引自:《边缘计算及应用》(作者:滕少华、黎坚 等)
该书已出版,详细信息请见文末~
随着万物互联时代的到来,边缘计算场景下的新兴应用包括自动驾驶、基于VR/AR技术的沉浸式游戏、工业物联网、智能医疗、智能家居等都得到了快速发展。然而,自边缘计算诞生以来,边缘计算的安全性一直是制约其实施和发展的一个关键问题。边缘计算的边云协同特性、大量新技术的融合特性、新的应用场景,以及人们对隐私保护越来越高的要求,都给边缘计算安全带来了巨大的挑战。
「 1. 边缘计算节点特性 」
边缘计算作为一种新出现的计算范式,使数据在网络的边缘处理成为可能。其中边缘节点(edge node,EN)是边缘计算数据处理的第一入口。EN一方面负责对代表云服务的下行数据进行计算,另一方面又负责对代表物联网服务的上游数据进行计算,使得EN成为保护边缘计算安全和隐私的重要路径。在这个意义上,EN拥有以下3个主要特性:
(1)EN配备有限的计算、通信和存储能力。在集中式云计算范式中,云计算服务器被认为具有充足的计算能力和存储能力;而在边缘计算中,边缘服务器只管理整个边缘计算网络的一小部分数据,所以EN一般只配置有限的计算、通信和存储能力。对于不同的应用场景,EN可以是智能手机、网关或小型的云数据中心。
(2)EN采用分布式部署,由云端协调。在边缘计算范式中,为了即时响应用户请求,EN应该靠近用户,从而通过短程通信技术与用户通信,快速满足用户需求。通过这种方式,来自不同用户的请求以分布式的方式被回应。一些复杂的任务,如用户行为模式识别的在线训练,EN应该由云端协调,相互合作来完成这些任务。
(3)EN更接近数据源,它们是数据处理的“第一入口”。EN作为数据处理的第一入口,先对边缘数据进行预处理,然后才将结果发送至云服务器进行进一步分析。
「 2. 边缘计算安全威胁 」
(1)脆弱的计算能力。与云服务器相比,边缘服务器的计算能力相对较弱。计算能力本质体现了防御能力,如果计算能力有限,那防御能力自然相对薄弱,因此,边缘服务器更容易受到攻击。并且,许多对通用计算机可能无效的攻击会对边缘设备构成严重威胁,这增加了边缘系统受到攻击的可能性。
(2)攻击的无感知性。与通用计算机不同,大多数物联网设备没有用户界面,尽管有些设备可能有粗糙的发光二极管屏幕。这样会导致用户对设备的运行状态可能不感知,例如,设备是否已经关闭或被破坏。因此,当一个边缘设备真正受到攻击时,大多数用户可能无法感知,这导致边缘系统受到攻击的风险进一步增大。
(3)系统和协议的异质性。不像通用计算机倾向于使用标准的操作系统和通信协议,如POSIX,大多数边缘设备有不同的操作系统和协议,没有一个标准化的规定。这为边缘计算设计一个统一的保护机制增加了难度。
(4)粗粒度的访问控制。为通用计算机和云计算设计的访问控制模型主要包括4种类型的权限:不读不写、只读、只写、可读可写。这样的模型在边缘计算中是无法满足的,因为边缘计算系统及其启用的应用更加复杂,这需要更细粒度的访问控制,应该处理诸如“谁可以在什么时候以什么方式访问哪些传感器”等问题。然而目前的访问控制模型大多是粗粒度的。
「 3. 边缘计算攻击分类 」
1)DDoS 攻击
分布式拒绝服务(DDoS)攻击(图1)是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。这是一种强大的攻击,目的是阻止合法服务的正常使用。恶意的攻击者利用被攻击的分布式电子设备向受害者服务器持续发送数据包流,受害者的硬件资源很快就会因为处理这些恶意数据包而耗尽,从而无法再及时处理任何合法请求。在另外一些DDoS场景中,攻击者还可以持续发送畸形数据包,混淆受害者的应用程序或协议,从而让受害者错误地认为所有通道和资源都被占用,因此拒绝正常的合法请求。
图1 DDoS 攻击示意图
与云服务器相比,边缘服务器更容易受到DDoS攻击,因为它们的计算能力相对较弱,无法像云服务器那样维持强大的防御系统。此外,边缘服务器主要为边缘设备提供服务,而这些设备在安全方面是比较薄弱的。因此,攻击者倾向于首先破坏一些边缘设备,并把它们变成对付边缘服务器的武器,这些被控制的设备被称为机器人(或者僵尸),一组机器人组成的网络被称为僵尸网络。当僵尸网络将受害者的服务器或网络作为目标时,每个机器人会将请求发送到目标的IP地址,这可能导致受害者服务器或网络不堪重负,从而对正常流量拒绝服务。由于每个机器人都是合法的互联网设备,因而可能很难区分攻击流量与正常流量。基于边缘计算的DDoS攻击可以被归类为洪水攻击和零日攻击。
(1)洪水攻击。洪水攻击是DDoS攻击的一种常见类型,其目的是通过大量的恶意网络数据包,来让服务器资源耗尽,无法提供正常的服务,间接地拒绝正常服务。洪水攻击是黑客比较常用的一种攻击技术,特点是实施简单,威力巨大,大多是无视防御的。根据攻击技术,主要分为UDP攻击、ICMP攻击、SYN攻击和HTTP攻击等。例如,在UDP泛滥攻击中,攻击者不断向目标边缘服务器发送大量的噪声UDP数据包,导致服务器无法及时处理正常UDP数据包,从而中断了边缘服务器提供的正常UDP服务。
(2)零日攻击。零日攻击比前面提到的洪水攻击更先进,但它更难实施。零日漏洞通常是指还没有补丁的安全漏洞, 零日攻击则是指利用零日漏洞对系统或软件应用发动的网络攻击。由于零日漏洞的严重级别通常较高,所以零日攻击往往也具有很大的破坏性。在这种攻击中,攻击者必须在目标边缘服务器/设备上运行的代码中找到一个未知的漏洞(即零日漏洞),触发漏洞可能会导致内存损坏,最终导致系统服务关闭,从而达到攻击的目的。例如,Microsoft IIS FTP服务堆缓冲区溢出漏洞CVE-2010-3972,可以在互联网信息服务(IIS)7.0和 IIS 7.5上引起DoS。这种攻击也是最难防御的,因为它利用的是尚未被公众所知的零日漏洞。
2)侧信道攻击
侧信道攻击指的是利用任何可公开获取的、本质上对隐私不敏感的信息,即侧信道信息,来破坏用户的安全和隐私。这种公开信息与用户的隐私信息“密切”相关,攻击者通过获取到的公开信息,探索其与隐私数据的相关性,从侧信道信息推断出受保护的用户隐私数据。
如图2所示,攻击者不断地从目标边缘计算基础设施中获取某些侧信道信息,然后将其输入到特定的算法或机器学习模型中,以输出所需的敏感信息。边缘计算中最流行的侧信道包括通信信号、电力消耗和智能手机/proc文件系统或嵌入式传感器。利用通信渠道的攻击发生在攻击者持续监控两个边缘节点之间的信息传输,利用电力消耗的攻击发生在攻击者窃取边缘设备的电力消耗数据,而利用基于智能手机渠道的攻击发生在攻击者窃取手机公开文件或由嵌入式传感器生成的信息。
图2 侧信道攻击示意图
(1)利用信道信息进行攻击。在边缘计算中,由于丰富的信道信息,利用通信信号有很大的几率获取受害者的敏感信息。Li等表明,利用H.264和MPEG-4编码方案可以减少相邻视频帧的时间冗余,但在家庭监控中会造成严重的隐私泄露,即使视频流是加密的。他们发现,利用简单的机器学习算法,如k-近邻(KNN)和基于密度的空间聚类应用(DBSCAN),在推断4种标准人类日常活动(穿衣、发型、移动和饮食)时,准确率高达95.8%。
(2)利用功耗攻击。功率消耗是一个系统的电力使用指标。它包含与消耗能源的设备有关的信息,因为不同的设备在运行时有不同的耗电情况,相同的设备在不同计算强度的任务中,其耗电情况也有所不同。智能电表可以准确测量家庭的电力消耗。因此,这些数据可以被利用来推断敏感的家庭活动。早在1992年,Hart就提出了一种名为非侵入式家电负荷监测(NILM)的侧信道推断方法,以监测简单的设备状态,例如基于单个电器的能源消耗的开启或关闭。这种推理是良性的,因为它没有被用于恶意攻击。后来Stankovic等修改了原来的 NILM,以进行推理攻击,并表明大多数家庭活动,如烹饪、洗涤、洗衣、看电视、游戏等,都可以从智能电表基础设施中的能源数据推断出来。Clark等利用边缘设备的电源插座进行了一次侧信道攻击,并成功推断出该设备正在访问的网页,准确率约为99%。后来,他们扩展了这项工作,表明使用电源能量作为推理特征甚至可以检测边缘设备中的恶意软件,准确率约为94%。尽管这篇论文不是面向攻击的,但它间接地表明,基于设备的功耗监测对用户进行行为分析是可行的。最近,研究人员发现了一个新的物理通道,即由功耗引起的热侧通道,并利用它更有效地进行时间功率攻击,从而损害了边缘数据中心的可用性。
(3)利用基于智能手机渠道的攻击。智能手机是许多应用中的关键边缘设备。与物联网设备不同,智能手机有更先进的操作系统,拥有更丰富的系统信息。因此,与不太先进的物联网设备相比,智能手机可以展示一个更广泛的攻击面。可以将这些攻击分为两个子类:利用/proc文件系统的攻击和利用智能手机嵌入式传感器的攻击。
/proc 是Linux中由内核创建的一个系统级文件系统,它包含系统信息,如中断和网络数据。尽管它是一个系统级的文件系统,但它可以被用户级线程和应用程序读取,访问/proc文件系统不需要任何额外的权限。因此,/proc已被广泛用于进行侧信道攻击。Chen等提出了一种UI状态推理攻击,通过这种攻击,攻击者可以进行UI钓鱼,通过使用/proc中公开的内存数据,欺骗受害者向边缘服务器发出不必要的请求。Diao等利用存储在/proc/interrupts中的中断信息来推断智能手机的敏感信息,如模式锁和前台运行的用户界面。
智能手机集成了各种嵌入式传感器来处理各种任务。一方面,这些传感器可以大大提升智能手机的功能。另一方面,它们也带来了敏感信息泄露的安全问题,智能手机内的嵌入式传感器带有丰富的信息,可以被利用来进行推理攻击。例如,Asonov等、Zhuang等、证明可以通过分析早期智能手机中物理键盘发出的声音来推断用户的按键。然而,目前大多数智能手机通过采用触摸屏消除了物理键盘,尽管如此,攻击者的攻击方式也紧跟新技术。例如,Zhou等通过利用麦克风捕获的指尖反射的声音信号,破解了智能手机的模式锁。Cai和Chen表明,利用智能手机的加速器和陀螺仪传感器可以推断出敲击的按键。Chen等提出了一种新的侧信道攻击,利用智能手机摄像头秘密记录的视频中用户的眼球运动,推断出用户在移动设备上的击键。
3)恶意软件注入攻击
在计算机系统中隐蔽地注入/安装恶意软件的行为被称为恶意软件注入攻击。这种类型的攻击是最危险的攻击之一,因为恶意软件是对系统安全和数据完整性的一个重大威胁。在传统的互联网或通用计算机基础设施中,强大的计算能力可以支持高性能的防火墙保护系统,恶意软件的注入并不总是可行的。然而,边缘设备和低级边缘服务器因为硬件条件有限,没有办法受到传统防火墙的保护,因此,更容易受到恶意软件注入攻击。
恶意软件注入攻击的典型架构是简单明了的,如图3所示,攻击的目的是将恶意软件(恶意代码)注入到边缘设备或边缘服务器。我们将恶意软件注入攻击分为两类:服务器端注入(针对边缘服务器的注入攻击)和设备端注入(针对边缘设备的注入攻击)。
图3 注入攻击示意图
(1)服务器端注入。针对边缘服务器的注入攻击主要有4种类型,即SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)和服务器端请求伪造(SSRF),以及可扩展标记语言(XML)签名包装。SQL注入是一种破坏后端数据库的代码注入技术。常见的SQL查询中,合法用户只被允许操作指定区域的数据,如姓名、日期等不敏感数据。然而,攻击者可以通过在查询SQL中输入转义字符(如引号)来设法规避这一限制条件。
在这种情况下,服务器可能会错误地执行攻击者在转义字符后输入的所有内容。数据库管理系统中如果没有对SQL转义字符进行过滤,则该漏洞就可能被攻击者利用。同时,攻击者还可能通过SQL注入,将恶意脚本注入到边缘计算系统中,对系统安全造成威胁。
XSS是一种客户端攻击,攻击者在数据内容中注入恶意代码(常为HTML/JavaScript代码),这些代码可以被服务器自动访问和执行。这里的“客户端”并不是指边缘设备端,而是指边缘服务器端,其中一个边缘服务器作为“客户端”访问或获取其他边缘服务器或云服务器提供的服务。因此,与传统的通用计算系统相反,XSS是一种发生在边缘计算系统的边缘服务器层面的注入攻击。这种攻击是由于边缘服务器没有从数据内容中过滤代码造成的。尽管XSS不是一种新的攻击,其运行机制也已被充分研究,但它仍然是边缘计算基础设施的一个严重威胁。Martin和Lam创建了一个基于目标导向模型检查的自动模型检查器,在大量的代码中找到XSS和SQL漏洞。
CSRF和SSRF是同种类型的攻击,前者是终端用户(即本案例中的边缘服务器)被迫通过Web应用程序执行不需要的操作的攻击,后者是边缘服务器被利用来读取或改变内部资源的一种攻击。这两种攻击的根本原因是验证机制的粗粒度设计,如一个薄弱的身份验证机制,这很容易被攻击者破解。通过利用薄弱的验证机制,攻击者可以伪装成一个“合法”的边缘服务器,向其他边缘服务器发送命令,以达到攻击的目的。
XML签名包装发生在当边缘通信基础设施把SOAP(Simple Object Access Protocol)作为其通信协议时,该协议使用XML格式传输消息。在这种攻击中,恶意攻击者首先拦截一个合法的XML消息,创建一个新的标签,并将原始消息的副本(可能包含验证参数,如令牌)放在新的标签(也称为包装器)中,形成一个“巨大的”标签-价值对。接下来,攻击者用原始信息中的恶意代码替换原始值,并将修改后的原始信息与“巨型”标签-值对结合起来,将新的标签-值对放在原始信息的常规标签-值对之前。收到这个被篡改的消息后,受害者边缘服务器将首先验证该消息,验证大概率会成功,因为攻击者没有删除原始值(包含仍然有效的验证信息),而是将它们放入一个新的标签(包装物)。一旦验证成功,服务器将执行攻击者注入的恶意代码。
(2)设备端注入。由于物联网设备在硬件和固件上都具有高度的异质性,因此存在各种不同的方法向物联网设备注入恶意软件。最常见的远程注入恶意软件的方法是利用可导致远程代码执行(RCE)或命令注入的零日漏洞。最臭名昭著的例子之一是2017年捕获的“物联网收割者”病毒,它通过互联网协议和Wi-Fi感染了数以百万计的物联网设备,利用如网络路由器、IP摄像头等9种不同物联网设备中存在的至少30个RCE漏洞。Maskiewicz等指出,罗技G600鼠标使用的固件更新机制存在漏洞,允许攻击者通过网络或USB感染一个固件。
4)认证和授权攻击
认证是一种验证请求发起方身份是否合法的行为,授权则是一个确定用户的访问权和操作权的过程,以确保用户根据其权利行事而不越界。在边缘计算系统中,认证通常在边缘设备和边缘服务器之间进行。在某些情况下,它也在边缘设备之间或边缘服务器之间以分散的方式进行。边缘计算中的授权通常指的是边缘服务器向某个边缘设备或其应用授予权限的活动。然而,设备/应用也有可能在触发-行动场景中向其他设备/应用授予权限。
认证/授权攻击的典型架构如图4所示。如果攻击者打算直接访问受保护的边缘服务器或边缘设备,会被认证系统阻止。因此,攻击者寻求绕过认证过程的方法,进行未经授权的访问。我们将攻击分为4种类型:字典 攻击、利用认证协议漏洞的攻击、利用授权协议漏洞的攻击、过度特权攻击。前两种攻击针对认证协议,其余攻击针对授权协议。
图4 认证和越权攻击示意图
(1)字典攻击。字典攻击是指攻击者利用一个证书/密码字典来破解支持证书/密码的认证系统。在这种攻击中,攻击者拥有包含最常用证书/密码的字典,并将该字典中所有可能的证书/密码输入到目标认证系统,以找到可能的匹配。这种类型的攻击也被称为暴力攻击,这个术语在业内被广泛使用。常用密码的字典是非常容易检索的,大量的公共字典可以从开源社区下载。然而,针对不同的协议和不同的认证机制发动字典攻击需要不同的技术。Lu和Cao以及Nam等发现,蓝牙有时使用的三方密码认证密钥交换协议,在初始会话密钥建立后就容易受到离线字典攻击。
(2)利用认证协议漏洞的攻击。字典攻击很容易发动, 但是它有严重的缺点,如高资源消耗和低成功率。因此,攻击者倾向于通过发现认证协议的设计缺陷来研究更有效的攻击。Cassola等观察到WPA企业认证协议中存在的弱绑定漏洞,并提出了一个针对WP(Wi-Fi Protected Access)的实用和隐蔽的邪恶双胞胎攻击(evil twin attack)。Vanhoef和Piessens发现一些操作系统和平台存在严重的设计缺陷,攻击者在WPA2(Wi-Fi Protected Access II)中强制使用随机数,最终可以达到重放、解密和伪造认证信息等目的。
(3)利用授权协议漏洞的攻击。基于授权的攻击通常利用授权协议中存在的设计弱点或逻辑缺陷,来实现对敏感资源的未授权访问或执行特权操作。在边缘计算系统中OAuth是一个广泛使用的授权协议,旨在实现多方授权。在OAuth中,有三方参与,即用户、服务提供者和依赖方。OAuth的目的是,只有在用户授予服务提供者访问权限后,服务提供者才可以访问用户的资源(存储在依赖方)。OAuth的初始版本,即OAuth 1.0,已经被证明容易受到固定攻击。因此,大多数供应商在现实中采用OAuth 2.0。即使OAuth 2.0在理论层面上没有漏洞,但是Chen等发现,只有59.7%的移动应用中的OAuth协议是完整地实施的。Sun和Beznosov分析了96个依赖方供应商的OAuth单点登录系统,发现了几个关键的漏洞,攻击者可以未经授权访问受害者的个人信息。
(4)过度特权攻击。除了OAuth协议的问题,研究人员还发现了授权系统中的过度特权(Overprivilege)问题。Fernandes等指出,三星智能家居平台SmartThings存在严重的特权问题,允许攻击者开发恶意的SmartApps,可以发动过度特权的攻击,如改变门销和错误地开启火警。Jia等开发了一种基于图形的算法来自动挖掘智能家居系统中的超权限弱点。基于这些弱点,他们构建了几个攻击,在没有授权的情况下控制受害者的智能家居设备。
版权归原作者所有
编辑:刘杨
编审:辛召
——————————————————————
▼购买链接▼
