1.1　邊緣計算概念

邊緣計算參考架構對邊緣計算標準化的定義為在靠近物或數據源頭的網(wǎng)絡(luò )邊緣側，融合網(wǎng)絡(luò )、計算、存儲、應用核心能力的開(kāi)放平臺，就近提供邊緣智能服務(wù)，滿(mǎn)足行業(yè)數字化在敏捷聯(lián)接、實(shí)時(shí)業(yè)務(wù)、數據優(yōu)化、應用智能、安全與隱私保護等方面的關(guān)鍵需求。

邊緣計算相比較傳統云計算強化了物理世界與數字世界的融合，通過(guò)數字孿生建立物理世界與數字世界的實(shí)時(shí)映像，在資源組織管理、任務(wù)協(xié)調執行以及用戶(hù)應用交互方面都增加了地理空間維度。

物理位置要素已經(jīng)成為各個(gè)應用層面的重要的參考特性，其中邊緣計算的內涵有聯(lián)接性、數據第一入口、低延時(shí)、分布性、自組織、可定義、可調度及標準開(kāi)放。

1.1.1　聯(lián)接性

聯(lián)接性是邊緣計算網(wǎng)絡(luò )的基礎，由于聯(lián)接的物理對象及其應用場(chǎng)景的多樣性，需要邊緣計算具備豐富的聯(lián)接適配和網(wǎng)元管理功能，其中包括各種網(wǎng)絡(luò )接口、網(wǎng)絡(luò )協(xié)議、網(wǎng)絡(luò )拓撲、網(wǎng)絡(luò )部署與配置以及網(wǎng)絡(luò )管理與維護。聯(lián)接性在實(shí)現時(shí)應當充分借鑒吸收網(wǎng)絡(luò )領(lǐng)域先進(jìn)的研究成果，如TSN、SDN、NFV、5G、NAAS、WLAN和NB-IoT等。

1.1.2　數據第一入口

邊緣計算作為物理空間世界到數字空間世界的第一入口，擁有大量、實(shí)時(shí)、完整的數據，創(chuàng )新應用可基于數據全周期進(jìn)行管理與價(jià)值再造，從而實(shí)現更好的支撐預測性維護和資產(chǎn)效率管理等。同時(shí)，邊緣計算也面臨數據實(shí)時(shí)性、確定性和多樣性等諸多挑戰。

1.1.3　低延時(shí)

邊緣計算是就近提供計算、存儲和網(wǎng)絡(luò )覆蓋能力，數據的產(chǎn)生、處理、傳輸和應用都發(fā)生在距離數據源很近的范圍，因此接收并響應邊緣終端請求的時(shí)延極低。

1.1.4　分布性

邊緣計算天然具備分布式特征，因此邊緣計算能夠支持分布式計算、存儲以及資源的統一管理與動(dòng)態(tài)協(xié)調，同時(shí)具備能力對分布式智能和分布式安全等應用提供支撐。

1.1.5　自組織

當網(wǎng)絡(luò )出現異常問(wèn)題甚至網(wǎng)絡(luò )中斷時(shí)，邊緣計算的節點(diǎn)可以實(shí)現本地自治和自恢復。

1.1.6　可定義

邊緣服務(wù)及領(lǐng)域業(yè)務(wù)邏輯不是恒久不變的，而是可以由用戶(hù)根據環(huán)境和需求的變化進(jìn)行修改、更新和定制。

1.1.7　可調度

領(lǐng)域業(yè)務(wù)任務(wù)可以由云計算中心根據分布式資源的部署和狀態(tài)情況進(jìn)行動(dòng)態(tài)分發(fā)，任務(wù)具體在哪個(gè)邊緣節點(diǎn)執行可以由云計算中心和邊緣控制器分配協(xié)調。

1.1.8　標準開(kāi)放

邊緣計算平臺提供標準且開(kāi)放的環(huán)境，使邊緣計算具備與其他系統互聯(lián)、互通及互操作的能力。

1.2　安全發(fā)展現狀

邊緣計算技術(shù)及行業(yè)應用發(fā)展處于起步萌芽期，當前主要在商用及民用領(lǐng)域做試點(diǎn)應用，如安防攝像視頻、AR/VR、移動(dòng)終端、無(wú)人車(chē)、無(wú)人機、無(wú)人艇及智能機器人等。

隨著(zhù)國內邊緣計算產(chǎn)業(yè)聯(lián)盟ECC的成立，相繼發(fā)布了邊緣計算參考架構1.0、2.0和3.0，涉及應用域、數據域、網(wǎng)絡(luò )域和設備域4個(gè)功能域，已經(jīng)囊括了層次劃分及功能、技術(shù)實(shí)現及交互、應用架構模式及部署等邊緣計算的方方面面。

但是，邊緣計算當前的主要安全防護能力基本是傳統安全防護設備、軟件和安全手段的堆砌，主要防御的核心思想依然是圍繞網(wǎng)絡(luò )邊界進(jìn)行疊加式或串行式防護。

但是，防護體系不規范、防護能力和安全措施不統一，很多安全措施及安全手段不能靈活組合協(xié)同對安全威脅進(jìn)行針對性防御，使得其不能有效對邊緣計算系統實(shí)施全方位和立體化的體系安全防護，又或者以性能換安全，嚴重降低了邊緣計算系統的應用特性，使其計算體系結構的應用優(yōu)勢不在，更有甚之可能導致整個(gè)信息系統的功能和性能指標不能達到建立系統的初心，無(wú)法支撐客戶(hù)業(yè)務(wù)的正常開(kāi)展。

因此，需要結合邊緣計算自身的技術(shù)、結構特點(diǎn)以及其與云計算中心協(xié)同作業(yè)的未來(lái)應用模式，設計安全防護體系及安全機制，確保系統在發(fā)揮邊緣計算靈活、快響應、敏捷聯(lián)接、低延時(shí)、自組織以及可定義等優(yōu)勢的同時(shí)，保障底層支撐的基礎設施、核心流轉數據及應用系統服務(wù)的安全及可信。

2.1　安全脆弱性分析

邊緣計算的安全防護區域為跨越云計算中心和邊緣計算之間的縱深網(wǎng)絡(luò )空間，其中含有物理層、網(wǎng)絡(luò )層、數據層、應用層、邊緣服務(wù)器、終端設備及虛擬化資源。根據邊緣網(wǎng)絡(luò )的接入技術(shù)及應用形態(tài)的不同，分為傳統邊緣計算和移動(dòng)邊緣計算。

由于邊緣計算網(wǎng)絡(luò )是基于P2P的分布式網(wǎng)絡(luò )資源組網(wǎng)整合，需要針對應用層業(yè)務(wù)實(shí)施端到端的立體化安全防護，從而確保整個(gè)邊緣計算網(wǎng)絡(luò )空間的真正安全，徹底解決分布式網(wǎng)絡(luò )、異構計算以及新型存儲技術(shù)引出的不同形式的邊緣計算風(fēng)險和威脅。

網(wǎng)絡(luò )邊緣側由于更貼近物聯(lián)網(wǎng)連接的邊緣端設備，身份認證、訪(fǎng)問(wèn)權限控制、安全風(fēng)險與威脅防護的區域廣度和技術(shù)難度大幅提升。其中，邊緣側安全主要包括各種設備軟硬件安全、網(wǎng)絡(luò )安全、數據安全和應用安全，傳統的認證授權、邊界安全防護在邊緣計算環(huán)境下難于奏效。

此外，關(guān)鍵數據的完整性和機密性在物理空間和網(wǎng)絡(luò )空間均呈分布式的計算條件也是安全防護的難點(diǎn)。經(jīng)系統分析，邊緣計算具體安全風(fēng)險因素有終端多且異構、數據量大且格式繁多、網(wǎng)絡(luò )不穩定、存儲異構以及云、邊端防護等。

(1）終端多且異構。邊緣網(wǎng)絡(luò )的接入端點(diǎn)多，且分布在各地理空間，導致邊緣終端防護措施及防護能力不規范和不成體系，易被利用端點(diǎn)擴散的攻擊媒介攻破入網(wǎng)。

(2）數據量大且格式繁多。根據邊緣側接入數據的特點(diǎn)，惡意攻擊方可以進(jìn)行針對性的數據損毀、數據干擾或者數據竊取。

(3）網(wǎng)絡(luò )不穩定。網(wǎng)絡(luò )聯(lián)接質(zhì)量差，由于邊緣節點(diǎn)資源有限，有些安全防護措施達不到安全能力需求，網(wǎng)絡(luò )防御很難局部組合協(xié)同防御外部網(wǎng)絡(luò )威脅及APT攻擊。

(4）存儲異構。由于邊緣計算系統數據量遠遠超越傳統云計算中心系統的數據量，在邊緣側和中心側均有存儲媒介，根據數據特征屬性和重要性的不同，存儲介質(zhì)和存儲技術(shù)也各有千秋，相應的安全等級差異大。

(5）云、邊端防護。邊緣計算系統防護范圍廣，各防護區域及對象的安全防御能力存在巨大差異。大量的邊緣終端由于計算、存儲及網(wǎng)絡(luò )資源有限，難于配備有效的安全防護措施，如防病毒軟件、漏洞掃描軟件、軟硬件加固、可信及主機監控和審計系統。對于邊緣計算支撐的端到端的業(yè)務(wù)應用，計算鏈上協(xié)同作業(yè)的任何節點(diǎn)失防，將導致業(yè)務(wù)不能正常開(kāi)展，甚至破壞整個(gè)系統的正常運轉。

2.2　面臨的安全威脅

根據邊緣計算產(chǎn)業(yè)聯(lián)盟（Edge Computing Consortium，ECC）與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟（Alliance of IndustrialInternet，AII）聯(lián)合發(fā)布的邊緣計算參考架構模型，邊緣計算架構在縱向上主要劃分為應用域、數據域、網(wǎng)絡(luò )域和設備域。對于邊緣計算系統的整體安全威脅，主要來(lái)源于這幾個(gè)域的風(fēng)險和其疊加因素。每個(gè)區域的威脅和風(fēng)險都有其自身特征，任何一個(gè)層面的安全防御被突破都會(huì )導致邊緣計算系統不可預估的損失。按照防護對象的類(lèi)型，將威脅劃分為節點(diǎn)威脅、網(wǎng)絡(luò )威脅、數據威脅、應用威脅、安全管理威脅及身份認證威脅。

2.2.1　節點(diǎn)威脅

它主要有邊緣終端、邊緣服務(wù)器、邊緣網(wǎng)關(guān)和云計算中心服務(wù)器節點(diǎn)的終端安全風(fēng)險。不同節點(diǎn)終端應用特點(diǎn)和安全防護等級存在差異，需要結合木桶效應設計實(shí)現安全防御。

2.2.2　網(wǎng)絡(luò )威脅

相對于云計算中心模式，邊緣計算的網(wǎng)絡(luò )接入點(diǎn)分布廣、體系異構且安全防護脆弱，因此網(wǎng)絡(luò )層的入侵威脅急劇增加，一旦被入侵和劫持，可能導致一點(diǎn)安全失控癱瘓整個(gè)邊緣網(wǎng)絡(luò )。

2.2.3　數據威脅

數據對于系統的重要程度不言而喻。數據產(chǎn)生、傳輸、存儲、分析計算、共享以及開(kāi)發(fā)過(guò)程中都有數據泄漏風(fēng)險，對于有保密要求的網(wǎng)絡(luò )系統，數據安全防御至關(guān)重要。

2.2.4　應用威脅

人機交互和設備之間的交互通信都是建立在IP網(wǎng)絡(luò )之上，一旦網(wǎng)絡(luò )被劫持或被入侵，通過(guò)應用之間的交互信息便可竊取系統重要的信息和權限，導致不可預知的損失。

2.2.5　安全管理威脅

安全管理制度、人員操作管理以及協(xié)同作業(yè)管理存在安全威脅和風(fēng)險，需要結合具體的應用場(chǎng)景制定管理制度、規范以及監管和追責措施。

2.2.6　身份認證威脅

邊緣計算系統規模巨大，邊緣網(wǎng)絡(luò )接入及交互裝備和系統繁多，需要通過(guò)身份認證構建可信邊緣網(wǎng)絡(luò )，否則易被偽裝者以合法身份入侵，竊取重要信息或破壞整個(gè)邊緣網(wǎng)絡(luò )。

3.1　安全防護體系

傳統云計算中心體系架構分為IAAS、PAAS和SAAS，與之對應邊緣計算體系架構為ECIAAS、ECPAAS和ECSAAS。邊緣計算安全體系架構的設計需要圍繞邊緣計算應用體系架構的技術(shù)劃分層次，構建立體化、全流程、全周期、可信及智能化的邊緣防護體系。

邊緣計算在實(shí)際應用場(chǎng)景中呈現類(lèi)人腦的工作機制，云計算中心負責全局資源管理、任務(wù)協(xié)調以及安全統籌控制，霧計算作為中樞神經(jīng)充當區域計算、存儲和作業(yè)協(xié)調中心，負責局部的任務(wù)協(xié)調、資源配置以及安全管控，邊緣終端與實(shí)際用戶(hù)以及其他網(wǎng)元進(jìn)行交互，負責任務(wù)執行和信息采集及上報，依據任務(wù)特點(diǎn)聚合三方協(xié)同配合完成作業(yè)，而安全威脅則貫穿于整個(gè)作業(yè)處理的全流程節點(diǎn)及網(wǎng)絡(luò )，根據其所在的領(lǐng)域、網(wǎng)絡(luò )空間及物理空間的特點(diǎn)，設計部署安全裝備，并配置個(gè)性化的安全規則，設計實(shí)現對防御全域的縱深定制化的安全預案，囊括物理安全、資源安全、節點(diǎn)安全、網(wǎng)絡(luò )安全、數據安全、應用安全、態(tài)勢感知、安全管理編排、身份認證、權限管理、安全運維以及應急響應等。

通過(guò)引入人工智能相關(guān)技術(shù)，構建基于物理空間和網(wǎng)絡(luò )空間特征的安全防御模型及風(fēng)險應對行為執行策略，實(shí)時(shí)探測防御范圍內的安全風(fēng)險和安全情報，并評估獲取的漏洞和風(fēng)險，以達到提前或實(shí)時(shí)應對威脅處置和安全干預的目標。

安全防護也可借用邊緣計算和霧計算的高帶寬、低延遲以及位置感知特性，通過(guò)云計算中心實(shí)現全域安全資源的配置和區域防御流程的編排，利用策略控制器實(shí)現就近防御策略的任務(wù)執行，從而達到局部區域協(xié)同防御安全風(fēng)險和APT攻擊，保證邊緣計算的安全、可靠以及靈活個(gè)性的架構優(yōu)勢和能力。

邊緣計算系統安全防御體系的設計與實(shí)現，覆蓋邊緣計算應用體系的各個(gè)層級。不同層級之間有不同的屬性和安全要求，是安全體系方案差異化設計的重要參考和依據。

為了實(shí)現邊緣計算安全防護體系架構的規范和統一，總體上要求統一的態(tài)勢感知與安全情報共享、統一的安全管理與流程編排、統一的身份認證與權限管理、統一的安全運維與應急響應、統一的密碼支撐體系和機制、統一的資源管理和配置以及統一的數據安全管理，最大限度地保障整個(gè)邊緣計算網(wǎng)絡(luò )系統的安全與可靠。

(1）應用安全。應用安全主要包含白名單、惡意攻擊防范、WAF、安全檢測和響應、應用安全審計、軟件加固和補丁、安全配置管理、沙箱及訪(fǎng)問(wèn)行為監管等。其中，白名單是邊緣計算安全架構的重要功能，由于終端的海量異構接入，業(yè)務(wù)種類(lèi)繁多，傳統的IT安全授權模式不再適用，往往需要采用最小授權的安全模型管理應用及訪(fǎng)問(wèn)權限。

(2）數據安全。數據安全包含數據隔離和銷(xiāo)毀、數據防篡改、數據加密、數據脫敏、數據訪(fǎng)問(wèn)控制、數據防泄漏和數據隱私保護等。其中，數據加密包括數據在傳輸過(guò)程的加密和存儲過(guò)程的加密；邊緣計算的數據防泄漏與傳統的數據防泄漏有所不同，邊緣計算的設備往往是分布式部署，需要考慮這些設備被盜后數據被獲取也不會(huì )泄露任何信息。

(3）網(wǎng)絡(luò )安全。網(wǎng)絡(luò )安全包含網(wǎng)絡(luò )安全隔離、重用已有協(xié)議安全、IPSec、防火墻、入侵檢測和防護、DDoS防護、VPN/TLS、隱蔽通信和加密通信等。其中，DDoS防護在物聯(lián)網(wǎng)和邊緣計算中至關(guān)重要，越來(lái)越多的物聯(lián)網(wǎng)攻擊是DDoS攻擊，即攻擊者通過(guò)控制安全性較弱的物聯(lián)網(wǎng)設備來(lái)集中攻擊特定目標。

(4）節點(diǎn)安全。節點(diǎn)安全需要提供基礎的ECN安全、安全與可靠遠程升級、輕量級可信計算、軟硬件加固、安全配置、防病毒、漏洞掃描和主機監控與審計等功能。其中，安全與可靠的遠程升級能夠及時(shí)完成漏洞和補丁的修復，避免升級后系統失效；輕量級可信計算用于計算CPU和存儲資源受限的簡(jiǎn)單物聯(lián)網(wǎng)設備，解決最基本的可信問(wèn)題。

(5）資源安全。資源安全需要提供物理資源（云主機、云終端）和虛擬資源（虛擬機隔離、網(wǎng)絡(luò )、存儲、數據以及操作系統）的安全、資源訪(fǎng)問(wèn)控制以及數據庫防護。其中，物理資源和虛擬資源協(xié)同安全防護是常見(jiàn)的邊緣資源安全防御形式。

(6）物理安全。物理安全需要提供物理訪(fǎng)問(wèn)控制、智慧門(mén)禁和機房、防盜防破壞、防水防潮、溫度濕度控制、防雷防火防靜電、配電供應、電磁防護和紅黑電源隔離等功能。其中，物理安全防御需要結合具體的領(lǐng)域和安全級別要求實(shí)施安全管控。

(7）安全態(tài)勢感知和安全流程編排。網(wǎng)絡(luò )邊緣側接入的終端類(lèi)型廣泛、數量巨大以及承載的業(yè)務(wù)繁雜，被動(dòng)的安全防御往往不能起到良好的效果。因此，需要采用更加積極主動(dòng)的安全防御手段，包括基于大數據的態(tài)勢感知和高級威脅檢測、綜合安全監管和風(fēng)險評估、安全合規審計和威脅溯源、漏洞統計和殺毒庫升級以及統一的全網(wǎng)安全決策指揮，從而更加快速響應安全風(fēng)險和強化安全防護，結合完善的安全情報共享和防御流程編排，最大限度地保障邊緣計算系統的安全、可用及可信。

(8）認證權限管理和運維應急響應。身份認證和權限管理功能遍布邊緣計算所有的功能層級，由于在網(wǎng)絡(luò )邊緣側是海量設備的接入，傳統的集中式安全認證面臨巨大的性能壓力。特別在設備集中上線(xiàn)時(shí)，認證系統往往不堪重負，需要采取根據需求行為的最小授權模型，實(shí)施去中心化、分布式的認證方式。統一運維及應急響應需要實(shí)現監管、自動(dòng)化及可配置。

(9）密碼和可信管理。作為整個(gè)邊緣計算系統的安全基礎設施，需要強化對密碼相關(guān)裝備及管理系統的安全防護，通過(guò)量子密碼、安全多方計算及零知識證明應對新技術(shù)變革及量子技術(shù)引入的安全風(fēng)險。邊緣計算系統的PKI公鑰基礎設施采用區塊鏈技術(shù)實(shí)現證書(shū)、密鑰全周期及密碼機負載均衡的管理，借助于區塊鏈的分布式共識記賬技術(shù)、隱蔽通信及審計保障可信邊緣網(wǎng)絡(luò )的安全，降低單點(diǎn)故障類(lèi)安全風(fēng)險。

3.2　邊緣計算體系防護機制

邊緣計算在網(wǎng)絡(luò )空間按照傳統的安全防護體系設計，主要分為安全基礎設施、四個(gè)安全功能域和四個(gè)全域統一安全支撐。其中，安全基礎設施支撐主要是密碼及可信基礎設施的全網(wǎng)統一共建共享；應用域用來(lái)支撐攻擊防范和威脅保護；數據域用來(lái)保證數據在接入控制、傳輸、分析、存儲和共享的全周期安全流轉，其中具體包括內存加密、系統加密、硬盤(pán)加密、加密傳輸和脫敏共享等；網(wǎng)絡(luò )域用來(lái)保障網(wǎng)絡(luò )傳輸的機密性、完整性、可用性和可認證性等；設備域用來(lái)保護硬件服務(wù)器、終端及各類(lèi)組件的物理安全、電磁安全、節點(diǎn)安全及資源安全等；統一認證和授權用于確保接入邊緣網(wǎng)絡(luò )的網(wǎng)元均是可信的，且按照統一權限模型授權及操作；統一運維及響應用于保障邊緣系統安全資源統一管理、任務(wù)協(xié)商及安全應急處置；統一態(tài)勢感知用來(lái)保障邊緣計算系統全域安全態(tài)勢監管、審計、分析、評估、統計、預警、溯源、決策及共享；統一安全流程編排主要是獲取安全情報、情報分享安全規則設置、安全場(chǎng)景編排、協(xié)同防護流程編排、資源池化配置及安全服務(wù)全周期管理；對于邊緣計算支撐的基礎設施及應用系統的安全防護，要以體系化的綜合思維分析和設計安全措施及安全產(chǎn)品，在確保邊緣計算的網(wǎng)速、延遲、感知、成本、數據安全和靈活定制的優(yōu)勢基礎上，協(xié)同聯(lián)動(dòng)安全加固其所在的范圍和覆蓋的對象，強化安全防護等級，實(shí)現全域資源統一管理和分配、接入身份統一認證和最小授權、網(wǎng)絡(luò )隔離和保密統一安全管控、云計算中心和邊緣終端的虛擬化防護、安全體系密碼和可信統一支撐、安全態(tài)勢和情報統一處理和共享、數據安全統一管理和共享等。

邊緣計算體系化全域協(xié)同安全防護機制，在融合邊緣計算的網(wǎng)絡(luò )空間和物理空間特性及安全資源映射的基礎上，各安全防護措施均應增加地理空間位置維度信息。

邊緣計算網(wǎng)的安全體系設計需要結合網(wǎng)絡(luò )空間的安全資源池化、能力服務(wù)化、流程可編排化、基礎支撐統一化及物理空間安全資源有限、異構及攻防交互深度相關(guān)性等特點(diǎn)，綜合通用的網(wǎng)絡(luò )空間安全防御，從邊緣終端防護到邊緣計算服務(wù)器防護，從節點(diǎn)入網(wǎng)驗證到網(wǎng)絡(luò )層流量及協(xié)議防護，從應用層攻擊檢測、監管及審計到數據的全周期安全防護。

其中，數據作為邊緣計算網(wǎng)的核心，其安全防護實(shí)現基于數據分級分類(lèi)的接入、分析、傳輸、存儲、共享以及銷(xiāo)毀等閉環(huán)安全管控，而邊緣防護具體實(shí)現時(shí)需要結合威脅診斷、防護能力等級及安全資源的物理空間特性，打造四維空間防護加網(wǎng)絡(luò )虛擬空間防護的立體化安全體系，采取安全云中心、安全霧計算網(wǎng)關(guān)及邊緣計算服務(wù)器和邊緣終端三層級安全防御決策執行結構，根據就近原則進(jìn)行針對性的安全防御流程編排及風(fēng)險應對，從而充分利用邊緣計算網(wǎng)的優(yōu)勢賦能邊緣安全防護，實(shí)現邊緣計算網(wǎng)的安全資源合理化的使用、釋放及回收。

其中，依據地理空間位置進(jìn)行網(wǎng)絡(luò )空間安全資源管理的功能包括安全資源的管理和配置、防護流程的編排、安全防護的協(xié)同組合、運維及應急處置、身份的認證及最小授權、數據安全共享及交換和安全情報共享及態(tài)勢感知。

3.3　邊緣計算可信防護機制

在邊緣計算全域協(xié)同安全防護網(wǎng)基礎上，通過(guò)區塊鏈的特性構建邊緣安全可信網(wǎng)，其中包括區域可信、全域可信以及可信共享。應用區塊鏈的共識記賬技術(shù)達成系統安全防護的魯棒特性，防止傳統安全防護技術(shù)單點(diǎn)故障或者DDoS攻擊導致的安全防護能力破壞；利用私有區塊鏈打造邊緣計算區域安全可信網(wǎng)，借助多因素身份認證技術(shù)或零知識證明技術(shù)，確保接入邊緣網(wǎng)絡(luò )的異構邊緣終端（手機、平板、傳感器、智能終端、計算機、公交車(chē)、汽車(chē)、無(wú)人車(chē)、無(wú)人機及無(wú)人艇等）是可信的，達到對邊緣端點(diǎn)聯(lián)接入網(wǎng)的事前安全管控；利用邊緣網(wǎng)關(guān)和聯(lián)盟鏈打通云邊端的全域可信協(xié)同網(wǎng)絡(luò )，實(shí)現邊緣網(wǎng)絡(luò )的可信安全資源在整個(gè)邊緣網(wǎng)絡(luò )域內自由組合和編排，應用區塊鏈的不可篡改特性實(shí)現事中監管和事后威脅可追溯，從而保障數據的真實(shí)性和完整性，利用區塊鏈網(wǎng)絡(luò )的P2P傳輸機制和點(diǎn)對點(diǎn)加密通信機制，實(shí)現邊緣計算網(wǎng)絡(luò )中端到端的隱蔽通信及重要數據的安全保密；利用公有區塊鏈實(shí)現邊緣計算網(wǎng)與互聯(lián)網(wǎng)之間的跨域應用可信通信及數據安全共享，通過(guò)區塊鏈的智能合約及智能算法的融合，實(shí)現可以依據安全威脅場(chǎng)景進(jìn)行自主智能化安全防護及風(fēng)險應對。

3.4　邊緣計算智能化防護機制

利用邊緣智能和中心智能協(xié)同構建智能化的邊緣防護體系，智能中心即安全大腦負責邊緣網(wǎng)絡(luò )全域信息的管控統計分析、分類(lèi)管理及智能防御能力強化，利用邊緣側上報的威脅和風(fēng)險數據建立和訓練安全模型，自上向下分發(fā)已經(jīng)訓練成熟的安全模型到邊緣網(wǎng)關(guān)即安全中樞神經(jīng)，安全中樞神經(jīng)結合其負責區域的安全態(tài)勢及資源狀態(tài)適配調整安全模型，并且將適配調整后的安全模型下發(fā)邊緣節點(diǎn)即安全器官，邊緣服務(wù)器根據傳感器等端設備收集的終端數據和本地安全模型，利用智能算法評估執行安全防護手段，根據不同終端體系結構、計算、存儲、網(wǎng)絡(luò )資源特點(diǎn)以及外部威脅特征，動(dòng)態(tài)增強本地安全防護模型，從而使得邊緣端點(diǎn)安全防護能力因變而強。

利用邊緣計算分布式的特點(diǎn)構建局部及全局區域的協(xié)同防御智能體系，由點(diǎn)及面不斷加強風(fēng)險安全防護的綜合實(shí)力，實(shí)現安全防御戰力全面進(jìn)化升級。