0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

分析移动边缘计算的安全风险及解决方案

如意 来源:51cto 作者:刘利军 2020-07-02 10:36 次阅读

移动边缘计算作为将云计算能力下沉到边缘节点的面向5G的新技术,具有路由控制、无线网络能力开放和平台管理三大区别于典型云平台的独特特性。在为终端提供低时延分布式的计算能力、智能节能的运行模式的同时,由于其靠近终端设备、运行资源有限、接入终端设备数据、支持设备移动性等特征,使得边缘计算除了面临云计算系统普遍存在的安全问题之外,还在基础设施、虚拟化特征、数据资源、设备间交互和终端设备移动性等方面面临新的安全威胁。本文将边缘计算区别于一般云平台的新特性入手,分析技术新特性带来的安全问题并给出解决方案。

随着5G网络的到来,移动通信量将面临巨幅的增长,通信量的增长和通信成本的压力促使运营商实施多项变革,以保持用户体验的质量、收入渠道的扩展、网络运营的优化和资源的充分利用。同时,随着物联网技术的快速发展和物联网应用的不断涌现,物联网连接设备的爆发式增长将进一步堵塞网络,因此网络运营商需要进行本地流量分析,采用网络切片以缓解网络拥塞带来的影响。企业希望能够通过更高效、安全和低延迟的连接方式来支持并与客户接触,应用程序和内容提供商在连接到云时也面临网络延迟的挑战,而云计算的集中处理模式在大规模物联网连接背景下存在无法满足实时性需求、终端设备隐私数据信息上传至云端数据中心会增加隐私泄露的风险、连接数的增加带来的云计算中心能耗问题等方面的不足,万物互联的需求催生出了边缘计算模型。

1、移动边缘计算

在2018年年底,中国电子技术标准化研究院、阿里云等单位共同编制并发布了一份《边缘云计算技术与标准化白皮书》,定义了边缘云计算的概念[1],将移动边缘计算设备部署在移动网络边缘、无线接入网络(RAN)内、靠近终端,为附近移动设备提供IT服务能力和云计算功能。移动边缘计算设备可以直接访问设备的上下文信息,如精确的地理位置、设备网络状态甚至终端设备的移动行为信息等。由于边缘计算将计算能力直接下沉到靠近设备终端,不在网络中进行长距离传输,因此可以降低敏感信息被泄露窃取的风险[2]。但边缘计算设备是终端设备数据的直接入口,能够获取到大量的用户敏感信息数据,这就对边缘计算设备的隐私保护机制提出了更高的要求。

移动边缘计算将边缘计算平台的部署限制在5G等移动网络基础设施上,在某些情况下,设备本身可以参与服务提供过程。在移动边缘计算中,有几类不同的用户实体:云服务提供商、边缘计算服务提供商和用户。电信运营商可以成为移动边缘计算的提供商,因为他们拥有部署边缘数据中心的移动网络基础设施。第三方服务提供商可以与运营商密切合作,开发移动边缘计算的专用服务。这样的服务就可以被广泛地测试,并可能以定制的方式集成。面对不同的用户实体,其访问资源的权限是不同的,在大规模的物联网连接下,需要对不同的用户实体满足其最大限度享受资源共享需求的基础上,实现对用户访问权限的管理,防止信息被非授权篡改和滥用。

移动边缘计算是一个与RAN相邻的高性能和电信级云平台,允许在网络边缘进行计算。它同时处理从云服务主机到移动终端的下游数据和从移动终端到云主机的上游数据。移动边缘计算平台可以由标准IT服务器和基站内外的网络设备组成,第三方应用程序在由网络设备互连的虚拟机中部署和执行。也可以简单地使用标准IT服务器构建移动边缘计算平台,其中网络设备作为软件实体实现。其架构如图1所示。

移动边缘计算平台的基本功能包括路由模块、网络能力开放模块和平台管理模块[3]。路由模块负责移动边缘计算平台、RAN和移动核心网之间以及移动边缘计算平台内的分组转发。网络能力开放模块允许无线网络信息服务(RNIS)和无线资源管理(RRM)的授权功能开放。平台管理模块支持对第三方应用程序进行认证、授权、计费和管理[4],涉及应用程序部署的编排和对网络能力开放的授权。

图1 移动边缘计算架构

下面对移动边缘计算框架中涉及的3个模块中存在的安全问题做分析并给出解决方案。

2、路由控制模块

2.1 安全风险分析

通过路由控制模块,用户平面流量(上行链路或下行链路)被传递到一个应用程序,该应用程序可对流量进行监控、修改或控制,然后将其发送回原始连接。边缘环境下的终端设备具有很强的移动性,因此路由模块应该实现业务连续性。路由模块应具有在移动终端切换到连接不同移动边缘计算平台的接入点时,中断并消除会话的能力。

路由模块负责在移动边缘计算平台内部虚拟机之间进行流量转发,支持网络虚拟化以促进灵活的分组转发背板,在背板中根据需要分配网络和安全服务给可进行编程管理的虚拟机。

在移动5G网络中,需要加速内容的交付,以便移动用户及时检索数据。为了实现优化的数据传输,在基站和核心网络之间引入了名为TCP性能增强代理(PEP)的中间箱[5]。引导移动网络外部的TCP服务器向移动终端传输数据,并将无线信道容量的近实时信息插入无线网络TCP数据分组的选项字段中。TCP服务器可以利用它来提高移动网络的利用率。由于路由模块需要负责流量的传输,并且边缘节点的能力相较于云计算中心比较有限,容易遭到流量攻击,尽管单个边缘节点被破坏,附近网络会迅速找到最近的可替代节点进行调节,损害并不大,但如果黑客将攻陷的边缘节点作为“肉鸡”去攻击其它服务器,在短时间内用大量的僵尸节点去访问服务器,会导致服务器瘫痪进而会对整个网络造成影响。

2.2解决方案

在进行流量转发时建议划分流量类型,并在中心和分支之间设置防火墙。在某些情况下,边缘计算设备可能根本不需要连接到企业网络,例如使用边缘网站运营农场或自动化工厂,就不需要访问客户数据。边缘的微数据中心应具有冗余保护级别的集群,并对传输的数据进行机密性和完整性、防重放保护,调用移动边缘计算平台的 API 时应进行认证和授权,移动边缘计算平台应进行安全防护,实现最小化原则,关闭所有不必要的端口和服务,敏感数据(如用户中的位置信息、无线网络的信息等)应进行安全存储,禁止非授权访问。移动边缘计算台应具备 DDoS 防护功能等。

对于部署在虚拟化边缘环境中的虚拟机,可以加强虚拟机之间的隔离,对不安全的设备进行严格隔离,防止用户流量流入到恶意虚拟机中。另外,可以实时监测虚拟机的运行情况,有效监控恶意虚拟机行为,避免恶意虚拟机迁移对其它边缘数据中心造成感染。

3、开放无线网络能力

3.1 安全风险分析

移动边缘计算架构中,边缘设备可以通过开放的网络能力利用同构的应用程序编程接口(API)将从底层移动网络中提取的服务和功能安全的提供给第三方应用。与此同时,这些开放的 API 也给移动边缘计算带来了一定的安全威胁。

在参考文献[6]中提到,给各参与者如用户、虚拟机和其它数据中心等提供服务的 API 集以及其它网络应用的接入点给攻击者提供了数量可观的攻击面,增加了攻击向量维度。边缘计算客户端越智能,越容易遭受恶意软件和安全漏洞攻击。同时,网络边缘高度动态的环境也使网络变得更加脆弱和不受保护,从而带来隐私泄露、权限升级和服务操纵等安全问题。

隐私泄露:边缘设备主要存储和处理来自其附近实体的信息,在某些特殊情况下(如分布式服务器、迁移虚拟机等),它可以处理来自其它位置的数据。这些边缘设备往往能够提取有关用户的敏感信息[7]。因此,隐私泄露是边缘计算开放网络能力的主要威胁之一。

权限升级:开放网络能力给外部对手控制其服务提供了更多的攻击面,使得这些基础设施配置易被篡改,并且也容易被内部攻击者恶意利用和篡改权限。

服务操纵:一旦边缘数据中心被恶意分子控制,通过权限提升或滥用自己的特权成为合法管理员,便可以操纵数据中心的服务,从而造成选择性拒绝服务供给和选择性信息篡改的安全风险。

3.2 解决方案

在对外提供服务接口的基础上,要对数据面网关进行安全加固、保障接口安全、保护敏感数据以及防护物理接触攻击,实现用户数据能够按照分流策略进行正确的转发。具体包括数据面与移动边缘计算之间、数据面与交互的核心网网元之间应进行相互认证;应对数据面与移动边缘计算之间的接口、数据面与交互的核心网网元之间的接口上的通信内容进行机密性、完整性和防重放的保护;应对数据面上的敏感信息(如分流策略)进行安全保护;数据面是核心网的数据转发功能网元,从核心网下沉到接入网,应防止攻击者篡改数据面网元的配置数据、读取敏感信息等。

针对权限升级和服务操纵问题,可考虑基于区块链的信任安全架构,中心思想是不自动信任任何内部或外部的用户或终端,在进行授权之前对任何试图接入的设备进行验证,限制黑客的横向移动,防止攻击者渗透端点设备成功后,在整个环境中横向移动或者利用网络钓鱼获得准入凭证从而直接到达目标资产所在的数据中心。

4、平台管理

4.1安全风险分析

平台管理模块对其它模块和本地IT基础设施进行管理,支持对网络能力开放模块和分配给第三方应用程序的本地IT基础设施资源进行认证、授权和计费操作。对本地IT基础设施的管理主要部署为基础设施即服务(IaaS)[8],如OpenStack。平台管理模块由控制计算、存储和网络资源的硬件池的相互关联的组件组成,以便能够根据第三方应用程序的要求规划和协调IT资源。在平台管理的IaaS中,存在两个方面的安全问题:终端的数据安全与不同终端间的数据安全。由于边缘设备是数据的直接入口,终端用户的可公开数据与隐私数据都是直接经过边缘设备进行传输与处理,这就需要边缘设备对这些数据进行分别处理,对隐私数据进行加密保护,保证数据的安全和隔离,避免隐私数据被泄露和窃取。不同终端之间的数据是不同的,有些终端数据是不能外泄的。这就需要对不同终端间的数据进行隔离,保证各个终端的数据间的准确和安全。

平台管理模块对网络能力开放和路由模块的管理是作为PaaS实体构建的,包括中间件的创建、删除、认证和注册。它应提供标准化环境,以便移动边缘计算平台能够容纳来自不同供应商的组件,管理层同样存在移动网络遭受错误或恶意API调用的干扰的安全问题。

管理模块和网络能力开放模块可以对路由模块启动路由策略设置。管理模块应具备网络安全系统处理特定功能的能力和对加载到本地网络的用户流量进行收费。管理模块的权限较大,如果遭到攻击将会对平台造成很大的影响。移动边缘计算平台由于相对有限的计算与存储资源,无法部署全局的入侵检测系统,并且在大规模物联网环境下,基础设备的结构、协议、服务提供商都是不同的,没有统一的规范,因此难以检测内部攻击和外部攻击。

4.2 解决方案

平台的安全管理同传统网络的安全管理一样,涉及到账号、密钥的安全、授权管理和日志的安全等,要确保只有授权用户才能执行操作。用于访问设备的密钥不能是简单的或者默认密钥,应采用强密码或多因素身份认证,尤其是管理员和root-access账户。

由于边缘计算是将计算能力下沉到了边缘,一些操作与计算过程不经过核心网,是在小范围进行计算和数据传输,缺少了对这些操作的监管。当边缘计算包括做出关键决策的能力时,需要额外关注它接收到的数据或命令,包括检查传统的网络安全威胁如输入错误,也必须包括对有效数据的完整性检查。同时,建议对边缘计算平台的日志数据进行定时审计,以便及时发现上述攻击事件与安全问题。

5、结束语

通过移动边缘计算,使无线接入网具有计算和存储能力,将各类计算服务从云侧推到网络边缘,可以确保更短的响应时间和更好的可靠性,同时也可以大幅节省数据传输的带宽[9]。使用移动边缘计算增强的RAN能够依靠其边缘服务器或云资源向移动终端提供上下文感知服务,并进行用户流量转发。

本文从移动边缘计算的架构入手,分析了路由转发、无线网络开放和平台管理3个模块的具体功能和相关的安全风险,并提出了解决建议。在防范移动边缘计算安全风险的基础上,对于有高安全级别需求的移动边缘计算应用,未来还应考虑如何通过能力开放,将网络的安全能力以安全服务的方式提供给移动边缘计算应用,在满足安全需求的同时,支撑扩展更多的商业模式,创造更大的网络价值。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 移动
    +关注

    关注

    1

    文章

    430

    浏览量

    38876
  • 安全风险
    +关注

    关注

    0

    文章

    12

    浏览量

    7060
  • 边缘计算
    +关注

    关注

    22

    文章

    3064

    浏览量

    48628
收藏 人收藏

    评论

    相关推荐

    基于深控技术 “不需要点表的边缘计算网关” 的物联网解决方案

    深控技术研发的 “不需要点表的边缘计算网关” 物联网解决方案凭借其无需点表配置、强大的边缘计算能力、高度
    的头像 发表于 11-15 11:51 194次阅读
    基于深控技术 “不需要点表的<b class='flag-5'>边缘</b><b class='flag-5'>计算</b>网关” 的物联网<b class='flag-5'>解决方案</b>

    边缘计算网关五大核心特点

    在物联网的浪潮中,边缘计算网关如同一座桥梁,连接着物理世界与数字世界。它以其独特的特性,为数据处理、网络连接和系统安全提供了全新的解决方案。以下是
    的头像 发表于 10-28 17:21 163次阅读

    边缘计算的技术挑战与解决方案

    边缘计算作为一种新型的计算架构,在带来诸多优势的同时,也面临着一些技术挑战。以下是对边缘计算的技术挑战及相应
    的头像 发表于 10-24 14:36 331次阅读

    如何选择合适的边缘ai分析一体机解决方案

    解决方案,成为企业决策者亟需解决的问题。本文将从需求分析、技术考量、生态兼容及未来可扩展性四个方面,探讨如何科学合理地选择合适的边缘AI分析一体机。一、明确需求
    的头像 发表于 08-08 15:25 184次阅读
    如何选择合适的<b class='flag-5'>边缘</b>ai<b class='flag-5'>分析</b>一体机<b class='flag-5'>解决方案</b>

    天拓四方分享:基于边缘计算网关的数据采集远程监控运维管理解决方案

    实时数据处理和分析,显著提高系统响应速度和数据处理效率。本文将详细阐述基于边缘计算网关的数据采集远程监控运维管理解决方案,该方案旨在提高设备
    的头像 发表于 08-02 16:29 445次阅读

    广和通端侧AI解决方案荣膺MWCS 2024边缘AI计算最佳创新奖

    在近日举行的2024世界移动通信大会·上海(MWCS 2024)上,广和通凭借其卓越的端侧AI解决方案荣获2024信息通信业“新质推荐”——边缘AI计算最佳创新
    的头像 发表于 06-28 15:44 712次阅读

    Actian发布面向边缘计算的下一代数据库Zen 16.0

    最新Zen版本提供安全、模块化和可扩展的边缘数据解决方案,实现从边缘到云端无缝同步 美国得克萨斯州朗德罗克2024年6月18日 /美通社/ -- Actian——HCLSoftware
    的头像 发表于 06-18 13:59 297次阅读

    边缘计算网关与边缘计算的融合之道

    随着物联网、大数据和人工智能的飞速发展,数据处理和分析的需求呈现出爆炸式增长。传统的中心化数据处理模式已难以满足实时性、低延迟和高带宽的需求,边缘计算应运而生,成为解决这一难题的关键技术。而
    的头像 发表于 02-26 16:29 433次阅读
    <b class='flag-5'>边缘</b><b class='flag-5'>计算</b>网关与<b class='flag-5'>边缘</b><b class='flag-5'>计算</b>的融合之道

    知语云全景监测技术:现代安全防护的全面解决方案

    是一种先进的安全防护手段,它集成了大数据分析、人工智能、云计算等尖端技术,能够实时监测网络环境中的各种安全风险,为企业和个人的数据
    发表于 02-23 16:40

    基于边缘计算网关的输变电故障监测系统解决方案

    解决方案,实现物联网、边缘计算与大数据分析的结合,助力提升输变电的高效安全运维能力。 基于输变电场中各种电力设备的运行状态监控与环境监测,实
    的头像 发表于 02-21 14:08 357次阅读
    基于<b class='flag-5'>边缘</b><b class='flag-5'>计算</b>网关的输变电故障监测系统<b class='flag-5'>解决方案</b>

    什么是边缘计算边缘计算技术有哪些优缺点?

    什么是边缘计算边缘计算技术有哪些优缺点? 边缘计算是一种将
    的头像 发表于 02-06 14:38 1612次阅读

    什么是AI边缘计算,AI边缘计算的特点和优势介绍

    随着人工智能的迅猛发展,AI边缘计算成为了热门话题。那么什么是AI边缘计算呢?简单来说,它是将人工智能技术引入边缘
    的头像 发表于 02-01 11:42 821次阅读

    什么是边缘计算边缘计算有哪些应用?

    什么是边缘计算边缘计算有哪些应用? 边缘计算是一种将计算
    的头像 发表于 01-09 11:29 1685次阅读

    边缘计算盒子护航企业安全生产,边缘设备提高安全生产监管效率

    为助力企业安全生产,实现本地设备智能管理与降本增效“两手抓”,不少智慧工地、煤矿安全、危化品管理等安全生产场景下开始着重部署智能边缘分析设备——远景达AI
    的头像 发表于 01-04 15:42 358次阅读
    <b class='flag-5'>边缘</b><b class='flag-5'>计算</b>盒子护航企业<b class='flag-5'>安全</b>生产,<b class='flag-5'>边缘</b>设备提高<b class='flag-5'>安全</b>生产监管效率

    边缘计算框架有哪些

    边缘计算架构是一种将计算能力、存储和分析功能尽可能地靠近数据源的计算模型。它通过将计算任务从中心
    的头像 发表于 12-27 15:01 1362次阅读