移动边缘计算中的安全问题现状

移动边缘计算中的安全问题现状

　　目前对边缘计算安全和隐私保护的研究工作尚处于初级阶段，已有的研究成果较少。其中，一个确实可行的研究思路是将现有的其他相关领域的安全技术移植到边缘计算环境中。

一、MEC在传统安全防护下的差异

1) 认证安全

　　MEC网络中包含大量地理分散的物联网设备，由于设备在电力、处理和存储等方面受到各种限制，网络设备认证成为一个巨大的挑战。由于物联网设备的资源限制，传统使用证书和公 钥基础设施(PKI)的身份验证机制不再适用。MEC节点经常动态地加入或离开MEC网络，当新的节点连接(或 离开)网络时，需要确保对已注册终端用户的不间断服务。节点必须能够相互验证自己新形成的MEC网络。 此外，MEC节点还需要限制或拒绝来自恶意或受损节点的服务请求[11]。

2) 通信安全

       MEC网络中的设备通信主要包括物联网设备与MEC节点之间的通信以及MEC节点之间的通信，通常情况下，很多设备可与MEC网络中的任何MEC节点进行通信，请求MEC节点响应处理请求或存储请求。但实际上，物联网设备可能并不清楚 MEC网络的存在，因此，物联网设备发送的消息不能使用对称加密技术，非对称密钥加密也存在很多挑战。 MEC节点之间的通信需要端到端的安全，因为多条路径中涉及的节点并不能被完全信任。

3) 隐私安全

       MEC分布式节点的计算能力能够降低数据中心的总压力，但是，与终端用户相邻的MEC节点可能收集有关用户身份、位置、应用程序使用等的敏感数据。另外，由于MEC节点的大面积分散，集中控制十分困难，安全性较差的边缘节点可能成为入侵者进入MEC网络的入口，入侵者一旦进入网络，就可以挖掘和窃取用户在实体间交换的隐私数据。

 

新挑战：

1) 边缘计算中基于多授权方的轻量级数据加密与细粒度数据共享新需求。

       由于边缘计算是一种融合了以授权实体为信任中心的多信任域共存的计算模式，使传统的数据加密和共享策略不再适用。因此，设计针对多授权中心的数据加密方法显得尤为重要，同时还应考虑算法的复杂性问题。

2) 分布式计算环境下的多源异构数据传播管控和安全管理问题。

       在边缘式大数据处理时代，网络边缘设备中信息产生量呈现爆炸性增长。用户或数据拥有者希望能够采用有效的信息传播管控和访问控制机制，来实现数据的分发、搜索、获取以及控制数据的授权范围。此外，由于数据的外包特性，其所有权和控制权相互分离，因此有效的审计验证方案能够保证数据的完整性。

3) 边缘计算的大规模互联服务与资源受限终端之间的安全挑战。

       由于边缘计算的多源数据融合特性、移动和互联网络的叠加性以及边缘终端的存储、计算和电池容量等方面的资源限制，使传统较为复杂的加密算法、访问控制措施、身份认证协议和隐私保护方法在边缘计算中无法适用。

4）面向万物互联的多样化服务以及边缘计算模式对高效隐私保护的新要求。

       网络边缘设备产生的海量级数据均涉及个人隐私，使隐私安全问题显得尤为突出。除了需要设计有效的数据、位置和身份隐私保护方案之外，如何将传统的隐私保护方案与边缘计算环境中的边缘数据处理特性相结合，使其在多样化的服务环境中实现用户隐私保护是未来的研究趋势。

 

二、安全威胁

1.网络基础设施安全威胁

　　1)拒绝服务攻击(Denial of Service，DoS)。

　　2)中间人攻击(Man in the Middle，MITM)

　　3)伪造网关

2.边缘数据中心安全威胁

　　1)隐私泄露

　　2)权限升级

　　3)服务操作

　　4)流氓数据中心

　　5)物理损害

3.边缘基础设施安全威胁

　　1)隐私泄露

　　2)服务操作

　　3)流氓基础设施

4.虚拟化基础设施安全威胁

　　1)拒绝服务

　　2)资源滥用

　　3)隐私泄露

　　4)权限升级

　　5)VM操作

5.用户设备安全威胁

　　1)信息注入

　　2)服务操作

 

三、防御策略及对应研究方向

1.加密

       主要用的加密手段有基于属性加密(ABE)、代理重加密(PRE)和 全同态加密(FHE)算法。

文献：【4】【5】【6】

研究方向展望：

       数据加密技术为保证各类计算模式中的数据安全提供了有效的解决办法。在开放式的边缘计算环境下，如何将传统的加密方案与边缘计算中并行分布式架构、终端资源受限、边缘大数据处理、高度动态环境等特性进行有机结合，实现轻量级、分布式的数据安全防护体系是未来的重点研究内容。

       1) 在数据保密性和安全数据共享方面，结合属性加密、代理重加密和同态加密等应用加密理论，如何设计低时延、支持动态操作的分布式安全存储系统和正确处理网络边缘设备与云中心之间的协同性是一个重要的研究思路。

       2) 在数据完整性审计方面，一个主要的研究目的在于实现各种审计功能的同时尽可能提高审计效率并降低验证开销。其次，设计支持多源异构数据和动态数据更新的完整性审计方案有望成为未来的研究重点。

       3) 在可搜索加密方面，首先，如何在分布式存储服务模型下构造基于关键字的搜索方案，进一步拓展至边缘计算环境中是一个可行的研究思路;其次，如何在安全多方共享模式下实现细粒度的搜索权限控制，使其在适用于不同信任域的多用户搜索环境的同时，保证搜索的速度和精度。最后，针对 边缘计算中分布式密文数据存储模型，如何高效地构造安全索引使其适用于资源受限的网络边缘设备以及设计分布式可搜索加密算法是一个亟待解决的问题。

 

2.身份认证

       统一认证、跨域认证、切换认证

文献：【7】

研究方向展望：

       当前，国内外研究者对身份认证协议的研究大多是在现有的安全协议基础上进行改进和优化，包括协议的灵活性、高效性、节能性和隐私保护等。在边缘计算中，身份认证协议的研究应借鉴现有方案的优势之处，同时结合边缘计算中分布式、移动性等特点，加强统一认证、跨域认证和切换认证技术的研究，以保障用户在不同信任域和异构网络环境下的数据和隐私安全。

       由于边缘计算是一个多实体和多信任域共存 的开放式动态系统，因此身份认证协议要考虑到实体与信任域之间的对应关系。具体的研究内容包括同一实体在不同信任域之间的跨域认证和切换认证;不同实体在相同信任域内的身份认证和相互认证；最后，在实现轻量级身份认证的同时兼顾匿名性、完整性、可追溯性和批量认证等功能也是一个重要的研究点。

 

3.访问控制

文献：【8】

研究方向展望：

       边缘计算中的访问控制系统在原则上应适用于不同信任域之间的多实体访问权限控制，同时还应考虑地理位置和资源所有权等各种因素。因此，设计一种细粒度、动态化、轻量级和多域访问控制机制是接下来的研究重点，而高效的基于属性和角色的访问控制方法应该是比较适合边缘计算环境的技术手段。

       1) 支持跨域、跨群组的分级化访问控制方案，实现从单域到多域的细粒度访问控制，同时满足设计目标和资源约束将是未来的一个重要研究方向。

       2) 跨域访问控制过程中的非法授权、访问冲突以及密钥管理、策略管理和属性管理等方面仍然存在很多亟待解决的问题。

 

4.安全协议

 

四、潜在研究方向总结

　　l  1.协同计算中的数据隐私

　　l  2.传统加密方案与分布式架构的结合

　　l  3.边缘计算多实体的身份认证协议

　　l  4.安全与低时延数据共享问题

　　l  5.边缘计算中的位置隐私

　　l  6.边缘计算环境下的恶意软件检测

参考文献

【1】曹咪, 徐雷, 陶冶. 移动边缘计算安全问题与研究建议[J]. 信息通信技术, 2019, 13(001):67-75.

【2】张佳乐,赵彦超,陈兵,等.边缘计算数据安全与隐私保护研究 综述[J].通信学报,2018(3):1-21

【3】Roman R, Lopez J, Mambo M. Mobile edge computing. A survey and analysis of security threats and challenges [J]. Future Generation Computer Systems, 2018, 78: 680-698

【4】ZUO C, SHAO J, WEI G Y, et al. CCA-secure ABE with outsourced decryption for fog computing[J]. Future Generation Computer Sys- tems, 2018, PP(78): 730-738.

【5】KHAN A N, ALI M, KHAN A U R, et al. A comparative study and workload distribution model for re-encryption schemes in a mobile cloud computing environment[J]. International Journal of Communication Systems, 2017, 30(16): e3308.

【6】LOUK M, LIM H. Homomorphic encryption in mobile multi cloud computing[C]//The 25th International Conference on Information Networking (ICOIN’15). 2015: 493-497.

【7】YANG X, HUANG X Y, LIU J K. Efficient handover authentication with user anonymity and untraceability for mobile cloud computing[J]. Future Generation Computer Systems, 2016, 62(C): 190-195.

【8】JIN Y, TIAN C, HE H, et al. A secure and lightweight data access control scheme for mobile cloud computing[C]//The 5th International Conference on Big Data and Cloud Computing (BDCloud’15). 2015: 172-179.