尚文利，趙劍明，劉賢達，尹隆，曾鵬 中國科學(xué)院沈陽(yáng)自動(dòng)化研究所，中國科學(xué)院網(wǎng)絡(luò )化控制系統重點(diǎn)實(shí)驗室

1　引言

物聯(lián)網(wǎng)應用需求的發(fā)展催生了邊緣式大數據處理模式，即邊緣計算模型，網(wǎng)絡(luò )邊緣設備具備了執行任務(wù)計算和數據分析的處理能力，將原有云計算模型的計算任務(wù)部分遷移到網(wǎng)絡(luò )邊緣設備上，以降低云計算中心的計算負載，減緩網(wǎng)絡(luò )帶寬的壓力，提高海量設備數據的處理效率。

為應對物聯(lián)網(wǎng)的快速發(fā)展需求，國際上處在行業(yè)前沿的企業(yè)、科研院所、大學(xué)等機構紛紛成立聯(lián)盟組織，包括工業(yè)互聯(lián)網(wǎng)聯(lián)盟、開(kāi)放霧聯(lián)盟、邊緣計算產(chǎn)業(yè)聯(lián)盟等，從標準、規范、技術(shù)等方面引導云計算、邊緣計算的發(fā)展。

2014年3月，美國成立工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC,Industrial Internet Consortium)，由通用電氣（GE）聯(lián)合ATT、思科、IBM和英特爾發(fā)起。IIC定位為產(chǎn)業(yè)推廣組織，致力于構建涵蓋工業(yè)界、ICT界和其它相關(guān)方的產(chǎn)業(yè)生態(tài)，推動(dòng)傳感、連接、大數據分析等在工業(yè)領(lǐng)域的深度應用。2015年11月19日，ARM、思科、戴爾、英特爾、微軟和普林斯頓大學(xué)Edge Laboratory等物聯(lián)網(wǎng)領(lǐng)導者成立了開(kāi)放霧聯(lián)盟（OFC，OpenFog Consortium）。2016年11月30日，邊緣計算產(chǎn)業(yè)聯(lián)盟（ECC，Edge Computing Consortium）在北京成立。該聯(lián)盟由華為技術(shù)有限公司、中國科學(xué)院沈陽(yáng)自動(dòng)化研究所、中國信息通信研究院、英特爾公司、ARM和軟通動(dòng)力信息技術(shù)有限公司創(chuàng )始成立，首批成員單位共62家，涵蓋科研院校、工業(yè)制造、能源電力等不同領(lǐng)域。

本文介紹了云計算、霧計算和邊緣計算的定義，分析了OFC安全參考架構、IIC安全參考架構，以及ECC參考架構，最后，分析了邊緣計算的信息安全需求，指出了邊緣計算信息安全的關(guān)鍵技術(shù)創(chuàng )新點(diǎn)。

2　云計算、霧計算和邊緣計算

美國國家標準與技術(shù)研究院（NIST）給出了云計算的定義為“云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò )訪(fǎng)問(wèn)，進(jìn)入可配置的計算資源共享池（資源包括網(wǎng)絡(luò )、服務(wù)器、存儲、應用軟件、服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應商進(jìn)行很少的交互?！?/p>

OFC給出霧計算的定義為：“霧計算是一種靠近云物連接用戶(hù)側的，具有分布式計算、存儲、控制和網(wǎng)絡(luò )功能的水平系統級架構?！?/p>

IIC給出的邊緣計算的定義為：“邊緣計算是在靠近物或數據源頭的網(wǎng)絡(luò )邊緣側，融合網(wǎng)絡(luò )、計算、存儲、應用核心能力的開(kāi)放平臺，就近提供邊緣智能服務(wù)，滿(mǎn)足行業(yè)數字化在敏捷聯(lián)接、實(shí)時(shí)業(yè)務(wù)、數據優(yōu)化、應用智能、安全與隱私保護等方面的關(guān)鍵需求?！?/p>

云計算是通過(guò)使計算分布在大量的分布式計算機上，而非本地計算機或遠程服務(wù)器中，企業(yè)私有云一般擁有數百上千臺服務(wù)器。邊緣計算則是將智能、處理能力和通信能力都放在了邊緣網(wǎng)關(guān)或者應用設備中，處理數據是在節點(diǎn)或者工業(yè)物聯(lián)網(wǎng)網(wǎng)關(guān)進(jìn)行的。業(yè)界觀(guān)點(diǎn)認為霧計算是一種過(guò)渡形式，隨著(zhù)物聯(lián)網(wǎng)的快速發(fā)展，將形成邊緣計算與云計算的扁平化網(wǎng)絡(luò )通信模式。

3　OFC安全參考架構

2017年2月9日，美國加州弗里蒙特，OpenFog Consortium宣布發(fā)布OpenFog參考架構（RA），如圖1所示，旨在支持物聯(lián)網(wǎng)（IoT）、5G和人工智能（AI）應用的數據密集型需求的通用技術(shù)框架。OFC參考架構貫穿節點(diǎn)、網(wǎng)絡(luò )、數據、應用等，強調Endto-End security的實(shí)現。

圖1 OFC參考架構

（1）節點(diǎn)安全。包括物理安全機制、可信機制和虛擬化技術(shù)等，其中物理安全機制是針對物理特征（外殼、封裝或螺絲）的檢測、響應；可信機制包括可信根、可信啟動(dòng)過(guò)程、身份證明、認證過(guò)程等；虛擬化技術(shù)是在有能力或重要的主節點(diǎn)實(shí)現任務(wù)的虛擬化，可隔離病毒發(fā)生。

（2）網(wǎng)絡(luò )安全。包括通信安全機制，訪(fǎng)問(wèn)控制、入侵檢測、異常行為分析等防護技術(shù)，以及協(xié)議安全。其中通信安全機制涉及到機密性、完整性、認證性、不可抵賴(lài)性，并且在設計時(shí)能耗、復雜性、安全性要求不同，以及節點(diǎn)到云、節點(diǎn)到節點(diǎn)、節點(diǎn)到設備之間的安全通信路徑。

（3）數據安全。包括使用數據安全、存儲數據安全、遷移數據安全，其中使用數據安全技術(shù)涉及訪(fǎng)問(wèn)權限、內存保護、機密性使用、調試接口訪(fǎng)問(wèn)限制等技術(shù)，存儲數據安全涉及全磁盤(pán)加密、文件系統或數據庫加密、訪(fǎng)問(wèn)權限等技術(shù)，遷移數據安全涉及VPN或SSL方式、連接加密、文件/數據加密等技術(shù)。

（4）安全管理。包括密鑰管理、密碼套件管理、身份管理、安全策略管理等。

4　IIC安全參考架構

美國GE提出并主導的工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC，Industrial Internet Consortium）。2016年09月，發(fā)布了《工業(yè)物聯(lián)網(wǎng)安全框架》，如圖2所示，旨在解決工業(yè)物聯(lián)網(wǎng)（IIoT）及全球工業(yè)操作運行系統相關(guān)安全問(wèn)題，從多個(gè)角度解決安全、可靠性和隱私問(wèn)題。

三個(gè)層次視角解析安全架構，包括安全模型與策略、數據防護和安全點(diǎn)，其中技術(shù)層包括端點(diǎn)以及端點(diǎn)到云防護、通信與連接防護、安全監控與分析、安全配置與管理四個(gè)方面，技術(shù)層應考慮或支持數據安全，而安全模型和策略則作為整體統一的框架存在，進(jìn)行統一調度。

圖2 IIC安全參考架構

安全模型與策略層包括安全目標、安全風(fēng)險分析，以及整個(gè)框架內各個(gè)部分涉及的安全模型和策略。數據防護層包括數據防護的模型和策略，端點(diǎn)、通信、配置、監控數據的防護等內容，涉及存儲數據、使用數據、遷移數據等數據形式。技術(shù)層則包括以下幾個(gè)方面的內容：

（1）端點(diǎn)防護。端點(diǎn)防護強調可用性>機密性>完整性，包括端點(diǎn)防護模型與策略層、端點(diǎn)數據防護層、端點(diǎn)技術(shù)層。技術(shù)層包括端點(diǎn)物理安全，端點(diǎn)可信根，端點(diǎn)身份認證，端點(diǎn)訪(fǎng)問(wèn)控制，端點(diǎn)監控、分析、配置管理，端點(diǎn)完整性保護等。

（2） 通信與連接防護。通信與連接防護包括通信與連接防護模型與策略層、通信與連接數據防護層、通信與連接防護技術(shù)層。技術(shù)層包括連接的物理安全，通信的端點(diǎn)雙向訪(fǎng)問(wèn)控制、身份識別，信息流防護機制、網(wǎng)絡(luò )配置與管理、網(wǎng)絡(luò )監控與分析、通道加密技術(shù)等。

（3） 安全監控與分析。安全監控與分析包括安全監控與分析模型和策略層、安全監控與分析數據防護層、安全監控與分析技術(shù)層。技術(shù)層包括端點(diǎn)和通信監控、安全日志監控、信息流的連接關(guān)系監控、行為分析、基于規則的分析、阻止/允許、恢復、審計分析等。

（4） 安全配置與管理。安全配置與管理包括安全配置與管理模型和策略層、安全配置與管理數據防護層、安全配置與管理技術(shù)層。技術(shù)層包括安全模型動(dòng)態(tài)變更、安全管理策略實(shí)施、安全管理策略、端點(diǎn)認證管理、端點(diǎn)配置管理、通信配置管理等。

5　邊緣計算信息安全技術(shù)

5.1　邊緣計算參考架構

2016年11月30日，邊緣計算產(chǎn)業(yè)聯(lián)盟發(fā)表《邊緣計算產(chǎn)業(yè)聯(lián)盟白皮書(shū)》，重點(diǎn)闡述邊緣計算產(chǎn)業(yè)趨勢與關(guān)鍵挑戰，介紹邊緣計算定義與內涵，展示邊緣計算產(chǎn)業(yè)聯(lián)盟頂層設計與運作模式，制定邊緣計算參考架構與技術(shù)框架，為聯(lián)盟后續的發(fā)展提供方向指引。

《白皮書(shū)》提出了邊緣計算參考架構1.0，如圖3所示，該架構基于分層設計，包含應用域、數據域、網(wǎng)絡(luò )域、設備域四個(gè)功能域。在應用域，將基于設備、網(wǎng)絡(luò )、數據功能域提供開(kāi)放接口，實(shí)現邊緣行業(yè)應用，支撐邊緣業(yè)務(wù)運營(yíng)。在數據域，提供數據優(yōu)化服務(wù)，包括數據的提取、聚合、互操作、語(yǔ)義化以及分析與呈現的全生命周期服務(wù)，并保障數據的安全與隱私性。在網(wǎng)絡(luò )域，將為系統互聯(lián)、數據聚合與承載提供聯(lián)接服務(wù)。在設備域，將通過(guò)貼近或嵌入傳感、儀表、機器人和機床等設備的現場(chǎng)節點(diǎn)，支撐現場(chǎng)設備實(shí)現實(shí)時(shí)的智能互聯(lián)及智能應用。

圖3 邊緣計算參考架構

5.2　邊緣計算信息安全需求

本文從設備安全、網(wǎng)絡(luò )安全、數據安全和應用安全等幾個(gè)角度來(lái)分析邊緣計算的信息安全需求。設備安全面臨的主要問(wèn)題包括設備身份認證、啟動(dòng)與運行時(shí)的可信、生命周期的安全管理、端點(diǎn)安全審計、防DoS能力、漏洞掃描及挖掘等；網(wǎng)絡(luò )安全面臨的主要問(wèn)題包括網(wǎng)絡(luò )邊緣深度防御、異常流量過(guò)濾、入侵檢測、網(wǎng)絡(luò )通信的機密性、協(xié)議安全性等；數據安全面臨的主要問(wèn)題包括數據的完整性；傳輸數據的簽名、加密；使用數據的隱私安全、密鑰管理等；應用安全面臨的主要問(wèn)題包括整個(gè)邊緣計算系統的安全狀態(tài)監測、安全態(tài)勢感知等。

5.3　邊緣計算信息安全創(chuàng )新點(diǎn)

本文針對上述邊緣計算的信息安全需求分析，提出了針對信息安全需求的技術(shù)發(fā)展趨勢，從設備安全、網(wǎng)絡(luò )安全和應用安全三個(gè)方面給出了技術(shù)展望。

設備安全應涉及到可信計算、訪(fǎng)問(wèn)控制技術(shù)?？尚庞嬎慵夹g(shù)將為邊緣計算網(wǎng)絡(luò )中的端點(diǎn)及數據傳輸提供安全處理能力，實(shí)現安全與控制獨立運行，保證端點(diǎn)設備啟動(dòng)與運行過(guò)程中是可信的，設備使用及傳輸的數據是安全的、完整的、私密的。另外，可以通過(guò)硬件級可信認證技術(shù)，解決端點(diǎn)設備、感知測量節點(diǎn)的安全問(wèn)題。同時(shí)，需要針對通信網(wǎng)絡(luò )層的攻擊，研發(fā)下一代工業(yè)防火墻，能夠集成多種安全功能于一體，實(shí)現安全功能軟件化的自由配置，簡(jiǎn)化網(wǎng)絡(luò )部署并能動(dòng)態(tài)調節安全功能，為邊緣計算提供邊界防護。

網(wǎng)絡(luò )安全應涉及到安全軟件定義技術(shù)。在邊緣計算網(wǎng)關(guān)中集成多種安全功能于一體，實(shí)現軟件定義的安全功能自由配置，簡(jiǎn)化網(wǎng)絡(luò )部署，對發(fā)現的攻擊與入侵具有動(dòng)態(tài)響應能力。如基于軟件定義網(wǎng)絡(luò )（Software Defined Network, SDN ）的安全功能協(xié)同與聯(lián)動(dòng)技術(shù)，即基于SDN的思想，建立網(wǎng)絡(luò )的自身安全能力，控制層面將安全功能以軟件的形式實(shí)現，軟件層面賦予邊緣計算網(wǎng)關(guān)安全防護能力，更益于安全的聯(lián)動(dòng)響應。

應用安全應涉及到安全態(tài)勢感知、聯(lián)動(dòng)響應技術(shù)。以終端、數據、網(wǎng)絡(luò )安全日志及其他系統日志為基礎，通過(guò)大數據分析技術(shù)，研發(fā)警報關(guān)聯(lián)引擎、數據異常流量模塊、動(dòng)態(tài)行為分析模塊等安全功能模塊，發(fā)現APT攻擊并進(jìn)行動(dòng)態(tài)處理，恢復現場(chǎng)。如基于大數據分析的安全態(tài)勢感知技術(shù)，即以大數據分析技術(shù)為基礎，通過(guò)數據異常分析、動(dòng)態(tài)行為分析、警報關(guān)聯(lián)引擎等功能，對多種安全要素進(jìn)行多角度、多粒度的威脅發(fā)現與感知。

6　結語(yǔ)

未來(lái)超過(guò)50%的數據需要在邊緣側分析、處理和儲存，邊緣計算應用廣闊。本文介紹了云計算、霧計算、邊緣計算的定義，闡述了開(kāi)放霧聯(lián)盟、工業(yè)互聯(lián)網(wǎng)聯(lián)盟的信息安全參考架構，分析了邊緣計算的信息安全需求，提出了針對邊緣計算信息安全需求的技術(shù)發(fā)展趨勢。本文僅從幾個(gè)視角分析了邊緣計算信息安全技術(shù)的發(fā)展趨勢，隨著(zhù)邊緣計算技術(shù)的日趨成熟，將會(huì )出現更為具體的信息安全需求，如輕量級實(shí)時(shí)加密認證技術(shù)等，需要進(jìn)一步深入研究和探討。

作者簡(jiǎn)介

尚文利（1974-），男，研究員，博士，黑龍江北安人，現就職于中國科學(xué)院沈陽(yáng)自動(dòng)化研究所，主要從事工業(yè)信息安全、計算智能與機器學(xué)習方向的研究?，F任工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟理事成員、邊緣計算產(chǎn)業(yè)聯(lián)盟安全組副組長(cháng)、中國自動(dòng)化學(xué)會(huì )邊緣計算專(zhuān)業(yè)委員會(huì )委員、全國信息安全標準化技術(shù)委員會(huì )WG5工作組成員。

參考文獻：

[1] 邊緣計算產(chǎn)業(yè)聯(lián)盟. 邊緣計算參考架構1.0[Z]. 邊緣計算產(chǎn)業(yè)聯(lián)盟白皮書(shū), 2016, 11.

[2] Bastien Confais, Adrien Lebre, Beno t Parrein. Performance Analysis of Object Store Systems in a Fog and Edge Computing Infrastructure[J]. Transactions on Large-Scale Data- and Knowledge-Centered Systems XXXIII, LNCS 10430, 2017, 40 - 79.

[3] Bonomi F., Milito R., Natarajan P., Zhu J.. “Fog computing: a platform for Internet of Things and analytics,” In Big Data and Internet of Things: A Roadmap for Smart Environments, 169 - 186, Springer, Cham, 2014.

[4] Bonomi F., Milito R., Zhu J., Addepalli S..“Fog computing and its role in the Internet of Things”, In Proceedings of the First Edition of the MCC Workshop on Mobile cloud computing. MCC, 2012, 13 - 16.

[5] Dubey H., Yang J., Constant N., Amiri A.M., Yang Q., Makodiya, K.. “Fog data: enhancing telehealth big data through fog computing”, In Proceedings of the ASE BigData & SocialInformatics, 2015: 14.

[6] Firdhous, M., Ghazali, O., Hassan, S.. “Fog computing: will it be the future of Cloud Computing ”, In Third International Conference on Informatics & Applications, Kuala Terengganu, 2014：8 - 15 .

[7] Raffaella Grieco, Delfina Malandrino, Vittorio Scarano. A Scalable Cluster-based Infrastructurefor Edge-computing Services. World Wide Web, 2006, 9: 317 - 341.

[8] Salvatore Distefano, Dario Bruneo, Francesco Longo, Giovanni Merlino, Antonio Puliafito. Personalized Health Tracking with Edge Computing Technologies.BioNanoScience, 2017, 7(7) , 439 - 441.

[9] The OpenFog Consortium Architecture Working Group. OpenFog Reference Architecture for Fog Computing[EB/OL]. http:// www.OpenFogConsortium.org,

[10] Industrial Internet Consortium. Industrial Internet of Things Volume G4: Security Framework[EB/OL]. http://www.iiconsortium.org.

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第四輯