今日頭條
官方微信
官方抖音
資訊頻道★余濤,魏旻,華自信重慶郵電大學
1 引言
近年來,工業互聯網平臺和云計算等技術被引入到工業網絡中,可以對工業現場設備的海量數據進行處理,并能為工業應用提供計算服務[1~2]。但是云計算無法充分滿足工業應用中低延遲、位置感知和支持移動性等需求[3]。因此,在工業網絡中引入邊緣計算(Edge Computing)技術,可以提供高效實時的計算和存儲等服務[4],解決了云服務器網絡帶寬負擔大、計算響應延遲高的問題。但是,邊緣計算的引入使得工業網絡在邊緣側更易遭受攻擊[5~6]。惡意的或被俘獲的邊緣節點接入工業網絡,會造成工業生產的巨大損失[7]。因此,在滿足工業網絡中邊緣側計算能力和實時響應要求的同時,確保邊緣節點的安全接入是邊緣計算安全必須要解決的問題[8]。
本文針對工控系統環境下邊緣計算節點的身份認證機制,分析了工業邊緣計算安全面臨的威脅和工業邊緣計算網絡中身份認證的安全目標,設計了基于聯盟鏈的工業邊緣計算節點身份認證機制。該機制將邊緣計算節點的身份信息摘要作為交易寫入聯盟鏈賬本,將交易與分布式存儲系統關聯,并搭建了測試平臺。測試結果表明,本文提出的方法適用于存儲資源相對富裕的工業邊緣計算場景,能夠抵御消息篡改、重放、身份偽造等常見網絡攻擊,提高了身份認證的可靠性。
2 工業邊緣計算安全面臨的威脅
邊緣計算被引入工業網絡后,由于邊緣計算節點部署在缺少保護和監視的惡劣環境中,惡意攻擊者可以通過邊緣層對網絡發起攻擊,這些攻擊主要分為5大類,包括消息篡改攻擊、網絡中斷攻擊、偽裝攻擊、物理攻擊和區塊鏈攻擊。工業邊緣計算環境主要威脅如圖1所示。
圖1 工業邊緣計算環境主要威脅
消息篡改攻擊是攻擊者通過操縱合法邊緣節點的消息發起攻擊,主要包括重放攻擊、嗅探攻擊、消息推理和共謀攻擊[9]等;網絡中斷攻擊是攻擊者通過偽造網絡資源的機制,以中斷邊緣節點對網絡資源的訪問,主要攻擊包括DoS攻擊、干擾攻擊、虛擬消息攻擊和女巫攻擊等;偽裝攻擊是攻擊者通過操縱邊緣計算節點對網絡進行滲透,主要包括身份冒用、中間人攻擊[10]、ARP欺詐等;物理攻擊是通過竊取網絡的物理設備,注入惡意數據、代碼或程序,對邊緣節點或網絡發起攻擊,主要包括側信道攻擊、欺詐攻擊、密鑰竊取和零日攻擊[11]等。此外,在此架構下區塊鏈也會受到威脅,區塊鏈攻擊包括活躍性攻擊(LivenessAttack)[12]、交易隱私泄露、交易推理和雙倍開銷攻擊[13]等。本文提出的身份認證機制針對邊緣網絡可能受到的消息篡改攻擊和偽裝攻擊展開研究。
3 工業邊緣計算身份認證安全目標
在工業邊緣計算身份認證過程中,工業邊緣計算節點具有異構、分布式、實時性和資源有限的特征。因此,不同于傳統互聯網的安全需求,針對工業邊緣計算節點的特征,工業邊緣計算網絡中身份認證機制需滿足以下安全目標:
(1)分布式:分布式的身份認證服務可以降低單個身份認證服務的壓力,避免因身份認證服務器導致網絡的癱瘓;
(2)動態性:工業現場的各種設備以及網絡攻擊行為都是處于動態的,應結合工業邊緣計算節點的風險等級進行身份認證;
(3)可追溯性:工業邊緣計算節點的行為、數據等都應可追溯,便于身份認證系統使用這些行為數據防范惡意節點的攻擊;
(4)實時性:工業邊緣計算節點要為現場設備提供更加實時的計算、存儲等服務,引入的安全系統應避免占用過多的網絡資源;
(5)異構性:工業邊緣計算節點的網絡資源是異構的,存在許多資源受約束的工業邊緣計算節點,身份認證系統應當輕量級、低開銷。
4 基于聯盟鏈的邊緣計算節點身份認證架構
在傳統的邊緣計算參考架構中,PKI體制難以在邊緣層實現統一的密鑰管理和身份認證。因此,本文設計了基于聯盟鏈的邊緣計算節點身份認證架構,如圖2所示。該架構共分為3層:工業云平臺層、邊緣層和現場設備層。
圖2 基于聯盟鏈的邊緣計算節點身份認證架構
工業云平臺層包含工業云服務器(ICS,Industrial Cloud Server),工業云服務器在工業網絡中為工業現場設備和邊緣計算節點提供存儲、密集型計算、應用等服務。工業云服務器加入所有的邊緣層群組,從群組內的工業邊緣服務器獲取身份認證賬本數據,對所有的賬本群組的賬本數據進行存儲。
邊緣層是架構的邊緣側,包括工業邊緣服務器(IES,Industrial Edge Server)、邊緣控制器、工業邊緣網關等邊緣計算節點。
工業邊緣服務器為工業現場設備、邊緣控制、工業邊緣網關等提供實時的數據分析處理、數據存儲等服務。工業邊緣服務器組成聯盟鏈網絡,在邊緣層的聯盟鏈網絡中作為共識節點(Sealer)。根據信譽值將共識節點分為主節點(Leader)和副本節點(Replica)。
(1)群組(Group):鄰近的工業邊緣服務器與工業云平臺共同組成一個群組,群組內維護一個賬本。
(2)主節點:主節點負責將身份信息交易打包成區塊和區塊的共識。每輪共識過程中每個群組中擁有一個主節點。
(3)副本節點:副本節點負責區塊的共識和賬本的背書,每個群組中有多個副本節點。
(4)機構(Agency):根據工業邊緣服務器提供的不同服務類型,可將工業邊緣服務器劃分為多個機構,也可以所有工業邊緣服務器屬于同一機構。本文所指一個聯盟鏈網絡屬于一個機構,且工業云服務器屬于一個特定的機構,與其他聯盟鏈的機構分別組成群組關系。
(5)分布式存儲系統:在工業邊緣服務器間搭建的分布式存儲系統,用于賬本外存儲節點的詳細身份信息。
(6)工業邊緣網關(IEG,Industrial Edge Gateway):負責工業現場設備的工業通信協議和以太網之間的協議轉換等。
(7)邊緣控制器(EC,Edge Controller):工業邊緣服務器負責I/O控制、工控數據上報等。
現場設備層主要是大量的工業現場設備(IFD,Industrial Field Device),它通過邊緣網關接入邊緣層,執行工業生產任務、定期匯報數據等。
5 基于聯盟鏈的邊緣計算節點身份認證機制
基于聯盟鏈的邊緣計算節點身份認證機制運行在工業邊緣服務器中,主要有工業邊緣服務器進行數據采集和處理、工業邊緣服務器對節點風險評估和工業邊緣計算節點進行身份認證三大過程。其中工業邊緣計算節點進行身份認證包括系統初始化、邊緣計算節點身份注冊、邊緣計算節點身份認證、邊緣計算節點身份更新等過程,具體流程如下:
步驟一:工業邊緣服務器進行數據采集和處理。在進行身份認證之前,工業邊緣服務器會將與其通信的邊緣計算節點的行為特征數據進行統計分析,并將行為特征數據進行標準化處理存儲至分布式存儲系統中。
步驟二:工業邊緣服務器對節點風險評估。工業邊緣服務器利用步驟一中的數據集對節點風險評估模型進行訓練。訓練過后采用SGD分類器模型將節點分為低風險、中風險和高風險。
步驟三:工業邊緣計算節點進行身份認證。本文中身份認證機制主要有以下步驟:
(1)系統初始化:工業邊緣服務器在工業邊緣計算節點安裝聯盟鏈客戶端,并采用ECC算法獲得唯一的會話密鑰對,并向邊緣控制器和工業邊緣網關的節點下發唯一標識NodeID和公私密鑰對;
(2)邊緣計算節點身份注冊:邊緣控制器和工業邊緣網關將身份注冊請求發送至接入目標工業邊緣服務器,工業邊緣服務器作為共識節點調用身份注冊智能合約將身份注冊交易放入交易池,主節點從交易池中取出交易打包成區塊并發起共識,最終生成包含身份注冊交易的區塊。預編譯的身份注冊的智能合約RegSC由部署在工業云服務器的聯盟鏈控制臺進行部署。部署完成后,工業邊緣服務器會獲得身份注冊智能合約地址RegSCAddr;
(3)邊緣計算節點身份認證:由聯盟鏈控制臺對身份認證智能合約AuthenSC進行部署。在身份認證過程中工業邊緣服務器結合風險評估結果調用AuthenSC進行邊緣計算節點之間的身份認證;
(4)邊緣計算節點身份更新:聯盟鏈控制臺部署身份更新的智能合約UpdateSC。工業邊緣服務器就可以調用UpdateSC并將新的身份信息交易發起共識,同時共識節點會將邊緣計算節點在共識過程中的行為信息記錄下來進行共識節點的信譽值評分,根據信譽值排名選取新的共識節點,完成邊緣節點的身份更新。
6 性能測試與分析
對本文提出的身份認證機制的開銷進行測試和分析,主要包括身份認證機制的時間、共識確認時間,以及該身份認證機制在工業邊緣網絡中的適用性。測試條件為4個邊緣服務器IES作為共識節點,其硬件設備為樹莓派4B,聯盟鏈控制臺的硬件為Intel(R) Core(TM) i5 10210U CPU@1.60GHz,邊緣計算節點的數量共計7個。該測試平臺如圖3所示。
圖3 基于聯盟鏈的邊緣計算節點身份認證測試平臺
(1)時間開銷測試與分析
對本文提出的身份認證機制進行時間開銷測試,測試結果如圖4所示。場景1為普通邊緣計算節點間相互身份認證過程,平均認證時間開銷為720ms;場景2為共識邊緣計算節點與普通邊緣計算節點相互認證過程,平均認證時間開銷為594ms。場景1的平均認證時間大于場景2的原因是智能合約需要讀取更多的身份信息賬本和分布式存儲系統中的數據。在實際的工業場景中,隨著邊緣群組中共識節點的數量增加,身份認證的時間開銷可能會進一步增加。
圖4 身份認證時間測試
(2)共識確認時間測試與分析
本方案與PBFT算法[14]進行共識確認時間對比,搭建了有5個共識節點的工業邊緣計算網絡,共識時間測試結果如圖5所示。由于本方案中有根據邊緣計算節點信譽值的排名更換共識節點的過程,可以降低共識節點被挾持的可能且共識節點的數量并不是所有節點數量,因此本方案的共識確認時間相較于經典的PBFT有明顯的減小,適用于對時間敏感的工業邊緣計算網絡。
圖5共識確認時間對比結果
7 總結
邊緣計算是實現工業網絡智能化的重要基礎設施,而保障邊緣計算網絡安全是其在工業場景中部署實施的前提,本文在此背景下研究了一種基于聯盟鏈的工業邊緣計算節點身份認證機制。該機制作為工業邊緣計算安全體系的一部分,實現了對工業現場中邊緣計算節點的風險評估和身份鑒別,并通過對邊緣計算節點信譽值評估的方式選取高分節點作為共識節點參與共識,提高了身份認證安全性的同時降低了邊緣節點存儲和計算開銷。
作者簡介
余 濤(1996-),女,重慶墊江人,碩士研究生,現就讀于重慶郵電大學自動化學院/工業互聯網學院,主要從事工業網絡安全、區塊鏈方面的研究。
魏 旻(1982-),男,貴州貴陽人,教授,博導,現任重慶郵電大學自動化學院/工業互聯網學院院長,主要從事工業互聯網、智能制造、工業網絡安全、區塊鏈方面的研究。
華自信(2001-),女,四川達州人,碩士研究生,現就讀于重慶郵電大學自動化學院/工業互聯網學院,主要從事工業互聯網安全、區塊鏈方面的研究。
參考文獻:
[1] Guangming C., Qiang H., Bo L., et al. Efficient Verification of Edge Data Integrity in Edge Computing Environment[J]. IEEE Transactions on Services Computing, 2022 : 3233 - 3244.
[2] Baghiani R., Guezouli L., Korichi A., et al. Scalable Mobile Computing: From Cloud Computing to Mobile Edge Computing[C]. Bandung, Indonesia: 2022 5th International Conference on Networking, Information Systems and Security: Envisage Intelligent Systems in 5g//6G-based Interconnected Digital Worlds (NISS), 2022 : 1 - 6.
[3] Zou J. L., He D. B., Zeadally S., et al. Integrated Blockchain and Cloud Computing Systems: A Systematic Survey, Solutions, and Challenges[J]. ACM Computing Surveys, 2021, 54 (8) : 1 - 36.
[4] Raeisi V. M., Dakkak O., Habbal A., et al. Resource Scheduling in Edge Computing: Architecture, Taxonomy, Open Issues and Future Research Directions[J]. IEEE Access, 2023 : 25329 - 25350.
[5] Uddin R., Kumar S. P. Chamola V. Denial of service attacks in edge computing layers: Taxonomy, vulnerabilities, threats and solutions[J]. Ad Hoc Networks, 2023, 152 : 103322.
[6] Singh J., Bello Y., Hussein A., et al. Hierarchical Security Paradigm for IoT Multiaccess Edge Computing[J]. IEEE Internet of Things Journal, 2021, 8 (7) : 5794 - 5805.
[7] Li Q., Long H., Xu, Z., et al. A threat recognition solution of edge data security in industrial internet[J]. World Wide Web, 2022, 25 (5) : 2109–2138.
[8] Xu X., Zeng Z., Yang S., et al. A Novel Blockchain Framework for Industrial IoT Edge Computing[J]. Sensors, 2020, 20 (7) : 2061 - 2077.
[9] 付曉東, 漆鑫鑫, 劉驪, 等. 基于權力指數的DPoS共謀攻擊檢測與預防[J]. 通信學報, 2022, 43 (12) : 123 - 133.
[10] Wang Z. A privacy-preserving and accountable authentication protocol for IoT end-devices with weaker identity[J]. Future Generation Computer Systems, 2018, 82 : 342 - 348.
[11] 代興宇, 廖飛, 陳捷. 邊緣計算安全防護體系研究[J]. 通信技術, 2020, 53 (1) : 201 - 209.
[12] Gupta R., Reebadiya D., Tanwar S., et al. When blockchain meets edge intelligence: trusted and security solutions for consumers[J]. IEEE Network, 2021, 35(5): 272 - 278.
[13] Karame O. G., Androulaki E., Roeschlin M., et al. Misbehavior in bitcoin: a study of double-spending and accountability[J]. ACM Transactions on Information and System Security, 2015, 18 (1) : 1 - 32.
[14] Ma Z., Meng J., Wang J., et al. Blockchain-based decentralized authentication modeling scheme in edge and IoT environment[J]. IEEE Internet of Things Journal, 2021, 8 (4) : 2016 - 2023.
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號