今日頭條
官方微信
官方抖音
資訊頻道1 引言
隨著物聯網、5G等技術的快速發展,萬物互聯的趨勢不斷加深,物聯網技術和智能設備越來越多地滲透到人們的日常生活,智能電網、智慧城市、自動駕駛等新型業務模式不斷涌現,智能設備數量將呈爆炸式增長,據IDC預測,到2020年全世界將有多達500億的智能設備接入互聯網 [1],如圖1所示。隨之而來的是終端產生的“海量級”數據,以工業現場為例,單個攝像頭1080p格式視頻在4Mbps碼率下每天將產生330G的視頻數據。
圖1 物聯網設備增長趨勢
海量終端設備互聯模式對資源請求的響應時間和安全性提出了更高的要求,云計算[3]的“按需付費”模式使企業及最終用戶在擁有和管理數據上擺脫了許多細節的約束,如存儲資源、計算限制和網絡通信成本等。但是在工業現場等延遲敏感的應用環境中,當數以百萬的智能設備請求服務時,當前的云計算架構很難滿足智能設備對移動支持、位置感知和低延遲的需求。由此催生了在邊緣側數據處理的模式,即邊緣計算(Edge Computing) [2],并得到了學術界和產業界的廣泛關注。邊緣計算通過賦予邊緣側的智能設備執行計算和數據處理能力,結合當前的云計算集中式數據處理模型,降低了云中心的計算負載,減緩了網絡帶寬的壓力,提高了海量設備數據的處理效率。
邊緣計算作為以網絡邊緣設備為核心的新型計算模式,為解決時延和網絡帶寬負載問題帶來極大的便利,支持將云中心任務向網絡邊緣側遷移,將服務帶到離邊緣更近、范圍更廣的地方。通過部署邊緣服務設備(如邊緣計算節點、私有云等),服務可以駐留在邊緣設備上,在處理海量數據的同時還可以確保高效的網絡運營和服務交付。但是由于這種邊緣側計算服務模式的復雜性、數據多源異構、終端資源受限等特性,邊緣計算的安全防護面臨著新的挑戰[4],傳統的云環境下的信息安全問題在邊緣計算場景中尤為突出,亟待開展適用于邊緣計算的安全技術[5]。
本文闡述了邊緣計算的產生、概念,以及參考架構的特點,分析了邊緣計算范式下的身份認證和隱私保護的安全需求,總結了近年來可能適用于邊緣計算安全與隱私保護的研究成果,剖析了方案的可擴展性和適用性,并指出了邊緣計算在身份認證和隱私保護方面的未來技術發展方向。
2 邊緣計算架構與安全挑戰
2.1 邊緣計算參考架構
目前邊緣計算尚處于發展階段,還未形成嚴格、統一的定義和標準,不同組織對邊緣計算的定義和側重點都不相同。邊緣計算產業聯盟在《邊緣計算參考架構2.0》[6]中提出:“邊緣計算是融合網絡、計算、存儲、應用核心能力的開放平臺,在靠近物或數據源頭的網絡邊緣側,就近提供智能互聯服務,滿足行業在業務實時、業務智能、數據聚合與互操作、安全與隱私保護等方面的關鍵需求。”并給出了邊緣計算參考架構2.0,如圖2所示。
圖2 邊緣計算參考架構
邊緣計算參考架構在每層提供了模型化的開放接口,實現了架構的全層次開放。邊緣計算參考架構通過縱向管理服務、數據全生命周期服務、安全服務,實現業務的全流程、全生命周期的智能服務。
智能服務是基于模型驅動的統一服務框架,通過開發服務框架和部署運營服務框架實現開發與部署智能協同,能夠實現軟件開發接口一致和部署運營自動化。
業務Fabric通過定義端到端的業務流和工作負載,由多種類型的功能服務按照一定邏輯關系組成和協作,和OICT基礎設施、硬件平臺等解耦,屏蔽技術細節并支持跨技術平臺,支撐業務敏捷。
聯接計算是一個虛擬化的服務層,可以屏蔽邊緣計算節點的異構性,降低智能分布式架構在數據一致性、容錯處理等方面的復雜性,實現資源服務的發現、統一管理和編排,支持ECN節點間的數據和知識模型的共享,支持業務負載的動態調度和優化,支持分布式的決策和策略執行。
邊緣計算節點(ECN,Edge Computing Node)兼容多種異構聯接、支持實時處理與響應、提供軟硬一體化安全等,網絡邊緣設備不僅扮演著服務請求者的角色,而且還需要執行部分計算任務,包括數據存儲、處理、搜索、管理和傳輸等。
在邊緣計算場景中,由于終端設備數量的爆炸式增長和復雜業務的高實時性需求,傳統的集中式業務處理方式將會轉變為云+邊的雙向計算模式,在這種復雜的計算范式下,多實體之間的身份識別以及實體間跨信任域驗證等問題變得更加突出。
2.2 邊緣計算身份認證和隱私保護技術挑戰
本文主要從身份認證和隱私保護等角度對邊緣計算的信息安全需求進行分析,在邊緣計算中,由于不同的部署選擇,邊緣計算服務提供者可以位于不同的地方,將計算服務靈活地擴展到網絡邊緣側,但是這種靈活性使邊緣計算的可信任情況復雜化,使其不同于其他網絡架構,如圖3所示,邊緣計算網絡體系中涉及終端智能設備、邊緣計算設備、云中心等不同的功能實體,邊緣計算設備是介于網絡邊緣的終端用戶和云服務器之間的中間層。在這種開放式互聯背景下,身份認證和管理功能遍布邊緣計算參考架構的所有功能層級,用戶的身份認證是邊緣計算的第一道防線,身份識別對確保應用和數據的安全保密至關重要。
圖3 邊緣計算網絡體系
當邊緣設備需要使用邊緣計算提供的服務時,如果缺乏身份驗證服務,一個流動的邊緣計算節點/服務器可以假裝成一個合法的邊緣計算設備或邊緣計算實例,并誘使邊緣側終端設備連接到它。一旦終端設備與虛假的邊緣計算節點建立連接,敵手就可以操縱來自終端用戶或云的傳入和傳出請求,秘密地收集或篡改終端設備數據,并很容易發起進一步的攻擊,虛假邊緣計算節點或服務器的存在是對用戶數據安全和隱私的嚴重威脅。除此之外,當海量設備同時接入時,傳統的集中式安全認證面臨巨大的性能壓力,特別是在設備集中接入時認證系統往往不堪重負。最后,在這種通過不同網絡基礎設施互聯的分層體系架構中,功能實體并非完全可信,而與用戶身份相關聯的信息都存儲在這些半可信的功能實體中,這極易引發用戶身份信息泄漏問題。因此在必要的時候,亟待開展適用于邊緣計算場景的去中心化、分布式的認證方式,在實現輕量級認證的同時,兼顧匿名性、群組認證等功能。
3 邊緣計算身份認證和隱私保護技術研究現狀
3.1 邊緣計算身份認證技術研究現狀
身份認證是邊緣計算安全的一個重要問題,因為邊緣計算節點/服務器向大規模終端用戶提供服務。本文將邊緣計算的主要安全問題視為不同級別的邊緣節點的認證問題。傳統的基于PKI的身份驗證效率不高,并且在網絡邊緣使用霧計算的用戶可擴展性較差。
代表性的研究文獻主要有:Maged在文獻[8]中提出了在“云-邊-端”三層體系架構下的邊緣網絡終端和邊緣服務器之間的安全相互認證方案Octopus,該方案中不需要納入傳統的PKI體系,只是在注冊階段,每個終端設備需保存一個云中心頒發的長期主密鑰。Octopus允許任何終端設備在已獲得云中心授權的情況下,與邊緣計算網絡體系中的任一邊緣服務器進行相互認證,能夠有效地抵抗重放攻擊、中間人攻擊等多種類型攻擊。該方案能夠有效實現在邊緣計算架構下終端設備的安全接入認證,并且在認證過程中采用對稱加密算法,適用于邊緣側計算資源和存儲資源受限的設備,但是該方案不支持匿名認證。Amor [9]在該方案的基礎上做出了改進,利用雙線性配對算法實現了支持匿名認證的接入認證方案,在該方案中,認證可以在不暴露真實身份的同時,驗證對方的合法性,保證了惡意設備無法搜集終端設備的身份信息。
綜上所述,當前關于邊緣計算身份認證機制的研究尚未形成較為完善的研究體系和方法,已有的研究方案大多用于解決邊緣側設備的身份授權及單一作用域內的身份認證問題,而在跨不同作用域認證場景下存在局限。邊緣計算身份認證技術的研究需結合其分布式、移動性等特點,在已有研究方案的基礎上,加強具有隱私保護性質的認證機制、跨作用域認證等技術的研究,保障邊緣側業務在異構網絡中的應用安全。
3.2 邊緣計算身份隱私保護技術研究現狀
針對邊緣計算中身份信息隱私保護技術的研究,代表性的研究文獻主要有:Khalil 等 [10]通過引入身份管理系統(IDM)服務器來代替服務提供商管理終端用戶的身份信息,通過將授權、IDM 服務器和邊緣計算服務提供商分離,并添加額外的認證層,來抵御IDM非法訪問、流量攔截攻擊和設備妥協等攻擊。Khan等[11]針對身份認證過程中存在的憑證泄漏問題,提出了一種基于動態憑證的身份隱私保護方案,即通過云分組交換機制對終端設備的身份憑證進行動態更新,以此防止憑證泄漏導致的攻擊問題,不僅如此,該方案還引入了第三方可信實體,通過將認證憑證操作外包給可信實體,降低了終端設備的計算開銷。
當前,針對邊緣計算[12]身份隱私保護技術的研究僅有一些探索性成果,邊緣計算設備更貼近數據源頭,與核心網中的云中心相比,邊緣計算設備可以收集更多的與用戶身份相關的敏感信息,而由于終端設備的計算資源受限,難以執行代價昂貴的隱私保護算法,在邊緣計算服務中,如何保障終端用戶的身份隱私是亟待解決的問題之一。
4 未來技術發展方向
由于將現有身份認證協議直接應用于邊緣計算環境下存在一些問題,研究人員正在尋求解決的辦法。當前國內外學者對邊緣計算中信息安全技術的研究也處于探索階段,針對身份認證協議的研究成果大多是生、參考架構和信息安全需求,圍繞邊緣計算身份認以現有的安全協議為基礎,從靈活性、高效性、隱私證和隱私保護等關鍵技術,對適用于邊緣計算架構的保護等方面進行改進和優化。但是由于邊緣計算中終身份認證和隱私保護的最新研究成果進行了闡述和分端設備的地理位置分布、高移動性和高實時性等特析。隨著國內外研究的開展,將會出現更適合邊緣計點,傳統的集中式安全認證機制不再適用于該場景。算體系的信息安全技術,需進一步深入探討和研究。
邊緣計算身份認證和隱私保護技術發展方向應該包括以下幾點:
((1)研究適用于邊緣計算架構體系的關鍵技術,支持用戶和邊緣計算設備建立連接時的端到端雙向認證機制,以及邊緣計算設備對接入用戶的群組認證、跨域認證等;
(2)在邊緣計算中存在大量的分布式邊緣網關,不同層次的邊緣網關等網絡實體的認證,以及與云中心之間的統一身份管理等是一個需要考慮的安全問題;
(3)在安全功能適配特定的邊緣計算架構的同時,還需實現安全功能的輕量化,使其能夠部署在各類硬件資源受限的網絡邊緣側終端設備中,最大限度地保障整個架構的安全與可靠,提高海量終端設備的接入認證效率。
5 結論
未來超過50%的數據需要在邊緣側分析、處理和儲存,邊緣計算應用廣闊。本文介紹了邊緣計算的產生、參考架構和信息安全需求,圍繞邊緣計算身份認證和隱私保護等關鍵技術,對適用于邊緣計算架構的身份認證和隱私保護的最新研究成果進行了闡述和分析。隨著國內外研究的開展,將會出現更適合邊緣計算體系的信息安全技術,需進一步深入探討和研究。
★ 基金項目: 國家自然科學基金項目“ 面向工業通信行為的異常檢測及安全感知方法研究” ( 6 1 7 7 3 3 6 8 ) 、預研基金項目(6140242010116Zk63001)和國家電網公司科技項目“邊緣計算在智能電網的應用和安全防護技術研究”(52110118001H)。
作者簡介
陳春雨(1992-),男,碩士,黑龍江哈爾濱人,現就職于中國科學院網絡化控制系統重點實驗室,主要研究方向為信息安全。
尚文利(1974-),男,博士、研究員,黑龍江北安人,現就職于中國科學院網絡化控制系統重點實驗室,現任全國工業過程測量控制和自動化標準化技術委員會可編程序控制器及系統分技術委員會(SAC/TC124/SC5)委員、工業控制系統信息安全產業聯盟理事、邊緣計算產業聯盟安全組副組長。主要從事工業信息安全、計算智能與機器學習方向研究。
參考文獻:
[1] Cisco cloud index supplement. Cloud readiness regional details white paper[R]. 2017.
[2] 施巍松, 孫輝, 曹杰, 張權, 劉偉. 邊緣計算:萬物互聯時代新型計算模型[J]. 計算機研究與發展, 2017, 54 ( 5 ) : 907 - 924.
[3] 林闖, 蘇文博, 孟坤, 劉渠, 劉衛東. 云計算安全:架構、機制與模型評價[J]. 計算機學報, 2013, 36 ( 9 ) : 1765 - 1784.
[4] MAO YY, YOU CS, ZHANG J, et al. A survey on mobile edge computing:the communication perspective[J]. IEEE CommunicationsSurveys & Tutorials, 2017, PP ( 99 ) : 1.
[5] LOPEZ P G, MONTRESOR A, EPEMA D, et al. Edge-centric computing:vision and challenges[J]. ACM Sigcomm Computer Communication Review, 2015, 45 ( 5 ) : 37 - 42.
[6] 聯盟邊緣計算參考架構2.0(下)[J]. 自動化博覽, 2018, 35 ( 3 ) : 58 - 61.
[7] 張佳樂, 趙彥超, 陳兵, 胡峰, 朱琨. 邊緣計算數據安全與隱私保護研究綜述[J]. 通信學報, 2018, 39 ( 3 ) : 1 - 21.
[8] Ibrahim M H. Octopus: An Edge-Fog Mutual Authentication Scheme[J]. International Journal of Network Security, 2016, 18 ( 6 ) : 1089 - 1101.
[9] Amor A B, Abid M, Meddeb A. A Privacy-Preserving Authentication Scheme in an Edge-Fog Environment[C]. Ieee/acs, International Conference on Computer Systems and Applications. IEEE Computer Society, 2017 : 1225 - 1231.
[10] KHALIL I, KHREISHAH A, AZEEM M. Consolidated identity management system for secure mobile cloud computing[J]. Computer Networks, 2014, 65 ( 2 ) : 99 -110.
[11] KHAN A N, KIAH M L M, MADANI S A, et al. Enhanced dynamic credential generation scheme for protection of user identity in mobile-cloud computing[J]. The Journal of Supercomputing, 2013, 66 ( 3 ) : 1687 - 1706.
[12] 施魏松, 劉芳. 邊緣計算:Edge Computing[M]. 北京 : 科學出版社, 2018.
摘自《工業控制系統信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號