曹 咪 徐 雷 陶 冶

中國聯(lián)通研究院 北京 100176

引言

思科于2011年首次提出了霧計算的概念[1]，通過將物理上分散的節(jié)點連接起來，將數(shù)據(jù)、數(shù)據(jù)處理和應(yīng)用程序分散在位于網(wǎng)絡(luò)邊緣的設(shè)備中，提高數(shù)據(jù)分析處理效率，降低時延，減少網(wǎng)絡(luò)傳輸壓力，就近為用戶提供智能服務(wù)[2]。霧計算將云計算擴展到了網(wǎng)絡(luò)的邊緣，解決了云計算移動性差、地理信息感知弱、時延高等問題。霧計算以其廣泛的地理分布、帶有大量網(wǎng)絡(luò)節(jié)點的大規(guī)模傳感器網(wǎng)絡(luò)、支持高移動性和實時互動以及多樣化的軟硬件設(shè)備和云在線分析等特點，迅速被物聯(lián)網(wǎng)和人工智能應(yīng)用領(lǐng)域的企業(yè)所接受并獲得廣泛應(yīng)用，例如，M2M、人機協(xié)同、智能電網(wǎng)、智能交通、智能家居、智能醫(yī)療、無人駕駛等。451 Research在2017年10月《霧計算市場的規(guī)模和影響》的研究中指出，2022年霧計算市場規(guī)模有望達到183億美元，2018年至2022的復(fù)合年均增長率將高達104.9%[3]，霧計算具有廣泛的市場潛力和應(yīng)用范圍。然而，霧計算興起的同時也將帶來新的安全挑戰(zhàn)。一方面，霧計算位于網(wǎng)絡(luò)的邊緣，更靠近用戶，復(fù)雜的應(yīng)用環(huán)境和多樣的業(yè)務(wù)服務(wù)使得安全問題得不到保證；另一方面，霧計算環(huán)境中的隱私數(shù)據(jù)面臨著各式各樣的安全威脅，傳統(tǒng)的安全機制很難抵御惡意竊取、入侵和破壞，這就需要采用更好的安全機制加強霧計算系統(tǒng)的完整性、機密性和可靠性。如何保障認證和隱私數(shù)據(jù)安全是霧計算安全領(lǐng)域的重要研究內(nèi)容，霧計算應(yīng)用前景廣闊，吸引了國內(nèi)外各界學者對其展開研究[4]。然而，霧計算的安全研究才剛剛起步，由于技術(shù)的不成熟使得霧計算仍然面臨著各種各樣的挑戰(zhàn)。

本文的組織結(jié)構(gòu)如下。第一章簡要分析霧計算的基礎(chǔ)架構(gòu)與技術(shù)特點；第二章概述霧計算在認證與隱私方面存在的問題；第三章總結(jié)霧計算在認證和隱私保護方面最新的研究成果；第四章提出未來可能的研究方向；最后對本文的內(nèi)容進行總結(jié)，對未來的工作進行展望。

1 霧計算基礎(chǔ)架構(gòu)與特點

霧計算融合了網(wǎng)絡(luò)、計算、存儲、應(yīng)用等能力，是一種半虛擬化架構(gòu)的分布式服務(wù)計算范式[2]。霧計算的目的是在靠近用戶的網(wǎng)絡(luò)邊緣，為用戶提供一個有力的計算、存儲和通信資源，進而提供本地化、短距離和高效率的連接服務(wù)，從而克服云計算距離用戶遠、延遲高的弊端。

1.1 霧計算基礎(chǔ)架構(gòu)

根據(jù)Bonomi F等人提出的概念，霧計算服務(wù)結(jié)構(gòu)可分為三個層次[5]：終端設(shè)備層、霧層和云層。圖1展示了霧計算的三層基礎(chǔ)體系架構(gòu)[6]。

圖1 霧計算三層體系架構(gòu)

終端設(shè)備層：作為三層結(jié)構(gòu)的最底層，終端設(shè)備層由數(shù)量眾多的智能終端與這些智能終端產(chǎn)生的海量數(shù)據(jù)構(gòu)成。智能終端設(shè)備包括傳感器節(jié)點、智能手持設(shè)備(如智能手機、平板電腦和智能手表)等，這些終端設(shè)備通常被稱為終端節(jié)點[7]。

霧層：這一層也稱為霧計算層，位于中間的霧層部署在地理位置分散的霧服務(wù)器上，如公園、公交車、購物中心等等，為智能終端和云之間搭起橋梁。每個霧服務(wù)器是高度虛擬化的計算系統(tǒng)，類似輕量級的云服務(wù)器。此層中的霧節(jié)點由網(wǎng)絡(luò)設(shè)備，比如路由器、網(wǎng)關(guān)、交換機、無線接入點(APs)等組成。這些霧節(jié)點可以協(xié)同共享存儲和計算設(shè)施。

云層：由于霧服務(wù)器的處理能力有限，當有任務(wù)需要更多的計算資源時，這些待處理的用戶數(shù)據(jù)將通過高速有線或無線網(wǎng)絡(luò)從霧層上傳至云層，使用云計算更為豐富的資源和應(yīng)用。傳統(tǒng)的云服務(wù)器和云數(shù)據(jù)中心駐留在云層，具有足夠的存儲和計算資源。

霧-云接口[8]提供端到端的服務(wù)，包括將云服務(wù)分發(fā)給霧等。在霧計算中，會有多個節(jié)點或系統(tǒng)相互協(xié)作以共享數(shù)據(jù)存儲和計算任務(wù)，因此，霧-霧接口和協(xié)議使不同的霧節(jié)點之間能夠相互協(xié)作。此外，霧-物接口將支持安全高效的資源利用。

1.2 霧計算技術(shù)特點

云計算的服務(wù)對象一般是互聯(lián)網(wǎng)用戶，多數(shù)情況下通過IP網(wǎng)絡(luò)以多跳的方式與用戶進行遠距離通信；而霧計算主要服務(wù)于移動用戶，每個霧服務(wù)器的覆蓋范圍有限(一般而言，無線Wi-Fi的通信距離是200米)，可與移動用戶單跳直連。在服務(wù)特征上，不同于云計算位于互聯(lián)網(wǎng)中采用集中式的管理模式，霧計算位于本地網(wǎng)絡(luò)的邊緣，采用分散式或分級部署。在服務(wù)能力上，云計算為用戶提供充足、可擴展的存儲能力和計算能力；而霧計算基于有限的存儲、計算能力，為用戶提供本地化的信息和服務(wù)應(yīng)用。此外，霧計算比云計算在延遲方面低很多，且地理感知能力強，支持移動性，這就使得霧計算更適用于諸如緊急醫(yī)療服務(wù)、視頻流、游戲、增強現(xiàn)實等場景。表1列舉了霧計算和云計算在目標用戶、工作環(huán)境與服務(wù)特征三個主要方面的對比[9-10]。基于霧計算的服務(wù)結(jié)構(gòu)，總的來說，霧計算具有延遲低、地理分布廣、位置感知強、適應(yīng)移動性應(yīng)用、實施容易等特點。

2 霧計算中的認證與隱私問題

2.1 霧計算認證問題分析

對網(wǎng)絡(luò)設(shè)備的身份認證是霧網(wǎng)絡(luò)中的重要要求之一。網(wǎng)絡(luò)設(shè)備要訪問霧網(wǎng)絡(luò)的服務(wù)，必須先通過霧網(wǎng)絡(luò)的身份認證成為網(wǎng)絡(luò)的一部分，這對于防止未經(jīng)授權(quán)的節(jié)點進入霧網(wǎng)絡(luò)至關(guān)重要。由于網(wǎng)絡(luò)中的設(shè)備在電力、處理和存儲等方面受到各種限制，網(wǎng)絡(luò)設(shè)備認證成為一個巨大的挑戰(zhàn)。由于物聯(lián)網(wǎng)設(shè)備的資源限制，傳統(tǒng)使用證書和公鑰基礎(chǔ)設(shè)施(PKI)的身份驗證機制不再適用。

表1 霧計算與云計算的比較

霧節(jié)點經(jīng)常動態(tài)地加入或離開霧層，當新的霧節(jié)點連接(或離開)霧層時，需要確保對已注冊終端用戶的不間斷服務(wù)，霧節(jié)點必須能夠相互驗證自己新形成的霧層。此外，霧節(jié)點還需要限制或拒絕來自惡意或受損節(jié)點的服務(wù)請求。

2.2 霧計算隱私問題分析

在霧計算中，分布式節(jié)點的計算能力能夠降低數(shù)據(jù)中心的總壓力，但是，與終端用戶相鄰的霧節(jié)點可能收集有關(guān)用戶身份、位置、應(yīng)用程序使用等敏感數(shù)據(jù)。另外，由于霧節(jié)點大面積分散，集中控制十分困難，安全性較差的邊緣節(jié)點可能成為入侵者進入霧網(wǎng)絡(luò)的入口，入侵者一旦進入網(wǎng)絡(luò)，就可以挖掘和竊取用戶在實體間交換的隱私數(shù)據(jù)。霧計算的三層體系架構(gòu)之間的通信也會導(dǎo)致隱私泄漏。

位置隱私是最重要的隱私模型之一[11]，因為設(shè)備的位置可以鏈接到所有者。由于霧客戶端將其任務(wù)卸載到最近的霧節(jié)點，因此用戶的位置、軌跡，甚至移動習慣都可以從相關(guān)的霧節(jié)點上顯示出來，通過分析霧節(jié)點的信息可以分析出用戶信息和行為習慣，比如根據(jù)智能電表的讀數(shù)可以透露房屋空置的時間信息[12]。

3 霧計算認證與隱私保護研究現(xiàn)狀

3.1 霧計算認證相關(guān)研究

Hu等人[13]提出了三種方案，分別是1)身份認證方案，2)數(shù)據(jù)加密方案，3)數(shù)據(jù)完整性檢查方案，用于具有人臉識別和分辨率應(yīng)用的霧計算。基于認證和會話密鑰協(xié)議、基于會話密鑰的高級加密標準(AES)對稱密鑰加密機制以及SHA-1安全哈希算法三種主要策略，這三種方案可以在物聯(lián)網(wǎng)的霧計算環(huán)境下提供保密性、完整性和可用性。

在霧存儲系統(tǒng)中，細粒度訪問控制被認為是一個重要的問題。Koo和Hur[14]為加密數(shù)據(jù)提出了一種重復(fù)數(shù)據(jù)刪除方案，該方案使用用戶級密鑰管理和更新機制能夠支持霧存儲系統(tǒng)中的細粒度訪問控制。與方案[15]相比，方案[14]在計算、通信和存儲方面更為有效，但是對抗模型有限。使用霧計算能夠提高證書撤銷分發(fā)在物聯(lián)網(wǎng)環(huán)境中的有效性，如在工作[16]中，作者提出了一個基于四個系統(tǒng)實體的方案，包括CA、后端云、霧節(jié)點和物聯(lián)網(wǎng)設(shè)備。

霧平臺和終端用戶設(shè)備之間的不安全認證協(xié)議被文獻[17]確定為霧計算的主要安全問題。文中指出，物聯(lián)網(wǎng)設(shè)備，尤其是智能電網(wǎng)中的物聯(lián)網(wǎng)設(shè)備，容易受到數(shù)據(jù)篡改和欺騙攻擊，可以借助公鑰基礎(chǔ)設(shè)施、DiffieHellman密鑰交換、入侵檢測技術(shù)和修改輸入值的監(jiān)視等來防止數(shù)據(jù)篡改和欺騙攻擊。文中建議，通過實施身份認證方案確保霧平臺和用戶之間通信通道的安全，可以防止這種攻擊的風險。

就目前的認證現(xiàn)狀來看，霧平臺在規(guī)范和要求上缺少嚴格的身份認證和安全通信協(xié)議。在霧平臺中，安全和性能因素需要被同時考慮，而加密方法諸如完全同態(tài)[18]和Fan-Vercauteren同態(tài)[19]的加密機制可以用來保護數(shù)據(jù)。這些方案包括對稱加密算法和公鑰加密算法的混合，以及基于屬性加密的其他變體。由于同態(tài)加密允許在不解密數(shù)據(jù)的情況下進行正常操作，因此減少密鑰分發(fā)將維護數(shù)據(jù)的保密性。其他研究工作提供了一個類似的框架，如高效和隱私保護聚合(EPPA)方案[20]，該系統(tǒng)基于同態(tài)Paillier密碼機制進行數(shù)據(jù)聚合，由于加密的同態(tài)性，使得本地網(wǎng)絡(luò)網(wǎng)關(guān)能夠在不解密的情況下對密文執(zhí)行操作，從而降低認證成本，同時保持數(shù)據(jù)的機密性。

3.2 霧計算隱私保護相關(guān)研究

Lu等人[21]利用中國剩余定理，引入了一種輕量級的隱私保護數(shù)據(jù)聚合(LPDA)方案，用于霧計算增強的物聯(lián)網(wǎng)。LPDA能夠?qū)⒒旌衔锫?lián)網(wǎng)設(shè)備的數(shù)據(jù)聚合為一個數(shù)據(jù)集，并能抵御虛假數(shù)據(jù)注入攻擊。與基本Paillier加密的聚合相比，LPDA方案在計算成本和通信開銷方面具有更高的效率，但是沒有考慮可追溯性。

Wang等人[22]介紹了一種基于差分隱私的可持續(xù)性霧計算支持數(shù)據(jù)中心查詢模型。使用Laplacian機制，與傳統(tǒng)的隱私保護模型相比，該查詢模型在執(zhí)行效率、隱私保護質(zhì)量、數(shù)據(jù)效用和能耗等方面都有更好的表現(xiàn)。

為了解決霧計算系統(tǒng)中接近探測的隱私保護問題，Huo等人[23]提出了一種基于位置差分的接近探測(LoDPD)協(xié)議。LoDPD協(xié)議使用Paillier加密算法和決策樹理論，以保護用戶所在位置的隱私不被泄露給任何一方。與私有接近探測(PPD)協(xié)議[24]相比，LoDPD協(xié)議的通信開銷更小。

在有界檢索模型中，Yang等人[25]提出了一種基于位置隱私保護的安全定位協(xié)議，用于基于位置的霧計算。Xiao等人[26]在霧計算環(huán)境中引入了一種細粒度所有者強制搜索的混合解決方案，具體來說，該方案基于三個主要階段，分別是：1)系統(tǒng)初始化，2)敏感數(shù)據(jù)外包存儲，3)對外包敏感數(shù)據(jù)的搜索和訪問。

Ni等人[27]指出，基于霧計算的車輛群智感知是一種新興的范例。然而，身份驗證和隱私保護是影響群智感知功能的關(guān)鍵方面。Basudan等人[28]提出了一種隱私保護方案，稱為無證書聚合簽密方案(CLASC)，用于使用霧計算的車輛群智感知。CLASC可以實現(xiàn)數(shù)據(jù)的保密性、完整性、雙向鑒別、隱私保護和匿名性。CLASC方案與現(xiàn)有方案相比，具有更低的計算成本，但是沒有考慮位置隱私。與文獻[28]的工作類似，Liu等人[29]介紹了兩種基于霧計算的車載自組網(wǎng)(VANET)安全交通燈控制方案。其中基于位置加密和基于加密難題的兩種策略都能有效地防御拒絕服務(wù)攻擊，但與方案[28]相比不考慮匿名性，且對抗模型受限。

與方案[21]類似，Wang等人[30]在基于霧計算的公共云計算中提出了一種聚合方案，稱為匿名安全聚合方案(ASAS)。具體來說，ASAS方案考慮了基于霧的公共云計算，具有4種類型的實體，包括系統(tǒng)管理器、終端設(shè)備、霧節(jié)點和公共云服務(wù)器?；跈E圓曲線公鑰密碼體制和Castagnos Laguillaumie密碼體制兩種主要的解決方案，ASAS能夠保證匿名性和身份隱私，但是對抗模型有限。

Kulkarni等人[31]提出了一種隱私保護框架來保護最終用戶設(shè)備和霧網(wǎng)絡(luò)之間傳感器的數(shù)據(jù)安全，側(cè)重于在傳輸過程中保護個人和關(guān)鍵數(shù)據(jù)。其引入了選擇性公鑰密碼體制，使得可用性與隱私保護達到平衡，能夠抵御內(nèi)部攻擊和數(shù)據(jù)竊聽攻擊。但是沒有考慮計算開銷，且由于傳感器會連續(xù)傳輸數(shù)據(jù)，如果持續(xù)時間較長，隱私框架有可能會使底層霧系統(tǒng)過載，甚至崩潰。

表2總結(jié)了用于霧計算的身份認證和隱私保護方案。

表2 霧計算身份認證與隱私保護方案

4 霧計算認證與隱私保護研究建議

目前針對霧計算認證和隱私保護的研究數(shù)量相當有限，但是并不意味著研究人員在開發(fā)新的安全機制時必須從零開始?？梢允褂脼槠渌嚓P(guān)范例設(shè)計的安全機制，作為開發(fā)霧計算安全認證和隱私機制的基礎(chǔ)，通過重用或改編各種安全機制，將為其他范式設(shè)計的方案靈活應(yīng)用到霧計算。然而，也有必要分析每個相關(guān)范式(如移動邊緣計算、移動云計算等邊緣范式)的具體細微差別，因為移動網(wǎng)絡(luò)運營商的基礎(chǔ)結(jié)構(gòu)或用戶擁有的數(shù)據(jù)中心的基本特征，會影響不同安全機制的適應(yīng)過程。4.1節(jié)和4.2節(jié)將具體介紹可能重用或改編到霧計算環(huán)境下的認證和隱私保護機制，為后續(xù)的霧計算認證與隱私保護研究提供方向和借鑒。

4.1 霧計算認證研究建議

有多種方法用于云間身份管理系統(tǒng)的創(chuàng)建[32]，這樣的方法可以使用各種標準，如SAML和OpenID，提供云之間的單點登錄(SSO)身份驗證。還有幾個機制可以提供相互身份驗證而無需連接到中央身份驗證服務(wù)器[33]。由于這些方法的設(shè)計與霧計算的底層基礎(chǔ)架構(gòu)兼容，因此，所有這些方法都可能被修改為處理不同信任域的霧計算的身份驗證。

另一方面，還有一些身份驗證基礎(chǔ)架構(gòu)側(cè)重于同一信任域中的用戶身份驗證，這是為邊緣范式設(shè)計的[34-35]。在霧計算領(lǐng)域也有其他一些工作[36]可以對用戶進行身份驗證，通過使用配對密碼體制和安全硬件[37]或使用混合加密(公鑰和對稱密鑰加密)[36]等實現(xiàn)。

在用戶身份驗證的主題上，由于用戶數(shù)據(jù)會卸載到終端用戶附近的節(jié)點，也有研究人員提出基于特定位置信息的身份驗證方案。例如，基于情景的認證[38]、使用近場通信(NFC)驗證移動設(shè)備是否將任務(wù)卸載到授權(quán)的本地節(jié)點[39]?；谖恢玫纳矸蒡炞C已在其他幾個領(lǐng)域進行了研究(例如無線傳感器網(wǎng)[40]、物聯(lián)網(wǎng)[41])，可以為霧計算的研究提供良好借鑒。

至于用戶移動性，有一些協(xié)議試圖實現(xiàn)安全高效的身份驗證切換[42]。但這些協(xié)議通常需要訪問集中云基礎(chǔ)結(jié)構(gòu)中的身份驗證服務(wù)器，因此有改進的余地。

4.2 霧計算隱私保護研究建議

許多安全協(xié)議(如實體身份認證[37]和授權(quán)[36,43]、信任管理[44])允許用戶以匿名的方式與數(shù)據(jù)中心和其他實體進行交互。也有特定的隱私機制，如數(shù)據(jù)加密、安全數(shù)據(jù)共享、加密數(shù)據(jù)搜索、完整性驗證等[45]，其主要目標是保護用戶的個人數(shù)據(jù)。其中一些機制沒有很高的計算要求，可以在霧計算交互的用戶設(shè)備中實現(xiàn)。

在用戶和其附近的霧節(jié)點存在信任關(guān)系的情況下，對于一些實體(如個人、節(jié)點、公司環(huán)境等)的隱私保護，可以采取在霧節(jié)點部署隱私保護器的方式，這些保護器作為用戶的前端，可以實現(xiàn)各種數(shù)據(jù)隱私機制。這些機制可用于控制服務(wù)提供商或其他遠程實體接收的個人信息的質(zhì)量和粒度[46-47]或保護用戶的身份[48]等。

5 總結(jié)與展望

由于移動性、異質(zhì)性、大規(guī)模分布等特點，霧計算中出現(xiàn)了許多新的認證和隱私問題。本文針對霧計算的認證和隱私問題進行了深入研究，分析了霧計算存在的認證和隱私問題，總結(jié)了霧計算在認證和隱私保護方面最新的研究成果，并提出了未來可能的研究方向。

在本文工作的基礎(chǔ)上，需要進一步探索并實踐適用于霧計算環(huán)境的有效認證和隱私保護解決方案。另外，對于安全問題，還有一些未來的工作值得進一步調(diào)查。一方面，需要探究霧計算環(huán)境下的其他安全問題，如入侵檢測、信任管理、訪問控制、容錯性、取證等；另一方面，還需要探索針對不同應(yīng)用程序或應(yīng)用場景的安全解決方案，如智能電網(wǎng)、智能交通等?？傊?，霧計算的安全研究仍處于起步階段，未來會有更多的開放問題值得思考。