◆靳起朝 任 超

?

基于零信任架構的邊緣計算接入安全體系研究

◆靳起朝 任 超

（邢臺市公安局科信處 河北 054000）

邊緣計算作為一種新型計算架構，已開始在國計民生的諸多領域應用，但網(wǎng)絡安全問題已成為制約其大規(guī)模應用推廣的瓶頸。本文充分調研了邊緣計算的架構、特點，深入分析了其面臨的安全風險，基于可信計算、零信任安全等先進理念和技術，針對性地設計了網(wǎng)絡接入層面的安全防護體系，不僅能防御當前的種種攻擊，而且符合我國等級保護制度的相關要求。

邊緣計算；零信任安全；可信計算

0 前言

隨著物聯(lián)網(wǎng)和大數(shù)據(jù)技術的深入發(fā)展和廣泛應用，越來越多的行業(yè)被驅動創(chuàng)新，出現(xiàn)了智慧交通、智慧醫(yī)療、智慧校園等一系列的惠民應用。然而，隨著接入網(wǎng)絡的設備數(shù)量激增，網(wǎng)絡中傳輸?shù)臄?shù)據(jù)也在呈幾何式增長，傳統(tǒng)的云計算中心已無法滿足低時延、密集化的網(wǎng)絡接入和服務需求。因此，在網(wǎng)絡邊緣利用分散的計算、存儲資源，執(zhí)行數(shù)據(jù)分布式處理任務，緩解云計算中心的負載，將成為物聯(lián)網(wǎng)發(fā)展的關鍵。邊緣計算正是為滿足這種計算需求而被提出，是在靠近物或數(shù)據(jù)源頭的網(wǎng)絡邊緣側，融合網(wǎng)絡、計算、存儲、應用核心能力的分布式開放平臺，就近提供邊緣智能服務，滿足行業(yè)數(shù)字化在敏捷聯(lián)接、實時業(yè)務、數(shù)據(jù)優(yōu)化、應用智能、安全與隱私保護等方面的關鍵需求[1]。邊緣計算將云計算的服務資源擴展到了網(wǎng)絡的邊緣，解決了云計算中心計算負載過重、網(wǎng)絡傳輸帶寬壓力過大、網(wǎng)絡傳輸時延過高等問題，是連接物理世界和數(shù)字世界的媒介。

然而，邊緣計算興起的同時也給網(wǎng)絡中的用戶、數(shù)據(jù)、計算節(jié)點的安全防護帶來了新的挑戰(zhàn)。2016年10月21日，大量部署在互聯(lián)網(wǎng)中的智能設備遭受Mirai【2】病毒入侵，從而將其作為“肉雞”發(fā)起網(wǎng)絡攻擊，使得美國西海岸遭受400G左右的DDoS攻擊，造成大面積網(wǎng)絡癱瘓。2017年10月，一個名為“IoTroop”【3】的新型僵尸網(wǎng)絡出現(xiàn)，該僵尸網(wǎng)絡利用路由器、攝像頭等設備的漏洞，將僵尸程序傳播到互聯(lián)網(wǎng)，感染并控制了多達200萬臺在線設備。上述都是典型的針對邊緣計算的網(wǎng)絡攻擊事件。

近期，針對邊緣計算的網(wǎng)絡攻擊事件呈增多趨勢，是因為邊緣計算網(wǎng)絡中的智能設備、網(wǎng)絡通信技術在設計之初都對考慮安全不足。邊緣計算所聯(lián)接物理對象的計算、存儲資源都較為有限，因此在設計之初更優(yōu)先考慮業(yè)務功能的正確、可靠實現(xiàn)，而忽略網(wǎng)絡安全的威脅；邊緣計算聯(lián)接物理對象所采用的網(wǎng)絡通信技術多種多樣，如BlueTooth、ZigBee、Wi-Fi、NB-IoT甚至Profibus、Ethercat等總線，在網(wǎng)絡安全方面都存在諸多缺陷。

綜上所述，邊緣計算作為一種新型的計算架構，已逐步滲透到各個領域，在我們生活中扮演越來越重要的角色，但是邊緣計算的安全問題，尤其是物理對象的接入安全還未得到有效改善，一旦被黑客利用，就可能泄露我們的隱私信息、影響社會秩序穩(wěn)定，甚至威脅國家安全。因此，邊緣計算的安全問題亟待解決。

1 邊緣計算部署架構及安全風險分析

1.1 邊緣計算部署架構

從軟硬件設備的邏輯部署角度看，邊緣計算可以分為四層：智能設備、智能網(wǎng)關、智能系統(tǒng)、云計算中心。智能設備包括智能手機、智能汽車、智能攝像頭、智能開關等，通過BlueTooth、ZigBee、Modbus、Profibus等通信協(xié)議與智能網(wǎng)關進行短距離通信，或者通過Wi-Fi、45G、NB-IoT等協(xié)議與智能網(wǎng)關進行遠距離通信。智能設備主要承擔對物理世界的感知任務，然后將感知結果匯聚到智能網(wǎng)關。智能網(wǎng)關具備一定的計算和存儲能力，能夠對智能設備上傳的感知數(shù)據(jù)進行實時分析、處理和存儲。根據(jù)業(yè)務場景的需要，智能網(wǎng)關可將實時處理完的感知結果上報智能系統(tǒng)進行更復雜的處理，同時將非實時數(shù)據(jù)聚合后送到云端進行存儲或處理。

從軟硬件設備所處物理環(huán)境角度看，邊緣計算的智能設備、智能網(wǎng)關一般部署在開放的物理環(huán)境下，如城市道路、野外環(huán)境等，地理位置分散且無人值守。智能系統(tǒng)及云計算中心一般部署在運營使用單位的數(shù)據(jù)中心中。智能網(wǎng)關和智能系統(tǒng)或者云計算中心通過運營商網(wǎng)絡進行數(shù)據(jù)交換。

圖1 邊緣計算部署架構

1.2 邊緣計算安全風險分析

從邊緣計算部署架構可以看出，邊緣計算的最上層是云計算中心，因此云計算【4】所面臨的安全風險在邊緣計算中依然存在；智能系統(tǒng)部署于數(shù)據(jù)中心中，分析和處理智能網(wǎng)關匯聚的數(shù)據(jù)，其面臨的安全風險和傳統(tǒng)信息系統(tǒng)相同。智能設備和智能網(wǎng)關所在物理環(huán)境惡劣、所處理的數(shù)據(jù)及協(xié)議復雜，其面臨更多新的安全風險，如下：

1）固件篡改：因為智能設備和智能網(wǎng)關處于無人值守的開放物理環(huán)境中，攻擊者很容易直接接觸物理設備，進而對設備固件進行逆向分析，通過篡改固件，增加攻擊代碼或關閉設備的安全機制等。

2）閑置接口利用：為了調試或設備管理方便，有些智能設備和智能網(wǎng)關會保留UART、COM等外設接口，而攻擊者物理接觸設備后，可以利用這些未被關閉的閑置接口進行攻擊。

3）暴力破解：智能設備大多使用嵌入式linux系統(tǒng)，系統(tǒng)賬戶一般以文件形式保存，攻擊者拿到這個文件就可以進行系統(tǒng)密碼破解，也可搜集常用的弱口令列表，通過機器嘗試的方式獲取系統(tǒng)相關服務的認證口令。

4）管理界面漏洞利用：攻擊者利用智能設備或智能網(wǎng)關管理界面上的SQL注入、上傳、遠程代碼執(zhí)行等漏洞，獲取設備管理權限，從而進行攻擊。

5）應用漏洞利用：基于業(yè)務的需要，智能設備或智能網(wǎng)關都會開放諸多應用服務，攻擊者可以利用應用服務的漏洞，對設備進行攻擊。

6）網(wǎng)絡竊聽：智能設備和智能網(wǎng)關可以基于ZigBee、BlueTooth、Modbus等多種網(wǎng)絡協(xié)議進行通信，而這些協(xié)議在設計之初，幾乎沒有考慮通信的保密性，因此基于這些協(xié)議進行通信，容易出現(xiàn)數(shù)據(jù)泄露的風險。

綜上所述，對邊緣計算而言，智能設備、智能網(wǎng)關側新增加的安全風險更加突出，是其安全防護體系設計的重點。

2 邊緣計算接入安全體系設計思路

2.1 相關技術

（1）嵌入式設備架構

嵌入式設備主要由嵌入式微處理器、相關支撐硬件、固件和嵌入式系統(tǒng)軟件組成，是集軟硬件于一體的可獨立工作的“器件”。嵌入式微處理器主要由一個單片機或微控制器 (MCU)組成。相關支撐硬件包括AD轉換、存儲介質（ROM、SDRAM等）、通訊設備等。嵌入式系統(tǒng)軟件包括與硬件相關的底層軟件、操作系統(tǒng)、圖形接口、通訊協(xié)議、文件系統(tǒng)、和應用程序等，如圖2所示。

圖2 嵌入式設備架構

嵌入式設備具有如下特點：1）應用固化：一般面向特定應用需求開發(fā)，可擴展性較差，嵌入式設備一旦進入市場，在較長生命周期內不會更新；2）資源有限：為了節(jié)約成本，嵌入式設備的計算和存儲資源都和應用需求相匹配，冗余的能力較為有限，無法完成較為復雜的、應用需求之外的任務。

（2）零信任安全

零信任安全【5】最早由著名研究機構Forrester的首席分析師John Kindervag在2010年提出。其核心思想是：默認情況下不應該信任網(wǎng)絡內部和外部的任何人/設備/系統(tǒng)，需要基于認證和授權機制，重構網(wǎng)絡安全的信任基礎。零信任安全摒棄了傳統(tǒng)網(wǎng)絡安全的防護架構：默認內網(wǎng)是安全的，安全就是構筑企業(yè)的數(shù)字護城河，通過防火墻、WAF、IPS等邊界安全產品對企業(yè)網(wǎng)絡出口進行重重防護，而忽略企業(yè)內網(wǎng)的安全。

邊緣計算地理位置分散、無人值守，難以劃清其網(wǎng)絡邊界，因此，在設計邊緣計算接入安全體系時，應假設任何設備都是不可信任的，都可能已經被攻擊者入侵。

2.2 設計思路

本文將基于可信計算【6、7】、態(tài)勢感知等先進技術手段，為邊緣計算構建符合零信任架構的接入安全防護體系。具體思路如下：

1）白盒管理：構建統(tǒng)一的安全管理平臺，實時監(jiān)控邊緣設備的軟硬件配置，使得設備上的程序、配置及行為都一目了然，及時發(fā)現(xiàn)異常行為。

2）可信控制：基于可信計算思想，增加可信根，構建可信鏈，實現(xiàn)對固件、操作系統(tǒng)以及應用程序的可信驗證，阻止未通過驗證的程序執(zhí)行。

3）可信接入：利用可信網(wǎng)絡連接機制，在設備接入網(wǎng)絡時對其身份和可信狀態(tài)進行驗證，并在數(shù)據(jù)傳輸時，確保數(shù)據(jù)的保密性。

3 基于零信任架構的邊緣計算接入安全體系

依據(jù)上文所述的設計思路，為邊緣計算接入安全構建了圖3的防護體系：

圖3 邊緣計算接入安全防護架構

白盒管理是本接入安全體系的基礎。邊緣計算網(wǎng)絡中智能設備和網(wǎng)關都是嵌入式設備，依據(jù)嵌入式設備應用固化的特點，本安全體系采用白盒管理的思想構建管理平臺，采集邊緣設備的資產屬性，包括程序、軟硬件配置、應用行為、文件完整性狀態(tài)、系統(tǒng)內存狀態(tài)等信息，并實現(xiàn)可視化展示，使得邊緣設備的運行狀態(tài)一目了然。在此基礎上，構建程序基準庫、配置模板、行為規(guī)則庫等知識圖譜，對邊緣設備的運行狀態(tài)進行分析，及時發(fā)現(xiàn)異常狀態(tài)。

圖4 白盒管理框架

可信控制是本接入安全體系的核心。依據(jù)嵌入式設備應用固化、資源有限的特點，本安全體系采用可信計算的技術確保邊緣設備可信。通過增加TPCM，實現(xiàn)不可篡改的信任根，作為信任的源頭；對邊緣設備進行改造，增加內核級的可信基礎軟件，實現(xiàn)對用戶、程序等主體的可信檢查和權限控制；從而實現(xiàn)如下功能：1）身份可信：提供暴力破解防護和弱口令檢查功能，可對系統(tǒng)無效用戶、普通用戶、超級用戶的登錄次數(shù)和頻率限制，減少用戶名口令嘗試次數(shù)。同時對設備的賬戶提供弱口令安全檢測，提高賬戶口令要求。2）程序可信：采用白名單方式固化邊緣設備中能夠運行的程序，對執(zhí)行程序進行可信檢測，確保惡意程序或與業(yè)務無關的程序無法在設備中運行。3）配置可信：定期對系統(tǒng)、軟件的重要安全配置進行可信性檢查，發(fā)現(xiàn)不可信的配置，及時進行修復。4）行為可信：對應用服務的程序行為進行可信性檢查，及時發(fā)現(xiàn)和阻斷違規(guī)行為。

可信接入是本接入安全架構的保障。在智能設備和智能網(wǎng)關進行通信，以及智能網(wǎng)關和智能系統(tǒng)進行數(shù)據(jù)交換時，驗證通信雙方的身份及可信狀態(tài)，只有可信設備之間才能建立網(wǎng)絡連接，并基于IPSEC、SSL等協(xié)議實現(xiàn)端到端的加密傳輸，規(guī)避Modbus、Profibus等網(wǎng)絡協(xié)議固有的安全缺陷。

4 總結

本文廣泛調研了邊緣計算的架構和特點，并且深入分析了其面臨的安全風險，然后針對邊緣計算的特點，結合可信計算、零信任安全等先進理念和技術，給出了其接入安全防護體系。

本文給出的接入安全體系設計合理，不僅能夠極大提升邊緣計算的安全性，同時還符合我國等級保護制度的相關安全要求。

[1]邊緣計算參考架構2.0 [EB/OL]. http://www.ecconsortium.org/Uploads/file/20171128/1511871147942955.pdf.

[2]Kolias C,Kambourakis G,Stavrou A,et al.DDoS in the IoT:Mirai and Other Botnets[J]. Computer,2017,50(7):80-84.

[3]Checkpoint: IoTroop Botnet: the full investigation [EB/OL]. https://research.checkpoint.com/iotroop-botnet-full-investigation/.

[4]Zhang YQ, Wang XF, Liu XF, Liu L.Survey on cloud computing security[J].Journal of Software, 2016,27(6):1328-1348.

[5]No More Chewy Centers: The Zero Trust Model Of Information Security[EB/OL].http://crystaltechnologies.com/wp-content/uploads/2017/12/forrester-zero-trust-model-information-security.pdf.

[6]沈昌祥, 張煥國, 王懷民,等. 可信計算的研究與發(fā)展[J]. 中國科學:信息科學, 2010(2):139-166.

[7]沈昌祥. 用可信計算3.0筑牢網(wǎng)絡安全防線[J]. 信息通信技術, 2017, 3(3):290-298.

本文受湖南省自然科學基金項目（批準號：07JJ3129），湖南省青年骨干教師培養(yǎng)基金資助項目資助。