国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

尚文利，趙劍明，劉賢達，尹隆，曾鵬 中國科學院沈陽自動化研究所，中國科學院網絡化控制系統重點實驗室

1　引言

物聯網應用需求的發展催生了邊緣式大數據處理模式，即邊緣計算模型，網絡邊緣設備具備了執行任務計算和數據分析的處理能力，將原有云計算模型的計算任務部分遷移到網絡邊緣設備上，以降低云計算中心的計算負載，減緩網絡帶寬的壓力，提高海量設備數據的處理效率。

為應對物聯網的快速發展需求，國際上處在行業前沿的企業、科研院所、大學等機構紛紛成立聯盟組織，包括工業互聯網聯盟、開放霧聯盟、邊緣計算產業聯盟等，從標準、規范、技術等方面引導云計算、邊緣計算的發展。

2014年3月，美國成立工業互聯網聯盟(IIC,Industrial Internet Consortium)，由通用電氣（GE）聯合ATT、思科、IBM和英特爾發起。IIC定位為產業推廣組織，致力于構建涵蓋工業界、ICT界和其它相關方的產業生態，推動傳感、連接、大數據分析等在工業領域的深度應用。2015年11月19日，ARM、思科、戴爾、英特爾、微軟和普林斯頓大學Edge Laboratory等物聯網領導者成立了開放霧聯盟（OFC，OpenFog Consortium）。2016年11月30日，邊緣計算產業聯盟（ECC，Edge Computing Consortium）在北京成立。該聯盟由華為技術有限公司、中國科學院沈陽自動化研究所、中國信息通信研究院、英特爾公司、ARM和軟通動力信息技術有限公司創始成立，首批成員單位共62家，涵蓋科研院校、工業制造、能源電力等不同領域。

本文介紹了云計算、霧計算和邊緣計算的定義，分析了OFC安全參考架構、IIC安全參考架構，以及ECC參考架構，最后，分析了邊緣計算的信息安全需求，指出了邊緣計算信息安全的關鍵技術創新點。

2　云計算、霧計算和邊緣計算

美國國家標準與技術研究院（NIST）給出了云計算的定義為“云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問，進入可配置的計算資源共享池（資源包括網絡、服務器、存儲、應用軟件、服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。”

OFC給出霧計算的定義為：“霧計算是一種靠近云物連接用戶側的，具有分布式計算、存儲、控制和網絡功能的水平系統級架構?！?/p>

IIC給出的邊緣計算的定義為：“邊緣計算是在靠近物或數據源頭的網絡邊緣側，融合網絡、計算、存儲、應用核心能力的開放平臺，就近提供邊緣智能服務，滿足行業數字化在敏捷聯接、實時業務、數據優化、應用智能、安全與隱私保護等方面的關鍵需求。”

云計算是通過使計算分布在大量的分布式計算機上，而非本地計算機或遠程服務器中，企業私有云一般擁有數百上千臺服務器。邊緣計算則是將智能、處理能力和通信能力都放在了邊緣網關或者應用設備中，處理數據是在節點或者工業物聯網網關進行的。業界觀點認為霧計算是一種過渡形式，隨著物聯網的快速發展，將形成邊緣計算與云計算的扁平化網絡通信模式。

3　OFC安全參考架構

2017年2月9日，美國加州弗里蒙特，OpenFog Consortium宣布發布OpenFog參考架構（RA），如圖1所示，旨在支持物聯網（IoT）、5G和人工智能（AI）應用的數據密集型需求的通用技術框架。OFC參考架構貫穿節點、網絡、數據、應用等，強調Endto-End security的實現。

圖1 OFC參考架構

（1）節點安全。包括物理安全機制、可信機制和虛擬化技術等，其中物理安全機制是針對物理特征（外殼、封裝或螺絲）的檢測、響應；可信機制包括可信根、可信啟動過程、身份證明、認證過程等；虛擬化技術是在有能力或重要的主節點實現任務的虛擬化，可隔離病毒發生。

（2）網絡安全。包括通信安全機制，訪問控制、入侵檢測、異常行為分析等防護技術，以及協議安全。其中通信安全機制涉及到機密性、完整性、認證性、不可抵賴性，并且在設計時能耗、復雜性、安全性要求不同，以及節點到云、節點到節點、節點到設備之間的安全通信路徑。

（3）數據安全。包括使用數據安全、存儲數據安全、遷移數據安全，其中使用數據安全技術涉及訪問權限、內存保護、機密性使用、調試接口訪問限制等技術，存儲數據安全涉及全磁盤加密、文件系統或數據庫加密、訪問權限等技術，遷移數據安全涉及VPN或SSL方式、連接加密、文件/數據加密等技術。

（4）安全管理。包括密鑰管理、密碼套件管理、身份管理、安全策略管理等。

4　IIC安全參考架構

美國GE提出并主導的工業互聯網聯盟（IIC，Industrial Internet Consortium）。2016年09月，發布了《工業物聯網安全框架》，如圖2所示，旨在解決工業物聯網（IIoT）及全球工業操作運行系統相關安全問題，從多個角度解決安全、可靠性和隱私問題。

三個層次視角解析安全架構，包括安全模型與策略、數據防護和安全點，其中技術層包括端點以及端點到云防護、通信與連接防護、安全監控與分析、安全配置與管理四個方面，技術層應考慮或支持數據安全，而安全模型和策略則作為整體統一的框架存在，進行統一調度。

圖2 IIC安全參考架構

安全模型與策略層包括安全目標、安全風險分析，以及整個框架內各個部分涉及的安全模型和策略。數據防護層包括數據防護的模型和策略，端點、通信、配置、監控數據的防護等內容，涉及存儲數據、使用數據、遷移數據等數據形式。技術層則包括以下幾個方面的內容：

（1）端點防護。端點防護強調可用性>機密性>完整性，包括端點防護模型與策略層、端點數據防護層、端點技術層。技術層包括端點物理安全，端點可信根，端點身份認證，端點訪問控制，端點監控、分析、配置管理，端點完整性保護等。

（2） 通信與連接防護。通信與連接防護包括通信與連接防護模型與策略層、通信與連接數據防護層、通信與連接防護技術層。技術層包括連接的物理安全，通信的端點雙向訪問控制、身份識別，信息流防護機制、網絡配置與管理、網絡監控與分析、通道加密技術等。

（3） 安全監控與分析。安全監控與分析包括安全監控與分析模型和策略層、安全監控與分析數據防護層、安全監控與分析技術層。技術層包括端點和通信監控、安全日志監控、信息流的連接關系監控、行為分析、基于規則的分析、阻止/允許、恢復、審計分析等。

（4） 安全配置與管理。安全配置與管理包括安全配置與管理模型和策略層、安全配置與管理數據防護層、安全配置與管理技術層。技術層包括安全模型動態變更、安全管理策略實施、安全管理策略、端點認證管理、端點配置管理、通信配置管理等。

5　邊緣計算信息安全技術

5.1　邊緣計算參考架構

2016年11月30日，邊緣計算產業聯盟發表《邊緣計算產業聯盟白皮書》，重點闡述邊緣計算產業趨勢與關鍵挑戰，介紹邊緣計算定義與內涵，展示邊緣計算產業聯盟頂層設計與運作模式，制定邊緣計算參考架構與技術框架，為聯盟后續的發展提供方向指引。

《白皮書》提出了邊緣計算參考架構1.0，如圖3所示，該架構基于分層設計，包含應用域、數據域、網絡域、設備域四個功能域。在應用域，將基于設備、網絡、數據功能域提供開放接口，實現邊緣行業應用，支撐邊緣業務運營。在數據域，提供數據優化服務，包括數據的提取、聚合、互操作、語義化以及分析與呈現的全生命周期服務，并保障數據的安全與隱私性。在網絡域，將為系統互聯、數據聚合與承載提供聯接服務。在設備域，將通過貼近或嵌入傳感、儀表、機器人和機床等設備的現場節點，支撐現場設備實現實時的智能互聯及智能應用。

圖3 邊緣計算參考架構

5.2　邊緣計算信息安全需求

本文從設備安全、網絡安全、數據安全和應用安全等幾個角度來分析邊緣計算的信息安全需求。設備安全面臨的主要問題包括設備身份認證、啟動與運行時的可信、生命周期的安全管理、端點安全審計、防DoS能力、漏洞掃描及挖掘等；網絡安全面臨的主要問題包括網絡邊緣深度防御、異常流量過濾、入侵檢測、網絡通信的機密性、協議安全性等；數據安全面臨的主要問題包括數據的完整性；傳輸數據的簽名、加密；使用數據的隱私安全、密鑰管理等；應用安全面臨的主要問題包括整個邊緣計算系統的安全狀態監測、安全態勢感知等。

5.3　邊緣計算信息安全創新點

本文針對上述邊緣計算的信息安全需求分析，提出了針對信息安全需求的技術發展趨勢，從設備安全、網絡安全和應用安全三個方面給出了技術展望。

設備安全應涉及到可信計算、訪問控制技術。可信計算技術將為邊緣計算網絡中的端點及數據傳輸提供安全處理能力，實現安全與控制獨立運行，保證端點設備啟動與運行過程中是可信的，設備使用及傳輸的數據是安全的、完整的、私密的。另外，可以通過硬件級可信認證技術，解決端點設備、感知測量節點的安全問題。同時，需要針對通信網絡層的攻擊，研發下一代工業防火墻，能夠集成多種安全功能于一體，實現安全功能軟件化的自由配置，簡化網絡部署并能動態調節安全功能，為邊緣計算提供邊界防護。

網絡安全應涉及到安全軟件定義技術。在邊緣計算網關中集成多種安全功能于一體，實現軟件定義的安全功能自由配置，簡化網絡部署，對發現的攻擊與入侵具有動態響應能力。如基于軟件定義網絡（Software Defined Network, SDN ）的安全功能協同與聯動技術，即基于SDN的思想，建立網絡的自身安全能力，控制層面將安全功能以軟件的形式實現，軟件層面賦予邊緣計算網關安全防護能力，更益于安全的聯動響應。

應用安全應涉及到安全態勢感知、聯動響應技術。以終端、數據、網絡安全日志及其他系統日志為基礎，通過大數據分析技術，研發警報關聯引擎、數據異常流量模塊、動態行為分析模塊等安全功能模塊，發現APT攻擊并進行動態處理，恢復現場。如基于大數據分析的安全態勢感知技術，即以大數據分析技術為基礎，通過數據異常分析、動態行為分析、警報關聯引擎等功能，對多種安全要素進行多角度、多粒度的威脅發現與感知。

6　結語

未來超過50%的數據需要在邊緣側分析、處理和儲存，邊緣計算應用廣闊。本文介紹了云計算、霧計算、邊緣計算的定義，闡述了開放霧聯盟、工業互聯網聯盟的信息安全參考架構，分析了邊緣計算的信息安全需求，提出了針對邊緣計算信息安全需求的技術發展趨勢。本文僅從幾個視角分析了邊緣計算信息安全技術的發展趨勢，隨著邊緣計算技術的日趨成熟，將會出現更為具體的信息安全需求，如輕量級實時加密認證技術等，需要進一步深入研究和探討。

作者簡介

尚文利（1974-），男，研究員，博士，黑龍江北安人，現就職于中國科學院沈陽自動化研究所，主要從事工業信息安全、計算智能與機器學習方向的研究?，F任工業控制系統信息安全產業聯盟理事成員、邊緣計算產業聯盟安全組副組長、中國自動化學會邊緣計算專業委員會委員、全國信息安全標準化技術委員會WG5工作組成員。

參考文獻：

[1] 邊緣計算產業聯盟. 邊緣計算參考架構1.0[Z]. 邊緣計算產業聯盟白皮書, 2016, 11.

[2] Bastien Confais, Adrien Lebre, Beno t Parrein. Performance Analysis of Object Store Systems in a Fog and Edge Computing Infrastructure[J]. Transactions on Large-Scale Data- and Knowledge-Centered Systems XXXIII, LNCS 10430, 2017, 40 - 79.

[3] Bonomi F., Milito R., Natarajan P., Zhu J.. “Fog computing: a platform for Internet of Things and analytics,” In Big Data and Internet of Things: A Roadmap for Smart Environments, 169 - 186, Springer, Cham, 2014.

[4] Bonomi F., Milito R., Zhu J., Addepalli S..“Fog computing and its role in the Internet of Things”, In Proceedings of the First Edition of the MCC Workshop on Mobile cloud computing. MCC, 2012, 13 - 16.

[5] Dubey H., Yang J., Constant N., Amiri A.M., Yang Q., Makodiya, K.. “Fog data: enhancing telehealth big data through fog computing”, In Proceedings of the ASE BigData & SocialInformatics, 2015: 14.

[6] Firdhous, M., Ghazali, O., Hassan, S.. “Fog computing: will it be the future of Cloud Computing ”, In Third International Conference on Informatics & Applications, Kuala Terengganu, 2014：8 - 15 .

[7] Raffaella Grieco, Delfina Malandrino, Vittorio Scarano. A Scalable Cluster-based Infrastructurefor Edge-computing Services. World Wide Web, 2006, 9: 317 - 341.

[8] Salvatore Distefano, Dario Bruneo, Francesco Longo, Giovanni Merlino, Antonio Puliafito. Personalized Health Tracking with Edge Computing Technologies.BioNanoScience, 2017, 7(7) , 439 - 441.

[9] The OpenFog Consortium Architecture Working Group. OpenFog Reference Architecture for Fog Computing[EB/OL]. http:// www.OpenFogConsortium.org,

[10] Industrial Internet Consortium. Industrial Internet of Things Volume G4: Security Framework[EB/OL]. http://www.iiconsortium.org.

摘自《工業控制系統信息安全》?？谒妮?/span>