摘要：作為萬物互聯時代新型的計算模型，邊緣計算具有的分布式、「數據第一入口」、計算和存儲資源相對有限等特性，使其除了面臨信息系統普遍存在網絡攻擊之外，還不可避免地引入了一些新的安全威脅。為此，從4個方面對邊緣計算的安全需求進行闡述，同時對其主要安全技術的設計以及實現所面臨的挑戰進行分析，較為全面地指出了邊緣計算在身份認證、訪問控制、入侵檢測、隱私保護、密鑰管理中存在的具體安全問題。

1. 萬物互聯背景下從雲到邊緣的演變

隨著單片機嵌入式系統和無線通信技術的發展，物聯網技術近年來得到了長足的發展和普及，其實際應用包括智能家居、智慧交通、無人駕駛等。近年來，除了「物」與「物」的互聯，還增加了「物」與「人」的互聯，其顯著特點是「物」端具有更強的計算能力和語境感知能力，將人和信息融入到網際網路中，該趨勢使得人類社會正在邁入萬物互聯（IoE）的時代[1]。

萬物互聯的核心在於收集來自於終端設備的海量數據，利用以大數據、機器學習、深度學習為代表的智能技術，去滿足不同行業的業務需求，如製造、交通、醫療、農業等各行各業。在此背景下，所需要連接的終端設備數量達到數十億甚至數萬億，其產生的數據呈爆炸式增長。到2020年，連接到網絡的無線設備數量將達到500億台，生成的數據量達到507.9 ZB。

目前，海量數據的存儲和處理主要依賴於集中式的雲計算模型，其特徵主要表現為數據和存儲均位於部署在偏遠地區的雲計算中心。儘管雲數據中心以堆疊硬體的方式具有較強的計算和存儲能力，但是萬物互聯背景下，網絡邊緣的終端設備產生的數據已經達到海量級別，這給雲計算模型帶來以下挑戰：

（1）線性增長的集中式雲計算能力無法匹配終端所產生數據的指數增長需求[2]；（2）海量數據傳輸到雲計算中心急劇增加了傳輸帶寬的負載量，造成較大的網絡時延，這給對時延敏感的應用場景（如無人駕駛、工業製造等）帶來了嚴峻的挑戰；（3）終端設備電能有限，數據傳輸會造成電能消耗較大。

為此，集中式的雲計算模型已經無法滿足萬物互聯下的海量數據的高效傳輸以及處理需求。

在此背景下，邊緣計算作為一種新的計算模式，架起物聯網設備和數據中心之間的橋樑，使數據在源頭附近就能得到及時有效地處理。如圖1所示的基於物-邊緣-雲的三層服務交付架構，將從數據源到雲計算中心數據路徑之間的任意計算、存儲、網絡資源，形成高度虛擬化平台的「邊緣層」為用戶提供服務，其中的每層都具有靈活性和可擴展性，可以按需增減相應數量的實體。邊緣計算出現之前，微雲計算、霧計算和移動邊緣計算等幾種方法都是利用相似的思想為雲計算提供了補充解決方案。根據2018年11月發布的《邊緣計算參考架構3.0》所述：邊緣計算模型具有分布式、「數據第一入口」、計算和存儲資源相對有限等特性。

然而，網絡邊緣側更貼近萬物互聯的終端設備。由於終端設備的開放性和異構性，以及相對有限的計算和存儲資源（與雲計算中心相比），使得訪問控制和防護的廣度和難度大幅提升[3]。此外，邊緣計算還面臨信息系統中普遍存在的網絡攻擊威脅。為此，跨越雲計算和邊緣計算之間的縱深，實施端到端的防護，全方位保障邊緣計算的安全，增強其抵抗各種安全威脅的能力，是邊緣計算促進萬物互聯進一步發展的前提和必要條件。

2. 邊緣計算安全需求

安全是指達到抵抗某種安全威脅或安全攻擊的能力，橫跨雲計算和邊緣計算，需要實施端到端的防護。萬物互聯繫統在緊密耦合網絡系統與物理世界中的關鍵性作用決定了安全屬性和隱私保護的相關需求要比在以往任何信息系統中更加重要。

2.1 邊緣計算安全的必要性

萬物互聯繫統中終端設備具有超大規模、低成本設計、資源受限、設備異構等特性。同時，開發商重視功能優於安全的事實、用戶更高的隱私要求、更難的信任管理使得保證萬物互聯繫統的安全性顯得更具挑戰性。

目前，邊緣計算面臨巨大的安全威脅。文獻[4]中，作者分析了2個利用邊緣計算應用場景的安全問題。一個是在智能製造工廠的場景下，攻擊者可以篡改通信數據包，注入偽造的壓力測量值欺騙決策器，延遲控制閥門的動作並造成設備損壞。如果沒有適當的安全防範措施，不僅生產過程可能中斷，工人的生命在很大程度上受到威脅。另一個則是移動邊緣計算中無人機操作的安全問題，可以產生模擬的全球定位系統（GPS）信號誤導無人機系統組件，使其駕駛到目標區域以達到捕獲的目的。作者用無人機實驗驗證並達到了在不產生附加損失的情況下友好地捕獲了非合作性無人機的目的。

在文獻[5]中，華盛頓大學計算機科學與工程系的科研人員對配備智能電子控制系統的典型豪華轎車進行了實驗安全分析，發現其安全保護系統具有很多設計時就存在的安全漏洞，同時並不是車上的所有組件都遵循其自己設計的安全協議，這使得實驗人員能夠輕易地侵入車輛引擎控制模塊、電子剎車控制模塊等性命攸關的重要車輛控制部件，從而遠程控制行駛車輛的油門、剎車等。

2017 年 6 月 1 日正式生效的《中華人民共和國網絡安全法》特彆強調了關鍵信息基礎設施的運行安全，而能源、交通、製造等關鍵基礎設施的工業控制環境無疑將是安全建設的重中之重。2016年中國信息通信研究院雲計算白皮書指出：

公有雲服務提供商向用戶提供大量一致化的基礎軟體（如作業系統、資料庫等資源），這些基礎軟體的漏洞將造成大範圍的安全問題與服務隱患。安全已經成為阻礙萬物互聯和雲計算髮展的最大因素。

邊緣計算是萬物互聯的延伸和雲計算的擴展，三者的有機結合將為萬物互聯時代的信息處理提供較為完美的軟硬體支撐平台，為能源、交通、製造、醫療等行業帶來飛躍式發展。而通過邊緣設備將類似雲計算的功能帶到了網絡的邊緣，可能引入新的安全挑戰，一些傳統的安全解決方法，例如基於非對稱密鑰協議和基於網際協議地址（IP）的解決方案，無法有效地應用於邊緣計算系統，進而帶來了一系列全新的安全需求。

同時，邊緣計算可以提供理想的平台來解決物聯網中的許多安全和隱私問題。在網絡邊緣處計算、連接、存儲能力的協同使用可以達到萬物互聯應用的部分安全目的。

例如，邊緣設備可以作為加密計算的代理或者在公鑰基礎設施（PKI）技術中協助認證中心（CA）管理證書的發放與撤銷，而其下面的物聯網設備和傳感器就缺乏實現這些操作的必要資源。

綜上所述，網絡邊緣高度動態異構的複雜環境也會使網絡難於保護，從而帶來新的安全挑戰。邊緣計算同時又為資源、能量受限的終端設備提供一套全新的安全解決方案。因此，研究邊緣計算場景的安全和隱私保護的相關問題是萬物互聯繫統得到進一步發展的首要前提條件。

2.2 邊緣計算安全的需求分析

邊緣計算安全需求分析如圖2所示，按照邊緣計算參考架構，主要分為物理安全、網絡安全、數據安全和應用安全4個方面的需求。

2.2.1 物理安全需求

物理安全是保護智能終端設備、設施以及其他媒體避免自然界中不可抗力（如地震、火災、龍捲風、泥石流）及人為操作失誤或錯誤所造成的設備損毀、鏈路故障等使邊緣計算服務部分或完全中斷的情況。物理安全是整個服務系統的前提，物理安全措施是萬物互聯繫統中必要且基礎的工作。

對於邊緣計算設備來說，其在對外開放的、不可控的甚至人跡罕至的地方運行，所處的環境複雜多樣，因此更容易受到自然災害的威脅。且在運行過程中，由間接或者自身原因導致的安全問題（如能源供應；冷卻除塵、設備損耗等），運行威脅雖然沒有自然災害造成的破壞徹底，但是如果缺乏良好的應對手段，仍然會導致災難性的後果，使得邊緣計算的性能下降，服務中斷和數據丟失。

2.2.2 網絡安全需求

網絡安全是指通過採用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性，以使系統連續可靠正常地運行，網絡服務不中斷。

大數據處理背景下，海量終端設備通過網絡層實現與邊緣設備的數據交互傳輸，邊緣設備可以通過接入網絡層實現更加廣泛的互聯功能。而大量設備的接入，給網絡管理帶來沉重負擔的同時，也增加了邊緣設備被攻擊的可能性。文獻[5-6]中所採用的攻擊方式大都是在無線傳輸途中採用竊聽、截獲數據包等方法進行流量分析，然後篡改或偽造數據包來達到控制目標的目的。

相較於雲計算數據中心，邊緣節點的能力有限，更容易被黑客攻擊。雖然單個被破壞的邊緣節點損害並不大，並且網絡有迅速找到附近可替代節點的調度能力；但如果黑客將攻陷的邊緣節點作為「肉雞」去攻擊其他伺服器，進而會對整個網絡造成影響。現有大多安全保護技術計算保護流程複雜，不太適合邊緣計算的場景。所以，設計適合於萬物互聯背景下邊緣計算場景中輕量級的安全保護技術是網絡安全的重大需求。

2.2.3 數據安全需求

數據信息作為一種資源，具有普遍性、共享性、增值性、可處理性和多效用性，而數據安全的基本目標就是要確保數據的 3 個安全屬性：機密性、完整性和可用性。

要對數據的全生命周期進行管理的同時實現這3個安全屬性才能保證數據安全。整個生命周期包括6個階段[7]：創建，數據的產生和採集過程；存儲，數據保存到存儲介質的過程；使用，數據被瀏覽、處理、搜索或進行其他操作的過程；共享，數據在擁有者、合作者、使用者之間交互的過程；存檔，極少使用的數據轉入長期存儲的過程；銷毀，不再使用的數據被徹底刪除和擦除的過程。

在邊緣計算中，用戶將數據外包給邊緣節點，同時也將數據的控制權移交給邊緣節點，這便引入了與雲計算相同的安全威脅。首先，很難確保數據的機密性和完整性，因為外包數據可能會丟失或被錯誤地修改。其次，未經授權的各方可能會濫用上傳的數據圖謀其他利益。雖然相對於雲來說邊緣計算已經規避了多跳路由的長距離傳輸，很大程度地降低了外包風險；但是邊緣計算設備部署的應用屬於不同的應用服務商，接入網絡屬於不同的運營商，導致邊緣計算中多安全域共存、多種格式數據並存。因此屬於邊緣計算的數據安全問題也日益突出，如在一個邊緣節點為多個用戶服務時，如何確保用戶數據的安全隔離？在如此複雜多變的環境中，一個邊緣節點癱瘓後，如何實現安全快速地遷移數據？當多個邊緣節點協同服務時，如何能夠在不泄露各自數據的情況下設計多方的協作服務？

另一個萬物互聯背景下邊緣計算的數據安全需求就是用戶隱私保護。比起雲中心隱私數據泄露的風險，邊緣計算設備位於靠近數據源的網絡邊緣側，相對於位於核心網絡中的雲計算數據中心，可以收集更多用戶高價值的的敏感信息，包括位置信息、生活習慣、社交關係甚至健康狀況等，邊緣計算是否會成為商業公司收集用戶隱私數據的平台？物聯網設備的計算資源難以執行複雜的隱私保護算法，邊緣式大數據分析中如何在數據共享時保證用戶的隱私？這些問題都將成為邊緣計算髮展的重要阻礙。

2.2.4 應用安全需求

應用安全，顧名思義就是保障應用程式使用過程和結果的安全。邊緣式大數據處理時代，通過將越來越多的應用服務從雲計算中心遷移到網絡邊緣節點，能保證應用得到較短的響應時間和較高的可靠性，同時大大節省網絡傳輸帶寬和智能終端電能的消耗。但邊緣計算不僅存在信息系統普遍存在的共性應用安全問題，如拒絕服務攻擊、越權訪問、軟體漏洞、權限濫用、身份假冒等，還由於其自身特性存在其他的應用安全的需求。在邊緣這種多安全域和接入網絡共存的場景下，為保證應用安全，該如何對用戶身份進行管理和實現資源的授權訪問則變得非常重要。身份認證、訪問控制和入侵檢測相關技術便是在邊緣計算環境下保證應用安全的重點需求。

3. 邊緣計算安全挑戰

通過對邊緣計算安全需求的討論分析可以看出：邊緣計算的特性使其在構建安全保護方案時給系統開發人員帶來了重大挑戰。

3.1 身份認證

身份認證，也稱「身份驗證」或「身份鑑別」，是驗證或確定用戶提供的訪問憑證是否有效的過程。用戶可以是個人、應用或服務，所有的用戶都應在被認證後才能訪問資源，從而確定該用戶是否具有對某種資源的訪問和使用權限，使系統的訪問策略能夠可靠、有效地執行，防止攻擊者假冒合法用戶獲得資源的訪問權限，保證系統和數據的安全，以及授權訪問者的合法利益。

在邊緣計算中，不同可信域中的邊緣伺服器、雲服務提供商和用戶分別提供和訪問實時服務，其分散化、實時服務的低延遲需求和用戶的移動性給身份認證的實現帶來了巨大的障礙，很難保證所有涉及的實體都是可信的。在訪問這些服務之前，應該對每個用戶進行身份驗證，以確保其真實性和可信性。

身份認證應具備的功能包括：一方面應能夠在分布式異構網絡環境下，使用相關的協議、規範以及技術將分散的身份信息進行集中管理，實現單點登錄，也可以方便地擴充跨身份標識域的訪問等功能；另一方面應提供友好的體驗環境，保護用戶隱私，有效地對用戶的行為進行審計。

身份認證是終端設備安全的基本要求，許多萬物互聯設備沒有足夠的內存和中央處理器（CPU）功率來執行認證協議所需的加密操作。

這些資源有限的設備可以將複雜的計算和存儲外包給可以執行認證協議的邊緣設備，與此同時也會帶來一定的問題：終端用戶和邊緣計算伺服器之間必須相互認證，這種多安全域共存的情況下安全憑證從何而來？如何在大量分布式邊緣伺服器和雲計算中心之間實現統一的身份認證和密鑰管理機制？萬物互聯中存在大量的資源受限設備，無法利用傳統的PKI體制對邊緣計算設備或服務進行認證。邊緣計算環境下終端具有很強的移動性，如何實現用戶在不同邊緣設備切換時的高效認證具有很大挑戰 [8] 。顯然，輕量級的身份認證技術是保證邊緣計算安全的前提和挑戰。

3.2 訪問控制

訪問控制是基於預定模式和策略對資源的訪問過程進行實時控制的技術，按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。訪問控制的任務是在滿足用戶最大限度享受資源共享需求的基礎上，實現對用戶訪問權限的管理，防止信息被非授權篡改和濫用，是保證系統安全、保護用戶隱私的可靠工具。在萬物互的聯背景下，需要訪問控制以確保只有受信任方才能執行給定的操作，不同用戶或終端設備具有訪問每個服務的獨特權限。

訪問控制除了負責對資源訪問控制外，還要對訪問策略的執行過程進行追蹤審計。在邊緣計算中，訪問控制變得更加艱難，主要原因在於：首先要求邊緣計算服務提供商能夠在多用戶接入環境下提供訪問控制功能；其次，訪問控制應支持用戶基本信息和策略信息的遠程提供，還應支持訪問控制信息的定期更新；最後，對於高分布式且動態異構數據的訪問控制本身就是一個重要的挑戰。

3.3 入侵檢測

入侵檢測通過包括監測、分析、響應和協同等一系列功能，能夠發現系統內未授權的網絡行為或異常現象，收集違反安全策略的行為並進行統計匯總，從而支持安全審計、進攻識別、分析和統一安全管理決策。從企業角度看，任何試圖破壞信息及信息系統完整性、機密性的網絡活動都被視為入侵行為。入侵檢測技術廣泛應用於雲系統中，以減輕內部攻擊、泛洪攻擊、埠掃描、虛擬機攻擊和hypervisor攻擊等入侵行為。

在邊緣計算中，外部和內部攻擊者可以隨時攻擊任何實體。若沒有實施適當的入侵檢測機制來發現終端設備和邊緣節點的惡意行為或協議違規，則會逐步破壞服務設施，進而影響整個網絡。但是，在萬物互聯環境下，由於設備結構、協議、服務提供商的不同，難以檢測內部和外部攻擊[9] 。

此外，如何通過資源能力受限的邊緣設備間的系統來進行全局的入侵檢測，使其能夠在大規模、廣泛地理分布和高度移動的環境中得到應用，具有十分重要的意義。

3.4 隱私保護

萬物互聯繫統的目標是通過收集海量數據為用戶提供多種個性化服務。由於終端設備資源受限，缺乏對數據加密或解密的能力，這使得它容易受到攻擊者的攻擊。

邊緣計算將計算遷移到臨近用戶的一端，直接對數據進行本地處理、決策，在一定程度上避免了數據在網絡中長距離的傳播，降低了隱私泄露的風險。然而，由於邊緣設備獲取的用戶第一手數據，能夠獲得大量的敏感隱私數據。如何能夠保證用戶在使用服務的同時又不泄露其敏感信息對邊緣計算中的隱私保護算法提出了更高的要求。

3.5 密鑰管理

密鑰管理包括從密鑰產生到密鑰銷毀的各個方面，主要表現於管理體制、管理協議和密鑰的產生、分配、更換和注入等，包含密鑰生成、密鑰分發、驗證密鑰、更新密鑰、密鑰存儲、備份密鑰、密鑰的有效期、銷毀密鑰這一系列的流程。密鑰在已授權的加密模塊中生成，高質量的密鑰對於安全是至關重要的，整個密碼系統的安全性並不取決於密碼算法的機密性，而是取決於密鑰的機密性。一旦密鑰遭受泄露、竊取、破壞，機密信息對於攻擊者來說已經失去保密性。由此可見，密鑰管理對於設計和實施密碼系統而言至關重要。

在萬物互聯環境中，由於雲服務商、邊緣服務商和用戶對密鑰管理系統與信息技術（IT）基礎設施具有不同的所有權和控制權，這使得面向邊緣計算環境的密鑰管理比傳統信息系統的密鑰管理更為複雜。

因為每個應用出於特定的安全目的管理其安全密鑰，使得跨應用密鑰管理變得尤為複雜，參與多個應用程式的用戶設備需要管理多個安全密鑰或口令，增加了密鑰泄露的風險並危及服務的安全性。顯然，在大規模、異構、動態的邊緣網絡中，保證用戶和用戶之間、用戶和邊緣設備之間、邊緣設備和邊緣設備之間、邊緣設備和雲伺服器之間的信息交互安全，給邊緣計算模式下實現高效的密鑰管理方案帶來了嚴峻的挑戰。

4 .結束語

隨著萬物互聯時代的到來，基於雲計算模型的集中式大數據處理模式已經無法滿足網絡邊緣設備所產生海量數據處理的實時性、安全性和低能耗等需求。為此，將原有雲計算中心的部分或者全部計算任務遷移到數據源的附近執行，邊緣計算在梯聯網、工業機器人、無人駕駛、智慧交通等領域扮演著越來越重要的角色。作為一種新型的去中心化架構，它將雲計算的存儲、計算和網絡資源擴展到網絡邊緣，以支持大規模的協同萬物互聯應用。

然而，由於邊緣設備更加靠近網絡邊緣側，網絡環境更加複雜，並且邊緣設備對於終端具有較高的控制權限，導致其在提高萬物網際網路中數據傳輸和處理效率的同時，不可避免地帶來一些新的安全威脅，如物理安全、網絡安全、數據安全、應用安全等。同時，邊緣計算模式也給身份認證、訪問控制、入侵檢測、隱私保護、密鑰管理等方面帶來了嚴峻的挑戰。為此，我們需要清晰地認識邊緣計算安全框架和業務流程，設計安全的邊緣計算架構，這些對於促進邊緣計算的進一步普及和發展具有十分重要的意義。

參考文獻

[1] 施巍松, 孫輝, 曹傑, 等. 邊緣計算: 萬物互聯時代新型計算模型[J]. 計算機研究與發展, 2017,54(5): 907-924.DOI:10.7544/issn1000-1239.2017.20160941[2] 施巍松, 劉芳, 孫輝, 等. 邊緣計算[M]. 北京：科學出版社. 2018[3] 邊緣計算產業聯盟, 工業網際網路產業聯盟. 邊緣計算與雲計算系統白皮書[R].2018[4] HE D J, CHANS, GUIZANI M. Security in the Internet of Things Supported by Mobile Edge Computing [J]. IEEE Communications Magazine, 2018, 56(8): 56-61.DOI:10.1109/mcom.2018.1701132[5] KOSCHER K,CZESKIS A, ROESNER F, et al.ExperimentalSecurity Analysis of a Modern Automobile[C]//2010IEEE Symposium on Security and Privacy.USA: IEEE, 2010: 447-462. DOI:10.1109/SP.2010.34[6] 雲計算白皮書[EB/OL]. [2018-12-20]. http://www.199it.com/archives/764250.html[7] 卿昱. 雲計算安全技術[M]. 北京: 國防工業出版社, 2016:53-54[8] HE D B,ZEADALLY S, WU L B, et al. Analysis of HandoverAuthentication Protocols for MobileWireless Networks Using Identity-Based Public Key Cryptography [J]. Computer Networks, 2017, 128: 154-163.DOI:10.1016/j.comnet.2016.12.013[9] PRABAVATHYS, SUNDARAKANTHAM K, SHALINIE S M. Design of Cognitive FogComputing forIntrusion Detection in Internet of Things[J]. Journal of Communications and Networks, 2018, 20(3): 291-298.DOI:10.1109/jcn.2018.000041

作者：

馬立川，西安電子科技大學網絡與信息安全學院師資博士後；主要研究方向為隱私保護、邊緣計算安全等。

裴慶祺，西安電子科技大學教授、博士生導師、綜合業務網理論與關鍵技術國家重點實驗室（ISN）成員、區塊鏈應用與評測研究中心主任，西安市移動邊緣計算及安全重點實驗室主任，陝西省區塊鏈與安全計算重點實驗室執行主任；主要研究方向為認知網絡與數據安全、區塊鏈、邊緣計算及安全等領域。

肖慧子，西安電子科技大學通信工程學院在讀博士研究生；主要研究方向為邊緣計算和物聯網中的安全與隱私問題。

本文首發於《中興通訊技術》2019年第三期。《中興通訊技術》是一本學術和技術相結合的公開刊物，現為中國科技核心期刊、中國百種重點期刊。本刊聚焦通信前沿技術，探討通信市場熱點，面向高端人群。