李 印 陳 勇 趙景欣 岳星輝 鄭 晨 武延軍 伍高飛

1(海南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院(密碼學(xué)院) 海口 570228) 2(智能軟件研究中心(中國(guó)科學(xué)院軟件研究所) 北京 100190) 3(西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 西安 710071) 4(燕山大學(xué)信息科學(xué)與工程學(xué)院 河北秦皇島 066004) 5(廣西密碼學(xué)與信息安全重點(diǎn)實(shí)驗(yàn)室(桂林電子科技大學(xué)) 廣西桂林 541004)6(國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心(中國(guó)科學(xué)院大學(xué)) 北京 101408)

泛在計(jì)算是一種基于新型智能設(shè)備和人機(jī)物交互，覆蓋萬(wàn)物，云邊端一體，應(yīng)用智能化，萬(wàn)物互聯(lián)互通，跨設(shè)備、跨場(chǎng)景，人機(jī)物智能協(xié)同的新興計(jì)算模式.泛在計(jì)算需要新型泛在操作系統(tǒng)(ubiquitous operating systems, UOS)[1-2]提供基礎(chǔ)系統(tǒng)能力支撐，并融合管理泛在分布、能力異構(gòu)的智能設(shè)備資源.泛在計(jì)算場(chǎng)景多樣，任務(wù)特征各異，時(shí)空分布拓?fù)鋸?fù)雜，包括智慧家庭、工業(yè)互聯(lián)網(wǎng)、智能云計(jì)算、智慧城市、自動(dòng)駕駛等典型應(yīng)用場(chǎng)景.“十四五”信息化規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要為打造數(shù)字中國(guó)，主要聚焦于傳感器、智能軟硬件、操作系統(tǒng)等[3]，而泛在計(jì)算覆蓋了當(dāng)前智能信息產(chǎn)業(yè)的方方面面，囊括了典型智能設(shè)備、操作系統(tǒng)和計(jì)算場(chǎng)景，已經(jīng)逐步成為我國(guó)智能軟硬件創(chuàng)新研發(fā)和生態(tài)構(gòu)建的關(guān)鍵驅(qū)動(dòng).

與傳統(tǒng)個(gè)人計(jì)算或移動(dòng)計(jì)算相比，泛在計(jì)算向著更開(kāi)放、更高效、更智能的方向發(fā)展演變，其操作系統(tǒng)和關(guān)鍵技術(shù)的發(fā)展為社會(huì)帶來(lái)了諸多益處，但同時(shí)也面臨著更加嚴(yán)峻的安全挑戰(zhàn).種類繁多、能力各異的智能設(shè)備，多樣的網(wǎng)絡(luò)交互協(xié)議，不同計(jì)算場(chǎng)景的資源交互通信，頻繁的設(shè)備接入認(rèn)證，都將導(dǎo)致傳統(tǒng)計(jì)算場(chǎng)景的安全威脅和新型硬件、軟件、通信場(chǎng)景相互交織，安全形勢(shì)更加復(fù)雜，安全風(fēng)險(xiǎn)日益增大.2016年，在路由器和智能物聯(lián)網(wǎng)設(shè)備上運(yùn)行的Mirai僵尸網(wǎng)絡(luò)，被惡意利用發(fā)起了歷史上最大規(guī)模的DDoS(distributed denial of service)攻擊，造成了美國(guó)大面積的網(wǎng)絡(luò)癱瘓，包括Twitter，F(xiàn)acebook在內(nèi)的多家美國(guó)網(wǎng)站無(wú)法通過(guò)域名訪問(wèn)[4].2017年，安全公司Darktrace發(fā)現(xiàn)有黑客利用聯(lián)網(wǎng)魚(yú)缸從某北美賭場(chǎng)竊取數(shù)據(jù)[5].2018年,思科Talos[6]發(fā)現(xiàn)攻擊者利用VPNFilter惡意軟件代碼感染了全球54個(gè)國(guó)家超過(guò)50萬(wàn)臺(tái)路由器.同年的黑帽大會(huì)上，Santamarta[7]通過(guò)分析從飛機(jī)WiFi網(wǎng)絡(luò)被動(dòng)收集的流量報(bào)告發(fā)現(xiàn)某些IP地址可以公開(kāi)獲得如Telnet，HTTP，F(xiàn)TP等通用服務(wù)，并且可以在未經(jīng)授權(quán)的情況下訪問(wèn)與飛行器衛(wèi)星通信固件相關(guān)的關(guān)鍵網(wǎng)絡(luò)接口.2020年末，火眼公司的SolarWinds軟件被植入后門(mén)[8]，美國(guó)多個(gè)政府部門(mén)受到了嚴(yán)重的供應(yīng)鏈攻擊.

通過(guò)調(diào)研2018—2021年網(wǎng)絡(luò)與信息安全領(lǐng)域的四大頂級(jí)會(huì)議USENIX Security (USENIX Security Symposium)，NDSS(Network and Distributed System Security Symposium)，CCS(ACM Conference on Computer and Communications Security)，IEEE S&P(IEEE Symposium on Security and Privacy)的論文，EI和SCI索引收錄的文獻(xiàn)，以及2021年arXiv中收錄的預(yù)印本論文，我們發(fā)現(xiàn)泛在計(jì)算安全相關(guān)研究成果逐年增多.圖1按安全研究熱點(diǎn)進(jìn)行了統(tǒng)計(jì)匯總，可以看出目前的安全研究除了關(guān)注隱私保護(hù)、漏洞挖掘、訪問(wèn)控制、安全協(xié)議等方面，重點(diǎn)圍繞著安全技術(shù)智能化的方向進(jìn)行研究，許多研究旨在利用機(jī)器學(xué)習(xí)算法、區(qū)塊鏈技術(shù)等新型方法，提高漏洞利用、安全防護(hù)的覆蓋率和執(zhí)行效率.此外，發(fā)現(xiàn)大量針對(duì)智能硬件使用場(chǎng)景的安全攻防研究.

Fig. 1 Numbers of papers in Top 4 security conferences, EI, SCI and arXiv from 2018 to 2021圖1 2018—2021年四大頂會(huì)、EI、SCI和2021年arXiv論文分類統(tǒng)計(jì)

然而，這些論文中大多數(shù)研究成果主要針對(duì)單一硬件設(shè)備或單一場(chǎng)景，缺乏泛在計(jì)算及其關(guān)鍵技術(shù)的相關(guān)安全研究綜述.泛在計(jì)算涉及的計(jì)算領(lǐng)域廣，硬件設(shè)備種類多樣，軟件能力和網(wǎng)絡(luò)協(xié)議復(fù)雜，其面臨的安全問(wèn)題也紛繁復(fù)雜，僅從單一角度和場(chǎng)景進(jìn)行安全研究，無(wú)法全面了解泛在計(jì)算安全現(xiàn)狀.另外，泛在計(jì)算演進(jìn)迅速，其軟硬件安全、網(wǎng)絡(luò)協(xié)議、設(shè)備認(rèn)證接入的安全問(wèn)題都缺乏系統(tǒng)的分析和總結(jié)，無(wú)法為研究者提供具有指導(dǎo)意義的研究方向.此外，泛在計(jì)算以“零信任”為安全前提構(gòu)建泛在操作系統(tǒng)，如何保證持續(xù)演化的泛在計(jì)算生態(tài)安全至關(guān)重要，而泛在計(jì)算環(huán)境下軟硬件的供應(yīng)鏈安全評(píng)估和動(dòng)態(tài)安全預(yù)警機(jī)制的研究仍然缺乏系統(tǒng)總結(jié).為了便于研究者深入理解泛在計(jì)算安全問(wèn)題并進(jìn)一步開(kāi)展安全研究工作，本文對(duì)泛在計(jì)算安全研究現(xiàn)狀進(jìn)行了深入調(diào)研和分析，指出了現(xiàn)有研究工作不足和泛在計(jì)算安全面臨的挑戰(zhàn)和機(jī)遇，為未來(lái)的安全研究工作指出了方向.

本文的主要貢獻(xiàn)包括3個(gè)方面：

1) 介紹了泛在計(jì)算及其操作系統(tǒng)的發(fā)展現(xiàn)狀，結(jié)合當(dāng)前學(xué)術(shù)界和工業(yè)界的研究成果，總結(jié)了當(dāng)前泛在計(jì)算的系統(tǒng)架構(gòu)；

2) 深入調(diào)研近幾年國(guó)內(nèi)外泛在計(jì)算領(lǐng)域相關(guān)安全研究文獻(xiàn)，從系統(tǒng)軟件安全、智能設(shè)備安全和通信安全3個(gè)層面總結(jié)了泛在計(jì)算安全研究現(xiàn)狀，并調(diào)研分析了智慧家庭、智能云計(jì)算、工業(yè)互聯(lián)網(wǎng)和自動(dòng)駕駛4個(gè)典型泛在計(jì)算應(yīng)用場(chǎng)景的安全問(wèn)題和研究進(jìn)展；

3) 結(jié)合泛在計(jì)算潛在安全問(wèn)題以及現(xiàn)有研究工作的不足，指出了泛在計(jì)算安全研究在生態(tài)供應(yīng)鏈、全場(chǎng)景攻擊監(jiān)測(cè)、異構(gòu)資源訪問(wèn)控制、設(shè)備認(rèn)證接入、系統(tǒng)安全隔離、開(kāi)放環(huán)境信任協(xié)議、邊緣節(jié)點(diǎn)安全以及車聯(lián)網(wǎng)穩(wěn)定性等8個(gè)方面面臨的挑戰(zhàn)與機(jī)遇，并為相關(guān)安全研究指出了未來(lái)的研究方向.

1 相關(guān)背景介紹

1.1 泛在計(jì)算簡(jiǎn)介

人機(jī)物融合的泛在計(jì)算是繼主機(jī)計(jì)算、個(gè)人計(jì)算、移動(dòng)計(jì)算之后新興的應(yīng)用計(jì)算模式.泛在計(jì)算使人們可在任何時(shí)間地點(diǎn)將計(jì)算需求與云邊端多級(jí)計(jì)算服務(wù)能力無(wú)縫適配[1]，并要求新型泛在操作系統(tǒng)提供基礎(chǔ)系統(tǒng)能力支撐，融合管理泛在分布、能力異構(gòu)的設(shè)備硬件資源.泛在計(jì)算任務(wù)特征多樣，時(shí)空分布拓?fù)鋸?fù)雜，涵蓋了智慧家庭、工業(yè)互聯(lián)網(wǎng)、智能云計(jì)算、自動(dòng)駕駛、智慧城市、無(wú)人系統(tǒng)集群等典型泛在計(jì)算場(chǎng)景.

泛在操作系統(tǒng)(UOS)由梅宏院士提出[1-2]，UOS作為傳統(tǒng)操作系統(tǒng)模型的泛化與拓展，在泛在操作系統(tǒng)體系下，不同的泛在計(jì)算資源、應(yīng)用場(chǎng)景、交互聯(lián)通都需要不同的操作系統(tǒng)能力進(jìn)行適應(yīng).

學(xué)術(shù)界和工業(yè)界側(cè)重于將計(jì)算和資源解耦合，通過(guò)構(gòu)建面向不同領(lǐng)域的泛在操作系統(tǒng)，抽象硬件資源為虛擬資源，以支持靈活多樣的計(jì)算任務(wù).典型泛在操作系統(tǒng)如圖2所示.梅宏院士[1-2]提出了泛在操作系統(tǒng)UOS，并構(gòu)建了面向工業(yè)物聯(lián)網(wǎng)的XiUOS[9]，部署在多節(jié)點(diǎn)集群和邊緣端/云端的計(jì)算設(shè)施.Shan等人[10]設(shè)計(jì)提出了LegoOS，通過(guò)軟件定義的方式將內(nèi)存與 CPU 解耦合，實(shí)現(xiàn)分布式系統(tǒng)對(duì)內(nèi)存資源的有效利用.谷歌公司研發(fā)了Kubernetes系統(tǒng)[11]，將計(jì)算邏輯與計(jì)算節(jié)點(diǎn)解耦合，提升云計(jì)算對(duì)計(jì)算節(jié)點(diǎn)資源的有效利用.華為公司設(shè)計(jì)提出鴻蒙操作系統(tǒng)[12]，通過(guò)彈性化組件設(shè)計(jì)和分布式軟總線方法，實(shí)現(xiàn)多種終端設(shè)備的按需彈性部署和統(tǒng)一接入管理.阿里公司研發(fā)了AliOS[13]，小米公司研發(fā)了Vila[14]，主要面向智慧家庭、智能物聯(lián)網(wǎng)等場(chǎng)景，對(duì)不同智能設(shè)備終端進(jìn)行適配，如智能手機(jī)、智能電表、智能門(mén)鎖、智能電器等.FreeRTOS[15]，AGL[16]，QNX[17]等實(shí)時(shí)操作系統(tǒng)被應(yīng)用到自動(dòng)駕駛汽車的智能座艙、自動(dòng)駕駛、智能車控等領(lǐng)域，并通過(guò)車載傳感器、多域協(xié)同、車路云一體化等技術(shù)，實(shí)現(xiàn)自動(dòng)駕駛導(dǎo)航、車況數(shù)據(jù)監(jiān)控等功能.

Fig. 2 Typical ubiquitous operating systems圖2 典型泛在操作系統(tǒng)

Fig. 3 Typical architecture of ubiquitous operating systems圖3 典型泛在操作系統(tǒng)架構(gòu)

1.2 泛在操作系統(tǒng)架構(gòu)

典型的泛在操作系統(tǒng)架構(gòu)如圖3所示，從下向上包含硬件資源管理層、系統(tǒng)服務(wù)層和運(yùn)行時(shí)環(huán)境.

泛在操作系統(tǒng)作為承載泛在計(jì)算的基礎(chǔ)軟件系統(tǒng)，在真實(shí)環(huán)境中需要管理、驅(qū)動(dòng)不同泛在計(jì)算場(chǎng)景的智能設(shè)備，包括各種傳感器、執(zhí)行器，也包括傳統(tǒng)的處理器、新興的智能加速器、工控機(jī)器人、智能終端設(shè)備、云服務(wù)平臺(tái)等.硬件設(shè)備種類繁雜，分布泛在、性能功耗各異，對(duì)操作系統(tǒng)接入和管理硬件設(shè)備的可靠性、安全性、實(shí)時(shí)性和訪問(wèn)效率都有較高的要求.泛在操作系統(tǒng)提供統(tǒng)一硬件資源抽象層，通過(guò)軟件定義和虛擬化的方式，將物理空間的硬件資源能力映射到虛擬空間，通過(guò)資源能力的標(biāo)準(zhǔn)化描述，對(duì)新型設(shè)備的能力進(jìn)行建模，構(gòu)建泛在操作系統(tǒng)內(nèi)核功能適配未知能力的新型計(jì)算設(shè)備.

現(xiàn)有的操作系統(tǒng)架構(gòu)通常將多種硬件設(shè)備如處理器、內(nèi)存、外部設(shè)備等通過(guò)總線或集成的方式在物理上集中管理.然而，泛在計(jì)算環(huán)境下硬件設(shè)備分布拓?fù)鋸?fù)雜，計(jì)算資源在物理上分布于不同計(jì)算節(jié)點(diǎn)，計(jì)算節(jié)點(diǎn)間需要頻繁通信交互來(lái)完成計(jì)算任務(wù).泛在操作系統(tǒng)需要提供跨節(jié)點(diǎn)的、全局的計(jì)算資源信息感知，構(gòu)建計(jì)算資源連接拓?fù)浞植寄Ｐ?、?gòu)建分布式泛在計(jì)算資源與外界主體的交互模型，以支持泛在操作系統(tǒng)從宏觀角度掌握資源交互能力，有效管理泛在計(jì)算資源.因此，泛在操作系統(tǒng)也需支持并抽象不同網(wǎng)絡(luò)設(shè)備和協(xié)議能力，例如藍(lán)牙、無(wú)線、5G、光纖網(wǎng)絡(luò)等不同的網(wǎng)絡(luò)功能，ZigBee，MQTT，LoRA等典型互聯(lián)協(xié)議.

此外，泛在操作系統(tǒng)的系統(tǒng)軟件服務(wù)主要提供單節(jié)點(diǎn)的系統(tǒng)管理功能和多節(jié)點(diǎn)之間的智能協(xié)同功能.單節(jié)點(diǎn)系統(tǒng)管理適配不同計(jì)算場(chǎng)景，提供包括內(nèi)存管理、調(diào)度管理、設(shè)備驅(qū)動(dòng)等基本內(nèi)核服務(wù)功能.而多節(jié)點(diǎn)之間的智能協(xié)同服務(wù)，則提供智能資源能力感知，軟件定義任務(wù)執(zhí)行，“零信任”前提下的智能設(shè)備接入、訪問(wèn)控制管理等能力.面向不同的計(jì)算設(shè)備和應(yīng)用模式，需要構(gòu)建不同的泛在操作系統(tǒng).操作系統(tǒng)不再局限于直接運(yùn)行在本地物理節(jié)點(diǎn)上的單體內(nèi)核，而是包括不同計(jì)算節(jié)點(diǎn)上軟硬件資源的分布式操作系統(tǒng)架構(gòu)，通過(guò)運(yùn)行時(shí)資源任務(wù)編排執(zhí)行來(lái)進(jìn)行全場(chǎng)景的資源融合管理.

2 泛在計(jì)算安全研究現(xiàn)狀

我們?cè)诰W(wǎng)絡(luò)與信息安全領(lǐng)域四大頂級(jí)會(huì)議近年相關(guān)論文調(diào)研的基礎(chǔ)上，還調(diào)研了2018年1月到2021年10月國(guó)內(nèi)外泛在計(jì)算安全領(lǐng)域的相關(guān)高引論文，預(yù)印本arXiv平臺(tái)中的相關(guān)論文，以及中國(guó)計(jì)算機(jī)學(xué)會(huì)CCF A類和CCF B類會(huì)議與期刊論文.通過(guò)對(duì)相關(guān)調(diào)研進(jìn)行歸納總結(jié)，我們將泛在計(jì)算安全研究分為三大方面：系統(tǒng)軟件安全、智能設(shè)備安全和通信安全.系統(tǒng)軟件安全是指泛在計(jì)算環(huán)境下操作系統(tǒng)和基礎(chǔ)軟件上存在的各類安全問(wèn)題;智能設(shè)備安全是指在智能硬件設(shè)備上存在的安全問(wèn)題;通信安全是指泛在計(jì)算環(huán)境下云邊端互聯(lián)與網(wǎng)絡(luò)通信相關(guān)的安全問(wèn)題.

2.1 系統(tǒng)軟件安全

操作系統(tǒng)和基礎(chǔ)軟件是泛在計(jì)算環(huán)境的核心組成部分，任何系統(tǒng)軟件安全問(wèn)題都會(huì)直接危害其上運(yùn)行的應(yīng)用程序安全，因此系統(tǒng)軟件的安全性對(duì)泛在操作系統(tǒng)及其覆蓋的計(jì)算環(huán)境至關(guān)重要.通過(guò)調(diào)研歸納，我們總結(jié)了操作系統(tǒng)安全技術(shù)、軟件漏洞挖掘、身份認(rèn)證機(jī)制以及軟件隱私安全等主要系統(tǒng)軟件安全方向的研究現(xiàn)狀.

2.1.1 操作系統(tǒng)安全技術(shù)

泛在計(jì)算環(huán)境下，不同硬件、節(jié)點(diǎn)或場(chǎng)景上會(huì)適配不同的操作系統(tǒng)內(nèi)核，如實(shí)時(shí)操作系統(tǒng)RTOS、智能終端系統(tǒng)Android、節(jié)點(diǎn)操作系統(tǒng)Linux、云原生環(huán)境openstack或容器等.

單體操作系統(tǒng)，如Windows，Linux，利用CPU硬件特性提供的分級(jí)保護(hù)域，以及進(jìn)程地址空間隔離機(jī)制，實(shí)現(xiàn)對(duì)進(jìn)程執(zhí)行的安全保護(hù).為了保障系統(tǒng)內(nèi)生安全，SELinux通過(guò)對(duì)系統(tǒng)中所有進(jìn)程、文件、端口等打標(biāo)簽，將文件的訪問(wèn)控制方式從DAC(自主訪問(wèn)控制)改變?yōu)镸AC(強(qiáng)制訪問(wèn)控制).利用硬件安全特性保證系統(tǒng)安全是當(dāng)前研究熱點(diǎn)，虛擬化硬件、Intel CAT、可編程體系結(jié)構(gòu)、SR-IOV等新型硬件特性不斷引入，為系統(tǒng)安全保障提供了新的技術(shù)手段.Hua等人[18]提出了vTZ，通過(guò)利用ARM trustzone擴(kuò)展，實(shí)現(xiàn)多個(gè)虛擬化的可信任執(zhí)行環(huán)境，從而保證任務(wù)間的強(qiáng)隔離安全.Li等人[19]提出了HypSec，通過(guò)微內(nèi)核設(shè)計(jì)思想將傳統(tǒng)虛擬機(jī)監(jiān)控器劃分為虛擬機(jī)操作模塊和虛擬機(jī)數(shù)據(jù)管理模塊，通過(guò)減少核心功能代碼量，保證對(duì)最小安全可信基的嚴(yán)格測(cè)試，提升系統(tǒng)安全性.Hua等人[20]提出了TZ-Container，利用ARM TrustZone實(shí)現(xiàn)多個(gè)內(nèi)存地址空間隔離的容器執(zhí)行環(huán)境.而在云場(chǎng)景和邊緣計(jì)算場(chǎng)景中，如何避免任務(wù)跨虛擬機(jī)、跨容器造成內(nèi)存數(shù)據(jù)讀寫(xiě)和破壞，以及多內(nèi)核情況下因IPI flooding造成的DoS(denial of service)攻擊，執(zhí)行實(shí)體間的安全隔離成為系統(tǒng)安全研究的趨勢(shì).谷歌公司提出了gvisor[21]，一個(gè)供非特權(quán)進(jìn)程運(yùn)行的容器環(huán)境，通過(guò)攔截系統(tǒng)調(diào)用避免任務(wù)直接陷入內(nèi)核，實(shí)現(xiàn)強(qiáng)隔離的容器.Randazzo等人[22]提出了kata,通過(guò)在每個(gè)虛擬機(jī)中構(gòu)建唯一容器，避免多容器共享內(nèi)核，從而提供安全的容器沙盒.此外，Heiser等人[23]提出了形式化驗(yàn)證安全的操作系統(tǒng)內(nèi)核SeL4，通過(guò)形式化證明內(nèi)核代碼實(shí)現(xiàn)符合抽象模型的預(yù)期定義，保證系統(tǒng)內(nèi)核的可靠性和完整性.

小結(jié)：當(dāng)前操作系統(tǒng)安全研究主要集中在內(nèi)核架構(gòu)和運(yùn)行時(shí)環(huán)境，除了常規(guī)的安全隔離、權(quán)限管理控制之外，面對(duì)復(fù)雜泛在計(jì)算場(chǎng)景不同的內(nèi)核功能需求和新型硬件能力，研究主要集中于利用硬件特性或基于形式化驗(yàn)證方法，提升操作系統(tǒng)內(nèi)生安全.

2.1.2 軟件漏洞挖掘

軟件漏洞挖掘是通過(guò)對(duì)軟件的可執(zhí)行程序進(jìn)行靜態(tài)或動(dòng)態(tài)分析，盡可能挖掘出軟件中潛在漏洞的一種方法.隨著泛在計(jì)算的多元發(fā)展，不同設(shè)備的軟硬件差異巨大，難以構(gòu)建通用的漏洞挖掘模型.雖然傳統(tǒng)的漏洞挖掘技術(shù)無(wú)法直接適配泛在計(jì)算環(huán)境,但其分析技術(shù)與安全測(cè)試思路仍然具有一定的普適性.

現(xiàn)有的軟件漏洞挖掘技術(shù)按照分析對(duì)象的不同可分為基于源代碼的漏洞挖掘和基于目標(biāo)代碼的漏洞挖掘技術(shù).基于源代碼的漏洞挖掘是在獲取到源代碼的前提下，通過(guò)分析源碼找到潛在的軟件漏洞.由于商業(yè)軟件中源碼是保密且很難獲取的，故基于源代碼的軟件漏洞挖掘技術(shù)多用于開(kāi)發(fā)過(guò)程的軟件測(cè)試環(huán)節(jié).Nunes等人[24]使用自動(dòng)靜態(tài)分析方法，在程序源代碼中進(jìn)行漏洞分析來(lái)改進(jìn)應(yīng)用程序中漏洞的整體檢測(cè)效率.Wang等人[25]通過(guò)靜態(tài)分析檢測(cè)發(fā)現(xiàn)了Android源碼中SSL/TLS(Secure Socket Layer/Transport Layer Security)證書(shū)驗(yàn)證的漏洞.基于目標(biāo)代碼的漏洞挖掘技術(shù)是分析二進(jìn)制目標(biāo)代碼進(jìn)行漏洞檢測(cè)的方法，可以分為基于代碼特征的漏洞挖掘和基于模糊測(cè)試的漏洞挖掘技術(shù).基于代碼特征的漏洞挖掘技術(shù)是根據(jù)已有漏洞庫(kù)提取漏洞特征來(lái)檢測(cè)目標(biāo)代碼是否包含該漏洞.基于模糊測(cè)試的漏洞挖掘技術(shù)是通過(guò)在程序中輸入大量的半有效數(shù)據(jù)，根據(jù)程序異常來(lái)識(shí)別軟件潛在漏洞.該方法結(jié)合機(jī)器學(xué)習(xí)技術(shù)能顯著提高漏洞檢測(cè)的效率.Li等人[26]提出了VulDeePecker系統(tǒng)，基于深度學(xué)習(xí)的漏洞檢測(cè)系統(tǒng)減少了人工定義特征的煩瑣任務(wù).Zong等人[27]設(shè)計(jì)實(shí)現(xiàn)了Fuzzguard，基于深入學(xué)習(xí)預(yù)測(cè)程序輸入的可達(dá)性，提高模糊測(cè)試的性能.Li等人[28]提出了SySeVR，利用深度學(xué)習(xí)方法檢測(cè)程序源代碼中存在的漏洞.?sterlund等人[29]研究基于Sanitizer-guided灰盒模糊測(cè)試，提升了漏洞挖掘的效率.

軟件漏洞分析是在軟件漏洞挖掘發(fā)現(xiàn)安全漏洞后，對(duì)發(fā)現(xiàn)的漏洞進(jìn)行深入分析來(lái)探索軟件漏洞出現(xiàn)的類型和成因，進(jìn)而針對(duì)此類型軟件漏洞形成新的安全解決方案.Niu等人[30]提出了一種基于深度學(xué)習(xí)的靜態(tài)污點(diǎn)分析方法來(lái)自動(dòng)定位物聯(lián)網(wǎng)軟件漏洞.Yan等人[31]提出了HAN-BSVD工具，用于二進(jìn)制軟件漏洞檢測(cè)的層次網(wǎng)絡(luò)的軟件漏洞分析.Li等人[32]通過(guò)軟件漏洞分析，提出了一種基于混合神經(jīng)網(wǎng)絡(luò)的源代碼自動(dòng)漏洞檢測(cè)框架.Chen等人[33]提出了PSOFuzzer工具，可以提高面向目標(biāo)的漏洞檢測(cè)的效率.Zhang等人[34]通過(guò)對(duì)軟件漏洞檢測(cè)技術(shù)的分析提出了iTES，該系統(tǒng)可以自動(dòng)收集常見(jiàn)漏洞類型的漏洞案例及源代碼，形成漏洞案例庫(kù).

當(dāng)前，軟件漏洞挖掘技術(shù)相關(guān)研究工作主要集中在優(yōu)化模糊測(cè)試方法.?sterlund等人[29]提出了基于模糊測(cè)試的Parmesan系統(tǒng)，通過(guò)優(yōu)化模糊測(cè)試覆蓋率，在錯(cuò)誤發(fā)現(xiàn)速度上超越了基于覆蓋的模糊測(cè)試器(Angora)[35]和定向模糊測(cè)試器(AFLGo)[36].Chen等人[28]研究發(fā)現(xiàn)將模糊測(cè)試直接用于輸入依賴的多線程程序會(huì)降低效率，進(jìn)而提出了線程感知的模糊測(cè)試方法.Ruge等人[37]提出了基于高級(jí)固件仿真的模糊測(cè)試框架Frankenstein，用于發(fā)現(xiàn)部署系統(tǒng)中的遠(yuǎn)程代碼執(zhí)行漏洞.Song等人[38]通過(guò)在執(zhí)行測(cè)試時(shí)動(dòng)態(tài)地創(chuàng)建多個(gè)檢查點(diǎn)來(lái)加速內(nèi)核驅(qū)動(dòng)的模糊測(cè)試.Nagy等人[39]設(shè)計(jì)了ZAFL平臺(tái)，在不犧牲性能的情況下將模糊測(cè)試應(yīng)用于純二進(jìn)制目標(biāo).

小結(jié)：目前，雖然不乏測(cè)試用例質(zhì)量方面的研究，比如，Wang等人[40]提出的SyzVegaS框架，通過(guò)動(dòng)態(tài)調(diào)整測(cè)試用例選擇，提高單位時(shí)間內(nèi)的覆蓋率.Poeplau等人[41]提出的Symcc編譯器，可以在二進(jìn)制文件中直接建立符號(hào)執(zhí)行來(lái)提高覆蓋率.但在軟件漏洞挖掘檢測(cè)中，仍受用例選擇、方法和格式等因素的影響，同時(shí)存在測(cè)試冗余、攻擊面模糊、路徑選擇盲目、用例漏洞觸發(fā)能力弱等問(wèn)題，需研究人員進(jìn)一步研究完善.

2.1.3 身份認(rèn)證機(jī)制

身份認(rèn)證是泛在計(jì)算環(huán)境下設(shè)備間建立信任的方式，是各種安全服務(wù)的基本.一旦身份認(rèn)證系統(tǒng)被攻破，那么基于身份認(rèn)證的整個(gè)泛在操作系統(tǒng)都將面臨安全風(fēng)險(xiǎn).

身份認(rèn)證機(jī)制的缺失可能會(huì)對(duì)設(shè)備正確接入、用戶隱私和數(shù)據(jù)安全等造成危害.在物聯(lián)網(wǎng)、云計(jì)算等環(huán)境下由于云服務(wù)器無(wú)法檢查用戶的合法性導(dǎo)致非法用戶可以任意查詢?cè)茢?shù)據(jù)庫(kù)[42]，攻擊者也可以通過(guò)受損設(shè)備對(duì)網(wǎng)絡(luò)發(fā)起DDoS攻擊[43].近年來(lái)，主要研究工作大多采用增強(qiáng)密碼協(xié)議機(jī)制或生物識(shí)別技術(shù)來(lái)增強(qiáng)泛在計(jì)算環(huán)境下設(shè)備、用戶的身份認(rèn)證能力，但仍然存在很多問(wèn)題.例如，使用密碼質(zhì)詢響應(yīng)協(xié)議提供強(qiáng)身份驗(yàn)證[44]，但用戶端需要防篡改硬件模塊.W3C(World Wide Web Consortium)的強(qiáng)身份驗(yàn)證標(biāo)準(zhǔn)使用數(shù)字簽名對(duì)用戶進(jìn)行身份驗(yàn)證，同時(shí)保護(hù)他們的隱私，但身份驗(yàn)證器的丟失會(huì)阻止用戶訪問(wèn)服務(wù)[45].生物特征識(shí)別技術(shù)已被廣泛應(yīng)用于增強(qiáng)用戶身份驗(yàn)證，然而攻擊者可通過(guò)獲取并破壞用戶的生物特征，對(duì)“靜態(tài)”生物特征(如指紋)進(jìn)行攻擊利用[46].Fietkau等人[47]從照片中獲取指紋信息，成功欺騙了生物識(shí)別系統(tǒng).

研究人員為了解決身份認(rèn)證缺失設(shè)計(jì)了相應(yīng)身份認(rèn)證機(jī)制，Zhang等人[42]設(shè)計(jì)了基于屬性的認(rèn)證算法，用于輔助邊緣計(jì)算的細(xì)粒度訪問(wèn)控制和分布式入場(chǎng)檢測(cè)模型，解決了傳統(tǒng)基于屬性的加密系統(tǒng)不適合分布式物聯(lián)網(wǎng)的問(wèn)題.Tian等人[48]提出了基于混合算法的區(qū)塊鏈身份驗(yàn)證方法，增強(qiáng)了云數(shù)據(jù)存儲(chǔ)的安全性.Kuang等人[43]提出了通過(guò)云服務(wù)器、霧節(jié)點(diǎn)或基站來(lái)遠(yuǎn)程認(rèn)證的方法，有效避免DDoS攻擊，并用于固件更新和補(bǔ)丁程序分發(fā)認(rèn)證等安全服務(wù).Gupta等人[49]提出了一種基于身份加密技術(shù)的輕量級(jí)雙方認(rèn)證協(xié)議，在各種車輛和路邊單位之間生成會(huì)話密鑰，解決車路互聯(lián)的安全和隱私問(wèn)題.共享憑證是當(dāng)前最廣泛的身份驗(yàn)證形式，但它易受數(shù)據(jù)庫(kù)盜竊和網(wǎng)絡(luò)釣魚(yú)攻擊.Zhang等人[44]提出了一種不依賴用戶端、抗篡改的硬件強(qiáng)認(rèn)證機(jī)制，可以有效抵抗字典攻擊，保護(hù)數(shù)據(jù)安全性.Frymann等人[45]提出了通過(guò)備份驗(yàn)證器生成不可鏈接的公鑰，利用備份恢復(fù)私鑰，解決了身份驗(yàn)證器丟失的問(wèn)題.我們?cè)诒?中對(duì)這些身份驗(yàn)證方案進(jìn)行了總結(jié)對(duì)比.

Table 1 Comparison and Analysis of Identity Authentication Schemes

小結(jié)：當(dāng)前身份認(rèn)證機(jī)制研究主要針對(duì)物聯(lián)網(wǎng)和云計(jì)算等計(jì)算場(chǎng)景，傳統(tǒng)的認(rèn)證加密算法面對(duì)大量異構(gòu)設(shè)備的接入，出現(xiàn)了新的安全挑戰(zhàn)，現(xiàn)有研究主要集中在基于屬性或區(qū)塊鏈的算法增強(qiáng)泛在計(jì)算的加密系統(tǒng)，提升設(shè)備與用戶接入時(shí)的安全與隱私.

2.1.4 軟件隱私安全

軟件隱私安全在泛在計(jì)算安全中有著廣泛體現(xiàn).隨著新技術(shù)的應(yīng)用和操作系統(tǒng)軟件棧的日益復(fù)雜化，軟件隱私安全面臨的威脅不斷演變.大數(shù)據(jù)、云計(jì)算、信息安全、人工智能等信息技術(shù)的發(fā)展為泛在計(jì)算及UOS的軟件安全與隱私研究帶來(lái)了新的問(wèn)題，同時(shí)這些技術(shù)自身也是解決問(wèn)題的重要手段.現(xiàn)有研究提供了一些解決隱私安全問(wèn)題的方法.Ahmad等人[50]提出StaDART系統(tǒng)，用來(lái)解決Android應(yīng)用程序在運(yùn)行時(shí)擴(kuò)展其功能被惡意開(kāi)發(fā)者攻擊變成惡意軟件，從而威脅軟件系統(tǒng)安全的問(wèn)題.然而，對(duì)安全問(wèn)題的研究很少考慮數(shù)據(jù)隱私方面的問(wèn)題.當(dāng)前以隱私為導(dǎo)向的方法也是如此，例如，Mao等人[51]研究了人臉識(shí)別隱私保護(hù)的方法，提出了基于邊緣計(jì)算隱私保護(hù)的深度學(xué)習(xí)方法，解決了深度學(xué)習(xí)模型訓(xùn)練過(guò)程外包到云或邊緣服務(wù)器上所導(dǎo)致的隱私侵犯問(wèn)題.Boukoros等人[52]發(fā)現(xiàn)移動(dòng)眾包感知(mobile crowd sensing, MCS)利用用戶設(shè)備作為傳感器來(lái)執(zhí)行地理定位數(shù)據(jù)收集，造成用戶隱私泄露.研究人員對(duì)安全與隱私的研究是通過(guò)針對(duì)軟件的隱私問(wèn)題來(lái)提出相應(yīng)解決方案，從而間接地保護(hù)系統(tǒng)安全.Arzani等人[53]開(kāi)發(fā)了一個(gè)可擴(kuò)展的隱私解決方案Privateeye，在云計(jì)算場(chǎng)景下利用低信號(hào)數(shù)據(jù)保護(hù)虛擬機(jī)中的客戶隱私.Ahmed等人[54]開(kāi)發(fā)了一種語(yǔ)音轉(zhuǎn)錄系統(tǒng)Preech，針對(duì)自動(dòng)語(yǔ)音識(shí)別系統(tǒng)帶來(lái)的隱私威脅，通過(guò)端到端的語(yǔ)音轉(zhuǎn)錄，保護(hù)說(shuō)話者聲音的聲學(xué)特征.Koti等人[55]提出了面向隱私保護(hù)的機(jī)器學(xué)習(xí)框架SWIFT，用于保障外包計(jì)算環(huán)境中的用戶隱私安全.研究人員也對(duì)局部差分隱私協(xié)議(local differential privacy, LDP)進(jìn)行了改進(jìn)，但大多集中在LDP協(xié)議的實(shí)用性開(kāi)發(fā)，LDP協(xié)議安全性在很大程度上還沒(méi)有得到提升[56].Zeng等人[57]提出了一個(gè)原型智能家居應(yīng)用，包括基于位置的訪問(wèn)控制、活動(dòng)通知等安全功能.Narula等人[58]提出了基于區(qū)塊鏈的隱私保護(hù)審計(jì)系統(tǒng)zkledger，首次提出了保護(hù)參與者的隱私并提供快速、可證明正確的審計(jì)系統(tǒng).區(qū)塊鏈提供了比傳統(tǒng)支付更有吸引力的優(yōu)勢(shì)，但是區(qū)塊鏈支付的驗(yàn)證需要用戶下載和處理整個(gè)區(qū)塊鏈，這對(duì)手機(jī)等資源有限的設(shè)備來(lái)說(shuō)是不可行的.為了解決這個(gè)問(wèn)題，大多數(shù)主要的區(qū)塊鏈系統(tǒng)支持所謂的輕量級(jí)客戶端，將大部分的計(jì)算和存儲(chǔ)負(fù)擔(dān)外包給完整的區(qū)塊鏈節(jié)點(diǎn)，例如Vibes[59]，Blocksci[60].然而，這種驗(yàn)證會(huì)泄露客戶交易的關(guān)鍵信息，從而破壞了用戶隱私.針對(duì)以上驗(yàn)證會(huì)泄露隱私的問(wèn)題，Matetic等人[61]利用SGX(software guard extensions)可信執(zhí)行能力，為輕客戶端的請(qǐng)求提供隱私保護(hù)服務(wù).

小結(jié)：當(dāng)前，軟件棧不斷增長(zhǎng)的同時(shí)也增大了惡意攻擊的范圍和用戶數(shù)據(jù)泄露的風(fēng)險(xiǎn).表2給出了系統(tǒng)軟件對(duì)隱私設(shè)計(jì)的策略，系統(tǒng)軟件的安全和隱私在保護(hù)數(shù)據(jù)的機(jī)密性、完整性和可用性方面發(fā)揮著重要作用.為了加強(qiáng)操作系統(tǒng)的軟件安全和隱私，從設(shè)計(jì)新系統(tǒng)和保護(hù)現(xiàn)有系統(tǒng)中的信息和數(shù)據(jù)開(kāi)始，有必要在整個(gè)軟件生命周期各階段考慮軟件面臨的安全和隱私問(wèn)題.

Table 2 Privacy Design Strategies

2.2 智能設(shè)備安全

在泛在計(jì)算環(huán)境下，智能設(shè)備安全的首要條件是可靠性，一些可引發(fā)關(guān)鍵路徑計(jì)時(shí)故障和單事件擾動(dòng)的安全攻擊會(huì)造成硬件設(shè)備的可靠性問(wèn)題，如故障注入[62]可造成設(shè)備宕機(jī).其次，設(shè)備信息輸出和其內(nèi)存位置應(yīng)無(wú)法被直接獲取或被推斷出相關(guān)密碼信息，即智能設(shè)備應(yīng)具有保密性.然而系統(tǒng)的側(cè)信道或后門(mén)泄露可能造成秘密信息泄露，如加密硬件、系統(tǒng)總線和處理器部件(如緩存、分支預(yù)測(cè)器等)中存在的側(cè)信道泄露[63-64]，同時(shí)，硬件木馬[65]的植入也會(huì)破壞設(shè)備的保密性.再次，設(shè)備應(yīng)具備完整性，即受信任的數(shù)據(jù)無(wú)法被不受信任的實(shí)體重寫(xiě)，該屬性通常針對(duì)關(guān)鍵的數(shù)據(jù)位置，如程序計(jì)數(shù)器和特權(quán)寄存器等.完整性攻擊通常是為了進(jìn)一步執(zhí)行惡意活動(dòng)，如劫持控制流[66].除上述屬性外，具備不同安全等級(jí)的硬件組件間不能直接通信.這需要在片上系統(tǒng)、處理器和云服務(wù)平臺(tái)上強(qiáng)制執(zhí)行，其中安全區(qū)域和正常區(qū)域之間的交互應(yīng)受到嚴(yán)格的訪問(wèn)控制.然而，仍存在破壞強(qiáng)隔離機(jī)制的安全漏洞，例如ARM信任區(qū)域[67]和Intel處理器擴(kuò)展[68]在近年來(lái)已發(fā)生過(guò)多起攻擊案例.為防止時(shí)間通道的存在，在硬件設(shè)計(jì)時(shí)，應(yīng)使不同輸入組合下計(jì)算和生成結(jié)果的時(shí)間不變，換言之，不能通過(guò)觀測(cè)計(jì)算時(shí)間來(lái)獲得輸入信息.最后，基于智能設(shè)備安全問(wèn)題，需要定量的指標(biāo)以實(shí)現(xiàn)設(shè)備安全性的準(zhǔn)確評(píng)估，如評(píng)估加密函數(shù)輸出的隨機(jī)性[69].有了這些智能設(shè)備應(yīng)具備的總體安全屬性后，我們將在下文分類闡述泛在計(jì)算環(huán)境下設(shè)備硬件的相關(guān)安全研究現(xiàn)狀.

2.2.1 架構(gòu)與實(shí)現(xiàn)類威脅

架構(gòu)是實(shí)現(xiàn)設(shè)備硬件內(nèi)部組織、功能的規(guī)則方法.泛在計(jì)算中的硬件架構(gòu)實(shí)現(xiàn)需要綜合邊界、交互、成本、周期等多元條件約束，容易被惡意用戶針對(duì)薄弱環(huán)節(jié)進(jìn)行安全攻擊.

在內(nèi)存方面，Coldboot[70]和Rowhammer[71]攻擊表明了保護(hù)動(dòng)態(tài)隨機(jī)存儲(chǔ)器(DRAM)中敏感數(shù)據(jù)的重要性.DRAM數(shù)據(jù)在設(shè)備關(guān)閉后，仍然會(huì)短時(shí)間保存(這一時(shí)間可以通過(guò)冷卻內(nèi)存來(lái)延長(zhǎng)).Coldboot利用這一特性從DRAM中獲取敏感信息.Rowhammer則利用DRAM數(shù)據(jù)可以通過(guò)訪問(wèn)附近數(shù)據(jù)而改變的漏洞，構(gòu)造代碼數(shù)據(jù)定位到內(nèi)存中關(guān)鍵數(shù)據(jù)的附近，通過(guò)改變構(gòu)造數(shù)據(jù)產(chǎn)生電路噪聲，從而導(dǎo)致目標(biāo)敏感數(shù)據(jù)被惡意更改.

硬件緩存會(huì)保留進(jìn)程數(shù)據(jù)，特別是進(jìn)程訪問(wèn)的內(nèi)存地址，所以針對(duì)硬件緩存的攻擊普遍存在.以時(shí)間驅(qū)動(dòng)或訪問(wèn)驅(qū)動(dòng)的計(jì)時(shí)攻擊就是其中的典型代表.時(shí)間驅(qū)動(dòng)攻擊會(huì)計(jì)算受害者進(jìn)程的執(zhí)行時(shí)間,攻擊者通過(guò)讀取共享緩存中的內(nèi)容，觀察其他進(jìn)程加密操作的計(jì)時(shí)，該計(jì)時(shí)與緩存命中或未命中具有相關(guān)性，利用該相關(guān)性可以分析獲得密鑰信息[72].訪問(wèn)驅(qū)動(dòng)攻擊通過(guò)測(cè)量攻擊者執(zhí)行訪問(wèn)所花費(fèi)的時(shí)間來(lái)提取信息[73].如果一個(gè)特定的緩存線路被受害者進(jìn)程訪問(wèn)，攻擊者將觀察到緩存命中，反之亦然.例如，攻擊者可以識(shí)別受害者的數(shù)據(jù)訪問(wèn)模式，并使用該信息提取秘密信息.針對(duì)硬件緩存的攻擊往往會(huì)結(jié)合其他硬件攻擊方法,Meltdown[74]允許未經(jīng)授權(quán)的進(jìn)程讀取映射到當(dāng)前進(jìn)程內(nèi)存空間的數(shù)據(jù).Spectre[75]利用該功能推測(cè)代碼在緩存中留下的執(zhí)行痕跡來(lái)提取信息.

隨著新型硬件和安全擴(kuò)展的不斷演進(jìn)，相應(yīng)的安全方案先后問(wèn)世，用以保護(hù)這些易受攻擊的敏感數(shù)據(jù)，如豐富執(zhí)行環(huán)境(rich execution environment, REE)、虛擬機(jī)隔離技術(shù)、安全元件(secure element, SE)、可信執(zhí)行環(huán)境(trusted execution environment, TEE)等.其中，TEE因其受硬件保護(hù)、可快速通信、具有全球標(biāo)準(zhǔn)等優(yōu)勢(shì)被廣泛應(yīng)用，但仍存在安全風(fēng)險(xiǎn)和漏洞[76]，這些漏洞可以被用來(lái)操縱智能設(shè)備的內(nèi)核.攻擊者可以由受信任程序進(jìn)行危險(xiǎn)的TEE內(nèi)核調(diào)用，任何受信程序都可以映射到主機(jī)操作系統(tǒng)的內(nèi)存區(qū)域，通過(guò)劫持一個(gè)脆弱的受信程序，利用緩沖區(qū)溢出，直接控制智能設(shè)備[77].

小結(jié)：雖然近年來(lái)可信執(zhí)行環(huán)境多次被成功攻擊，但其仍是實(shí)現(xiàn)泛在計(jì)算和系統(tǒng)安全的有效手段.對(duì)比主流操作系統(tǒng)中的先進(jìn)防御機(jī)制，TEE在安全方面的潛力仍有待進(jìn)一步挖掘.

2.2.2 硬件漏洞檢測(cè)

Google Project Zero曝光的Meltdown[74]和Spectre[75]漏洞揭示了通用處理器存在嚴(yán)重安全問(wèn)題，此后，大量與處理器設(shè)計(jì)相關(guān)的安全漏洞被發(fā)現(xiàn).用于加速機(jī)器學(xué)習(xí)算法的GPU(graphics processing unit)被發(fā)現(xiàn)存在故障注入、側(cè)通道以及堆棧溢出等漏洞[78-79]，智能汽車中大量使用的MCU(microcontroller unit)也被證明存在側(cè)通道泄露風(fēng)險(xiǎn)和可被用于故障注入攻擊的漏洞[80-81]，此外，AI中廣泛使用的神經(jīng)網(wǎng)絡(luò)加速芯片NPU(neural network processing unit)同樣被發(fā)現(xiàn)存在側(cè)通道和總線控制漏洞[82].這些漏洞無(wú)法被基于系統(tǒng)日志的監(jiān)測(cè)方式察覺(jué)，因此，泛在操作系統(tǒng)需要硬件漏洞挖掘框架以檢測(cè)識(shí)別智能設(shè)備中存在的已知漏洞以及潛在未知漏洞.

硬件漏洞檢測(cè)與挖掘大多是通過(guò)模糊測(cè)試和關(guān)聯(lián)分析的方法，這些方法在軟件測(cè)試中已經(jīng)得到廣泛的應(yīng)用，但是用于硬件測(cè)試時(shí)還面臨很多技術(shù)難題.Moghimi等人[83]使用模糊測(cè)試技術(shù)發(fā)現(xiàn)了Medusa漏洞，但是其模糊測(cè)試架構(gòu)仍基于微體系架構(gòu)數(shù)據(jù)采樣，因此，只能發(fā)現(xiàn)相似的漏洞.Khan等人[84]彌補(bǔ)了這個(gè)缺點(diǎn)，提出了高度靈活的內(nèi)核可重構(gòu)REHAD架構(gòu)，能適應(yīng)威脅級(jí)別并檢測(cè)新的攻擊.雖然，側(cè)信道通常被攻擊者利用進(jìn)行信息竊取，但信道本身是可以被用于檢測(cè)惡意活動(dòng)的，Mao等人[85]使用神經(jīng)網(wǎng)絡(luò)模型分析設(shè)備的電磁信道輻射，實(shí)現(xiàn)惡意行為的實(shí)時(shí)檢測(cè).對(duì)于近期興起的針對(duì)動(dòng)態(tài)隨機(jī)存儲(chǔ)器的Rowhammer[71]攻擊，F(xiàn)armani等人[86]提出了RHAT框架，通過(guò)對(duì)內(nèi)存存儲(chǔ)元件特征的空間關(guān)聯(lián)分析，自動(dòng)化檢測(cè)利用內(nèi)存模塊漏洞進(jìn)行的惡意攻擊.當(dāng)前，自動(dòng)化的硬件漏洞檢測(cè)已成為硬件安全研究的前沿方向.

小結(jié)：硬件漏洞挖掘應(yīng)當(dāng)構(gòu)建具有自我學(xué)習(xí)能力的測(cè)試用例生成方法[87]，提升覆蓋率，從而自動(dòng)化檢測(cè)潛在的未知漏洞.此外，通過(guò)監(jiān)測(cè)硬件設(shè)備運(yùn)行動(dòng)態(tài)來(lái)判斷硬件攻擊也是當(dāng)前的熱點(diǎn)研究方向.Zhu等人[88]通過(guò)特殊的硬件芯片檢測(cè)處理器端口的數(shù)據(jù)，并利用模式匹配及重放方法判斷是否受到了硬件攻擊，Li等人[89]通過(guò)追蹤設(shè)備執(zhí)行時(shí)的事件信息并利用機(jī)器學(xué)習(xí)方法來(lái)判斷是否受到了硬件攻擊.相應(yīng)地，攻擊者通過(guò)在惡意代碼中增加特定指令或時(shí)間間隔，模擬普通應(yīng)用執(zhí)行時(shí)的體系結(jié)構(gòu)特征，來(lái)掩蓋利用硬件漏洞的攻擊過(guò)程，降低攻擊監(jiān)測(cè)效率[90].

2.2.3 設(shè)備側(cè)信道攻擊

側(cè)信道攻擊是指通過(guò)分析軟硬件運(yùn)行時(shí)產(chǎn)生的各種泄露信息，對(duì)系統(tǒng)進(jìn)行攻擊的方法.這些物理泄露的信息特征往往與設(shè)備內(nèi)部處理的數(shù)據(jù)息息相關(guān).攻擊者可以通過(guò)搜集這些信號(hào)的某一種或幾種物理特征，繞過(guò)協(xié)議和算法本身的安全性對(duì)智能設(shè)備進(jìn)行攻擊.隨著泛在計(jì)算的發(fā)展，智能設(shè)備的普及，側(cè)信道安全威脅日益嚴(yán)重.雖然防護(hù)技術(shù)日益進(jìn)步，但因芯片微架構(gòu)的改進(jìn)，如共享緩存、推測(cè)控制和超線程等技術(shù)的引入，都會(huì)產(chǎn)生額外的側(cè)信道安全問(wèn)題.這些側(cè)信道可以按物理特性的不同進(jìn)行分類.

1) 時(shí)間通道.由于不同軟件的執(zhí)行過(guò)程共享硬件資源，不同指令的執(zhí)行又存在時(shí)間差異，導(dǎo)致基于時(shí)間的側(cè)信道.比如芯片進(jìn)行算數(shù)和布爾操作時(shí)，會(huì)存在快速和慢速執(zhí)行路徑，這類特征可被用于揭露底層操作信息[91].Paccagnella等人[92]利用CPU環(huán)互聯(lián)爭(zhēng)用的細(xì)粒度時(shí)間模式來(lái)推斷受害者進(jìn)程的信息.Gras等人[93]利用硬件后備緩沖區(qū)(translation lookaside buffers, TLB)來(lái)泄露受害者活動(dòng)的細(xì)粒度信息.網(wǎng)絡(luò)加密流量側(cè)信道攻擊通過(guò)分析、提取網(wǎng)絡(luò)應(yīng)用通信過(guò)程中泄露的數(shù)據(jù)包長(zhǎng)度、時(shí)間等側(cè)信道信息，能夠識(shí)別用戶的身份和行為，甚至還原用戶輸入的原始數(shù)據(jù).隨著云計(jì)算的出現(xiàn)，現(xiàn)已可以跨虛擬機(jī)實(shí)現(xiàn)時(shí)間側(cè)信道攻擊[94].

2) 功率通道.攻擊者可以通過(guò)測(cè)量電子元件運(yùn)行時(shí)的功率軌跡，對(duì)軌跡特征進(jìn)行數(shù)學(xué)分析，進(jìn)而提取設(shè)備中的秘密信息.這種攻擊的基本前提是芯片的瞬態(tài)功率軌跡可泄露其內(nèi)部的交換模式.若攻擊者知道設(shè)備的內(nèi)部實(shí)現(xiàn)，則可通過(guò)功率分析進(jìn)行攻擊[95].若攻擊者具有設(shè)備的訪問(wèn)權(quán)限，則可以采用模板攻擊[96].近年來(lái)，隨著云服務(wù)的增長(zhǎng)，多租戶云環(huán)境中，惡意用戶可與受信任用戶共享資源[97-98]，遠(yuǎn)程的功率攻擊也就變得可行.攻擊者可以通過(guò)電力交付網(wǎng)絡(luò)推斷出使用同一硬件資源用戶的程序信息.

3) 電磁通道.電磁信號(hào)是最早被利用并進(jìn)行側(cè)信道攻擊的一種物理信號(hào)，通過(guò)探測(cè)捕捉集成電路的電磁輻射，將這些輻射信號(hào)數(shù)字化后，可從中提取秘密信息，即電磁分析.這種分析技術(shù)可用于提取RSA，ECDH，ECDSA等加密過(guò)程中的密鑰信息[99].Yan等人[100]對(duì)移動(dòng)設(shè)備進(jìn)行簡(jiǎn)單功率追蹤，實(shí)現(xiàn)了APP鑒別、用戶界面辨別、密碼長(zhǎng)度推測(cè)和地理位置估計(jì).Hayashi等人[101]利用綁定在移動(dòng)設(shè)備旁的金屬體形成一個(gè)類似天線的作用，收集屏幕的電磁輻射，實(shí)現(xiàn)對(duì)屏幕信息的實(shí)時(shí)估測(cè).但是這些經(jīng)典的分析算法在處理電磁信號(hào)細(xì)微變化方面面臨困難，比如噪聲源影響或因時(shí)序錯(cuò)誤引起的電磁信號(hào)不對(duì)齊.深度學(xué)習(xí)作為一種有效的解決方法[102]，近年來(lái)被廣泛應(yīng)用于電磁信號(hào)分析,大多數(shù)傳統(tǒng)的分析方法也逐漸被深度學(xué)習(xí)所取代[103-104].比如，Liu等人[105]用磁圈天線采集手機(jī)屏幕排線的電磁輻射，生成一種直觀上沒(méi)有意義的灰度圖，通過(guò)機(jī)械學(xué)習(xí)技術(shù)解讀還原信息，實(shí)現(xiàn)無(wú)可見(jiàn)光情況下的屏幕信息獲取.

4) 機(jī)械波通道.對(duì)設(shè)備散發(fā)的機(jī)械波所進(jìn)行的分析主要集中在振動(dòng)和聲波方面.通過(guò)手機(jī)內(nèi)的運(yùn)動(dòng)傳感器攻擊者可以輕松獲得用戶的按鍵信息，Aviv等人就先后使用嵌入式加速度傳感器來(lái)解鎖智能手機(jī)[106]和識(shí)別PIN(personal identification number)碼[107].聲波也是一種便于采集和分析的機(jī)械波，Berger等人[108]演示了如何使用鍵盤(pán)聲源進(jìn)行字典攻擊.Asonov和Agrawal[109]通過(guò)不同按鍵的聲波輻射恢復(fù)鍵盤(pán)的輸入信息.Backes等人[110]研究了點(diǎn)陣打印機(jī)的聲信道，結(jié)合機(jī)械學(xué)習(xí)，實(shí)現(xiàn)自動(dòng)化的獲取打印輸出內(nèi)容.近年來(lái)，Genkin等人[111]將聲信道攻擊提升到了一個(gè)新的高度，他們演示了如何通過(guò)網(wǎng)絡(luò)攝像頭或屏幕上的內(nèi)置麥克風(fēng)接收到的聲波來(lái)還原屏幕內(nèi)容.

小結(jié)：現(xiàn)階段，已有一些防御側(cè)信道攻擊的研究成果，Braunstein等人[112]將量子密鑰分發(fā)(quantum key distribution, QKD)協(xié)議中的所有真實(shí)通道替換成虛擬通道，使私人空間內(nèi)的相關(guān)探測(cè)器和設(shè)置無(wú)法訪問(wèn)，以消除側(cè)通道攻擊.Oleksenko等人[113]提出了Varys，保護(hù)在Intel SGX中運(yùn)行的進(jìn)程免受緩存計(jì)時(shí)和頁(yè)表側(cè)信道攻擊.Dong等人[114]采取了針對(duì)由被攻擊的操作系統(tǒng)內(nèi)核發(fā)起的頁(yè)表和最后一級(jí)緩存LLC(last level cache)側(cè)信道攻擊的防御措施，緩解了操作系統(tǒng)內(nèi)核受到的側(cè)信道攻擊.這些研究大多針對(duì)攻擊手段進(jìn)行分析，如何在泛在計(jì)算環(huán)境中建立更安全的側(cè)通道攻擊防御系統(tǒng)還需深入研究.

2.2.4 硬件木馬

硬件木馬是指在集成電路中嵌入的可以在某種特殊條件下觸發(fā)的模塊或電路，這種模塊或電路平日處于潛伏狀態(tài)，在特殊條件觸發(fā)下，可被攻擊者利用實(shí)現(xiàn)破壞性功能.物聯(lián)網(wǎng)、云計(jì)算、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域中大量應(yīng)用FPGA，ASIC和SoC硬件，這些硬件易被植入惡意電路或潛藏漏洞隱患，已成為泛在計(jì)算安全的主要威脅之一.

早期的硬件木馬通常在特定事件下使用單觸發(fā)器來(lái)激活木馬，這類硬件木馬很容易被概率分析識(shí)別.Zhang等人[115]利用多個(gè)離散觸發(fā)信號(hào)，使硬件木馬能夠抵抗硬件信任驗(yàn)證技術(shù).基于不正確的混淆密鑰下設(shè)計(jì)的功能無(wú)法明確規(guī)定以保護(hù)正確密鑰這一事實(shí)，攻擊者在實(shí)現(xiàn)混淆邏輯方面具有許多靈活性，包括插入惡意電路.Nahiyan等人[116]提出在有限狀態(tài)機(jī)中加入惡意狀態(tài)的硬件木馬設(shè)計(jì)，其思想是使用未占用狀態(tài)編碼來(lái)插入浮動(dòng)木馬狀態(tài).有限狀態(tài)機(jī)正常運(yùn)行時(shí)無(wú)法過(guò)渡到木馬狀態(tài)，但可以通過(guò)故障攻擊激活木馬，使有限狀態(tài)機(jī)進(jìn)入惡意狀態(tài).Hu等人[117]使用了一對(duì)永遠(yuǎn)不會(huì)達(dá)到特定輸入組合的信號(hào)(例如，由于路徑相關(guān)，邏輯不能同時(shí)為“0”)作為觸發(fā)器.因此，雖然每個(gè)觸發(fā)器信號(hào)都可以切換，但木馬在正常運(yùn)行期間永遠(yuǎn)不會(huì)被觸發(fā).故障注入被用作強(qiáng)制觸發(fā)木馬的激活信號(hào)，這種木馬在多租戶FPGA上比較常見(jiàn)，攻擊者可以通過(guò)功耗消耗電路來(lái)遠(yuǎn)程激活木馬，從而引起片上信號(hào)延遲的巨大波動(dòng)，最終導(dǎo)致定時(shí)故障[118].此外，通過(guò)對(duì)設(shè)計(jì)布局進(jìn)行輕微修改來(lái)創(chuàng)建模擬硬件木馬，如通過(guò)改變摻雜劑極性或輸入與晶體管的比率來(lái)插入模擬硬件木馬，從而導(dǎo)致短路[119].這些摻雜型硬件木馬很難識(shí)別，因?yàn)樗鼈儾粫?huì)引入額外的晶體管，而只會(huì)修改電路參數(shù).Liu等人[120]演示了一種模擬硬件木馬，它在不違反協(xié)議規(guī)范的情況下通過(guò)調(diào)制無(wú)線傳輸?shù)姆然蝾l率來(lái)泄露AES密鑰.使用常規(guī)測(cè)試方法無(wú)法檢測(cè)到這類木馬，因?yàn)樗粫?huì)改變?cè)O(shè)計(jì)功能.

小結(jié)：智能芯片和硬件設(shè)備的制造需要經(jīng)過(guò)多道工藝，其中不乏可靠性未知的制造商，這對(duì)硬件木馬的植入大開(kāi)方便之門(mén).硬件木馬的隱蔽性強(qiáng)、作用機(jī)制復(fù)雜、破壞力大，在現(xiàn)在乃至今后很長(zhǎng)時(shí)間內(nèi)都將是泛在計(jì)算生態(tài)的重點(diǎn)防護(hù)對(duì)象.

2.3 通信安全

通信作為泛在操作系統(tǒng)的重要組成部分，是實(shí)現(xiàn)萬(wàn)物互聯(lián)的樞紐，也成了泛在計(jì)算安全研究的重點(diǎn).隨著越來(lái)越多的設(shè)備實(shí)現(xiàn)互聯(lián)互通，通信過(guò)程中數(shù)據(jù)的完整性和安全性問(wèn)題變得越來(lái)越重要.本節(jié)分別針對(duì)通信協(xié)議安全、網(wǎng)絡(luò)流量分析、僵尸網(wǎng)絡(luò)、通信隱私安全、緩存攻擊5個(gè)方面對(duì)通信安全問(wèn)題進(jìn)行討論和分析.

2.3.1 通信協(xié)議安全

通信協(xié)議是通信系統(tǒng)架構(gòu)的基礎(chǔ)，攻擊者往往利用通信協(xié)議的安全缺陷進(jìn)行惡意攻擊，給通信安全帶來(lái)嚴(yán)峻挑戰(zhàn).本節(jié)對(duì)泛在計(jì)算中廣泛應(yīng)用的物理層、傳輸層和應(yīng)用層上的幾種通用協(xié)議進(jìn)行了安全性評(píng)估，并給出了相應(yīng)的防御對(duì)策.

1) 物理層協(xié)議安全

物理層常用的通信協(xié)議有WiFi，ZigBee，BLE等.ZigBee是一種低速短距離的無(wú)線通信技術(shù)，常用于智能家居領(lǐng)域智能套件的開(kāi)發(fā).Ghost幽靈攻擊[121]針對(duì)使用ZigBee協(xié)議的無(wú)線網(wǎng)絡(luò)，通過(guò)構(gòu)造虛假消息使節(jié)點(diǎn)消耗能量來(lái)進(jìn)行多余計(jì)算，縮短節(jié)點(diǎn)生命周期，并使其面臨DDoS攻擊和重放攻擊等威脅.藍(lán)牙技術(shù)與WiFi，ZigBee等技術(shù)一樣是一種無(wú)線通信技術(shù)，能夠簡(jiǎn)化移動(dòng)終端設(shè)備之間的通信流程，使數(shù)據(jù)傳輸更為高效便捷.Zuo等人[122]利用藍(lán)牙低功耗(bluetooth low energy, BLE)協(xié)議存在的缺陷獲取到應(yīng)用程序的靜態(tài)UUIDs，以此對(duì)設(shè)備進(jìn)行指紋識(shí)別攻擊.

目前通用的藍(lán)牙技術(shù)有BR/EDR(basic rate/enhanced data rate)和BLE兩種技術(shù)，這2種技術(shù)的安全威脅主要有攻擊和惡意軟件2種類型[123].Claverie等人[124]對(duì)藍(lán)牙協(xié)議中常用的BT，BLE和BM中的認(rèn)證機(jī)制進(jìn)行了研究，發(fā)現(xiàn)它們都容易遭受反射攻擊.

BR/EDR主要用于音頻流傳輸，常用于藍(lán)牙耳機(jī)、智能揚(yáng)聲器等音頻設(shè)備.Antonioli等人[125]研究了一種針對(duì)BR/EDR中的密鑰協(xié)商協(xié)議的惡意攻擊KNOB，KNOB攻擊可以通過(guò)低熵密鑰破解原有的加密密鑰，從而竊聽(tīng)用戶的隱私，該方案適用于英特爾、蘋(píng)果、高通等公司生產(chǎn)的大多數(shù)藍(lán)牙芯片.之后Antonioli又發(fā)現(xiàn)了可以避開(kāi)藍(lán)牙身份認(rèn)證的藍(lán)牙模擬攻擊(BIAS)[126]，其針對(duì)通信連接的身份認(rèn)證期間的漏洞，即使不知道設(shè)備和用戶共享的密鑰也可以產(chǎn)生安全威脅，文獻(xiàn)[126]還實(shí)現(xiàn)了KNOB和BIAS的組合攻擊，并提出了緩解BIAS的對(duì)策和更新藍(lán)牙標(biāo)準(zhǔn)修復(fù)漏洞的建議.

BLE技術(shù)有效地降低了設(shè)備之間通信所需的功耗，在泛在計(jì)算環(huán)境中有著較為廣泛的應(yīng)用，但BLE技術(shù)低能耗的特點(diǎn)也使其更難抵御惡意攻擊，尤其是中間人攻擊.Yaseen等人[127]針對(duì)電子醫(yī)療領(lǐng)域采用BLE技術(shù)的傳感器構(gòu)建了一個(gè)新框架，用于檢測(cè)BLE配對(duì)機(jī)制中的安全漏洞，并利用無(wú)輸入無(wú)輸出(NiNo)功能和Just Works配對(duì)模式保護(hù)藍(lán)牙節(jié)點(diǎn)免遭攻擊.Gu等人[128]提出了第一個(gè)基于BLE技術(shù)構(gòu)建的安全物聯(lián)網(wǎng)通信框架，該框架可以在通信連接建立之前和建立間對(duì)通信設(shè)備持續(xù)進(jìn)行身份認(rèn)證，且僅需通過(guò)嗅探通信傳輸?shù)奶匦约纯烧J(rèn)證成功.

鑒于藍(lán)牙經(jīng)常受到惡意攻擊的情況，用戶對(duì)藍(lán)牙技術(shù)產(chǎn)生的隱私泄露風(fēng)險(xiǎn)也感到擔(dān)心，因此CHA等人[129]設(shè)計(jì)了PrivacyBat框架，該框架為用戶提供了隱私偏好服務(wù)，使用戶能夠獲取附近設(shè)備的信息及其提供的隱私策略，并給予用戶自主選擇隱私策略的自由，這樣可以提高用戶對(duì)物聯(lián)網(wǎng)中設(shè)備的信任度.

2) 傳輸層協(xié)議安全

SSL/TLS是常用的傳輸層安全協(xié)議，已被廣泛應(yīng)用于多種計(jì)算場(chǎng)景.Karthikeyan等人[130]提出了一個(gè)替代mcTLS的模塊化協(xié)議.Paul等人[131]設(shè)計(jì)了一個(gè)應(yīng)用協(xié)議狀態(tài)模糊化技術(shù)的開(kāi)源框架，用以測(cè)試分析DTLS協(xié)議.Khalid等人[132]設(shè)計(jì)了一種自動(dòng)化工具IoTVerif，用來(lái)識(shí)別物聯(lián)網(wǎng)應(yīng)用程序與TLS證書(shū)驗(yàn)證相關(guān)的漏洞.Markus等人[133]結(jié)合分布式技術(shù)實(shí)現(xiàn)了分布式域驗(yàn)證機(jī)制DV++，繞過(guò)CA(certificate authority)域驗(yàn)證機(jī)制來(lái)實(shí)施攻擊.該機(jī)制利用隨機(jī)選擇的分布式節(jié)點(diǎn)，節(jié)點(diǎn)之間的路徑不會(huì)重疊，將節(jié)點(diǎn)放在不同的網(wǎng)絡(luò)中進(jìn)行域驗(yàn)證.Henry等人[134]提出的多視點(diǎn)域驗(yàn)證機(jī)制multiVA，證明了多節(jié)點(diǎn)驗(yàn)證機(jī)制的可行性，并實(shí)現(xiàn)了安全性、成本和良性故障之間的平衡.

3) 應(yīng)用層協(xié)議安全

目前應(yīng)用層主要使用的協(xié)議有MQTT，CoAP等，實(shí)現(xiàn)節(jié)點(diǎn)到云平臺(tái)的安全通信.MQTT協(xié)議是常見(jiàn)的應(yīng)用層通信協(xié)議，使用的發(fā)布-訂閱通信模型可以提供一對(duì)多的消息傳遞.CoAP協(xié)議主要適用于物聯(lián)網(wǎng)中資源受限的設(shè)備.Jia等人[135]對(duì)AWS、Microsoft、IBM、阿里巴巴等物聯(lián)網(wǎng)云平臺(tái)進(jìn)行了人工安全分析，發(fā)現(xiàn)這些平臺(tái)的安全風(fēng)險(xiǎn)主要來(lái)源于定制的MQTT協(xié)議中存在的缺陷.Wang等人[136]設(shè)計(jì)了能夠?qū)Ω鞣N通信協(xié)議進(jìn)行自動(dòng)安全性分析的框架.Shahid等人[137]對(duì)CoAP協(xié)議的安全性進(jìn)行了研究，在SicsthSense云平臺(tái)上完成了安全的CoAP協(xié)議設(shè)置，在資源受限的物聯(lián)網(wǎng)設(shè)備之間實(shí)現(xiàn)安全的端到端通信.

小結(jié)：目前，針對(duì)泛在計(jì)算環(huán)境通信安全的研究主要集中在對(duì)通用協(xié)議進(jìn)行安全檢測(cè)和漏洞修復(fù)，但這些協(xié)議無(wú)法滿足泛在計(jì)算生態(tài)的普適性要求.針對(duì)不同的環(huán)境往往需要針對(duì)性的適配通信協(xié)議，因此需要研究能夠?yàn)楦鞣N不同的定制協(xié)議提供安全檢測(cè)的工具，同時(shí)還要考慮安全機(jī)制的通信開(kāi)銷，實(shí)現(xiàn)安全性與成本之間的平衡，使資源有限的網(wǎng)絡(luò)節(jié)點(diǎn)之間實(shí)現(xiàn)端到端加密通信.考慮到目前大部分研究是通過(guò)人工分析進(jìn)行的，未來(lái)還應(yīng)實(shí)現(xiàn)更高效、更準(zhǔn)確的通信協(xié)議自動(dòng)化安全檢測(cè)技術(shù).

2.3.2 網(wǎng)絡(luò)流量分析

泛在計(jì)算環(huán)境中智能設(shè)備的激增帶動(dòng)了網(wǎng)絡(luò)的爆炸式發(fā)展，隨著網(wǎng)絡(luò)流量逐漸復(fù)雜化、海量化，如何識(shí)別、監(jiān)測(cè)、分析網(wǎng)絡(luò)流量成為重要的研究方向.Mustafizur等人[138]提出了一種通過(guò)機(jī)器學(xué)習(xí)來(lái)分析網(wǎng)絡(luò)流量識(shí)別物聯(lián)網(wǎng)設(shè)備的方法，構(gòu)建了一個(gè)用來(lái)生成網(wǎng)絡(luò)流量的實(shí)驗(yàn)性網(wǎng)絡(luò).Duan等人[139]從遠(yuǎn)程網(wǎng)絡(luò)服務(wù)器、流級(jí)流量特征和分組級(jí)流量特征3個(gè)方面對(duì)智能家居環(huán)境中設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行特征分析.

流量分析攻擊通過(guò)分析設(shè)備傳輸?shù)脑獢?shù)據(jù)，推斷出用戶的敏感信息.Noah等人[140]設(shè)計(jì)了隨機(jī)流量填充算法，通過(guò)調(diào)整覆蓋用戶原始流量，使攻擊者難以檢測(cè)到真實(shí)流量數(shù)據(jù).Abbas等人[141]提出了一種新型的針對(duì)用戶隱私的攻擊，對(duì)使用WiFi，ZigBee，BLE這3種協(xié)議的22種不同類型設(shè)備進(jìn)行測(cè)試，通過(guò)機(jī)器學(xué)習(xí)方法對(duì)設(shè)備的通信流量進(jìn)行分析并準(zhǔn)確識(shí)別用戶行為.智能設(shè)備在通信過(guò)程中會(huì)產(chǎn)生數(shù)據(jù)包對(duì)，而對(duì)這些數(shù)據(jù)包的長(zhǎng)度進(jìn)行分析，可以推斷出發(fā)生的特定事件.Rahmadi等人[142]設(shè)計(jì)實(shí)現(xiàn)了一種自動(dòng)提取數(shù)據(jù)包級(jí)簽名的方法PINGPONG，每個(gè)數(shù)據(jù)包的簽名都是獨(dú)一無(wú)二的，可有效判斷設(shè)備及事件類型，還可用于異常檢測(cè)或進(jìn)行被動(dòng)推理攻擊等.Saba等人[143]設(shè)計(jì)了用于隱藏元數(shù)據(jù)的Express系統(tǒng)，相比其他提供加密保證的元數(shù)據(jù)隱藏系統(tǒng)，該系統(tǒng)使用了輕量級(jí)的對(duì)稱加密原語(yǔ).

語(yǔ)音命令指紋攻擊主要指針對(duì)智能揚(yáng)聲器的語(yǔ)音流量攻擊.Sean等人[144]研究了流量分析攻擊在語(yǔ)音命令識(shí)別上的應(yīng)用，通過(guò)語(yǔ)音命令指紋攻擊能夠準(zhǔn)確推斷亞馬遜Echo上語(yǔ)音命令的內(nèi)容.但語(yǔ)音命令指紋攻擊的準(zhǔn)確率要低于傳統(tǒng)網(wǎng)站指紋攻擊，仍然需要更加深入地進(jìn)行研究.Wang等人[145]使用自動(dòng)采集工具在亞馬遜Echo和谷歌Home這2個(gè)智能揚(yáng)聲器上進(jìn)行語(yǔ)音采集，并通過(guò)深度學(xué)習(xí)方法對(duì)數(shù)據(jù)集進(jìn)行了概念驗(yàn)證攻擊，但該作者僅對(duì)自動(dòng)語(yǔ)音進(jìn)行了實(shí)驗(yàn)，而真實(shí)的人類語(yǔ)音復(fù)雜度更高，未來(lái)需要更多的研究提高語(yǔ)音隱私的安全性.

小結(jié)：現(xiàn)有的網(wǎng)絡(luò)流量分析攻擊的防御方法主要有3種：1)數(shù)據(jù)包填充，在數(shù)據(jù)包中添加虛擬字節(jié)以改變數(shù)據(jù)包的長(zhǎng)度；2)流量整形，改變數(shù)據(jù)包到達(dá)的時(shí)間間隔，將數(shù)據(jù)包以比較均勻的速度發(fā)送出去，使傳入流量與傳出流量相等；3)流量注入，添加相似的假數(shù)據(jù)包以混淆發(fā)送的真實(shí)數(shù)據(jù).幾種流量分析攻擊類型與防御方法的對(duì)比如表3所示.通常情況下，單一的防御方法只能減輕針對(duì)某部分的攻擊，如流量注入并不會(huì)改變數(shù)據(jù)包大小、流量長(zhǎng)度等流量特征，因此，針對(duì)這種流量特征的攻擊，防御效果會(huì)變?nèi)?通過(guò)將多個(gè)設(shè)備產(chǎn)生的元數(shù)據(jù)結(jié)合起來(lái)分析，可以推測(cè)出用戶更具體的行為，給用戶帶來(lái)進(jìn)一步的隱私泄露風(fēng)險(xiǎn)，研究人員要更加關(guān)注網(wǎng)絡(luò)流量之間的聯(lián)系，開(kāi)發(fā)更多的組合防御方法來(lái)應(yīng)對(duì)復(fù)雜多樣的流量分析攻擊.除此之外，現(xiàn)有的防御方法增加了設(shè)備的通信開(kāi)銷以及數(shù)據(jù)的延遲時(shí)間，因此，如何在保證安全的前提下降低通信延遲、提升用戶體驗(yàn)需要進(jìn)一步研究.

Table 3 Comparison of Attack Types and Defense Methods of Traffic Analysis

2.3.3 僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)是由一組感染一個(gè)或多個(gè)僵尸程序的互聯(lián)網(wǎng)設(shè)備構(gòu)成的，這些被感染的設(shè)備由攻擊者進(jìn)行集中控制，通過(guò)一對(duì)多惡意攻擊，可以在短時(shí)間內(nèi)感染大量主機(jī).

目前大多數(shù)僵尸網(wǎng)絡(luò)的檢測(cè)都是基于流或圖的流量分析，但隨著僵尸網(wǎng)絡(luò)的不斷發(fā)展，通用方法已經(jīng)難以準(zhǔn)確檢測(cè)僵尸網(wǎng)絡(luò).Wang等人[146]將2種方法相結(jié)合，提出了基于流和圖的混合流量分析方法BotMark，并模擬Mirai，Black Energy，Zeus，Athena和Ares五個(gè)僵尸網(wǎng)絡(luò)對(duì)BotMark進(jìn)行了測(cè)試，證明了方法的有效性.在流量分析的過(guò)程中要對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分類，根據(jù)數(shù)據(jù)的樣本特征識(shí)別攻擊，Doshi等人[147]基于機(jī)器學(xué)習(xí)算法實(shí)現(xiàn)了對(duì)物聯(lián)網(wǎng)的DDoS攻擊檢測(cè)，通過(guò)分類算法準(zhǔn)確區(qū)分物聯(lián)網(wǎng)設(shè)備中正常狀態(tài)和DDoS攻擊下的流量.但對(duì)高度不平衡的流量數(shù)據(jù)進(jìn)行處理時(shí)分類性能會(huì)變差，增加檢測(cè)難度.Popoola等人[148]采用合成少數(shù)類過(guò)采樣算法實(shí)現(xiàn)網(wǎng)絡(luò)流量數(shù)據(jù)的平衡，并結(jié)合深層遞歸神經(jīng)網(wǎng)絡(luò)(DRNN)對(duì)達(dá)到平衡的數(shù)據(jù)進(jìn)行分類，使僵尸網(wǎng)絡(luò)攻擊檢測(cè)更為高效，但增加了計(jì)算和學(xué)習(xí)成本.

隨著泛在計(jì)算和UOS的發(fā)展，越來(lái)越多的智能設(shè)備實(shí)現(xiàn)互聯(lián)，僵尸網(wǎng)絡(luò)的類型和變體也逐漸增多，僵尸網(wǎng)絡(luò)的威脅性與日俱增.Herwig等人[149]對(duì)新型僵尸網(wǎng)絡(luò)Hajime進(jìn)行了深入分析，Hajime的不同之處在于使用了分布式哈希表進(jìn)行控制.Hajime的變體只能向容易被攻擊的設(shè)備進(jìn)行傳播，不能對(duì)設(shè)備發(fā)起任何攻擊，但其在執(zhí)行的過(guò)程中可能會(huì)暴露主機(jī)端口，從而給設(shè)備帶來(lái)安全風(fēng)險(xiǎn)[150].Chew等人[151]預(yù)測(cè)了新的僵尸網(wǎng)絡(luò)變異模型RSHB，該模型在基于社交網(wǎng)絡(luò)構(gòu)建的僵尸網(wǎng)絡(luò)中添加了復(fù)活機(jī)制來(lái)抵御檢測(cè)，為新型僵尸網(wǎng)絡(luò)研究提供了樣本，但如何分析RSHB的特征，如何利用機(jī)器學(xué)習(xí)針對(duì)RSHB的防御策略還需要深入研究.Cetin等人[152]研究了如何對(duì)感染Mirai僵尸網(wǎng)絡(luò)的設(shè)備進(jìn)行修復(fù)的方法，提出了安全隔離機(jī)制，將受到感染的設(shè)備置于隔離網(wǎng)絡(luò)，降低設(shè)備的再感染率.

小結(jié)：現(xiàn)階段應(yīng)對(duì)僵尸網(wǎng)絡(luò)攻擊的對(duì)策主要是采用機(jī)器學(xué)習(xí)的方法對(duì)僵尸網(wǎng)絡(luò)進(jìn)行檢測(cè)，及時(shí)發(fā)現(xiàn)并制止產(chǎn)生的安全威脅.檢測(cè)的過(guò)程就是對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分類的過(guò)程，但高度不平衡的數(shù)據(jù)樣本會(huì)降低分類的性能，因此，如何高效地處理高度不平衡的流量數(shù)據(jù)，實(shí)現(xiàn)性能與開(kāi)銷之間的平衡還需要進(jìn)一步的研究.僵尸網(wǎng)絡(luò)的變體層出不窮，時(shí)刻威脅著智能設(shè)備的安全，因此，要及時(shí)對(duì)設(shè)備進(jìn)行檢測(cè)，警惕新型僵尸網(wǎng)絡(luò)的誕生，未來(lái)也需要對(duì)僵尸網(wǎng)絡(luò)可能產(chǎn)生的變異模型及其相應(yīng)的緩解策略進(jìn)行更多的研究.

2.3.4 通信隱私安全

通信隱私安全是用戶隱私等敏感信息傳輸保護(hù)的基礎(chǔ)，尤其是泛在計(jì)算環(huán)境下通信系統(tǒng)存在各種漏洞，這些安全隱患時(shí)刻威脅著通信用戶的信息數(shù)據(jù)安全.

對(duì)此，Burkhalter等人[153]提出了一個(gè)允許用戶設(shè)置數(shù)據(jù)共享和處理方式的隱私偏好的系統(tǒng)，以加密方式保護(hù)第三方應(yīng)用端到端的數(shù)據(jù)隱私.Nour等人[154]分析了以信息為中心的網(wǎng)絡(luò)模型在網(wǎng)絡(luò)緩存的利與弊，并討論了合并范式中的安全和隱私挑戰(zhàn).Wang等人[155]根據(jù)以信息為中心的網(wǎng)絡(luò)模型構(gòu)建了一個(gè)用于隱私保護(hù)的網(wǎng)絡(luò)服務(wù)框架Riverbed，用戶可以對(duì)遠(yuǎn)程服務(wù)如何處理和存儲(chǔ)敏感數(shù)據(jù)進(jìn)行限制.Poddar等人[156]提出了為用戶的視頻流以及機(jī)器學(xué)習(xí)模型提供保密性的Visor系統(tǒng)，用于保護(hù)云服務(wù)免受視頻模塊引起的側(cè)通道攻擊，并解決CPU-GPU通信通道中的泄露問(wèn)題.Kwon等人[157]針對(duì)端到端加密通信過(guò)程中元數(shù)據(jù)泄露導(dǎo)致私人信息傳遞受阻的問(wèn)題，開(kāi)發(fā)了一個(gè)可擴(kuò)展的消息傳遞系統(tǒng)XRD. Wang等人[158]研究發(fā)現(xiàn)5G移動(dòng)通信系統(tǒng)的認(rèn)證和密鑰協(xié)議5G AKA仍易受到鏈接性攻擊的安全威脅.由于5G AKA協(xié)議的復(fù)雜性，評(píng)估該協(xié)議安全性的難度大大提高.Basin等人[159]全面系統(tǒng)地分析了5G AKA協(xié)議在威脅模型下所提供的安全保障，并提出了正式的AKA模型來(lái)分析每個(gè)安全目標(biāo)需要滿足的最低安全假設(shè)條件.針對(duì)5G AKA協(xié)議沒(méi)有海量設(shè)備接入認(rèn)證機(jī)制的漏洞，Cao等人[160]設(shè)計(jì)了一種輕量級(jí)的認(rèn)證協(xié)議來(lái)實(shí)現(xiàn)普通用戶設(shè)備(UE)和海量機(jī)器通信設(shè)備(mMTC)2種標(biāo)準(zhǔn)設(shè)備的安全連接.

小結(jié)：現(xiàn)階段通信隱私安全研究主要聚焦于5G通信系統(tǒng).5G網(wǎng)絡(luò)集成了許多新技術(shù)，但也帶來(lái)了新的安全隱患.此外，現(xiàn)有的安全解決方案無(wú)法完全滿足特定應(yīng)用程序的通信性能要求.總體上看，5G通信下的隱私安全與隱私的挑戰(zhàn)主要包括漏洞攻擊、信任模型、安全管理、訪問(wèn)控制、數(shù)據(jù)保護(hù)、物理層安全以及完善等[161].

2.3.5 緩存攻擊

泛在系統(tǒng)中設(shè)備接入數(shù)量逐漸增多，緩存技術(shù)可以有效提高網(wǎng)絡(luò)邊緣服務(wù)和云存儲(chǔ)能力，顯著減少服務(wù)延遲，減少網(wǎng)絡(luò)負(fù)載，改善用戶體驗(yàn)[162].但緩存技術(shù)在隱私侵犯和安全漏洞方面也受到了許多安全威脅，主要的緩存攻擊包括緩存中毒攻擊、緩存污染攻擊、緩存?zhèn)韧ǖ拦艉途彺嫫垓_攻擊，這些攻擊導(dǎo)致內(nèi)容放置、內(nèi)容交付和內(nèi)容使用方面的隱私、安全和信任問(wèn)題[163].

Man等人[164]研究發(fā)現(xiàn)了一種新的緩存污染攻擊，通過(guò)發(fā)送大量非流行內(nèi)容請(qǐng)求來(lái)填充路由器緩存，降低路由器緩存命中率.Mirheidari等人[165]研究了網(wǎng)絡(luò)緩存欺騙對(duì)內(nèi)容分發(fā)網(wǎng)絡(luò)提供商部署的大規(guī)模緩存代理網(wǎng)絡(luò)的安全威脅.Alharbi等人[166]對(duì)DNS(domain name system)緩存進(jìn)行了中毒攻擊，破壞用戶端設(shè)備DNS緩存.

為了解決網(wǎng)絡(luò)緩存受到的污染和中毒攻擊，Lei等人[167]提出了新的系統(tǒng)框架，集成了興趣密鑰的內(nèi)容綁定、轉(zhuǎn)發(fā)策略和按需驗(yàn)證，以有效發(fā)現(xiàn)被污染內(nèi)容.Man等人[164]提出了一種基于梯度boost決策樹(shù)的檢測(cè)算法，通過(guò)模型學(xué)習(xí)實(shí)現(xiàn)緩存污染檢測(cè).Babu等人[168]提出了一種基于Merkle哈希樹(shù)的一次性簽名方案，解決了命名數(shù)據(jù)網(wǎng)絡(luò)NDN(Named Data Networking)中緩存中毒問(wèn)題.Hussain等人[169]基于NDN的物聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)了一種多播簽名解決方案，可以避免緩存污染攻擊、內(nèi)容中毒攻擊.Hu等人[170]提出了一種新的分布式DNS數(shù)據(jù)平面體系結(jié)構(gòu)Blockzone，提高了DNS抵御DDoS和緩存中毒攻擊的安全性.Berger[171]對(duì)典型和非典型響應(yīng)時(shí)間進(jìn)行分析，區(qū)分從根服務(wù)器到內(nèi)部緩存服務(wù)器的不同級(jí)別DNS服務(wù)器響應(yīng)時(shí)間，用于識(shí)別DNS中毒攻擊.

小結(jié)：隨著緩存技術(shù)使用的不斷增多，緩存安全問(wèn)題也層出不窮.一旦用戶請(qǐng)求，內(nèi)容會(huì)緩存在邊緣節(jié)點(diǎn)上，實(shí)現(xiàn)緩存密鑰和內(nèi)容的安全綁定，可以有效防止?jié)撛诘奶鎿Q攻擊和中毒攻擊.這種一致性證明對(duì)確保內(nèi)容的可靠性和完整性至關(guān)重要，研究人員需要關(guān)注這一方面的安全，并設(shè)計(jì)出相應(yīng)的實(shí)現(xiàn)方案.

3 典型泛在計(jì)算場(chǎng)景安全問(wèn)題與研究現(xiàn)狀

泛在計(jì)算具有泛在性、異構(gòu)性、動(dòng)態(tài)性、移動(dòng)性、開(kāi)放性、多模態(tài)感知交互等特點(diǎn)，安全需求較為復(fù)雜.表4中列舉了部分與之相關(guān)的典型技術(shù)及其對(duì)應(yīng)的普遍性問(wèn)題，同時(shí)給出了相關(guān)的可行安全方案.不同于傳統(tǒng)的基于私鑰密碼機(jī)制的安全解決方案，泛在計(jì)算需要通過(guò)各異構(gòu)網(wǎng)絡(luò)的協(xié)同以支持不同業(yè)務(wù)之間的無(wú)縫連接，這就要求泛在操作系統(tǒng)應(yīng)滿足異構(gòu)網(wǎng)絡(luò)間的相互通信以及用戶與設(shè)備之間的交互的安全需求.本節(jié)將從4個(gè)典型的泛在計(jì)算場(chǎng)景出發(fā)，分析其安全問(wèn)題以及現(xiàn)有研究工作的不足之處.

Table 4 Typical Technologies and General Issues

3.1 智慧家庭

智能設(shè)備是智慧家庭的重要組成部分，隨著智慧家庭的不斷發(fā)展，路由器、語(yǔ)音助手、手環(huán)、電視、開(kāi)關(guān)、門(mén)禁、攝像頭產(chǎn)品的智慧能力不斷提升，智慧家庭設(shè)備使用、保存和傳輸?shù)挠脩綦[私數(shù)據(jù)也越來(lái)越多.這些隱私數(shù)據(jù)不僅包括用戶的賬號(hào)信息，還包括用戶日常使用智能設(shè)備帶來(lái)的隱私數(shù)據(jù)信息.如智能門(mén)禁記錄了用戶的指紋、人臉等信息，智能手環(huán)、電視、攝像頭記錄了用戶的行為數(shù)據(jù)、語(yǔ)音信息、家庭影像記錄，以及用戶使用智能設(shè)備的行為習(xí)慣等敏感數(shù)據(jù).此外，智慧家庭往往需要和第三方云端進(jìn)行數(shù)據(jù)同步和云端智能決策，攻擊者通過(guò)遠(yuǎn)程控制智慧家庭設(shè)備，截獲云家數(shù)據(jù)傳輸，可以輕易獲取用戶的敏感信息，控制智慧家庭設(shè)備，造成用戶隱私泄露等安全風(fēng)險(xiǎn).

現(xiàn)有的研究主要包括基于區(qū)塊鏈的方法、增強(qiáng)認(rèn)證機(jī)制等來(lái)解決智能家居遠(yuǎn)程認(rèn)證的安全問(wèn)題.Qashlan等人[172]將基于屬性的訪問(wèn)控制與智能合約和邊緣計(jì)算相結(jié)合，為智能家居系統(tǒng)中的物聯(lián)網(wǎng)設(shè)備創(chuàng)建了安全框架.Shen等人[173]提出了一個(gè)基于區(qū)塊鏈的智能家居分布式設(shè)備接入認(rèn)證系統(tǒng)，通過(guò)實(shí)現(xiàn)認(rèn)證流程的去中心化，有效提高智能家居系統(tǒng)的安全性.Dong等人[174]提出了使用毫米波雷達(dá)在智能家居中進(jìn)行揚(yáng)聲器驗(yàn)證的安全方法，通過(guò)深度學(xué)習(xí)技術(shù)持續(xù)檢測(cè)用戶的活性，解決了揚(yáng)聲器語(yǔ)音驗(yàn)證的冒名頂替攻擊.Yu等人[175]設(shè)計(jì)了一個(gè)輕量級(jí)的隱私保護(hù)認(rèn)證方案，提高了智能家居環(huán)境遠(yuǎn)程認(rèn)證的安全性.Poh等人[176]提出了PrivHome隱私保護(hù)計(jì)劃，支持身份驗(yàn)證、安全數(shù)據(jù)存儲(chǔ)和智能家居系統(tǒng)的查詢，以及數(shù)據(jù)保密和實(shí)體認(rèn)證，保障智能家居環(huán)境安全.

根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的《2021年第二季度聯(lián)網(wǎng)智能設(shè)備安全態(tài)勢(shì)報(bào)告》顯示[177],聯(lián)網(wǎng)智能設(shè)備漏洞、智能設(shè)備惡意程序，僵尸網(wǎng)絡(luò)控制端IP地址都相較于往年有大幅增長(zhǎng)，漏洞類型覆蓋了信息泄露、拒絕服務(wù)、弱口令、權(quán)限繞過(guò)、跨站溢出等典型漏洞.智慧家庭面臨的安全問(wèn)題包括隱私保護(hù)、通信安全、身份驗(yàn)證、通信加密和傳感器安全控制等.如何確保智慧家庭上的傳感器能有效過(guò)濾掉異常輸入，如何解決隱私數(shù)據(jù)在各個(gè)實(shí)體之間不安全的傳輸以及用戶數(shù)據(jù)在云平臺(tái)上不會(huì)被濫用，已經(jīng)成為智慧家庭場(chǎng)景面臨的主要安全問(wèn)題.

3.2 智能云計(jì)算

云計(jì)算是一種利用虛擬化技術(shù)，為多租戶提供按需訪問(wèn)配置的虛擬計(jì)算資源的服務(wù)框架.典型的云計(jì)算安全直接與其計(jì)算基礎(chǔ)設(shè)施相關(guān)，如虛擬機(jī)安全[18-20]、容器安全[21-22]等.當(dāng)前的主要研究趨勢(shì)是通過(guò)類型安全的語(yǔ)言進(jìn)行虛擬機(jī)或容器的重構(gòu)，并利用硬件特性，如加密芯片、安全通信模組、ARM TrustZone擴(kuò)展等，增強(qiáng)虛擬機(jī)監(jiān)控器和容器運(yùn)行時(shí)環(huán)境的安全性.此外，利用Library OS的思想，構(gòu)建用戶態(tài)的設(shè)備驅(qū)動(dòng)服務(wù)，可以保證云服務(wù)基礎(chǔ)系統(tǒng)設(shè)施功能定制優(yōu)化的同時(shí)，也提升系統(tǒng)的魯棒性.

與其他環(huán)境不同，智能云計(jì)算服務(wù)與智慧家庭、工業(yè)互聯(lián)網(wǎng)、自動(dòng)駕駛等多種典型泛在計(jì)算場(chǎng)景存在頻繁的互聯(lián)互通.因此，智能云計(jì)算的安全風(fēng)險(xiǎn)不僅與云環(huán)境系統(tǒng)軟硬件有關(guān)，還與通信交互相關(guān).Xiao等人[178]認(rèn)為外包是與云特性密切相關(guān)并構(gòu)成安全隱私威脅的主要屬性之一.工業(yè)界通常使用收斂加密來(lái)保護(hù)外包數(shù)據(jù)[179].雖然加密文件提高了安全性，但是文件去冗余可能成為一個(gè)側(cè)信道，攻擊者可以利用它發(fā)起模板攻擊.Zhang等人[180]提出了一種離散收斂加密方案，用以防護(hù)這類云端模板攻擊.

除了基于收斂加密的框架，一些外包存儲(chǔ)系統(tǒng)基于代理重加密算法[181]來(lái)確保數(shù)據(jù)安全.Ateniese等人[182]提出了一種雙向重加密機(jī)制，在保證高效訪問(wèn)控制的前提下，加強(qiáng)分布式存儲(chǔ)系統(tǒng)的安全.Xu等人[183]提出一種基于云的重加密算法，由數(shù)據(jù)所有者的私鑰和接收方的公鑰生成重加密密鑰.針對(duì)授予的訪問(wèn)權(quán)限提供數(shù)據(jù)加密密鑰，減少數(shù)據(jù)所有者與其相應(yīng)接收者之間的直接交互來(lái)降低開(kāi)銷.上述加密技術(shù)不能滿足計(jì)算外包數(shù)據(jù)或確保動(dòng)態(tài)用戶組之間的細(xì)粒度數(shù)據(jù)共享，因此，研究者提出了新的密碼原語(yǔ).比如基于屬性的加密[184]和同態(tài)加密[185]，分別提供靈活的數(shù)據(jù)共享和安全的外包計(jì)算.Huang等人[186]提出了一種基于屬性的分層加密，引入了部分解密和簽名結(jié)構(gòu)，將客戶端的大部分計(jì)算開(kāi)銷委托給云服務(wù)提供商.Wang等人[187]引入了集成在單個(gè)訪問(wèn)樹(shù)中的分層訪問(wèn)結(jié)構(gòu)并提出了一種新穎的基于層次屬性的加密方案來(lái)共享云計(jì)算中的數(shù)據(jù).

3.3 工業(yè)互聯(lián)網(wǎng)

工業(yè)互聯(lián)網(wǎng)是傳統(tǒng)工業(yè)與信息化技術(shù)相結(jié)合的產(chǎn)物，推動(dòng)傳統(tǒng)工業(yè)走向智能化、網(wǎng)絡(luò)化，實(shí)現(xiàn)了人機(jī)物的互聯(lián)融合，但新興技術(shù)的發(fā)展也給工業(yè)互聯(lián)網(wǎng)帶來(lái)了極大的安全挑戰(zhàn).

目前，大部分智能工廠都是集中管理的系統(tǒng)架構(gòu)，但隨著智能設(shè)備數(shù)量的不斷增加和業(yè)務(wù)類型的復(fù)雜化，傳統(tǒng)的集中式管理中心漸漸難以實(shí)現(xiàn)數(shù)據(jù)的集成，信息孤島問(wèn)題開(kāi)始露出水面[188].且在工業(yè)大數(shù)據(jù)的背景下，數(shù)據(jù)交互極其頻繁，而工業(yè)互聯(lián)網(wǎng)系統(tǒng)依賴于中心服務(wù)器，一旦服務(wù)器數(shù)據(jù)泄露，將會(huì)威脅到整個(gè)工業(yè)互聯(lián)網(wǎng)的安全.因此，傳統(tǒng)的工業(yè)互聯(lián)網(wǎng)架構(gòu)已經(jīng)難以滿足數(shù)據(jù)安全性的需求，隨著區(qū)塊鏈技術(shù)的興起，區(qū)塊鏈架構(gòu)被引入工業(yè)互聯(lián)網(wǎng).Wan等人[189]結(jié)合區(qū)塊鏈技術(shù)構(gòu)建了一個(gè)輕量級(jí)的去中心化架構(gòu)，并增加了白名單、非對(duì)稱加密等機(jī)制提高架構(gòu)的安全性.

然而區(qū)塊鏈公開(kāi)透明的特性也給工業(yè)互聯(lián)網(wǎng)的安全防護(hù)提出了新的挑戰(zhàn)，需要在區(qū)塊鏈中增添訪問(wèn)控制機(jī)制以保護(hù)加密的數(shù)據(jù).Huang等人[190]推出了一個(gè)面向智能制造平臺(tái)的通用可擴(kuò)展的區(qū)塊鏈體系，采用的是基于信用的PoW機(jī)制，同時(shí)，通過(guò)訪問(wèn)控制保證私密數(shù)據(jù)的安全性.Lu等人[191]為分布式多方數(shù)據(jù)共享設(shè)計(jì)了新的協(xié)作機(jī)制，通過(guò)聯(lián)邦學(xué)習(xí)算法將要共享的數(shù)據(jù)映射到數(shù)據(jù)模型中，實(shí)現(xiàn)數(shù)據(jù)模型的共享而非原始數(shù)據(jù)的共享，以防止數(shù)據(jù)泄露.

除了區(qū)塊鏈技術(shù)，邊緣計(jì)算也是工業(yè)互聯(lián)網(wǎng)領(lǐng)域熱門(mén)的研究方向.在工業(yè)傳感器云的云服務(wù)端，內(nèi)部攻擊是一種主要的威脅來(lái)源，云服務(wù)容易受到一些惡意的用戶和服務(wù)提供商的攻擊，因此，需要信任評(píng)估機(jī)制保證云服務(wù)的可靠性.Wang等人[192]結(jié)合邊緣計(jì)算技術(shù)，設(shè)計(jì)出一種細(xì)粒度的信任評(píng)估機(jī)制，通過(guò)邊緣計(jì)算來(lái)處理邊緣設(shè)備的數(shù)據(jù)，并通過(guò)評(píng)估機(jī)制檢測(cè)惡意用戶和惡意服務(wù)提供商，從而抵御內(nèi)部攻擊.但傳統(tǒng)的安全防護(hù)方法通常會(huì)在邊緣節(jié)點(diǎn)失效，邊緣計(jì)算的引入使邊緣節(jié)點(diǎn)需要更加有效的安全防護(hù)，因此還需研究分布式異構(gòu)的安全方案.Wu等人[193]融合區(qū)塊鏈和邊緣計(jì)算技術(shù)，提出了一個(gè)安全可擴(kuò)展的分層框架來(lái)保護(hù)工業(yè)互聯(lián)網(wǎng)中的關(guān)鍵基礎(chǔ)設(shè)施的隱私安全.在傳感器云中，安全問(wèn)題也易出現(xiàn)在身份認(rèn)證機(jī)制的缺陷上，Li等人[194]設(shè)計(jì)了三因素認(rèn)證協(xié)議，該協(xié)議具有更高的魯棒性和高效性，實(shí)現(xiàn)了用戶的匿名及工控設(shè)備的數(shù)據(jù)泄露防護(hù).

3.4 自動(dòng)駕駛

隨著自動(dòng)駕駛技術(shù)的發(fā)展，車聯(lián)網(wǎng)的安全問(wèn)題已經(jīng)成為產(chǎn)業(yè)界和學(xué)術(shù)界的主要研究目標(biāo).智能汽車涵蓋了自動(dòng)駕駛域、智能座艙域和智能車控域.其安全性涉及車控設(shè)備、操作系統(tǒng)、應(yīng)用軟件、車云互聯(lián)、路面感知，以及自動(dòng)駕駛算法等方面.Meng等人[195]提出了一種用戶驅(qū)動(dòng)的云傳輸系統(tǒng)，通過(guò)構(gòu)建交通模型并預(yù)測(cè)行駛路況.云架構(gòu)可以使車輛間彼此共享計(jì)算資源、信息和數(shù)據(jù)，以生成新的知識(shí)，其網(wǎng)絡(luò)架構(gòu)可在IEEE 802.11p標(biāo)準(zhǔn)層上實(shí)現(xiàn)[196].云輔助自動(dòng)駕駛系統(tǒng)[197]通過(guò)與云端共享傳感器信息，為汽車安全行駛提供助力.Kumar等人[198]介紹了一種用于自動(dòng)駕駛的通信系統(tǒng)，它使車輛能夠請(qǐng)求和訪問(wèn)其他車輛捕捉到的信息，實(shí)現(xiàn)基于客戶需求的隨行圖像服務(wù)[199].

在車聯(lián)網(wǎng)平臺(tái)中，各車輛共享相同的特權(quán)，普通的車輛和惡意對(duì)手具有相同的訪問(wèn)權(quán)限，這使得該平臺(tái)需要安全隱私保護(hù)機(jī)制，以防御諸如拒絕服務(wù)攻擊、女巫攻擊、中間人攻擊等各類影響司機(jī)隱私和安全，危害交通健康，甚至導(dǎo)致人員傷亡的惡意攻擊.但早期使用的加密技術(shù)[200]沒(méi)有考慮車聯(lián)網(wǎng)的實(shí)際需求，Malandrino等人[201]針對(duì)這些不足，提出了車聯(lián)網(wǎng)信任管理解決方案.Wan和Zhang[202]基于身份的數(shù)據(jù)傳輸協(xié)議，使用代數(shù)簽名和IBS(identity-based signature)算法對(duì)車輛的真實(shí)身份進(jìn)行加密，保障車輛和路側(cè)單元之間的數(shù)據(jù)傳輸.Feng等人[203]提出了一種考慮不確定性的隱私評(píng)估方法，以解決基于V2X(vehicle-to-everything)通信中隱私泄露的問(wèn)題.該算法通過(guò)分析用戶的歷史行為來(lái)評(píng)估車輛的隱私保護(hù)，采用聚合算法結(jié)合實(shí)時(shí)和離線通信，有效抑制了女巫攻擊.在位置信息方面，Hussain等人[204]提出了基于車輛自組網(wǎng)VANET(vehicular ad-hoc network)云服務(wù)堆棧的安全和隱私感知服務(wù)，使車輛可以通過(guò)匿名的方式和云基礎(chǔ)設(shè)施共享位置信息，保護(hù)車輛的隱私安全.在通信安全方面，Safi等人[205]提出了一種車云互聯(lián)服務(wù)中隱私感知的信息傳播方法，基于密文策略屬性的加密來(lái)實(shí)現(xiàn)訪問(wèn)控制系統(tǒng)和帶有假名車輛的身份簽名驗(yàn)證.

獲得可靠的數(shù)據(jù)信息后，可以進(jìn)一步實(shí)現(xiàn)自動(dòng)駕駛技術(shù)，完成從L0級(jí)(無(wú)自動(dòng)化)到L4級(jí)(高度自動(dòng)化駕駛)的轉(zhuǎn)變.而自動(dòng)駕駛的核心就是實(shí)現(xiàn)場(chǎng)景的實(shí)時(shí)感知[206]，可行的實(shí)現(xiàn)方案是使用深度學(xué)習(xí)技術(shù)訓(xùn)練可以完成目標(biāo)檢測(cè)、場(chǎng)景分類和行為分析等任務(wù)的模型[207].例如，百度Apollo[208]在感知和決策模塊中使用了多種深度學(xué)習(xí)模型，特斯拉為實(shí)現(xiàn)自動(dòng)駕駛使用了先進(jìn)的對(duì)象檢測(cè)模型[209].然而，這些模型容易受到對(duì)抗性用例的影響.Zhou等人[210]用對(duì)抗性干擾替換路邊的原始廣告牌，實(shí)現(xiàn)了一種攻擊端到端駕駛模型的方法，使車輛的轉(zhuǎn)向角預(yù)測(cè)數(shù)據(jù)偏離實(shí)際值23°之多.Boloor等人[211]提出了一種基于貝葉斯優(yōu)化的方法來(lái)偽造道路上的車道線使車輛偏移原始方向.Liu等人[212]模擬了對(duì)端到端駕駛模型的攻擊，構(gòu)建對(duì)抗性觸發(fā)器(如簡(jiǎn)單的圖形標(biāo)志)，并放置在原始輸入圖像的角落，如果道路圖像中包含這些惡意觸發(fā)器，車輛將會(huì)偏離預(yù)先規(guī)劃的軌跡.

此外，在智能駕駛方面還有很多開(kāi)放性問(wèn)題正待解決，比如高速移動(dòng)性、資源異質(zhì)性、跨域認(rèn)證方式等.

4 挑戰(zhàn)與機(jī)遇

在深入調(diào)研現(xiàn)階段泛在計(jì)算環(huán)境在系統(tǒng)軟件安全、智能設(shè)備安全和通信安全3方面的研究現(xiàn)狀，以及總結(jié)泛在計(jì)算典型應(yīng)用場(chǎng)景的安全研究現(xiàn)狀的基礎(chǔ)上，指出了泛在計(jì)算安全面臨的八大安全挑戰(zhàn)，并給出了可用于應(yīng)對(duì)這些挑戰(zhàn)的潛在安全技術(shù)研究方向，其關(guān)系如表5所示:

4.1 軟硬件供應(yīng)鏈安全挑戰(zhàn)

人機(jī)物融合泛在計(jì)算使泛在操作系統(tǒng)生態(tài)的構(gòu)建面臨邊界開(kāi)放、社會(huì)技術(shù)和信息物理融合的挑戰(zhàn)，匯聚眾多跨界分布、異構(gòu)異質(zhì)的硬件設(shè)備資源，和不同計(jì)算場(chǎng)景下的不同操作系統(tǒng)功能和軟件棧.不同硬件設(shè)備、固件、軟件棧的版本、型號(hào)、配置方式，在泛在計(jì)算環(huán)境下存在很大不同，其中存在的軟硬件漏洞需要進(jìn)行有效的評(píng)估和定位.一旦其中一個(gè)設(shè)備、軟件或通信通路存在漏洞受到攻擊，整個(gè)泛在計(jì)算環(huán)境都將受到安全威脅.管理評(píng)估不同類型開(kāi)源軟硬件、維護(hù)安全生態(tài)是泛在計(jì)算生態(tài)構(gòu)建的主要難點(diǎn).此外，開(kāi)源協(xié)議、軟硬件在泛在環(huán)境下大量使用，需要研究如何避免因?yàn)橄嚓P(guān)因素或突發(fā)事件造成的軟硬件供應(yīng)鏈中的核心產(chǎn)品不能開(kāi)放使用，也是構(gòu)建泛在計(jì)算生態(tài)下供應(yīng)鏈安全的一大挑戰(zhàn).

4.2 全場(chǎng)景的攻擊監(jiān)測(cè)問(wèn)題

泛在計(jì)算場(chǎng)景下資源設(shè)備多樣，任務(wù)場(chǎng)景各異，現(xiàn)有的攻擊監(jiān)測(cè)方法一般針對(duì)單一設(shè)備或單一場(chǎng)景，如何覆蓋不同智能設(shè)備、不同場(chǎng)景，提供統(tǒng)一的攻擊監(jiān)測(cè)方法，尤其是泛在計(jì)算環(huán)境下硬件設(shè)備的存儲(chǔ)空間從KB級(jí)到TB級(jí)變化，計(jì)算能力和安全監(jiān)測(cè)能力呈現(xiàn)差異化；如何在受限的計(jì)算能力和存儲(chǔ)空間中，為泛在智能設(shè)備提供安全保障機(jī)制和攻擊預(yù)警能力是泛在系統(tǒng)攻擊監(jiān)測(cè)的極大挑戰(zhàn).

4.3 泛在分布的異構(gòu)資源訪問(wèn)控制方法缺失

泛在計(jì)算環(huán)境下資源往往通過(guò)總線、有線網(wǎng)絡(luò)或無(wú)線互聯(lián)的方式聯(lián)通在一起.泛在操作系統(tǒng)在異構(gòu)資源訪問(wèn)管理時(shí)，不僅需要準(zhǔn)確定位資源，還需要對(duì)資源的網(wǎng)絡(luò)位置、訪問(wèn)控制權(quán)限、操作方式等進(jìn)行準(zhǔn)確定義.迫切需要研究泛在異構(gòu)資源訪問(wèn)控制方法，通過(guò)資源命名、訪問(wèn)控制操作的定義，來(lái)支持跨設(shè)備、跨場(chǎng)景的細(xì)粒度異構(gòu)資源訪問(wèn)控制，保證資源的正確訪問(wèn)，支持資源所在各級(jí)網(wǎng)絡(luò)環(huán)境拓?fù)涞谋碚髅?，?shí)現(xiàn)對(duì)各級(jí)別資源的細(xì)粒度訪問(wèn)權(quán)限控制，支持資源間的權(quán)限隔離.

4.4 端到端的設(shè)備認(rèn)證接入挑戰(zhàn)

當(dāng)前廣泛運(yùn)用的設(shè)備接入認(rèn)證主要基于非對(duì)稱加密的認(rèn)證方案，典型的如基于PKI(public key infrastructure)和基于IBC(identity-based crypto-graphy)的設(shè)備認(rèn)證接入方法.但是現(xiàn)有認(rèn)證方案需要可信第三方，在泛在計(jì)算環(huán)境下，由于智能設(shè)備端相較于云端的存算能力差異大，安全致信能力低，因此，設(shè)備的局域網(wǎng)、互聯(lián)網(wǎng)接入，設(shè)備端到端的交互等操作時(shí)的設(shè)備認(rèn)證，都需要通過(guò)云端進(jìn)行，甚至通過(guò)云云互聯(lián)進(jìn)行認(rèn)證，帶來(lái)大量的通信和計(jì)算開(kāi)銷，增加了認(rèn)證響應(yīng)時(shí)延.對(duì)于局域網(wǎng)環(huán)境下，如智慧家庭、工業(yè)互聯(lián)網(wǎng)等典型場(chǎng)景，任務(wù)跨設(shè)備調(diào)度，多設(shè)備協(xié)同帶來(lái)了不必要的時(shí)間開(kāi)銷，降低了用戶體驗(yàn)和生產(chǎn)制造效率.此外，中心化認(rèn)證模式下，一旦認(rèn)證中心宕機(jī)，將造成既有功能可用性破壞.因此，迫切需要研究去中心化的、端到端的直接認(rèn)證方式，避免第三方介入帶來(lái)的安全認(rèn)證時(shí)效性問(wèn)題.

4.5 安全隔離挑戰(zhàn)

現(xiàn)有操作系統(tǒng)的安全隔離通常由進(jìn)程間隔離、虛擬機(jī)隔離、容器隔離，甚至物理隔離來(lái)實(shí)現(xiàn).部分研究者通過(guò)系統(tǒng)內(nèi)核分區(qū)的方式進(jìn)行軟件應(yīng)用隔離，避免不可信用戶和應(yīng)用對(duì)其他用戶的安全影響.然而，在泛在計(jì)算環(huán)境下，現(xiàn)有的安全隔離方法已不能滿足所有計(jì)算場(chǎng)景的安全需要.因此，如何構(gòu)建新型安全隔離方法，具有重要的研究意義和實(shí)現(xiàn)價(jià)值.

4.6 開(kāi)放環(huán)境下的信任問(wèn)題

在泛在計(jì)算環(huán)境下，通用的開(kāi)放標(biāo)準(zhǔn)協(xié)議將面臨新的挑戰(zhàn).目前并沒(méi)有完全能夠適用于泛在計(jì)算環(huán)境的通信協(xié)議，現(xiàn)行的MQTT，CoAP等通信協(xié)議只能應(yīng)對(duì)單一計(jì)算場(chǎng)景，而面對(duì)更多復(fù)雜的應(yīng)用場(chǎng)景時(shí)，通用協(xié)議難以保證數(shù)據(jù)的安全性，并且基于場(chǎng)景進(jìn)行的通用協(xié)議定制，往往帶來(lái)了更多的安全風(fēng)險(xiǎn).因此需要研究如何使通信協(xié)議能夠在泛在計(jì)算環(huán)境下安全使用，并將其應(yīng)用于更多的場(chǎng)景，同時(shí)實(shí)現(xiàn)對(duì)通信協(xié)議安全性的自動(dòng)化檢測(cè)分析.

4.7 工業(yè)邊緣節(jié)點(diǎn)的性能與安全

工業(yè)互聯(lián)網(wǎng)中的傳感器節(jié)點(diǎn)的資源和能力有限，無(wú)法部署比較復(fù)雜的算法，因此，安全性較差，難以保證數(shù)據(jù)的質(zhì)量，尤其對(duì)邊緣節(jié)點(diǎn)來(lái)說(shuō)更容易受到惡意攻擊而損壞，邊緣計(jì)算的引入可以大大提高工業(yè)互聯(lián)網(wǎng)體系的處理效率，然而傳統(tǒng)的數(shù)據(jù)安全防護(hù)方法通常無(wú)法在邊緣節(jié)點(diǎn)中應(yīng)用.因此，邊緣節(jié)點(diǎn)的數(shù)據(jù)泄露風(fēng)險(xiǎn)更高，數(shù)據(jù)在傳輸過(guò)程中也更易被劫持，亟須為工業(yè)互聯(lián)網(wǎng)部署分布式的輕量級(jí)安全方案.區(qū)塊鏈技術(shù)也逐漸應(yīng)用于工業(yè)互聯(lián)網(wǎng)，其去中心化的系統(tǒng)改善了集中式管理系統(tǒng)的可擴(kuò)展性和安全性不足的問(wèn)題，但區(qū)塊鏈固有的可伸縮性也限制了其在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用.如何結(jié)合區(qū)塊鏈技術(shù)保證分布式、性能與安全性之間的平衡成為新的挑戰(zhàn).

4.8 車聯(lián)網(wǎng)絡(luò)實(shí)現(xiàn)穩(wěn)定連接的挑戰(zhàn)

由于車輛具有高速移動(dòng)性和分布不均勻的特征，車載網(wǎng)絡(luò)的拓?fù)鋾?huì)時(shí)刻發(fā)生改變，這使得網(wǎng)絡(luò)連接欠缺穩(wěn)定性.目前主要的路由技術(shù)多是利用地理位置信息，比如通過(guò)GPS獲得車輛的地理位置，車與車、車與設(shè)備之間的相對(duì)距離，結(jié)合數(shù)字地圖預(yù)測(cè)車輛的移動(dòng)方向.通過(guò)傳感器獲得車輛的相對(duì)速度，結(jié)合歷史數(shù)據(jù)和道路設(shè)施計(jì)算路由交叉點(diǎn)，根據(jù)信號(hào)的強(qiáng)度對(duì)車載鏈路的穩(wěn)定性進(jìn)行評(píng)估等.這種方法的復(fù)雜度高，計(jì)算負(fù)載大，又受制于GPS定位等必要約束，無(wú)法滿足穩(wěn)定性需求.因此，如何構(gòu)建一個(gè)安全可靠的車聯(lián)網(wǎng)絡(luò)成為一個(gè)備受關(guān)注的研究方向.

5 未來(lái)研究方向

本節(jié)針對(duì)第4節(jié)介紹的八大泛在計(jì)算安全技術(shù)挑戰(zhàn)，結(jié)合泛在計(jì)算安全現(xiàn)狀，指出未來(lái)泛在計(jì)算發(fā)展過(guò)程中的八大安全研究方向：

1) 泛在計(jì)算供應(yīng)鏈安全評(píng)估

為避免因開(kāi)源軟硬件漏洞造成的系統(tǒng)整體威脅，如何通過(guò)知識(shí)圖譜或其他人工智能方法，對(duì)開(kāi)放環(huán)境進(jìn)行安全評(píng)估，判斷其硬件設(shè)備、軟件配置是否存在安全威脅，值得進(jìn)一步深入研究.此外，針對(duì)泛在計(jì)算環(huán)境下軟硬件供應(yīng)鏈中核心軟硬件的開(kāi)源協(xié)議進(jìn)行安全評(píng)估，標(biāo)識(shí)出開(kāi)源可控、自主可控、“卡脖子”的軟件棧和硬件設(shè)備，從而根據(jù)不同可控等級(jí)，為各應(yīng)用場(chǎng)景建立動(dòng)態(tài)預(yù)警機(jī)制，有望為泛在計(jì)算開(kāi)源生態(tài)的演進(jìn)提供安全支持，避免因?yàn)楣?yīng)鏈破壞造成的損失，具有重要的經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值.

2) 全場(chǎng)景的自動(dòng)化攻擊監(jiān)測(cè)方法

基于軟硬件漏洞的安全攻擊利用了泛在計(jì)算環(huán)境下已知的軟硬件漏洞，例如緩存和能耗側(cè)通道漏洞、亂序執(zhí)行漏洞和預(yù)測(cè)執(zhí)行漏洞等，具有隱蔽性強(qiáng)、攻擊效果好、防御難度大的特點(diǎn).為了實(shí)現(xiàn)泛在計(jì)算環(huán)境下全場(chǎng)景的自動(dòng)化攻擊監(jiān)測(cè)，研究者需要利用模式匹配等方法，抽象各類軟硬件攻擊造成的軟硬件狀態(tài)變化模式，在系統(tǒng)運(yùn)行過(guò)程中動(dòng)態(tài)監(jiān)測(cè)軟硬件的運(yùn)行狀態(tài)并利用機(jī)器學(xué)習(xí)技術(shù)進(jìn)行模式匹配，以實(shí)現(xiàn)對(duì)基于軟硬件漏洞攻擊的實(shí)時(shí)監(jiān)測(cè).同時(shí)安全研究者需要研究如何細(xì)粒度實(shí)時(shí)感知硬件設(shè)備上的軟硬件運(yùn)行狀態(tài)，通過(guò)構(gòu)建集中式、云端或邊端的狀態(tài)采集框架，進(jìn)行實(shí)時(shí)運(yùn)行狀態(tài)采集，對(duì)能力受限的硬件設(shè)備進(jìn)行統(tǒng)一感知、監(jiān)測(cè)和預(yù)警，從而保證泛在計(jì)算從智能物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、自動(dòng)駕駛車輛到云計(jì)算等不同場(chǎng)景下的各類軟硬件設(shè)備的安全性.

3) 可擴(kuò)展資源命名和訪問(wèn)控制方法

為了實(shí)現(xiàn)泛在操作系統(tǒng)跨設(shè)備、跨場(chǎng)景、跨網(wǎng)絡(luò)的異構(gòu)資源正確訪問(wèn)，并對(duì)資源進(jìn)行正確、安全的訪問(wèn)控制，研究者需要研究可擴(kuò)展的資源命名方法，并通過(guò)資源命名，表征不同設(shè)備資源類型、資源所在網(wǎng)絡(luò)層級(jí)，并提供不依賴集中注冊(cè)和分配的唯一通用標(biāo)識(shí)，從而保證泛在操作系統(tǒng)資源訪問(wèn)的正確性.同時(shí)，研究者需要明確定義每一級(jí)別命名與網(wǎng)絡(luò)拓?fù)涞膶?duì)應(yīng)關(guān)系，定義不同用戶對(duì)不同命名層級(jí)資源的讀、寫(xiě)、控制權(quán)限，從而避免信息泄露和錯(cuò)誤讀寫(xiě)造成的安全性問(wèn)題.此外，研究者需要研究安全無(wú)狀態(tài)的資源訪問(wèn)機(jī)制，從而保證泛在操作系統(tǒng)每次讀、寫(xiě)、控制等操作與異構(gòu)設(shè)備資源狀態(tài)無(wú)關(guān)，避免傳輸過(guò)程中的信息泄漏問(wèn)題.

4) 去中心化的端到端設(shè)備認(rèn)證方法

為了實(shí)現(xiàn)泛在計(jì)算環(huán)境下，快速的端到端設(shè)備認(rèn)證通信、應(yīng)用跨設(shè)備協(xié)同，需要研究更加快速輕量的設(shè)備認(rèn)證介入方法.如何利用如區(qū)塊鏈技術(shù)構(gòu)建分布式共享的認(rèn)證權(quán)限記錄，從而彌補(bǔ)現(xiàn)有方案中存在的密鑰泄露、時(shí)效性差、認(rèn)證中心依賴的問(wèn)題；如何構(gòu)建環(huán)境自適應(yīng)的密鑰和認(rèn)證管理機(jī)制，將云端集中式認(rèn)證服務(wù)，根據(jù)任務(wù)場(chǎng)景需要，自適應(yīng)遷移適配到設(shè)備子集群，甚至是終端設(shè)備上，從而保證在不同場(chǎng)景下，“離線”的、端到端的直接認(rèn)證交互，避免第三方介入帶來(lái)的安全性、穩(wěn)定性和實(shí)效性問(wèn)題.

5) 系統(tǒng)安全分區(qū)方法

由于泛在計(jì)算環(huán)境下軟硬件交互頻繁，不同用戶、不同任務(wù)往往需要在相同資源設(shè)備上運(yùn)行.如何保證核心系統(tǒng)、任務(wù)、硬件的安全性，從時(shí)間和空間2個(gè)基本屬性進(jìn)行安全管理.構(gòu)建時(shí)空分區(qū)，在應(yīng)用之間、資源設(shè)備之間分離執(zhí)行關(guān)鍵點(diǎn)，包括安全性、隱私、性能等，以隔離故障并減少安全干擾.通過(guò)分區(qū)控制，系統(tǒng)將執(zhí)行實(shí)體托管到各個(gè)分區(qū)上，確保相互不干擾，具備抵御惡意攻擊的彈性.同時(shí)，仍需保證不同分區(qū)間的數(shù)據(jù)安全傳輸.此外，研究如何進(jìn)行環(huán)境自適應(yīng)的安全分區(qū)構(gòu)造方法，為應(yīng)用提供定制的安全分區(qū)策略，從而保證泛在操作系統(tǒng)對(duì)統(tǒng)一部署的大規(guī)模智能設(shè)備上任務(wù)的安全保護(hù)和管理.

6) 自動(dòng)化檢測(cè)分析方法

需要開(kāi)發(fā)自動(dòng)化檢測(cè)分析框架，能夠高效檢測(cè)出現(xiàn)有通信協(xié)議中的安全漏洞.而在某個(gè)協(xié)議中發(fā)現(xiàn)的問(wèn)題，往往也會(huì)存在于其他的一些通信協(xié)議中，因此也需要對(duì)其他有類似問(wèn)題的協(xié)議進(jìn)行具體分析，將提出的修復(fù)方案推廣到更多的通信協(xié)議中.還需對(duì)方案的多場(chǎng)景應(yīng)用進(jìn)行研究，泛在計(jì)算的應(yīng)用場(chǎng)景繁多且復(fù)雜，現(xiàn)有的通用協(xié)議很難實(shí)現(xiàn)對(duì)所有應(yīng)用場(chǎng)景隱私安全的全覆蓋，需要對(duì)通信協(xié)議進(jìn)行持續(xù)的探索優(yōu)化，并將其放到真實(shí)的場(chǎng)景中進(jìn)行測(cè)試，實(shí)現(xiàn)能夠在復(fù)雜環(huán)境下的廣泛應(yīng)用.

7) 構(gòu)建融合區(qū)塊鏈和邊緣計(jì)算的基礎(chǔ)設(shè)施框架

區(qū)塊鏈和邊緣計(jì)算技術(shù)為工業(yè)互聯(lián)網(wǎng)的安全性帶來(lái)了新的解決方案，區(qū)塊鏈可以改善邊緣節(jié)點(diǎn)安全性薄弱的問(wèn)題，保護(hù)邊緣節(jié)點(diǎn)的數(shù)據(jù)隱私，而邊緣計(jì)算可以為區(qū)塊鏈體系提供更強(qiáng)的計(jì)算能力.因此，構(gòu)建全新的工業(yè)互聯(lián)網(wǎng)框架，將區(qū)塊鏈和邊緣計(jì)算2種新興技術(shù)融合在一起，實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)的安全性和可擴(kuò)展性.該架構(gòu)由物聯(lián)網(wǎng)設(shè)備層、邊緣計(jì)算層、云計(jì)算層和區(qū)塊鏈層組成，邊緣計(jì)算層為本地設(shè)施提供計(jì)算和存儲(chǔ)能力，區(qū)塊鏈層保證了其他3層的安全性和可擴(kuò)展性.未來(lái)還需在此框架的基礎(chǔ)上繼續(xù)對(duì)區(qū)塊鏈和邊緣計(jì)算在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用進(jìn)行研究測(cè)試，使2種技術(shù)與工業(yè)互聯(lián)網(wǎng)系統(tǒng)融合，實(shí)現(xiàn)計(jì)算效率的最大化.

8) 提高車聯(lián)網(wǎng)絡(luò)穩(wěn)定性方法

一個(gè)解決車聯(lián)網(wǎng)絡(luò)穩(wěn)定性的方向是，預(yù)計(jì)車輛節(jié)點(diǎn)的行動(dòng)軌跡并選取穩(wěn)定的路由來(lái)改善全局性能.這需要充分考慮路由穩(wěn)定性要素，提高網(wǎng)絡(luò)可靠性，進(jìn)而延長(zhǎng)鏈接的生命周期.通過(guò)已有的研究結(jié)果，可以獲得鏈路中節(jié)點(diǎn)分支度的變化速度、鏈路周期和反映網(wǎng)絡(luò)穩(wěn)定性的矩陣；通過(guò)節(jié)點(diǎn)間的距離和相對(duì)速度使用模糊邏輯預(yù)估鏈路的生存周期.同時(shí)結(jié)合看門(mén)狗技術(shù)優(yōu)化設(shè)施知識(shí)圖譜，從節(jié)點(diǎn)收發(fā)報(bào)文入手，實(shí)時(shí)分析惡意節(jié)點(diǎn)，最終獲得一個(gè)穩(wěn)定的網(wǎng)絡(luò)策略.

6 結(jié) 語(yǔ)

關(guān)于泛在計(jì)算領(lǐng)域的安全研究雖然逐年增多，但因其涉及的典型場(chǎng)景多，設(shè)備種類各異，應(yīng)用環(huán)境差別大，且新型軟硬件不斷演進(jìn)落地，其整體還處于起步階段.泛在計(jì)算在系統(tǒng)軟件、硬件設(shè)備、網(wǎng)絡(luò)、生態(tài)等各個(gè)方面仍缺少代表性的安全研究成果.本文在調(diào)研大量典型泛在計(jì)算場(chǎng)景相關(guān)安全論文后，首先介紹了泛在計(jì)算和泛在操作系統(tǒng)架構(gòu).然后從系統(tǒng)軟件、智能設(shè)備、通信協(xié)議3個(gè)維度出發(fā)，闡述了泛在計(jì)算的安全研究現(xiàn)狀，并總結(jié)了智慧家庭、智能云計(jì)算、工業(yè)互聯(lián)網(wǎng)、自動(dòng)駕駛等典型泛在計(jì)算場(chǎng)景的相關(guān)安全研究工作.通過(guò)深入分析泛在計(jì)算安全研究問(wèn)題以及現(xiàn)有工作的不足，總結(jié)了泛在計(jì)算面臨的八大安全技術(shù)挑戰(zhàn)和機(jī)遇.最后對(duì)泛在計(jì)算安全研究進(jìn)行了展望，指出了泛在計(jì)算供應(yīng)鏈安全評(píng)估、全場(chǎng)景自動(dòng)化攻擊監(jiān)測(cè)方法、可擴(kuò)展資源命名及訪問(wèn)控制方法、去中心化的端到端設(shè)備認(rèn)證方法、系統(tǒng)安全分區(qū)方法、自動(dòng)化檢測(cè)分析方法、融合區(qū)塊鏈和邊緣計(jì)算的基礎(chǔ)設(shè)施框架、車聯(lián)網(wǎng)絡(luò)穩(wěn)定性方法等未來(lái)安全研究熱點(diǎn)方向.

作者貢獻(xiàn)聲明：李印負(fù)責(zé)調(diào)研分析、論文起草和最終版本修訂；陳勇負(fù)責(zé)調(diào)研分析和數(shù)據(jù)統(tǒng)計(jì)；趙景欣負(fù)責(zé)調(diào)研分析和修訂；岳星輝負(fù)責(zé)調(diào)研分析；鄭晨提出研究思路，設(shè)計(jì)研究方案；武延軍負(fù)責(zé)審核；伍高飛負(fù)責(zé)校對(duì).