日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

尚文利，趙劍明，劉賢達(dá)，尹隆，曾鵬 中國(guó)科學(xué)院沈陽(yáng)自動(dòng)化研究所，中國(guó)科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室

1　引言

物聯(lián)網(wǎng)應(yīng)用需求的發(fā)展催生了邊緣式大數(shù)據(jù)處理模式，即邊緣計(jì)算模型，網(wǎng)絡(luò)邊緣設(shè)備具備了執(zhí)行任務(wù)計(jì)算和數(shù)據(jù)分析的處理能力，將原有云計(jì)算模型的計(jì)算任務(wù)部分遷移到網(wǎng)絡(luò)邊緣設(shè)備上，以降低云計(jì)算中心的計(jì)算負(fù)載，減緩網(wǎng)絡(luò)帶寬的壓力，提高海量設(shè)備數(shù)據(jù)的處理效率。

為應(yīng)對(duì)物聯(lián)網(wǎng)的快速發(fā)展需求，國(guó)際上處在行業(yè)前沿的企業(yè)、科研院所、大學(xué)等機(jī)構(gòu)紛紛成立聯(lián)盟組織，包括工業(yè)互聯(lián)網(wǎng)聯(lián)盟、開(kāi)放霧聯(lián)盟、邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟等，從標(biāo)準(zhǔn)、規(guī)范、技術(shù)等方面引導(dǎo)云計(jì)算、邊緣計(jì)算的發(fā)展。

2014年3月，美國(guó)成立工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC,Industrial Internet Consortium)，由通用電氣（GE）聯(lián)合ATT、思科、IBM和英特爾發(fā)起。IIC定位為產(chǎn)業(yè)推廣組織，致力于構(gòu)建涵蓋工業(yè)界、ICT界和其它相關(guān)方的產(chǎn)業(yè)生態(tài)，推動(dòng)傳感、連接、大數(shù)據(jù)分析等在工業(yè)領(lǐng)域的深度應(yīng)用。2015年11月19日，ARM、思科、戴爾、英特爾、微軟和普林斯頓大學(xué)Edge Laboratory等物聯(lián)網(wǎng)領(lǐng)導(dǎo)者成立了開(kāi)放霧聯(lián)盟（OFC，OpenFog Consortium）。2016年11月30日，邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟（ECC，Edge Computing Consortium）在北京成立。該聯(lián)盟由華為技術(shù)有限公司、中國(guó)科學(xué)院沈陽(yáng)自動(dòng)化研究所、中國(guó)信息通信研究院、英特爾公司、ARM和軟通動(dòng)力信息技術(shù)有限公司創(chuàng)始成立，首批成員單位共62家，涵蓋科研院校、工業(yè)制造、能源電力等不同領(lǐng)域。

本文介紹了云計(jì)算、霧計(jì)算和邊緣計(jì)算的定義，分析了OFC安全參考架構(gòu)、IIC安全參考架構(gòu)，以及ECC參考架構(gòu)，最后，分析了邊緣計(jì)算的信息安全需求，指出了邊緣計(jì)算信息安全的關(guān)鍵技術(shù)創(chuàng)新點(diǎn)。

2　云計(jì)算、霧計(jì)算和邊緣計(jì)算

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）給出了云計(jì)算的定義為“云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問(wèn)，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用軟件、服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互?！?/p>

OFC給出霧計(jì)算的定義為：“霧計(jì)算是一種靠近云物連接用戶側(cè)的，具有分布式計(jì)算、存儲(chǔ)、控制和網(wǎng)絡(luò)功能的水平系統(tǒng)級(jí)架構(gòu)。”

IIC給出的邊緣計(jì)算的定義為：“邊緣計(jì)算是在靠近物或數(shù)據(jù)源頭的網(wǎng)絡(luò)邊緣側(cè)，融合網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)、應(yīng)用核心能力的開(kāi)放平臺(tái)，就近提供邊緣智能服務(wù)，滿足行業(yè)數(shù)字化在敏捷聯(lián)接、實(shí)時(shí)業(yè)務(wù)、數(shù)據(jù)優(yōu)化、應(yīng)用智能、安全與隱私保護(hù)等方面的關(guān)鍵需求?！?/p>

云計(jì)算是通過(guò)使計(jì)算分布在大量的分布式計(jì)算機(jī)上，而非本地計(jì)算機(jī)或遠(yuǎn)程服務(wù)器中，企業(yè)私有云一般擁有數(shù)百上千臺(tái)服務(wù)器。邊緣計(jì)算則是將智能、處理能力和通信能力都放在了邊緣網(wǎng)關(guān)或者應(yīng)用設(shè)備中，處理數(shù)據(jù)是在節(jié)點(diǎn)或者工業(yè)物聯(lián)網(wǎng)網(wǎng)關(guān)進(jìn)行的。業(yè)界觀點(diǎn)認(rèn)為霧計(jì)算是一種過(guò)渡形式，隨著物聯(lián)網(wǎng)的快速發(fā)展，將形成邊緣計(jì)算與云計(jì)算的扁平化網(wǎng)絡(luò)通信模式。

3　OFC安全參考架構(gòu)

2017年2月9日，美國(guó)加州弗里蒙特，OpenFog Consortium宣布發(fā)布OpenFog參考架構(gòu)（RA），如圖1所示，旨在支持物聯(lián)網(wǎng)（IoT）、5G和人工智能（AI）應(yīng)用的數(shù)據(jù)密集型需求的通用技術(shù)框架。OFC參考架構(gòu)貫穿節(jié)點(diǎn)、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等，強(qiáng)調(diào)Endto-End security的實(shí)現(xiàn)。

圖1 OFC參考架構(gòu)

（1）節(jié)點(diǎn)安全。包括物理安全機(jī)制、可信機(jī)制和虛擬化技術(shù)等，其中物理安全機(jī)制是針對(duì)物理特征（外殼、封裝或螺絲）的檢測(cè)、響應(yīng)；可信機(jī)制包括可信根、可信啟動(dòng)過(guò)程、身份證明、認(rèn)證過(guò)程等；虛擬化技術(shù)是在有能力或重要的主節(jié)點(diǎn)實(shí)現(xiàn)任務(wù)的虛擬化，可隔離病毒發(fā)生。

（2）網(wǎng)絡(luò)安全。包括通信安全機(jī)制，訪問(wèn)控制、入侵檢測(cè)、異常行為分析等防護(hù)技術(shù)，以及協(xié)議安全。其中通信安全機(jī)制涉及到機(jī)密性、完整性、認(rèn)證性、不可抵賴性，并且在設(shè)計(jì)時(shí)能耗、復(fù)雜性、安全性要求不同，以及節(jié)點(diǎn)到云、節(jié)點(diǎn)到節(jié)點(diǎn)、節(jié)點(diǎn)到設(shè)備之間的安全通信路徑。

（3）數(shù)據(jù)安全。包括使用數(shù)據(jù)安全、存儲(chǔ)數(shù)據(jù)安全、遷移數(shù)據(jù)安全，其中使用數(shù)據(jù)安全技術(shù)涉及訪問(wèn)權(quán)限、內(nèi)存保護(hù)、機(jī)密性使用、調(diào)試接口訪問(wèn)限制等技術(shù)，存儲(chǔ)數(shù)據(jù)安全涉及全磁盤加密、文件系統(tǒng)或數(shù)據(jù)庫(kù)加密、訪問(wèn)權(quán)限等技術(shù)，遷移數(shù)據(jù)安全涉及VPN或SSL方式、連接加密、文件/數(shù)據(jù)加密等技術(shù)。

（4）安全管理。包括密鑰管理、密碼套件管理、身份管理、安全策略管理等。

4　IIC安全參考架構(gòu)

美國(guó)GE提出并主導(dǎo)的工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC，Industrial Internet Consortium）。2016年09月，發(fā)布了《工業(yè)物聯(lián)網(wǎng)安全框架》，如圖2所示，旨在解決工業(yè)物聯(lián)網(wǎng)（IIoT）及全球工業(yè)操作運(yùn)行系統(tǒng)相關(guān)安全問(wèn)題，從多個(gè)角度解決安全、可靠性和隱私問(wèn)題。

三個(gè)層次視角解析安全架構(gòu)，包括安全模型與策略、數(shù)據(jù)防護(hù)和安全點(diǎn)，其中技術(shù)層包括端點(diǎn)以及端點(diǎn)到云防護(hù)、通信與連接防護(hù)、安全監(jiān)控與分析、安全配置與管理四個(gè)方面，技術(shù)層應(yīng)考慮或支持?jǐn)?shù)據(jù)安全，而安全模型和策略則作為整體統(tǒng)一的框架存在，進(jìn)行統(tǒng)一調(diào)度。

圖2 IIC安全參考架構(gòu)

安全模型與策略層包括安全目標(biāo)、安全風(fēng)險(xiǎn)分析，以及整個(gè)框架內(nèi)各個(gè)部分涉及的安全模型和策略。數(shù)據(jù)防護(hù)層包括數(shù)據(jù)防護(hù)的模型和策略，端點(diǎn)、通信、配置、監(jiān)控?cái)?shù)據(jù)的防護(hù)等內(nèi)容，涉及存儲(chǔ)數(shù)據(jù)、使用數(shù)據(jù)、遷移數(shù)據(jù)等數(shù)據(jù)形式。技術(shù)層則包括以下幾個(gè)方面的內(nèi)容：

（1）端點(diǎn)防護(hù)。端點(diǎn)防護(hù)強(qiáng)調(diào)可用性>機(jī)密性>完整性，包括端點(diǎn)防護(hù)模型與策略層、端點(diǎn)數(shù)據(jù)防護(hù)層、端點(diǎn)技術(shù)層。技術(shù)層包括端點(diǎn)物理安全，端點(diǎn)可信根，端點(diǎn)身份認(rèn)證，端點(diǎn)訪問(wèn)控制，端點(diǎn)監(jiān)控、分析、配置管理，端點(diǎn)完整性保護(hù)等。

（2） 通信與連接防護(hù)。通信與連接防護(hù)包括通信與連接防護(hù)模型與策略層、通信與連接數(shù)據(jù)防護(hù)層、通信與連接防護(hù)技術(shù)層。技術(shù)層包括連接的物理安全，通信的端點(diǎn)雙向訪問(wèn)控制、身份識(shí)別，信息流防護(hù)機(jī)制、網(wǎng)絡(luò)配置與管理、網(wǎng)絡(luò)監(jiān)控與分析、通道加密技術(shù)等。

（3） 安全監(jiān)控與分析。安全監(jiān)控與分析包括安全監(jiān)控與分析模型和策略層、安全監(jiān)控與分析數(shù)據(jù)防護(hù)層、安全監(jiān)控與分析技術(shù)層。技術(shù)層包括端點(diǎn)和通信監(jiān)控、安全日志監(jiān)控、信息流的連接關(guān)系監(jiān)控、行為分析、基于規(guī)則的分析、阻止/允許、恢復(fù)、審計(jì)分析等。

（4） 安全配置與管理。安全配置與管理包括安全配置與管理模型和策略層、安全配置與管理數(shù)據(jù)防護(hù)層、安全配置與管理技術(shù)層。技術(shù)層包括安全模型動(dòng)態(tài)變更、安全管理策略實(shí)施、安全管理策略、端點(diǎn)認(rèn)證管理、端點(diǎn)配置管理、通信配置管理等。

5　邊緣計(jì)算信息安全技術(shù)

5.1　邊緣計(jì)算參考架構(gòu)

2016年11月30日，邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟發(fā)表《邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟白皮書(shū)》，重點(diǎn)闡述邊緣計(jì)算產(chǎn)業(yè)趨勢(shì)與關(guān)鍵挑戰(zhàn)，介紹邊緣計(jì)算定義與內(nèi)涵，展示邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟頂層設(shè)計(jì)與運(yùn)作模式，制定邊緣計(jì)算參考架構(gòu)與技術(shù)框架，為聯(lián)盟后續(xù)的發(fā)展提供方向指引。

《白皮書(shū)》提出了邊緣計(jì)算參考架構(gòu)1.0，如圖3所示，該架構(gòu)基于分層設(shè)計(jì)，包含應(yīng)用域、數(shù)據(jù)域、網(wǎng)絡(luò)域、設(shè)備域四個(gè)功能域。在應(yīng)用域，將基于設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)功能域提供開(kāi)放接口，實(shí)現(xiàn)邊緣行業(yè)應(yīng)用，支撐邊緣業(yè)務(wù)運(yùn)營(yíng)。在數(shù)據(jù)域，提供數(shù)據(jù)優(yōu)化服務(wù)，包括數(shù)據(jù)的提取、聚合、互操作、語(yǔ)義化以及分析與呈現(xiàn)的全生命周期服務(wù)，并保障數(shù)據(jù)的安全與隱私性。在網(wǎng)絡(luò)域，將為系統(tǒng)互聯(lián)、數(shù)據(jù)聚合與承載提供聯(lián)接服務(wù)。在設(shè)備域，將通過(guò)貼近或嵌入傳感、儀表、機(jī)器人和機(jī)床等設(shè)備的現(xiàn)場(chǎng)節(jié)點(diǎn)，支撐現(xiàn)場(chǎng)設(shè)備實(shí)現(xiàn)實(shí)時(shí)的智能互聯(lián)及智能應(yīng)用。

圖3 邊緣計(jì)算參考架構(gòu)

5.2　邊緣計(jì)算信息安全需求

本文從設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和應(yīng)用安全等幾個(gè)角度來(lái)分析邊緣計(jì)算的信息安全需求。設(shè)備安全面臨的主要問(wèn)題包括設(shè)備身份認(rèn)證、啟動(dòng)與運(yùn)行時(shí)的可信、生命周期的安全管理、端點(diǎn)安全審計(jì)、防DoS能力、漏洞掃描及挖掘等；網(wǎng)絡(luò)安全面臨的主要問(wèn)題包括網(wǎng)絡(luò)邊緣深度防御、異常流量過(guò)濾、入侵檢測(cè)、網(wǎng)絡(luò)通信的機(jī)密性、協(xié)議安全性等；數(shù)據(jù)安全面臨的主要問(wèn)題包括數(shù)據(jù)的完整性；傳輸數(shù)據(jù)的簽名、加密；使用數(shù)據(jù)的隱私安全、密鑰管理等；應(yīng)用安全面臨的主要問(wèn)題包括整個(gè)邊緣計(jì)算系統(tǒng)的安全狀態(tài)監(jiān)測(cè)、安全態(tài)勢(shì)感知等。

5.3　邊緣計(jì)算信息安全創(chuàng)新點(diǎn)

本文針對(duì)上述邊緣計(jì)算的信息安全需求分析，提出了針對(duì)信息安全需求的技術(shù)發(fā)展趨勢(shì)，從設(shè)備安全、網(wǎng)絡(luò)安全和應(yīng)用安全三個(gè)方面給出了技術(shù)展望。

設(shè)備安全應(yīng)涉及到可信計(jì)算、訪問(wèn)控制技術(shù)?？尚庞?jì)算技術(shù)將為邊緣計(jì)算網(wǎng)絡(luò)中的端點(diǎn)及數(shù)據(jù)傳輸提供安全處理能力，實(shí)現(xiàn)安全與控制獨(dú)立運(yùn)行，保證端點(diǎn)設(shè)備啟動(dòng)與運(yùn)行過(guò)程中是可信的，設(shè)備使用及傳輸?shù)臄?shù)據(jù)是安全的、完整的、私密的。另外，可以通過(guò)硬件級(jí)可信認(rèn)證技術(shù)，解決端點(diǎn)設(shè)備、感知測(cè)量節(jié)點(diǎn)的安全問(wèn)題。同時(shí)，需要針對(duì)通信網(wǎng)絡(luò)層的攻擊，研發(fā)下一代工業(yè)防火墻，能夠集成多種安全功能于一體，實(shí)現(xiàn)安全功能軟件化的自由配置，簡(jiǎn)化網(wǎng)絡(luò)部署并能動(dòng)態(tài)調(diào)節(jié)安全功能，為邊緣計(jì)算提供邊界防護(hù)。

網(wǎng)絡(luò)安全應(yīng)涉及到安全軟件定義技術(shù)。在邊緣計(jì)算網(wǎng)關(guān)中集成多種安全功能于一體，實(shí)現(xiàn)軟件定義的安全功能自由配置，簡(jiǎn)化網(wǎng)絡(luò)部署，對(duì)發(fā)現(xiàn)的攻擊與入侵具有動(dòng)態(tài)響應(yīng)能力。如基于軟件定義網(wǎng)絡(luò)（Software Defined Network, SDN ）的安全功能協(xié)同與聯(lián)動(dòng)技術(shù)，即基于SDN的思想，建立網(wǎng)絡(luò)的自身安全能力，控制層面將安全功能以軟件的形式實(shí)現(xiàn)，軟件層面賦予邊緣計(jì)算網(wǎng)關(guān)安全防護(hù)能力，更益于安全的聯(lián)動(dòng)響應(yīng)。

應(yīng)用安全應(yīng)涉及到安全態(tài)勢(shì)感知、聯(lián)動(dòng)響應(yīng)技術(shù)。以終端、數(shù)據(jù)、網(wǎng)絡(luò)安全日志及其他系統(tǒng)日志為基礎(chǔ)，通過(guò)大數(shù)據(jù)分析技術(shù)，研發(fā)警報(bào)關(guān)聯(lián)引擎、數(shù)據(jù)異常流量模塊、動(dòng)態(tài)行為分析模塊等安全功能模塊，發(fā)現(xiàn)APT攻擊并進(jìn)行動(dòng)態(tài)處理，恢復(fù)現(xiàn)場(chǎng)。如基于大數(shù)據(jù)分析的安全態(tài)勢(shì)感知技術(shù)，即以大數(shù)據(jù)分析技術(shù)為基礎(chǔ)，通過(guò)數(shù)據(jù)異常分析、動(dòng)態(tài)行為分析、警報(bào)關(guān)聯(lián)引擎等功能，對(duì)多種安全要素進(jìn)行多角度、多粒度的威脅發(fā)現(xiàn)與感知。

6　結(jié)語(yǔ)

未來(lái)超過(guò)50%的數(shù)據(jù)需要在邊緣側(cè)分析、處理和儲(chǔ)存，邊緣計(jì)算應(yīng)用廣闊。本文介紹了云計(jì)算、霧計(jì)算、邊緣計(jì)算的定義，闡述了開(kāi)放霧聯(lián)盟、工業(yè)互聯(lián)網(wǎng)聯(lián)盟的信息安全參考架構(gòu)，分析了邊緣計(jì)算的信息安全需求，提出了針對(duì)邊緣計(jì)算信息安全需求的技術(shù)發(fā)展趨勢(shì)。本文僅從幾個(gè)視角分析了邊緣計(jì)算信息安全技術(shù)的發(fā)展趨勢(shì)，隨著邊緣計(jì)算技術(shù)的日趨成熟，將會(huì)出現(xiàn)更為具體的信息安全需求，如輕量級(jí)實(shí)時(shí)加密認(rèn)證技術(shù)等，需要進(jìn)一步深入研究和探討。

作者簡(jiǎn)介

尚文利（1974-），男，研究員，博士，黑龍江北安人，現(xiàn)就職于中國(guó)科學(xué)院沈陽(yáng)自動(dòng)化研究所，主要從事工業(yè)信息安全、計(jì)算智能與機(jī)器學(xué)習(xí)方向的研究。現(xiàn)任工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟理事成員、邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟安全組副組長(zhǎng)、中國(guó)自動(dòng)化學(xué)會(huì)邊緣計(jì)算專業(yè)委員會(huì)委員、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG5工作組成員。

參考文獻(xiàn)：

[1] 邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟. 邊緣計(jì)算參考架構(gòu)1.0[Z]. 邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟白皮書(shū), 2016, 11.

[2] Bastien Confais, Adrien Lebre, Beno t Parrein. Performance Analysis of Object Store Systems in a Fog and Edge Computing Infrastructure[J]. Transactions on Large-Scale Data- and Knowledge-Centered Systems XXXIII, LNCS 10430, 2017, 40 - 79.

[3] Bonomi F., Milito R., Natarajan P., Zhu J.. “Fog computing: a platform for Internet of Things and analytics,” In Big Data and Internet of Things: A Roadmap for Smart Environments, 169 - 186, Springer, Cham, 2014.

[4] Bonomi F., Milito R., Zhu J., Addepalli S..“Fog computing and its role in the Internet of Things”, In Proceedings of the First Edition of the MCC Workshop on Mobile cloud computing. MCC, 2012, 13 - 16.

[5] Dubey H., Yang J., Constant N., Amiri A.M., Yang Q., Makodiya, K.. “Fog data: enhancing telehealth big data through fog computing”, In Proceedings of the ASE BigData & SocialInformatics, 2015: 14.

[6] Firdhous, M., Ghazali, O., Hassan, S.. “Fog computing: will it be the future of Cloud Computing ”, In Third International Conference on Informatics & Applications, Kuala Terengganu, 2014：8 - 15 .

[7] Raffaella Grieco, Delfina Malandrino, Vittorio Scarano. A Scalable Cluster-based Infrastructurefor Edge-computing Services. World Wide Web, 2006, 9: 317 - 341.

[8] Salvatore Distefano, Dario Bruneo, Francesco Longo, Giovanni Merlino, Antonio Puliafito. Personalized Health Tracking with Edge Computing Technologies.BioNanoScience, 2017, 7(7) , 439 - 441.

[9] The OpenFog Consortium Architecture Working Group. OpenFog Reference Architecture for Fog Computing[EB/OL]. http:// www.OpenFogConsortium.org,

[10] Industrial Internet Consortium. Industrial Internet of Things Volume G4: Security Framework[EB/OL]. http://www.iiconsortium.org.

摘自《工業(yè)控制系統(tǒng)信息安全》專刊第四輯