1　引言

隨著(zhù)物聯(lián)網(wǎng)、5G等技術(shù)的快速發(fā)展，萬(wàn)物互聯(lián)的趨勢不斷加深，物聯(lián)網(wǎng)技術(shù)和智能設備越來(lái)越多地滲透到人們的日常生活，智能電網(wǎng)、智慧城市、自動(dòng)駕駛等新型業(yè)務(wù)模式不斷涌現，智能設備數量將呈爆炸式增長(cháng)，據IDC預測，到2020年全世界將有多達500億的智能設備接入互聯(lián)網(wǎng) ^[1]，如圖1所示。隨之而來(lái)的是終端產(chǎn)生的“海量級”數據，以工業(yè)現場(chǎng)為例，單個(gè)攝像頭1080p格式視頻在4Mbps碼率下每天將產(chǎn)生330G的視頻數據。

圖1 物聯(lián)網(wǎng)設備增長(cháng)趨勢

海量終端設備互聯(lián)模式對資源請求的響應時(shí)間和安全性提出了更高的要求，云計算^[3]的“按需付費”模式使企業(yè)及最終用戶(hù)在擁有和管理數據上擺脫了許多細節的約束，如存儲資源、計算限制和網(wǎng)絡(luò )通信成本等。但是在工業(yè)現場(chǎng)等延遲敏感的應用環(huán)境中，當數以百萬(wàn)的智能設備請求服務(wù)時(shí)，當前的云計算架構很難滿(mǎn)足智能設備對移動(dòng)支持、位置感知和低延遲的需求。由此催生了在邊緣側數據處理的模式，即邊緣計算（Edge Computing） ^[2]，并得到了學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。邊緣計算通過(guò)賦予邊緣側的智能設備執行計算和數據處理能力，結合當前的云計算集中式數據處理模型，降低了云中心的計算負載，減緩了網(wǎng)絡(luò )帶寬的壓力，提高了海量設備數據的處理效率。

邊緣計算作為以網(wǎng)絡(luò )邊緣設備為核心的新型計算模式，為解決時(shí)延和網(wǎng)絡(luò )帶寬負載問(wèn)題帶來(lái)極大的便利，支持將云中心任務(wù)向網(wǎng)絡(luò )邊緣側遷移，將服務(wù)帶到離邊緣更近、范圍更廣的地方。通過(guò)部署邊緣服務(wù)設備（如邊緣計算節點(diǎn)、私有云等），服務(wù)可以駐留在邊緣設備上，在處理海量數據的同時(shí)還可以確保高效的網(wǎng)絡(luò )運營(yíng)和服務(wù)交付。但是由于這種邊緣側計算服務(wù)模式的復雜性、數據多源異構、終端資源受限等特性，邊緣計算的安全防護面臨著(zhù)新的挑戰^[4]，傳統的云環(huán)境下的信息安全問(wèn)題在邊緣計算場(chǎng)景中尤為突出，亟待開(kāi)展適用于邊緣計算的安全技術(shù)^[5]。

本文闡述了邊緣計算的產(chǎn)生、概念，以及參考架構的特點(diǎn)，分析了邊緣計算范式下的身份認證和隱私保護的安全需求，總結了近年來(lái)可能適用于邊緣計算安全與隱私保護的研究成果，剖析了方案的可擴展性和適用性，并指出了邊緣計算在身份認證和隱私保護方面的未來(lái)技術(shù)發(fā)展方向。

2　邊緣計算架構與安全挑戰

2.1　邊緣計算參考架構

目前邊緣計算尚處于發(fā)展階段，還未形成嚴格、統一的定義和標準，不同組織對邊緣計算的定義和側重點(diǎn)都不相同。邊緣計算產(chǎn)業(yè)聯(lián)盟在《邊緣計算參考架構2.0》[6]中提出：“邊緣計算是融合網(wǎng)絡(luò )、計算、存儲、應用核心能力的開(kāi)放平臺，在靠近物或數據源頭的網(wǎng)絡(luò )邊緣側，就近提供智能互聯(lián)服務(wù)，滿(mǎn)足行業(yè)在業(yè)務(wù)實(shí)時(shí)、業(yè)務(wù)智能、數據聚合與互操作、安全與隱私保護等方面的關(guān)鍵需求?！辈⒔o出了邊緣計算參考架構2.0，如圖2所示。

圖2 邊緣計算參考架構

邊緣計算參考架構在每層提供了模型化的開(kāi)放接口，實(shí)現了架構的全層次開(kāi)放。邊緣計算參考架構通過(guò)縱向管理服務(wù)、數據全生命周期服務(wù)、安全服務(wù)，實(shí)現業(yè)務(wù)的全流程、全生命周期的智能服務(wù)。

智能服務(wù)是基于模型驅動(dòng)的統一服務(wù)框架，通過(guò)開(kāi)發(fā)服務(wù)框架和部署運營(yíng)服務(wù)框架實(shí)現開(kāi)發(fā)與部署智能協(xié)同，能夠實(shí)現軟件開(kāi)發(fā)接口一致和部署運營(yíng)自動(dòng)化。

業(yè)務(wù)Fabric通過(guò)定義端到端的業(yè)務(wù)流和工作負載，由多種類(lèi)型的功能服務(wù)按照一定邏輯關(guān)系組成和協(xié)作，和OICT基礎設施、硬件平臺等解耦，屏蔽技術(shù)細節并支持跨技術(shù)平臺，支撐業(yè)務(wù)敏捷。

聯(lián)接計算是一個(gè)虛擬化的服務(wù)層，可以屏蔽邊緣計算節點(diǎn)的異構性，降低智能分布式架構在數據一致性、容錯處理等方面的復雜性，實(shí)現資源服務(wù)的發(fā)現、統一管理和編排，支持ECN節點(diǎn)間的數據和知識模型的共享，支持業(yè)務(wù)負載的動(dòng)態(tài)調度和優(yōu)化，支持分布式的決策和策略執行。

邊緣計算節點(diǎn)(ECN，Edge Computing Node)兼容多種異構聯(lián)接、支持實(shí)時(shí)處理與響應、提供軟硬一體化安全等，網(wǎng)絡(luò )邊緣設備不僅扮演著(zhù)服務(wù)請求者的角色，而且還需要執行部分計算任務(wù)，包括數據存儲、處理、搜索、管理和傳輸等。

在邊緣計算場(chǎng)景中，由于終端設備數量的爆炸式增長(cháng)和復雜業(yè)務(wù)的高實(shí)時(shí)性需求，傳統的集中式業(yè)務(wù)處理方式將會(huì )轉變?yōu)樵?邊的雙向計算模式，在這種復雜的計算范式下，多實(shí)體之間的身份識別以及實(shí)體間跨信任域驗證等問(wèn)題變得更加突出。

2.2　邊緣計算身份認證和隱私保護技術(shù)挑戰

本文主要從身份認證和隱私保護等角度對邊緣計算的信息安全需求進(jìn)行分析，在邊緣計算中，由于不同的部署選擇，邊緣計算服務(wù)提供者可以位于不同的地方，將計算服務(wù)靈活地擴展到網(wǎng)絡(luò )邊緣側，但是這種靈活性使邊緣計算的可信任情況復雜化，使其不同于其他網(wǎng)絡(luò )架構，如圖3所示，邊緣計算網(wǎng)絡(luò )體系中涉及終端智能設備、邊緣計算設備、云中心等不同的功能實(shí)體，邊緣計算設備是介于網(wǎng)絡(luò )邊緣的終端用戶(hù)和云服務(wù)器之間的中間層。在這種開(kāi)放式互聯(lián)背景下，身份認證和管理功能遍布邊緣計算參考架構的所有功能層級，用戶(hù)的身份認證是邊緣計算的第一道防線(xiàn)，身份識別對確保應用和數據的安全保密至關(guān)重要。

圖3 邊緣計算網(wǎng)絡(luò )體系

當邊緣設備需要使用邊緣計算提供的服務(wù)時(shí)，如果缺乏身份驗證服務(wù)，一個(gè)流動(dòng)的邊緣計算節點(diǎn)/服務(wù)器可以假裝成一個(gè)合法的邊緣計算設備或邊緣計算實(shí)例，并誘使邊緣側終端設備連接到它。一旦終端設備與虛假的邊緣計算節點(diǎn)建立連接，敵手就可以操縱來(lái)自終端用戶(hù)或云的傳入和傳出請求，秘密地收集或篡改終端設備數據，并很容易發(fā)起進(jìn)一步的攻擊，虛假邊緣計算節點(diǎn)或服務(wù)器的存在是對用戶(hù)數據安全和隱私的嚴重威脅。除此之外，當海量設備同時(shí)接入時(shí)，傳統的集中式安全認證面臨巨大的性能壓力，特別是在設備集中接入時(shí)認證系統往往不堪重負。最后，在這種通過(guò)不同網(wǎng)絡(luò )基礎設施互聯(lián)的分層體系架構中，功能實(shí)體并非完全可信，而與用戶(hù)身份相關(guān)聯(lián)的信息都存儲在這些半可信的功能實(shí)體中，這極易引發(fā)用戶(hù)身份信息泄漏問(wèn)題。因此在必要的時(shí)候，亟待開(kāi)展適用于邊緣計算場(chǎng)景的去中心化、分布式的認證方式，在實(shí)現輕量級認證的同時(shí)，兼顧匿名性、群組認證等功能。

3　邊緣計算身份認證和隱私保護技術(shù)研究現狀

3.1　邊緣計算身份認證技術(shù)研究現狀

身份認證是邊緣計算安全的一個(gè)重要問(wèn)題，因為邊緣計算節點(diǎn)/服務(wù)器向大規模終端用戶(hù)提供服務(wù)。本文將邊緣計算的主要安全問(wèn)題視為不同級別的邊緣節點(diǎn)的認證問(wèn)題。傳統的基于PKI的身份驗證效率不高，并且在網(wǎng)絡(luò )邊緣使用霧計算的用戶(hù)可擴展性較差。

代表性的研究文獻主要有：Maged在文獻^[8]中提出了在“云-邊-端”三層體系架構下的邊緣網(wǎng)絡(luò )終端和邊緣服務(wù)器之間的安全相互認證方案Octopus，該方案中不需要納入傳統的PKI體系，只是在注冊階段，每個(gè)終端設備需保存一個(gè)云中心頒發(fā)的長(cháng)期主密鑰。Octopus允許任何終端設備在已獲得云中心授權的情況下，與邊緣計算網(wǎng)絡(luò )體系中的任一邊緣服務(wù)器進(jìn)行相互認證，能夠有效地抵抗重放攻擊、中間人攻擊等多種類(lèi)型攻擊。該方案能夠有效實(shí)現在邊緣計算架構下終端設備的安全接入認證，并且在認證過(guò)程中采用對稱(chēng)加密算法，適用于邊緣側計算資源和存儲資源受限的設備，但是該方案不支持匿名認證。Amor ^[9]在該方案的基礎上做出了改進(jìn)，利用雙線(xiàn)性配對算法實(shí)現了支持匿名認證的接入認證方案，在該方案中，認證可以在不暴露真實(shí)身份的同時(shí)，驗證對方的合法性，保證了惡意設備無(wú)法搜集終端設備的身份信息。

綜上所述，當前關(guān)于邊緣計算身份認證機制的研究尚未形成較為完善的研究體系和方法，已有的研究方案大多用于解決邊緣側設備的身份授權及單一作用域內的身份認證問(wèn)題，而在跨不同作用域認證場(chǎng)景下存在局限。邊緣計算身份認證技術(shù)的研究需結合其分布式、移動(dòng)性等特點(diǎn)，在已有研究方案的基礎上，加強具有隱私保護性質(zhì)的認證機制、跨作用域認證等技術(shù)的研究，保障邊緣側業(yè)務(wù)在異構網(wǎng)絡(luò )中的應用安全。

3.2　邊緣計算身份隱私保護技術(shù)研究現狀

針對邊緣計算中身份信息隱私保護技術(shù)的研究，代表性的研究文獻主要有：Khalil 等 ^[10]通過(guò)引入身份管理系統（IDM）服務(wù)器來(lái)代替服務(wù)提供商管理終端用戶(hù)的身份信息，通過(guò)將授權、IDM 服務(wù)器和邊緣計算服務(wù)提供商分離，并添加額外的認證層，來(lái)抵御IDM非法訪(fǎng)問(wèn)、流量攔截攻擊和設備妥協(xié)等攻擊。Khan等^[11]針對身份認證過(guò)程中存在的憑證泄漏問(wèn)題，提出了一種基于動(dòng)態(tài)憑證的身份隱私保護方案，即通過(guò)云分組交換機制對終端設備的身份憑證進(jìn)行動(dòng)態(tài)更新，以此防止憑證泄漏導致的攻擊問(wèn)題，不僅如此，該方案還引入了第三方可信實(shí)體，通過(guò)將認證憑證操作外包給可信實(shí)體，降低了終端設備的計算開(kāi)銷(xiāo)。

當前，針對邊緣計算^[12]身份隱私保護技術(shù)的研究?jì)H有一些探索性成果，邊緣計算設備更貼近數據源頭，與核心網(wǎng)中的云中心相比，邊緣計算設備可以收集更多的與用戶(hù)身份相關(guān)的敏感信息，而由于終端設備的計算資源受限，難以執行代價(jià)昂貴的隱私保護算法，在邊緣計算服務(wù)中，如何保障終端用戶(hù)的身份隱私是亟待解決的問(wèn)題之一。

4　未來(lái)技術(shù)發(fā)展方向

由于將現有身份認證協(xié)議直接應用于邊緣計算環(huán)境下存在一些問(wèn)題，研究人員正在尋求解決的辦法。當前國內外學(xué)者對邊緣計算中信息安全技術(shù)的研究也處于探索階段，針對身份認證協(xié)議的研究成果大多是生、參考架構和信息安全需求，圍繞邊緣計算身份認以現有的安全協(xié)議為基礎，從靈活性、高效性、隱私證和隱私保護等關(guān)鍵技術(shù)，對適用于邊緣計算架構的保護等方面進(jìn)行改進(jìn)和優(yōu)化。但是由于邊緣計算中終身份認證和隱私保護的最新研究成果進(jìn)行了闡述和分端設備的地理位置分布、高移動(dòng)性和高實(shí)時(shí)性等特析。隨著(zhù)國內外研究的開(kāi)展，將會(huì )出現更適合邊緣計點(diǎn)，傳統的集中式安全認證機制不再適用于該場(chǎng)景。算體系的信息安全技術(shù)，需進(jìn)一步深入探討和研究。

邊緣計算身份認證和隱私保護技術(shù)發(fā)展方向應該包括以下幾點(diǎn)：

（（1）研究適用于邊緣計算架構體系的關(guān)鍵技術(shù)，支持用戶(hù)和邊緣計算設備建立連接時(shí)的端到端雙向認證機制，以及邊緣計算設備對接入用戶(hù)的群組認證、跨域認證等；

（2）在邊緣計算中存在大量的分布式邊緣網(wǎng)關(guān)，不同層次的邊緣網(wǎng)關(guān)等網(wǎng)絡(luò )實(shí)體的認證，以及與云中心之間的統一身份管理等是一個(gè)需要考慮的安全問(wèn)題；

（3）在安全功能適配特定的邊緣計算架構的同時(shí)，還需實(shí)現安全功能的輕量化，使其能夠部署在各類(lèi)硬件資源受限的網(wǎng)絡(luò )邊緣側終端設備中，最大限度地保障整個(gè)架構的安全與可靠，提高海量終端設備的接入認證效率。

5　結論

未來(lái)超過(guò)50%的數據需要在邊緣側分析、處理和儲存，邊緣計算應用廣闊。本文介紹了邊緣計算的產(chǎn)生、參考架構和信息安全需求，圍繞邊緣計算身份認證和隱私保護等關(guān)鍵技術(shù)，對適用于邊緣計算架構的身份認證和隱私保護的最新研究成果進(jìn)行了闡述和分析。隨著(zhù)國內外研究的開(kāi)展，將會(huì )出現更適合邊緣計算體系的信息安全技術(shù)，需進(jìn)一步深入探討和研究。

★ 基金項目： 國家自然科學(xué)基金項目“ 面向工業(yè)通信行為的異常檢測及安全感知方法研究” （ 6 1 7 7 3 3 6 8 ） 、預研基金項目（6140242010116Zk63001）和國家電網(wǎng)公司科技項目“邊緣計算在智能電網(wǎng)的應用和安全防護技術(shù)研究”（52110118001H）。

作者簡(jiǎn)介

陳春雨（1992-），男，碩士，黑龍江哈爾濱人，現就職于中國科學(xué)院網(wǎng)絡(luò )化控制系統重點(diǎn)實(shí)驗室，主要研究方向為信息安全。

尚文利（1974-），男，博士、研究員，黑龍江北安人，現就職于中國科學(xué)院網(wǎng)絡(luò )化控制系統重點(diǎn)實(shí)驗室，現任全國工業(yè)過(guò)程測量控制和自動(dòng)化標準化技術(shù)委員會(huì )可編程序控制器及系統分技術(shù)委員會(huì )（SAC/TC124/SC5）委員、工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟理事、邊緣計算產(chǎn)業(yè)聯(lián)盟安全組副組長(cháng)。主要從事工業(yè)信息安全、計算智能與機器學(xué)習方向研究。

參考文獻：

[1] Cisco cloud index supplement. Cloud readiness regional details white paper[R]. 2017.

[2] 施巍松, 孫輝, 曹杰, 張權, 劉偉. 邊緣計算：萬(wàn)物互聯(lián)時(shí)代新型計算模型[J]. 計算機研究與發(fā)展, 2017, 54 ( 5 ) : 907 - 924.

[3] 林闖, 蘇文博, 孟坤, 劉渠, 劉衛東. 云計算安全：架構、機制與模型評價(jià)[J]. 計算機學(xué)報, 2013, 36 ( 9 ) : 1765 - 1784.

[4] MAO YY, YOU CS, ZHANG J, et al. A survey on mobile edge computing:the communication perspective[J]. IEEE CommunicationsSurveys & Tutorials, 2017, PP ( 99 ) : 1.

[5] LOPEZ P G, MONTRESOR A, EPEMA D, et al. Edge-centric computing:vision and challenges[J]. ACM Sigcomm Computer Communication Review, 2015, 45 ( 5 ) : 37 - 42.

[6] 聯(lián)盟邊緣計算參考架構2.0(下)[J]. 自動(dòng)化博覽, 2018, 35 ( 3 ) : 58 - 61.

[7] 張佳樂(lè ), 趙彥超, 陳兵, 胡峰, 朱琨. 邊緣計算數據安全與隱私保護研究綜述[J]. 通信學(xué)報, 2018, 39 ( 3 ) : 1 - 21.

[8] Ibrahim M H. Octopus: An Edge-Fog Mutual Authentication Scheme[J]. International Journal of Network Security, 2016, 18 ( 6 ) : 1089 - 1101.

[9] Amor A B, Abid M, Meddeb A. A Privacy-Preserving Authentication Scheme in an Edge-Fog Environment[C]. Ieee/acs, International Conference on Computer Systems and Applications. IEEE Computer Society, 2017 : 1225 - 1231.

[10] KHALIL I, KHREISHAH A, AZEEM M. Consolidated identity management system for secure mobile cloud computing[J]. Computer Networks, 2014, 65 ( 2 ) : 99 -110.

[11] KHAN A N, KIAH M L M, MADANI S A, et al. Enhanced dynamic credential generation scheme for protection of user identity in mobile-cloud computing[J]. The Journal of Supercomputing, 2013, 66 ( 3 ) : 1687 - 1706.

[12] 施魏松, 劉芳. 邊緣計算：Edge Computing[M]. 北京 : 科學(xué)出版社, 2018.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》