刘京 段续 李阳 时博涵

摘要：物联网时代多类型流量的接入与应用场景的多样性，从计算能力、存储和业务时延等多个方面对当前集中式云计算架构提出新的挑战。移动边缘计算（MEC）作为一种在网络边缘为用户提供服务的解决方案，能够满足物联网多样性的业务需求。针对移动边缘计算在物联网中的安全问题，对移动边缘计算的概念、应用场景和安全进程进行介绍，着重从数据传输安全、存储安全和计算安全3个方面阐述了移动边缘计算在物联网时代所面临的安全挑战。

关键词：移动边缘计算；物联网；信息安全；计算安全

中图分类号：TP393文献标志码：A文章编号：1008-1739（2021）03-58-3

0引言

随着万物互联时代的开启，物联网已经成为当今世界新一轮经济和科技发展的战略制高点之一。物联网的发展备受世界各国的关注，我国也将物联网发展上升为国家发展重点，并在《“十二五”规划纲要》中明确提出，要推动物联网关键技术研发和重点领域的应用示范。而物联网时代多样性流量的涌入和多样化应用场景的需求，对当前集中式云计算架构提出了新的挑战，同时推动了新的云计算范式的产生。在物联网时代，移动设备不再只是单纯的手机、平板电脑等，而是包括了类型更加丰富的增强/虚拟现实（A/VR）設备、智能医疗设备和移动车辆等。应用场景也从语音通话及视频等业务扩展为虚拟空间体验、智能制造及车联网等[1]。

另外，在距用户最短距离的计算节点中处理数据将减少传输时间。在基于云计算的服务中，数据传输速度会受到网络流量的影响，而繁重的流量会导致传输时间长，从而增加功耗成本。因此，采用移动边缘计算（Mobile Edge Computing，MEC）[2]的方式可以满足物联网设备的需求。

1基本概念和应用场景

MEC的概念最初由欧洲电信标准化协会（ETSI）提出，其定义是在网络边缘为应用开发者和内容提供商提供云计算的能力以及IT服务的环境[2]。近来，ETSI将MEC中的M由Mobile扩展为Multi-access，即通过支持多种接入方式将MEC的概念扩展至多场景[3]。MEC的优点[4-5]主要有以下几个：

（1）低时延和低负载

MEC能够为低时延需求业务提供服务和提升用户体验（QoE）。MEC相比于云计算的方式，能够有效降低时延。因为云计算的方式需要将业务传输至距离用户数百千米外的数据中心处理，业务在传输过程中需要经过核心网，复杂的网络环境会造成时延的不确定性。而MEC则只需要将业务卸载至临近的MEC服务器进行处理，然后返回至用户端。距离上的靠近以及不需要经过核心网的传输方式，能够有效降低时间开销。同时，业务在网络边缘的处理模式，避免了大量业务涌入核心网，降低了接入核心网络的负载。

（2）长周期和低功耗

在物联网应用场景中，设备功耗一直是亟需解决的问题，因设备的电池容量有限和无线充电较为困难，降低设备功耗能够有效延长设备的任务周期。在物联网的应用场景中部署MEC服务器，可以将需要处理的业务卸载至MEC服务器中，降低了设备计算处理的功耗，且近距离卸载能够降低无线传输的功耗，进而延长设备任务周期。

（3）应用场景

云游戏和增强现实以及智能家居和城市是物联网时代MEC的典型案例。采用MEC技术可以高效、稳定地为云游戏、AV/R等提供支持。这种将业务卸载至MEC服务器处理的方式，将允许数据传播较短的距离，从而获得更加身临其境的互动游戏体验[6-7]，同时通过执行本地计算和数据缓冲/缓存来减少请求和数据在核心网传输时的时间。

2 MEC基本结构和安全

2.1 MEC典型结构

MEC典型结构如图1所示，分为3层，最底层为边缘设备层，包括移动终端、智能设备、VR设备及机械设施等；中间层为边缘计算节点，边缘设备通过移动网络（如4G，WLAN）或者固定网络（如光纤网络）接入边缘计算节点，将需要处理的数据卸载至边缘计算节点；最高层为云数据中心层，边缘计算节点通过核心网与云数据中心完成数据交互，同时对时延等不是特别敏感的业务也可通过边缘计算节点传输至云数据中心处理。

2.2 MEC的隐私和安全

在隐私保护管理中多采用以下4种[8]方式：

①假名：使用假名作为ID，以确保个人可以利用来源而不会透露来源的真实身份。但是，用户仍然可以安全使用。

②不可观察性：确保个人可以在没有其他第三方的情况下利用资源或服务，并具有观察资源或服务正在使用的能力。

③不可链接性：确保第三方（例如攻击者）无法识别2个对象是否相互链接。

④匿名：个人可以在不透露其身份的情况下利用资源。

对MEC系统的评估有如下几个安全性的关键组件[9]：

①机密性：仅确保数据所有者和个人可以在边缘计算中访问个人信息。当个人数据在边缘或核心网络框架中传输并收集，以及在边缘或云节点中保存或处理数据时，它可防止未经批准的各方访问数据。

②完整性：确保将数据正确、稳定地传输给经认证的个人，而不会未经授权地修改数据。由于缺乏诚信措施，个人隐私可能会受到影响。

③可用性：确保被授权方能够根据个人需求在任何区域访问边缘服务，可以在各种实际需要下处理边缘或云节点中保存的个人数据以及密文格式。

④訪问控制和身份验证：访问控制通过访问控制技术模仿了所有隐私和安全要求的链接点；身份验证可确保对个人的身份进行认证。

3物联网下的移动边缘计算安全挑战

物联网的安全性问题，在学术界和产业界都得到了关注。本文从MEC与物联网时代下数据安全相关的传输、计算和存储3个方面描述MEC面对的安全问题。

（1）数据传输安全

MEC因部署在网络边缘，需要接入各种类型的网络，如无线网络局域网、超密集网络和移动网络（LTE）等。大量的流量融入，增加了安全管理的复杂度。引入软件定义网络（SDN）可以降低安全风险，因为SDN统一控制的优势，可以在流量入口处部署网络监视和入侵系统（IDS），监视和扫描数据包防止恶意程序入侵，因此在结合SDN的条件下，可以较容易地在接入流量的MEC服务器中部署IDS系统。其次，对发现的恶意流，可以采用设定优先级和隔离的方法，利用SDN中Openflow协议可以实现流量隔离和设定流量优先级队列。

（2）存储安全

在基于MEC的物联网中，海量数据由大量传感器和各种异构设备生成，所有存储设备均由不同的第三方供应商提供。由于MEC分布式的特征，数据被存储在不同的网络边缘中，会增加数据被攻击的风险。首先，由于数据被分成多个部分并存储在不同的位置，因此很难保证数据的完整性，进而很容易丢失数据包或存储不正确的数据。其次，未经授权的用户或对手可能会修改或滥用存储中上传的数据，将导致数据泄漏和其他问题。为了解决这些问题，可以使用各种数据加密技术，例如同态加密，以便实现边缘存储系统的完整性、机密性和可验证性。此外，这些技术可以增加用户的安全性，从而使他们能够将数据存储到任何不受信任的服务器中。另一种提升数据安全的方式是第三方审计员（TPA）机制，使用同态加密和随机掩码技术来保护自己。

（3）计算安全

将物联网设备的计算任务卸载至边缘计算节点时，也需要考虑安全问题。为了确保计算安全，可验证计算需要在边缘计算中引入。一般而言，可验证计算能够帮助不受信任的计算节点完成计算卸载任务。同时，该计算节点保留可验证的结果，并使用这些结果将它们与其他受信任的计算节点计算的结果进行比较，以证明计算已安全、正确地完成。

4结束语

物联网时代下的信息安全是个重要的关注点，如何将MEC与物联网安全耦合是一个重要的研究课题。围绕MEC和物联网的安全问题，介绍了MEC的概念和特点，对MEC在物联网时代所面临的安全挑战通过数据传输、存储和计算安全3个角度进行了探讨分析。相信未来随着物联网的发展，高带宽、低时延和高计算、存储能力的业务需求将推动移动边缘计算与物联网的安全深度耦合，不断提升用户体验。

参考文献

[1] PREMSANKAR G， FRANCESCO D M， TALEB T. Edge Computing for the Internet of Things： A Case Study[J]. IEEE Internet of Things Journal，2018，5（2）：1275-1284.

[2] MAO Y， YOU C， ZHANG J， et al. A Survey on Mobile Edge Computing： The Communication Perspective[J]. IEEE Communications Surveys & Tutorials， 2017， 19（4）： 2322-2358.

[3]李子姝，谢人超，孙礼，等.移动边缘计算综述[J].电信科学， 2018，34（1）：87-101.

[4]刘亚利.5G网络中移动边缘计算的应用展望[J].中国新通信，2018，20（23）：160-161.

[5]田辉，范绍帅，吕昕晨，等.面向5G需求的移动边缘计算[J].北京邮电大学学报，2017，40（2）：1-10.

[6] ZHANG X， CHEN H， ZHAO Y， et al. Improving Cloud Gaming Experience through Mobile Edge Computing[J]. IEEE Wireless Communications，2019，26（4）：178-183.

[7] Al-SHUWAILI A N， SIMEONE O.Energy-efficient Resource Allocation for Mobile Edge Computing-based Augmented Reality Applications[J].IEEE Wireless Commun. Letters， 2017，6（3）：398-401.

[8] PFITZMANN A， HANSEN M.Anonymity Unlinkability Undetectability Unobservability Pseudonymity and Identity Management-A Consolidated Proposal for Terminology[J]. 2008，31：15.

[9] ZHANG J，CHEN B， ZHAO Y，et al. Data Security and Privacy-preserving in Edge Computing Paradigm： Survey and Open Issues[J].IEEE Access，2018，6：18.