久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

1　引言

隨著物聯(lián)網(wǎng)、5G等技術(shù)的快速發(fā)展，萬物互聯(lián)的趨勢不斷加深，物聯(lián)網(wǎng)技術(shù)和智能設(shè)備越來越多地滲透到人們的日常生活，智能電網(wǎng)、智慧城市、自動駕駛等新型業(yè)務(wù)模式不斷涌現(xiàn)，智能設(shè)備數(shù)量將呈爆炸式增長，據(jù)IDC預(yù)測，到2020年全世界將有多達500億的智能設(shè)備接入互聯(lián)網(wǎng) ^[1]，如圖1所示。隨之而來的是終端產(chǎn)生的“海量級”數(shù)據(jù)，以工業(yè)現(xiàn)場為例，單個攝像頭1080p格式視頻在4Mbps碼率下每天將產(chǎn)生330G的視頻數(shù)據(jù)。

圖1 物聯(lián)網(wǎng)設(shè)備增長趨勢

海量終端設(shè)備互聯(lián)模式對資源請求的響應(yīng)時間和安全性提出了更高的要求，云計算^[3]的“按需付費”模式使企業(yè)及最終用戶在擁有和管理數(shù)據(jù)上擺脫了許多細節(jié)的約束，如存儲資源、計算限制和網(wǎng)絡(luò)通信成本等。但是在工業(yè)現(xiàn)場等延遲敏感的應(yīng)用環(huán)境中，當數(shù)以百萬的智能設(shè)備請求服務(wù)時，當前的云計算架構(gòu)很難滿足智能設(shè)備對移動支持、位置感知和低延遲的需求。由此催生了在邊緣側(cè)數(shù)據(jù)處理的模式，即邊緣計算（Edge Computing） ^[2]，并得到了學術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。邊緣計算通過賦予邊緣側(cè)的智能設(shè)備執(zhí)行計算和數(shù)據(jù)處理能力，結(jié)合當前的云計算集中式數(shù)據(jù)處理模型，降低了云中心的計算負載，減緩了網(wǎng)絡(luò)帶寬的壓力，提高了海量設(shè)備數(shù)據(jù)的處理效率。

邊緣計算作為以網(wǎng)絡(luò)邊緣設(shè)備為核心的新型計算模式，為解決時延和網(wǎng)絡(luò)帶寬負載問題帶來極大的便利，支持將云中心任務(wù)向網(wǎng)絡(luò)邊緣側(cè)遷移，將服務(wù)帶到離邊緣更近、范圍更廣的地方。通過部署邊緣服務(wù)設(shè)備（如邊緣計算節(jié)點、私有云等），服務(wù)可以駐留在邊緣設(shè)備上，在處理海量數(shù)據(jù)的同時還可以確保高效的網(wǎng)絡(luò)運營和服務(wù)交付。但是由于這種邊緣側(cè)計算服務(wù)模式的復(fù)雜性、數(shù)據(jù)多源異構(gòu)、終端資源受限等特性，邊緣計算的安全防護面臨著新的挑戰(zhàn)^[4]，傳統(tǒng)的云環(huán)境下的信息安全問題在邊緣計算場景中尤為突出，亟待開展適用于邊緣計算的安全技術(shù)^[5]。

本文闡述了邊緣計算的產(chǎn)生、概念，以及參考架構(gòu)的特點，分析了邊緣計算范式下的身份認證和隱私保護的安全需求，總結(jié)了近年來可能適用于邊緣計算安全與隱私保護的研究成果，剖析了方案的可擴展性和適用性，并指出了邊緣計算在身份認證和隱私保護方面的未來技術(shù)發(fā)展方向。

2　邊緣計算架構(gòu)與安全挑戰(zhàn)

2.1　邊緣計算參考架構(gòu)

目前邊緣計算尚處于發(fā)展階段，還未形成嚴格、統(tǒng)一的定義和標準，不同組織對邊緣計算的定義和側(cè)重點都不相同。邊緣計算產(chǎn)業(yè)聯(lián)盟在《邊緣計算參考架構(gòu)2.0》[6]中提出：“邊緣計算是融合網(wǎng)絡(luò)、計算、存儲、應(yīng)用核心能力的開放平臺，在靠近物或數(shù)據(jù)源頭的網(wǎng)絡(luò)邊緣側(cè)，就近提供智能互聯(lián)服務(wù)，滿足行業(yè)在業(yè)務(wù)實時、業(yè)務(wù)智能、數(shù)據(jù)聚合與互操作、安全與隱私保護等方面的關(guān)鍵需求?！辈⒔o出了邊緣計算參考架構(gòu)2.0，如圖2所示。

圖2 邊緣計算參考架構(gòu)

邊緣計算參考架構(gòu)在每層提供了模型化的開放接口，實現(xiàn)了架構(gòu)的全層次開放。邊緣計算參考架構(gòu)通過縱向管理服務(wù)、數(shù)據(jù)全生命周期服務(wù)、安全服務(wù)，實現(xiàn)業(yè)務(wù)的全流程、全生命周期的智能服務(wù)。

智能服務(wù)是基于模型驅(qū)動的統(tǒng)一服務(wù)框架，通過開發(fā)服務(wù)框架和部署運營服務(wù)框架實現(xiàn)開發(fā)與部署智能協(xié)同，能夠?qū)崿F(xiàn)軟件開發(fā)接口一致和部署運營自動化。

業(yè)務(wù)Fabric通過定義端到端的業(yè)務(wù)流和工作負載，由多種類型的功能服務(wù)按照一定邏輯關(guān)系組成和協(xié)作，和OICT基礎(chǔ)設(shè)施、硬件平臺等解耦，屏蔽技術(shù)細節(jié)并支持跨技術(shù)平臺，支撐業(yè)務(wù)敏捷。

聯(lián)接計算是一個虛擬化的服務(wù)層，可以屏蔽邊緣計算節(jié)點的異構(gòu)性，降低智能分布式架構(gòu)在數(shù)據(jù)一致性、容錯處理等方面的復(fù)雜性，實現(xiàn)資源服務(wù)的發(fā)現(xiàn)、統(tǒng)一管理和編排，支持ECN節(jié)點間的數(shù)據(jù)和知識模型的共享，支持業(yè)務(wù)負載的動態(tài)調(diào)度和優(yōu)化，支持分布式的決策和策略執(zhí)行。

邊緣計算節(jié)點(ECN，Edge Computing Node)兼容多種異構(gòu)聯(lián)接、支持實時處理與響應(yīng)、提供軟硬一體化安全等，網(wǎng)絡(luò)邊緣設(shè)備不僅扮演著服務(wù)請求者的角色，而且還需要執(zhí)行部分計算任務(wù)，包括數(shù)據(jù)存儲、處理、搜索、管理和傳輸?shù)取?/p>

在邊緣計算場景中，由于終端設(shè)備數(shù)量的爆炸式增長和復(fù)雜業(yè)務(wù)的高實時性需求，傳統(tǒng)的集中式業(yè)務(wù)處理方式將會轉(zhuǎn)變?yōu)樵?邊的雙向計算模式，在這種復(fù)雜的計算范式下，多實體之間的身份識別以及實體間跨信任域驗證等問題變得更加突出。

2.2　邊緣計算身份認證和隱私保護技術(shù)挑戰(zhàn)

本文主要從身份認證和隱私保護等角度對邊緣計算的信息安全需求進行分析，在邊緣計算中，由于不同的部署選擇，邊緣計算服務(wù)提供者可以位于不同的地方，將計算服務(wù)靈活地擴展到網(wǎng)絡(luò)邊緣側(cè)，但是這種靈活性使邊緣計算的可信任情況復(fù)雜化，使其不同于其他網(wǎng)絡(luò)架構(gòu)，如圖3所示，邊緣計算網(wǎng)絡(luò)體系中涉及終端智能設(shè)備、邊緣計算設(shè)備、云中心等不同的功能實體，邊緣計算設(shè)備是介于網(wǎng)絡(luò)邊緣的終端用戶和云服務(wù)器之間的中間層。在這種開放式互聯(lián)背景下，身份認證和管理功能遍布邊緣計算參考架構(gòu)的所有功能層級，用戶的身份認證是邊緣計算的第一道防線，身份識別對確保應(yīng)用和數(shù)據(jù)的安全保密至關(guān)重要。

圖3 邊緣計算網(wǎng)絡(luò)體系

當邊緣設(shè)備需要使用邊緣計算提供的服務(wù)時，如果缺乏身份驗證服務(wù)，一個流動的邊緣計算節(jié)點/服務(wù)器可以假裝成一個合法的邊緣計算設(shè)備或邊緣計算實例，并誘使邊緣側(cè)終端設(shè)備連接到它。一旦終端設(shè)備與虛假的邊緣計算節(jié)點建立連接，敵手就可以操縱來自終端用戶或云的傳入和傳出請求，秘密地收集或篡改終端設(shè)備數(shù)據(jù)，并很容易發(fā)起進一步的攻擊，虛假邊緣計算節(jié)點或服務(wù)器的存在是對用戶數(shù)據(jù)安全和隱私的嚴重威脅。除此之外，當海量設(shè)備同時接入時，傳統(tǒng)的集中式安全認證面臨巨大的性能壓力，特別是在設(shè)備集中接入時認證系統(tǒng)往往不堪重負。最后，在這種通過不同網(wǎng)絡(luò)基礎(chǔ)設(shè)施互聯(lián)的分層體系架構(gòu)中，功能實體并非完全可信，而與用戶身份相關(guān)聯(lián)的信息都存儲在這些半可信的功能實體中，這極易引發(fā)用戶身份信息泄漏問題。因此在必要的時候，亟待開展適用于邊緣計算場景的去中心化、分布式的認證方式，在實現(xiàn)輕量級認證的同時，兼顧匿名性、群組認證等功能。

3　邊緣計算身份認證和隱私保護技術(shù)研究現(xiàn)狀

3.1　邊緣計算身份認證技術(shù)研究現(xiàn)狀

身份認證是邊緣計算安全的一個重要問題，因為邊緣計算節(jié)點/服務(wù)器向大規(guī)模終端用戶提供服務(wù)。本文將邊緣計算的主要安全問題視為不同級別的邊緣節(jié)點的認證問題。傳統(tǒng)的基于PKI的身份驗證效率不高，并且在網(wǎng)絡(luò)邊緣使用霧計算的用戶可擴展性較差。

代表性的研究文獻主要有：Maged在文獻^[8]中提出了在“云-邊-端”三層體系架構(gòu)下的邊緣網(wǎng)絡(luò)終端和邊緣服務(wù)器之間的安全相互認證方案Octopus，該方案中不需要納入傳統(tǒng)的PKI體系，只是在注冊階段，每個終端設(shè)備需保存一個云中心頒發(fā)的長期主密鑰。Octopus允許任何終端設(shè)備在已獲得云中心授權(quán)的情況下，與邊緣計算網(wǎng)絡(luò)體系中的任一邊緣服務(wù)器進行相互認證，能夠有效地抵抗重放攻擊、中間人攻擊等多種類型攻擊。該方案能夠有效實現(xiàn)在邊緣計算架構(gòu)下終端設(shè)備的安全接入認證，并且在認證過程中采用對稱加密算法，適用于邊緣側(cè)計算資源和存儲資源受限的設(shè)備，但是該方案不支持匿名認證。Amor ^[9]在該方案的基礎(chǔ)上做出了改進，利用雙線性配對算法實現(xiàn)了支持匿名認證的接入認證方案，在該方案中，認證可以在不暴露真實身份的同時，驗證對方的合法性，保證了惡意設(shè)備無法搜集終端設(shè)備的身份信息。

綜上所述，當前關(guān)于邊緣計算身份認證機制的研究尚未形成較為完善的研究體系和方法，已有的研究方案大多用于解決邊緣側(cè)設(shè)備的身份授權(quán)及單一作用域內(nèi)的身份認證問題，而在跨不同作用域認證場景下存在局限。邊緣計算身份認證技術(shù)的研究需結(jié)合其分布式、移動性等特點，在已有研究方案的基礎(chǔ)上，加強具有隱私保護性質(zhì)的認證機制、跨作用域認證等技術(shù)的研究，保障邊緣側(cè)業(yè)務(wù)在異構(gòu)網(wǎng)絡(luò)中的應(yīng)用安全。

3.2　邊緣計算身份隱私保護技術(shù)研究現(xiàn)狀

針對邊緣計算中身份信息隱私保護技術(shù)的研究，代表性的研究文獻主要有：Khalil 等 ^[10]通過引入身份管理系統(tǒng)（IDM）服務(wù)器來代替服務(wù)提供商管理終端用戶的身份信息，通過將授權(quán)、IDM 服務(wù)器和邊緣計算服務(wù)提供商分離，并添加額外的認證層，來抵御IDM非法訪問、流量攔截攻擊和設(shè)備妥協(xié)等攻擊。Khan等^[11]針對身份認證過程中存在的憑證泄漏問題，提出了一種基于動態(tài)憑證的身份隱私保護方案，即通過云分組交換機制對終端設(shè)備的身份憑證進行動態(tài)更新，以此防止憑證泄漏導(dǎo)致的攻擊問題，不僅如此，該方案還引入了第三方可信實體，通過將認證憑證操作外包給可信實體，降低了終端設(shè)備的計算開銷。

當前，針對邊緣計算^[12]身份隱私保護技術(shù)的研究僅有一些探索性成果，邊緣計算設(shè)備更貼近數(shù)據(jù)源頭，與核心網(wǎng)中的云中心相比，邊緣計算設(shè)備可以收集更多的與用戶身份相關(guān)的敏感信息，而由于終端設(shè)備的計算資源受限，難以執(zhí)行代價昂貴的隱私保護算法，在邊緣計算服務(wù)中，如何保障終端用戶的身份隱私是亟待解決的問題之一。

4　未來技術(shù)發(fā)展方向

由于將現(xiàn)有身份認證協(xié)議直接應(yīng)用于邊緣計算環(huán)境下存在一些問題，研究人員正在尋求解決的辦法。當前國內(nèi)外學者對邊緣計算中信息安全技術(shù)的研究也處于探索階段，針對身份認證協(xié)議的研究成果大多是生、參考架構(gòu)和信息安全需求，圍繞邊緣計算身份認以現(xiàn)有的安全協(xié)議為基礎(chǔ)，從靈活性、高效性、隱私證和隱私保護等關(guān)鍵技術(shù)，對適用于邊緣計算架構(gòu)的保護等方面進行改進和優(yōu)化。但是由于邊緣計算中終身份認證和隱私保護的最新研究成果進行了闡述和分端設(shè)備的地理位置分布、高移動性和高實時性等特析。隨著國內(nèi)外研究的開展，將會出現(xiàn)更適合邊緣計點，傳統(tǒng)的集中式安全認證機制不再適用于該場景。算體系的信息安全技術(shù)，需進一步深入探討和研究。

邊緣計算身份認證和隱私保護技術(shù)發(fā)展方向應(yīng)該包括以下幾點：

（（1）研究適用于邊緣計算架構(gòu)體系的關(guān)鍵技術(shù)，支持用戶和邊緣計算設(shè)備建立連接時的端到端雙向認證機制，以及邊緣計算設(shè)備對接入用戶的群組認證、跨域認證等；

（2）在邊緣計算中存在大量的分布式邊緣網(wǎng)關(guān)，不同層次的邊緣網(wǎng)關(guān)等網(wǎng)絡(luò)實體的認證，以及與云中心之間的統(tǒng)一身份管理等是一個需要考慮的安全問題；

（3）在安全功能適配特定的邊緣計算架構(gòu)的同時，還需實現(xiàn)安全功能的輕量化，使其能夠部署在各類硬件資源受限的網(wǎng)絡(luò)邊緣側(cè)終端設(shè)備中，最大限度地保障整個架構(gòu)的安全與可靠，提高海量終端設(shè)備的接入認證效率。

5　結(jié)論

未來超過50%的數(shù)據(jù)需要在邊緣側(cè)分析、處理和儲存，邊緣計算應(yīng)用廣闊。本文介紹了邊緣計算的產(chǎn)生、參考架構(gòu)和信息安全需求，圍繞邊緣計算身份認證和隱私保護等關(guān)鍵技術(shù)，對適用于邊緣計算架構(gòu)的身份認證和隱私保護的最新研究成果進行了闡述和分析。隨著國內(nèi)外研究的開展，將會出現(xiàn)更適合邊緣計算體系的信息安全技術(shù)，需進一步深入探討和研究。

★ 基金項目： 國家自然科學基金項目“ 面向工業(yè)通信行為的異常檢測及安全感知方法研究” （ 6 1 7 7 3 3 6 8 ） 、預(yù)研基金項目（6140242010116Zk63001）和國家電網(wǎng)公司科技項目“邊緣計算在智能電網(wǎng)的應(yīng)用和安全防護技術(shù)研究”（52110118001H）。

作者簡介

陳春雨（1992-），男，碩士，黑龍江哈爾濱人，現(xiàn)就職于中國科學院網(wǎng)絡(luò)化控制系統(tǒng)重點實驗室，主要研究方向為信息安全。

尚文利（1974-），男，博士、研究員，黑龍江北安人，現(xiàn)就職于中國科學院網(wǎng)絡(luò)化控制系統(tǒng)重點實驗室，現(xiàn)任全國工業(yè)過程測量控制和自動化標準化技術(shù)委員會可編程序控制器及系統(tǒng)分技術(shù)委員會（SAC/TC124/SC5）委員、工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟理事、邊緣計算產(chǎn)業(yè)聯(lián)盟安全組副組長。主要從事工業(yè)信息安全、計算智能與機器學習方向研究。

參考文獻：

[1] Cisco cloud index supplement. Cloud readiness regional details white paper[R]. 2017.

[2] 施巍松, 孫輝, 曹杰, 張權(quán), 劉偉. 邊緣計算：萬物互聯(lián)時代新型計算模型[J]. 計算機研究與發(fā)展, 2017, 54 ( 5 ) : 907 - 924.

[3] 林闖, 蘇文博, 孟坤, 劉渠, 劉衛(wèi)東. 云計算安全：架構(gòu)、機制與模型評價[J]. 計算機學報, 2013, 36 ( 9 ) : 1765 - 1784.

[4] MAO YY, YOU CS, ZHANG J, et al. A survey on mobile edge computing:the communication perspective[J]. IEEE CommunicationsSurveys & Tutorials, 2017, PP ( 99 ) : 1.

[5] LOPEZ P G, MONTRESOR A, EPEMA D, et al. Edge-centric computing:vision and challenges[J]. ACM Sigcomm Computer Communication Review, 2015, 45 ( 5 ) : 37 - 42.

[6] 聯(lián)盟邊緣計算參考架構(gòu)2.0(下)[J]. 自動化博覽, 2018, 35 ( 3 ) : 58 - 61.

[7] 張佳樂, 趙彥超, 陳兵, 胡峰, 朱琨. 邊緣計算數(shù)據(jù)安全與隱私保護研究綜述[J]. 通信學報, 2018, 39 ( 3 ) : 1 - 21.

[8] Ibrahim M H. Octopus: An Edge-Fog Mutual Authentication Scheme[J]. International Journal of Network Security, 2016, 18 ( 6 ) : 1089 - 1101.

[9] Amor A B, Abid M, Meddeb A. A Privacy-Preserving Authentication Scheme in an Edge-Fog Environment[C]. Ieee/acs, International Conference on Computer Systems and Applications. IEEE Computer Society, 2017 : 1225 - 1231.

[10] KHALIL I, KHREISHAH A, AZEEM M. Consolidated identity management system for secure mobile cloud computing[J]. Computer Networks, 2014, 65 ( 2 ) : 99 -110.

[11] KHAN A N, KIAH M L M, MADANI S A, et al. Enhanced dynamic credential generation scheme for protection of user identity in mobile-cloud computing[J]. The Journal of Supercomputing, 2013, 66 ( 3 ) : 1687 - 1706.

[12] 施魏松, 劉芳. 邊緣計算：Edge Computing[M]. 北京 : 科學出版社, 2018.

摘自《工業(yè)控制系統(tǒng)信息安全?？ǖ谖遢嫞?/span>