今日頭條
官方微信
官方抖音
資訊頻道1 引言
隨著物聯(lián)網(wǎng)、5G等技術(shù)的快速發(fā)展,萬物互聯(lián)的趨勢不斷加深,物聯(lián)網(wǎng)技術(shù)和智能設(shè)備越來越多地滲透到人們的日常生活,智能電網(wǎng)、智慧城市、自動駕駛等新型業(yè)務(wù)模式不斷涌現(xiàn),智能設(shè)備數(shù)量將呈爆炸式增長,據(jù)IDC預(yù)測,到2020年全世界將有多達(dá)500億的智能設(shè)備接入互聯(lián)網(wǎng) [1],如圖1所示。隨之而來的是終端產(chǎn)生的“海量級”數(shù)據(jù),以工業(yè)現(xiàn)場為例,單個攝像頭1080p格式視頻在4Mbps碼率下每天將產(chǎn)生330G的視頻數(shù)據(jù)。
圖1 物聯(lián)網(wǎng)設(shè)備增長趨勢
海量終端設(shè)備互聯(lián)模式對資源請求的響應(yīng)時間和安全性提出了更高的要求,云計(jì)算[3]的“按需付費(fèi)”模式使企業(yè)及最終用戶在擁有和管理數(shù)據(jù)上擺脫了許多細(xì)節(jié)的約束,如存儲資源、計(jì)算限制和網(wǎng)絡(luò)通信成本等。但是在工業(yè)現(xiàn)場等延遲敏感的應(yīng)用環(huán)境中,當(dāng)數(shù)以百萬的智能設(shè)備請求服務(wù)時,當(dāng)前的云計(jì)算架構(gòu)很難滿足智能設(shè)備對移動支持、位置感知和低延遲的需求。由此催生了在邊緣側(cè)數(shù)據(jù)處理的模式,即邊緣計(jì)算(Edge Computing) [2],并得到了學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。邊緣計(jì)算通過賦予邊緣側(cè)的智能設(shè)備執(zhí)行計(jì)算和數(shù)據(jù)處理能力,結(jié)合當(dāng)前的云計(jì)算集中式數(shù)據(jù)處理模型,降低了云中心的計(jì)算負(fù)載,減緩了網(wǎng)絡(luò)帶寬的壓力,提高了海量設(shè)備數(shù)據(jù)的處理效率。
邊緣計(jì)算作為以網(wǎng)絡(luò)邊緣設(shè)備為核心的新型計(jì)算模式,為解決時延和網(wǎng)絡(luò)帶寬負(fù)載問題帶來極大的便利,支持將云中心任務(wù)向網(wǎng)絡(luò)邊緣側(cè)遷移,將服務(wù)帶到離邊緣更近、范圍更廣的地方。通過部署邊緣服務(wù)設(shè)備(如邊緣計(jì)算節(jié)點(diǎn)、私有云等),服務(wù)可以駐留在邊緣設(shè)備上,在處理海量數(shù)據(jù)的同時還可以確保高效的網(wǎng)絡(luò)運(yùn)營和服務(wù)交付。但是由于這種邊緣側(cè)計(jì)算服務(wù)模式的復(fù)雜性、數(shù)據(jù)多源異構(gòu)、終端資源受限等特性,邊緣計(jì)算的安全防護(hù)面臨著新的挑戰(zhàn)[4],傳統(tǒng)的云環(huán)境下的信息安全問題在邊緣計(jì)算場景中尤為突出,亟待開展適用于邊緣計(jì)算的安全技術(shù)[5]。
本文闡述了邊緣計(jì)算的產(chǎn)生、概念,以及參考架構(gòu)的特點(diǎn),分析了邊緣計(jì)算范式下的身份認(rèn)證和隱私保護(hù)的安全需求,總結(jié)了近年來可能適用于邊緣計(jì)算安全與隱私保護(hù)的研究成果,剖析了方案的可擴(kuò)展性和適用性,并指出了邊緣計(jì)算在身份認(rèn)證和隱私保護(hù)方面的未來技術(shù)發(fā)展方向。
2 邊緣計(jì)算架構(gòu)與安全挑戰(zhàn)
2.1 邊緣計(jì)算參考架構(gòu)
目前邊緣計(jì)算尚處于發(fā)展階段,還未形成嚴(yán)格、統(tǒng)一的定義和標(biāo)準(zhǔn),不同組織對邊緣計(jì)算的定義和側(cè)重點(diǎn)都不相同。邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟在《邊緣計(jì)算參考架構(gòu)2.0》[6]中提出:“邊緣計(jì)算是融合網(wǎng)絡(luò)、計(jì)算、存儲、應(yīng)用核心能力的開放平臺,在靠近物或數(shù)據(jù)源頭的網(wǎng)絡(luò)邊緣側(cè),就近提供智能互聯(lián)服務(wù),滿足行業(yè)在業(yè)務(wù)實(shí)時、業(yè)務(wù)智能、數(shù)據(jù)聚合與互操作、安全與隱私保護(hù)等方面的關(guān)鍵需求。”并給出了邊緣計(jì)算參考架構(gòu)2.0,如圖2所示。
圖2 邊緣計(jì)算參考架構(gòu)
邊緣計(jì)算參考架構(gòu)在每層提供了模型化的開放接口,實(shí)現(xiàn)了架構(gòu)的全層次開放。邊緣計(jì)算參考架構(gòu)通過縱向管理服務(wù)、數(shù)據(jù)全生命周期服務(wù)、安全服務(wù),實(shí)現(xiàn)業(yè)務(wù)的全流程、全生命周期的智能服務(wù)。
智能服務(wù)是基于模型驅(qū)動的統(tǒng)一服務(wù)框架,通過開發(fā)服務(wù)框架和部署運(yùn)營服務(wù)框架實(shí)現(xiàn)開發(fā)與部署智能協(xié)同,能夠?qū)崿F(xiàn)軟件開發(fā)接口一致和部署運(yùn)營自動化。
業(yè)務(wù)Fabric通過定義端到端的業(yè)務(wù)流和工作負(fù)載,由多種類型的功能服務(wù)按照一定邏輯關(guān)系組成和協(xié)作,和OICT基礎(chǔ)設(shè)施、硬件平臺等解耦,屏蔽技術(shù)細(xì)節(jié)并支持跨技術(shù)平臺,支撐業(yè)務(wù)敏捷。
聯(lián)接計(jì)算是一個虛擬化的服務(wù)層,可以屏蔽邊緣計(jì)算節(jié)點(diǎn)的異構(gòu)性,降低智能分布式架構(gòu)在數(shù)據(jù)一致性、容錯處理等方面的復(fù)雜性,實(shí)現(xiàn)資源服務(wù)的發(fā)現(xiàn)、統(tǒng)一管理和編排,支持ECN節(jié)點(diǎn)間的數(shù)據(jù)和知識模型的共享,支持業(yè)務(wù)負(fù)載的動態(tài)調(diào)度和優(yōu)化,支持分布式的決策和策略執(zhí)行。
邊緣計(jì)算節(jié)點(diǎn)(ECN,Edge Computing Node)兼容多種異構(gòu)聯(lián)接、支持實(shí)時處理與響應(yīng)、提供軟硬一體化安全等,網(wǎng)絡(luò)邊緣設(shè)備不僅扮演著服務(wù)請求者的角色,而且還需要執(zhí)行部分計(jì)算任務(wù),包括數(shù)據(jù)存儲、處理、搜索、管理和傳輸?shù)取?/p>
在邊緣計(jì)算場景中,由于終端設(shè)備數(shù)量的爆炸式增長和復(fù)雜業(yè)務(wù)的高實(shí)時性需求,傳統(tǒng)的集中式業(yè)務(wù)處理方式將會轉(zhuǎn)變?yōu)樵?邊的雙向計(jì)算模式,在這種復(fù)雜的計(jì)算范式下,多實(shí)體之間的身份識別以及實(shí)體間跨信任域驗(yàn)證等問題變得更加突出。
2.2 邊緣計(jì)算身份認(rèn)證和隱私保護(hù)技術(shù)挑戰(zhàn)
本文主要從身份認(rèn)證和隱私保護(hù)等角度對邊緣計(jì)算的信息安全需求進(jìn)行分析,在邊緣計(jì)算中,由于不同的部署選擇,邊緣計(jì)算服務(wù)提供者可以位于不同的地方,將計(jì)算服務(wù)靈活地?cái)U(kuò)展到網(wǎng)絡(luò)邊緣側(cè),但是這種靈活性使邊緣計(jì)算的可信任情況復(fù)雜化,使其不同于其他網(wǎng)絡(luò)架構(gòu),如圖3所示,邊緣計(jì)算網(wǎng)絡(luò)體系中涉及終端智能設(shè)備、邊緣計(jì)算設(shè)備、云中心等不同的功能實(shí)體,邊緣計(jì)算設(shè)備是介于網(wǎng)絡(luò)邊緣的終端用戶和云服務(wù)器之間的中間層。在這種開放式互聯(lián)背景下,身份認(rèn)證和管理功能遍布邊緣計(jì)算參考架構(gòu)的所有功能層級,用戶的身份認(rèn)證是邊緣計(jì)算的第一道防線,身份識別對確保應(yīng)用和數(shù)據(jù)的安全保密至關(guān)重要。
圖3 邊緣計(jì)算網(wǎng)絡(luò)體系
當(dāng)邊緣設(shè)備需要使用邊緣計(jì)算提供的服務(wù)時,如果缺乏身份驗(yàn)證服務(wù),一個流動的邊緣計(jì)算節(jié)點(diǎn)/服務(wù)器可以假裝成一個合法的邊緣計(jì)算設(shè)備或邊緣計(jì)算實(shí)例,并誘使邊緣側(cè)終端設(shè)備連接到它。一旦終端設(shè)備與虛假的邊緣計(jì)算節(jié)點(diǎn)建立連接,敵手就可以操縱來自終端用戶或云的傳入和傳出請求,秘密地收集或篡改終端設(shè)備數(shù)據(jù),并很容易發(fā)起進(jìn)一步的攻擊,虛假邊緣計(jì)算節(jié)點(diǎn)或服務(wù)器的存在是對用戶數(shù)據(jù)安全和隱私的嚴(yán)重威脅。除此之外,當(dāng)海量設(shè)備同時接入時,傳統(tǒng)的集中式安全認(rèn)證面臨巨大的性能壓力,特別是在設(shè)備集中接入時認(rèn)證系統(tǒng)往往不堪重負(fù)。最后,在這種通過不同網(wǎng)絡(luò)基礎(chǔ)設(shè)施互聯(lián)的分層體系架構(gòu)中,功能實(shí)體并非完全可信,而與用戶身份相關(guān)聯(lián)的信息都存儲在這些半可信的功能實(shí)體中,這極易引發(fā)用戶身份信息泄漏問題。因此在必要的時候,亟待開展適用于邊緣計(jì)算場景的去中心化、分布式的認(rèn)證方式,在實(shí)現(xiàn)輕量級認(rèn)證的同時,兼顧匿名性、群組認(rèn)證等功能。
3 邊緣計(jì)算身份認(rèn)證和隱私保護(hù)技術(shù)研究現(xiàn)狀
3.1 邊緣計(jì)算身份認(rèn)證技術(shù)研究現(xiàn)狀
身份認(rèn)證是邊緣計(jì)算安全的一個重要問題,因?yàn)檫吘売?jì)算節(jié)點(diǎn)/服務(wù)器向大規(guī)模終端用戶提供服務(wù)。本文將邊緣計(jì)算的主要安全問題視為不同級別的邊緣節(jié)點(diǎn)的認(rèn)證問題。傳統(tǒng)的基于PKI的身份驗(yàn)證效率不高,并且在網(wǎng)絡(luò)邊緣使用霧計(jì)算的用戶可擴(kuò)展性較差。
代表性的研究文獻(xiàn)主要有:Maged在文獻(xiàn)[8]中提出了在“云-邊-端”三層體系架構(gòu)下的邊緣網(wǎng)絡(luò)終端和邊緣服務(wù)器之間的安全相互認(rèn)證方案Octopus,該方案中不需要納入傳統(tǒng)的PKI體系,只是在注冊階段,每個終端設(shè)備需保存一個云中心頒發(fā)的長期主密鑰。Octopus允許任何終端設(shè)備在已獲得云中心授權(quán)的情況下,與邊緣計(jì)算網(wǎng)絡(luò)體系中的任一邊緣服務(wù)器進(jìn)行相互認(rèn)證,能夠有效地抵抗重放攻擊、中間人攻擊等多種類型攻擊。該方案能夠有效實(shí)現(xiàn)在邊緣計(jì)算架構(gòu)下終端設(shè)備的安全接入認(rèn)證,并且在認(rèn)證過程中采用對稱加密算法,適用于邊緣側(cè)計(jì)算資源和存儲資源受限的設(shè)備,但是該方案不支持匿名認(rèn)證。Amor [9]在該方案的基礎(chǔ)上做出了改進(jìn),利用雙線性配對算法實(shí)現(xiàn)了支持匿名認(rèn)證的接入認(rèn)證方案,在該方案中,認(rèn)證可以在不暴露真實(shí)身份的同時,驗(yàn)證對方的合法性,保證了惡意設(shè)備無法搜集終端設(shè)備的身份信息。
綜上所述,當(dāng)前關(guān)于邊緣計(jì)算身份認(rèn)證機(jī)制的研究尚未形成較為完善的研究體系和方法,已有的研究方案大多用于解決邊緣側(cè)設(shè)備的身份授權(quán)及單一作用域內(nèi)的身份認(rèn)證問題,而在跨不同作用域認(rèn)證場景下存在局限。邊緣計(jì)算身份認(rèn)證技術(shù)的研究需結(jié)合其分布式、移動性等特點(diǎn),在已有研究方案的基礎(chǔ)上,加強(qiáng)具有隱私保護(hù)性質(zhì)的認(rèn)證機(jī)制、跨作用域認(rèn)證等技術(shù)的研究,保障邊緣側(cè)業(yè)務(wù)在異構(gòu)網(wǎng)絡(luò)中的應(yīng)用安全。
3.2 邊緣計(jì)算身份隱私保護(hù)技術(shù)研究現(xiàn)狀
針對邊緣計(jì)算中身份信息隱私保護(hù)技術(shù)的研究,代表性的研究文獻(xiàn)主要有:Khalil 等 [10]通過引入身份管理系統(tǒng)(IDM)服務(wù)器來代替服務(wù)提供商管理終端用戶的身份信息,通過將授權(quán)、IDM 服務(wù)器和邊緣計(jì)算服務(wù)提供商分離,并添加額外的認(rèn)證層,來抵御IDM非法訪問、流量攔截攻擊和設(shè)備妥協(xié)等攻擊。Khan等[11]針對身份認(rèn)證過程中存在的憑證泄漏問題,提出了一種基于動態(tài)憑證的身份隱私保護(hù)方案,即通過云分組交換機(jī)制對終端設(shè)備的身份憑證進(jìn)行動態(tài)更新,以此防止憑證泄漏導(dǎo)致的攻擊問題,不僅如此,該方案還引入了第三方可信實(shí)體,通過將認(rèn)證憑證操作外包給可信實(shí)體,降低了終端設(shè)備的計(jì)算開銷。
當(dāng)前,針對邊緣計(jì)算[12]身份隱私保護(hù)技術(shù)的研究僅有一些探索性成果,邊緣計(jì)算設(shè)備更貼近數(shù)據(jù)源頭,與核心網(wǎng)中的云中心相比,邊緣計(jì)算設(shè)備可以收集更多的與用戶身份相關(guān)的敏感信息,而由于終端設(shè)備的計(jì)算資源受限,難以執(zhí)行代價昂貴的隱私保護(hù)算法,在邊緣計(jì)算服務(wù)中,如何保障終端用戶的身份隱私是亟待解決的問題之一。
4 未來技術(shù)發(fā)展方向
由于將現(xiàn)有身份認(rèn)證協(xié)議直接應(yīng)用于邊緣計(jì)算環(huán)境下存在一些問題,研究人員正在尋求解決的辦法。當(dāng)前國內(nèi)外學(xué)者對邊緣計(jì)算中信息安全技術(shù)的研究也處于探索階段,針對身份認(rèn)證協(xié)議的研究成果大多是生、參考架構(gòu)和信息安全需求,圍繞邊緣計(jì)算身份認(rèn)以現(xiàn)有的安全協(xié)議為基礎(chǔ),從靈活性、高效性、隱私證和隱私保護(hù)等關(guān)鍵技術(shù),對適用于邊緣計(jì)算架構(gòu)的保護(hù)等方面進(jìn)行改進(jìn)和優(yōu)化。但是由于邊緣計(jì)算中終身份認(rèn)證和隱私保護(hù)的最新研究成果進(jìn)行了闡述和分端設(shè)備的地理位置分布、高移動性和高實(shí)時性等特析。隨著國內(nèi)外研究的開展,將會出現(xiàn)更適合邊緣計(jì)點(diǎn),傳統(tǒng)的集中式安全認(rèn)證機(jī)制不再適用于該場景。算體系的信息安全技術(shù),需進(jìn)一步深入探討和研究。
邊緣計(jì)算身份認(rèn)證和隱私保護(hù)技術(shù)發(fā)展方向應(yīng)該包括以下幾點(diǎn):
((1)研究適用于邊緣計(jì)算架構(gòu)體系的關(guān)鍵技術(shù),支持用戶和邊緣計(jì)算設(shè)備建立連接時的端到端雙向認(rèn)證機(jī)制,以及邊緣計(jì)算設(shè)備對接入用戶的群組認(rèn)證、跨域認(rèn)證等;
(2)在邊緣計(jì)算中存在大量的分布式邊緣網(wǎng)關(guān),不同層次的邊緣網(wǎng)關(guān)等網(wǎng)絡(luò)實(shí)體的認(rèn)證,以及與云中心之間的統(tǒng)一身份管理等是一個需要考慮的安全問題;
(3)在安全功能適配特定的邊緣計(jì)算架構(gòu)的同時,還需實(shí)現(xiàn)安全功能的輕量化,使其能夠部署在各類硬件資源受限的網(wǎng)絡(luò)邊緣側(cè)終端設(shè)備中,最大限度地保障整個架構(gòu)的安全與可靠,提高海量終端設(shè)備的接入認(rèn)證效率。
5 結(jié)論
未來超過50%的數(shù)據(jù)需要在邊緣側(cè)分析、處理和儲存,邊緣計(jì)算應(yīng)用廣闊。本文介紹了邊緣計(jì)算的產(chǎn)生、參考架構(gòu)和信息安全需求,圍繞邊緣計(jì)算身份認(rèn)證和隱私保護(hù)等關(guān)鍵技術(shù),對適用于邊緣計(jì)算架構(gòu)的身份認(rèn)證和隱私保護(hù)的最新研究成果進(jìn)行了闡述和分析。隨著國內(nèi)外研究的開展,將會出現(xiàn)更適合邊緣計(jì)算體系的信息安全技術(shù),需進(jìn)一步深入探討和研究。
★ 基金項(xiàng)目: 國家自然科學(xué)基金項(xiàng)目“ 面向工業(yè)通信行為的異常檢測及安全感知方法研究” ( 6 1 7 7 3 3 6 8 ) 、預(yù)研基金項(xiàng)目(6140242010116Zk63001)和國家電網(wǎng)公司科技項(xiàng)目“邊緣計(jì)算在智能電網(wǎng)的應(yīng)用和安全防護(hù)技術(shù)研究”(52110118001H)。
作者簡介
陳春雨(1992-),男,碩士,黑龍江哈爾濱人,現(xiàn)就職于中國科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室,主要研究方向?yàn)樾畔踩?/p>
尚文利(1974-),男,博士、研究員,黑龍江北安人,現(xiàn)就職于中國科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室,現(xiàn)任全國工業(yè)過程測量控制和自動化標(biāo)準(zhǔn)化技術(shù)委員會可編程序控制器及系統(tǒng)分技術(shù)委員會(SAC/TC124/SC5)委員、工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟理事、邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟安全組副組長。主要從事工業(yè)信息安全、計(jì)算智能與機(jī)器學(xué)習(xí)方向研究。
參考文獻(xiàn):
[1] Cisco cloud index supplement. Cloud readiness regional details white paper[R]. 2017.
[2] 施巍松, 孫輝, 曹杰, 張權(quán), 劉偉. 邊緣計(jì)算:萬物互聯(lián)時代新型計(jì)算模型[J]. 計(jì)算機(jī)研究與發(fā)展, 2017, 54 ( 5 ) : 907 - 924.
[3] 林闖, 蘇文博, 孟坤, 劉渠, 劉衛(wèi)東. 云計(jì)算安全:架構(gòu)、機(jī)制與模型評價[J]. 計(jì)算機(jī)學(xué)報(bào), 2013, 36 ( 9 ) : 1765 - 1784.
[4] MAO YY, YOU CS, ZHANG J, et al. A survey on mobile edge computing:the communication perspective[J]. IEEE CommunicationsSurveys & Tutorials, 2017, PP ( 99 ) : 1.
[5] LOPEZ P G, MONTRESOR A, EPEMA D, et al. Edge-centric computing:vision and challenges[J]. ACM Sigcomm Computer Communication Review, 2015, 45 ( 5 ) : 37 - 42.
[6] 聯(lián)盟邊緣計(jì)算參考架構(gòu)2.0(下)[J]. 自動化博覽, 2018, 35 ( 3 ) : 58 - 61.
[7] 張佳樂, 趙彥超, 陳兵, 胡峰, 朱琨. 邊緣計(jì)算數(shù)據(jù)安全與隱私保護(hù)研究綜述[J]. 通信學(xué)報(bào), 2018, 39 ( 3 ) : 1 - 21.
[8] Ibrahim M H. Octopus: An Edge-Fog Mutual Authentication Scheme[J]. International Journal of Network Security, 2016, 18 ( 6 ) : 1089 - 1101.
[9] Amor A B, Abid M, Meddeb A. A Privacy-Preserving Authentication Scheme in an Edge-Fog Environment[C]. Ieee/acs, International Conference on Computer Systems and Applications. IEEE Computer Society, 2017 : 1225 - 1231.
[10] KHALIL I, KHREISHAH A, AZEEM M. Consolidated identity management system for secure mobile cloud computing[J]. Computer Networks, 2014, 65 ( 2 ) : 99 -110.
[11] KHAN A N, KIAH M L M, MADANI S A, et al. Enhanced dynamic credential generation scheme for protection of user identity in mobile-cloud computing[J]. The Journal of Supercomputing, 2013, 66 ( 3 ) : 1687 - 1706.
[12] 施魏松, 劉芳. 邊緣計(jì)算:Edge Computing[M]. 北京 : 科學(xué)出版社, 2018.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號