(文章來(lái)源:維科網(wǎng))
邊緣計(jì)算作為一種新的技術(shù)理念重新定義了企業(yè)信息系統(tǒng)中云、管、端的關(guān)系,邊緣計(jì)算不是單一的部件,也不是單一的層次,而是涉及到EC-IaaS、EC-PaaS、EC-SaaS的端到端開(kāi)放平臺(tái)。邊緣計(jì)算網(wǎng)絡(luò)架構(gòu)的變遷必然也對(duì)安全提出了與時(shí)俱進(jìn)的需求,為了支撐邊緣計(jì)算環(huán)境下的安全防護(hù)能力,邊緣安全需要滿(mǎn)足需求特征。
第一,海量特征。包括海量的邊緣節(jié)點(diǎn)設(shè)備、海量的連接、海量的數(shù)據(jù),圍繞海量特征,邊緣安全需要考慮特性與能力構(gòu)建。
高吞吐:由于邊緣網(wǎng)絡(luò)中連接的設(shè)備數(shù)量大、物理連接條件和連接方式多樣,有些具有移動(dòng)性,接入和交互頻繁,要求相關(guān)的安全服務(wù)突破接入延遲和交互次數(shù)限制,即邊緣節(jié)點(diǎn)的安全接入服務(wù)應(yīng)具有高吞吐量。可采用的解決方案包括支持輕量級(jí)加密的安全接入?yún)f(xié)議,支持無(wú)縫切換接入的動(dòng)態(tài)高效認(rèn)證方案。
可擴(kuò)展:隨著邊緣網(wǎng)絡(luò)中接入設(shè)備數(shù)量劇增,設(shè)備上運(yùn)行著多樣的應(yīng)用程序并生成大量的數(shù)據(jù),要求相關(guān)安全服務(wù)能夠突破可支持的最大接入規(guī)模限制,即邊緣節(jié)點(diǎn)的資源管理服務(wù)應(yīng)具有可擴(kuò)展性??刹捎玫慕鉀Q方案包括物理資源虛擬化、跨平臺(tái)資源整合、支持不同用戶(hù)請(qǐng)求的資源之間安全協(xié)作和互操作等。
自動(dòng)化:由于邊緣網(wǎng)絡(luò)中海量的設(shè)備上運(yùn)行著多樣化的系統(tǒng)軟件與應(yīng)用程序,安全需求也多樣化,要求相關(guān)安全服務(wù)能夠突破管理人員限制,即邊緣側(cè)的設(shè)備安全管理應(yīng)具有自動(dòng)化??刹捎玫慕鉀Q方案包括邊緣節(jié)點(diǎn)對(duì)連接的設(shè)備實(shí)現(xiàn)自動(dòng)化的安全配置、自動(dòng)化的遠(yuǎn)程軟件升級(jí)和更新、自動(dòng)化的入侵檢測(cè)等。
智能化:由于邊緣網(wǎng)絡(luò)中接入設(shè)備數(shù)量大,生成和存儲(chǔ)大量的數(shù)據(jù),可以彌補(bǔ)云中心大數(shù)據(jù)分析時(shí)延性高、周期性長(zhǎng)、網(wǎng)絡(luò)耗能?chē)?yán)重等缺陷,要求相關(guān)安全服務(wù)能夠突破數(shù)據(jù)處理能力限制,即邊緣節(jié)點(diǎn)的安全服務(wù)應(yīng)智能化??刹捎玫慕鉀Q方案包括云邊協(xié)同的安全存儲(chǔ)/ 安全多方計(jì)算、差分隱私保護(hù)等。
透明:由于邊緣設(shè)備的硬件能力和軟件類(lèi)型呈多樣化,安全需求也呈多樣化,要求相關(guān)安全服務(wù)能夠突破對(duì)復(fù)雜設(shè)備類(lèi)型管理能力的限制,即邊緣節(jié)點(diǎn)對(duì)不同設(shè)備安全機(jī)制的配置應(yīng)具有透明性??刹捎玫慕鉀Q方案包括邊緣節(jié)點(diǎn)可對(duì)不同設(shè)備安全威脅實(shí)現(xiàn)自動(dòng)識(shí)別、安全機(jī)制的自動(dòng)部署、安全策略的自動(dòng)更新等。
第二,異構(gòu)特征。包括計(jì)算的異構(gòu)性、平臺(tái)的異構(gòu)性、網(wǎng)絡(luò)的異構(gòu)性以及數(shù)據(jù)的異構(gòu)性,圍繞異構(gòu)特征,邊緣安全需要考慮相關(guān)特性與能力構(gòu)建。無(wú)縫對(duì)接:邊緣網(wǎng)絡(luò)中存在大量異構(gòu)的網(wǎng)絡(luò)連接和平臺(tái),邊緣應(yīng)用中也存在大量的異構(gòu)數(shù)據(jù),要求相關(guān)安全服務(wù)能夠突破無(wú)縫對(duì)接限制,提供統(tǒng)一的安全接口,包括網(wǎng)絡(luò)接入、
資源調(diào)用和數(shù)據(jù)訪問(wèn)接口??刹捎玫慕鉀Q方案:基于軟件定義思想實(shí)現(xiàn)硬件資源的虛擬化和管理功能的可編程,即將硬件資源抽象為虛擬資源,提供標(biāo)準(zhǔn)化接口對(duì)虛擬資源進(jìn)行統(tǒng)一安全管理和調(diào)度,實(shí)施統(tǒng)一的接入認(rèn)證和API 訪問(wèn)控制。
互操作:邊緣設(shè)備具有多樣性和異構(gòu)性,在無(wú)線(xiàn)信號(hào)、傳感器、計(jì)算能耗、存儲(chǔ)等方面具有不同的能力,通常會(huì)產(chǎn)生不可忽略的開(kāi)銷(xiāo),并產(chǎn)生實(shí)現(xiàn)/ 操作復(fù)雜性。要求相關(guān)安全服務(wù)能夠突破互操作性限制,提供設(shè)備的注冊(cè)和標(biāo)識(shí),可采用的解決方案包括設(shè)備的統(tǒng)一安全標(biāo)識(shí),資源的發(fā)現(xiàn)、注冊(cè)和安全管理等。
透明:由于邊緣設(shè)備的硬件能力和軟件類(lèi)型呈多樣化,安全需求也呈多樣化,要求相關(guān)安全服務(wù)能夠突破對(duì)復(fù)雜設(shè)備類(lèi)型管理能力的限制,即邊緣節(jié)點(diǎn)對(duì)不同設(shè)備安全機(jī)制的配置應(yīng)具有透明性??刹捎玫慕鉀Q方案包括邊緣節(jié)點(diǎn)可對(duì)不同設(shè)備安全威脅實(shí)現(xiàn)自動(dòng)識(shí)別、安全機(jī)制的自動(dòng)部署、安全策略的自動(dòng)更新等。
第三,資源約束特征。包括計(jì)算資源約束、存儲(chǔ)資源約束以及網(wǎng)絡(luò)資源約束,從而帶來(lái)安全功能和性能上的約束。圍繞資源約束特征,邊緣安全需要考慮下述特性與能力構(gòu)建。
輕量化:由于邊緣節(jié)點(diǎn)通常采用低端設(shè)備,存在計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源受限、不支持額外的硬件安全特性(如TPM、HSM、SGX enclave、硬件虛擬化等)限制,現(xiàn)有云安全防護(hù)技術(shù)并不能完全適用,需要提供輕量級(jí)的認(rèn)證協(xié)議、系統(tǒng)安全加固、數(shù)據(jù)加密和隱私保護(hù)、以及硬件安全特性軟件模擬方法等技術(shù)。
云邊協(xié)同:由于邊緣節(jié)點(diǎn)的計(jì)算和存儲(chǔ)資源受限,存在可管理的邊緣設(shè)備規(guī)模和數(shù)據(jù)規(guī)模限制,且許多終端設(shè)備具有移動(dòng)性(如車(chē)聯(lián)網(wǎng)等),脫離云中心將無(wú)法為這些設(shè)備提供全方位的安全防護(hù),需要提供云邊協(xié)同的身份認(rèn)證、數(shù)據(jù)備份和恢復(fù)、聯(lián)合機(jī)器學(xué)習(xí)隱私保護(hù)、入侵檢測(cè)等技術(shù)。
第四,分布式特征。邊緣計(jì)算更靠近用戶(hù)側(cè),天然具備分布式特征。圍繞分布式特征,邊緣安全需要考慮下述特性與能力構(gòu)建。
自治:與傳統(tǒng)云中心化管理不同,邊緣計(jì)算具有多中心、分布式特點(diǎn),因而在脫離云中心的離線(xiàn)情況下,可以損失部分安全能力,進(jìn)行安全自治,或者說(shuō)具有本地存活的能力。需要提供設(shè)備的安全識(shí)別、設(shè)備資源的安全調(diào)度與隔離、本地敏感數(shù)據(jù)的隱私保護(hù)、本地?cái)?shù)據(jù)的安全存儲(chǔ)等功能。
邊邊協(xié)同:由于邊緣計(jì)算的分布式特性,加上現(xiàn)場(chǎng)設(shè)備的移動(dòng)性(經(jīng)過(guò)多個(gè)邊緣計(jì)算節(jié)點(diǎn),甚至跨域/多邊緣中心)、以及現(xiàn)場(chǎng)環(huán)境/ 事件的變化,使得服務(wù)的需求(如智能交通)也發(fā)生變化,因此在安全方面也需要提供邊邊協(xié)同的安全策略管理。
可信硬件支持:邊緣節(jié)點(diǎn)連接的設(shè)備(如移動(dòng)終端、IoT 設(shè)備)主要是無(wú)線(xiàn)連接和具有移動(dòng)性,會(huì)出現(xiàn)頻繁的、跨邊緣節(jié)點(diǎn)的接入或退出情況,導(dǎo)致不斷變化的拓?fù)浜?a href="http://ttokpm.com/v/tag/1301/" target="_blank">通信條件,松耦合和不穩(wěn)定的架構(gòu),易受賬號(hào)劫持、不安全系統(tǒng)與組件等威脅,需要提供輕量級(jí)可信硬件支持的強(qiáng)身份認(rèn)證、完整性驗(yàn)證與恢復(fù)等。
自適應(yīng):邊緣節(jié)點(diǎn)動(dòng)態(tài)地?zé)o線(xiàn)連接大量、不同類(lèi)型的設(shè)備,每個(gè)設(shè)備上嵌入或安裝了不同的系統(tǒng)、組件和應(yīng)用程序,它們具有不同的生命周期和服務(wù)質(zhì)量(QoS)要求,使得對(duì)邊緣節(jié)點(diǎn)資源的需求和安全的需求也發(fā)生動(dòng)態(tài)變化。需要提供靈活的安全資源調(diào)度、多策略的訪問(wèn)控制、多條件加密的身份認(rèn)證方案等。
第五,實(shí)時(shí)性特征。邊緣計(jì)算更靠近用戶(hù)側(cè),能夠更好的滿(mǎn)足實(shí)時(shí)性應(yīng)用和服務(wù)的需求。圍繞實(shí)時(shí)性特征,邊緣安全需要考慮下述特性與能力構(gòu)建。
低延遲:邊緣計(jì)算能夠降低服務(wù)延遲,但是許多邊緣計(jì)算場(chǎng)景(如工業(yè)、物聯(lián)網(wǎng)等)僅能提供時(shí)間敏感服務(wù),專(zhuān)有的網(wǎng)絡(luò)協(xié)議或規(guī)約在設(shè)計(jì)時(shí)通常只強(qiáng)調(diào)通信的實(shí)時(shí)性及可用性,對(duì)安全性普遍考慮不足,安全機(jī)制的增加必將對(duì)工業(yè)實(shí)時(shí)性造成影響。需要提供輕量級(jí)、低延遲的安全通信協(xié)議。
容錯(cuò):邊緣節(jié)點(diǎn)可以收集、存儲(chǔ)與其連接現(xiàn)場(chǎng)設(shè)備的數(shù)據(jù),但是缺乏數(shù)據(jù)備份機(jī)制,數(shù)據(jù)的不可用將直接影響服務(wù)的實(shí)時(shí)性。需要提供輕量級(jí)、低時(shí)延的數(shù)據(jù)完整性驗(yàn)證和恢復(fù)機(jī)制,以及高效的冗余備份機(jī)制,確保設(shè)備故障或數(shù)據(jù)損壞、丟失時(shí),能夠在限定的時(shí)間內(nèi)快速恢復(fù)受影響/ 被損毀數(shù)據(jù)的可用性。
彈性:邊緣計(jì)算節(jié)點(diǎn)和現(xiàn)場(chǎng)設(shè)備均容易受到各種攻擊,需要經(jīng)常對(duì)系統(tǒng)、組件和應(yīng)用程序進(jìn)行升級(jí)和維護(hù),但這將直接影響服務(wù)的實(shí)時(shí)性。需要提供支持業(yè)務(wù)連續(xù)性的軟件在線(xiàn)升級(jí)和維護(hù)、系統(tǒng)受到攻擊或破壞后的動(dòng)態(tài)可信恢復(fù)機(jī)制。
(責(zé)任編輯:fqj)
-
互聯(lián)網(wǎng)
+關(guān)注
關(guān)注
54文章
11016瀏覽量
102104 -
邊緣計(jì)算
+關(guān)注
關(guān)注
22文章
2987瀏覽量
47852
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論