謝 娜，譚文安，2，曹 彥，3，趙 璐

（1.南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，南京 211106；2.上海第二工業(yè)大學(xué)計(jì)算機(jī)與信息工程學(xué)院，上海 201209；3.許昌學(xué)院 信息工程學(xué)院，河南 許昌 461000）

0 概述

隨著計(jì)算機(jī)技術(shù)的發(fā)展，物聯(lián)網(wǎng)終端和移動(dòng)智能終端的數(shù)量激增，如智能手表、平板電腦、智能手機(jī)等，移動(dòng)終端正在從簡(jiǎn)單的通話工具轉(zhuǎn)變成綜合信息處理平臺(tái)。由于移動(dòng)終端自身資源及計(jì)算能力的有限性，其在處理計(jì)算密集型應(yīng)用時(shí)面臨著計(jì)算能力不足的問(wèn)題。移動(dòng)云計(jì)算可將移動(dòng)設(shè)備中的計(jì)算任務(wù)卸載到云端，由云中心集中進(jìn)行處理，為那些資源受限的移動(dòng)設(shè)備提供計(jì)算支持［1-2］。然而這種計(jì)算模式也存在一定局限性：一方面，終端設(shè)備產(chǎn)生的海量數(shù)據(jù)對(duì)網(wǎng)絡(luò)傳輸造成了很大壓力；另一方面，云服務(wù)器與移動(dòng)設(shè)備間遠(yuǎn)距離造成較長(zhǎng)的傳輸時(shí)延，無(wú)法滿足電子醫(yī)療、無(wú)人駕駛等低時(shí)延移動(dòng)應(yīng)用要求。

為了解決上述問(wèn)題，移動(dòng)邊緣計(jì)算作為移動(dòng)云計(jì)算的互補(bǔ)泛型被提出。與移動(dòng)云計(jì)算不同，服務(wù)器部署在靠近移動(dòng)用戶的位置，移動(dòng)用戶通過(guò)將計(jì)算任務(wù)卸載到邊緣服務(wù)器上或周邊空閑移動(dòng)終端中，以滿足快速交互響應(yīng)的需求［3-4］。盡管任務(wù)卸載為移動(dòng)用戶提供了低延時(shí)的任務(wù)處理方式，但由于提供計(jì)算資源的移動(dòng)終端身份具有復(fù)雜性和動(dòng)態(tài)性，這對(duì)被卸載任務(wù)的安全性提出了新的挑戰(zhàn)［5-7］。移動(dòng)終端獲取任務(wù)后具有任務(wù)的控制權(quán)，有可能濫用該資源，違背任務(wù)發(fā)布者的安全需求?，F(xiàn)有解決這一問(wèn)題的方法多是通過(guò)信任評(píng)估機(jī)制對(duì)移動(dòng)終端的信任度進(jìn)行評(píng)價(jià)，選取信任度較高的移動(dòng)終端作為目的設(shè)備進(jìn)行任務(wù)卸載［8-9］。信任評(píng)價(jià)因素主要包括其他交互設(shè)備對(duì)移動(dòng)終端的信任評(píng)價(jià)、移動(dòng)終端成功完成任務(wù)的比率等［10-11］，但這些評(píng)估機(jī)制并沒(méi)有關(guān)注移動(dòng)終端自身可能存在的惡意行為。一方面，高信任度節(jié)點(diǎn)仍有可能發(fā)起內(nèi)部攻擊，濫用設(shè)備上的資源；另一方面，任務(wù)發(fā)布者也并不知道卸載出去的任務(wù)是如何被濫用的。因此，對(duì)于高安全領(lǐng)域的任務(wù)卸載，需要對(duì)被卸載的任務(wù)進(jìn)行實(shí)時(shí)跟蹤，及時(shí)發(fā)現(xiàn)濫用行為才能從根本上保證任務(wù)卸載的安全性。

為提高任務(wù)卸載的安全性，本文構(gòu)造支持安全性分析的任務(wù)卸載流程，提出一個(gè)邊緣服務(wù)器管轄范圍內(nèi)的上下文信息模型，實(shí)現(xiàn)對(duì)卸載任務(wù)的實(shí)時(shí)跟蹤。在此基礎(chǔ)上，構(gòu)建面向移動(dòng)邊緣計(jì)算的多級(jí)安全信息流模型，通過(guò)對(duì)設(shè)備、服務(wù)和數(shù)據(jù)賦予一定的安全等級(jí)，約束服務(wù)流、數(shù)據(jù)流和服務(wù)執(zhí)行過(guò)程。此外，基于MINLER 等提出的形式化模型偶圖［12］描述移動(dòng)邊緣計(jì)算的上下文信息，利用偶圖反應(yīng)規(guī)則建模任務(wù)卸載過(guò)程，構(gòu)造標(biāo)注遷移邊的標(biāo)號(hào)變遷系統(tǒng)，實(shí)現(xiàn)對(duì)卸載任務(wù)的跟蹤。

1 相關(guān)工作

任務(wù)卸載的安全性問(wèn)題得到了研究者的廣泛關(guān)注，目前的研究大多集中在信任度評(píng)估方法上。文獻(xiàn)［13］針對(duì)混合云場(chǎng)景中私有云需要將部分任務(wù)卸載到公有云時(shí)的安全性問(wèn)題，提出了基于貝葉斯網(wǎng)絡(luò)的信任模型，并給出了評(píng)估算法以實(shí)現(xiàn)私有云對(duì)公有云中服務(wù)聲譽(yù)的評(píng)估。文獻(xiàn)［14］在移動(dòng)云計(jì)算中提出了一種任務(wù)卸載的信任度評(píng)估方法，基于移動(dòng)用戶對(duì)邊緣服務(wù)器的打分結(jié)果對(duì)邊緣服務(wù)器的聲譽(yù)進(jìn)行計(jì)算，為其他移動(dòng)用戶的任務(wù)卸載提供參考。以上工作針對(duì)的是混合云或者移動(dòng)云計(jì)算場(chǎng)景。在移動(dòng)邊緣計(jì)算環(huán)境中，文獻(xiàn)［8］基于改進(jìn)的哈希函數(shù)構(gòu)建了一個(gè)信任模型用于評(píng)估移動(dòng)終端之間的可信關(guān)系。文獻(xiàn)［9］介紹并提出了一個(gè)信任感知的任務(wù)卸載策略，首先基于機(jī)器學(xué)習(xí)分類方法對(duì)移動(dòng)終端進(jìn)行身份可信性和行為可信性評(píng)估，然后基于該信任評(píng)估結(jié)果，選取降低時(shí)延或能耗的終端為卸載目標(biāo)節(jié)點(diǎn)。文獻(xiàn)［15］針對(duì)移動(dòng)邊緣計(jì)算，提出了三層信任評(píng)估框架，邊緣服務(wù)器對(duì)進(jìn)入其管轄范圍內(nèi)的節(jié)點(diǎn)進(jìn)行身份信任、能力信任和行為信任的評(píng)估，同時(shí)還提出了信任評(píng)估模型，該模型根據(jù)上下文環(huán)境不斷更新移動(dòng)終端的信任評(píng)估結(jié)果。以上工作都是通過(guò)信任評(píng)估機(jī)制決定任務(wù)卸載目標(biāo)，并不關(guān)注惡意行為本身，無(wú)法應(yīng)對(duì)高信任度節(jié)點(diǎn)發(fā)起的內(nèi)部攻擊。

目前，已有工作采用形式化方法分析云計(jì)算環(huán)境中的信息流安全性。文獻(xiàn)［16］提出了一種服務(wù)組合安全隱私信息流靜態(tài)分析方法，構(gòu)建了服務(wù)信譽(yù)度、隱私數(shù)據(jù)使用目的及保留期限的格模型，利用隱私工作流網(wǎng)建模服務(wù)組合流程，分析服務(wù)執(zhí)行過(guò)程中用戶隱私的非法泄露問(wèn)題。文獻(xiàn)［17］面向云計(jì)算中的SaaS 層，提出了IFCaaS 分析框架，將信息流控制作為SaaS 層應(yīng)用程序的安全驗(yàn)證手段。文獻(xiàn)［18］針對(duì)聯(lián)邦云場(chǎng)景，利用有色Petri 網(wǎng)在不同云之間的流動(dòng)建模服務(wù)和數(shù)據(jù)以及訪問(wèn)控制的讀寫(xiě)操作，以避免惡意節(jié)點(diǎn)發(fā)起的內(nèi)部攻擊。以上工作均是針對(duì)云計(jì)算環(huán)境，未考慮移動(dòng)終端及服務(wù)的動(dòng)態(tài)性，因此不適用于移動(dòng)邊緣計(jì)算場(chǎng)景。

從安全保障機(jī)制、服務(wù)動(dòng)態(tài)性和移動(dòng)動(dòng)態(tài)性三個(gè)方面對(duì)相關(guān)工作進(jìn)行對(duì)比分析，如表1 所示，其中：√表示支持；×表示不支持。

表1 不同研究方法的比較Table 1 Comparison of different research methods

2 移動(dòng)邊緣計(jì)算中支持安全性分析的任務(wù)卸載

2.1 移動(dòng)邊緣計(jì)算中的任務(wù)卸載流程

移動(dòng)邊緣計(jì)算中的任務(wù)卸載是指移動(dòng)用戶將自身設(shè)備上產(chǎn)生的計(jì)算密集型或延遲敏感型任務(wù)遷移到邊緣服務(wù)器或者周邊空閑移動(dòng)設(shè)備上執(zhí)行。支持安全性分析的任務(wù)卸載流程如圖1 所示。

圖1 支持安全性分析的任務(wù)卸載流程Fig.1 Task offloading procedure with security analysis

1）上下文信息感知：移動(dòng)邊緣服務(wù)器獲取其管轄范圍內(nèi)移動(dòng)設(shè)備的位置、任務(wù)代碼和數(shù)據(jù)的存儲(chǔ)位置、移動(dòng)設(shè)備中剩余的計(jì)算資源等信息。

2）節(jié)點(diǎn)發(fā)現(xiàn)：移動(dòng)終端通過(guò)詢問(wèn)移動(dòng)邊緣服務(wù)器獲取其鄰近區(qū)域內(nèi)可用的計(jì)算資源，這些資源包括邊緣服務(wù)器上的資源和周邊移動(dòng)終端上的空閑資源。

3）任務(wù)分割：移動(dòng)終端對(duì)需要處理的任務(wù)進(jìn)行分割，在分割過(guò)程中盡量保持程序功能的完整性，便于后續(xù)進(jìn)行卸載。

4）卸載決策：根據(jù)可用的計(jì)算資源和任務(wù)分割結(jié)果，選取任務(wù)卸載策略。

5）任務(wù)傳輸：將需要卸載的任務(wù)，包括任務(wù)代碼和任務(wù)的數(shù)據(jù)輸入，依據(jù)卸載策略傳輸?shù)侥康脑O(shè)備。在此過(guò)程中移動(dòng)設(shè)備存儲(chǔ)狀態(tài)改變，因此，更新上下文信息模型。

6）執(zhí)行計(jì)算：目的設(shè)備通過(guò)啟動(dòng)虛擬機(jī)機(jī)制，對(duì)卸載到該設(shè)備中的任務(wù)進(jìn)行計(jì)算。

7）結(jié)果回傳：目的設(shè)備將計(jì)算結(jié)果回傳給任務(wù)的發(fā)布者。

8）任務(wù)刪除：目的設(shè)備將卸載的代碼以及計(jì)算結(jié)果刪除。

通過(guò)對(duì)以上過(guò)程進(jìn)行分析可知，為保證被卸載任務(wù)的安全性，需要考慮三個(gè)方面：一是卸載的安全性，即要保證任務(wù)代碼（后面將其稱為服務(wù)）和數(shù)據(jù)被卸載到安全的目的設(shè)備中；二是執(zhí)行的安全性，即卸載數(shù)據(jù)在目的設(shè)備中被正確執(zhí)行，如卸載數(shù)據(jù)不能被低等級(jí)服務(wù)執(zhí)行；三是刪除的安全性，即計(jì)算結(jié)果回傳后或任務(wù)執(zhí)行中斷后目的設(shè)備要?jiǎng)h除與任務(wù)相關(guān)的信息。

2.2 任務(wù)卸載的安全性分析框架

為了實(shí)現(xiàn)安全的任務(wù)卸載，本文提出任務(wù)卸載的安全性分析框架，具體流程如圖2 所示。首先利用偶圖建立上下文環(huán)境信息模型，描述當(dāng)前環(huán)境下設(shè)備位置、服務(wù)和數(shù)據(jù)存儲(chǔ)位置、服務(wù)-數(shù)據(jù)輸入關(guān)系、實(shí)體安全等級(jí)等信息；其次基于偶圖反應(yīng)規(guī)則建模任務(wù)卸載過(guò)程，包括任務(wù)遷移、服務(wù)執(zhí)行、結(jié)果回傳及任務(wù)刪除；然后建立以偶圖模型為初始狀態(tài)點(diǎn)，任務(wù)卸載過(guò)程中標(biāo)注遷移邊的標(biāo)號(hào)變遷系統(tǒng)；最后通過(guò)模型檢測(cè)技術(shù)驗(yàn)證卸載安全、服務(wù)執(zhí)行安全以及刪除安全的可滿足性。

圖2 任務(wù)卸載安全性分析框架Fig.2 Security analysis framework of task offloading

3 安全信息流需求描述

為約束服務(wù)和數(shù)據(jù)被卸載的過(guò)程及服務(wù)執(zhí)行的過(guò)程，本文構(gòu)建了多級(jí)別的安全信息流模型。

定義1面向移動(dòng)邊緣計(jì)算的多級(jí)安全信息流模型具體定義如下：

1）D={di|i∈N}，表示邊緣服務(wù)器和愿意貢獻(xiàn)設(shè)備資源的移動(dòng)終端集合。

2）S={si|i∈N}，表示服務(wù)（任務(wù)）集合。

3）Ο={οi|i∈N}，表示數(shù)據(jù)集合。

4）A={ai|i∈N}，其中ai表示邊緣服務(wù)器di可以提供計(jì)算能力的區(qū)域范圍。

5）Lsec={?sec,≤sec}，為安全等級(jí)的格模型。

6）γ：D∪S∪Ο→Lsec，表示設(shè)備、服務(wù)和數(shù)據(jù)的安全等級(jí)。設(shè)備的安全等級(jí)為設(shè)備的信任度的等級(jí)，服務(wù)和數(shù)據(jù)的安全等級(jí)為被卸載代碼和數(shù)據(jù)的隱私敏感度。

7）loc1：S∪Ο→D，表示服務(wù)和數(shù)據(jù)所處的位置。

8）loc2：D→A，表示設(shè)備所處的區(qū)域。

9）I：Ο→S，表示數(shù)據(jù)Ο是服務(wù)S的輸入數(shù)據(jù)。

10）服務(wù)流和數(shù)據(jù)流的安全約束：r(loc(s))≥r(s)，r(loc(ο))≥r(ο)，表示服務(wù)和數(shù)據(jù)只能部署在比它們安全等級(jí)高或者相等的設(shè)備上。

為便于討論，設(shè)?sec={N,L,M,H,TH}。當(dāng)?sec表示設(shè)備的信任度時(shí)，N、L、M、H、TH 分別表示不信任、低信任度、中信任度、高信任度和完全信任；當(dāng)?sec表示服務(wù)和數(shù)據(jù)的隱私敏感度時(shí)，N、L、M、H、TH分別表示無(wú)隱私、低隱私敏感度、中隱私敏感度、高隱私敏感度和最高敏感度。

4 移動(dòng)邊緣計(jì)算中任務(wù)卸載過(guò)程建模

偶圖是由圖靈獎(jiǎng)獲得者M(jìn)INLER 等于2001 年提出的一種基于圖形的形式化理論工具，其融合了Pi 演算和環(huán)境演算的優(yōu)勢(shì)，旨在強(qiáng)調(diào)計(jì)算（物理的和信息的）位置和連接［19］。本節(jié)利用偶圖能夠直觀表達(dá)位置信息和連接信息的特點(diǎn)，建模任務(wù)卸載過(guò)程，分析卸載過(guò)程中的安全性。

4.1 偶圖

偶圖由位置圖（place graph）和連接圖（link graph）組成。位置圖用于表示各個(gè)節(jié)點(diǎn)之間的嵌套關(guān)系和位置信息。如圖3 中節(jié)點(diǎn)ν1位于節(jié)點(diǎn)ν0內(nèi)，節(jié)點(diǎn)ν0位于區(qū)域R0內(nèi)，地點(diǎn)1位于節(jié)點(diǎn)ν0內(nèi)，地點(diǎn)0位于節(jié)點(diǎn)ν2內(nèi)。地點(diǎn)（site）是一類特殊的節(jié)點(diǎn)，用于抽象表示模型中暫時(shí)不關(guān)心的信息。在節(jié)點(diǎn)上可以定義端口（port），用黑色的圓點(diǎn)表示?？刂疲╟ontrol）用于表達(dá)對(duì)一類節(jié)點(diǎn)的描述，相同控制的節(jié)點(diǎn)具有相同的端口數(shù)。連接圖表示節(jié)點(diǎn)之間的連接關(guān)系，節(jié)點(diǎn)通過(guò)端口連接。連接邊分為開(kāi)放邊和封閉邊，外部名y0、y1、y2和內(nèi)部名x0都為開(kāi)放邊，e0、e1都為封閉邊。

圖3 偶圖Fig.3 Bigraph

偶圖能夠比較直觀地描述建模對(duì)象的位置信息和連接信息，具體定義如下：

定義2（偶圖）偶圖F=(VF,ΕF,ctrlF,prntF,linkF)：＜m,X＞→＜n,Y＞是由位置圖FP與連接圖FL組成的五元組。

1）位置圖FP=(VF,ctrlF,prntF)：m→n。其中：m為地點(diǎn)數(shù)；n為區(qū)域數(shù)；VF為節(jié)點(diǎn)集合；ctrlF為節(jié)點(diǎn)到控制的映射，ctrlF：VF→K；prntF為節(jié)點(diǎn)間嵌套關(guān)系，prntF：m?VF→VF?n。

2）連接圖FL=(VF,ΕF,ctrlF,linkF)：X→Y。其中：X為內(nèi)部名；Y為外部名；VF為節(jié)點(diǎn)集合；ΕF為連接邊集合；ctrlF為節(jié)點(diǎn)到控制的映射；linkF為邊的連接關(guān)系，linkF：X?PF→ΕF?Y，PF為節(jié)點(diǎn)端口集合。

在動(dòng)態(tài)結(jié)構(gòu)方面，偶圖通過(guò)反應(yīng)規(guī)則(R,R′)對(duì)系統(tǒng)進(jìn)行重構(gòu)，反應(yīng)規(guī)則中R稱為反應(yīng)物，R′稱為生成物。如果反應(yīng)物和偶圖或者偶圖部分匹配時(shí)，將偶圖中與反應(yīng)物匹配的部分替換成生成物，從而實(shí)現(xiàn)狀態(tài)更新。

偶圖的圖形表示具有直觀性的特點(diǎn)，但是不利于系統(tǒng)的理解和處理，因此，MINER 等提出利用代數(shù)系統(tǒng)來(lái)描述偶圖模型。相對(duì)于圖形化的表示，代數(shù)系統(tǒng)便于系統(tǒng)的構(gòu)建、演化和推導(dǎo)。偶圖的項(xiàng)語(yǔ)言描述如表2 所示。

表2 偶圖項(xiàng)語(yǔ)言描述Table 2 Description of term language in bigraph

4.2 上下文偶圖模型

移動(dòng)邊緣計(jì)算中上下文環(huán)境信息包括設(shè)備位置、服務(wù)和數(shù)據(jù)的位置、服務(wù)和數(shù)據(jù)的輸入關(guān)系以及實(shí)體的安全等級(jí)。設(shè)備中剩余的計(jì)算資源并不影響任務(wù)卸載的安全性，因此，模型中并不考慮該信息的表達(dá)。上下文環(huán)境到偶圖的轉(zhuǎn)換規(guī)則如下所示：

其中：設(shè)備、服務(wù)、區(qū)域以及安全等級(jí)都映射為節(jié)點(diǎn)；服務(wù)和數(shù)據(jù)處于哪個(gè)設(shè)備，設(shè)備處于哪個(gè)邊緣服務(wù)器的區(qū)域范圍都映射為節(jié)點(diǎn)之間的嵌套關(guān)系；設(shè)備、服務(wù)以及數(shù)據(jù)所擁有的安全等級(jí)、數(shù)據(jù)和服務(wù)之間的輸入關(guān)系都映射為連接關(guān)系。

例1假設(shè)邊緣服務(wù)器Server 的上下文環(huán)境信息如下：

相對(duì)應(yīng)的偶圖模型如圖4 所示。

圖4 上下文偶圖模型Fig.4 Bigraph model of context information

圖4 對(duì)應(yīng)的項(xiàng)語(yǔ)言描述為：

4.3 移動(dòng)邊緣計(jì)算中任務(wù)卸載的反應(yīng)規(guī)則集

任務(wù)卸載的過(guò)程包括服務(wù)和數(shù)據(jù)的遷移、服務(wù)的執(zhí)行、結(jié)果回傳和任務(wù)刪除4 個(gè)步驟，每一步都會(huì)導(dǎo)致服務(wù)和數(shù)據(jù)所處的狀態(tài)發(fā)生改變，系統(tǒng)需要建模這些狀態(tài)變化實(shí)現(xiàn)對(duì)服務(wù)和數(shù)據(jù)的跟蹤，以監(jiān)測(cè)目的設(shè)備是否濫用服務(wù)和數(shù)據(jù)。圖5～圖8 給出了服務(wù)和數(shù)據(jù)的遷移、服務(wù)的執(zhí)行、結(jié)果回傳以及任務(wù)刪除的偶圖反應(yīng)規(guī)則的圖形表示。

圖5 服務(wù)和數(shù)據(jù)遷移Fig.5 Service and data migration

圖6 服務(wù)執(zhí)行Fig.6 Service execution

圖7 結(jié)果回傳Fig.7 Result return

圖8 任務(wù)刪除Fig.8 Task deletion

1）服務(wù)和數(shù)據(jù)遷移：移動(dòng)終端D1 將服務(wù)S1 和服務(wù)輸入數(shù)據(jù)Ο1 卸載到移動(dòng)終端D2 上，表示為Migrate(Ο1,S1,D1,D2)，其中4 個(gè)參數(shù)依次為卸載的數(shù)據(jù)、卸載的服務(wù)、任務(wù)發(fā)布的設(shè)備和任務(wù)接收的設(shè)備（目的設(shè)備）。Ο1 節(jié)點(diǎn)和S1 節(jié)點(diǎn)從D1 節(jié)點(diǎn)遷移至D2 節(jié)點(diǎn)內(nèi)。

2）服務(wù)執(zhí)行：移動(dòng)終端D2 上執(zhí)行服務(wù)S1，輸入數(shù)據(jù)Ο1，輸出數(shù)據(jù)Ο1*，表示為Execute(Ο1,S1,D2)。3 個(gè)參數(shù)依次表示為輸入數(shù)據(jù)、執(zhí)行的服務(wù)和任務(wù)所在的設(shè)備。Ο1 節(jié)點(diǎn)變?yōu)棣?*節(jié)點(diǎn)并嵌套在S1 節(jié)點(diǎn)內(nèi)。

3）結(jié)果回傳：移動(dòng)終端D2 將輸出數(shù)據(jù)Ο1*回傳給任務(wù)發(fā)布終端D1，表示為Return(Ο1*,D2,D1)。3 個(gè)參數(shù)分別表示回傳的計(jì)算結(jié)果、提供計(jì)算資源的設(shè)備和發(fā)布任務(wù)的設(shè)備。Ο1*節(jié)點(diǎn)同時(shí)也嵌套在D1 節(jié)點(diǎn)內(nèi)。

4）任務(wù)刪除：移動(dòng)終端D2 將計(jì)算結(jié)果回傳后，刪除相關(guān)的數(shù)據(jù)和服務(wù)，表示為Delete(Ο1*,S1,D2)。3 個(gè)參數(shù)分別表示刪除的數(shù)據(jù)、刪除的服務(wù)和執(zhí)行刪除任務(wù)的設(shè)備。Ο1*和S1 節(jié)點(diǎn)在D2 中被刪除。

當(dāng)反應(yīng)規(guī)則集中的反應(yīng)物與上下文偶圖模型匹配或者部分匹配時(shí)，生成物替換反應(yīng)物，得到新的偶圖模型。對(duì)于一個(gè)上下文偶圖模型，匹配的反應(yīng)規(guī)則可能包含多條，因此，最終可得到一個(gè)以反應(yīng)規(guī)則作為遷移邊的標(biāo)號(hào)變遷系統(tǒng)。在該標(biāo)號(hào)變遷系統(tǒng)中，每一個(gè)狀態(tài)都應(yīng)滿足卸載安全和服務(wù)執(zhí)行安全要求，計(jì)算回傳后的下一個(gè)狀態(tài)應(yīng)滿足刪除安全要求。

5 實(shí)例分析和性能評(píng)估

5.1 實(shí)例分析

假設(shè)當(dāng)前在邊緣服務(wù)器Server 的服務(wù)區(qū)域內(nèi)，有移動(dòng)終端D1、D2、D3、D4，服務(wù)器和移動(dòng)終端對(duì)應(yīng)的安全等級(jí)分別為T(mén)H、TH、L、M、N。移動(dòng)終端D1是任務(wù)的發(fā)布者，任務(wù)的執(zhí)行流程如圖9 所示。服務(wù)S1～S4 對(duì)應(yīng)的安全等級(jí)分別是L、L、M、H，數(shù)據(jù)Ο1～Ο5 對(duì)應(yīng)的安全等級(jí)分別為L(zhǎng)、L、L、M、H。

圖9 任務(wù)執(zhí)行流程Fig.9 Task execution process

任務(wù)和數(shù)據(jù)可在任務(wù)發(fā)布終端D1 中被執(zhí)行，也可卸載到邊緣服務(wù)器Server 中，除此之外，也可卸載到移動(dòng)終端中，設(shè)D1～D4 都可提供一定的計(jì)算資源。根據(jù)服務(wù)流和數(shù)據(jù)流的安全約束，服務(wù)S1、S2和數(shù)據(jù)Ο1～Ο3 可被卸載到D2、D3 移動(dòng)終端中，服務(wù)S3 和數(shù)據(jù)Ο4～Ο6 可被卸載到移動(dòng)終端D3 中，服務(wù)S4 的安全等級(jí)為H，因此，任務(wù)只能在移動(dòng)終端D1或Server 中執(zhí)行，具體如表3、表4 所示，其中，符號(hào)“√”表示服務(wù)或數(shù)據(jù)可以被卸載至該設(shè)備上。

表3 服務(wù)的安全等級(jí)和可卸載的設(shè)備Table 3 Security level of services and offloading devices

表4 數(shù)據(jù)的安全等級(jí)和可卸載的設(shè)備Table 4 Security level of data and offloading devices

目前，針對(duì)偶圖和偶圖反應(yīng)系統(tǒng)已有很多工具支持，如DBtk 工具［20］、BigRed［21］原型編輯器、BigraphER工具［22］、BigMC［23］工具。其中，由哥本哈根技術(shù)大學(xué)的PERRΟNE 等開(kāi)發(fā)的BigMC 工具，其語(yǔ)言描述與偶圖和偶圖反應(yīng)系統(tǒng)的項(xiàng)語(yǔ)言描述比較相近，易于理解。BigMC 可以將衍化過(guò)程生成dot 腳本，使用XDΟT、graphviz 等軟件進(jìn)行圖形化的表達(dá)。本文采用BigMC工具驗(yàn)證是否滿足卸載過(guò)程安全需求。

當(dāng)D1 卸載服務(wù)S1 和輸入數(shù)據(jù)Ο1 時(shí)，初始上下文環(huán)境偶圖模型為：

由表3、表4 可 知，任務(wù)還 可卸載 到D2、D3 和Server 中執(zhí)行。執(zhí)行該卸載任務(wù)，對(duì)應(yīng)的標(biāo)號(hào)變遷系統(tǒng)如圖10 所示，安全的上下文環(huán)境模型包括12 個(gè)（除灰色的狀態(tài)和相應(yīng)的遷移邊）。

圖10 任務(wù)卸載的標(biāo)號(hào)變遷系統(tǒng)Fig.10 Labeled transition system of task offloading

終態(tài)的上下文環(huán)境偶圖模型為：

最終，數(shù)據(jù)Ο2 返回給任務(wù)發(fā)布者D1。

D1 在任務(wù)卸載后就失去了對(duì)任務(wù)的控制權(quán)，內(nèi)部攻擊者就可濫用該資源。假設(shè)D2 為惡意節(jié)點(diǎn)，將數(shù)據(jù)Ο1 和服務(wù)S1 卸載到移動(dòng)終端D4 中，此時(shí)上下文環(huán)境模型進(jìn)入狀態(tài)i，該狀態(tài)違反服務(wù)流和數(shù)據(jù)流的安全約束，數(shù)據(jù)和服務(wù)被卸載到了低安全等級(jí)的設(shè)備中，檢測(cè)該違反狀態(tài)的時(shí)間為0.000 2 s。D2 作為惡意節(jié)點(diǎn)，假設(shè)其在執(zhí)行服務(wù)S1 時(shí)，將輸出數(shù)據(jù)Ο2 的安全等級(jí)降為N并發(fā)送給D4，此時(shí)上下文環(huán)境模型進(jìn)入狀態(tài)j，該狀態(tài)違反服務(wù)執(zhí)行的安全約束，檢測(cè)該違反狀態(tài)的時(shí)間為0.000 14 s。假設(shè)D2 將輸出數(shù)據(jù)Ο2 回傳后，仍保留Ο2 的副本，此時(shí)上下文環(huán)境模型進(jìn)入狀態(tài)k，該狀態(tài)違反刪除的安全性，檢測(cè)該違反狀態(tài)的時(shí)間為0.000 16 s。

同樣地，如圖11 所示：在任務(wù)S2 和S3 的卸載過(guò)程中，安全的上下文環(huán)境偶圖模型有108 個(gè)，建模時(shí)間為0.074 275 s；在任務(wù)S4 的卸載過(guò)程中，安全的上下文環(huán)境偶圖模型有6 個(gè)，建模時(shí)間為0.000 9 s。

圖11 任務(wù)卸載狀態(tài)數(shù)和建模時(shí)間Fig.11 Number of states and modeling time for task offloading

5.2 性能評(píng)估

假設(shè)初始場(chǎng)景中，所有的服務(wù)安全等級(jí)都高于數(shù)據(jù)的安全等級(jí)，設(shè)備的安全等級(jí)都低于服務(wù)和數(shù)據(jù)的安全等級(jí)，即服務(wù)和數(shù)據(jù)可被卸載到周邊任意的設(shè)備上執(zhí)行。基于該假設(shè)下所構(gòu)建的標(biāo)號(hào)變遷系統(tǒng)中的節(jié)點(diǎn)數(shù)和遷移邊數(shù)最多。表5、表6 給出了這種“最壞”假設(shè)下（即構(gòu)建的標(biāo)號(hào)變遷系統(tǒng)最復(fù)雜），運(yùn)行時(shí)間和內(nèi)存消耗隨著設(shè)備數(shù)、服務(wù)數(shù)量和數(shù)據(jù)數(shù)量的變化。

表5 不同終端數(shù)量下的運(yùn)行時(shí)間和內(nèi)存消耗Table 5 Running time and memory consumption under different terminals numbers

表6 不同服務(wù)和輸入數(shù)據(jù)量下的運(yùn)行時(shí)間和內(nèi)存消耗Table 6 Running time and memory consumption under different services and input data

對(duì)于一個(gè)服務(wù)，其輸入數(shù)據(jù)數(shù)量、輸出數(shù)據(jù)數(shù)量應(yīng)該都為個(gè)位數(shù)，假設(shè)每個(gè)服務(wù)的輸入數(shù)據(jù)個(gè)數(shù)為2，輸出數(shù)據(jù)個(gè)數(shù)為1。表5 給出了服務(wù)數(shù)量和輸入數(shù)據(jù)量分別為10 和20，而移動(dòng)終端節(jié)點(diǎn)數(shù)量變化時(shí)運(yùn)行時(shí)間和內(nèi)存消耗的變化情況?？梢钥闯觯S著移動(dòng)終端節(jié)點(diǎn)數(shù)量變化，運(yùn)行時(shí)間和內(nèi)存消耗都呈現(xiàn)指數(shù)增長(zhǎng)，這是因?yàn)榉?wù)和數(shù)據(jù)可以被卸載到任意的移動(dòng)終端節(jié)點(diǎn)中，在標(biāo)號(hào)變遷系統(tǒng)中每個(gè)狀態(tài)點(diǎn)所能構(gòu)建的遷移邊數(shù)最多。表6 給出了終端節(jié)點(diǎn)數(shù)量為10 而服務(wù)數(shù)量和輸入數(shù)據(jù)量變化時(shí)運(yùn)行時(shí)間和內(nèi)存消耗的變化情況。可以看出，隨著服務(wù)數(shù)量和輸入數(shù)據(jù)量的增加，運(yùn)行時(shí)間和內(nèi)存的消耗呈現(xiàn)線性增長(zhǎng)，這是因?yàn)榉?wù)是按照順序執(zhí)行的，服務(wù)和輸入數(shù)據(jù)量的增多引起所構(gòu)建的標(biāo)號(hào)變遷系統(tǒng)深度增高。

由上述案例和性能分析可知，通過(guò)對(duì)上下文環(huán)境信息以及卸載行為的建模，能夠跟蹤惡意行為的發(fā)生并在較短時(shí)間內(nèi)給予反饋。一方面，系統(tǒng)能夠及時(shí)制止風(fēng)險(xiǎn)的擴(kuò)散；另一方面，任務(wù)發(fā)布者也能夠了解卸載任務(wù)是如何被濫用的。因此，本文所提方可為高安全任務(wù)的卸載提供有效支撐。

6 結(jié)束語(yǔ)

本文提出一種基于偶圖的安全信息流建模與分析方法，以解決移動(dòng)邊緣計(jì)算任務(wù)卸載過(guò)程中終端節(jié)點(diǎn)發(fā)起內(nèi)部攻擊惡意行為的安全問(wèn)題。該方法通過(guò)賦予移動(dòng)邊緣環(huán)境下終端節(jié)點(diǎn)、服務(wù)和數(shù)據(jù)相應(yīng)的安全等級(jí)來(lái)約束任務(wù)卸載過(guò)程，形成多級(jí)安全信息流模型，同時(shí)引入偶圖構(gòu)建任務(wù)卸載過(guò)程的形式化模型，驗(yàn)證服務(wù)和數(shù)據(jù)遷移、服務(wù)執(zhí)行、結(jié)果回傳、任務(wù)刪除過(guò)程中的安全性。案例分析和性能評(píng)估結(jié)果表明，本文方法能夠針對(duì)惡意行為在較短時(shí)間和可接受的內(nèi)存消耗下給予系統(tǒng)反饋。后續(xù)研究將從安全性分析角度出發(fā)，進(jìn)一步結(jié)合時(shí)延、能耗等因素，在保證任務(wù)卸載安全性的同時(shí)優(yōu)化任務(wù)卸載性能。