تضمین امنیت در MEC

توسعه کاربرد‌‌های نوین در صنایع و حرکت به سمت استقرار Industry 4.0 که نیازمند فناوری‌‌‌های نوینی همچون IoT، IIoT و CyberPhysical Systems (CPS) است، سبب شده نیاز به محاسباتی با کمترین میزان تاخیر در پاسخ به فرامین ورودی و بالاترین میزان دسترسی در کنار زیرساخت‌‌‌های صنعتی نیاز به محاسبات لبه شبکه را در 5G ایجاد کند. پارادایم MEC به جهت ساختار ابری توزیع شده که در فضا‌‌هایی با سطح امنیت پایین برای اجرای وظایفی حیاتی نصب می‌شود، چالش‌‌‌های امنیتی جدیدی پیش‌روی استقرار آن ایجاد می‌کند. در این مقاله به معرفی چشم‌انداز تهدیدات پیش‌روی استقرار MEC و نیازمندی‌‌‌های متناظر آن‌ها خواهیم پرداخت.

در ادامه چندین روش‌و ابزار که می‌تواند به تضمین امنیت MEC یاری رساند معرفی خواهند شد و خواهیم دید که از لحاظ تئوری روش‌‌‌هایی از جمله زنجیره بلوکی، توابع Physical Unclonable، امنیت آگاه از محتوی  و Soft-VPLS می‌توانند در تضمین امنیت MEC مورد استفاده قرار گیرند.

کلیدواژه: محاسبات لبه شبکه دسترسی (MEC )، امنیت، BlockChain ،5G ،PUF.

MEC به منظور ارائه سرویس‌‌‌هایی ازجمله تحلیل ویدئویی، خدمات مکان‌محور، IoT، واقعیت افزوده، توزیع بهینه محتوای محلی، کش‌کردن داده‌‌ها، و… ایجاد شده است. سیستم MEC باید فضای امن برای فعالیت بازیگران مختلف از جمله کاربران، اپراتور شبکه، ارائه‌کنندگان برنامه‌‌‌های کاربردی ثالث، توسعه‌دهندگان برنامه‌‌‌های کاربردی، ارائه‌دهندگان محتوا و وندور‌‌های پلتفرم‌‌‌های مختلف فراهم کند [1]. تهدیدات احتمالی MEC شامل و نه محدود به موارد زیر است:

•  سوءاستفاده از دارایی‌‌ها، استفاده از نقاط ضعف سخت‌افزار/نرم‌افزاری سیستم به منظور حملات Zero-Day، تغییر نرم‌افزار، حمله به واسط‌‌‌های برنامه‌نویسی نرم‌افزار (API) و …همگی می‌توانند در چنین سیستمی واقع شوند.
•   زنجیره عرضه، وندور و ارائه‌کنندگان خدمت ممکن است به جهت آسیب به تجهیزات شبکه لطمه‌ببینند؛ سوءاستفاده دسترسی پرسنل اپراتور‌‌های تلکام برای آسیب به شبکه به منظور به‌روزرسانی و تغییر پیکربندی شبکه به نفع مهاجمان نیز می‌تواند به توقف سرویس، از دست رفتن اطلاعات و یا دسترسی غیرمجاز منجر شود.
•   آسیب‌‌‌های ناخواسته که می‌توانند به جهت وجود سیستم‌‌‌های با پیکربندی وطراحی ضعیف یا استفاده اشتباه از شبکه، سیستم‌‌ها و تجهیزات، واقع شوند‌، می‌توانند منجر به از دست رفتن دسترسی به خدمات و یکپارچگی اطلاعات شوند.

تهدیدات ممکن در ساختار MEC

تهدیداتی که در MEC قابل تصور هستند، برای تمام کاربرد‌‌های قابل تصور برای این سامانه می‌توانند وجود داشته باشند. فاکتور‌‌های تهدید نیز می‌توانند بر اساس زمینه‌‌‌های مختلف از آسیب‌پذیری‌‌ها در باب یکپارچگی پلتفرم، مجازی‌سازی و کانیتنرسازی، امنیت فیزیکی، API‌ها و قوانین رگولاتوری دسته‌بندی شوند.

بسته به نوع مجازی‌سازی و کانتینرسازی به‌کار رفته، سیستم MEC می‌تواند در معرض تهدیدات مختلف ناشی از کاربرد نادرست آن‌ها قرار گیرد، احتمال آلودگی منابع سخت‌افزاری مشترک، سوءاستفاده از API‌‌های با منبع‌باز و سوءاستفاده از سطوح بالای دسترسی در کانتینر‌ها همگی می‌توانند منجر به بروز آسیب‌پذیری شوند. آسیب‌پذیری‌‌‌های مجازی‌سازی MEC نیز می‌تواند شامل عدم تفکیک کافی بین لایه‌‌‌های OS/Container، آسیب‌پذیری‌‌‌های ناشی از به‌کارگیری زیرساخت ابری در MEC ویا سوءاستفاده از سیستم زیرین (FW, Bootloader, Host OS/Hypervisor) باشد. برای رفع مشکل تفکیک ناکافی، می‌توان از تفکیک  شبکه، تفکیک منابع، تفکیک  داده، تصدیق  شبکه و نرم‌افزار و … استفاده کرد. مقاوم‌سازی نادرست اجزای MEC می‌تواند شامل دسترسی نامحدود به سرویس‌‌ها، وجود اجزا/ توابع/ نرم‌افزار‌‌های بی‌استفاده، تفکیک نادرست ترافیک و مواردی از این دست باشد.

روش‌‌‌های مقابله شامل فیلترکردن بسته‌‌‌های ارسالی به سایت‌‌‌های تحت حمله و محدودسازی پورت‌‌‌های ارتباطی که می‌توانند برای حملات رد سرویس (DOS/DDOS) استفاده شوند، است. از جمله آسیب‌پذیری‌‌‌های نرم‌افزاری در MEC آن است که ممکن است بعنوان درواز‌‌های برای سوءاستفاده از دیگر اجزا و واسط‌‌‌های داخلی به کار رود که می‌تواند منجر به دسترسی غیرمجاز به داده‌‌ها و حملات ابری شود؛ بنابراین برنامه‌ای منظم برای کنترل امنیت در گذر زمان موردنیاز خواهد بود.

همچنین، با توجه به گستره وسیع جغرافیایی نصب MEC، تضمین امنیت فیزیکی در نقاط مختلف چالش بزرگی خواهد بود. تضمین امنیت فیزیکی خصوصا در نقاط دوردست می‌تواند به کمک نظارت تصویری، مقاوم‌سازی در برابر زلزله و آتش‌سوزی، ایجاد حفاظ پیرامونی مقاوم و ارسال هشدار‌‌های در مورد حملات احتمالی صورت پذیرد. با توجه به عدم امکان تضمین کامل امنیت فیزیکی تجهیزات اساسی MEC باید در HMEE  مستقر شود. به منظور تضمین امنیت در دسترسی به API‌ها نیز CAPIF  می‌تواند مورد استفاده قرار گیرد.

واسط مبتنی برسرویس (SBI) اجزای MEC می‌تواند شامل آسیب‌پذیری‌‌‌هایی از قبیل حفاظت نادرست داده‌‌‌های مبادله شده در لایه انتقال و عدم کنترل دسترسی به برنامه‌‌‌های کاربردی MEC باشد. برای کنترل دسترسی به API‌‌های سرویس‌‌‌های MEC می‌توان از تاییدیه کلاینت OAuth-2.0 مبتنی بر X.509 استفاده کرد.

Security Aspects of  MEC Federation

MEC Federation یک مفهوم نوین در حوزه MEC است که به منظور استفاده مشترک از منابع دردسترس MEC در دست توسعه و استانداردسازی است. با توجه به معماری ناهمگون MEC و تبادل اطلاعات مرتبط و اشتراک منابع لبه‌ای بین اپراتور‌‌های مختلف تهدیدات امنیتی جدیدی ایجاد خواهد شد. این تهدیدات توسط GSMA به شرح زیر دسته‌بندی شد‌ه‌اند:

•   بردار‌‌های تهدید دسترسی: تهدیدات احتمالی در نقطه اتصال UE به سیستم عملیاتی شبکه در نقطه اتصال به شبکه در BTS/eNB/gNB.
•   بردار‌‌های تهدید معماری: آسیب‌پذیری‌‌‌هایی که در معماری کلی واجزای سیستم واقع می‌شوند. بخش قابل-توجهی از بردار‌‌های حمله مربوط به کانتینر‌ها و ماشین‌‌‌های مجازی در پلتفرم‌‌ها قبل و بعد از مهاجرت به پلتفرم‌‌‌های جدید است.
•    بردار‌‌های تهدید هسته: این تهدیدات مربوط به هسته 5G، ارکستر‌ها، مدیران منابع و کنترل‌کننده‌‌ها هستند.
•   بردار‌‌های تهدید لبه: این تهدیدات شامل مدیران پلتفرم‌‌ها، VIM‌ها، ارتباطات پلتفرم‌‌ها و APP‌ها در MEC است.
•    بردار‌‌های تهدید حریم خصوصی: تهدید حریم خصوصی داده‌‌ها، موقعیت و هویت کاربران و ….

راهکار‌‌هایی برای تضمین امنیت MEC

در ادامه برخی محصولات و روش‌‌های تضمین امنیت MEC از جمله زنجیره بلوکی، توابع Physical Unclonable، امنیت آگاه از محتوی، Soft-VPLS معرفی خواهند شد [2].

زنجیره بلوکی

زنجیره بلوکی یک چهارچوب مدیریت داده غیرمتمرکز و امن می‌باشد که در ساختار رمزارز دیجیتال بیت‌کوین مورد استفاده قرار گرفته است. این مفهوم می‌تواند در عین تضمین امنیت بیشتر بر بسیاری از محدودیت‌‌‌های مختلف سیستم‌‌‌های مدیریت داده متمرکز فائق آید. حتی با وجود آگاهی و تسلط بر محتوی و موقعیت که برای مشترکین MEC وجود دارد، برون‌سپاری داده‌‌‌های خصوصی به اشخاص ثالث همچنان نگرانی‌‌‌هایی با خود به همراه خواهد داشت. به منظور مقابله با این مخاطرات حریم خصوصی زنجیره بلوکی یک راهکار قدرتمند خواهد بود. انواع مختلفی از محصولات و راهکار‌‌های مبتنی بر زنجیره بلوکی در [3] و [4] برای سناریو‌‌های محاسبات لبه‌ای پیشنهاد شده است. از زاویه دید MEC از زنجیره بلوکی می‌توان برای ایمن‌سازی احراز هویت تجهیزات کاربران، کانال‌‌‌های مهاجرت سرویس، کانال‌‌‌های Offloading موبایل و برای حفاظت پارامتر‌‌های وضعیت سرویس از مزاحمان و مهاجمان، استفاده کرد. به هر حال کارآیی سیستم MEC در به کارگیری زنجیره بلوکی نیز می‌بایست مورد ارزیابی قرار گیرد تا قبل از یکپارچه‌سازی و استفاده آن در MEC از تاثیر احتمالی آن بر عملکرد سیستم اطمینان حاصل شود.

Physical Unclonable Functions (PUF)

PUF یک روش برای استخراج یک اثر شبه بیومتری از المان‌‌‌های غیرانسانی با در نظر گرفتن خصوصیاتی است که ویژه آن‌ها بوده و در طول فرآیند تولید ایجاد شده است. پارامتر‌‌های مختلف موجود در مدار مانند آفست فرکانسی حامل رادیویی، عدم توازن در فاز In-Phase Quadrature و اسیلاتور حلق‌‌های اثر گذرا می‌توانند به عنوان PUF‌‌های یک تجهیز مورد استفاده قرار گیرند. PUF‌ها تلاشی برای مدلسازی احراز هویت بیومتریک در دنیای ماشین‌‌ها هستند و این امکان را فراهم خواهند کرد که از خصوصیات یکتای تجهیزات IoT به عنوان شناسه‌ای جهت احراز هویت آن‌ها استفاده شود که امنیت در احراز هویت و مکانیزم‌‌‌های انتقال داده در کانال‌‌‌های ثبت شده به نام تجهیزات را افزایش می‌دهد. به جهت یکتا بودن شناسه PUF ، تجهیزات پیام‌‌‌های احراز هویت مبتنی بر PUF سربار کمتری در مقایسه با احراز هویت معمولی به همراه خواهند داشت.

SDVPLS (Soft-VPLS)

فناوری VPLS از مدت‌‌ها قبل به منظور اتصال سایت‌‌‌های صنعتی از طریق فراهم‌کنندگان شبکه MPLS  ارائه شده است. ماهیت تونل زدن VPLS امنیت و یکپارچگی اطلاعات منتقل شده را تضمین می‌کند. علاوه بر این زیرساخت MPLS در VPLS کارآیی شبکه را از دیدگاه تاخیر و jitter بهبود می‌بخشد. به منظور فائق آمدن بر محدودیت‌‌‌های مدیریت تونل در معماری VPLS، SDN به عنوان یک راهکار پیشنهاد شده است. MEC می‌کوشد تا با پیاده‌سازی زیرساخت شبکه ارتباطی مبتنی بر نرم‌افزار (SDN) به منظور برقراری ارتباط بین سطوح لبه و در داخل آن‌ها پار‌‌ه‌ای از این مشکلات را حل و فصل کند. به همین جهت راه‌کار VPLS مبتنی بر نرم‌افزار (Soft-VPLS) برای ایمن‌سازی ارتباطات کانال‌‌‌های بین سطوح لبه و Core در پیاده‌سازی MEC می‌تواند استفاده شود. این کانال‌‌ها جزئیات سیگنالینگ شبکه موبایل، جزئیات اطلاعات کنترلی MEC، درخواست‌‌‌های سرویس MEC، تاییدیه‌‌‌های سرویس MEC، داده کاربران و محتوای قابل اجرا در یک سناریوی مهاجرت یا Offloading را منتقل می‌کند. با کمک Soft-VPLS هر دسته از ترافیک داده می‌تواند کلاس‌بندی شده و بر روی تونل متفاوتی منتقل شود، درنتیجه، قابلیت مدیریت تونل پیشرفته در این پروتکل کارآیی کلی کانال‌‌ها را افزایش داده و علاوه بر آن امنیت کلی ارتباطات نیز افزایش خواهد یافت.

استاندارد‌‌های حوزه امنیت MEC

به عنوان اصلی‌ترین مرجع استانداردسازی گروه خاص صنایع ETSI (ISG) برای MEC نیازمندی‌‌‌های امنیتی برای مفهوم MEC تنظیم می‌شود [11]. اگرچه ETSI سازمان اصلی و مناسب برای تدوین این استاندارد‌ها است، اما ساختار‌‌هایی مانند مشارکت خصوصی/عمومی زیرساخت 5G  (5GPPP )، پروژه مشارکت نسل سوم (3GPP)، بخش استانداردسازی اتحادیه مخابرات بین‌الملل (ITU-T) و اتحادیه NGMN  نیز به جهت آنکه استاندارد‌‌هایی را در حوزه 5G تولید و منتشر می‌کنند و MEC نیز یکی از اجزای اصلی در زیرساخت 5G به حساب می‌آید، می‌توانند استاندارد‌‌هایی در حوزه امنیت 5G توسعه دهند که بخش قابل توجهی از آن مربوط به MEC خواهد بود. با توجه به آنکه اتحادیه مخابرات بین‌الملل سازمانی پیشتاز در حوزه تدوین استاندارد‌‌های شبکه موبایل است، استاندارد‌‌های امنیتی آن‌ها برای تحقق MEC حیاتی خواهند بود. پروژه‌‌‌هایی مانند ANASTACIA، MATILDA که تحت EU Horizon 2020 سرمایه‌گذاری و اجرا شد‌ه‌اند نیز در ارتباط با MEC و استانداردسازی امنیت در سناریو‌‌های مختلف کاربردی تمرکز دارند. اتحادیه NGMN که بیشتر بر ر‌وی استانداردسازی امنیت در مفهوم اسلایس شبکه تمرکز دارد، استاندارد‌‌هایی نیز در حوزه امنیت 5G در لبه شبکه با تمرکز بر حوزه MEC، تاخیر پایین و بهبود تجربه کاربری ارائه کرده است [5]. از دید حریم خصوصی، قوانین حفاظت از داده‌‌‌های عمومی (GDPR ) نقش مهمی در حفاظت از حریم خصوصی کاربران MEC ایفا می‌کند.

نتیجه‌گیری

MEC به عنوان یک مفهوم نوین انقلابی در خدمات قابل ارائه به کاربران صنعتی و عادی ایجاد کرده است. نزدیک شدن توان پردازشی ضمن دسترسی به شبکه پهن‌باند بی‌سیم 5G، ضمن تضمین کمترین تاخیر ارائه سرویس، قابلیت ارائه خدماتی نوین و کم نظیر را فراهم می‌کند. ساختار توزیع‌شده و قرارگیری در نزدیکی کاربر نهایی علاوه بر دشواری در تضمین امنیت فیزیکی، به جهت امکان ارائه سرویس توسط اپراتور‌‌های مختلف MEC تضمین امنیت سایبری آن را نیز بسیار دشوار کرده و مستلزم رعایت الزامات پیچیده امنیتی خواهد بود. دیدیم که بردار‌‌های تهدید روبروی این سامانه بسیار گسترده است و در عین فرصت‌‌‌های خوب حاصل از به‌کارگیری آن، چالش‌‌‌های بزرگی نیز ایجاد خواهد کرد. همچنین به کاربرد برخی ابزار‌‌های نوین در تضمین امنیت MEC اشاره شد و استاندارد‌‌هایی که تاکنون در زمینه امنیت MEC  مطرح و ارائه شد‌ه‌اند، معرفی شد.

منابع

[1] A. R. K. R. N. D. L. a. E. Dario Sabella, “MEC security; Status of standards support and future evolutions,” ETSI White Paper , Issue 46, pp. 1-31, Sept. 2022.

[2] A. D. J. M. L. Pasika Ranaweera, “Realizing Multi-Access Edge Computing Feasibility- Security Perspective,” در IEEE Conference on Standards for Communications and Networking (CSCN), Granada, Spain, 2019.

[3] D. X. S. M. Z. C. Q. H. a. Y. Z. Y. Dai, “ “Blockchain and Deep Reinforcement Learning Empowered Intelligent 5G Beyond,”,” IEEE Network,, issue 3, No 33, pp. 10-17, 2019.

[4] F. R. Y. Y. T. V. C. L. a. M. S. “. M. Liu, “ “Distributed Resource Allocation in Blockchain-based Video Streaming Systems with Mobile Edge Computing,”,” IEEE Transactions on Wireless, issue 1, No 18, pp. 695-708, 2018.

[5] Rémy HAREL (ORANGE) / Steve BABBAGE (VODAFONE) , “5G security – Package 3: Mobile Edge Computing / Low Latency / Consistent User Experience,” NGMN Alliance, Frankfurt • Germany, 2018.