移動邊緣計算作為將云計算能力下沉到邊緣節(jié)點的面向5G的新技術，具有路由控制、無線網(wǎng)絡能力開放和平臺管理三大區(qū)別于典型云平臺的獨特特性。在為終端提供低時延分布式的計算能力、智能節(jié)能的運行模式的同時，由于其靠近終端設備、運行資源有限、接入終端設備數(shù)據(jù)、支持設備移動性等特征，使得邊緣計算除了面臨云計算系統(tǒng)普遍存在的安全問題之外，還在基礎設施、虛擬化特征、數(shù)據(jù)資源、設備間交互和終端設備移動性等方面面臨新的安全威脅。本文將邊緣計算區(qū)別于一般云平臺的新特性入手，分析技術新特性帶來的安全問題并給出解決方案。

隨著5G網(wǎng)絡的到來，移動通信量將面臨巨幅的增長，通信量的增長和通信成本的壓力促使運營商實施多項變革，以保持用戶體驗的質量、收入渠道的擴展、網(wǎng)絡運營的優(yōu)化和資源的充分利用。同時，隨著物聯(lián)網(wǎng)技術的快速發(fā)展和物聯(lián)網(wǎng)應用的不斷涌現(xiàn)，物聯(lián)網(wǎng)連接設備的爆發(fā)式增長將進一步堵塞網(wǎng)絡，因此網(wǎng)絡運營商需要進行本地流量分析，采用網(wǎng)絡切片以緩解網(wǎng)絡擁塞帶來的影響。企業(yè)希望能夠通過更高效、安全和低延遲的連接方式來支持并與客戶接觸，應用程序和內容提供商在連接到云時也面臨網(wǎng)絡延遲的挑戰(zhàn)，而云計算的集中處理模式在大規(guī)模物聯(lián)網(wǎng)連接背景下存在無法滿足實時性需求、終端設備隱私數(shù)據(jù)信息上傳至云端數(shù)據(jù)中心會增加隱私泄露的風險、連接數(shù)的增加帶來的云計算中心能耗問題等方面的不足，萬物互聯(lián)的需求催生出了邊緣計算模型。

1、移動邊緣計算

在2018年年底，中國電子技術標準化研究院、阿里云等單位共同編制并發(fā)布了一份《邊緣云計算技術與標準化白皮書》，定義了邊緣云計算的概念［1］，將移動邊緣計算設備部署在移動網(wǎng)絡邊緣、無線接入網(wǎng)絡（RAN）內、靠近終端，為附近移動設備提供IT服務能力和云計算功能。移動邊緣計算設備可以直接訪問設備的上下文信息，如精確的地理位置、設備網(wǎng)絡狀態(tài)甚至終端設備的移動行為信息等。由于邊緣計算將計算能力直接下沉到靠近設備終端，不在網(wǎng)絡中進行長距離傳輸，因此可以降低敏感信息被泄露竊取的風險［2］。但邊緣計算設備是終端設備數(shù)據(jù)的直接入口，能夠獲取到大量的用戶敏感信息數(shù)據(jù)，這就對邊緣計算設備的隱私保護機制提出了更高的要求。

移動邊緣計算將邊緣計算平臺的部署限制在5G等移動網(wǎng)絡基礎設施上，在某些情況下，設備本身可以參與服務提供過程。在移動邊緣計算中，有幾類不同的用戶實體：云服務提供商、邊緣計算服務提供商和用戶。電信運營商可以成為移動邊緣計算的提供商，因為他們擁有部署邊緣數(shù)據(jù)中心的移動網(wǎng)絡基礎設施。第三方服務提供商可以與運營商密切合作，開發(fā)移動邊緣計算的專用服務。這樣的服務就可以被廣泛地測試，并可能以定制的方式集成。面對不同的用戶實體，其訪問資源的權限是不同的，在大規(guī)模的物聯(lián)網(wǎng)連接下，需要對不同的用戶實體滿足其最大限度享受資源共享需求的基礎上，實現(xiàn)對用戶訪問權限的管理，防止信息被非授權篡改和濫用。

移動邊緣計算是一個與RAN相鄰的高性能和電信級云平臺，允許在網(wǎng)絡邊緣進行計算。它同時處理從云服務主機到移動終端的下游數(shù)據(jù)和從移動終端到云主機的上游數(shù)據(jù)。移動邊緣計算平臺可以由標準IT服務器和基站內外的網(wǎng)絡設備組成，第三方應用程序在由網(wǎng)絡設備互連的虛擬機中部署和執(zhí)行。也可以簡單地使用標準IT服務器構建移動邊緣計算平臺，其中網(wǎng)絡設備作為軟件實體實現(xiàn)。其架構如圖1所示。

移動邊緣計算平臺的基本功能包括路由模塊、網(wǎng)絡能力開放模塊和平臺管理模塊［3］。路由模塊負責移動邊緣計算平臺、RAN和移動核心網(wǎng)之間以及移動邊緣計算平臺內的分組轉發(fā)。網(wǎng)絡能力開放模塊允許無線網(wǎng)絡信息服務（RNIS）和無線資源管理（RRM）的授權功能開放。平臺管理模塊支持對第三方應用程序進行認證、授權、計費和管理［4］，涉及應用程序部署的編排和對網(wǎng)絡能力開放的授權。

圖1 移動邊緣計算架構

下面對移動邊緣計算框架中涉及的3個模塊中存在的安全問題做分析并給出解決方案。

2、路由控制模塊

2.1 安全風險分析

通過路由控制模塊，用戶平面流量（上行鏈路或下行鏈路）被傳遞到一個應用程序，該應用程序可對流量進行監(jiān)控、修改或控制，然后將其發(fā)送回原始連接。邊緣環(huán)境下的終端設備具有很強的移動性，因此路由模塊應該實現(xiàn)業(yè)務連續(xù)性。路由模塊應具有在移動終端切換到連接不同移動邊緣計算平臺的接入點時，中斷并消除會話的能力。

路由模塊負責在移動邊緣計算平臺內部虛擬機之間進行流量轉發(fā)，支持網(wǎng)絡虛擬化以促進靈活的分組轉發(fā)背板，在背板中根據(jù)需要分配網(wǎng)絡和安全服務給可進行編程管理的虛擬機。

在移動5G網(wǎng)絡中，需要加速內容的交付，以便移動用戶及時檢索數(shù)據(jù)。為了實現(xiàn)優(yōu)化的數(shù)據(jù)傳輸，在基站和核心網(wǎng)絡之間引入了名為TCP性能增強代理（PEP）的中間箱［5］。引導移動網(wǎng)絡外部的TCP服務器向移動終端傳輸數(shù)據(jù)，并將無線信道容量的近實時信息插入無線網(wǎng)絡TCP數(shù)據(jù)分組的選項字段中。TCP服務器可以利用它來提高移動網(wǎng)絡的利用率。由于路由模塊需要負責流量的傳輸，并且邊緣節(jié)點的能力相較于云計算中心比較有限，容易遭到流量攻擊，盡管單個邊緣節(jié)點被破壞，附近網(wǎng)絡會迅速找到最近的可替代節(jié)點進行調節(jié)，損害并不大，但如果黑客將攻陷的邊緣節(jié)點作為“肉雞”去攻擊其它服務器，在短時間內用大量的僵尸節(jié)點去訪問服務器，會導致服務器癱瘓進而會對整個網(wǎng)絡造成影響。

2.2解決方案

在進行流量轉發(fā)時建議劃分流量類型，并在中心和分支之間設置防火墻。在某些情況下，邊緣計算設備可能根本不需要連接到企業(yè)網(wǎng)絡，例如使用邊緣網(wǎng)站運營農場或自動化工廠，就不需要訪問客戶數(shù)據(jù)。邊緣的微數(shù)據(jù)中心應具有冗余保護級別的集群，并對傳輸?shù)臄?shù)據(jù)進行機密性和完整性、防重放保護，調用移動邊緣計算平臺的 API 時應進行認證和授權，移動邊緣計算平臺應進行安全防護，實現(xiàn)最小化原則，關閉所有不必要的端口和服務，敏感數(shù)據(jù)（如用戶中的位置信息、無線網(wǎng)絡的信息等）應進行安全存儲，禁止非授權訪問。移動邊緣計算臺應具備 DDoS 防護功能等。

對于部署在虛擬化邊緣環(huán)境中的虛擬機，可以加強虛擬機之間的隔離，對不安全的設備進行嚴格隔離，防止用戶流量流入到惡意虛擬機中。另外，可以實時監(jiān)測虛擬機的運行情況，有效監(jiān)控惡意虛擬機行為，避免惡意虛擬機遷移對其它邊緣數(shù)據(jù)中心造成感染。

3、開放無線網(wǎng)絡能力

3.1 安全風險分析

移動邊緣計算架構中，邊緣設備可以通過開放的網(wǎng)絡能力利用同構的應用程序編程接口（API）將從底層移動網(wǎng)絡中提取的服務和功能安全的提供給第三方應用。與此同時，這些開放的 API 也給移動邊緣計算帶來了一定的安全威脅。

在參考文獻［6］中提到，給各參與者如用戶、虛擬機和其它數(shù)據(jù)中心等提供服務的 API 集以及其它網(wǎng)絡應用的接入點給攻擊者提供了數(shù)量可觀的攻擊面，增加了攻擊向量維度。邊緣計算客戶端越智能，越容易遭受惡意軟件和安全漏洞攻擊。同時，網(wǎng)絡邊緣高度動態(tài)的環(huán)境也使網(wǎng)絡變得更加脆弱和不受保護，從而帶來隱私泄露、權限升級和服務操縱等安全問題。

隱私泄露：邊緣設備主要存儲和處理來自其附近實體的信息，在某些特殊情況下（如分布式服務器、遷移虛擬機等），它可以處理來自其它位置的數(shù)據(jù)。這些邊緣設備往往能夠提取有關用戶的敏感信息［7］。因此，隱私泄露是邊緣計算開放網(wǎng)絡能力的主要威脅之一。

權限升級：開放網(wǎng)絡能力給外部對手控制其服務提供了更多的攻擊面，使得這些基礎設施配置易被篡改，并且也容易被內部攻擊者惡意利用和篡改權限。

服務操縱：一旦邊緣數(shù)據(jù)中心被惡意分子控制，通過權限提升或濫用自己的特權成為合法管理員，便可以操縱數(shù)據(jù)中心的服務，從而造成選擇性拒絕服務供給和選擇性信息篡改的安全風險。

3.2 解決方案

在對外提供服務接口的基礎上，要對數(shù)據(jù)面網(wǎng)關進行安全加固、保障接口安全、保護敏感數(shù)據(jù)以及防護物理接觸攻擊，實現(xiàn)用戶數(shù)據(jù)能夠按照分流策略進行正確的轉發(fā)。具體包括數(shù)據(jù)面與移動邊緣計算之間、數(shù)據(jù)面與交互的核心網(wǎng)網(wǎng)元之間應進行相互認證;應對數(shù)據(jù)面與移動邊緣計算之間的接口、數(shù)據(jù)面與交互的核心網(wǎng)網(wǎng)元之間的接口上的通信內容進行機密性、完整性和防重放的保護;應對數(shù)據(jù)面上的敏感信息（如分流策略）進行安全保護;數(shù)據(jù)面是核心網(wǎng)的數(shù)據(jù)轉發(fā)功能網(wǎng)元，從核心網(wǎng)下沉到接入網(wǎng)，應防止攻擊者篡改數(shù)據(jù)面網(wǎng)元的配置數(shù)據(jù)、讀取敏感信息等。

針對權限升級和服務操縱問題，可考慮基于區(qū)塊鏈的信任安全架構，中心思想是不自動信任任何內部或外部的用戶或終端，在進行授權之前對任何試圖接入的設備進行驗證，限制黑客的橫向移動，防止攻擊者滲透端點設備成功后，在整個環(huán)境中橫向移動或者利用網(wǎng)絡釣魚獲得準入憑證從而直接到達目標資產所在的數(shù)據(jù)中心。

4、平臺管理

4.1安全風險分析

平臺管理模塊對其它模塊和本地IT基礎設施進行管理，支持對網(wǎng)絡能力開放模塊和分配給第三方應用程序的本地IT基礎設施資源進行認證、授權和計費操作。對本地IT基礎設施的管理主要部署為基礎設施即服務（IaaS）［8］，如OpenStack。平臺管理模塊由控制計算、存儲和網(wǎng)絡資源的硬件池的相互關聯(lián)的組件組成，以便能夠根據(jù)第三方應用程序的要求規(guī)劃和協(xié)調IT資源。在平臺管理的IaaS中，存在兩個方面的安全問題：終端的數(shù)據(jù)安全與不同終端間的數(shù)據(jù)安全。由于邊緣設備是數(shù)據(jù)的直接入口，終端用戶的可公開數(shù)據(jù)與隱私數(shù)據(jù)都是直接經過邊緣設備進行傳輸與處理，這就需要邊緣設備對這些數(shù)據(jù)進行分別處理，對隱私數(shù)據(jù)進行加密保護，保證數(shù)據(jù)的安全和隔離，避免隱私數(shù)據(jù)被泄露和竊取。不同終端之間的數(shù)據(jù)是不同的，有些終端數(shù)據(jù)是不能外泄的。這就需要對不同終端間的數(shù)據(jù)進行隔離，保證各個終端的數(shù)據(jù)間的準確和安全。

平臺管理模塊對網(wǎng)絡能力開放和路由模塊的管理是作為PaaS實體構建的，包括中間件的創(chuàng)建、刪除、認證和注冊。它應提供標準化環(huán)境，以便移動邊緣計算平臺能夠容納來自不同供應商的組件，管理層同樣存在移動網(wǎng)絡遭受錯誤或惡意API調用的干擾的安全問題。

管理模塊和網(wǎng)絡能力開放模塊可以對路由模塊啟動路由策略設置。管理模塊應具備網(wǎng)絡安全系統(tǒng)處理特定功能的能力和對加載到本地網(wǎng)絡的用戶流量進行收費。管理模塊的權限較大，如果遭到攻擊將會對平臺造成很大的影響。移動邊緣計算平臺由于相對有限的計算與存儲資源，無法部署全局的入侵檢測系統(tǒng)，并且在大規(guī)模物聯(lián)網(wǎng)環(huán)境下，基礎設備的結構、協(xié)議、服務提供商都是不同的，沒有統(tǒng)一的規(guī)范，因此難以檢測內部攻擊和外部攻擊。

4.2 解決方案

平臺的安全管理同傳統(tǒng)網(wǎng)絡的安全管理一樣，涉及到賬號、密鑰的安全、授權管理和日志的安全等，要確保只有授權用戶才能執(zhí)行操作。用于訪問設備的密鑰不能是簡單的或者默認密鑰，應采用強密碼或多因素身份認證，尤其是管理員和root-access賬戶。

由于邊緣計算是將計算能力下沉到了邊緣，一些操作與計算過程不經過核心網(wǎng)，是在小范圍進行計算和數(shù)據(jù)傳輸，缺少了對這些操作的監(jiān)管。當邊緣計算包括做出關鍵決策的能力時，需要額外關注它接收到的數(shù)據(jù)或命令，包括檢查傳統(tǒng)的網(wǎng)絡安全威脅如輸入錯誤，也必須包括對有效數(shù)據(jù)的完整性檢查。同時，建議對邊緣計算平臺的日志數(shù)據(jù)進行定時審計，以便及時發(fā)現(xiàn)上述攻擊事件與安全問題。

5、結束語

通過移動邊緣計算，使無線接入網(wǎng)具有計算和存儲能力，將各類計算服務從云側推到網(wǎng)絡邊緣，可以確保更短的響應時間和更好的可靠性，同時也可以大幅節(jié)省數(shù)據(jù)傳輸?shù)膸挘?］。使用移動邊緣計算增強的RAN能夠依靠其邊緣服務器或云資源向移動終端提供上下文感知服務，并進行用戶流量轉發(fā)。

本文從移動邊緣計算的架構入手，分析了路由轉發(fā)、無線網(wǎng)絡開放和平臺管理3個模塊的具體功能和相關的安全風險，并提出了解決建議。在防范移動邊緣計算安全風險的基礎上，對于有高安全級別需求的移動邊緣計算應用，未來還應考慮如何通過能力開放，將網(wǎng)絡的安全能力以安全服務的方式提供給移動邊緣計算應用，在滿足安全需求的同時，支撐擴展更多的商業(yè)模式，創(chuàng)造更大的網(wǎng)絡價值。