用了邊緣計(jì)算,你的數(shù)據(jù)就真的安全了嗎?
采用邊緣計(jì)算將數(shù)據(jù)留在本地進(jìn)行處理,用以解決用戶的隱私泄露和安全問(wèn)題,你的數(shù)據(jù)就真的安全了嗎?
智能家居一方面給人們描繪了一幅未來(lái)美好的智慧生活的圖景,另一方面也帶給人們對(duì)于自身隱私和安全問(wèn)題的擔(dān)憂。針對(duì)此等情況,有行業(yè)人士認(rèn)為:未來(lái)邊緣計(jì)算將更廣泛地應(yīng)用于終端設(shè)備,從而保護(hù)用戶的隱私安全。
此外,多接入邊緣計(jì)算MEC,作為近兩年關(guān)注度高的一種邊緣計(jì)算,其在智能工廠、智能醫(yī)院和智能煉油廠等諸多細(xì)分領(lǐng)域都有廣泛的應(yīng)用。例如智能工廠,2018年10月,基于諾基亞vMEC解決方案,在華晨寶馬工廠成功部署并投入試運(yùn)行;而智能醫(yī)院,則有采用4G+MEC的方式以LTE網(wǎng)絡(luò)為基礎(chǔ)的企業(yè)專用網(wǎng)絡(luò),以醫(yī)院HIS系統(tǒng)為數(shù)據(jù)源,為醫(yī)療定制終端硬件載體,為企業(yè)提供移動(dòng)軟件展示護(hù)理等。
以MEC為代表的邊緣計(jì)算技術(shù),雖然帶來(lái)了多種嶄新的服務(wù)方式,但它的新特征也帶來(lái)了全新的安全和隱私保護(hù)問(wèn)題。
MEC將面臨更為多樣化的攻擊
在傳統(tǒng)的網(wǎng)絡(luò)中,有防火墻、數(shù)據(jù)加密和病毒防御等與數(shù)據(jù)安全、隱私保護(hù)相關(guān)的技術(shù),但在MEC中,由于任務(wù)不僅限于在已具有安全措施的場(chǎng)所中運(yùn)行,同時(shí)移動(dòng)網(wǎng)絡(luò)終端的高移動(dòng)性,使原本用于云計(jì)算的許多安全解決方案很難適用于MEC。
MEC的異構(gòu)特點(diǎn),整個(gè)系統(tǒng)是由多個(gè)所有者共同擁有的,其部署和服務(wù)方式使得網(wǎng)絡(luò)攻擊的破壞范圍限制在了較小的范圍內(nèi),另一方面,一旦攻擊者成功控制了節(jié)點(diǎn),整個(gè)節(jié)點(diǎn)所服務(wù)的地區(qū)都將面臨癱瘓的風(fēng)險(xiǎn)。
服務(wù)本地化也會(huì)使得針對(duì)MEC的攻擊將會(huì)更加多樣化,MEC主要面臨以下這些途徑的攻擊:
(1)網(wǎng)絡(luò)設(shè)施的攻擊:MEC的接入和傳輸具有多樣性,從無(wú)線接入網(wǎng)到移動(dòng)核心網(wǎng)再到互聯(lián)網(wǎng)都有涉及,因此針對(duì)該環(huán)節(jié)的攻擊有三種。
- 拒絕服務(wù)(DoS)攻擊:盡管一定程度上會(huì)對(duì)MEC造成的影響,但破環(huán)能力有限;
- 中間人攻擊:此類型的攻擊很隱蔽,同時(shí)危險(xiǎn)性大,能影響到連接在中間人上的所有網(wǎng)絡(luò)節(jié)點(diǎn);
- 惡意網(wǎng)關(guān)攻擊:與中間人攻擊對(duì)MEC造成的危害是類似的。
(2)服務(wù)設(shè)施攻擊:在MEC中,服務(wù)設(shè)施最主要的是部署在網(wǎng)絡(luò)邊緣的MEC節(jié)點(diǎn),而該種類型的攻擊主要有隱私泄露、服務(wù)復(fù)制、權(quán)限升級(jí)和惡意節(jié)點(diǎn)。
(3)虛擬化設(shè)施攻擊:在MEC節(jié)點(diǎn)中,虛擬化設(shè)施負(fù)責(zé)網(wǎng)絡(luò)邊緣云服務(wù)的部署,同時(shí)也面臨多種方式的攻擊。
- 拒絕服務(wù)攻擊:一個(gè)惡意的虛擬機(jī)會(huì)設(shè)法耗盡整個(gè)節(jié)點(diǎn)的資源,在某些情況下這種攻擊的造成的后果很?chē)?yán)重;
- 資源的錯(cuò)誤使用:例如,惡意虛擬機(jī)可以搜尋附近的IoT設(shè)備并對(duì)其攻擊或執(zhí)行一些破解密碼、運(yùn)行僵尸網(wǎng)絡(luò)服務(wù)的程序;
此外,虛擬化設(shè)施攻擊除了以上提到的,還有隱私泄露、權(quán)限升級(jí)、虛擬機(jī)復(fù)制等,而在用戶終端的環(huán)節(jié),MEC系統(tǒng)還將面臨信息注入和服務(wù)復(fù)制這兩種攻擊的方式。
安全與隱私保護(hù)技術(shù)
為了應(yīng)對(duì)MEC系統(tǒng)以上這些多樣化的攻擊,應(yīng)用多種安全服務(wù)與防御機(jī)制是很有必要的,主要有以下這些關(guān)鍵技術(shù):
- 身份驗(yàn)證與鑒權(quán)技術(shù):復(fù)雜的異構(gòu)特征帶來(lái)了很多挑戰(zhàn),不僅需要對(duì)每一個(gè)實(shí)體進(jìn)行身份認(rèn)證,還需要實(shí)現(xiàn)不同實(shí)體之間的身份互相認(rèn)證;
- 信任管理技術(shù):在MEC中,信任管理不僅僅包括對(duì)實(shí)體身份的驗(yàn)證,還包括對(duì)交互實(shí)體數(shù)量和具體行為的管理;
- 協(xié)議與網(wǎng)絡(luò)安全技術(shù):如果MEC的網(wǎng)絡(luò)架構(gòu)沒(méi)有受到嚴(yán)格的保護(hù),整個(gè)系統(tǒng)都會(huì)受到外部和內(nèi)部攻擊的威脅;因此需要對(duì)MEC應(yīng)用到的種種通信技術(shù)和協(xié)議進(jìn)行有效防護(hù);
- 入侵檢測(cè)技術(shù):由于絕大多數(shù)攻擊的危害都被限制在MEC節(jié)點(diǎn)附近,因此,MEC節(jié)點(diǎn)能夠?qū)ζ渲械木W(wǎng)絡(luò)連接、虛擬機(jī)狀態(tài)等節(jié)點(diǎn)所擁有的部分進(jìn)行監(jiān)控;
- 錯(cuò)誤容忍與恢復(fù)技術(shù):錯(cuò)誤的配置、舊版本的軟件、頑健性不足的代碼和其他不足都有可能被惡意的攻擊利用,進(jìn)而控制系統(tǒng)的某些部分或是整個(gè)系統(tǒng)。因此,應(yīng)用一些能夠讓服務(wù)設(shè)施繼續(xù)服務(wù)的機(jī)制和方案是十分必要的。
5G MEC安全解決方案
MEC服務(wù)器是移動(dòng)網(wǎng)絡(luò)中一個(gè)全新的實(shí)體,在連接到包括OAM系統(tǒng)、UPF、合法攔截等多個(gè)移動(dòng)網(wǎng)絡(luò)實(shí)體的同時(shí),還連接到第三方應(yīng)用服務(wù)器,甚至容納第三方應(yīng)用程序。
值得注意的是,當(dāng)前的安全技術(shù)(包括IPsec、TLS、防火墻等)可以保護(hù)這些連接,以阻止對(duì)MEC服務(wù)器、移動(dòng)系統(tǒng)和第三方服務(wù)器的攻擊。
然而,這些解決方案對(duì)于引入MEC后新產(chǎn)生的安全問(wèn)題還不能很好地解決,例如,在MEC服務(wù)器上運(yùn)行的惡意應(yīng)用程序可能會(huì)有意占用服務(wù)器中的資源,從而使同一服務(wù)器上的應(yīng)用程序失效;應(yīng)用程序也可以使用API自由更改移動(dòng)網(wǎng)絡(luò)的配置,這可能會(huì)損害整個(gè)網(wǎng)絡(luò)的性能。
需要建立一個(gè)統(tǒng)一、可信的安全評(píng)估系統(tǒng)來(lái)評(píng)估MEC系統(tǒng)中運(yùn)行的應(yīng)用程序的安全性將十分有必要。同時(shí),應(yīng)用程序和網(wǎng)絡(luò)之間接口的安全方面也應(yīng)考慮到通信的安全性,例如未經(jīng)授權(quán)的調(diào)用。
移動(dòng)運(yùn)營(yíng)商要為MEC服務(wù)器中的應(yīng)用程序提供防御惡意攻擊的服務(wù),并檢查第三方應(yīng)用程序的安全漏洞。MEC的具體安全要求如下:
首先是物理設(shè)施保護(hù)。在為用戶提供優(yōu)質(zhì)服務(wù)的同時(shí),MEC的按需鄰接部署也客觀地縮短了攻擊者與MEC物理設(shè)施之間的距離,使攻擊者更容易與MEC物理設(shè)施接觸。造成MEC物理設(shè)備的破壞、服務(wù)中斷、用戶隱私和數(shù)據(jù)泄露等嚴(yán)重后果。另一方面,廣泛部署的MEC邊緣計(jì)算節(jié)點(diǎn)也可能面臨著各種自然災(zāi)害(如臺(tái)風(fēng)、冰雹)和工業(yè)災(zāi)害的威脅。上述所有因素都可能直接損害MEC硬件基礎(chǔ)設(shè)施,導(dǎo)致服務(wù)突然中斷和數(shù)據(jù)意外丟失。因此,需要在性能和成本考慮的基礎(chǔ)上,為MEC節(jié)點(diǎn)配置相應(yīng)的物理設(shè)施保護(hù)措施。
再者,對(duì)安全能力有限的MEC節(jié)點(diǎn)要進(jìn)行安全防護(hù)。由于性能、成本、部署等多種因素的影響,單個(gè)MEC節(jié)點(diǎn)的安全防護(hù)能力(如可抵抗的攻擊類型、抵抗單一攻擊的強(qiáng)度等)受到限制。針對(duì)MEC節(jié)點(diǎn)(IoT終端/移動(dòng)智能終端)的應(yīng)用特點(diǎn)和終端特點(diǎn),有必要部署相應(yīng)的安全防護(hù)措施。
然后是擴(kuò)展信任構(gòu)建模型。MEC系統(tǒng)與移動(dòng)通信系統(tǒng)共生集成的部署模式,擴(kuò)展了以前的“用戶分別對(duì)網(wǎng)絡(luò)和服務(wù)進(jìn)行認(rèn)證”的二元信任關(guān)系構(gòu)建模型。需要建立用戶、MEC系統(tǒng)、MEC應(yīng)用、移動(dòng)通信網(wǎng)絡(luò)和MEC系統(tǒng)之間的信任關(guān)系。具體來(lái)說(shuō),需要在MEC系統(tǒng)和5G網(wǎng)絡(luò)之間建立信任關(guān)系,以便合法使用5G開(kāi)放網(wǎng)絡(luò)服務(wù)為用戶提供服務(wù)。為了防止惡意應(yīng)用程序接管用戶服務(wù),需要在MEC系統(tǒng)和MEC應(yīng)用程序之間建立信任關(guān)系。需要建立MEC系統(tǒng)與用戶之間的信任關(guān)系,以確認(rèn)MEC系統(tǒng)與用戶之間的合法性。在MEC系統(tǒng)中,需要在MEC節(jié)點(diǎn)和MEC控制器之間建立信任關(guān)系,防止“假M(fèi)EC節(jié)點(diǎn)”惡意訪問(wèn),竊取用戶和服務(wù)信息。信任關(guān)系需要構(gòu)建MEC節(jié)點(diǎn)來(lái)支持節(jié)點(diǎn)之間的協(xié)作。
最后是關(guān)于隱私和數(shù)據(jù)保護(hù)。MEC“基于用戶信息感知的高質(zhì)量個(gè)性化服務(wù)”的特點(diǎn)不僅提供了便利,而且使MEC應(yīng)用不可避免地能夠訪問(wèn)大量的移動(dòng)用戶和設(shè)備的隱私和數(shù)據(jù)信息。例如用戶身份、位置和移動(dòng)軌跡。在進(jìn)一步挖掘這些信息之后,我們還可以獲得很多關(guān)于用戶睡眠模式、生活習(xí)慣、健康狀況等方面的信息。因此,在MEC隱私和數(shù)據(jù)保護(hù)中,需要配備相應(yīng)的隱私泄露保護(hù)措施,嚴(yán)格控制第三方MEC應(yīng)用的行為,防止其泄露和濫用用戶的隱私和數(shù)據(jù)信息,針對(duì)這部分,我們應(yīng)高度關(guān)注。
總結(jié):
Gartner預(yù)測(cè),企業(yè)對(duì)邊緣計(jì)算市場(chǎng)潛力的興趣正在迅速增長(zhǎng),從2019年到2021年底,至少部署了一個(gè)邊緣計(jì)算應(yīng)用來(lái)支持物聯(lián)網(wǎng)或沉浸式體驗(yàn)的大型企業(yè),將由不到5%增長(zhǎng)到超過(guò)50%;至少部署六種邊緣計(jì)算應(yīng)用來(lái)支持物聯(lián)網(wǎng)或沉浸式體驗(yàn)的大型企業(yè),將由不到1%增長(zhǎng)到超過(guò)50%。
盡管邊緣計(jì)算將面臨更為多樣化的攻擊,但他的大范圍應(yīng)用已成為一個(gè)趨勢(shì)。面對(duì)以上提到的這些攻擊類型,只要我們采取恰當(dāng)?shù)陌踩?wù)以及建立好防御機(jī)制,相信最終能使得邊緣計(jì)算的各種應(yīng)用順利落地,數(shù)據(jù)的安全得到保障。
