★余濤，魏旻，華自信重慶郵電大學(xué)

1 引言

近年來(lái)，工業(yè)互聯(lián)網(wǎng)平臺和云計算等技術(shù)被引入到工業(yè)網(wǎng)絡(luò )中，可以對工業(yè)現場(chǎng)設備的海量數據進(jìn)行處理，并能為工業(yè)應用提供計算服務(wù)^[1~2]。但是云計算無(wú)法充分滿(mǎn)足工業(yè)應用中低延遲、位置感知和支持移動(dòng)性等需求^[3]。因此，在工業(yè)網(wǎng)絡(luò )中引入邊緣計算（Edge Computing）技術(shù)，可以提供高效實(shí)時(shí)的計算和存儲等服務(wù)^[4]，解決了云服務(wù)器網(wǎng)絡(luò )帶寬負擔大、計算響應延遲高的問(wèn)題。但是，邊緣計算的引入使得工業(yè)網(wǎng)絡(luò )在邊緣側更易遭受攻擊^[5~6]。惡意的或被俘獲的邊緣節點(diǎn)接入工業(yè)網(wǎng)絡(luò )，會(huì )造成工業(yè)生產(chǎn)的巨大損失^[7]。因此，在滿(mǎn)足工業(yè)網(wǎng)絡(luò )中邊緣側計算能力和實(shí)時(shí)響應要求的同時(shí)，確保邊緣節點(diǎn)的安全接入是邊緣計算安全必須要解決的問(wèn)題^[8]。

本文針對工控系統環(huán)境下邊緣計算節點(diǎn)的身份認證機制，分析了工業(yè)邊緣計算安全面臨的威脅和工業(yè)邊緣計算網(wǎng)絡(luò )中身份認證的安全目標，設計了基于聯(lián)盟鏈的工業(yè)邊緣計算節點(diǎn)身份認證機制。該機制將邊緣計算節點(diǎn)的身份信息摘要作為交易寫(xiě)入聯(lián)盟鏈賬本，將交易與分布式存儲系統關(guān)聯(lián)，并搭建了測試平臺。測試結果表明，本文提出的方法適用于存儲資源相對富裕的工業(yè)邊緣計算場(chǎng)景，能夠抵御消息篡改、重放、身份偽造等常見(jiàn)網(wǎng)絡(luò )攻擊，提高了身份認證的可靠性。

2　工業(yè)邊緣計算安全面臨的威脅

邊緣計算被引入工業(yè)網(wǎng)絡(luò )后，由于邊緣計算節點(diǎn)部署在缺少保護和監視的惡劣環(huán)境中，惡意攻擊者可以通過(guò)邊緣層對網(wǎng)絡(luò )發(fā)起攻擊，這些攻擊主要分為5大類(lèi)，包括消息篡改攻擊、網(wǎng)絡(luò )中斷攻擊、偽裝攻擊、物理攻擊和區塊鏈攻擊。工業(yè)邊緣計算環(huán)境主要威脅如圖1所示。

圖1 工業(yè)邊緣計算環(huán)境主要威脅

消息篡改攻擊是攻擊者通過(guò)操縱合法邊緣節點(diǎn)的消息發(fā)起攻擊，主要包括重放攻擊、嗅探攻擊、消息推理和共謀攻擊^[9]等；網(wǎng)絡(luò )中斷攻擊是攻擊者通過(guò)偽造網(wǎng)絡(luò )資源的機制，以中斷邊緣節點(diǎn)對網(wǎng)絡(luò )資源的訪(fǎng)問(wèn)，主要攻擊包括DoS攻擊、干擾攻擊、虛擬消息攻擊和女巫攻擊等；偽裝攻擊是攻擊者通過(guò)操縱邊緣計算節點(diǎn)對網(wǎng)絡(luò )進(jìn)行滲透，主要包括身份冒用、中間人攻擊[^10]、ARP欺詐等；物理攻擊是通過(guò)竊取網(wǎng)絡(luò )的物理設備，注入惡意數據、代碼或程序，對邊緣節點(diǎn)或網(wǎng)絡(luò )發(fā)起攻擊，主要包括側信道攻擊、欺詐攻擊、密鑰竊取和零日攻擊^[11]等。此外，在此架構下區塊鏈也會(huì )受到威脅，區塊鏈攻擊包括活躍性攻擊（LivenessAttack）^[12]、交易隱私泄露、交易推理和雙倍開(kāi)銷(xiāo)攻擊^[13]等。本文提出的身份認證機制針對邊緣網(wǎng)絡(luò )可能受到的消息篡改攻擊和偽裝攻擊展開(kāi)研究。

3　工業(yè)邊緣計算身份認證安全目標

在工業(yè)邊緣計算身份認證過(guò)程中，工業(yè)邊緣計算節點(diǎn)具有異構、分布式、實(shí)時(shí)性和資源有限的特征。因此，不同于傳統互聯(lián)網(wǎng)的安全需求，針對工業(yè)邊緣計算節點(diǎn)的特征，工業(yè)邊緣計算網(wǎng)絡(luò )中身份認證機制需滿(mǎn)足以下安全目標：

（1）分布式：分布式的身份認證服務(wù)可以降低單個(gè)身份認證服務(wù)的壓力，避免因身份認證服務(wù)器導致網(wǎng)絡(luò )的癱瘓；

（2）動(dòng)態(tài)性：工業(yè)現場(chǎng)的各種設備以及網(wǎng)絡(luò )攻擊行為都是處于動(dòng)態(tài)的，應結合工業(yè)邊緣計算節點(diǎn)的風(fēng)險等級進(jìn)行身份認證；

（3）可追溯性：工業(yè)邊緣計算節點(diǎn)的行為、數據等都應可追溯，便于身份認證系統使用這些行為數據防范惡意節點(diǎn)的攻擊；

（4）實(shí)時(shí)性：工業(yè)邊緣計算節點(diǎn)要為現場(chǎng)設備提供更加實(shí)時(shí)的計算、存儲等服務(wù)，引入的安全系統應避免占用過(guò)多的網(wǎng)絡(luò )資源；

（5）異構性：工業(yè)邊緣計算節點(diǎn)的網(wǎng)絡(luò )資源是異構的，存在許多資源受約束的工業(yè)邊緣計算節點(diǎn)，身份認證系統應當輕量級、低開(kāi)銷(xiāo)。

4　基于聯(lián)盟鏈的邊緣計算節點(diǎn)身份認證架構

在傳統的邊緣計算參考架構中，PKI體制難以在邊緣層實(shí)現統一的密鑰管理和身份認證。因此，本文設計了基于聯(lián)盟鏈的邊緣計算節點(diǎn)身份認證架構，如圖2所示。該架構共分為3層：工業(yè)云平臺層、邊緣層和現場(chǎng)設備層。

圖2 基于聯(lián)盟鏈的邊緣計算節點(diǎn)身份認證架構

工業(yè)云平臺層包含工業(yè)云服務(wù)器（ICS，Industrial Cloud Server），工業(yè)云服務(wù)器在工業(yè)網(wǎng)絡(luò )中為工業(yè)現場(chǎng)設備和邊緣計算節點(diǎn)提供存儲、密集型計算、應用等服務(wù)。工業(yè)云服務(wù)器加入所有的邊緣層群組，從群組內的工業(yè)邊緣服務(wù)器獲取身份認證賬本數據，對所有的賬本群組的賬本數據進(jìn)行存儲。

邊緣層是架構的邊緣側，包括工業(yè)邊緣服務(wù)器（IES，Industrial Edge Server）、邊緣控制器、工業(yè)邊緣網(wǎng)關(guān)等邊緣計算節點(diǎn)。

工業(yè)邊緣服務(wù)器為工業(yè)現場(chǎng)設備、邊緣控制、工業(yè)邊緣網(wǎng)關(guān)等提供實(shí)時(shí)的數據分析處理、數據存儲等服務(wù)。工業(yè)邊緣服務(wù)器組成聯(lián)盟鏈網(wǎng)絡(luò )，在邊緣層的聯(lián)盟鏈網(wǎng)絡(luò )中作為共識節點(diǎn)（Sealer）。根據信譽(yù)值將共識節點(diǎn)分為主節點(diǎn)（Leader）和副本節點(diǎn)(Replica)。

（1）群組（Group）：鄰近的工業(yè)邊緣服務(wù)器與工業(yè)云平臺共同組成一個(gè)群組，群組內維護一個(gè)賬本。

（2）主節點(diǎn)：主節點(diǎn)負責將身份信息交易打包成區塊和區塊的共識。每輪共識過(guò)程中每個(gè)群組中擁有一個(gè)主節點(diǎn)。

（3）副本節點(diǎn)：副本節點(diǎn)負責區塊的共識和賬本的背書(shū)，每個(gè)群組中有多個(gè)副本節點(diǎn)。

（4）機構（Agency）：根據工業(yè)邊緣服務(wù)器提供的不同服務(wù)類(lèi)型，可將工業(yè)邊緣服務(wù)器劃分為多個(gè)機構，也可以所有工業(yè)邊緣服務(wù)器屬于同一機構。本文所指一個(gè)聯(lián)盟鏈網(wǎng)絡(luò )屬于一個(gè)機構，且工業(yè)云服務(wù)器屬于一個(gè)特定的機構，與其他聯(lián)盟鏈的機構分別組成群組關(guān)系。

（5）分布式存儲系統：在工業(yè)邊緣服務(wù)器間搭建的分布式存儲系統，用于賬本外存儲節點(diǎn)的詳細身份信息。

（6）工業(yè)邊緣網(wǎng)關(guān)（IEG，Industrial Edge Gateway）：負責工業(yè)現場(chǎng)設備的工業(yè)通信協(xié)議和以太網(wǎng)之間的協(xié)議轉換等。

（7）邊緣控制器（EC，Edge Controller）：工業(yè)邊緣服務(wù)器負責I/O控制、工控數據上報等。

現場(chǎng)設備層主要是大量的工業(yè)現場(chǎng)設備（IFD，Industrial Field Device），它通過(guò)邊緣網(wǎng)關(guān)接入邊緣層，執行工業(yè)生產(chǎn)任務(wù)、定期匯報數據等。

5　基于聯(lián)盟鏈的邊緣計算節點(diǎn)身份認證機制

基于聯(lián)盟鏈的邊緣計算節點(diǎn)身份認證機制運行在工業(yè)邊緣服務(wù)器中，主要有工業(yè)邊緣服務(wù)器進(jìn)行數據采集和處理、工業(yè)邊緣服務(wù)器對節點(diǎn)風(fēng)險評估和工業(yè)邊緣計算節點(diǎn)進(jìn)行身份認證三大過(guò)程。其中工業(yè)邊緣計算節點(diǎn)進(jìn)行身份認證包括系統初始化、邊緣計算節點(diǎn)身份注冊、邊緣計算節點(diǎn)身份認證、邊緣計算節點(diǎn)身份更新等過(guò)程，具體流程如下：

步驟一：工業(yè)邊緣服務(wù)器進(jìn)行數據采集和處理。在進(jìn)行身份認證之前，工業(yè)邊緣服務(wù)器會(huì )將與其通信的邊緣計算節點(diǎn)的行為特征數據進(jìn)行統計分析，并將行為特征數據進(jìn)行標準化處理存儲至分布式存儲系統中。

步驟二：工業(yè)邊緣服務(wù)器對節點(diǎn)風(fēng)險評估。工業(yè)邊緣服務(wù)器利用步驟一中的數據集對節點(diǎn)風(fēng)險評估模型進(jìn)行訓練。訓練過(guò)后采用SGD分類(lèi)器模型將節點(diǎn)分為低風(fēng)險、中風(fēng)險和高風(fēng)險。

步驟三：工業(yè)邊緣計算節點(diǎn)進(jìn)行身份認證。本文中身份認證機制主要有以下步驟：

（1）系統初始化：工業(yè)邊緣服務(wù)器在工業(yè)邊緣計算節點(diǎn)安裝聯(lián)盟鏈客戶(hù)端，并采用ECC算法獲得唯一的會(huì )話(huà)密鑰對，并向邊緣控制器和工業(yè)邊緣網(wǎng)關(guān)的節點(diǎn)下發(fā)唯一標識NodeID和公私密鑰對；

（2）邊緣計算節點(diǎn)身份注冊：邊緣控制器和工業(yè)邊緣網(wǎng)關(guān)將身份注冊請求發(fā)送至接入目標工業(yè)邊緣服務(wù)器，工業(yè)邊緣服務(wù)器作為共識節點(diǎn)調用身份注冊智能合約將身份注冊交易放入交易池，主節點(diǎn)從交易池中取出交易打包成區塊并發(fā)起共識，最終生成包含身份注冊交易的區塊。預編譯的身份注冊的智能合約RegSC由部署在工業(yè)云服務(wù)器的聯(lián)盟鏈控制臺進(jìn)行部署。部署完成后，工業(yè)邊緣服務(wù)器會(huì )獲得身份注冊智能合約地址RegSCAddr；

（3）邊緣計算節點(diǎn)身份認證：由聯(lián)盟鏈控制臺對身份認證智能合約AuthenSC進(jìn)行部署。在身份認證過(guò)程中工業(yè)邊緣服務(wù)器結合風(fēng)險評估結果調用AuthenSC進(jìn)行邊緣計算節點(diǎn)之間的身份認證；

（4）邊緣計算節點(diǎn)身份更新：聯(lián)盟鏈控制臺部署身份更新的智能合約UpdateSC。工業(yè)邊緣服務(wù)器就可以調用UpdateSC并將新的身份信息交易發(fā)起共識，同時(shí)共識節點(diǎn)會(huì )將邊緣計算節點(diǎn)在共識過(guò)程中的行為信息記錄下來(lái)進(jìn)行共識節點(diǎn)的信譽(yù)值評分，根據信譽(yù)值排名選取新的共識節點(diǎn)，完成邊緣節點(diǎn)的身份更新。

6　性能測試與分析

對本文提出的身份認證機制的開(kāi)銷(xiāo)進(jìn)行測試和分析，主要包括身份認證機制的時(shí)間、共識確認時(shí)間，以及該身份認證機制在工業(yè)邊緣網(wǎng)絡(luò )中的適用性。測試條件為4個(gè)邊緣服務(wù)器IES作為共識節點(diǎn)，其硬件設備為樹(shù)莓派4B，聯(lián)盟鏈控制臺的硬件為Intel（R） Core（TM） i5 10210U CPU@1.60GHz，邊緣計算節點(diǎn)的數量共計7個(gè)。該測試平臺如圖3所示。

圖3 基于聯(lián)盟鏈的邊緣計算節點(diǎn)身份認證測試平臺

（1）時(shí)間開(kāi)銷(xiāo)測試與分析

對本文提出的身份認證機制進(jìn)行時(shí)間開(kāi)銷(xiāo)測試，測試結果如圖4所示。場(chǎng)景1為普通邊緣計算節點(diǎn)間相互身份認證過(guò)程，平均認證時(shí)間開(kāi)銷(xiāo)為720ms；場(chǎng)景2為共識邊緣計算節點(diǎn)與普通邊緣計算節點(diǎn)相互認證過(guò)程，平均認證時(shí)間開(kāi)銷(xiāo)為594ms。場(chǎng)景1的平均認證時(shí)間大于場(chǎng)景2的原因是智能合約需要讀取更多的身份信息賬本和分布式存儲系統中的數據。在實(shí)際的工業(yè)場(chǎng)景中，隨著(zhù)邊緣群組中共識節點(diǎn)的數量增加，身份認證的時(shí)間開(kāi)銷(xiāo)可能會(huì )進(jìn)一步增加。

圖4 身份認證時(shí)間測試

（2）共識確認時(shí)間測試與分析

本方案與PBFT算法^[14]進(jìn)行共識確認時(shí)間對比，搭建了有5個(gè)共識節點(diǎn)的工業(yè)邊緣計算網(wǎng)絡(luò )，共識時(shí)間測試結果如圖5所示。由于本方案中有根據邊緣計算節點(diǎn)信譽(yù)值的排名更換共識節點(diǎn)的過(guò)程，可以降低共識節點(diǎn)被挾持的可能且共識節點(diǎn)的數量并不是所有節點(diǎn)數量，因此本方案的共識確認時(shí)間相較于經(jīng)典的PBFT有明顯的減小，適用于對時(shí)間敏感的工業(yè)邊緣計算網(wǎng)絡(luò )。

圖5共識確認時(shí)間對比結果

7 總結

邊緣計算是實(shí)現工業(yè)網(wǎng)絡(luò )智能化的重要基礎設施，而保障邊緣計算網(wǎng)絡(luò )安全是其在工業(yè)場(chǎng)景中部署實(shí)施的前提，本文在此背景下研究了一種基于聯(lián)盟鏈的工業(yè)邊緣計算節點(diǎn)身份認證機制。該機制作為工業(yè)邊緣計算安全體系的一部分，實(shí)現了對工業(yè)現場(chǎng)中邊緣計算節點(diǎn)的風(fēng)險評估和身份鑒別，并通過(guò)對邊緣計算節點(diǎn)信譽(yù)值評估的方式選取高分節點(diǎn)作為共識節點(diǎn)參與共識，提高了身份認證安全性的同時(shí)降低了邊緣節點(diǎn)存儲和計算開(kāi)銷(xiāo)。

作者簡(jiǎn)介

余　濤（1996-），女，重慶墊江人，碩士研究生，現就讀于重慶郵電大學(xué)自動(dòng)化學(xué)院/工業(yè)互聯(lián)網(wǎng)學(xué)院，主要從事工業(yè)網(wǎng)絡(luò )安全、區塊鏈方面的研究。

魏　旻（1982-），男，貴州貴陽(yáng)人，教授，博導，現任重慶郵電大學(xué)自動(dòng)化學(xué)院/工業(yè)互聯(lián)網(wǎng)學(xué)院院長(cháng)，主要從事工業(yè)互聯(lián)網(wǎng)、智能制造、工業(yè)網(wǎng)絡(luò )安全、區塊鏈方面的研究。

華自信（2001-），女，四川達州人，碩士研究生，現就讀于重慶郵電大學(xué)自動(dòng)化學(xué)院/工業(yè)互聯(lián)網(wǎng)學(xué)院，主要從事工業(yè)互聯(lián)網(wǎng)安全、區塊鏈方面的研究。

參考文獻：

[1] Guangming C., Qiang H., Bo L., et al. Efficient Verification of Edge Data Integrity in Edge Computing Environment[J]. IEEE Transactions on Services Computing, 2022 : 3233 - 3244.

[2] Baghiani R., Guezouli L., Korichi A., et al. Scalable Mobile Computing: From Cloud Computing to Mobile Edge Computing[C]. Bandung, Indonesia: 2022 5th International Conference on Networking, Information Systems and Security: Envisage Intelligent Systems in 5g//6G-based Interconnected Digital Worlds (NISS), 2022 : 1 - 6.

[3] Zou J. L., He D. B., Zeadally S., et al. Integrated Blockchain and Cloud Computing Systems: A Systematic Survey, Solutions, and Challenges[J]. ACM Computing Surveys, 2021, 54 (8) : 1 - 36.

[4] Raeisi V. M., Dakkak O., Habbal A., et al. Resource Scheduling in Edge Computing: Architecture, Taxonomy, Open Issues and Future Research Directions[J]. IEEE Access, 2023 : 25329 - 25350.

[5] Uddin R., Kumar S. P. Chamola V. Denial of service attacks in edge computing layers: Taxonomy, vulnerabilities, threats and solutions[J]. Ad Hoc Networks, 2023, 152 : 103322.

[6] Singh J., Bello Y., Hussein A., et al. Hierarchical Security Paradigm for IoT Multiaccess Edge Computing[J]. IEEE Internet of Things Journal, 2021, 8 (7) : 5794 - 5805.

[7] Li Q., Long H., Xu, Z., et al. A threat recognition solution of edge data security in industrial internet[J]. World Wide Web, 2022, 25 (5) : 2109–2138.

[8] Xu X., Zeng Z., Yang S., et al. A Novel Blockchain Framework for Industrial IoT Edge Computing[J]. Sensors, 2020, 20 (7) : 2061 - 2077.

[9] 付曉東, 漆鑫鑫, 劉驪, 等. 基于權力指數的DPoS共謀攻擊檢測與預防[J]. 通信學(xué)報, 2022, 43 (12) : 123 - 133.

[10] Wang Z. A privacy-preserving and accountable authentication protocol for IoT end-devices with weaker identity[J]. Future Generation Computer Systems, 2018, 82 : 342 - 348.

[11] 代興宇, 廖飛, 陳捷. 邊緣計算安全防護體系研究[J]. 通信技術(shù), 2020, 53 (1) : 201 - 209.

[12] Gupta R., Reebadiya D., Tanwar S., et al. When blockchain meets edge intelligence: trusted and security solutions for consumers[J]. IEEE Network, 2021, 35(5): 272 - 278.

[13] Karame O. G., Androulaki E., Roeschlin M., et al. Misbehavior in bitcoin: a study of double-spending and accountability[J]. ACM Transactions on Information and System Security, 2015, 18 (1) : 1 - 32.

[14] Ma Z., Meng J., Wang J., et al. Blockchain-based decentralized authentication modeling scheme in edge and IoT environment[J]. IEEE Internet of Things Journal, 2021, 8 (4) : 2016 - 2023.

摘自《自動(dòng)化博覽》2024年1月刊