【论文阅读#2】边缘计算安全白皮书

一、边缘计算定义

1.0定义：边缘计算是在靠近物或数据源头的网络边缘侧，融合网络、计算、存储、应用核心能力的开放平台，就近提供边缘智能服务，满足行业数字化在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。

2.0定义：边缘计算的业务本质是云计算在数据中心之外汇聚节点的延伸和演进，主要包括云边缘、边缘云和云化网关三类落地形态；以“边云协同”和“边缘智能”为核心能力发展方向；软件平台需要考虑导入云理念、云架构、云技术，提供端到端实时、协同式智能、可信赖、可动态重置等能力；硬件平台需要考虑异构计算能力，如鲲鹏、ARM、X86、GPU、NPU、FPGA 等。

3.0定义：

• 整个系统分为云、边缘和现场三层，边缘计算位于云和现场层之间，边缘层向下支持各种现场设备的接入，向上可以与云端对接；
• 边缘层包括边缘节点和边缘管理器两个主要部分。边缘节点是硬件实体，是承载边缘计算业务的核心。边缘管理器的呈现核心是软件，主要功能是对边缘节点进行统一的管理；
• 边缘计算节点一般具有计算、网络和存储资源，边缘计算系统对资源的使用有两种方式：第一，直接将计算、网络和存储资源进行封装，提供调用接口，边缘管理器以代码下载、网络策略配置和数据库操作等方式使用边缘节点资源；第二，进一步将边缘节点的资源按功能领域封装成功能模块，边缘管理器通过模型驱动的业务编排的方式组合和调用功能模块，实现边缘计算业务的一体化开发和敏捷部署。

我的总结：1.0的定义主要从边缘计算的能力与价值出发进行阐述，2.0的定义是从边缘计算的构建和本质出发进行阐述，3.0将边缘计算模型化，边缘是介于云与现场设备之间的产物。

二、边缘计算的安全功能视图

因为边缘介于云和现场设备之间，因此可以根据整个数据的传输过程将安全问题分为几大类，分别是：边缘基础设施安全、边缘网络安全、边缘数据安全、边缘应用安全，每一类的安全问题都存在着几个小问题，如上图所示。

2.1边缘基础设施安全

边缘基础设施为整个边缘计算节点提供软硬件基础，边缘基础设施安全是边缘计算的基本保障，需要保证边缘基础设施在启动、运行、操作等过程中的安全可信，建立边缘基础设施信任链条，信任链条连接到哪里，安全就能保护到那里。边缘基础设施安全涵盖从启动到运行整个过程中的设备安全、硬件安全、虚拟化安全和 OS 安全。

2.1.1恶意的边缘节点，针对于边缘接入，攻击者可能将恶意边缘节点伪装成合法的边缘节点，诱使终端用户连接到恶意边缘节点，隐秘地收集用户数据。类似于攻击者可以进行钓鱼攻击，如何检测恶意的边缘节点，涉及到设备安全、接入认证和入侵检测等问题。

2.1.2不安全的系统与组件，针对于边缘服务器，边缘节点可以分布式承担云的计算任务。然而，边缘节点的计算结果是否正确对用户和云来说都存在信任问题。这里需要注意系统安全等，同时也要注意边缘节点的身份标识与鉴别。

2.1.3易蔓延的APT攻击，针对于边缘服务器，APT 攻击是一种寄生形式的攻击，通常在目标基础设施中建立立足点，从中秘密地窃取数据，并能适应防备 APT 攻击的安全措施。在边缘计算场景下，APT 攻击者首先寻找易受攻击的边缘节点，并试图攻击它们和隐藏自己。更糟糕的是，边缘节点往往存在许多已知和未知的漏洞，且存在与中心云端安全更新同步不及时的问题。一旦被攻破，加上现在的边缘计算环境对 APT 攻击的检测能力不足，连接上该边缘节点的用户数据和程序无安全性可言。与上述类似，同样要保证边缘节点的安全问题。

2.1.4硬件安全支持不足，针对于边缘服务器，边缘节点更倾向于使用轻量级容器技术，但容器共享底层操作系统，隔离性更差，安全威胁更加严重。因此，仅靠软件来实现安全隔离，很容易出现内存泄露或篡改等问题。依旧是系统安全等问题。

2.2边缘网络安全

边缘网络安全是实现边缘计算与现有各种工业总线互联互通、满足所联接的物理对象的多样性及应用场景的多样性的必要条件。边缘计算环境下，由于边缘计算节点数量巨大、网络拓扑复杂，其攻击路径增加导致攻击者可以很容易的向边缘计算节点发送恶意数据包，发动拒绝服务攻击，影响边缘网络的可靠性和可信，边缘网络安全防护应建立纵深防御体系，从安全协议、网络域隔离、网络监测、网络防护等从内到外保障边缘网络安全。

2.2.1不安全的通信协议，针对于边缘接入，由于边缘节点与海量、异构、资源受限的现场 / 移动设备大多采用短距离的无线通信技术，边缘节点与云服务器采用的多是消息中间件或网络虚拟化技术，这些协议大多安全性考虑不足。因此需要选择以密码学为基础的安全的消息交换协议。

2.2.2易发起分布式拒绝服务，针对于边缘服务器，在工业边缘计算、企业和 IoT 边缘计算场景下，由于参与边缘计算的现场设备通常使用简单的处理器和操作系统，对网络安全不重视，或者因设备本身的计算资源和带宽资源有限，无法支持支持复杂的安全防御方案，导致黑客可以轻松对这些设备实现入侵，然后利用这些海量的设备发起超大流量的 DDoS 攻击。需要针对于大量的现场设备安全的协调管理。

2.2.3账号信息易被劫持，针对于边缘管理，账号劫持是一种身份窃取，主要目标一般为现场设备用户，攻击者以不诚实的方式获取设备或服务所绑定的用户特有的唯一身份标识。账号劫持通常通过钓鱼邮件、恶意弹窗等方式完成。通过这种方式，用户往往在无意中泄露自己的身份验证信息。攻击者以此来执行修改用户账号、创建新账号等恶意操作。类似于以前所研究的一些攻击方式，包括但不限于钓鱼攻击、肩窥攻击等。针对于钓鱼和恶意弹窗，需要加强检测和警报技术，肩窥等加强账户密码的安全性。

2.3边缘数据安全

边缘数据安全保障数据在边缘节点存储以及在复杂异构的边缘网络环境中传输的安全性，同时根据业务需求随时被用户或系统查看和使用。在边缘计算环境下，由于边缘计算服务模式的复杂性、实时性，数据的多源异构性、感知性以及终端资源受限特性，传统环境下的数据安全和隐私保护机制不再适用于边缘设备产生的海量数据防护，亟待新的边缘数据安全治理理念，提供轻量级数据加密、数据安全存储、敏感数据处理和敏感数据监测等关键技术能力，保障数据的产生、采集、流转、存储、处理、使用、
分享、销毁等环节的全生命周期安全，涵盖对数据完整性、保密性和可用性的考量。

2.3.1边缘节点数据易被损毁，针对于边缘服务器，由于边缘计算的基础设施位于网络边缘，缺少有效的数据备份、恢复、以及审计措施，导致攻击者可能修改或删除用户在边缘节点上的数据来销毁某些证据。需要轻量级的数据加密和数据的安全存储方式。

2.3.2隐私数据保护不足，针对于边缘服务器，边缘计算将计算从云迁移到临近用户的一端，直接对数据进行本地处理和决策，在一定程度上避免了数据在网络中长距离的传播，降低了隐私泄露的风险。然而，由于边缘设备获取的是用户第一手数据，能够获得大量的敏感隐私数据。在存储时需要有安全的存储方案以及轻量级的数据加密，传输时需要安全的传输协议。

2.4边缘应用安全

边缘应用安全是满足第三方边缘应用开发及运行过程中的基本安全需求，同时防止恶意应用对边缘计算平台自身以及其他应用安全产生影响。由于边缘计算应用在不同的行业领域，为满足未来不同行业和领域的差异化需求，必须采用开放式的态度引入大量的第三方应用开发者，开发大量差异化应用，同时通过一系列措施保证其基本的安全。为了实现这一目标，边缘应用安全应在应用的开发、上线到运维的全生命周期，都提供 APP 加固、权限和访问控制、应用监控、应用审计等安全措施。

2.4.1身份、凭证和访问管理不足，针对于边缘管理，身份认证是验证或确定用户提供的访问凭证是否有效的过程。在大规模、异构、动态的边缘网络中，如何在大量分布式边缘节点和云中心之间实现统一的身份认证和高效的密钥管理？需要权限和访问控制，例如轻量级的最小授权安全模型（白名单技术），去中心化、分布式的多域访问控制策略，支持快速认证和动态授权的机制等。

2.4.2不安全的接口和API，针对于边缘管理，在云环境下，为了方便用户与云服务交互，要开放一系列用户接口或 API 编程接口，这些接口需防止意外或恶意接入。此外，第三方通常会基于这些接口或 API来开发更多有附加价值的服务，这就会引入新一层的更复杂的 API，同时风险也会相应的增加。用户在使用时需要设计相应的应用监控和应用审计，一旦发现恶意行为可以及时报警。

2.4.3难管理的恶意管理员，针对于边缘管理，同云计算场景类似，在工业边缘计算、企业和IoT 边缘计算、电信运营商边缘计算等场景下，信任情况更加复杂，而且管理如此大量的 IoT 设备 / 现场设备，对管理、员来说都是一个巨大的挑战，很可能存在不可信 / 恶意的管理员。出现这种情况的一种可能是管理员账户被黑客入侵，另一种可能是管理员自身出于其它的目的盗取或破坏系统与用户数据。这我觉得没法预防QAQ，除了增加账户密码的安全性，也要增加应用监控和应用审计。

三、价值场景视图

根据市场价值细分，边缘计算典型的价值场景包括电信运营商边缘计算、企业和 IoT 边缘计算、工业边缘计算，其边缘安全的需求关注点各不相同。

3.1电信运营商边缘计算

在电信运营商价值场景中，由于边缘计算平台和应用部署在通用服务器上，边缘计算的本地业务处理特性，使得数据在核心网之外终结，运营商的控制力减弱，攻击者可能通过边缘计算平台或应用攻击核心网，造成敏感数据泄露、未授权访问等安全问题。电信运营商边缘计算的核心部分涉及运营商网络的可靠覆盖、网络业务的本地分流等，其边缘安全除需要考虑边缘基础设施、网络域、平台和应用的安全以及管理之外，对于有高安全级别需求的移动边缘计算应用，运营商还应考虑如何通过能力开放，将网络的安全能力以安全服务的方式提供给移动边缘计算应用，保障自身安全性的同时，还能够满足大型企业数据本地化处理以及时延敏感性业务的部署需求以及安全防护，开发更多的商业模式，创造更多的网络价值。

3.2企业和IoT边缘计算

与其他两类边缘计算相比，企业与 IoT 边缘计算在海量、异构和分布式等特点更加突出，IoT 终端资源受限的情况更加明确，软硬件系统的异构性更大；在应用方面，IoT涉及到消防、安防、视频监控、市政基础设施等领域的应用，关系到关键基础设施和众多的用户隐私，更应该关注安全和隐私保护工作；另外，物联网领域的设备、软件、网络和集成商均较分散，没有形成行业垄断优势，标准化工作也相对比较滞后。

在边缘基础设施安全方面，IoT 分布在广泛的地理范围，难以做到集中的设备安全保护，很容易出现终端和设备被窃取、仿冒和非法接入的问题，因此更应当做好完整性证实、边缘节点识别、接入认证、OS 安全等工作。

从网络安全方面，IoT 设备分布较广，环境恶劣，完全部署专用的有线网络难以实现，更应该通过 VPN 等技术做好协议的接入安全，做好传输中的数据加密，采取有效措施防止数据在传输过程中被截获或者泄露；做好网络域隔离，防止受到攻击后的影响扩散。

3.3工业边缘计算

随着工业边缘计算价值场景中边缘节点数量的激增，当前封闭的工业网络将会逐渐走向开放，致使工业控制安全、工业数据安全、平台安全 ( 云端 ) 问题突显。工业边缘计算安全的核心部分涉及工业控制、智能制造，它对安全的要求更高、波及面更广，工业边缘计算需要满足工业企业应用的高安全性、超可靠、低时延、大连接、个性化等要求，同时防范非法入侵和数据泄露。尤其原有的工业协议基本是专用的，未考虑信息安全威胁，工业设备多种多样、业务链长、模型复杂、需求繁多，信息技术与工业技术相互融合，采用优化ICT技术，性能和各项技术要求更高更复杂。

工业边缘计算安全将是覆盖工业系统设计、开发、实施、运维、结束等横向全生命周期，以及控制层、网络层、系统层、管理层等纵向运维，通过多维度安全技术的深度融合和集成设计，以保证工业边缘计算系统可用性为目标，综合运用信息安全、功能安全等技术手段和管理措施，实现工业边缘计算系统的安全稳定运行。

四、边缘安全十大关键技术

针对边缘基础设施、网络、数据、应用、全生命周期管理、边云协同等安全功能需求与能力，需要相应的安全技术的支持。

4.1边缘计算节点接入与跨域认证

针对边缘计算节点海量、跨域接入、计算资源有限等特点，面向设备伪造、设备劫持等安全问题，突破边缘节点接入身份信任机制、多信任域间交叉认证、设备多物性特征提取等技术难点，实现海量边缘计算节点的基于边云、边边交互的接入与跨域认证。

4.2边缘计算节点可信安全防护

面向边缘设备与数据可信性不确定、数据容易失效、出错等安全问题，突破基于软 / 硬结合的高实时可信计算、设备安全启动与运行、可信度量等技术难点，实现对设备固件、操作系统、虚拟机操作系统等启动过程、运行过程的完整性证实、数据传输、存储与处理的可信验证等。

4.3边缘计算拓扑发现

针对边缘计算节点网络异构、设备海量、分布式部署等特点，面向边缘计算节点大规模 DDoS 攻击、跳板攻击、利用节点形成僵尸网络等安全问题，突破边缘计算在网节点拓扑实时感知、全网跨域发现、多方资源关联映射等技术难点，形成边缘计算的网络拓扑绘制、威胁关联分析、在网节点资产与漏洞发现、风险预警等能力，实现边缘计算节点拓扑的全息绘制。

4.4边缘计算设备指纹识别

针对边缘计算设备种类多样化、设备更新迭代速度快、相同品牌或型号设备可能存在相同漏洞等特点，突破边缘计算设备主动探测、被动探测、资产智能关联等技术难点，形成对边缘设备 IP 地址、MAC 地址、设备类型、设备型号、设备厂商、系统类型等信息的组合设备指纹识别等能力，实现边缘计算设备安全分布态势图的构建 , 帮助管理员加固设备防护 , 加强资产管理 , 并帮助后续制定防护策略 , 为安全防护方案提供参考。

4.5边缘计算虚拟化与操作系统安全防护

针对边缘计算边云协同、虚拟化与操作系统代码量大、攻击面广等特点，面向虚拟机逃逸、跨虚拟机逃逸、镜像篡改等安全风险，突破 Hypervisor 加固、操作系统隔离、操作系统安全增强、虚拟机监控等技术难点，形成边缘计算虚拟化与操作系统强隔离、完整性检测等能力，实现边缘计算虚拟化与操作系统的全方位安全防护能力。

4.6边缘计算恶意代码检测与防范

针对边缘计算节点安全防护机制弱、计算资源有限等特点，面向边缘节点上可能运行不安全的定制操作系统、调用不安全第三方软件或组件等安全风险，突破云边协同的自动化操作系统安全策略配置、自动化的远程代码升级和更新、自动化的入侵检测等技术难点，形成云边协同的操作系统代码完整性验证以及操作系统代码卸载、启动和运行时恶意代码检测与防范等能力，实现边缘计算全生命周期的恶意代码检测与防范。

4.7边缘计算漏洞挖掘

针对边缘计算设备漏洞挖掘难度大、系统漏洞影响广泛等特点，面向安全问题，突破边缘设备仿真模拟执行、设备固件代码逆向、协议逆向、二进制分析等技术难点，形成基于模糊测试、符号执行、污点传播等技术的边缘计算设备与系统漏洞挖掘能力，实现边缘计算设备与系统漏洞的自动化发现。

4.8边缘计算敏感数据监测

针对边缘计算数据的敏感性强、重要程度高等特点，面向数据产生、流转、存储、使用、处理、销毁等各个环节的数据安全风险，突破敏感数据溯源、数据标签、数据水印等技术难点，形成对敏感数据的追踪溯源、敏感数据的流动审计、敏感数据的访问告警等能力，实现边缘计算敏感数据的实时监测。

4.9边缘计算数据隐私保护

针对边缘计算数据脱敏防护薄弱、获取数据敏感程度高、应用场景具有强隐私性等特点，面向边缘计算隐私数据泄露、篡改等安全风险，突破边缘计算轻量级加密、隐私保护数据聚合、基于差分隐私的数据保护等技术难点，实现边缘计算设备共享数据、采集数据、位置隐私数据等数据的隐私保护。

4.10边缘计算安全通信协议

针对边缘计算协议种类多样、协议脆弱性广泛等特点，面向协议漏洞易被利用、通信链路伪造等安全风险，突破边缘计算协议安全测试、协议安全开发、协议形式化建模与证明等技术难点，实现边缘计算协议的安全通信。