邊緣計算安全威脅現狀及防護技術分析

◆梁啟鋒

（中共日照市委辦公室 山東 276826）

隨著5G 與物聯網技術的深入發展和廣泛應用，未來幾年中，接入網絡的用戶設備數量激增，終端產生的數據呈幾何式增長趨勢。數據的海量、多源和異構等特征依托云計算的分布式并行處理、虛擬化等技術進行存儲、計算和傳輸，促進了云計算的研究和發展，然而云計算網絡架構所提供的資源集中式遠程服務，在數據服務量急劇加大時，無法滿足異構、低延時、密集化的網絡接入和服務需求。邊緣計算的發展，彌補了云計算在實時性、帶寬限制、高能耗等方面的缺點，提高了在萬物互聯時代中對數據的處理效率。但是與此同時，邊緣計算中的隱私保護和數據安全也一直是讓人擔憂的一項重要問題。

1 邊緣計算概述

物聯網進一步延伸了互聯網的物理和邏輯邊界，感知層設備的連接數量正在以指數級的規模增長，云計算不再能完全滿足所有應用場景，海量物聯網終端產生的大量并發任務傾向于就地解決，感知層設備趨于自治，形成基于物-邊緣-云的三層服務交付架構。這種架構的產生節省了大量的計算、傳輸、存儲成本，使得計算更加高效。

邊緣計算是在靠近物或數據源頭的網絡邊緣側，融合網絡、計算、存儲、應用核心能力的開放平臺，就近提供邊緣智能服務，滿足行業數字化在敏捷聯接、實時業務、數據優化、應用智能、安全與隱私保護等方面的關鍵需求。

2 邊緣計算安全威脅現狀

邊緣計算和云計算、分布式計算、網格計算等模式一樣，雖然安全性有所提升，同樣面臨著數據安全等問題。

2.1 邊緣基礎設施

這一層主要給下層終端設備提供網絡訪問、云服務和管理功能，整個基礎設施層可能覆蓋互聯網、集中式云服務、核心移動網絡以及數據中心等，支撐邊緣計算環境本地化業務邏輯以及智能應用程序，在脫離上層云計算環境時為用戶提供本地化應用服務。

邊緣計算基礎設施將不只部署在中心機房這樣具備安全措施的場所，也會在那些對外開放且不受控制的環境中運行（比如野外環境、人流密集的公共環境等），因此特別容易遭到物理篡改和攻擊，這不僅包括物理盜竊，還包括蓄意的惡意行為，例如引入有害的硬件，軟件或數據竊取等。

2.2 邊緣數據中心

數據中心是邊緣計算的核心組件之一，需要負責虛擬化服務以及多項管理服務，終端用戶、第三方服務提供商和基礎設施提供商均可使用這些服務。通常邊緣數據中心會部署在網絡邊緣，獨立運行，但數據中心之間、數據中心與上層云環境之間是協同工作的。

由于邊緣計算采用的是分布式數據處理模式，邊緣數據中心中的數據安全問題更令人關注，會出現數據隱私泄露等問題，特別是在面對物理攻擊、拒絕服務攻擊、數據篡改等攻擊手段時，將面臨重大挑戰。

2.3 邊緣網絡

邊緣計算環境中集成多種通信網絡，包括無線網絡、移動網絡和互聯網，覆蓋整個物聯網中終端設備或傳感器的互聯。

邊緣網絡可能會面臨DoS 攻擊、偽造網關、未經授權訪問、數據包嗅探、中間人攻擊等安全威脅。未經授權訪問無線傳感器網絡會導致泄露敏感信息、數據修改、拒絕服務攻擊和非法使用資源。數據包嗅探借助網絡嗅探器將向其用戶顯示所有網絡數據包，并對其進行解碼以便于閱讀，所有明文流量都易于理解，可以定義過濾器來查找特定的關鍵詞或值。

2.4 邊緣設備

邊緣設備包括所有邊緣網絡中的移動終端、物聯網設備或傳感器等。邊緣計算終端的傳感節點很容易遭受來自其他網絡的拒絕服務攻擊，如果一臺物聯網終端被入侵、控制，攻擊者可以通過傳播手段感染更多的物聯網終端，最終形成規模化的僵尸網絡，向骨干網絡或服務網絡發起大量服務請求，造成資源過載，可能會使網絡陷入癱瘓。移動終端面臨的安全問題主要有終端安全以及隱私保護等，具體威脅形式包括隱私泄露、信息注入、服務操作、惡意代碼攻擊等。

3 邊緣計算安全防護技術分析

3.1 邊緣基礎設施安全可信

邊緣基礎設施安全是邊緣計算的基本保障，因此需要確保邊緣基礎設施在啟動、運行、操作等過程中的安全可信，構建邊緣基礎設施信任鏈條，信任鏈條連接到哪里，安全就能保護到那里。

邊緣基礎設施安全涵蓋從啟動到運行整個過程中的設備安全、硬件安全、虛擬化安全和操作系統安全等。比如，首先要對邊緣基礎設施中的系統與應用進行完整性檢查和驗證，保障系統和應用的完整性，確保邊緣節點運行在預期的狀態；能夠有效標識、區分和鑒別每一個邊緣節點，實現邊緣節點管理、任務分配以及安全策略差異化管理；根據安全策略允許特定的設備接入網絡、拒絕非法設備的接入，有效避免天坑攻擊和女巫攻擊這種在網絡內部引入偽造設備發起的攻擊模式。

3.2 邊緣數據安全

數據安全是創建安全邊緣計算環境的基礎，其根本目的在于確保數據的保密性和完整性，針對邊緣計算環境中數據所有權和控制權分離化、存儲隨機化等特點，需要著力解決數據丟失、數據泄露、非法數據操作等問題。

數據安全主要關注數據保密性與安全共享、完整性審計和可搜索加密等技術。現有的數據保密性和安全數據共享方案通常采用加密技術來實現，其常規流程是由數據所有者預先對外包數據進行加密處理和上傳操作，并在需要時由數據使用者解密，針對資源受限的邊緣設備，需要提供經過定制或裁剪產生的輕量級密碼解決方案。

3.3 邊緣網絡安全

邊緣計算網絡中節點數量巨大、網絡拓撲復雜，導致攻擊面增大，攻擊者可以很容易找到突破口向邊緣計算節點發送惡意數據包，發動拒絕服務攻擊。加強邊緣網絡安全防護應建立縱深防御體系，從安全協議、網絡域隔離、網絡監測、網絡防護等從內到外保障邊緣網絡安全。

安全協議對保障邊緣計算網絡安全起著至關重要的作用，物聯網中的一些著名的協議相繼被發現存在有若干安全漏洞，嚴重危害整個網絡的安全性。解決邊緣計算安全協議的問題，需要保證協議自身安全性，采用形式化方法嚴格證明其安全性，解決設計和實現邏輯一致性的問題；另外也可在原有協議外增加安全層，可以通過增加通信模塊或者通信網關的方式，將原有協議再進行一次封裝，通過VPN、SSL 等安全通道傳輸。

3.4 邊云協同安全

在邊緣計算多數部署和應用場景中，需要邊緣側與中心云的協同，邊云協同則包含了計算資源、安全策略、應用管理、業務管理等方面的協同。

邊云協同安全主要集中在安全策略協同方面，邊緣節點提供了部分安全策略包括了接入端的防火墻、安全組等，而中心云則提供了更為完善的安全策略，包括流量清洗、流量分析等。在安全策略協同的過程中，中心云如發現某個邊緣云存在惡意流量，可以對其進行阻斷，防止惡意流量在整個邊緣云平臺中擴散。

4 結束語

邊緣計算可以提供更實時、更快速的處理能力，成本更低，5G 是邊緣計算產業發展的重要契機，伴隨5G 技術的快速發展，其廣覆蓋、低時延、大連接、高可靠的特性，使得邊緣計算有著更加廣闊的應用場景，比如加速物聯網技術向更多垂直行業滲透，未來生活、工作中的各種場景中的傳感器、終端設備都有可能融入物聯網中，它們將成為數據的生產者和數據的消費者，將支持海量的機器通信，以智慧城市、智能家居等為代表的典型應用場景與移動通信深度融合，預期千億量級的設備將接入5G 網絡的同時也會產生海量的運行數據。

邊緣計算帶來的海量數據對攻擊者的誘惑也越來越大，其安全問題也會越來越突出，針對這些安全挑戰以及安全需求特征，需要提出全方位、多維度的安全防護解決方案，提供端到端全覆蓋的全網安全運營防護體系，才能真正體現邊緣計算的價值。