作为继云计算之后的一种新的计算范式,边缘计算以在终端处理部分数据的形式,将计算下沉到靠近用户和数据源的网络边缘,从而有效避免数据延迟、数据集中度高和网络抖动等问题。低时延、易移动、低成本的独特优势使得边缘计算得到越来越多的应用,推动传统技术和服务的创新发展,在电力、交通、制造等多个价值行业得到规模化应用和智慧城市。但与此同时,边缘计算面临的安全威胁也越来越大,边缘安全问题已经成为制约边缘计算产业发展的障碍之一。本文将介绍边缘计算的基本情况、应用情况和当前存在的安全问题。1.边缘计算简介边缘计算是指在网络边缘对来自云端的下行数据和来自物联网终端设备的上行数据进行计算的技术,其中“边缘”可以定义为两者之间的连接。终端数据源与云数据中心计算或网络资源。边缘计算试图在边缘处理数据,使数据不必完全发送到云端进行处理,从而减少带宽压力和延迟。云端的计算能力通常优于边缘设备,在过去的实践中被证明是一种有效的数据处理方式。然而,与数据生成速度的飞速发展相比,网络带宽和数据传输速度基本停滞不前,逐渐成为云计算发展的瓶颈。传统的基于云端的集中式大数据处理模式,受限于云服务器与终端设备之间的物理距离,面临时延、带宽、能耗等问题,难以应对新兴应用场景。边缘计算的核心思想是“就近为用户提供可靠、稳定的服务”,在靠近用户终端设备的网络边缘处理和存储数据。边缘服务器直接对外提供服务,保证低延迟;数据处理无需将所有数据上传至云端,缓解带宽压力;广泛分布的边缘服务器分担数据计算和处理任务,降低中央云服务器的能耗。因此,边缘计算具有分布式、低延迟和高计算效率的特点。2.应用现状边缘计算以其独特的优势引起了学术界和政府部门的关注,也正在从设计思维走向产业实践。以电力、交通、制造、智慧城市为代表的实时交互要求高、网络延迟抖动敏感、安全要求高的价值领域逐渐成为边缘计算大显身手的主要舞台。以智慧城市为例,每个城市无时无刻不在产生大量数据,需要提供很多实时服务。边缘计算以其高效的分布式数据处理能力成为智慧城市建设的技术基础。智能交通控制系统可以运行在边缘服务器上,实时获取和分析道路交通流量、事故情况等信息,进而做出交通信息灯设置决策,减少车辆拥堵,实现智慧交通。借助边缘计算,在小区或工地等特殊场所,可以采集人车摄像头的监控信息,并分析边缘服务器的数据,从而完成外来人员预警、险情预警等工作。.为使边缘计算具有通用的架构并应用到更多领域,国内外相关企业、行业组织和学术机构都在尝试探索边缘计算架构。2016年,边缘计算联盟(ECC)提出了边缘计算参考架构3.0。整个模型由三层组成,每一层都配备了模型化的开放接口,实现了架构的全层级开放。边缘层位于云端和现场设备层之间,向下支持现场设备接入,向上连接云端。边缘层包括两个主要部分,边缘节点和边缘管理器。边缘节点是硬件实体,是承载边缘计算服务的核心。边缘管理器是对边缘节点进行统一管理和调度的软件。纵向设置三项全流程智能服务,其中安全服务考虑到边缘应用场景的独特性,防护策略充分考虑从物理层到应用层的各种防护措施,进行多重安全防护。2017年,Linux基金会还启动了开源项目EdgeXFoundry,旨在打造物联网边缘计算标准化的通用框架。如图2所示,EdgeXFoundry可以分为4个服务层和2个基础系统服务。服务层包括核心服务层、支撑服务层、出口服务层和设备服务层。图1ECC提出的EdgeComputingReferenceArchitecture3.0图2EdgeXFoundryArchitecture3.边缘计算安全威胁边缘计算的快速发展也给网络边缘引入了网络攻击威胁,常见的对策还是相对传统的网络安全防护技术,边缘计算难以抵御多源、跨域的入侵和攻击。边缘计算架构中节点的计算能力、存储容量和能量是有限的,现有的安全保护方法不能完全应用于边缘节点。攻击单个计算节点或服务节点的成本远低于原来强大的中央服务器,因此更容易获得攻击者的注意。网络边缘更靠近万物互联的设备,涉及大量用户个人隐私数据;一旦网络边缘的通信和决策方式受到攻击,将直接影响系统功能的实现,而攻击者一次攻击就可以实现很多。在边缘计算架构下,较低的攻击成本和较高的收益使其面临着不容忽视的安全威胁。安全威胁存在于边缘计算节点自身、边缘管理节点、层与层之间等多个环节。3.1边缘计算节点的安全问题——数据管理和系统部署不安全(1)隐私数据保护不充分计算任务从云端迁移到靠近用户的边缘端,数据处理过程一般是终端将数据上传到边缘节点,边缘节点处理后返回给终端(自己或协作与云中心)。虽然降低了数据传输过程中隐私泄露的风险,但也使得边缘设备能够获取并存储大量用户原始敏感数据,这给边缘计算中的数据隐私保护带来了新的挑战。例如,在智能家居场景中,部署在用户家中的智能系统中的智能传感器可以捕捉到大量的用户隐私信息,例如房间布局、家中人员的动态活动信息等。但与传统云中心相比,边缘节点通常缺乏有效的加密或脱敏措施,面临多目标、多渠道、多形式的隐私泄露威胁。一旦边缘节点被黑客、嗅探和腐蚀,用户的家庭消费、电子医疗系统中的个人健康信息、道路事件车辆信息等隐私信息将被泄露。如果此类信息被不法分子获取,用户的生命财产将受到威胁。(2)数据容易损坏。边缘计算的基础设施位于网络的边缘。与中心化云服务器相比,缺乏有效的数据备份、恢复和审计措施。一旦数据在边缘节点丢失或损坏,本地没有数据恢复机制,云端也没有相应的数据备份。用户或企业只能接受数据丢失的后果。在边缘计算应用领域,丢失的可能是视频监控事故的重要数据取证,电信用户的计费数据,或者是工业生产中批量决策采集的数据,都会带来巨大的损失。(3)软硬件部署脆弱性高。在大规模分布式边缘计算系统中,为了降低制造部署和运维成本,边缘节点的硬件设备会牺牲一些安全性能。TEEs(TEEs),在云计算环境中非常流行,如IntelSGX、ARMTrustZone、AMD内存加密技术等)在现有边缘条件下还没有大规模实现;在软件部署上,为了提高批量部署的便利性,边缘节点更倾向于使用轻量级容器技术,但容器共享底层操作系统,隔离性差,攻击面广。软件实现的安全隔离面临内存泄漏或篡改等问题。3.2边缘管理节点的安全问题——不安全的大规模身份认证管理身份认证是验证或判断用户提供的访问凭证是否有效的过程,是其他安全管理服务的基础。与云中心相比,边缘设备更容易受到盗窃、中间人攻击和伪造等攻击,这对边缘网络的身份认证和后授权提出了巨大挑战。但边缘网络具有大规模、异构和动态的特点,难以实现统一的身份认证和高效的密钥管理。如果终端用户与边缘服务器之间缺乏身份认证,恶意边缘节点将有机会冒充合法边缘节点,引诱终端用户连接到恶意边缘节点,影响功能的实现,对用户造成危害。数据泄露。如果分布式边缘节点与云中心之间缺乏身份认证,攻击者就有可能侵入数据中心,威胁到整个系统的安全。3.3边缘计算节点通信的安全问题——不安全的通信协议边缘计算源于云中心网络架构,不仅在普通云环境下存在通信安全风险,而且由于边缘计算呈现分布式安全域及其通信主体是更容易被攻击等,自身存在通信安全隐患。通常,边缘计算节点和海量、异构、资源受限的现场或移动设备采用短距离无线通信技术,边缘计算节点和云服务器采用消息中间件或网络虚拟化技术。这些通信协议大多缺乏足够的安全性考虑,存在被窃听和篡改的风险。传统的通信协议难以满足边缘计算环境下的认证、密钥协商、隐私保护、数据共享等安全需求。4.总结本文以边缘计算架构中的边缘层为重点,讨论了边缘计算节点自身、边缘管理节点与边缘计算节点通信中存在的安全问题。此外,边缘计算还面临云计算数据中心入侵、恶意现场设备等安全威胁。为应对安全威胁,满足海量、异构、分布式边缘计算等非传统安全需求,相关企业、行业组织和学术机构目前正在开展相关研究,如利用区块链、联邦学习提高数据共享的安全为了推动边缘计算的长远发展,我们需要进一步探索,探索更全面、可实施的安全架构,研究专用的低延迟、高安全的专用通信协议。参考文献[1]石伟,曹杰,张庆,等.边缘计算:愿景与挑战[J].IEEE物联网杂志,2016,3(05):637~646.[2]李晓伟,陈本辉,杨登奇,等。边缘计算环境中的安全协议概述[J].计算机研究与发展,2022(059-004).[3]边缘计算产业联盟。边缘计算安全白皮书[EB/OL]。[2019]-11]。www.ecconsortium.org/Uploads/file/20191126/1574772963483806.pdf.[4]杨德全。边缘计算安全威胁与防御[J].自动化博览会,2022,39(2):3.[5]罗曼R,洛佩兹J,曼波M。移动边缘计算,Fog等:安全威胁和挑战的调查与分析[J]。未来一代计算机系统,2016,78(PT.2):680-698.[6]YahuzaM,IdrisM,WahabA,etal.边缘计算中安全和隐私要求的系统回顾:最新技术和未来研究机会[J]。IEEEAccess,2020,PP(99):1-1.[7]郑凤斌,朱东伟,臧文干,等。边缘计算:新计算范式综述与应用研究[J].计算机科学与探索,2020,14(4):13.[8]曹子文。边缘计算:框架与安全[J].保密科学与技术,2019(9):5.[9]刘云毅,张建民,冯小丽。5G边缘计算系统安全能力部署方案[J/OL].电信科学。https://kns.cnki.net/kcms/detail/11.2103.tn.20220614.1655.002.html[10]傅文军,毛雄飞,余海生,柯斌,张苏.5G边缘计算技术现状分析与方向思考[J].中国仪器仪表,2021(06):80-82.[11]赵明.边缘计算技术与应用综述[J].计算机科学,2020,47(S1):268-272+282.[12]EdgeXFoundry.EdgeXFoundry文档[OL].https://www.edgexfoundry.org。
