開(kāi)放霧計算參考架構安全問(wèn)題初探

　　鄒晶晶，金?晶(中國電子科技集團公司第三十研究所,成都?610000）

　　摘?要：隨著(zhù)邊緣計算、霧計算和云計算的相繼部署，全球信息基礎設施經(jīng)歷了有史以來(lái)最大的變革，這不僅改變了人們的生活和工作方式，同時(shí)對于產(chǎn)品和服務(wù)的供給模式、人機交互方式等諸多方面也帶來(lái)了顛覆性的影響。本文將從目標、特性和方法三個(gè)方面對開(kāi)放霧計算參考架構（OpenFog RA）進(jìn)行概述，討論開(kāi)放霧計算部署過(guò)程中存在的安全問(wèn)題。

　　關(guān)鍵詞：霧計算;云計算;安全架構;物聯(lián)網(wǎng)

　　0 引言

　　隨著(zhù)物聯(lián)網(wǎng)、邊緣計算、霧計算和云計算的相繼部署，全球信息服務(wù)基礎設施正在經(jīng)歷有史以來(lái)最大的變革。長(cháng)期以來(lái)，全球用戶(hù)都嚴重依賴(lài)關(guān)鍵信息基礎設施，因此基礎設施的信息安全和服務(wù)可信度成為了關(guān)鍵問(wèn)題。智能設備的普及及其自身的物理脆弱性加劇了用戶(hù)的擔憂(yōu)。開(kāi)放霧計算聯(lián)盟（OpenFog Consortium）通過(guò)在信息提供者和消費者之間插入安全可信的計算服務(wù)，可以大大降低安全風(fēng)險，確保服務(wù)的可用性和及時(shí)響應性。本文將從目標、特性和方法三個(gè)方面對開(kāi)放霧計算參考架構（OpenFog RA）進(jìn)行概述，討論開(kāi)放霧計算部署過(guò)程中存在的安全問(wèn)題。

　　1 開(kāi)放霧計算參考體系架構

　　2017年2月，OpenFog Consortium發(fā)布了開(kāi)放霧計算參考架構，該架構是一個(gè)水平的、系統級架構，它沿著(zhù)云到物統一體分配用于計算、存儲、控制和聯(lián)網(wǎng)的資源與服務(wù)，同時(shí)，支持多個(gè)行業(yè)的垂直應用，使服務(wù)與應用能夠更接近數據源。此次發(fā)布的參考體系架構基于八項被稱(chēng)為“支柱”的核心技術(shù)原則，分別是安全性、可擴展性、開(kāi)放性、自主性、RAS（可靠性、可用性和可維護性）、敏捷性、層次性和可編程性。該參考架構滿(mǎn)足了用于云到霧統一體的可互操作、端到端數據連接解決方案的需求。2018年6月，開(kāi)放霧計算參考架構已被IEEE標準協(xié)會(huì )采納為正式標準。

　　這種可擴展的計算架構建立在霧節點(diǎn)的基礎上，霧節點(diǎn)是通信和計算實(shí)體，一方面支持硬件虛擬化和可信計算，另一方面支持安全通信和服務(wù)提供。在終端設備之間的通信路徑上可以部署多層霧節點(diǎn)，每個(gè)霧節點(diǎn)之間可以互相通信和協(xié)作以傳播信息和計算服務(wù)，同時(shí)支持負載平衡、容錯和對網(wǎng)絡(luò )異常、安全攻擊的及時(shí)響應。

　　2 開(kāi)放霧計算的安全目標及存在問(wèn)題

　　2.1 開(kāi)放霧計算的安全目標

　　開(kāi)放霧計算參考架構需要具備安全性，通過(guò)霧節點(diǎn)為那些不具備自我保護能力的設備和子系統提供安全與可信計算服務(wù)。開(kāi)放霧計算的安全目標主要是為了保護新的計算范式，包括多租戶(hù)技術(shù)和多層物聯(lián)網(wǎng)-霧-云混合技術(shù)。

　　2.1.1 多租戶(hù)技術(shù)

　　未來(lái)，大多數霧節點(diǎn)都將支持多租戶(hù)技術(shù)，一個(gè)軟件實(shí)例可以服務(wù)于多個(gè)租戶(hù)和用戶(hù)組。多租戶(hù)技術(shù)要求各個(gè)實(shí)例在運行過(guò)程中進(jìn)行環(huán)境之間的邏輯隔離，這樣每個(gè)實(shí)例就可以獨立執行功能。為了實(shí)現這一點(diǎn)，霧節點(diǎn)必須配備可信的計算基礎和安全策略實(shí)施引擎，以便它們能夠實(shí)現不同組織或應用域租戶(hù)的流程隔離、訪(fǎng)問(wèn)控制、資源管理和服務(wù)質(zhì)量要求。

　　2.1.2 多層物聯(lián)網(wǎng)-霧-云混合技術(shù)

　　設備-霧-云統一體中所呈現出來(lái)的用戶(hù)進(jìn)程能夠在可信執行環(huán)境中運行，并通過(guò)動(dòng)態(tài)的網(wǎng)格關(guān)系實(shí)現彼此的交互。在這一過(guò)程中，不僅數據在通過(guò)多層霧節點(diǎn)傳播的過(guò)程中會(huì )經(jīng)歷更加復雜的處理，還可以在同一層的霧節點(diǎn)之間實(shí)現數據共享和聚合。為了確保正確的數據和流程管理，必須將邏輯域結構與正確的策略管理結合起來(lái)。

　　2.2 開(kāi)放霧計算參考架構中存在的安全問(wèn)題

　　2.2.1 遺留的過(guò)時(shí)設備

　　在系統升級期間，原有的老舊應用都會(huì )對現有的計算和存儲設備進(jìn)行重用，以便保護現有的工作系統并節約成本。但這種做法通常會(huì )帶來(lái)安全問(wèn)題，因為這些遺留設備在設計之初并沒(méi)有考慮到開(kāi)放霧計算的安全需求。因此，在將遺留設備集成到開(kāi)放霧計算系統之前，必須對它們進(jìn)行適當的性能完善。最優(yōu)做法是將加固后的霧節點(diǎn)部署為遺留設備和開(kāi)放霧計算系統之間的中間介質(zhì)。

　　2.2.2 異構協(xié)議和操作流程

　　異構性是開(kāi)放霧計算架構的本質(zhì)，因此，確保開(kāi)放霧計算實(shí)體之間的端到端通信安全是至關(guān)重要的，這些實(shí)體具有不同的性能和功能。開(kāi)放霧計算將根據通用的區域性實(shí)踐，采用加密功能和安全通信協(xié)議的標準化集合。為了使霧節點(diǎn)能夠與各種遺留設備實(shí)現互操作，將開(kāi)發(fā)協(xié)議抽象層和IP適配層。

　　2.2.3 設備間的資源約束

　　現有的設備可能還沒(méi)有做好準備迎接霧計算的到來(lái)，無(wú)法充分保護自身系統。例如，許多物聯(lián)網(wǎng)設備無(wú)法實(shí)現強大的加密功能，容易受到欺騙和重放攻擊。霧節點(diǎn)如何在不損害端到端安全性，甚至更好地為這些設備提供安全服務(wù)的情況下，與這些設備進(jìn)行交互，仍然是目前所面臨的巨大挑戰。

　　3 開(kāi)放霧計算參考架構的安全特性

　　許多開(kāi)放霧計算應用可能需要將霧節點(diǎn)部署在公開(kāi)的物理環(huán)境中，與不可信的邊緣節點(diǎn)和設備進(jìn)行互操作，并在嚴格的操作約束條件下提供關(guān)鍵任務(wù)服務(wù)。這些要求意味著(zhù)開(kāi)放霧計算系統必須提供比傳統信息系統更強的安全性，并提供具有可用性、安全性的信息服務(wù)。

　　3.1 外在安全與內在安全

　　安全保障必須根據霧節點(diǎn)的外部屬性（如采用標準化的加密函數和安全協(xié)議）和內部屬性（如實(shí)現這些函數和協(xié)議的保障級別）來(lái)指定。這些內部屬性將確保信任鏈建立在信任根之上，并傳播到霧節點(diǎn)的可信計算基中。外在和內在的屬性都應當能夠識別潛在威脅，并對系統實(shí)施必要的保護措施。

　　3.2 保護范圍

　　開(kāi)放霧計算系統的保護范圍必須包括一個(gè)或多個(gè)相互連接的霧節點(diǎn)，以及設備-霧-云統一體中的所有實(shí)體。使用場(chǎng)景包括霧節點(diǎn)之間和霧節點(diǎn)內部的交互，以及節點(diǎn)到設備和節點(diǎn)到云的交互。在過(guò)渡設備部署時(shí)，可能還需要考慮霧節點(diǎn)和遺留設備之間的交互。連接/互操作域和服務(wù)/應用域的相關(guān)規范可以在信息傳遞和服務(wù)支持層面進(jìn)一步細化保護范圍。

　　3.3 威脅模型

　　由霧節點(diǎn)保護的資產(chǎn)不僅包括軟件、數據和元數據，同時(shí)也包括計算、網(wǎng)絡(luò )和存儲資源與服務(wù)。由于霧節點(diǎn)存在物理暴露和安全邊界的開(kāi)放性，因此可能會(huì )面臨物理安全、通信安全、計算安全等多方面的威脅。這些威脅必須根據不同使用場(chǎng)景下潛在影響的嚴重程度進(jìn)行排序，還應考慮故意或意外損壞/故障。

　　3.4 目標和交付成果

　　開(kāi)放霧計算安全工作組的任務(wù)是指導開(kāi)放霧計算系統開(kāi)發(fā)人員采用合適的系統保護策略，以抵御與應用相關(guān)的威脅。幫助開(kāi)發(fā)開(kāi)放霧計算安全評估框架也是開(kāi)放霧計算安全工作組的目標。為此，工作組開(kāi)始采用通用的標準方法處理霧節點(diǎn)的安全需求。

　　4 開(kāi)放霧計算的安全方法

　　以節點(diǎn)為中心的開(kāi)放霧計算安全方法由三個(gè)不同的方面組成：霧節點(diǎn)的物理安全、設備-霧-云統一體中的端到端安全、對出現在統一體中的軟/硬件實(shí)體實(shí)行安全監控和管理。

　　4.1 物理安全

　　霧節點(diǎn)所需的物理安全級別取決于外部人員訪(fǎng)問(wèn)其物理組件的容易程度，以及如果這些組件受到威脅將會(huì )帶來(lái)什么后果。這些物理風(fēng)險評估可能需要部署四種類(lèi)型的防篡改機制，包括防御、證據、偵查和響應，以阻止或減輕針對設備的潛在物理攻擊和網(wǎng)絡(luò )攻擊。當防篡改機制建立后，應當允許進(jìn)行合法的維護。為此，霧節點(diǎn)應該具有一種特定的安全維護模式。授權人員在維護過(guò)程中可以暫時(shí)禁用防篡改機制，并在維護工作完成后重新啟用該機制。

　　4.2 端到端安全

　　通過(guò)對節點(diǎn)、網(wǎng)絡(luò )和數據安全進(jìn)行保護，為位于設備-霧-云統一體中的所有信息、服務(wù)和應用提供端到端安全。

　　4.2.1 節點(diǎn)安全

　　安全的開(kāi)放霧計算系統的開(kāi)發(fā)應該從其霧節點(diǎn)的安全實(shí)現開(kāi)始，這些節點(diǎn)應該瞄準在安全硬件中實(shí)現的強信任根，或者由硬件支持的安全機制所保護的強信任根。同時(shí)，還應當借助策略執行引擎管理用戶(hù)進(jìn)程之間的信息流，這些用戶(hù)進(jìn)程是根據多個(gè)租戶(hù)的要求來(lái)執行的。配備可信計算基的霧節點(diǎn)能夠將信任鏈從強信任根擴展到用戶(hù)進(jìn)程，并通過(guò)硬件虛擬化和可信引導實(shí)例化可信執行環(huán)境。

　　4.2.2 網(wǎng)絡(luò )安全

　　開(kāi)放霧計算網(wǎng)絡(luò )安全包括通信安全和信息安全服務(wù)。X.800建議為開(kāi)放系統互連的安全通信提供概念性和功能性的框架，霧節點(diǎn)應遵循X.800建議中所提供的通信安全服務(wù)，包括機密性、完整性、身份驗證、不可否認性。此外，霧節點(diǎn)通過(guò)網(wǎng)絡(luò )功能虛擬化和軟件定義網(wǎng)絡(luò )來(lái)提供信息安全服務(wù)。系統管理員應按照互操作性和服務(wù)領(lǐng)域規范統一部署服務(wù)，并根據基于域的安全服務(wù)策略進(jìn)行操作。

　　4.2.3 數據安全

　　設備-霧-云統一體中的數據、元數據和程序擁有三種狀態(tài)：正在使用的數據、靜止數據、動(dòng)態(tài)數據。

　　對于正在使用的機密數據，系統管理員可以設備訪(fǎng)問(wèn)、數據修改設置權限?？尚殴芾沓绦蚩梢酝ㄟ^(guò)抽象和虛擬化的硬件平臺提供額外的保護，從而限制單個(gè)虛擬機的執行環(huán)境。

　　對于靜止數據，必須對用戶(hù)進(jìn)程發(fā)起的所有數據訪(fǎng)問(wèn)強制執行基于角色的訪(fǎng)問(wèn)控制，必須使用安全憑證和訪(fǎng)問(wèn)控制策略來(lái)進(jìn)行靜止數據的安全保護。

　　對于動(dòng)態(tài)數據則必須通過(guò)網(wǎng)絡(luò )安全措施加以保護。

　　在可信執行環(huán)境中執行的用戶(hù)進(jìn)程可以選擇使用服務(wù)/進(jìn)程的專(zhuān)屬密鑰加密其數據，從而進(jìn)一步加強信息的私密性。

　　4.3 安全監控與管理

　　新的威脅、漏洞，甚至是環(huán)境中的簡(jiǎn)單變化都可能導致新攻擊載體的出現。因此，開(kāi)放霧計算的安全監控與管理必須賦予開(kāi)放霧計算系統快速有效地響應安全環(huán)境變化的能力。安全管理利用策略來(lái)定義開(kāi)放霧計算系統的運行方式，而安全監控則報告系統的實(shí)際運行方式。安全管理策略交付系統應該是自動(dòng)化的，以便向大量的霧節點(diǎn)實(shí)時(shí)提供和執行安全策略。

　　5 結語(yǔ)

　　開(kāi)放霧計算提出了一種普適的、異構多層通信計算參考架構，為廣泛的IT/OT應用程序提供可靠的信息服務(wù)。在安全領(lǐng)域，研究人員正在建立安全即服務(wù)的概念，這是一個(gè)基于霧節點(diǎn)的、策略驅動(dòng)型的信息安全服務(wù)，通過(guò)網(wǎng)絡(luò )功能虛擬化為終端設備提供安全服務(wù)。包括分布式持久賬本在內的新技術(shù)，特別是區塊鏈（如Ethereum和IOTA Tangle）和信息傳播傳輸（如BATS代碼），都可以用來(lái)增強開(kāi)放霧計算安全的可擴展性和魯棒性。

　?。ㄗⅲ罕疚膩?lái)源于科技期刊《電子產(chǎn)品世界》2020年第05期第73頁(yè)，歡迎您寫(xiě)論文時(shí)引用，并注明出處。）