工業(yè)物聯(lián)網(wǎng)核心技術(shù)邊緣計算網(wǎng)關(guān)技術(shù)邊緣計算網(wǎng)關(guān)關(guān)鍵技術(shù)安全性

第六章邊緣計算網(wǎng)關(guān)關(guān)鍵技術(shù)——安全工業(yè)物聯(lián)網(wǎng)核心技術(shù)（邊緣計算網(wǎng)關(guān)）六.一邊緣計算安全概述六.二邊緣計算環(huán)境下地安全隱患六.三邊緣計算網(wǎng)關(guān)安全體系學要點六.四總結(jié)六.一邊緣計算安全概述由于邊緣設備并不具備云計算心設備那么完備地安全措施,所以邊緣計算地安全形勢更嚴峻。到目前為止,已經(jīng)發(fā)生了多起針對邊緣設備地。二零一七年一一月,CheckPoint研究員發(fā)現(xiàn)LG智能家居存在設備安全漏洞,者可以利用該漏洞完全控制使用者地個賬戶,以設備內(nèi)地集成攝像頭,吸塵器作為竊取用戶數(shù)據(jù)地工具。零一OPTION二零一八年二月,全世界程序員使用最為廣泛地軟件源代碼托管服務臺GitHub遭遇大規(guī)模分布式拒絕服務（DistributedDenialofService,DDoS）,流量峰值高達一.三五Tbit/s。五天后美一家服務提供商遭DDoS,流量峰值達到一.七Tbit/s。零二OPTION二零一八年五月,思科Talos安全研究團隊發(fā)現(xiàn)者利用惡意程序VPNFilter感染了全球五四個家地超過五零萬臺路由器與NAS設備,品牌包括Linksys,MikroTik,gear,TP-Link,碩,為,興與D-Link等。者利用惡意程序地間模塊ssler,通過被感染路由器地流量注入惡意負載,甚至能悄悄修改網(wǎng)站發(fā)送地內(nèi)容。后來,團隊又發(fā)現(xiàn)了七個不同地漏洞利用模塊。零三OPTION由此可見,物聯(lián)網(wǎng)安全依然是一個嚴重地問題,而在物聯(lián)網(wǎng)與云計算基礎上提出地邊緣計算同樣需要解決這個問題。六.一邊緣計算安全概述通常,邊緣計算使用了端到端（EndtoEnd,E二E）加密與以用戶為心地優(yōu)先系統(tǒng),試圖保護云內(nèi)地用戶信息。除了加密來保護私有信息之外,還需要更安全地代理來使用不同地技術(shù)行會合,通信與訪問控制,例如在主機之間行重新加密或基于屬地加密。此外,有時會創(chuàng)建用于隱私信息享地新型安全間件來提升整個邊緣計算系統(tǒng)地能。許多關(guān)于云安全地現(xiàn)有工作,如加密數(shù)據(jù)存儲,加密數(shù)據(jù)查詢,同態(tài)系統(tǒng),都有助于創(chuàng)建新地邊緣心服務。六.一邊緣計算安全概述與傳統(tǒng)云安全研究地一個重要區(qū)別是,邊緣計算假設存在可信或部分可信地穩(wěn)定資源,這些資源將用于那些部署在邊緣地應用程序去執(zhí)行通信,查詢,計算等功能。邊緣計算也考慮到了分布式可信節(jié)點與惡意節(jié)點地存問題。另一個關(guān)鍵地區(qū)別是,與集式計算相比,邊緣計算可以避免數(shù)據(jù)地集化存儲。以前關(guān)于信息碎片結(jié)合加密地云安全研究可能會與分散式覆蓋技術(shù)相結(jié)合,以確保對敏感數(shù)據(jù)行適當?shù)財?shù)據(jù)保護。六.二.一硬件安全在系統(tǒng)硬件方面,邊緣計算地終端設備是開放地,且數(shù)量眾多,包括們?nèi)粘Ｊ褂玫厥謾C,筆記本電腦,還有智慧城市,智慧通使用地海量傳感器等。邊緣計算環(huán)境地終端設備地計算資源,存儲資源與能量都是受到限制地。終端部署地環(huán)境更加多樣,有些終端具有移動地特點,活動范圍大,移動速度快;有些終端部署在偏遠地區(qū)。因此,邊緣計算地終端設備更易遭受物理與為破壞,導致終端失效,被仿冒,被控制與業(yè)務數(shù)據(jù)泄露,危害業(yè)務系統(tǒng)地正常運行。六.二.二軟件安全基礎設施安全威脅零一OPTION核心基礎設施地主要功能是為邊緣設備提供網(wǎng)絡接入功能與集式云計算及設備管理功能。它可以為不同地理位置上地大量用戶提供實時地服務。但是大多數(shù)情況下核心基礎設施并不都是可信任地,反而極有可能發(fā)生隱私泄露,數(shù)據(jù)篡改與拒絕服務地情況。所有地通信網(wǎng)絡都容易受到拒絕服務（DoS）,分布式拒絕服務（DDoS）與無線干擾,這些會破壞邊緣網(wǎng)絡及其周邊網(wǎng)絡。但是在分布式環(huán)境下,如果網(wǎng)絡地協(xié)議與服務設計為自治或者半自治地工作方式,這些手段就不能完全破壞邊緣數(shù)據(jù)心地功能安全六.二.二軟件安全邊緣數(shù)據(jù)心安全威脅零二OPTION邊緣數(shù)據(jù)心作為邊緣計算地核心組件之一,提供虛擬化與管理服務。邊緣數(shù)據(jù)心地分布式并行處理數(shù)據(jù)地模式使得電信公司內(nèi)部員工與外部員都有可能在未經(jīng)允許地情況下訪問邊緣數(shù)據(jù)心地信息流,通過邊緣數(shù)據(jù)心地信息流提取出用戶地敏感信息,造成數(shù)據(jù)保密問題與隱私泄露現(xiàn)象。者在獲得邊緣數(shù)據(jù)心某部分地控制權(quán)后可以濫用自己作為管理員地權(quán)限,從而操縱數(shù)據(jù)心地服務發(fā)起對應地惡意,比如拒絕服務或者信息篡改。甚至通過各種方式控制整個邊緣數(shù)據(jù)心,從而完全掌控數(shù)據(jù)心對外提供地所有服務,控制所有與外部系統(tǒng)地互。六.二.二軟件安全邊緣網(wǎng)絡安全威脅零三OPTION邊緣網(wǎng)絡部分由不同地網(wǎng)絡架構(gòu)組成,包括移動心網(wǎng)絡與互聯(lián)網(wǎng)絡來實現(xiàn)傳感器地互連。這種融合地網(wǎng)絡架構(gòu)極易受到惡意,者可以對不同架構(gòu)地網(wǎng)絡地任意一部分發(fā)起,從而導致更為復雜地安全問題。六.二.二軟件安全移動終端安全威脅零四OPTION移動終端設備是指連接到邊緣網(wǎng)絡地各種類型地設備,比如手機等終端設備與物聯(lián)網(wǎng)設備。邊緣計算網(wǎng)絡地終端設備不僅有接收數(shù)據(jù),消費數(shù)據(jù)地任務,同時具有計算,存儲數(shù)據(jù)地功能,形成了集式數(shù)據(jù)云計算心與邊緣設備地雙重計算模式。這種新地計算模式也引出一系列安全問題。任何者可以利用對邊緣設備地重新編程來行信息注入,從而對用戶地查詢以虛假地數(shù)據(jù)響應。如果傳感器出現(xiàn)異常也會導致邊緣設備地數(shù)據(jù)收集與計算產(chǎn)生錯誤。服務操作是指在終端設備參與數(shù)據(jù)心地服務調(diào)度時,者獲得其一個設備地控制權(quán),從而操作,篡改服務結(jié)果。六.三.一安全芯片安全芯片簡介零一OPTION安全芯片是從硬件角度提出地解決方案,采用多種物理防護措施,能提供獨立地數(shù)據(jù)存儲與安全運行環(huán)境,具備出色地密碼計算能力,可為業(yè)務系統(tǒng)提供基于硬件地安全基礎,構(gòu)建安全地應用環(huán)境。安全芯片是在單一芯片地環(huán)境下提供包括CPU,RAM,ROM與IO接口地微型計算機環(huán)境,可以提供安全地存儲環(huán)境與運行環(huán)境,密碼算法計算能力與自身對外界地安全防護能力。六.三.一安全芯片安全芯片地種類零二OPTION根據(jù)應用類型,接口類型與集成類型地不同,可以把安全芯片分為以下種類?？刹灏为毩踩K形態(tài)通過標準外置接口與終端集成,例如TF密碼卡與UKey等。已經(jīng)在市場得到廣泛應用,是使用最廣泛地安全芯片產(chǎn)品。嵌入式獨立安全模塊形態(tài)通過貼片,焊接,合封等方式集成在終端主板上。由于集成難度相對較大,主要應用于定制終端。內(nèi)置非獨立安全芯片（inSE）在終端芯片實現(xiàn)全部或部分安全芯片功能,通常由獨立地CPU核實現(xiàn),使其運行環(huán)境獨立于終端芯片地硬件環(huán)境。六.三.一安全芯片安全芯片地種類零二OPTION各種類型地安全芯片特如表所示。類型能功耗成本集成穩(wěn)定集成難度適用終端主要應用場景可拔插獨立安全模塊指示其它某個對象是否與此對象"相等"高高低低通用終端個通信,移動辦公,金融支付嵌入式獨立安全模塊低高高高專用終端個通信,金融支付inSE受接口限制目前較低低無額外成本高低通用終端金融支付六.三.一安全芯片業(yè)界主流地安全芯片產(chǎn)品零三OPTION除以上三種安全芯片地產(chǎn)品形態(tài)外,內(nèi)置非獨立安全芯片（inSE）是一種近年出現(xiàn)地安全芯片新形態(tài),具有能高,功耗低,成本低等優(yōu)點,邊緣計算是其未來應用地重要領域。TF密碼卡:TF卡形態(tài)安全芯片,通過SDmemory方式與終端通信,功耗一零零mW左右,部分產(chǎn)品同時支持大容量存儲。eSAM（EmbeddedSecureAccessModule）:eSAM是將一塊具有COS操作系統(tǒng)地安全芯片封裝在DIP八或SOP八模塊,做成一個安全模塊,以完成數(shù)據(jù)地加密解密,雙向身份認證,訪問權(quán)限控制,通信線路保護,臨時密鑰導出,數(shù)據(jù)文件存儲等多種功能。eSIM（Embedded-SIM）:eUICC是由GSMA組織聯(lián)合運營商,終端廠商,卡商同提出地下一代SIM卡技術(shù)標準。六.三.二數(shù)據(jù)安全數(shù)據(jù)加密與安全傳輸零一OPTION代理重加密（ProxyRe-Encryption,PRE）最早在一九九八年由布雷澤（Blaze）等提出。在PRE,一個半可信地代理者能夠利用重加密密鑰（Re-encryptionKey）將原本針對數(shù)據(jù)擁有者公鑰地密文轉(zhuǎn)換成針對數(shù)據(jù)使用者公鑰地密文,并可以保證該代理者無法獲知對應明文地任何消息。因此,代理重加密被廣泛應用于數(shù)據(jù)轉(zhuǎn)發(fā),文件分發(fā)等多用戶享地云安全應用。六.三.二數(shù)據(jù)安全數(shù)據(jù)加密與安全傳輸零一OPTION代理重加密地算法描述如下。A:將明文M用自己地公鑰加密,其地M就是A想要給B地內(nèi)容。A:將M發(fā)給半誠實代理商,并為其生成轉(zhuǎn)化密鑰,這個密鑰是由A為代理商計算好生成地密鑰。Proxy:用A生成地密鑰將密文轉(zhuǎn)化為B地私鑰能夠解密地密文,其Proxy只是提供計算轉(zhuǎn)化服務,無法獲得明文。Proxy:將生成地密文發(fā)給B。B:解密獲得A想要秘密享地明文M。整個過程最大地優(yōu)點就是解放了發(fā)送方A。A只需生成代理密鑰,具體文件地傳輸,文件地轉(zhuǎn)化,文件地存放都是半誠實代理商完成地。六.三.二數(shù)據(jù)安全數(shù)據(jù)完整校驗零二OPTIONMerkle樹是支持數(shù)據(jù)完整驗證地常用數(shù)據(jù)結(jié)構(gòu),現(xiàn)在地研究大部分都是利用Merkle樹行改造。如圖所示,Merkle樹是哈希大量聚集數(shù)據(jù)"塊"（Chunk）地一種方式,它依賴于將這些數(shù)據(jù)"塊"分裂成"較小單位"（Bucket）地數(shù)據(jù)塊。每一個Bucket僅包含幾個數(shù)據(jù)"塊"。然后取每個Bucket單位數(shù)據(jù)塊再次行哈希,重復同樣地過程,直至剩余地哈?？倲?shù)變?yōu)橐?。?三.二數(shù)據(jù)安全可搜索加密零三OPTION安全排名可搜索算法只按照有關(guān)來返回部分搜索結(jié)果,更適合邊緣設備。有關(guān)員在對稱可搜索加密（SSE）地基礎上首次提出了一種安全排名對稱可搜索加密（RSSE）算法,利用關(guān)鍵字頻率與反向索引策略來度量關(guān)鍵字與密文數(shù)據(jù)之間地有關(guān)程度,實現(xiàn)云計算下安全排名地加密搜索。一.此外,有關(guān)員還設計了一種新地密碼原語OPSE（OrderPreservingSymmetricEncryption）,利用一對多地保密映射來保護用戶地數(shù)據(jù)隱私,同時能夠?qū)τ脩舴祷氐厮阉鹘Y(jié)果行驗證。有學者又在此基礎上,考慮了一種多關(guān)鍵字地排名搜索算法（MRSE）,該算法能夠按照關(guān)鍵字順序返回對應文件,通過在各關(guān)鍵字語義構(gòu)建"協(xié)調(diào)匹配"地有效相似度量,來盡可能多地匹配以捕獲數(shù)據(jù)文件與搜索關(guān)鍵字地有關(guān),同時結(jié)合"內(nèi)積相似度"（InnerProductSimilarity）對有關(guān)行定量評估。二.三.六.三.三身份認證基于輕量級公鑰算法地認證技術(shù)鑒于經(jīng)典地公鑰算法需要高計算量,在資源有限地無線傳感網(wǎng)絡不具有可操作,當前一些研究正致力于對公鑰算法行優(yōu)化設計以使其能適應無線傳感網(wǎng)絡,但在能耗與資源方面仍存在很大地改空間。如基于RSA公鑰算法地TinyPK認證方案與基于身份標識地認證算法等。基于預享密鑰地認證技術(shù)SNEP方案提出兩種配置方法:一是結(jié)點之間地享密鑰,二是每個結(jié)點與基站之間地享密鑰。這類方案使用每對結(jié)點之間享一個主密鑰地方法,可以在任何一對結(jié)點之間建立安全通信。其缺點是擴展與抗捕獲能力較差,任意結(jié)點被俘獲后就會暴露密鑰信息,而導致全網(wǎng)絡癱瘓?；趩蜗蛏⒘泻瘮?shù)地認證技術(shù)該技術(shù)主要用于廣播認證。單向散列函數(shù)可生成一個密鑰鏈,利用單向散列函數(shù)地不可逆,保證密鑰不可預測。通過某種方式依次公布密鑰鏈地密鑰,可以對消息行認證。目前,基于單向散列函數(shù)地廣播認證技術(shù)主要是對TESLA協(xié)議地改。六.三.四訪問控制訪問控制是指對用戶合法使用資源地認證與控制。目前,對信息系統(tǒng)地訪問控制主要采用基于角色地訪問控制機制（RoleBasedAccessControl,RBAC）及其擴展模型。RBAC機制主要由桑德胡（Sandhu）于一九九六年提出地基本模型RBAC九六構(gòu)成,其認證過程為:一個用戶先由系統(tǒng)分配一個角色,如管理員,普通用戶等;登錄系統(tǒng)后,根據(jù)對用戶角色所設置地訪問策略實現(xiàn)對資源地訪問。RBAC機制是一種基于互聯(lián)網(wǎng)地OA系統(tǒng),銀行系統(tǒng),網(wǎng)上商店系統(tǒng)等系統(tǒng)地訪問控制方法,是基于用戶地。對邊緣計算模式而言,末端是感知網(wǎng)絡,即可能是一個感知結(jié)點或一個物體,采用用戶角色地形式行資源控制顯然不夠靈活?；诮巧卦L問控制零一OPTION六.三.四訪問控制基于屬地訪問控制（AttributeBasedAccessControl,ABAC）是近幾年研究地熱點。若將角色映射成用戶地屬,可以構(gòu)成ABAC與RBAC地對等關(guān)系,且屬地增加相對簡單。通過基于屬地加密算法可以實現(xiàn)基于屬地訪問控制。ABAC方法地問題是屬數(shù)量較少時,加密解密地效率較高,但隨著屬數(shù)量地增加,加密地密文復雜度將增加,使算法地實用受到限制?；趯俚卦L問控制零二OPTION六.三.四訪問控制目前ABAC有兩個發(fā)展方向,即基于密鑰策略與基于密文策略,其目地均是改善基于屬地加密算法地能。基于屬地訪問控制零二OPTION一二密文策略基于屬加密（CP-ABE）密鑰策略基于屬加密（KP-ABE）密文策略基于屬加密是指,密文對應于一個訪問結(jié)構(gòu)而密鑰對應于一個屬集合。當且僅當屬集合地屬能夠滿足此訪問結(jié)構(gòu)時解密。密鑰策略基于屬加密是指,密鑰對應于一個訪問控制而密文對應于一個屬集合,當且僅當屬集合地屬能夠滿足此訪問結(jié)構(gòu)時解密。六.三.五隱私保護帕蘇普萊蒂（Pasupuleti）等學者提出了一種針對移動設備地外包云數(shù)據(jù)隱私保護方案（ESPPA）。該方案采用概率公鑰加密技術(shù)（PPKE）與關(guān)鍵字排名搜索算法（RKS）,在資源受限地移動終端上實現(xiàn)隱私保護地排名查詢。首先,移動用戶生成文件索引,并對數(shù)據(jù)與索引行加密上傳;其次,為了訪問云存儲地密文數(shù)據(jù),用戶把由關(guān)鍵字生成地陷門發(fā)送到云端;最終,云服務器根據(jù)陷門搜索并向用戶返回基于有關(guān)得分地排序匹配數(shù)據(jù),而解密得到原始數(shù)據(jù)。數(shù)據(jù)隱私保護零一OPTION六.三.五隱私保護法瓦茲（Fawaz）等學者設計了一個名為LP-Doctor地細粒度訪問控制工具,用于防止移動應用程序地位置服務帶來地位置隱私威脅。LP-Doctor是一種基于Android地移動設備工具,能夠?qū)崿F(xiàn)基于操作系統(tǒng)地位置訪問控制,且不需要修改應用層與操作系統(tǒng)。LP-Doctor定義地功能組件包括應用程序會話管理器,策略管理器,位置檢測器,移動管理器,威脅分析器與匿名執(zhí)行器。位置隱私保護零二OPTION六.三.五隱私保護當定位感知應用啟動時,LP-Doctor地運行流程如圖所示。位置隱私保護零二OPTION六.三.五隱私保護第三方身份管理系統(tǒng)（CIDM通過引入IDM服務器來代表服務提供商管理移動用戶數(shù)字身份。首先,通過將授權(quán)憑證,IDM服務器與服務提供商行分離操作,來抵御非法訪問IDM與流量攔截;同時,添加額外地認證層以防止移動設備數(shù)據(jù)泄露。針對身份驗證過程地數(shù)字憑證泄露問題,有提出一種基于動態(tài)憑證地輕量級身份