国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

摘要：邊緣云計算主要適用于移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)等應(yīng)用場景，具有海量接入、復(fù)雜異構(gòu)和資源受限等特征。但是，在邊緣云計算備受關(guān)注和快速發(fā)展的同時，它也面臨了放置地點人員復(fù)雜、安全機制薄弱、硬件安全能力不足等新的安全問題。為此，本文從邊緣云計算 的概念提出，相關(guān)產(chǎn)業(yè)聯(lián)盟、社區(qū)和標(biāo)準(zhǔn)組織的形成出發(fā)，重點圍繞邊緣云計算環(huán)境下的認證、容器安全隔離、可信硬件支持等技術(shù)研究進展進行綜述，并討論未來發(fā)展方向。

關(guān)鍵詞：邊緣云計算；安全；認證；容器隔離；可信執(zhí)行環(huán)境

Abstract: Edge cloud computing is mainly applicable to mobile  Internet, Internet of things and industrial Internet. It has the  characteristics of massive access, complex heterogeneity and  resource constraints. However, while the edge cloud computing has  attracted much attention and developed rapidly, it is facing security  problems such as complicated locations, weak security mechanisms,  and lack of trusted hardware, and so on. Therefore, starting from the  concept of edge cloud to related industrial alliances, communities  and standard organizations, this paper focuses on the research  progress of authentication, container isolation and trusted hardware  support, and discusses their future directions. Key words: Edge cloud computing;

Security; Authentication; Container  isolation; Trusted execution environment

1　引言

隨著云計算、物聯(lián)網(wǎng)、人工智能、5G通信等新技術(shù)的快速發(fā)展，邊緣計算的概念被提出，并受到學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。

邊緣計算是一種新型的計算模式，它將計算與存儲資源部署在更貼近移動設(shè)備或傳感器的網(wǎng)絡(luò)邊緣，能夠極大地緩解網(wǎng)絡(luò)帶寬與數(shù)據(jù)中心的壓力，增強服務(wù)的響應(yīng)能力，并且能夠保護隱私數(shù)據(jù)，減少敏感數(shù)據(jù)上傳和在云端共享的風(fēng)險[1]。邊緣計算技術(shù)的出現(xiàn)，將云計算的能力拓展至距離終端最近的邊緣側(cè)，實現(xiàn)云邊端的統(tǒng)一管控，因此又產(chǎn)生了邊緣云計算的概念[2~6]。邊緣云計算能夠有效發(fā)揮5G技術(shù)的海量接入、低延遲、高帶寬等優(yōu)勢，賦能智慧城市、智能制造、智慧家庭等價值場景，具有巨大的應(yīng)用前景。

近年來，針對如何構(gòu)建邊緣云計算平臺，人們已經(jīng)開始了一些相關(guān)探索與實踐。其中，卡內(nèi)基梅隆大學(xué)研發(fā)的Cloudlet[2,7,8]為移動計算用戶提供“小云”服務(wù)，使用虛擬機來隔離不同應(yīng)用的運行環(huán)境，將OpenStack擴展到邊緣計算平臺，使分散的小云可以通過標(biāo)準(zhǔn)的OpenStack API進行控制和管理。美國威斯康星大學(xué)研發(fā)的ParaDrop[4]主要面向智能電網(wǎng)、車聯(lián)網(wǎng)、無線傳感執(zhí)行網(wǎng)絡(luò)等物聯(lián)網(wǎng)應(yīng)用場景，在物聯(lián)網(wǎng)網(wǎng)關(guān)中植入單片機，使其具備通用計算能力，并使用容器技術(shù)來隔離不同應(yīng)用的運行環(huán)境。網(wǎng)關(guān)上所有應(yīng)用都由云端控制，并對外提供API，用戶通過Web頁面與應(yīng)用進行交互，Web服務(wù)由云端提供，而傳感器采集的原 始數(shù)據(jù)則都存儲在網(wǎng)關(guān)上，保護了用戶的數(shù)據(jù)隱私。佐治亞理工學(xué)院研發(fā)的PCloud[3]將本地?邊緣以及云上的資源通過網(wǎng)絡(luò)連接，并由特殊的虛擬化層STRATUS將資源虛擬化，構(gòu)成資源池，PCloud將邊緣資源與云資源有機結(jié)合，使二者相輔相成、優(yōu)勢互補。此外，AWS 的Greengrass解決方案、電信領(lǐng)域正在推進的多接入邊緣計算（MEC）服務(wù)、華為的IEC/IEF和阿里的Link Edge等[5]，都在開始加快邊緣云服務(wù)的部署與應(yīng)用。

但是，與云計算相比，邊緣云計算主要面向移動計算、物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)應(yīng)用，具有海量接入、復(fù)雜異構(gòu)和資源受限等特征。因此，在邊緣云服務(wù)模式備受關(guān)注和快速發(fā)展的同時，邊緣計算平臺也將面臨許多新的安全威脅，包括邊緣計算節(jié)點容易被偽造、邊緣容器的安全隔離機制不足容易導(dǎo)致主機被攻擊、邊緣應(yīng)用/ 微服務(wù)的安全防護機制薄弱和缺乏硬件安全支持能力，容易導(dǎo)致用戶代碼和數(shù)據(jù)被竊取或篡改等，這將大大制約邊緣云計算服務(wù)模式的發(fā)展與應(yīng)用。因此，邊緣云及安全問題引起了國內(nèi)外工業(yè)界和學(xué)術(shù)界的廣泛關(guān)注。

鑒于此，本文將從國內(nèi)外邊緣計算及安全相關(guān)聯(lián)盟、社區(qū)和標(biāo)準(zhǔn)組織，以及國內(nèi)外邊緣計算安全相關(guān)技術(shù)研究進展展開分析和調(diào)研，并討論相關(guān)的技術(shù)挑戰(zhàn)和未來展望。

2　邊緣云計算安全相關(guān)工業(yè)聯(lián)盟、開源社區(qū)和標(biāo)準(zhǔn)組織

2.1　國外相關(guān)組織

2014年，歐洲電信標(biāo)準(zhǔn)協(xié)會（ETSI）成立移動邊緣計算（Mobile Edge Computing，MEC）規(guī)范工作組[9]，推進移動邊緣計算標(biāo)準(zhǔn)化工作。2016年，ETSI將 邊緣計算的概念擴展為多接入邊緣計算（Multi-Access Edge Computing），將MEC從電信蜂窩網(wǎng)絡(luò)擴展至其他無線接入網(wǎng)絡(luò)（如WLAN）。2017年7月，ETSI發(fā)布了標(biāo)準(zhǔn)化應(yīng)用程序接口（API），以支持邊緣計算的互操作性。其中，推動MEC設(shè)備的監(jiān)管、安全及計費問題是今后MEC方面的工作重點之一。

2015年，英特爾、華為、沃達豐與美國卡內(nèi)基梅隆大學(xué)聯(lián)合成立了開放邊緣計算聯(lián)盟（Op en Edge Computing Initiative，OEC）[10]，微軟、 VMWare、諾基亞、NTT等相繼加盟，主要致力于推動邊緣計算生態(tài)系統(tǒng)發(fā)展，提供邊緣計算關(guān)鍵參考架構(gòu)、應(yīng)用展示，建立真實的邊緣計算測試和試驗中心。同年，ARM、思科、戴爾、英特爾、微軟和普林斯頓大學(xué)共同成立了開放霧聯(lián)盟（Open Fog Consortium），旨在通過開發(fā)開放式架構(gòu)，解決產(chǎn)業(yè)之間互操作性、可擴展性等，分享最佳實踐，加快霧 （Fog）計算和邊緣計算技術(shù)的普及。

2017年 4月，戴爾物聯(lián)網(wǎng)解決方案部門的 J im White（Open Fog參考架構(gòu)的設(shè)計者之一）開源 EdgeX Foundry項目[11]，成為Linux基金會下的硬件和操作系統(tǒng)無關(guān)的開源中立的邊緣計算微服務(wù)框架，用于統(tǒng)一工業(yè)物聯(lián)網(wǎng)邊緣計算解決方案的生態(tài)系統(tǒng)，目前 包括戴爾、VMWare、AMD、Ubuntu、Redis等企業(yè)成員70多家，其中安全服務(wù)作為框架設(shè)計的兩個基礎(chǔ)系統(tǒng)服務(wù)之一，并且當(dāng)前的版本中已經(jīng)提供了安全存儲能力，能夠保護EdgeX機密信息，如令牌、密碼、證書 等，以及API網(wǎng)關(guān)能力，限制對EdgeX REST資源的訪問和控制操作。

2017年，全球性產(chǎn)業(yè)組織工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC） 成立Edge Computing TG，定義邊緣計算參考架構(gòu)[12]。同年，國際電工委員會（IEC）發(fā)布了VEI （Vertical Edge Intelligence）白皮書[13]，介紹了邊緣計算對于制造業(yè)等垂直行業(yè)的重要價值。國際標(biāo)準(zhǔn)化組織ISO/IEC JTC1 SC41成立了邊緣計算研究小組[14]，以 推動邊緣計算標(biāo)準(zhǔn)化工作。同時，邊緣計算也成為IEEE P2413物聯(lián)網(wǎng)架構(gòu)的重要內(nèi)涵，其中推進邊緣計算安全是邊緣計算標(biāo)準(zhǔn)化工作的重點之一。

2.2　國內(nèi)相關(guān)組織

2016年，中國科學(xué)院沈陽自動化研究所、中國信息通信研究院、華為技術(shù)有限公司、英特爾公司、 ARM和軟通動力信息技術(shù)（集團）有限公司聯(lián)合倡議發(fā)起成立邊緣計算產(chǎn)業(yè)聯(lián)盟（Edge Computing Consortium，ECC）[5]。2018年，在ECC《邊緣計算參考架構(gòu)3.0》給出的邊緣計算的定義中提及安全與隱私是五大關(guān)鍵要素之一。2019年11月，ECC和工業(yè)互 聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟（AII）聯(lián)合發(fā)布首個《邊緣計算安全白 皮書》，首次系統(tǒng)地分析和描述了邊緣計算的海量、異 構(gòu)、資源約束、實時性、分布式等五大需求特征給邊緣計算安全帶來的技術(shù)挑戰(zhàn)，并從邊緣云接入、邊緣云服務(wù)器、邊緣云管理等三個主要攻擊維度，系統(tǒng)地分析和描述了邊緣計算平臺面臨的十二大安全威脅。

2018年，中國電子技術(shù)標(biāo)準(zhǔn)化研究院和阿里云計算有限公司聯(lián)合推出《邊緣云計算技術(shù)及標(biāo)準(zhǔn)化白皮 書》，定義了邊緣云計算的概念、典型應(yīng)用場景、技術(shù)特點、標(biāo)準(zhǔn)化需求以及標(biāo)準(zhǔn)化建議。2019年12月，雙方又聯(lián)合發(fā)布了中國開源云聯(lián)盟標(biāo)準(zhǔn)《信息技術(shù)云計算邊緣云計算通用技術(shù)要求》（COSCL 0004-2019） （2020年1月1日實施）[6]，其中邊緣云安全能力覆蓋邊緣云基礎(chǔ)設(shè)施安全、運行在邊緣云上的應(yīng)用安全、數(shù)據(jù)安全、邊緣云平臺安全等要求。

3　邊緣云計算安全相關(guān)技術(shù)進展

3.1　邊緣云計算環(huán)境下的身份認證

近年來，人們開始針對邊緣云計算開展相關(guān)認證技術(shù)研究，目前主要研究的是邊緣服務(wù)器與用戶之間的雙向認證技術(shù)，目的是防止接入惡意用戶，或者防止接入到惡意的邊緣服務(wù)器，同時考慮減少接入認證時的計算和通信開銷；少數(shù)工作關(guān)注了云-邊緣平臺之間的認證和通信安全問題，主要考慮的是增加認證次數(shù)和通信過程中的數(shù)據(jù)安全性。

（1）邊緣服務(wù)器與用戶之間的認證技術(shù)

目前的研究方案主要聚焦在邊緣服務(wù)器和用戶 （手機或移動設(shè)備）之間的雙向認證方案研究，而且大多假定邊緣服務(wù)器之間不會進行通信，邊緣服務(wù)器只和云中心進行通信或者只和用戶進行通信，這類方案主要解決兩類安全問題，具體如下：

一是，針對用戶（手機/移動設(shè)備）資源受限，以及無線通信（如WLAN）或電信網(wǎng)絡(luò)容易被竊聽等安全問題。由于移動手機用戶從不同的服務(wù)提供商訪問不同類型的移動云計算服務(wù)時，用戶通常需要在每個服務(wù)提供商上注冊不同的用戶賬戶，并且需要維護相應(yīng)的私鑰或密碼進行身份驗證，導(dǎo)致用戶接入移動云服務(wù)的認證過程過于繁瑣。針對上述問題，國立臺灣科技大學(xué)[15]提出了一種基于身份加密系統(tǒng)（IBC）的隱私保護認證方案，該方案僅需要移動用戶保存一個私 鑰，便可與不同服務(wù)提供商進行認證，前提是用戶知道服務(wù)提供商的所有身份，反之亦然，減少了密鑰管理開銷。同時，該方案基于ECC橢圓曲線（而非RSA）運算進行密鑰協(xié)商，除了注冊階段需要可信第三方參與之外，后續(xù)的認證階段無需可信第三方參與，保證了通信安全，并減少了用戶計算和通信的開銷。

二是，針對邊緣服務(wù)器容易遭受攻擊、偽造等安全問題。由于邊緣服務(wù)器可能部署在商場、機場、公園、停車場，甚至長途汽車等交通工具內(nèi)部，這些場所用戶的流量大（如：接入規(guī)模、移動性大），可能導(dǎo)致用戶錯誤接入一個惡意的邊緣服務(wù)器。針對上述問題，埃及哈勒旺大學(xué)[16]提出了一種終端用戶與霧服務(wù)器之間的雙向認證方案Octopus，該方案只需要在用戶注冊時基于用戶ID為其生成一個長期有效的主密鑰（足夠長），以及基于用戶主密鑰、霧（相當(dāng)于邊緣云）ID和霧服務(wù)器（相當(dāng)于邊緣服務(wù)器）ID計算得到用戶驗證密鑰（存放在邊緣服務(wù)器中），便可以與任何（包括新加 入的）邊緣服務(wù)器進行雙向認證，抵抗惡意邊緣服務(wù)器攻擊。同時，由于該方案的認證過程主要基于Hash運 算和對稱加密運算，大大減少了認證計算的開銷。

（2）云-邊緣服務(wù)器之間的認證技術(shù)

除了邊緣服務(wù)器與用戶之間的雙向認證技術(shù)研究之外，還有一些研究工作關(guān)注了云-邊緣服務(wù)器之間的認證和通信安全問題，這類方案主要解決兩類安全問題，具體如下：

一是，針對云-邊緣僅一次性認證的安全問題。由于邊緣服務(wù)器無法像傳統(tǒng)云服務(wù)器一樣能隨時進行管理與更改，僅僅在其初始化階段認證一次，這種做法無法應(yīng)對后續(xù)可能出現(xiàn)的安全風(fēng)險。針對上述問題， 英特爾[17]應(yīng)用可信計算TPM模塊增強運行在邊緣服務(wù)器上的容器基礎(chǔ)設(shè)施的安全性，并遠程證實/驗證容器基礎(chǔ)設(shè)施的可信性。此外，中南民族大學(xué)[18]提出了一種基于電磁輻射（與實體行為相關(guān)的硬件指紋）的持續(xù)邊緣主機身份認證技術(shù)，主要利用支持向量機分類器，對邊緣主機的電磁輻射硬件指紋進行識別，從而實現(xiàn)身份的持續(xù)認證。

二是，針對云-邊緣消息通信安全被忽略的問題。正如云安全聯(lián)盟（CSA）所強調(diào)的那樣，開發(fā)高效的云到邊緣系統(tǒng)的一個有價值的方法是基于即時消息通信解決方案，但是在當(dāng)前的云-邊計算環(huán)境中，基于即時消息協(xié)議的消息中間件（Message Oriented Middleware，MOM）提供了良好的性能，卻忽略了安全性需求。針對上述問題，意大利墨西拿大學(xué)[19]提出了一種安全管理方法，目的是按照CSA準(zhǔn)則，改進這種云到邊緣系統(tǒng)即時消息通信過程的安全性，以實現(xiàn)數(shù)據(jù)保密性、完整性、真實性和不可抵賴性所涉及的問題。

3.2　邊緣云計算環(huán)境下的容器安全隔離

近年來，人們開始針對邊緣容器安全隔離技術(shù)開展研究，大多采用的是基于底層系統(tǒng)的容器安全增強、容器的權(quán)限限制的方法來實現(xiàn)容器隔離，主要目的是防止由于同一主機上的多個容器共享內(nèi)核，黑客更容易通過容器攻破底層宿主機（邊緣服務(wù)器）的安全問題；同時，在相關(guān)技術(shù)的研究過程中還需要有效保證容器的兼容性和可用性。

（1）基于底層系統(tǒng)的容器安全增強技術(shù)

一些研究工作關(guān)注如何通過底層操作系統(tǒng)安全能 力，或者增加新的底層功能，或者減少內(nèi)核/容器鏡像來實現(xiàn)對容器的安全隔離，這類方案主要解決兩類安全問題，具體如下：

一是，針對底層系統(tǒng)對容器的安全保障不足問題。 意大利貝爾加莫大學(xué)[20]提出了對Dockerfile的擴展技 術(shù)，為運行在Docker鏡像中的進程提供Linux系統(tǒng)層支持的特定SELinux安全策略，限制容器中進程的權(quán) 限。但是這種方法與原有的容器生態(tài)不兼容，限制了其使用范圍。谷歌公司專門開發(fā)了gVisor[21]，一個使用 Golang這種內(nèi)存安全的語言編寫的用戶空間內(nèi)核，它實現(xiàn)了Linux系統(tǒng)調(diào)用的很大一部分，當(dāng)容器中的應(yīng)用調(diào)用系統(tǒng)調(diào)用時，它會攔截并且在用戶空間提供相應(yīng)的服務(wù)。通過這種方式，容器中的應(yīng)用不能直接調(diào)用宿主機提供的系統(tǒng)調(diào)用，降低了宿主機被攻擊的風(fēng)險。但是當(dāng)容器中的應(yīng)用需要調(diào)用大量的系統(tǒng)調(diào)用時，這種方案會大大降低應(yīng)用的性能。

二是，針對底層系統(tǒng)及容器的鏡像過大的安全問題。美國威斯康星大學(xué)[22]提出使用動態(tài)和靜態(tài)分析來標(biāo)識用于運行特定應(yīng)用程序的最少資源集的方法-Cimplifier，從而大大減少了應(yīng)用程序容器鏡像的大小。蘇黎世IBM研究院[23]通過刪除或阻止未使用的內(nèi)核代碼段的執(zhí)行來有效地減少攻擊面，但是這種方法的實施難度比較大，而且不能保證所有可能會被用到的代碼段都被保留。Nabla容器[24]實現(xiàn)了容器之間的強 隔離，只允許容器執(zhí)行7個系統(tǒng)調(diào)用，但是它有很多限 制，例如不允許動態(tài)加載庫、不允許用于與其他進程共享內(nèi)存的mmap等，可用性差。

（2）基于程序分析的容器權(quán)限限制技術(shù)

除了通過底層系統(tǒng)來限制容器權(quán)限的安全隔離技術(shù)研究之外，還有許多研究工作關(guān)注了容器可訪問系統(tǒng)調(diào)用/特權(quán)最小集的程序分析技術(shù)上，從而限制容器惡意利用不必要的系統(tǒng)調(diào)用/特權(quán)對宿主機（邊緣服務(wù)器）造成威脅，這類方案主要解決兩類安全問題，具體如下：

一是，針對容器可訪問系統(tǒng)調(diào)用過多的安全問題。自2016年1.10版本，Docker支持了seccomp機 制，以限制運行在Docker容器中的應(yīng)用能夠訪問的系統(tǒng)調(diào)用，降低了宿主機的攻擊面。但是對于特定的容器來說，Docker默認允許的系統(tǒng)調(diào)用仍舊很多（總共有300多個系統(tǒng)調(diào)用，默認僅禁用44個）。為了解決此問題，中科院信工所[25]提出了一種應(yīng)用容器的分階段執(zhí)行來區(qū)分容器運行的必要和不必要的系統(tǒng)調(diào)用方法SPEAKER，從容器的運行過程中刪除部分只在容器的啟動階段使用的系統(tǒng)調(diào)用。知名開源工具DockerSlim[26]通過創(chuàng)建臨時容器，跟蹤用戶在臨時容器中的操作，得到容器在運行時需要的系統(tǒng)調(diào)用。但是上述方法都不能保證容器運行時需要的所有系統(tǒng)調(diào)用都動態(tài)跟蹤得到，可能導(dǎo)致容器運行時出錯。北京大學(xué)研究人員[27]提出了一種將動態(tài)分析和靜態(tài)分析結(jié)合的方法，通過動態(tài)分析獲得容器啟動時所需系統(tǒng)調(diào)用及運行時所需訪問的可執(zhí)行文件，再靜態(tài)分析可執(zhí)行文件需要訪問的系統(tǒng)調(diào)用，得到特定容器應(yīng)用運行時需要的系統(tǒng)調(diào)用，減少攻擊面的同時保證了容器不出錯，可用性更強。

二是，針對容器擁有的特權(quán)過大的安全問題。為了增強容器的安全性，大多數(shù)容器采用了Linux內(nèi)核提供的權(quán)能機制（Capability機制）來約束容器內(nèi)部進程的能力。通過Capability機制，超級用戶的特權(quán)被劃分為38個不同的權(quán)能（Capability），每種權(quán)能代表了某些被允許的特權(quán)行為，例如擁有權(quán)能CAP_NET_ ADMIN，表示擁有了執(zhí)行與網(wǎng)絡(luò)相關(guān)操作的特權(quán)。 自2018年1.18版本，默認情況下，由Docker創(chuàng)建的容器通常擁有14種權(quán)能（默認禁用了23個，共37個權(quán)能）。但是對于特定的容器來說，Docker默認擁有的特權(quán)仍舊有一部分是不必要的。為了解決此問題，韓國科學(xué)技術(shù)院（KAIST）[28]通過使用strace跟蹤進程執(zhí)行時所需的系統(tǒng)調(diào)用，然后把這些系統(tǒng)調(diào)用映射到相應(yīng)的權(quán)能，進而得到容器在運行時所需要的最小權(quán)能集，限制容器內(nèi)部進程運行時的特權(quán)，減少特權(quán)過大帶來的安全風(fēng)險。

3.3　邊緣云計算環(huán)境下的可信硬件支持

由于可信硬件提供的安全隔離運行環(huán)境能夠增強邊緣服務(wù)器的安全保障能力，人們近年來開始關(guān)注邊緣服務(wù)器的可信硬件支持技術(shù)研究。一方面，能夠有效解決邊緣服務(wù)器上的軟件系統(tǒng)遠程維護和更新困難、缺陷容易被黑客利用問題；另一方面，能夠保障可信硬件支持環(huán)境下，在邊緣服務(wù)器上部署云原生應(yīng)用可能存在的兼容性和性能開銷大的問題。

（1）可信硬件能力支持及性能優(yōu)化技術(shù)

一些研究工作關(guān)注在邊緣服務(wù)器端集成可信硬件的可行性評估，以及如何優(yōu)化可信硬件支持下的上下文切換、內(nèi)存頁替換、內(nèi)存加解密性能，這類方案主要解決兩類安全問題，具體如下：

一是，針對邊緣服務(wù)器缺乏硬件安全能力支持的問題。美國韋恩州立大學(xué)[29]對TEE可信硬件集成到邊緣 計算節(jié)點的可行性進行了系統(tǒng)性的評估：

· 在Intel Fog Node邊緣服務(wù)器（8核Intel Xeon E3-1275處理器和32GB DDR4內(nèi)存）上進行了集成 Intel SGX能力的測試，其中上下文切換時間為2~3微秒、敏感數(shù)據(jù)計算時間為6.7微秒、總體時間開銷下降 0.48%。

· 在ARM Juno Board（ARM V8）上進行了集成 ARM TrustZone能力的測試，其中上下文切換時間為 0.2微秒、敏感數(shù)據(jù)計算時間為9.67微秒、總體時間開銷下降0.13%。

· 在帶AMD EPYC-7251處理器的機器上進行了集成AMD內(nèi)存加密能力的測試，其中上下文切換時間為3.09微秒、敏感數(shù)據(jù)計算時間約0微秒、總體時間開銷下降4.14%。結(jié)論是，TEE集成后給邊緣服務(wù)器節(jié)點帶來的計算性能開銷都比較低，具有可行性。

二是，針對可信硬件支持帶來的計算性能開銷的問題。針對可信硬件支持下安全區(qū)代碼與非安全區(qū)代碼交互/上下文切換可能產(chǎn)生較大性能開銷的問題，英特爾[30] 提出了一種通過交互/上下文切換時的異步調(diào)用機制進行優(yōu)化。SGX的EPC內(nèi)存目前一共僅有128MB（其中只有 96MB是可用的），可用內(nèi)存空間很小，可能會帶來計算過程中頻繁的內(nèi)存頁面替換問題，產(chǎn)生較大的性能開銷。針對該問題，佐治亞理工學(xué)院研究人員[31]提出了一 種減小EPC頁面元信息占用空間的方法STANlite進行了 優(yōu)化。針對內(nèi)存加密開銷大的問題，英國LSDS研究組[32] 提出了一種盡量對內(nèi)存數(shù)據(jù)采用連續(xù)訪問的數(shù)據(jù)結(jié)構(gòu)、 避免采用隨機訪問的數(shù)據(jù)結(jié)構(gòu)設(shè)計的方法進行了優(yōu)化。

（2）基于可信硬件的應(yīng)用支持技術(shù)

除了可信硬件能力支持及性能優(yōu)化技術(shù)研究之外， 還有許多研究工作關(guān)注了如何開發(fā)TEE可信硬件環(huán)境下的應(yīng)用支持技術(shù)，從而保證云原生應(yīng)用在支持TEE的邊 緣服務(wù)器上的快速部署與應(yīng)用問題，這類方案主要解決兩類安全問題，具體如下：

一是，針對應(yīng)用的兼容性問題。為了支持云原生應(yīng)用的部署與應(yīng)用[33]，研究人員在TEE可信執(zhí)行環(huán)境內(nèi)設(shè)置操作系統(tǒng)庫或者標(biāo)準(zhǔn)函數(shù)庫來支持TEE內(nèi)應(yīng)用程序的執(zhí)行，從而實現(xiàn)兼容性。例如：微軟公司 [34]提出的Haven，是在TEE中實現(xiàn)一個Drawbridge 操作系統(tǒng)庫，從而能夠在TEE中直接運行未修改的 Windows應(yīng)用程序。紐約州立大學(xué)石溪分校提出的 Graphene[35]，是在TEE中部署一個操作系統(tǒng)庫，從而能夠支持在TEE上快速部署未修改的Linux應(yīng)用程序。 英國LSDS研究組提出的SCONE[32]，則是在TEE中配置了標(biāo)準(zhǔn)C函數(shù)庫的修改版本，從而能夠支持重新編譯的 Linux應(yīng)用程序。

二是，針對敏感代碼的合理劃分問題。支持應(yīng)用兼容性方案將所有代碼或大多數(shù)代碼放在安全區(qū)中，會導(dǎo)致可信計算基（TCB）很大，而TCB越大，帶來的安 全性問題也越大。為此，研究人員開始研究如何將原生的應(yīng)用程序劃分為敏感和非敏感部分，僅將較小的敏感代碼部分放入安全區(qū)，從而通過減少TCB來降低安全風(fēng)險。例如，英國帝國理工學(xué)院[36]提出了一種基于C語言的SGX應(yīng)用程序源碼劃分框架Glamdring，主要通過開發(fā)人員對應(yīng)用程序中安全敏感數(shù)據(jù)的注釋，采用程序分析方法，分析找出與安全敏感數(shù)據(jù)安全性有關(guān)的代碼和數(shù)據(jù)。瑞士洛桑聯(lián)邦理工學(xué)院[37]提出的Secured Routines，是一種將可信執(zhí)行代碼編寫集成到編程語言中的方法，它通過擴展Go語言，以允許程序員在TEE內(nèi)調(diào)用敏感操作、使用開銷小的通道通信，以及允許編譯器自動提取安全代碼和數(shù)據(jù)。

4　邊緣云計算安全技術(shù)挑戰(zhàn)與展望

在邊緣云計算安全研究領(lǐng)域，人們已經(jīng)在邊緣云計算的認證技術(shù)、容器安全隔離技術(shù)、可信硬件支持技術(shù)方面開展了一些相關(guān)研究工作。但是，上述研究工作存在一定的局限性，有待進一步的研究、探索和 實踐。

（1）云-邊緣服務(wù)器之間的動態(tài)認證方案。目前主要研究的是邊緣服務(wù)器與用戶之間的雙向認證方案，極少數(shù)工作關(guān)注了云-邊之間的認證和通信安全問題。僅 由云對邊緣計算節(jié)點初始化/注冊時的一次性認證或指紋認證，無法應(yīng)對邊緣計算節(jié)點后續(xù)狀態(tài)動態(tài)變化帶來的風(fēng)險，將危及用戶數(shù)據(jù)的安全與隱私。此外，用戶與偽造/惡意的邊緣節(jié)點直接進行頻繁的身份驗證，可能會造成大量用戶浪費不必要的認證開銷，甚至造成拒絕服務(wù)。所以，未來將重點開展云對邊緣服務(wù)的動態(tài)認證方案研究。

（2）邊緣容器權(quán)限的動態(tài)最小化方法。目前主要研究的是如何通過底層系統(tǒng)安全增強、鏡像裁剪、容器系統(tǒng)調(diào)用/特權(quán)限制的方法來實現(xiàn)容器的安全隔離。對于底層系統(tǒng)安全增強的方案，容易帶來兼容性差的問題；對于鏡像裁剪的方案，可以有效解決輕量級和安全攻擊面減小的問題，但是依然會存在兼容性不足的情況；對于容器應(yīng)用可訪問的系統(tǒng)調(diào)用或特權(quán)進行限制的方法適應(yīng)性強，但是需要提前對所有應(yīng)用容器進行程序分析，無法實現(xiàn)動態(tài)控制。所以，未來將重點開展容器權(quán)限的動態(tài)最小化方法研究。

（3）邊緣應(yīng)用TEE敏感代碼的生成技術(shù)。目前主要研究的是如何對云原生應(yīng)用在邊緣服務(wù)器TEE環(huán)境下的代碼兼容性和代碼的合理劃分問題，包括TEE敏感代碼依賴的函數(shù)庫/系統(tǒng)庫支持技術(shù)保證兼容性，以及通過基于程序分析的TEE代碼劃分、編程語言擴展和編譯器修改等方法支持TEE應(yīng)用的開發(fā)，但是需要的學(xué)習(xí)成本高、容易出錯、代碼的安全性驗證困難。所以，未來將重點開展TEE應(yīng)用代碼自動生成與安全性驗證技術(shù)研究。

5　結(jié)論

本文從邊緣云計算的概念提出，相關(guān)產(chǎn)業(yè)聯(lián)盟、社區(qū)和標(biāo)準(zhǔn)組織的形成出發(fā)，重點圍繞邊緣計算節(jié)點容易被偽造、邊緣容器的安全隔離機制不足容易導(dǎo)致主機被攻擊、邊緣服務(wù)器的安全防護機制薄弱和缺乏硬件安全支持能力容易導(dǎo)致用戶代碼和數(shù)據(jù)被竊取或篡改等安全問題，從邊緣云計算環(huán)境下的認證、容器安全隔離、可信硬件支持等三個方面的技術(shù)研究進展進行了分析與綜述，并展望了這些方面的未來研究趨勢。

作者簡介：

沈晴霓，北京大學(xué)教授、博士生導(dǎo)師，主要研究方向為操作系統(tǒng)與虛擬化安全，云/邊緣計算安全、大數(shù)據(jù)安全與隱私、可信計算與區(qū)塊鏈安全等，主持和參與30多項國家、省部級和企業(yè)合作科研項目，發(fā)表TDSC、Computer J、計算機學(xué)報、軟件學(xué)報、電子學(xué)報、CCS、AsiaCCS、ACSAC、RAID、ICWS、 IPDPS、SecureComm、ICICS等國際國內(nèi)頂級和著名期刊或會議上發(fā)表學(xué)術(shù)論文90多篇，授權(quán)美國、歐洲和國內(nèi)發(fā)明專利35項，部分已應(yīng)用，參與制定國家標(biāo)準(zhǔn)2項，獲國家精品在線開放課程獎等。

參考文獻：

[1] 趙梓銘, 劉芳, 蔡志平, 肖儂, 等. 邊緣計算應(yīng)用與挑戰(zhàn)[J]. 計算機研究與發(fā)展, 2018, 55(2) : 327 - 337.

[2] Grace Lewis, Sebastian Echeverria, Soumya Simanta, et al. Tactical Cloudlets: Moving Cloud Computing to the Edge[J]. In proc. of  2014 IEEE Military Communications Conference, 2014 : 1440 - 1446.

[3] Jang M, Schwan K, Bhardwaj K, et al. Personal Clouds: Sharing And Integrating Networked Resources To Enhance End User  Experiences[J]. In proc. of 2014 IEEE INFOCOM, 2014 : 2220 - 2228.

[4] Liu P, Willis D, Banerjee S. ParaDrop: Enabling Lightweight Multi-tenancy at the Network's Extreme Edge[J]. In proc. of IEEE/ACM  Symposium on Edge Computing 2016, 2016 : 1 - 13.

[5] 邊緣計算產(chǎn)業(yè)聯(lián)盟, 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟. 邊緣計算安全白皮書, 2019.

[6] COSCL 0004-2019. 信息技術(shù) 云計算 邊緣云計算通用技術(shù)要求[S].

[7] Satyanarayanan, M., Bahl, P., Caceres, et al. The Case for VM-Based Cloudlets in Mobile Computing[J]. IEEE Pervasive Computing,  2009, 8 (4) : 14 - 23.

[8] Ha K, Satyanarayanan, M. Openstack++ for Cloudlet Deployment, CMU-CS-15-123[R]. Pittsbergh: CMU School of Computer  Science, 2015. https://github.com/cmusatyalab/elijah-OpenStack

[9] https://ihsmarkit.com/products/etsi-standards.html

[10] https://www.openedgecomputing.org

[11] https://www.edgexfoundry.org

[12] Introduction to Edge Computing in IoT : 2018, https://www.iiconsortium.org/pdf/

[13] IEC White Paper Edge intelligence : 2017, https://webstore.iec.ch/publication/60568

摘自《自動化博覽》2021年8月刊