移動邊緣計算中的安全問題現狀
目前對邊緣計算安全和隱私保護的研究作業尚處于初級階段,已有的研究成果較少,其中,一個確實可行的研究思路是將現有的其他相關領域的安全技術移植到邊緣計算環境中,
一、MEC在傳統安全防護下的差異
1) 認證安全
MEC網路中包含大量地理分散的物聯網設備,由于設備在電力、處理和存盤等方面受到各種限制,網路設備認證成為一個巨大的挑戰,由于物聯網設備的資源限制,傳統使用證書和公 鑰基礎設施(PKI)的身份驗證機制不再適用,MEC節點經常動態地加入或離開MEC網路,當新的節點連接(或 離開)網路時,需要確保對已注冊終端用戶的不間斷服務,節點必須能夠相互驗證自己新形成的MEC網路, 此外,MEC節點還需要限制或拒絕來自惡意或受損節點的服務請求[11],
2) 通信安全
MEC網路中的設備通信主要包括物聯網設備與MEC節點之間的通信以及MEC節點之間的通信,通常情況下,很多設備可與MEC網路中的任何MEC節點進行通信,請求MEC節點回應處理請求或存盤請求,但實際上,物聯網設備可能并不清楚 MEC網路的存在,因此,物聯網設備發送的訊息不能使用對稱加密技術,非對稱密鑰加密也存在很多挑戰, MEC節點之間的通信需要端到端的安全,因為多條路徑中涉及的節點并不能被完全信任,
3) 隱私安全
MEC分布式節點的計算能力能夠降低資料中心的總壓力,但是,與終端用戶相鄰的MEC節點可能收集有關用戶身份、位置、應用程式使用等的敏感資料,另外,由于MEC節點的大面積分散,集中控制十分困難,安全性較差的邊緣節點可能成為入侵者進入MEC網路的入口,入侵者一旦進入網路,就可以挖掘和竊取用戶在物體間交換的隱私資料,
新挑戰:
1) 邊緣計算中基于多授權方的輕量級資料加密與細粒度資料共享新需求,
由于邊緣計算是一種融合了以授權物體為信任中心的多信任域共存的計算模式,使傳統的資料加密和共享策略不再適用,因此,設計針對多授權中心的資料加密方法顯得尤為重要,同時還應考慮演算法的復雜性問題,
2) 分布式計算環境下的多源異構資料傳播管控和安全管理問題,
在邊緣式大資料處理時代,網路邊緣設備中資訊產生量呈現爆炸性增長,用戶或資料擁有者希望能夠采用有效的資訊傳播管控和訪問控制機制,來實作資料的分發、搜索、獲取以及控制資料的授權范圍,此外,由于資料的外包特性,其所有權和控制權相互分離,因此有效的審計驗證方案能夠保證資料的完整性,
3) 邊緣計算的大規模互聯服務與資源受限終端之間的安全挑戰,
由于邊緣計算的多源資料融合特性、移動和互聯網路的疊加性以及邊緣終端的存盤、計算和電池容量等方面的資源限制,使傳統較為復雜的加密演算法、訪問控制措施、身份認證協議和隱私保護方法在邊緣計算中無法適用,
4)面向萬物互聯的多樣化服務以及邊緣計算模式對高效隱私保護的新要求,
網路邊緣設備產生的海量級資料均涉及個人隱私,使隱私安全問題顯得尤為突出,除了需要設計有效的資料、位置和身份隱私保護方案之外,如何將傳統的隱私保護方案與邊緣計算環境中的邊緣資料處理特性相結合,使其在多樣化的服務環境中實作用戶隱私保護是未來的研究趨勢,
二、安全威脅
1.網路基礎設施安全威脅
1)拒絕服務攻擊(Denial of Service,DoS),
2)中間人攻擊(Man in the Middle,MITM)
3)偽造網關
2.邊緣資料中心安全威脅
1)隱私泄露
2)權限升級
3)服務操作
4)流氓資料中心
5)物理損害
3.邊緣基礎設施安全威脅
1)隱私泄露
2)服務操作
3)流氓基礎設施
4.虛擬化基礎設施安全威脅
1)拒絕服務
2)資源濫用
3)隱私泄露
4)權限升級
5)VM操作
5.用戶設備安全威脅
1)資訊注入
2)服務操作
三、防御策略及對應研究方向
1.加密
主要用的加密手段有基于屬性加密(ABE)、代理重加密(PRE)和 全同態加密(FHE)演算法,
文獻:【4】【5】【6】
研究方向展望:
資料加密技術為保證各類計算模式中的資料安全提供了有效的解決辦法,在開放式的邊緣計算環境下,如何將傳統的加密方案與邊緣計算中并行分布式架構、終端資源受限、邊緣大資料處理、高度動態環境等特性進行有機結合,實作輕量級、分布式的資料安全防護體系是未來的重點研究內容,
1) 在資料保密性和安全資料共享方面,結合屬性加密、代理重加密和同態加密等應用加密理論,如何設計低時延、支持動態操作的分布式安全存盤系統和正確處理網路邊緣設備與云中心之間的協同性是一個重要的研究思路,
2) 在資料完整性審計方面,一個主要的研究目的在于實作各種審計功能的同時盡可能提高審計效率并降低驗證開銷,其次,設計支持多源異構資料和動態資料更新的完整性審計方案有望成為未來的研究重點,
3) 在可搜索加密方面,首先,如何在分布式存盤服務模型下構造基于關鍵字的搜索方案,進一步拓展至邊緣計算環境中是一個可行的研究思路;其次,如何在安全多方共享模式下實作細粒度的搜索權限控制,使其在適用于不同信任域的多用戶搜索環境的同時,保證搜索的速度和精度,最后,針對 邊緣計算中分布式密文資料存盤模型,如何高效地構造安全索引使其適用于資源受限的網路邊緣設備以及設計分布式可搜索加密演算法是一個亟待解決的問題,
2.身份認證
統一認證、跨域認證、切換認證
文獻:【7】
研究方向展望:
當前,國內外研究者對身份認證協議的研究大多是在現有的安全協議基礎上進行改進和優化,包括協議的靈活性、高效性、節能性和隱私保護等,在邊緣計算中,身份認證協議的研究應借鑒現有方案的優勢之處,同時結合邊緣計算中分布式、移動性等特點,加強統一認證、跨域認證和切換認證技術的研究,以保障用戶在不同信任域和異構網路環境下的資料和隱私安全,
由于邊緣計算是一個多物體和多信任域共存 的開放式動態系統,因此身份認證協議要考慮到物體與信任域之間的對應關系,具體的研究內容包括同一物體在不同信任域之間的跨域認證和切換認證;不同物體在相同信任域內的身份認證和相互認證;最后,在實作輕量級身份認證的同時兼顧匿名性、完整性、可追溯性和批量認證等功能也是一個重要的研究點,
3.訪問控制
文獻:【8】
研究方向展望:
邊緣計算中的訪問控制系統在原則上應適用于不同信任域之間的多物體訪問權限控制,同時還應考慮地理位置和資源所有權等各種因素,因此,設計一種細粒度、動態化、輕量級和多域訪問控制機制是接下來的研究重點,而高效的基于屬性和角色的訪問控制方法應該是比較適合邊緣計算環境的技術手段,
1) 支持跨域、跨群組的分級化訪問控制方案,實作從單域到多域的細粒度訪問控制,同時滿足設計目標和資源約束將是未來的一個重要研究方向,
2) 跨域訪問控制程序中的非法授權、訪問沖突以及密鑰管理、策略管理和屬性管理等方面仍然存在很多亟待解決的問題,
4.安全協議
四、潛在研究方向總結
l 1.協同計算中的資料隱私
l 2.傳統加密方案與分布式架構的結合
l 3.邊緣計算多物體的身份認證協議
l 4.安全與低時延資料共享問題
l 5.邊緣計算中的位置隱私
l 6.邊緣計算環境下的惡意軟體檢測
參考文獻
【1】曹咪, 徐雷, 陶冶. 移動邊緣計算安全問題與研究建議[J]. 資訊通信技術, 2019, 13(001):67-75.
【2】張佳樂,趙彥超,陳兵,等.邊緣計算資料安全與隱私保護研究 綜述[J].通信學報,2018(3):1-21
【3】Roman R, Lopez J, Mambo M. Mobile edge computing. A survey and analysis of security threats and challenges [J]. Future Generation Computer Systems, 2018, 78: 680-698
【4】ZUO C, SHAO J, WEI G Y, et al. CCA-secure ABE with outsourced decryption for fog computing[J]. Future Generation Computer Sys- tems, 2018, PP(78): 730-738.
【5】KHAN A N, ALI M, KHAN A U R, et al. A comparative study and workload distribution model for re-encryption schemes in a mobile cloud computing environment[J]. International Journal of Communication Systems, 2017, 30(16): e3308.
【6】LOUK M, LIM H. Homomorphic encryption in mobile multi cloud computing[C]//The 25th International Conference on Information Networking (ICOIN’15). 2015: 493-497.
【7】YANG X, HUANG X Y, LIU J K. Efficient handover authentication with user anonymity and untraceability for mobile cloud computing[J]. Future Generation Computer Systems, 2016, 62(C): 190-195.
【8】JIN Y, TIAN C, HE H, et al. A secure and lightweight data access control scheme for mobile cloud computing[C]//The 5th International Conference on Big Data and Cloud Computing (BDCloud’15). 2015: 172-179.
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/209264.html
標籤:其他