◆梁?jiǎn)h

（中共日照市委辦公室 山東 276826）

隨著5G 與物聯(lián)網(wǎng)技術(shù)的深入發(fā)展和廣泛應(yīng)用，未來(lái)幾年中，接入網(wǎng)絡(luò)的用戶(hù)設(shè)備數(shù)量激增，終端產(chǎn)生的數(shù)據(jù)呈幾何式增長(zhǎng)趨勢(shì)。數(shù)據(jù)的海量、多源和異構(gòu)等特征依托云計(jì)算的分布式并行處理、虛擬化等技術(shù)進(jìn)行存儲(chǔ)、計(jì)算和傳輸，促進(jìn)了云計(jì)算的研究和發(fā)展，然而云計(jì)算網(wǎng)絡(luò)架構(gòu)所提供的資源集中式遠(yuǎn)程服務(wù)，在數(shù)據(jù)服務(wù)量急劇加大時(shí)，無(wú)法滿(mǎn)足異構(gòu)、低延時(shí)、密集化的網(wǎng)絡(luò)接入和服務(wù)需求。邊緣計(jì)算的發(fā)展，彌補(bǔ)了云計(jì)算在實(shí)時(shí)性、帶寬限制、高能耗等方面的缺點(diǎn)，提高了在萬(wàn)物互聯(lián)時(shí)代中對(duì)數(shù)據(jù)的處理效率。但是與此同時(shí)，邊緣計(jì)算中的隱私保護(hù)和數(shù)據(jù)安全也一直是讓人擔(dān)憂(yōu)的一項(xiàng)重要問(wèn)題。

1 邊緣計(jì)算概述

物聯(lián)網(wǎng)進(jìn)一步延伸了互聯(lián)網(wǎng)的物理和邏輯邊界，感知層設(shè)備的連接數(shù)量正在以指數(shù)級(jí)的規(guī)模增長(zhǎng)，云計(jì)算不再能完全滿(mǎn)足所有應(yīng)用場(chǎng)景，海量物聯(lián)網(wǎng)終端產(chǎn)生的大量并發(fā)任務(wù)傾向于就地解決，感知層設(shè)備趨于自治，形成基于物-邊緣-云的三層服務(wù)交付架構(gòu)。這種架構(gòu)的產(chǎn)生節(jié)省了大量的計(jì)算、傳輸、存儲(chǔ)成本，使得計(jì)算更加高效。

邊緣計(jì)算是在靠近物或數(shù)據(jù)源頭的網(wǎng)絡(luò)邊緣側(cè)，融合網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)、應(yīng)用核心能力的開(kāi)放平臺(tái)，就近提供邊緣智能服務(wù)，滿(mǎn)足行業(yè)數(shù)字化在敏捷聯(lián)接、實(shí)時(shí)業(yè)務(wù)、數(shù)據(jù)優(yōu)化、應(yīng)用智能、安全與隱私保護(hù)等方面的關(guān)鍵需求。

2 邊緣計(jì)算安全威脅現(xiàn)狀

邊緣計(jì)算和云計(jì)算、分布式計(jì)算、網(wǎng)格計(jì)算等模式一樣，雖然安全性有所提升，同樣面臨著數(shù)據(jù)安全等問(wèn)題。

2.1 邊緣基礎(chǔ)設(shè)施

這一層主要給下層終端設(shè)備提供網(wǎng)絡(luò)訪問(wèn)、云服務(wù)和管理功能，整個(gè)基礎(chǔ)設(shè)施層可能覆蓋互聯(lián)網(wǎng)、集中式云服務(wù)、核心移動(dòng)網(wǎng)絡(luò)以及數(shù)據(jù)中心等，支撐邊緣計(jì)算環(huán)境本地化業(yè)務(wù)邏輯以及智能應(yīng)用程序，在脫離上層云計(jì)算環(huán)境時(shí)為用戶(hù)提供本地化應(yīng)用服務(wù)。

邊緣計(jì)算基礎(chǔ)設(shè)施將不只部署在中心機(jī)房這樣具備安全措施的場(chǎng)所，也會(huì)在那些對(duì)外開(kāi)放且不受控制的環(huán)境中運(yùn)行（比如野外環(huán)境、人流密集的公共環(huán)境等），因此特別容易遭到物理篡改和攻擊，這不僅包括物理盜竊，還包括蓄意的惡意行為，例如引入有害的硬件，軟件或數(shù)據(jù)竊取等。

2.2 邊緣數(shù)據(jù)中心

數(shù)據(jù)中心是邊緣計(jì)算的核心組件之一，需要負(fù)責(zé)虛擬化服務(wù)以及多項(xiàng)管理服務(wù)，終端用戶(hù)、第三方服務(wù)提供商和基礎(chǔ)設(shè)施提供商均可使用這些服務(wù)。通常邊緣數(shù)據(jù)中心會(huì)部署在網(wǎng)絡(luò)邊緣，獨(dú)立運(yùn)行，但數(shù)據(jù)中心之間、數(shù)據(jù)中心與上層云環(huán)境之間是協(xié)同工作的。

由于邊緣計(jì)算采用的是分布式數(shù)據(jù)處理模式，邊緣數(shù)據(jù)中心中的數(shù)據(jù)安全問(wèn)題更令人關(guān)注，會(huì)出現(xiàn)數(shù)據(jù)隱私泄露等問(wèn)題，特別是在面對(duì)物理攻擊、拒絕服務(wù)攻擊、數(shù)據(jù)篡改等攻擊手段時(shí)，將面臨重大挑戰(zhàn)。

2.3 邊緣網(wǎng)絡(luò)

邊緣計(jì)算環(huán)境中集成多種通信網(wǎng)絡(luò)，包括無(wú)線(xiàn)網(wǎng)絡(luò)、移動(dòng)網(wǎng)絡(luò)和互聯(lián)網(wǎng)，覆蓋整個(gè)物聯(lián)網(wǎng)中終端設(shè)備或傳感器的互聯(lián)。

邊緣網(wǎng)絡(luò)可能會(huì)面臨DoS 攻擊、偽造網(wǎng)關(guān)、未經(jīng)授權(quán)訪問(wèn)、數(shù)據(jù)包嗅探、中間人攻擊等安全威脅。未經(jīng)授權(quán)訪問(wèn)無(wú)線(xiàn)傳感器網(wǎng)絡(luò)會(huì)導(dǎo)致泄露敏感信息、數(shù)據(jù)修改、拒絕服務(wù)攻擊和非法使用資源。數(shù)據(jù)包嗅探借助網(wǎng)絡(luò)嗅探器將向其用戶(hù)顯示所有網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)其進(jìn)行解碼以便于閱讀，所有明文流量都易于理解，可以定義過(guò)濾器來(lái)查找特定的關(guān)鍵詞或值。

2.4 邊緣設(shè)備

邊緣設(shè)備包括所有邊緣網(wǎng)絡(luò)中的移動(dòng)終端、物聯(lián)網(wǎng)設(shè)備或傳感器等。邊緣計(jì)算終端的傳感節(jié)點(diǎn)很容易遭受來(lái)自其他網(wǎng)絡(luò)的拒絕服務(wù)攻擊，如果一臺(tái)物聯(lián)網(wǎng)終端被入侵、控制，攻擊者可以通過(guò)傳播手段感染更多的物聯(lián)網(wǎng)終端，最終形成規(guī)?；慕┦W(wǎng)絡(luò)，向骨干網(wǎng)絡(luò)或服務(wù)網(wǎng)絡(luò)發(fā)起大量服務(wù)請(qǐng)求，造成資源過(guò)載，可能會(huì)使網(wǎng)絡(luò)陷入癱瘓。移動(dòng)終端面臨的安全問(wèn)題主要有終端安全以及隱私保護(hù)等，具體威脅形式包括隱私泄露、信息注入、服務(wù)操作、惡意代碼攻擊等。

3 邊緣計(jì)算安全防護(hù)技術(shù)分析

3.1 邊緣基礎(chǔ)設(shè)施安全可信

邊緣基礎(chǔ)設(shè)施安全是邊緣計(jì)算的基本保障，因此需要確保邊緣基礎(chǔ)設(shè)施在啟動(dòng)、運(yùn)行、操作等過(guò)程中的安全可信，構(gòu)建邊緣基礎(chǔ)設(shè)施信任鏈條，信任鏈條連接到哪里，安全就能保護(hù)到那里。

邊緣基礎(chǔ)設(shè)施安全涵蓋從啟動(dòng)到運(yùn)行整個(gè)過(guò)程中的設(shè)備安全、硬件安全、虛擬化安全和操作系統(tǒng)安全等。比如，首先要對(duì)邊緣基礎(chǔ)設(shè)施中的系統(tǒng)與應(yīng)用進(jìn)行完整性檢查和驗(yàn)證，保障系統(tǒng)和應(yīng)用的完整性，確保邊緣節(jié)點(diǎn)運(yùn)行在預(yù)期的狀態(tài)；能夠有效標(biāo)識(shí)、區(qū)分和鑒別每一個(gè)邊緣節(jié)點(diǎn)，實(shí)現(xiàn)邊緣節(jié)點(diǎn)管理、任務(wù)分配以及安全策略差異化管理；根據(jù)安全策略允許特定的設(shè)備接入網(wǎng)絡(luò)、拒絕非法設(shè)備的接入，有效避免天坑攻擊和女巫攻擊這種在網(wǎng)絡(luò)內(nèi)部引入偽造設(shè)備發(fā)起的攻擊模式。

3.2 邊緣數(shù)據(jù)安全

數(shù)據(jù)安全是創(chuàng)建安全邊緣計(jì)算環(huán)境的基礎(chǔ)，其根本目的在于確保數(shù)據(jù)的保密性和完整性，針對(duì)邊緣計(jì)算環(huán)境中數(shù)據(jù)所有權(quán)和控制權(quán)分離化、存儲(chǔ)隨機(jī)化等特點(diǎn)，需要著力解決數(shù)據(jù)丟失、數(shù)據(jù)泄露、非法數(shù)據(jù)操作等問(wèn)題。

數(shù)據(jù)安全主要關(guān)注數(shù)據(jù)保密性與安全共享、完整性審計(jì)和可搜索加密等技術(shù)?，F(xiàn)有的數(shù)據(jù)保密性和安全數(shù)據(jù)共享方案通常采用加密技術(shù)來(lái)實(shí)現(xiàn)，其常規(guī)流程是由數(shù)據(jù)所有者預(yù)先對(duì)外包數(shù)據(jù)進(jìn)行加密處理和上傳操作，并在需要時(shí)由數(shù)據(jù)使用者解密，針對(duì)資源受限的邊緣設(shè)備，需要提供經(jīng)過(guò)定制或裁剪產(chǎn)生的輕量級(jí)密碼解決方案。

3.3 邊緣網(wǎng)絡(luò)安全

邊緣計(jì)算網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)量巨大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜，導(dǎo)致攻擊面增大，攻擊者可以很容易找到突破口向邊緣計(jì)算節(jié)點(diǎn)發(fā)送惡意數(shù)據(jù)包，發(fā)動(dòng)拒絕服務(wù)攻擊。加強(qiáng)邊緣網(wǎng)絡(luò)安全防護(hù)應(yīng)建立縱深防御體系，從安全協(xié)議、網(wǎng)絡(luò)域隔離、網(wǎng)絡(luò)監(jiān)測(cè)、網(wǎng)絡(luò)防護(hù)等從內(nèi)到外保障邊緣網(wǎng)絡(luò)安全。

安全協(xié)議對(duì)保障邊緣計(jì)算網(wǎng)絡(luò)安全起著至關(guān)重要的作用，物聯(lián)網(wǎng)中的一些著名的協(xié)議相繼被發(fā)現(xiàn)存在有若干安全漏洞，嚴(yán)重危害整個(gè)網(wǎng)絡(luò)的安全性。解決邊緣計(jì)算安全協(xié)議的問(wèn)題，需要保證協(xié)議自身安全性，采用形式化方法嚴(yán)格證明其安全性，解決設(shè)計(jì)和實(shí)現(xiàn)邏輯一致性的問(wèn)題；另外也可在原有協(xié)議外增加安全層，可以通過(guò)增加通信模塊或者通信網(wǎng)關(guān)的方式，將原有協(xié)議再進(jìn)行一次封裝，通過(guò)VPN、SSL 等安全通道傳輸。

3.4 邊云協(xié)同安全

在邊緣計(jì)算多數(shù)部署和應(yīng)用場(chǎng)景中，需要邊緣側(cè)與中心云的協(xié)同，邊云協(xié)同則包含了計(jì)算資源、安全策略、應(yīng)用管理、業(yè)務(wù)管理等方面的協(xié)同。

邊云協(xié)同安全主要集中在安全策略協(xié)同方面，邊緣節(jié)點(diǎn)提供了部分安全策略包括了接入端的防火墻、安全組等，而中心云則提供了更為完善的安全策略，包括流量清洗、流量分析等。在安全策略協(xié)同的過(guò)程中，中心云如發(fā)現(xiàn)某個(gè)邊緣云存在惡意流量，可以對(duì)其進(jìn)行阻斷，防止惡意流量在整個(gè)邊緣云平臺(tái)中擴(kuò)散。

4 結(jié)束語(yǔ)

邊緣計(jì)算可以提供更實(shí)時(shí)、更快速的處理能力，成本更低，5G 是邊緣計(jì)算產(chǎn)業(yè)發(fā)展的重要契機(jī)，伴隨5G 技術(shù)的快速發(fā)展，其廣覆蓋、低時(shí)延、大連接、高可靠的特性，使得邊緣計(jì)算有著更加廣闊的應(yīng)用場(chǎng)景，比如加速物聯(lián)網(wǎng)技術(shù)向更多垂直行業(yè)滲透，未來(lái)生活、工作中的各種場(chǎng)景中的傳感器、終端設(shè)備都有可能融入物聯(lián)網(wǎng)中，它們將成為數(shù)據(jù)的生產(chǎn)者和數(shù)據(jù)的消費(fèi)者，將支持海量的機(jī)器通信，以智慧城市、智能家居等為代表的典型應(yīng)用場(chǎng)景與移動(dòng)通信深度融合，預(yù)期千億量級(jí)的設(shè)備將接入5G 網(wǎng)絡(luò)的同時(shí)也會(huì)產(chǎn)生海量的運(yùn)行數(shù)據(jù)。

邊緣計(jì)算帶來(lái)的海量數(shù)據(jù)對(duì)攻擊者的誘惑也越來(lái)越大，其安全問(wèn)題也會(huì)越來(lái)越突出，針對(duì)這些安全挑戰(zhàn)以及安全需求特征，需要提出全方位、多維度的安全防護(hù)解決方案，提供端到端全覆蓋的全網(wǎng)安全運(yùn)營(yíng)防護(hù)體系，才能真正體現(xiàn)邊緣計(jì)算的價(jià)值。