物聯網環境下移動邊緣計算安全問題

劉京 段續 李陽 時博涵

摘要：物聯網時代多類型流量的接入與應用場景的多樣性，從計算能力、存儲和業務時延等多個方面對當前集中式云計算架構提出新的挑戰。移動邊緣計算（MEC）作為一種在網絡邊緣為用戶提供服務的解決方案，能夠滿足物聯網多樣性的業務需求。針對移動邊緣計算在物聯網中的安全問題，對移動邊緣計算的概念、應用場景和安全進程進行介紹，著重從數據傳輸安全、存儲安全和計算安全3個方面闡述了移動邊緣計算在物聯網時代所面臨的安全挑戰。

關鍵詞：移動邊緣計算；物聯網；信息安全；計算安全

中圖分類號：TP393文獻標志碼：A文章編號：1008-1739（2021）03-58-3

0引言

隨著萬物互聯時代的開啟，物聯網已經成為當今世界新一輪經濟和科技發展的戰略制高點之一。物聯網的發展備受世界各國的關注，我國也將物聯網發展上升為國家發展重點，并在《“十二五”規劃綱要》中明確提出，要推動物聯網關鍵技術研發和重點領域的應用示范。而物聯網時代多樣性流量的涌入和多樣化應用場景的需求，對當前集中式云計算架構提出了新的挑戰，同時推動了新的云計算范式的產生。在物聯網時代，移動設備不再只是單純的手機、平板電腦等，而是包括了類型更加豐富的增強/虛擬現實（A/VR）設備、智能醫療設備和移動車輛等。應用場景也從語音通話及視頻等業務擴展為虛擬空間體驗、智能制造及車聯網等[1]。

另外，在距用戶最短距離的計算節點中處理數據將減少傳輸時間。在基于云計算的服務中，數據傳輸速度會受到網絡流量的影響，而繁重的流量會導致傳輸時間長，從而增加功耗成本。因此，采用移動邊緣計算（Mobile Edge Computing，MEC）[2]的方式可以滿足物聯網設備的需求。

1基本概念和應用場景

MEC的概念最初由歐洲電信標準化協會（ETSI）提出，其定義是在網絡邊緣為應用開發者和內容提供商提供云計算的能力以及IT服務的環境[2]。近來，ETSI將MEC中的M由Mobile擴展為Multi-access，即通過支持多種接入方式將MEC的概念擴展至多場景[3]。MEC的優點[4-5]主要有以下幾個：

（1）低時延和低負載

MEC能夠為低時延需求業務提供服務和提升用戶體驗（QoE）。MEC相比于云計算的方式，能夠有效降低時延。因為云計算的方式需要將業務傳輸至距離用戶數百千米外的數據中心處理，業務在傳輸過程中需要經過核心網，復雜的網絡環境會造成時延的不確定性。而MEC則只需要將業務卸載至臨近的MEC服務器進行處理，然后返回至用戶端。距離上的靠近以及不需要經過核心網的傳輸方式，能夠有效降低時間開銷。同時，業務在網絡邊緣的處理模式，避免了大量業務涌入核心網，降低了接入核心網絡的負載。

（2）長周期和低功耗

在物聯網應用場景中，設備功耗一直是亟需解決的問題，因設備的電池容量有限和無線充電較為困難，降低設備功耗能夠有效延長設備的任務周期。在物聯網的應用場景中部署MEC服務器，可以將需要處理的業務卸載至MEC服務器中，降低了設備計算處理的功耗，且近距離卸載能夠降低無線傳輸的功耗，進而延長設備任務周期。

（3）應用場景

云游戲和增強現實以及智能家居和城市是物聯網時代MEC的典型案例。采用MEC技術可以高效、穩定地為云游戲、AV/R等提供支持。這種將業務卸載至MEC服務器處理的方式，將允許數據傳播較短的距離，從而獲得更加身臨其境的互動游戲體驗[6-7]，同時通過執行本地計算和數據緩沖/緩存來減少請求和數據在核心網傳輸時的時間。

2 MEC基本結構和安全

2.1 MEC典型結構

MEC典型結構如圖1所示，分為3層，最底層為邊緣設備層，包括移動終端、智能設備、VR設備及機械設施等；中間層為邊緣計算節點，邊緣設備通過移動網絡（如4G，WLAN）或者固定網絡（如光纖網絡）接入邊緣計算節點，將需要處理的數據卸載至邊緣計算節點；最高層為云數據中心層，邊緣計算節點通過核心網與云數據中心完成數據交互，同時對時延等不是特別敏感的業務也可通過邊緣計算節點傳輸至云數據中心處理。

2.2 MEC的隱私和安全

在隱私保護管理中多采用以下4種[8]方式：

①假名：使用假名作為ID，以確保個人可以利用來源而不會透露來源的真實身份。但是，用戶仍然可以安全使用。

②不可觀察性：確保個人可以在沒有其他第三方的情況下利用資源或服務，并具有觀察資源或服務正在使用的能力。

③不可鏈接性：確保第三方（例如攻擊者）無法識別2個對象是否相互鏈接。

④匿名：個人可以在不透露其身份的情況下利用資源。

對MEC系統的評估有如下幾個安全性的關鍵組件[9]：

①機密性：僅確保數據所有者和個人可以在邊緣計算中訪問個人信息。當個人數據在邊緣或核心網絡框架中傳輸并收集，以及在邊緣或云節點中保存或處理數據時，它可防止未經批準的各方訪問數據。

②完整性：確保將數據正確、穩定地傳輸給經認證的個人，而不會未經授權地修改數據。由于缺乏誠信措施，個人隱私可能會受到影響。

③可用性：確保被授權方能夠根據個人需求在任何區域訪問邊緣服務，可以在各種實際需要下處理邊緣或云節點中保存的個人數據以及密文格式。

④訪問控制和身份驗證：訪問控制通過訪問控制技術模仿了所有隱私和安全要求的鏈接點；身份驗證可確保對個人的身份進行認證。

3物聯網下的移動邊緣計算安全挑戰

物聯網的安全性問題，在學術界和產業界都得到了關注。本文從MEC與物聯網時代下數據安全相關的傳輸、計算和存儲3個方面描述MEC面對的安全問題。

（1）數據傳輸安全

MEC因部署在網絡邊緣，需要接入各種類型的網絡，如無線網絡局域網、超密集網絡和移動網絡（LTE）等。大量的流量融入，增加了安全管理的復雜度。引入軟件定義網絡（SDN）可以降低安全風險，因為SDN統一控制的優勢，可以在流量入口處部署網絡監視和入侵系統（IDS），監視和掃描數據包防止惡意程序入侵，因此在結合SDN的條件下，可以較容易地在接入流量的MEC服務器中部署IDS系統。其次，對發現的惡意流，可以采用設定優先級和隔離的方法，利用SDN中Openflow協議可以實現流量隔離和設定流量優先級隊列。

（2）存儲安全

在基于MEC的物聯網中，海量數據由大量傳感器和各種異構設備生成，所有存儲設備均由不同的第三方供應商提供。由于MEC分布式的特征，數據被存儲在不同的網絡邊緣中，會增加數據被攻擊的風險。首先，由于數據被分成多個部分并存儲在不同的位置，因此很難保證數據的完整性，進而很容易丟失數據包或存儲不正確的數據。其次，未經授權的用戶或對手可能會修改或濫用存儲中上傳的數據，將導致數據泄漏和其他問題。為了解決這些問題，可以使用各種數據加密技術，例如同態加密，以便實現邊緣存儲系統的完整性、機密性和可驗證性。此外，這些技術可以增加用戶的安全性，從而使他們能夠將數據存儲到任何不受信任的服務器中。另一種提升數據安全的方式是第三方審計員（TPA）機制，使用同態加密和隨機掩碼技術來保護自己。

（3）計算安全

將物聯網設備的計算任務卸載至邊緣計算節點時，也需要考慮安全問題。為了確保計算安全，可驗證計算需要在邊緣計算中引入。一般而言，可驗證計算能夠幫助不受信任的計算節點完成計算卸載任務。同時，該計算節點保留可驗證的結果，并使用這些結果將它們與其他受信任的計算節點計算的結果進行比較，以證明計算已安全、正確地完成。

4結束語

物聯網時代下的信息安全是個重要的關注點，如何將MEC與物聯網安全耦合是一個重要的研究課題。圍繞MEC和物聯網的安全問題，介紹了MEC的概念和特點，對MEC在物聯網時代所面臨的安全挑戰通過數據傳輸、存儲和計算安全3個角度進行了探討分析。相信未來隨著物聯網的發展，高帶寬、低時延和高計算、存儲能力的業務需求將推動移動邊緣計算與物聯網的安全深度耦合，不斷提升用戶體驗。

參考文獻

[1] PREMSANKAR G， FRANCESCO D M， TALEB T. Edge Computing for the Internet of Things： A Case Study[J]. IEEE Internet of Things Journal，2018，5（2）：1275-1284.

[2] MAO Y， YOU C， ZHANG J， et al. A Survey on Mobile Edge Computing： The Communication Perspective[J]. IEEE Communications Surveys & Tutorials， 2017， 19（4）： 2322-2358.

[3]李子姝，謝人超，孫禮，等.移動邊緣計算綜述[J].電信科學， 2018，34（1）：87-101.

[4]劉亞利.5G網絡中移動邊緣計算的應用展望[J].中國新通信，2018，20（23）：160-161.

[5]田輝，范紹帥，呂昕晨，等.面向5G需求的移動邊緣計算[J].北京郵電大學學報，2017，40（2）：1-10.

[6] ZHANG X， CHEN H， ZHAO Y， et al. Improving Cloud Gaming Experience through Mobile Edge Computing[J]. IEEE Wireless Communications，2019，26（4）：178-183.

[7] Al-SHUWAILI A N， SIMEONE O.Energy-efficient Resource Allocation for Mobile Edge Computing-based Augmented Reality Applications[J].IEEE Wireless Commun. Letters， 2017，6（3）：398-401.

[8] PFITZMANN A， HANSEN M.Anonymity Unlinkability Undetectability Unobservability Pseudonymity and Identity Management-A Consolidated Proposal for Terminology[J]. 2008，31：15.

[9] ZHANG J，CHEN B， ZHAO Y，et al. Data Security and Privacy-preserving in Edge Computing Paradigm： Survey and Open Issues[J].IEEE Access，2018，6：18.