移動邊緣計算中安全信息流建模與分析

謝 娜，譚文安，2，曹 彥，3，趙 璐

（1.南京航空航天大學計算機科學與技術學院，南京 211106；2.上海第二工業大學計算機與信息工程學院，上海 201209；3.許昌學院 信息工程學院，河南 許昌 461000）

0 概述

隨著計算機技術的發展，物聯網終端和移動智能終端的數量激增，如智能手表、平板電腦、智能手機等，移動終端正在從簡單的通話工具轉變成綜合信息處理平臺。由于移動終端自身資源及計算能力的有限性，其在處理計算密集型應用時面臨著計算能力不足的問題。移動云計算可將移動設備中的計算任務卸載到云端，由云中心集中進行處理，為那些資源受限的移動設備提供計算支持［1-2］。然而這種計算模式也存在一定局限性：一方面，終端設備產生的海量數據對網絡傳輸造成了很大壓力；另一方面，云服務器與移動設備間遠距離造成較長的傳輸時延，無法滿足電子醫療、無人駕駛等低時延移動應用要求。

為了解決上述問題，移動邊緣計算作為移動云計算的互補泛型被提出。與移動云計算不同，服務器部署在靠近移動用戶的位置，移動用戶通過將計算任務卸載到邊緣服務器上或周邊空閑移動終端中，以滿足快速交互響應的需求［3-4］。盡管任務卸載為移動用戶提供了低延時的任務處理方式，但由于提供計算資源的移動終端身份具有復雜性和動態性，這對被卸載任務的安全性提出了新的挑戰［5-7］。移動終端獲取任務后具有任務的控制權，有可能濫用該資源，違背任務發布者的安全需求。現有解決這一問題的方法多是通過信任評估機制對移動終端的信任度進行評價，選取信任度較高的移動終端作為目的設備進行任務卸載［8-9］。信任評價因素主要包括其他交互設備對移動終端的信任評價、移動終端成功完成任務的比率等［10-11］，但這些評估機制并沒有關注移動終端自身可能存在的惡意行為。一方面，高信任度節點仍有可能發起內部攻擊，濫用設備上的資源；另一方面，任務發布者也并不知道卸載出去的任務是如何被濫用的。因此，對于高安全領域的任務卸載，需要對被卸載的任務進行實時跟蹤，及時發現濫用行為才能從根本上保證任務卸載的安全性。

為提高任務卸載的安全性，本文構造支持安全性分析的任務卸載流程，提出一個邊緣服務器管轄范圍內的上下文信息模型，實現對卸載任務的實時跟蹤。在此基礎上，構建面向移動邊緣計算的多級安全信息流模型，通過對設備、服務和數據賦予一定的安全等級，約束服務流、數據流和服務執行過程。此外，基于MINLER 等提出的形式化模型偶圖［12］描述移動邊緣計算的上下文信息，利用偶圖反應規則建模任務卸載過程，構造標注遷移邊的標號變遷系統，實現對卸載任務的跟蹤。

1 相關工作

任務卸載的安全性問題得到了研究者的廣泛關注，目前的研究大多集中在信任度評估方法上。文獻［13］針對混合云場景中私有云需要將部分任務卸載到公有云時的安全性問題，提出了基于貝葉斯網絡的信任模型，并給出了評估算法以實現私有云對公有云中服務聲譽的評估。文獻［14］在移動云計算中提出了一種任務卸載的信任度評估方法，基于移動用戶對邊緣服務器的打分結果對邊緣服務器的聲譽進行計算，為其他移動用戶的任務卸載提供參考。以上工作針對的是混合云或者移動云計算場景。在移動邊緣計算環境中，文獻［8］基于改進的哈希函數構建了一個信任模型用于評估移動終端之間的可信關系。文獻［9］介紹并提出了一個信任感知的任務卸載策略，首先基于機器學習分類方法對移動終端進行身份可信性和行為可信性評估，然后基于該信任評估結果，選取降低時延或能耗的終端為卸載目標節點。文獻［15］針對移動邊緣計算，提出了三層信任評估框架，邊緣服務器對進入其管轄范圍內的節點進行身份信任、能力信任和行為信任的評估，同時還提出了信任評估模型，該模型根據上下文環境不斷更新移動終端的信任評估結果。以上工作都是通過信任評估機制決定任務卸載目標，并不關注惡意行為本身，無法應對高信任度節點發起的內部攻擊。

目前，已有工作采用形式化方法分析云計算環境中的信息流安全性。文獻［16］提出了一種服務組合安全隱私信息流靜態分析方法，構建了服務信譽度、隱私數據使用目的及保留期限的格模型，利用隱私工作流網建模服務組合流程，分析服務執行過程中用戶隱私的非法泄露問題。文獻［17］面向云計算中的SaaS 層，提出了IFCaaS 分析框架，將信息流控制作為SaaS 層應用程序的安全驗證手段。文獻［18］針對聯邦云場景，利用有色Petri 網在不同云之間的流動建模服務和數據以及訪問控制的讀寫操作，以避免惡意節點發起的內部攻擊。以上工作均是針對云計算環境，未考慮移動終端及服務的動態性，因此不適用于移動邊緣計算場景。

從安全保障機制、服務動態性和移動動態性三個方面對相關工作進行對比分析，如表1 所示，其中：√表示支持；×表示不支持。

表1 不同研究方法的比較Table 1 Comparison of different research methods

2 移動邊緣計算中支持安全性分析的任務卸載

2.1 移動邊緣計算中的任務卸載流程

移動邊緣計算中的任務卸載是指移動用戶將自身設備上產生的計算密集型或延遲敏感型任務遷移到邊緣服務器或者周邊空閑移動設備上執行。支持安全性分析的任務卸載流程如圖1 所示。

圖1 支持安全性分析的任務卸載流程Fig.1 Task offloading procedure with security analysis

1）上下文信息感知：移動邊緣服務器獲取其管轄范圍內移動設備的位置、任務代碼和數據的存儲位置、移動設備中剩余的計算資源等信息。

2）節點發現：移動終端通過詢問移動邊緣服務器獲取其鄰近區域內可用的計算資源，這些資源包括邊緣服務器上的資源和周邊移動終端上的空閑資源。

3）任務分割：移動終端對需要處理的任務進行分割，在分割過程中盡量保持程序功能的完整性，便于后續進行卸載。

4）卸載決策：根據可用的計算資源和任務分割結果，選取任務卸載策略。

5）任務傳輸：將需要卸載的任務，包括任務代碼和任務的數據輸入，依據卸載策略傳輸到目的設備。在此過程中移動設備存儲狀態改變，因此，更新上下文信息模型。

6）執行計算：目的設備通過啟動虛擬機機制，對卸載到該設備中的任務進行計算。

7）結果回傳：目的設備將計算結果回傳給任務的發布者。

8）任務刪除：目的設備將卸載的代碼以及計算結果刪除。

通過對以上過程進行分析可知，為保證被卸載任務的安全性，需要考慮三個方面：一是卸載的安全性，即要保證任務代碼（后面將其稱為服務）和數據被卸載到安全的目的設備中；二是執行的安全性，即卸載數據在目的設備中被正確執行，如卸載數據不能被低等級服務執行；三是刪除的安全性，即計算結果回傳后或任務執行中斷后目的設備要刪除與任務相關的信息。

2.2 任務卸載的安全性分析框架

為了實現安全的任務卸載，本文提出任務卸載的安全性分析框架，具體流程如圖2 所示。首先利用偶圖建立上下文環境信息模型，描述當前環境下設備位置、服務和數據存儲位置、服務-數據輸入關系、實體安全等級等信息；其次基于偶圖反應規則建模任務卸載過程，包括任務遷移、服務執行、結果回傳及任務刪除；然后建立以偶圖模型為初始狀態點，任務卸載過程中標注遷移邊的標號變遷系統；最后通過模型檢測技術驗證卸載安全、服務執行安全以及刪除安全的可滿足性。

圖2 任務卸載安全性分析框架Fig.2 Security analysis framework of task offloading

3 安全信息流需求描述

為約束服務和數據被卸載的過程及服務執行的過程，本文構建了多級別的安全信息流模型。

定義1面向移動邊緣計算的多級安全信息流模型具體定義如下：

1）D={di|i∈N}，表示邊緣服務器和愿意貢獻設備資源的移動終端集合。

2）S={si|i∈N}，表示服務（任務）集合。

3）Ο={οi|i∈N}，表示數據集合。

4）A={ai|i∈N}，其中ai表示邊緣服務器di可以提供計算能力的區域范圍。

5）Lsec={?sec,≤sec}，為安全等級的格模型。

6）γ：D∪S∪Ο→Lsec，表示設備、服務和數據的安全等級。設備的安全等級為設備的信任度的等級，服務和數據的安全等級為被卸載代碼和數據的隱私敏感度。

7）loc1：S∪Ο→D，表示服務和數據所處的位置。

8）loc2：D→A，表示設備所處的區域。

9）I：Ο→S，表示數據Ο是服務S的輸入數據。

10）服務流和數據流的安全約束：r(loc(s))≥r(s)，r(loc(ο))≥r(ο)，表示服務和數據只能部署在比它們安全等級高或者相等的設備上。

為便于討論，設?sec={N,L,M,H,TH}。當?sec表示設備的信任度時，N、L、M、H、TH 分別表示不信任、低信任度、中信任度、高信任度和完全信任；當?sec表示服務和數據的隱私敏感度時，N、L、M、H、TH分別表示無隱私、低隱私敏感度、中隱私敏感度、高隱私敏感度和最高敏感度。

4 移動邊緣計算中任務卸載過程建模

偶圖是由圖靈獎獲得者MINLER 等于2001 年提出的一種基于圖形的形式化理論工具，其融合了Pi 演算和環境演算的優勢，旨在強調計算（物理的和信息的）位置和連接［19］。本節利用偶圖能夠直觀表達位置信息和連接信息的特點，建模任務卸載過程，分析卸載過程中的安全性。

4.1 偶圖

偶圖由位置圖（place graph）和連接圖（link graph）組成。位置圖用于表示各個節點之間的嵌套關系和位置信息。如圖3 中節點ν1位于節點ν0內，節點ν0位于區域R0內，地點1位于節點ν0內，地點0位于節點ν2內。地點（site）是一類特殊的節點，用于抽象表示模型中暫時不關心的信息。在節點上可以定義端口（port），用黑色的圓點表示。控制（control）用于表達對一類節點的描述，相同控制的節點具有相同的端口數。連接圖表示節點之間的連接關系，節點通過端口連接。連接邊分為開放邊和封閉邊，外部名y0、y1、y2和內部名x0都為開放邊，e0、e1都為封閉邊。

圖3 偶圖Fig.3 Bigraph

偶圖能夠比較直觀地描述建模對象的位置信息和連接信息，具體定義如下：

定義2（偶圖）偶圖F=(VF,ΕF,ctrlF,prntF,linkF)：＜m,X＞→＜n,Y＞是由位置圖FP與連接圖FL組成的五元組。

1）位置圖FP=(VF,ctrlF,prntF)：m→n。其中：m為地點數；n為區域數；VF為節點集合；ctrlF為節點到控制的映射，ctrlF：VF→K；prntF為節點間嵌套關系，prntF：m?VF→VF?n。

2）連接圖FL=(VF,ΕF,ctrlF,linkF)：X→Y。其中：X為內部名；Y為外部名；VF為節點集合；ΕF為連接邊集合；ctrlF為節點到控制的映射；linkF為邊的連接關系，linkF：X?PF→ΕF?Y，PF為節點端口集合。

在動態結構方面，偶圖通過反應規則(R,R′)對系統進行重構，反應規則中R稱為反應物，R′稱為生成物。如果反應物和偶圖或者偶圖部分匹配時，將偶圖中與反應物匹配的部分替換成生成物，從而實現狀態更新。

偶圖的圖形表示具有直觀性的特點，但是不利于系統的理解和處理，因此，MINER 等提出利用代數系統來描述偶圖模型。相對于圖形化的表示，代數系統便于系統的構建、演化和推導。偶圖的項語言描述如表2 所示。

表2 偶圖項語言描述Table 2 Description of term language in bigraph

4.2 上下文偶圖模型

移動邊緣計算中上下文環境信息包括設備位置、服務和數據的位置、服務和數據的輸入關系以及實體的安全等級。設備中剩余的計算資源并不影響任務卸載的安全性，因此，模型中并不考慮該信息的表達。上下文環境到偶圖的轉換規則如下所示：

其中：設備、服務、區域以及安全等級都映射為節點；服務和數據處于哪個設備，設備處于哪個邊緣服務器的區域范圍都映射為節點之間的嵌套關系；設備、服務以及數據所擁有的安全等級、數據和服務之間的輸入關系都映射為連接關系。

例1假設邊緣服務器Server 的上下文環境信息如下：

相對應的偶圖模型如圖4 所示。

圖4 上下文偶圖模型Fig.4 Bigraph model of context information

圖4 對應的項語言描述為：

4.3 移動邊緣計算中任務卸載的反應規則集

任務卸載的過程包括服務和數據的遷移、服務的執行、結果回傳和任務刪除4 個步驟，每一步都會導致服務和數據所處的狀態發生改變，系統需要建模這些狀態變化實現對服務和數據的跟蹤，以監測目的設備是否濫用服務和數據。圖5～圖8 給出了服務和數據的遷移、服務的執行、結果回傳以及任務刪除的偶圖反應規則的圖形表示。

圖5 服務和數據遷移Fig.5 Service and data migration

圖6 服務執行Fig.6 Service execution

圖7 結果回傳Fig.7 Result return

圖8 任務刪除Fig.8 Task deletion

1）服務和數據遷移：移動終端D1 將服務S1 和服務輸入數據Ο1 卸載到移動終端D2 上，表示為Migrate(Ο1,S1,D1,D2)，其中4 個參數依次為卸載的數據、卸載的服務、任務發布的設備和任務接收的設備（目的設備）。Ο1 節點和S1 節點從D1 節點遷移至D2 節點內。

2）服務執行：移動終端D2 上執行服務S1，輸入數據Ο1，輸出數據Ο1*，表示為Execute(Ο1,S1,D2)。3 個參數依次表示為輸入數據、執行的服務和任務所在的設備。Ο1 節點變為Ο1*節點并嵌套在S1 節點內。

3）結果回傳：移動終端D2 將輸出數據Ο1*回傳給任務發布終端D1，表示為Return(Ο1*,D2,D1)。3 個參數分別表示回傳的計算結果、提供計算資源的設備和發布任務的設備。Ο1*節點同時也嵌套在D1 節點內。

4）任務刪除：移動終端D2 將計算結果回傳后，刪除相關的數據和服務，表示為Delete(Ο1*,S1,D2)。3 個參數分別表示刪除的數據、刪除的服務和執行刪除任務的設備。Ο1*和S1 節點在D2 中被刪除。

當反應規則集中的反應物與上下文偶圖模型匹配或者部分匹配時，生成物替換反應物，得到新的偶圖模型。對于一個上下文偶圖模型，匹配的反應規則可能包含多條，因此，最終可得到一個以反應規則作為遷移邊的標號變遷系統。在該標號變遷系統中，每一個狀態都應滿足卸載安全和服務執行安全要求，計算回傳后的下一個狀態應滿足刪除安全要求。

5 實例分析和性能評估

5.1 實例分析

假設當前在邊緣服務器Server 的服務區域內，有移動終端D1、D2、D3、D4，服務器和移動終端對應的安全等級分別為TH、TH、L、M、N。移動終端D1是任務的發布者，任務的執行流程如圖9 所示。服務S1～S4 對應的安全等級分別是L、L、M、H，數據Ο1～Ο5 對應的安全等級分別為L、L、L、M、H。

圖9 任務執行流程Fig.9 Task execution process

任務和數據可在任務發布終端D1 中被執行，也可卸載到邊緣服務器Server 中，除此之外，也可卸載到移動終端中，設D1～D4 都可提供一定的計算資源。根據服務流和數據流的安全約束，服務S1、S2和數據Ο1～Ο3 可被卸載到D2、D3 移動終端中，服務S3 和數據Ο4～Ο6 可被卸載到移動終端D3 中，服務S4 的安全等級為H，因此，任務只能在移動終端D1或Server 中執行，具體如表3、表4 所示，其中，符號“√”表示服務或數據可以被卸載至該設備上。

表3 服務的安全等級和可卸載的設備Table 3 Security level of services and offloading devices

表4 數據的安全等級和可卸載的設備Table 4 Security level of data and offloading devices

目前，針對偶圖和偶圖反應系統已有很多工具支持，如DBtk 工具［20］、BigRed［21］原型編輯器、BigraphER工具［22］、BigMC［23］工具。其中，由哥本哈根技術大學的PERRΟNE 等開發的BigMC 工具，其語言描述與偶圖和偶圖反應系統的項語言描述比較相近，易于理解。BigMC 可以將衍化過程生成dot 腳本，使用XDΟT、graphviz 等軟件進行圖形化的表達。本文采用BigMC工具驗證是否滿足卸載過程安全需求。

當D1 卸載服務S1 和輸入數據Ο1 時，初始上下文環境偶圖模型為：

由表3、表4 可 知，任務還 可卸載 到D2、D3 和Server 中執行。執行該卸載任務，對應的標號變遷系統如圖10 所示，安全的上下文環境模型包括12 個（除灰色的狀態和相應的遷移邊）。

圖10 任務卸載的標號變遷系統Fig.10 Labeled transition system of task offloading

終態的上下文環境偶圖模型為：

最終，數據Ο2 返回給任務發布者D1。

D1 在任務卸載后就失去了對任務的控制權，內部攻擊者就可濫用該資源。假設D2 為惡意節點，將數據Ο1 和服務S1 卸載到移動終端D4 中，此時上下文環境模型進入狀態i，該狀態違反服務流和數據流的安全約束，數據和服務被卸載到了低安全等級的設備中，檢測該違反狀態的時間為0.000 2 s。D2 作為惡意節點，假設其在執行服務S1 時，將輸出數據Ο2 的安全等級降為N并發送給D4，此時上下文環境模型進入狀態j，該狀態違反服務執行的安全約束，檢測該違反狀態的時間為0.000 14 s。假設D2 將輸出數據Ο2 回傳后，仍保留Ο2 的副本，此時上下文環境模型進入狀態k，該狀態違反刪除的安全性，檢測該違反狀態的時間為0.000 16 s。

同樣地，如圖11 所示：在任務S2 和S3 的卸載過程中，安全的上下文環境偶圖模型有108 個，建模時間為0.074 275 s；在任務S4 的卸載過程中，安全的上下文環境偶圖模型有6 個，建模時間為0.000 9 s。

圖11 任務卸載狀態數和建模時間Fig.11 Number of states and modeling time for task offloading

5.2 性能評估

假設初始場景中，所有的服務安全等級都高于數據的安全等級，設備的安全等級都低于服務和數據的安全等級，即服務和數據可被卸載到周邊任意的設備上執行?；谠摷僭O下所構建的標號變遷系統中的節點數和遷移邊數最多。表5、表6 給出了這種“最壞”假設下（即構建的標號變遷系統最復雜），運行時間和內存消耗隨著設備數、服務數量和數據數量的變化。

表5 不同終端數量下的運行時間和內存消耗Table 5 Running time and memory consumption under different terminals numbers

表6 不同服務和輸入數據量下的運行時間和內存消耗Table 6 Running time and memory consumption under different services and input data

對于一個服務，其輸入數據數量、輸出數據數量應該都為個位數，假設每個服務的輸入數據個數為2，輸出數據個數為1。表5 給出了服務數量和輸入數據量分別為10 和20，而移動終端節點數量變化時運行時間和內存消耗的變化情況?？梢钥闯?，隨著移動終端節點數量變化，運行時間和內存消耗都呈現指數增長，這是因為服務和數據可以被卸載到任意的移動終端節點中，在標號變遷系統中每個狀態點所能構建的遷移邊數最多。表6 給出了終端節點數量為10 而服務數量和輸入數據量變化時運行時間和內存消耗的變化情況。可以看出，隨著服務數量和輸入數據量的增加，運行時間和內存的消耗呈現線性增長，這是因為服務是按照順序執行的，服務和輸入數據量的增多引起所構建的標號變遷系統深度增高。

由上述案例和性能分析可知，通過對上下文環境信息以及卸載行為的建模，能夠跟蹤惡意行為的發生并在較短時間內給予反饋。一方面，系統能夠及時制止風險的擴散；另一方面，任務發布者也能夠了解卸載任務是如何被濫用的。因此，本文所提方可為高安全任務的卸載提供有效支撐。

6 結束語

本文提出一種基于偶圖的安全信息流建模與分析方法，以解決移動邊緣計算任務卸載過程中終端節點發起內部攻擊惡意行為的安全問題。該方法通過賦予移動邊緣環境下終端節點、服務和數據相應的安全等級來約束任務卸載過程，形成多級安全信息流模型，同時引入偶圖構建任務卸載過程的形式化模型，驗證服務和數據遷移、服務執行、結果回傳、任務刪除過程中的安全性。案例分析和性能評估結果表明，本文方法能夠針對惡意行為在較短時間和可接受的內存消耗下給予系統反饋。后續研究將從安全性分析角度出發，進一步結合時延、能耗等因素，在保證任務卸載安全性的同時優化任務卸載性能。