边缘计算安全威胁现状及防护技术分析

◆梁启锋

（中共日照市委办公室 山东 276826）

随着5G 与物联网技术的深入发展和广泛应用，未来几年中，接入网络的用户设备数量激增，终端产生的数据呈几何式增长趋势。数据的海量、多源和异构等特征依托云计算的分布式并行处理、虚拟化等技术进行存储、计算和传输，促进了云计算的研究和发展，然而云计算网络架构所提供的资源集中式远程服务，在数据服务量急剧加大时，无法满足异构、低延时、密集化的网络接入和服务需求。边缘计算的发展，弥补了云计算在实时性、带宽限制、高能耗等方面的缺点，提高了在万物互联时代中对数据的处理效率。但是与此同时，边缘计算中的隐私保护和数据安全也一直是让人担忧的一项重要问题。

1 边缘计算概述

物联网进一步延伸了互联网的物理和逻辑边界，感知层设备的连接数量正在以指数级的规模增长，云计算不再能完全满足所有应用场景，海量物联网终端产生的大量并发任务倾向于就地解决，感知层设备趋于自治，形成基于物-边缘-云的三层服务交付架构。这种架构的产生节省了大量的计算、传输、存储成本，使得计算更加高效。

边缘计算是在靠近物或数据源头的网络边缘侧，融合网络、计算、存储、应用核心能力的开放平台，就近提供边缘智能服务，满足行业数字化在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。

2 边缘计算安全威胁现状

边缘计算和云计算、分布式计算、网格计算等模式一样，虽然安全性有所提升，同样面临着数据安全等问题。

2.1 边缘基础设施

这一层主要给下层终端设备提供网络访问、云服务和管理功能，整个基础设施层可能覆盖互联网、集中式云服务、核心移动网络以及数据中心等，支撑边缘计算环境本地化业务逻辑以及智能应用程序，在脱离上层云计算环境时为用户提供本地化应用服务。

边缘计算基础设施将不只部署在中心机房这样具备安全措施的场所，也会在那些对外开放且不受控制的环境中运行（比如野外环境、人流密集的公共环境等），因此特别容易遭到物理篡改和攻击，这不仅包括物理盗窃，还包括蓄意的恶意行为，例如引入有害的硬件，软件或数据窃取等。

2.2 边缘数据中心

数据中心是边缘计算的核心组件之一，需要负责虚拟化服务以及多项管理服务，终端用户、第三方服务提供商和基础设施提供商均可使用这些服务。通常边缘数据中心会部署在网络边缘，独立运行，但数据中心之间、数据中心与上层云环境之间是协同工作的。

由于边缘计算采用的是分布式数据处理模式，边缘数据中心中的数据安全问题更令人关注，会出现数据隐私泄露等问题，特别是在面对物理攻击、拒绝服务攻击、数据篡改等攻击手段时，将面临重大挑战。

2.3 边缘网络

边缘计算环境中集成多种通信网络，包括无线网络、移动网络和互联网，覆盖整个物联网中终端设备或传感器的互联。

边缘网络可能会面临DoS 攻击、伪造网关、未经授权访问、数据包嗅探、中间人攻击等安全威胁。未经授权访问无线传感器网络会导致泄露敏感信息、数据修改、拒绝服务攻击和非法使用资源。数据包嗅探借助网络嗅探器将向其用户显示所有网络数据包，并对其进行解码以便于阅读，所有明文流量都易于理解，可以定义过滤器来查找特定的关键词或值。

2.4 边缘设备

边缘设备包括所有边缘网络中的移动终端、物联网设备或传感器等。边缘计算终端的传感节点很容易遭受来自其他网络的拒绝服务攻击，如果一台物联网终端被入侵、控制，攻击者可以通过传播手段感染更多的物联网终端，最终形成规模化的僵尸网络，向骨干网络或服务网络发起大量服务请求，造成资源过载，可能会使网络陷入瘫痪。移动终端面临的安全问题主要有终端安全以及隐私保护等，具体威胁形式包括隐私泄露、信息注入、服务操作、恶意代码攻击等。

3 边缘计算安全防护技术分析

3.1 边缘基础设施安全可信

边缘基础设施安全是边缘计算的基本保障，因此需要确保边缘基础设施在启动、运行、操作等过程中的安全可信，构建边缘基础设施信任链条，信任链条连接到哪里，安全就能保护到那里。

边缘基础设施安全涵盖从启动到运行整个过程中的设备安全、硬件安全、虚拟化安全和操作系统安全等。比如，首先要对边缘基础设施中的系统与应用进行完整性检查和验证，保障系统和应用的完整性，确保边缘节点运行在预期的状态；能够有效标识、区分和鉴别每一个边缘节点，实现边缘节点管理、任务分配以及安全策略差异化管理；根据安全策略允许特定的设备接入网络、拒绝非法设备的接入，有效避免天坑攻击和女巫攻击这种在网络内部引入伪造设备发起的攻击模式。

3.2 边缘数据安全

数据安全是创建安全边缘计算环境的基础，其根本目的在于确保数据的保密性和完整性，针对边缘计算环境中数据所有权和控制权分离化、存储随机化等特点，需要着力解决数据丢失、数据泄露、非法数据操作等问题。

数据安全主要关注数据保密性与安全共享、完整性审计和可搜索加密等技术。现有的数据保密性和安全数据共享方案通常采用加密技术来实现，其常规流程是由数据所有者预先对外包数据进行加密处理和上传操作，并在需要时由数据使用者解密，针对资源受限的边缘设备，需要提供经过定制或裁剪产生的轻量级密码解决方案。

3.3 边缘网络安全

边缘计算网络中节点数量巨大、网络拓扑复杂，导致攻击面增大，攻击者可以很容易找到突破口向边缘计算节点发送恶意数据包，发动拒绝服务攻击。加强边缘网络安全防护应建立纵深防御体系，从安全协议、网络域隔离、网络监测、网络防护等从内到外保障边缘网络安全。

安全协议对保障边缘计算网络安全起着至关重要的作用，物联网中的一些著名的协议相继被发现存在有若干安全漏洞，严重危害整个网络的安全性。解决边缘计算安全协议的问题，需要保证协议自身安全性，采用形式化方法严格证明其安全性，解决设计和实现逻辑一致性的问题；另外也可在原有协议外增加安全层，可以通过增加通信模块或者通信网关的方式，将原有协议再进行一次封装，通过VPN、SSL 等安全通道传输。

3.4 边云协同安全

在边缘计算多数部署和应用场景中，需要边缘侧与中心云的协同，边云协同则包含了计算资源、安全策略、应用管理、业务管理等方面的协同。

边云协同安全主要集中在安全策略协同方面，边缘节点提供了部分安全策略包括了接入端的防火墙、安全组等，而中心云则提供了更为完善的安全策略，包括流量清洗、流量分析等。在安全策略协同的过程中，中心云如发现某个边缘云存在恶意流量，可以对其进行阻断，防止恶意流量在整个边缘云平台中扩散。

4 结束语

边缘计算可以提供更实时、更快速的处理能力，成本更低，5G 是边缘计算产业发展的重要契机，伴随5G 技术的快速发展，其广覆盖、低时延、大连接、高可靠的特性，使得边缘计算有着更加广阔的应用场景，比如加速物联网技术向更多垂直行业渗透，未来生活、工作中的各种场景中的传感器、终端设备都有可能融入物联网中，它们将成为数据的生产者和数据的消费者，将支持海量的机器通信，以智慧城市、智能家居等为代表的典型应用场景与移动通信深度融合，预期千亿量级的设备将接入5G 网络的同时也会产生海量的运行数据。

边缘计算带来的海量数据对攻击者的诱惑也越来越大，其安全问题也会越来越突出，针对这些安全挑战以及安全需求特征，需要提出全方位、多维度的安全防护解决方案，提供端到端全覆盖的全网安全运营防护体系，才能真正体现边缘计算的价值。