用了邊緣計算，你的數據就真的安全了嗎？

採用邊緣計算將數據留在本地進行處理，用以解決用戶的隱私泄露和安全問題，你的數據就真的安全了嗎？

智能家居一方面給人們描繪了一幅未來美好的智慧生活的圖景，另一方面也帶給人們對於自身隱私和安全問題的擔憂。針對此等情況，有行業人士認為：未來邊緣計算將更廣泛地應用於終端設備，從而保護用戶的隱私安全。

此外，多接入邊緣計算MEC，作為近兩年關注度最高的一種邊緣計算，其在智能工廠、智能醫院和智能煉油廠等諸多細分領域都有廣泛的應用。例如智能工廠，2018年10月，基於諾基亞vMEC解決方案，在華晨寶馬工廠成功部署並投入試運行；而智能醫院，則有採用4G+MEC的方式以LTE網路為基礎的企業專用網路，以醫院HIS系統為數據源，為醫療定製終端硬體載體，為企業提供移動軟體展示護理等。

雷鋒網了解到，以MEC為代表的邊緣計算技術，雖然帶來了多種嶄新的服務方式，但它的新特徵也帶來了全新的安全和隱私保護問題。

在傳統的網路中，有防火牆、數據加密和病毒防禦等與安全與隱私保護相關的技術，但在MEC中，由於任務不僅限於在具有安全措施的場所中運行，同時移動網路終端的高移動性，使原本用於雲計算的許多安全解決方案很難適用於MEC。

MEC的異構特點，整個系統是由多個所有者共同擁有的，其部署和服務方式使得網路攻擊的破壞範圍限制在了較小的範圍內，另一方面，一旦攻擊者成功控制了節點，整個節點所服務的地區都將面臨癱瘓的風險。

服務本地化也會使得針對MEC的攻擊將會更加多樣化，雷鋒網了解到，MEC主要面臨以下這些途徑的攻擊：

（1）網路設施的攻擊：MEC的接入和傳輸具有多樣性，從無線接入網到移動核心網再到互聯網都有涉及，因此針對該環節的攻擊有三種。

• 拒絕服務(DoS)攻擊：儘管一定程度上會對MEC造成的影響，但破環能力有限；

• 中間人攻擊：此類型的攻擊很隱蔽，同時危險性大，能影響到連接在中間人上的所有網路節點；

• 惡意網關攻擊：與中間人攻擊對MEC造成的危害是類似的。

（2）服務設施攻擊：在MEC中，服務設施最主要的是部署在網路邊緣的MEC節點，而該種類型的攻擊主要有隱私泄露、服務複製、許可權升級和惡意節點。

（3）虛擬化設施攻擊：在MEC節點中，虛擬化設施負責網路邊緣雲服務的部署，同時也面臨多種方式的攻擊。

• 拒絕服務攻擊：一個惡意的虛擬機會設法耗盡整個節點的資源，在某些情況下這種攻擊的造成的後果很嚴重；

• 資源的錯誤使用：例如，惡意虛擬機可以搜尋附近的IoT設備並對其攻擊或執行一些破解密碼、運行殭屍網路服務的程序；

此外，虛擬化設施攻擊除了以上提到的，還有隱私泄露、許可權升級、虛擬機複製等，而在用戶終端的環節，MEC系統還將面臨信息注入和服務複製這兩種攻擊的方式。

為了應對MEC系統以上這些多樣化的攻擊，應用多種安全服務與防禦機制是很有必要的，主要有以下這些關鍵技術：

1. 身份驗證與鑒權技術：複雜的異構特徵帶來了很多挑戰，不僅需要對每一個實體進行身份認證，還需要實現不同實體之間的身份互相認證；

2. 信任管理技術：在MEC中,信任管理不僅僅包括對實體身份的驗證,還包括對交互實體數量和具體行為的管理；

3. 協議與網路安全技術：如果MEC的網路架構沒有受到嚴格的保護，整個系統都會受到外部和內部攻擊的威脅；因此需要對MEC應用到的種種通信技術和協議進行有效防護；

4. 入侵檢測技術：由於絕大多數攻擊的危害都被限制在MEC節點附近，因此，MEC節點能夠對其中的網路連接、虛擬機狀態等節點所擁有的部分進行監控；

5. 錯誤容忍與恢復技術：錯誤的配置、舊版本的軟體、頑健性不足的代碼和其他不足都有可能被惡意的攻擊利用，進而控制系統的某些部分或是整個系統。因此，應用一些能夠讓服務設施繼續服務的機制和方案是十分必要的。

5G MEC安全解決方案

MEC伺服器是移動網路中一個全新的實體，在連接到包括OAM系統、UPF、合法攔截等多個移動網路實體的同時，還連接到第三方應用伺服器，甚至容納第三方應用程序。

值得注意的是，當前的安全技術（包括IPsec、TLS、防火牆等）可以保護這些連接，以阻止對MEC伺服器、移動系統和第三方伺服器的攻擊。

然而，這些解決方案對於引入MEC後新產生的安全問題還不能很好地解決，例如，在MEC伺服器上運行的惡意應用程序可能會有意佔用伺服器中的資源，從而使同一伺服器上的應用程序失效；應用程序也可以使用API自由更改移動網路的配置，這可能會損害整個網路的性能。

需要建立一個統一、可信的安全評估系統來評估MEC系統中運行的應用程序的安全性將十分有必要。同時，應用程序和網路之間介面的安全方面也應考慮到通信的安全性，例如未經授權的調用。

移動運營商要為MEC伺服器中的應用程序提供防禦惡意攻擊的服務，並檢查第三方應用程序的安全漏洞。MEC的具體安全要求如下：

首先是物理設施保護。在為用戶提供優質服務的同時，MEC的按需鄰接部署也客觀地縮短了攻擊者與MEC物理設施之間的距離，使攻擊者更容易與MEC物理設施接觸。造成MEC物理設備的破壞、服務中斷、用戶隱私和數據泄露等嚴重後果。另一方面，廣泛部署的MEC邊緣計算節點也可能面臨著各種自然災害（如颱風、冰雹）和工業災害的威脅。上述所有因素都可能直接損害MEC硬體基礎設施，導致服務突然中斷和數據意外丟失。因此，需要在性能和成本考慮的基礎上，為MEC節點配置相應的物理設施保護措施。

再者，對安全能力有限的MEC節點要進行安全防護。由於性能、成本、部署等多種因素的影響，單個MEC節點的安全防護能力（如可抵抗的攻擊類型、抵抗單一攻擊的強度等）受到限制。針對MEC節點（IoT終端/移動智能終端）的應用特點和終端特點，有必要部署相應的安全防護措施。

然後是擴展信任模型構建。MEC系統與移動通信系統共生集成的部署模式，擴展了以前的「用戶分別對網路和服務進行認證」的二元信任關係構建模型。需要建立用戶、MEC系統、MEC應用、移動通信網路和MEC系統之間的信任關係。具體來說，需要在MEC系統和5G網路之間建立信任關係，以便合法使用5G開放網路服務為用戶提供服務。為了防止惡意應用程序接管用戶服務，需要在MEC系統和MEC應用程序之間建立信任關係。需要建立MEC系統與用戶之間的信任關係，以確認MEC系統與用戶之間的合法性。在MEC系統中，需要在MEC節點和MEC控制器之間建立信任關係，防止「假MEC節點」惡意訪問，竊取用戶和服務信息。信任關係需要構建MEC節點來支持節點之間的協作。

最後是關於隱私和數據保護。MEC「基於用戶信息感知的高質量個性化服務」的特點不僅提供了便利，而且使MEC應用不可避免地能夠訪問大量的移動用戶和設備的隱私和數據信息。例如用戶身份、位置和移動軌跡。在進一步挖掘這些信息之後，我們還可以獲得很多關於用戶睡眠模式、生活習慣、健康狀況等方面的信息。因此，在MEC隱私和數據保護中，需要配備相應的隱私泄露保護措施，嚴格控制第三方MEC應用的行為，防止其泄露和濫用用戶的隱私和數據信息，針對這部分，我們應高度關注。

Gartner預測，企業對邊緣計算市場潛力的興趣正在迅速增長，從2019年到2021年底，至少部署了一個邊緣計算應用來支持物聯網或沉浸式體驗的大型企業，將由不到5%增長到超過50%；至少部署六種邊緣計算應用來支持物聯網或沉浸式體驗的大型企業，將由不到1%增長到超過50%。

儘管邊緣計算將面臨更為多樣化的攻擊，但他的大範圍應用已成為一個趨勢。面對以上提到的這些攻擊類型，只要我們採取恰當的安全服務以及建立好防禦機制，相信最終能使得邊緣計算的各種應用順利落地，數據的安全得到保障。雷鋒網雷鋒網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！