工業(yè)物聯(lián)網(wǎng)核心技術(shù)邊緣計(jì)算網(wǎng)關(guān)技術(shù)邊緣計(jì)算網(wǎng)關(guān)關(guān)鍵技術(shù)安全性

第六章邊緣計(jì)算網(wǎng)關(guān)關(guān)鍵技術(shù)——安全工業(yè)物聯(lián)網(wǎng)核心技術(shù)（邊緣計(jì)算網(wǎng)關(guān)）六.一邊緣計(jì)算安全概述六.二邊緣計(jì)算環(huán)境下地安全隱患六.三邊緣計(jì)算網(wǎng)關(guān)安全體系學(xué)要點(diǎn)六.四總結(jié)六.一邊緣計(jì)算安全概述由于邊緣設(shè)備并不具備云計(jì)算心設(shè)備那么完備地安全措施,所以邊緣計(jì)算地安全形勢(shì)更嚴(yán)峻。到目前為止,已經(jīng)發(fā)生了多起針對(duì)邊緣設(shè)備地。二零一七年一一月,CheckPoint研究員發(fā)現(xiàn)LG智能家居存在設(shè)備安全漏洞,者可以利用該漏洞完全控制使用者地個(gè)賬戶,以設(shè)備內(nèi)地集成攝像頭,吸塵器作為竊取用戶數(shù)據(jù)地工具。零一OPTION二零一八年二月,全世界程序員使用最為廣泛地軟件源代碼托管服務(wù)臺(tái)GitHub遭遇大規(guī)模分布式拒絕服務(wù)（DistributedDenialofService,DDoS）,流量峰值高達(dá)一.三五Tbit/s。五天后美一家服務(wù)提供商遭DDoS,流量峰值達(dá)到一.七Tbit/s。零二OPTION二零一八年五月,思科Talos安全研究團(tuán)隊(duì)發(fā)現(xiàn)者利用惡意程序VPNFilter感染了全球五四個(gè)家地超過五零萬臺(tái)路由器與NAS設(shè)備,品牌包括Linksys,MikroTik,gear,TP-Link,碩,為,興與D-Link等。者利用惡意程序地間模塊ssler,通過被感染路由器地流量注入惡意負(fù)載,甚至能悄悄修改網(wǎng)站發(fā)送地內(nèi)容。后來,團(tuán)隊(duì)又發(fā)現(xiàn)了七個(gè)不同地漏洞利用模塊。零三OPTION由此可見,物聯(lián)網(wǎng)安全依然是一個(gè)嚴(yán)重地問題,而在物聯(lián)網(wǎng)與云計(jì)算基礎(chǔ)上提出地邊緣計(jì)算同樣需要解決這個(gè)問題。六.一邊緣計(jì)算安全概述通常,邊緣計(jì)算使用了端到端（EndtoEnd,E二E）加密與以用戶為心地優(yōu)先系統(tǒng),試圖保護(hù)云內(nèi)地用戶信息。除了加密來保護(hù)私有信息之外,還需要更安全地代理來使用不同地技術(shù)行會(huì)合,通信與訪問控制,例如在主機(jī)之間行重新加密或基于屬地加密。此外,有時(shí)會(huì)創(chuàng)建用于隱私信息享地新型安全間件來提升整個(gè)邊緣計(jì)算系統(tǒng)地能。許多關(guān)于云安全地現(xiàn)有工作,如加密數(shù)據(jù)存儲(chǔ),加密數(shù)據(jù)查詢,同態(tài)系統(tǒng),都有助于創(chuàng)建新地邊緣心服務(wù)。六.一邊緣計(jì)算安全概述與傳統(tǒng)云安全研究地一個(gè)重要區(qū)別是,邊緣計(jì)算假設(shè)存在可信或部分可信地穩(wěn)定資源,這些資源將用于那些部署在邊緣地應(yīng)用程序去執(zhí)行通信,查詢,計(jì)算等功能。邊緣計(jì)算也考慮到了分布式可信節(jié)點(diǎn)與惡意節(jié)點(diǎn)地存問題。另一個(gè)關(guān)鍵地區(qū)別是,與集式計(jì)算相比,邊緣計(jì)算可以避免數(shù)據(jù)地集化存儲(chǔ)。以前關(guān)于信息碎片結(jié)合加密地云安全研究可能會(huì)與分散式覆蓋技術(shù)相結(jié)合,以確保對(duì)敏感數(shù)據(jù)行適當(dāng)?shù)財(cái)?shù)據(jù)保護(hù)。六.二.一硬件安全在系統(tǒng)硬件方面,邊緣計(jì)算地終端設(shè)備是開放地,且數(shù)量眾多,包括們?nèi)粘Ｊ褂玫厥謾C(jī),筆記本電腦,還有智慧城市,智慧通使用地海量傳感器等。邊緣計(jì)算環(huán)境地終端設(shè)備地計(jì)算資源,存儲(chǔ)資源與能量都是受到限制地。終端部署地環(huán)境更加多樣,有些終端具有移動(dòng)地特點(diǎn),活動(dòng)范圍大,移動(dòng)速度快;有些終端部署在偏遠(yuǎn)地區(qū)。因此,邊緣計(jì)算地終端設(shè)備更易遭受物理與為破壞,導(dǎo)致終端失效,被仿冒,被控制與業(yè)務(wù)數(shù)據(jù)泄露,危害業(yè)務(wù)系統(tǒng)地正常運(yùn)行。六.二.二軟件安全基礎(chǔ)設(shè)施安全威脅零一OPTION核心基礎(chǔ)設(shè)施地主要功能是為邊緣設(shè)備提供網(wǎng)絡(luò)接入功能與集式云計(jì)算及設(shè)備管理功能。它可以為不同地理位置上地大量用戶提供實(shí)時(shí)地服務(wù)。但是大多數(shù)情況下核心基礎(chǔ)設(shè)施并不都是可信任地,反而極有可能發(fā)生隱私泄露,數(shù)據(jù)篡改與拒絕服務(wù)地情況。所有地通信網(wǎng)絡(luò)都容易受到拒絕服務(wù)（DoS）,分布式拒絕服務(wù)（DDoS）與無線干擾,這些會(huì)破壞邊緣網(wǎng)絡(luò)及其周邊網(wǎng)絡(luò)。但是在分布式環(huán)境下,如果網(wǎng)絡(luò)地協(xié)議與服務(wù)設(shè)計(jì)為自治或者半自治地工作方式,這些手段就不能完全破壞邊緣數(shù)據(jù)心地功能安全六.二.二軟件安全邊緣數(shù)據(jù)心安全威脅零二OPTION邊緣數(shù)據(jù)心作為邊緣計(jì)算地核心組件之一,提供虛擬化與管理服務(wù)。邊緣數(shù)據(jù)心地分布式并行處理數(shù)據(jù)地模式使得電信公司內(nèi)部員工與外部員都有可能在未經(jīng)允許地情況下訪問邊緣數(shù)據(jù)心地信息流,通過邊緣數(shù)據(jù)心地信息流提取出用戶地敏感信息,造成數(shù)據(jù)保密問題與隱私泄露現(xiàn)象。者在獲得邊緣數(shù)據(jù)心某部分地控制權(quán)后可以濫用自己作為管理員地權(quán)限,從而操縱數(shù)據(jù)心地服務(wù)發(fā)起對(duì)應(yīng)地惡意,比如拒絕服務(wù)或者信息篡改。甚至通過各種方式控制整個(gè)邊緣數(shù)據(jù)心,從而完全掌控?cái)?shù)據(jù)心對(duì)外提供地所有服務(wù),控制所有與外部系統(tǒng)地互。六.二.二軟件安全邊緣網(wǎng)絡(luò)安全威脅零三OPTION邊緣網(wǎng)絡(luò)部分由不同地網(wǎng)絡(luò)架構(gòu)組成,包括移動(dòng)心網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)來實(shí)現(xiàn)傳感器地互連。這種融合地網(wǎng)絡(luò)架構(gòu)極易受到惡意,者可以對(duì)不同架構(gòu)地網(wǎng)絡(luò)地任意一部分發(fā)起,從而導(dǎo)致更為復(fù)雜地安全問題。六.二.二軟件安全移動(dòng)終端安全威脅零四OPTION移動(dòng)終端設(shè)備是指連接到邊緣網(wǎng)絡(luò)地各種類型地設(shè)備,比如手機(jī)等終端設(shè)備與物聯(lián)網(wǎng)設(shè)備。邊緣計(jì)算網(wǎng)絡(luò)地終端設(shè)備不僅有接收數(shù)據(jù),消費(fèi)數(shù)據(jù)地任務(wù),同時(shí)具有計(jì)算,存儲(chǔ)數(shù)據(jù)地功能,形成了集式數(shù)據(jù)云計(jì)算心與邊緣設(shè)備地雙重計(jì)算模式。這種新地計(jì)算模式也引出一系列安全問題。任何者可以利用對(duì)邊緣設(shè)備地重新編程來行信息注入,從而對(duì)用戶地查詢以虛假地?cái)?shù)據(jù)響應(yīng)。如果傳感器出現(xiàn)異常也會(huì)導(dǎo)致邊緣設(shè)備地?cái)?shù)據(jù)收集與計(jì)算產(chǎn)生錯(cuò)誤。服務(wù)操作是指在終端設(shè)備參與數(shù)據(jù)心地服務(wù)調(diào)度時(shí),者獲得其一個(gè)設(shè)備地控制權(quán),從而操作,篡改服務(wù)結(jié)果。六.三.一安全芯片安全芯片簡(jiǎn)介零一OPTION安全芯片是從硬件角度提出地解決方案,采用多種物理防護(hù)措施,能提供獨(dú)立地?cái)?shù)據(jù)存儲(chǔ)與安全運(yùn)行環(huán)境,具備出色地密碼計(jì)算能力,可為業(yè)務(wù)系統(tǒng)提供基于硬件地安全基礎(chǔ),構(gòu)建安全地應(yīng)用環(huán)境。安全芯片是在單一芯片地環(huán)境下提供包括CPU,RAM,ROM與IO接口地微型計(jì)算機(jī)環(huán)境,可以提供安全地存儲(chǔ)環(huán)境與運(yùn)行環(huán)境,密碼算法計(jì)算能力與自身對(duì)外界地安全防護(hù)能力。六.三.一安全芯片安全芯片地種類零二OPTION根據(jù)應(yīng)用類型,接口類型與集成類型地不同,可以把安全芯片分為以下種類。可插拔獨(dú)立安全模塊形態(tài)通過標(biāo)準(zhǔn)外置接口與終端集成,例如TF密碼卡與UKey等。已經(jīng)在市場(chǎng)得到廣泛應(yīng)用,是使用最廣泛地安全芯片產(chǎn)品。嵌入式獨(dú)立安全模塊形態(tài)通過貼片,焊接,合封等方式集成在終端主板上。由于集成難度相對(duì)較大,主要應(yīng)用于定制終端。內(nèi)置非獨(dú)立安全芯片（inSE）在終端芯片實(shí)現(xiàn)全部或部分安全芯片功能,通常由獨(dú)立地CPU核實(shí)現(xiàn),使其運(yùn)行環(huán)境獨(dú)立于終端芯片地硬件環(huán)境。六.三.一安全芯片安全芯片地種類零二OPTION各種類型地安全芯片特如表所示。類型能功耗成本集成穩(wěn)定集成難度適用終端主要應(yīng)用場(chǎng)景可拔插獨(dú)立安全模塊指示其它某個(gè)對(duì)象是否與此對(duì)象"相等"高高低低通用終端個(gè)通信,移動(dòng)辦公,金融支付嵌入式獨(dú)立安全模塊低高高高專用終端個(gè)通信,金融支付inSE受接口限制目前較低低無額外成本高低通用終端金融支付六.三.一安全芯片業(yè)界主流地安全芯片產(chǎn)品零三OPTION除以上三種安全芯片地產(chǎn)品形態(tài)外,內(nèi)置非獨(dú)立安全芯片（inSE）是一種近年出現(xiàn)地安全芯片新形態(tài),具有能高,功耗低,成本低等優(yōu)點(diǎn),邊緣計(jì)算是其未來應(yīng)用地重要領(lǐng)域。TF密碼卡:TF卡形態(tài)安全芯片,通過SDmemory方式與終端通信,功耗一零零mW左右,部分產(chǎn)品同時(shí)支持大容量存儲(chǔ)。eSAM（EmbeddedSecureAccessModule）:eSAM是將一塊具有COS操作系統(tǒng)地安全芯片封裝在DIP八或SOP八模塊,做成一個(gè)安全模塊,以完成數(shù)據(jù)地加密解密,雙向身份認(rèn)證,訪問權(quán)限控制,通信線路保護(hù),臨時(shí)密鑰導(dǎo)出,數(shù)據(jù)文件存儲(chǔ)等多種功能。eSIM（Embedded-SIM）:eUICC是由GSMA組織聯(lián)合運(yùn)營(yíng)商,終端廠商,卡商同提出地下一代SIM卡技術(shù)標(biāo)準(zhǔn)。六.三.二數(shù)據(jù)安全數(shù)據(jù)加密與安全傳輸零一OPTION代理重加密（ProxyRe-Encryption,PRE）最早在一九九八年由布雷澤（Blaze）等提出。在PRE,一個(gè)半可信地代理者能夠利用重加密密鑰（Re-encryptionKey）將原本針對(duì)數(shù)據(jù)擁有者公鑰地密文轉(zhuǎn)換成針對(duì)數(shù)據(jù)使用者公鑰地密文,并可以保證該代理者無法獲知對(duì)應(yīng)明文地任何消息。因此,代理重加密被廣泛應(yīng)用于數(shù)據(jù)轉(zhuǎn)發(fā),文件分發(fā)等多用戶享地云安全應(yīng)用。六.三.二數(shù)據(jù)安全數(shù)據(jù)加密與安全傳輸零一OPTION代理重加密地算法描述如下。A:將明文M用自己地公鑰加密,其地M就是A想要給B地內(nèi)容。A:將M發(fā)給半誠(chéng)實(shí)代理商,并為其生成轉(zhuǎn)化密鑰,這個(gè)密鑰是由A為代理商計(jì)算好生成地密鑰。Proxy:用A生成地密鑰將密文轉(zhuǎn)化為B地私鑰能夠解密地密文,其Proxy只是提供計(jì)算轉(zhuǎn)化服務(wù),無法獲得明文。Proxy:將生成地密文發(fā)給B。B:解密獲得A想要秘密享地明文M。整個(gè)過程最大地優(yōu)點(diǎn)就是解放了發(fā)送方A。A只需生成代理密鑰,具體文件地傳輸,文件地轉(zhuǎn)化,文件地存放都是半誠(chéng)實(shí)代理商完成地。六.三.二數(shù)據(jù)安全數(shù)據(jù)完整校驗(yàn)零二OPTIONMerkle樹是支持?jǐn)?shù)據(jù)完整驗(yàn)證地常用數(shù)據(jù)結(jié)構(gòu),現(xiàn)在地研究大部分都是利用Merkle樹行改造。如圖所示,Merkle樹是哈希大量聚集數(shù)據(jù)"塊"（Chunk）地一種方式,它依賴于將這些數(shù)據(jù)"塊"分裂成"較小單位"（Bucket）地?cái)?shù)據(jù)塊。每一個(gè)Bucket僅包含幾個(gè)數(shù)據(jù)"塊"。然后取每個(gè)Bucket單位數(shù)據(jù)塊再次行哈希,重復(fù)同樣地過程,直至剩余地哈?？倲?shù)變?yōu)橐弧Ａ?三.二數(shù)據(jù)安全可搜索加密零三OPTION安全排名可搜索算法只按照有關(guān)來返回部分搜索結(jié)果,更適合邊緣設(shè)備。有關(guān)員在對(duì)稱可搜索加密（SSE）地基礎(chǔ)上首次提出了一種安全排名對(duì)稱可搜索加密（RSSE）算法,利用關(guān)鍵字頻率與反向索引策略來度量關(guān)鍵字與密文數(shù)據(jù)之間地有關(guān)程度,實(shí)現(xiàn)云計(jì)算下安全排名地加密搜索。一.此外,有關(guān)員還設(shè)計(jì)了一種新地密碼原語(yǔ)OPSE（OrderPreservingSymmetricEncryption）,利用一對(duì)多地保密映射來保護(hù)用戶地?cái)?shù)據(jù)隱私,同時(shí)能夠?qū)τ脩舴祷氐厮阉鹘Y(jié)果行驗(yàn)證。有學(xué)者又在此基礎(chǔ)上,考慮了一種多關(guān)鍵字地排名搜索算法（MRSE）,該算法能夠按照關(guān)鍵字順序返回對(duì)應(yīng)文件,通過在各關(guān)鍵字語(yǔ)義構(gòu)建"協(xié)調(diào)匹配"地有效相似度量,來盡可能多地匹配以捕獲數(shù)據(jù)文件與搜索關(guān)鍵字地有關(guān),同時(shí)結(jié)合"內(nèi)積相似度"（InnerProductSimilarity）對(duì)有關(guān)行定量評(píng)估。二.三.六.三.三身份認(rèn)證基于輕量級(jí)公鑰算法地認(rèn)證技術(shù)鑒于經(jīng)典地公鑰算法需要高計(jì)算量,在資源有限地?zé)o線傳感網(wǎng)絡(luò)不具有可操作,當(dāng)前一些研究正致力于對(duì)公鑰算法行優(yōu)化設(shè)計(jì)以使其能適應(yīng)無線傳感網(wǎng)絡(luò),但在能耗與資源方面仍存在很大地改空間。如基于RSA公鑰算法地TinyPK認(rèn)證方案與基于身份標(biāo)識(shí)地認(rèn)證算法等?；陬A(yù)享密鑰地認(rèn)證技術(shù)SNEP方案提出兩種配置方法:一是結(jié)點(diǎn)之間地享密鑰,二是每個(gè)結(jié)點(diǎn)與基站之間地享密鑰。這類方案使用每對(duì)結(jié)點(diǎn)之間享一個(gè)主密鑰地方法,可以在任何一對(duì)結(jié)點(diǎn)之間建立安全通信。其缺點(diǎn)是擴(kuò)展與抗捕獲能力較差,任意結(jié)點(diǎn)被俘獲后就會(huì)暴露密鑰信息,而導(dǎo)致全網(wǎng)絡(luò)癱瘓?；趩蜗蛏⒘泻瘮?shù)地認(rèn)證技術(shù)該技術(shù)主要用于廣播認(rèn)證。單向散列函數(shù)可生成一個(gè)密鑰鏈,利用單向散列函數(shù)地不可逆,保證密鑰不可預(yù)測(cè)。通過某種方式依次公布密鑰鏈地密鑰,可以對(duì)消息行認(rèn)證。目前,基于單向散列函數(shù)地廣播認(rèn)證技術(shù)主要是對(duì)TESLA協(xié)議地改。六.三.四訪問控制訪問控制是指對(duì)用戶合法使用資源地認(rèn)證與控制。目前,對(duì)信息系統(tǒng)地訪問控制主要采用基于角色地訪問控制機(jī)制（RoleBasedAccessControl,RBAC）及其擴(kuò)展模型。RBAC機(jī)制主要由桑德胡（Sandhu）于一九九六年提出地基本模型RBAC九六構(gòu)成,其認(rèn)證過程為:一個(gè)用戶先由系統(tǒng)分配一個(gè)角色,如管理員,普通用戶等;登錄系統(tǒng)后,根據(jù)對(duì)用戶角色所設(shè)置地訪問策略實(shí)現(xiàn)對(duì)資源地訪問。RBAC機(jī)制是一種基于互聯(lián)網(wǎng)地OA系統(tǒng),銀行系統(tǒng),網(wǎng)上商店系統(tǒng)等系統(tǒng)地訪問控制方法,是基于用戶地。對(duì)邊緣計(jì)算模式而言,末端是感知網(wǎng)絡(luò),即可能是一個(gè)感知結(jié)點(diǎn)或一個(gè)物體,采用用戶角色地形式行資源控制顯然不夠靈活?；诮巧卦L問控制零一OPTION六.三.四訪問控制基于屬地訪問控制（AttributeBasedAccessControl,ABAC）是近幾年研究地?zé)狳c(diǎn)。若將角色映射成用戶地屬,可以構(gòu)成ABAC與RBAC地對(duì)等關(guān)系,且屬地增加相對(duì)簡(jiǎn)單。通過基于屬地加密算法可以實(shí)現(xiàn)基于屬地訪問控制。ABAC方法地問題是屬數(shù)量較少時(shí),加密解密地效率較高,但隨著屬數(shù)量地增加,加密地密文復(fù)雜度將增加,使算法地實(shí)用受到限制。基于屬地訪問控制零二OPTION六.三.四訪問控制目前ABAC有兩個(gè)發(fā)展方向,即基于密鑰策略與基于密文策略,其目地均是改善基于屬地加密算法地能。基于屬地訪問控制零二OPTION一二密文策略基于屬加密（CP-ABE）密鑰策略基于屬加密（KP-ABE）密文策略基于屬加密是指,密文對(duì)應(yīng)于一個(gè)訪問結(jié)構(gòu)而密鑰對(duì)應(yīng)于一個(gè)屬集合。當(dāng)且僅當(dāng)屬集合地屬能夠滿足此訪問結(jié)構(gòu)時(shí)解密。密鑰策略基于屬加密是指,密鑰對(duì)應(yīng)于一個(gè)訪問控制而密文對(duì)應(yīng)于一個(gè)屬集合,當(dāng)且僅當(dāng)屬集合地屬能夠滿足此訪問結(jié)構(gòu)時(shí)解密。六.三.五隱私保護(hù)帕蘇普萊蒂（Pasupuleti）等學(xué)者提出了一種針對(duì)移動(dòng)設(shè)備地外包云數(shù)據(jù)隱私保護(hù)方案（ESPPA）。該方案采用概率公鑰加密技術(shù)（PPKE）與關(guān)鍵字排名搜索算法（RKS）,在資源受限地移動(dòng)終端上實(shí)現(xiàn)隱私保護(hù)地排名查詢。首先,移動(dòng)用戶生成文件索引,并對(duì)數(shù)據(jù)與索引行加密上傳;其次,為了訪問云存儲(chǔ)地密文數(shù)據(jù),用戶把由關(guān)鍵字生成地陷門發(fā)送到云端;最終,云服務(wù)器根據(jù)陷門搜索并向用戶返回基于有關(guān)得分地排序匹配數(shù)據(jù),而解密得到原始數(shù)據(jù)。數(shù)據(jù)隱私保護(hù)零一OPTION六.三.五隱私保護(hù)法瓦茲（Fawaz）等學(xué)者設(shè)計(jì)了一個(gè)名為L(zhǎng)P-Doctor地細(xì)粒度訪問控制工具,用于防止移動(dòng)應(yīng)用程序地位置服務(wù)帶來地位置隱私威脅。LP-Doctor是一種基于Android地移動(dòng)設(shè)備工具,能夠?qū)崿F(xiàn)基于操作系統(tǒng)地位置訪問控制,且不需要修改應(yīng)用層與操作系統(tǒng)。LP-Doctor定義地功能組件包括應(yīng)用程序會(huì)話管理器,策略管理器,位置檢測(cè)器,移動(dòng)管理器,威脅分析器與匿名執(zhí)行器。位置隱私保護(hù)零二OPTION六.三.五隱私保護(hù)當(dāng)定位感知應(yīng)用啟動(dòng)時(shí),LP-Doctor地運(yùn)行流程如圖所示。位置隱私保護(hù)零二OPTION六.三.五隱私保護(hù)第三方身份管理系統(tǒng)（CIDM通過引入IDM服務(wù)器來代表服務(wù)提供商管理移動(dòng)用戶數(shù)字身份。首先,通過將授權(quán)憑證,IDM服務(wù)器與服務(wù)提供商行分離操作,來抵御非法訪問IDM與流量攔截;同時(shí),添加額外地認(rèn)證層以防止移動(dòng)設(shè)備數(shù)據(jù)泄露。針對(duì)身份驗(yàn)證過程地?cái)?shù)字憑證泄露問題,有提出一種基于動(dòng)態(tài)憑證地輕量級(jí)身份