絡(luò)局域網(wǎng)、超密集網(wǎng)絡(luò)和移動(dòng)網(wǎng)絡(luò)（LTE）等。大量的流量融入，增加了安全管理的復(fù)雜度。引入軟件定義網(wǎng)絡(luò)（SDN）可以降低安全風(fēng)險(xiǎn)，因?yàn)镾DN統(tǒng)一控制的優(yōu)勢(shì)，可以在流量入口處部署網(wǎng)絡(luò)監(jiān)視和入侵系統(tǒng)（IDS），監(jiān)視和掃描數(shù)據(jù)包防止惡意程序入侵，因此在結(jié)合SDN的條件下，可以較容易地在接入流量的MEC服務(wù)器中部署IDS系統(tǒng)。其次，對(duì)發(fā)現(xiàn)的惡意流，可以采用設(shè)定優(yōu)先級(jí)和隔離的方法，利用SDN中Openflow協(xié)議可以實(shí)現(xiàn)流量隔離和設(shè)定流量?jī)?yōu)先級(jí)隊(duì)列。

（2）存儲(chǔ)安全

在基于MEC的物聯(lián)網(wǎng)中，海量數(shù)據(jù)由大量傳感器和各種異構(gòu)設(shè)備生成，所有存儲(chǔ)設(shè)備均由不同的第三方供應(yīng)商提供。由于MEC分布式的特征，數(shù)據(jù)被存儲(chǔ)在不同的網(wǎng)絡(luò)邊緣中，會(huì)增加數(shù)據(jù)被攻擊的風(fēng)險(xiǎn)。首先，由于數(shù)據(jù)被分成多個(gè)部分并存儲(chǔ)在不同的位置，因此很難保證數(shù)據(jù)的完整性，進(jìn)而很容易丟失數(shù)據(jù)包或存儲(chǔ)不正確的數(shù)據(jù)。其次，未經(jīng)授權(quán)的用戶或?qū)κ挚赡軙?huì)修改或?yàn)E用存儲(chǔ)中上傳的數(shù)據(jù)，將導(dǎo)致數(shù)據(jù)泄漏和其他問題。為了解決這些問題，可以使用各種數(shù)據(jù)加密技術(shù)，例如同態(tài)加密，以便實(shí)現(xiàn)邊緣存儲(chǔ)系統(tǒng)的完整性、機(jī)密性和可驗(yàn)證性。此外，這些技術(shù)可以增加用戶的安全性，從而使他們能夠?qū)?shù)據(jù)存儲(chǔ)到任何不受信任的服務(wù)器中。另一種提升數(shù)據(jù)安全的方式是第三方審計(jì)員（TPA）機(jī)制，使用同態(tài)加密和隨機(jī)掩碼技術(shù)來保護(hù)自己。

（3）計(jì)算安全

將物聯(lián)網(wǎng)設(shè)備的計(jì)算任務(wù)卸載至邊緣計(jì)算節(jié)點(diǎn)時(shí)，也需要考慮安全問題。為了確保計(jì)算安全，可驗(yàn)證計(jì)算需要在邊緣計(jì)算中引入。一般而言，可驗(yàn)證計(jì)算能夠幫助不受信任的計(jì)算節(jié)點(diǎn)完成計(jì)算卸載任務(wù)。同時(shí)，該計(jì)算節(jié)點(diǎn)保留可驗(yàn)證的結(jié)果，并使用這些結(jié)果將它們與其他受信任的計(jì)算節(jié)點(diǎn)計(jì)算的結(jié)果進(jìn)行比較，以證明計(jì)算已安全、正確地完成。

4結(jié)束語(yǔ)

物聯(lián)網(wǎng)時(shí)代下的信息安全是個(gè)重要的關(guān)注點(diǎn)，如何將MEC與物聯(lián)網(wǎng)安全耦合是一個(gè)重要的研究課題。圍繞MEC和物聯(lián)網(wǎng)的安全問題，介紹了MEC的概念和特點(diǎn)，對(duì)MEC在物聯(lián)網(wǎng)時(shí)代所面臨的安全挑戰(zhàn)通過數(shù)據(jù)傳輸、存儲(chǔ)和計(jì)算安全3個(gè)角度進(jìn)行了探討分析。相信未來隨著物聯(lián)網(wǎng)的發(fā)展，高帶寬、低時(shí)延和高計(jì)算、存儲(chǔ)能力的業(yè)務(wù)需求將推動(dòng)移動(dòng)邊緣計(jì)算與物聯(lián)網(wǎng)的安全深度耦合，不斷提升用戶體驗(yàn)。

參考文獻(xiàn)

[1] PREMSANKAR G， FRANCESCO D M， TALEB T. Edge Computing for the Internet of Things： A Case Study[J]. IEEE Internet of Things Journal，2018，5（2）：1275-1284.

[2] MAO Y， YOU C， ZHANG J， et al. A Survey on Mobile Edge Computing： The Communication Perspective[J]. IEEE Communications Surveys & Tutorials， 2017， 19（4）： 2322-2358.

[3]李子姝，謝人超，孫禮，等.移動(dòng)邊緣計(jì)算綜述[J].電信科學(xué)， 2018，34（1）：87-101.

[4]劉亞利.5G網(wǎng)絡(luò)中移動(dòng)邊緣計(jì)算的應(yīng)用展望[J].中國(guó)新通信，2018，20（23）：160-161.

[5]田輝，范紹帥，呂昕晨，等.面向5G需求的移動(dòng)邊緣計(jì)算[J].北京郵電大學(xué)學(xué)報(bào)，2017，40（2）：1-10.

[6] ZHANG X， CHEN H， ZHAO Y， et al. Improving Cloud Gaming Experience through Mobile Edge Computing[J]. IEEE Wireless Communications，2019，26（4）：178-183.

[7] Al-SHUWAILI A N， SIMEONE O.Energy-efficient Resource Allocation for Mobile Edge Computing-based Augmented Reality Applications[J].IEEE Wireless Commun. Letters， 2017，6（3）：398-401.

[8] PFITZMANN A， HANSEN M.Anonymity Unlinkability Undetectability Unobservability Pseudonymity and Identity Management-A Consolidated Proposal for Terminology[J]. 2008，31：15.

[9] ZHANG J，CHEN B， ZHAO Y，et al. Data Security and Privacy-preserving in Edge Computing Paradigm： Survey and Open Issues[J].IEEE Access，2018，6：18.