今日の論文共有: SG-Edge: パワー モノのインターネットのための信頼できるエッジ コンピューティング フレームワークの主要テクノロジー
SG-Edge: パワー モノのインターネットのための信頼できるエッジ コンピューティング フレームワークの主要テクノロジー
- 2019年、中国国家電力網公司の「Two Sessions」は、「3つのタイプと2つのネットワーク」の構築を包括的に推進し、世界競争力を備えた世界クラスのエネルギーインターネット企業の構築を加速するための戦略的展開を行った。企業におけるネットワークパワー戦略の実践と中央政府の政策の実行 中央企業が主導権を握る重要な施策を展開し、最大限に活用することは、内外の状況と課題に適応するために避けられない要件である。物事は、電力システムのあらゆる側面にモバイルインターネットや人工知能などの最新の情報技術と高度な通信技術を完全に適用して電力を実現することです システムのあらゆる側面が相互接続され、人間とコンピュータの対話型であり、包括的な機能を備えたスマートサービスシステムですステータス認識、効率的な情報処理、便利で柔軟なアプリケーションを実現する電力のインターネット・オブ・シングスの構築は、より安全な電力網の運用、効率的な管理、より正確な投資、より良いサービスを提供します。電力網の独自の利点を最大限に発揮し、デジタル経済の巨大なブルーオーシャン市場を開拓することもできます。電力のインターネット・オブ・シングスの構築は、「3つのタイプ、2つのネットワーク」という戦略目標を実行するための中核的なタスクです。 、そして世界クラス」。
- パワー IoT の漸進的な進歩に伴い、エッジ コンピューティング フレームワークは徐々に研究のホットスポットになってきています。エッジ コンピューティング フレームワークの設計は多様であり、一般的に次の機能が含まれています: エッジ オペレーティング システムに基づくリソース管理、サブデバイス アクセス、データコレクションと機器の制御、セキュリティ管理、アプリケーション管理、および IoT プラットフォームの相互作用機能 設計目標とアプリケーション展開シナリオに従って、一般に「モノのインターネット用のエッジ コンピューティング、エッジ クラウド サービス用のエッジ コンピューティング」に分類できます。クラウドとエッジの統合のためのエッジ コンピューティング。「コンピューティング」には 3 つのカテゴリがあります。その中で、パワー モノのインターネットは、モノのインターネットのためのエッジ コンピューティングの特徴を備えているだけでなく、クラウドとエッジの統合の特定のアプリケーション シナリオも備えています。 。
- この目的を達成するために、このペーパーでは、エッジ コンピューティングの確保に重点を置き、パワー モノのインターネットのエッジ コンピューティング機能要件を満たす、パワー モノのインターネットに適合した一連の信頼できるエッジ コンピューティング フレームワーク SG-Edge を設計および実装します。安全な運用とハードウェア保証技術によるセキュリティ。信頼性があります。フレームワーク テクノロジー ルートは次のとおりです。
· フレームワーク テクノロジー ルートに関しては、成長するビジネス ニーズに対応するために成熟したフレームワークを最大限に活用します。同時に、フレームワークと電源セキュリティを組み合わせます。
設計。
· レベル保護コンプライアンスの観点から、信頼できるブート メカニズムの使用が十分に考慮されています。 Edge Gateway が CPU からブートできるようにする新しいハードウェア。
ブートローダーからオペレーティング システム カーネルまでの信頼できる検証により、アクティブな耐性を実現し、ファームウェアの安全な起動と安全で信頼できるアップグレードを保証します。 a>
· TrustZone や信頼できるセキュリティ モジュールなどによるソフトウェア動作のセキュリティ保証に関しては、物理的な分離対策によって信頼できるソフトウェア ベースのセキュリティが保証され、ストリーム処理を通じてソフトウェアの動的な動作の決定が実現されます。 a> この記事のセクション 1 では、エッジ コンピューティングの既存のフレームワークと関連作業をレビューします。概要を作成し、利点を特定します。セクション 2 では、SG-Edge エッジ コンピューティング フレームワークの設計思想を全体的に紹介し、セクション 3 では、SG-Edge の信頼できる保護メカニズムの主要な技術ポイントを要約します。実現可能性、パフォーマンス、セキュリティの観点から SG-Edge を評価します。セクション 5 では全文を要約し、注目に値する今後の研究の方向性について予備的な議論を行っています。
・状況認識と脅威監視の観点から、KillChain モデルと ATT&CK ナレッジベースを組み合わせて構築 攻撃の観点からの動作分析に基づいて、異常な攻撃を発見し、補足として使用可能
1 はじめに
1.1 パワー IoT の確立と進歩
- 学術研究において。
- 2016 年 10 月、IEEE と ACM は、エッジ コンピューティング
コンピューティングに関する IEEE/ACM シンポジウムを正式に設立し、学界、産業界、政府が共同で認める学術フォーラムを形成しました。過去 2 年間、私たちは、パフォーマンス、セキュリティ、アプリケーション シナリオ、クラウド エッジのコラボレーション、およびモノのインターネットにおける AI やその他のテクノロジーとの統合に特別な注意を払ってきました。
2018 年 5 月、西安でエッジ コンピューティング技術セミナー (SEC China 2018) が開催され、多くの大学や科学研究機関がエッジ コンピューティングについて対話的に議論し、開発者のニーズをさらに整理しました。さらに、国内の多くの学者がエッジ コンピューティング シナリオのデータに焦点を当て、モデル、コンピューティング モデル、産業アプリケーション、ネットワーク セキュリティなどについても広範な研究が行われ、標準化の観点からは、2017 年に IEC が VEI (垂直方向) をリリースしました。製造業などの垂直産業におけるエッジコンピューティングの重要な価値を紹介したホワイトペーパー ISO/IEC がエッジコンピューティング研究グループを設立 IEEE P2413 IoT フレームワーク(IoT のアーキテクチャフレームワークの規格)では、エッジコンピューティングが中国通信標準化協会 (CCSA) は、産業用インターネット アドホック グループ (ST8) を設立しました。
· 産業同盟の観点から。 - 2016 年 11 月、ファーウェイ、中国電力研究院、中国情報通信技術院、インテル、ARM、iSoftStone Information Technology Co., Ltd. は共同でエッジ コンピューティング産業アライアンスを立ち上げ、2019 年 11 月 28 日にエッジ コンピューティング産業を設立しました。 Alliance がリリースした 3 エッジ コンピューティング分野のホワイト ペーパーは、それぞれ「エッジ コンピューティング IT インフラストラクチャ ホワイト ペーパー 1.0 (2019)」、「オペレーター エッジ コンピューティング ネットワーク テクノロジー ホワイト ペーパー」、および「エッジ コンピューティング セキュリティ ホワイト ペーパー」です。世界的な業界団体である Industrial Internet Alliance IIC の組織の下に、エッジ コンピューティング リファレンス フレームワークの一部を定義するためにエッジ コンピューティング TG が設立されました。
- 2019年、中国国家電力網公司の「二セッション」は、「三種二ネットワーク」の構築を包括的に推進し、世界競争力を備えた世界クラスのエネルギーインターネット企業の構築を加速する戦略計画を策定した。電力業界も関連応用研究と実践を開始している [22-25]. 中国南方電力網公司は、現代の情報技術と電力網を組み合わせ、電力網に小型およびマイクロインテリジェントセンサーを設置する「透明な電力網」の概念を提案した。透明な電力供給情報やネットワーク情報など、電力システムのあらゆる側面を表示し、透明な市場情報、透明な設備状況、透明な稼働状況、透明な取引状況などを表示し、「透明なグリッド」を形成します。 Thingsは、産業用制御システムと産業用IoTの二面性を持ちながら、高いセキュリティと信頼性を確保し、産業用IoTの特徴を活かしたAPPコンテナ化やトラステッドリモートアップグレードなどの運用保守機能を提案し、迅速な対応を実現します。ビジネスニーズに合わせて。
1.2 パワー IoT エッジ コンピューティング フレームワーク
- 具体的なエッジ コンピューティング フレームワークに関しては、モノのインターネット (IoT) のためのエッジ コンピューティング、エッジ クラウド サービスのためのエッジ コンピューティング、およびクラウドとエッジの統合のためのエッジ コンピューティングが現在主流のエッジ コンピューティング フレームワークです。
- · モノのインターネット向けのエッジ コンピューティングは、多様なデバイス アクセス方法など、モノのインターネット アプリケーションの開発と展開のプロセスに存在する問題の解決に取り組んでおり、産業用モノのインターネット エッジ コンピューティングの開発には標準化された相互運用性フレームワーク EdgeX Foundry を採用しています。一例として、相互運用可能なコンポーネントのエコシステムを中心に、極めて簡素化および標準化された産業用 IoT エッジ コンピューティング アーキテクチャを提供します。Apache Edgent は、エッジからのデータの処理方法に焦点を当てたプログラミング モデルおよびマイクロカーネル スタイルのランタイム エッジ フレームワークです。データの処理により、データ分析におけるエッジ コンピューティング アプリケーションの開発プロセスを加速できます。Java 仮想マシンを実行するエッジ コンピューティングに導入して、デバイスからのデータをリアルタイムで分析できます。豊富な API を備えており、実際のインターネットの高速化に適しています開発ニーズ; Predix[28] は製造業向けであり、開発フレームワークを提供し、オープン フィールド プロトコルへのアクセスをサポートし、エッジ コンピューティング機能を強化します。パートナーは、対応するデバイス アクセスおよびエッジ コンピューティング機能を開発します。 · エッジ クラウド向けサービス エッジ コンピューティングは主に、ネットワークのエッジにデータ センターを構築し、通常はセルラー ネットワークなどのネットワーク オペレータのネットワーク エッジにあるクラウド センターのようなサービスを提供するために、ネットワークのエッジでインフラストラクチャを最適化または再構築することに重点を置いています。代表的な例としては、Open Network Foundation (ONF) の CORD が、ソフトウェア デファインド ネットワークおよびネットワーク機能仮想化 (NFV) クラウド コンピューティング テクノロジを使用して、既存のネットワーク エッジを再構築することが挙げられます。ユーザーがコンピューティング リソースを提供し、ソフトウェアとハードウェアのコストを削減するプラットフォームを構築できるようにするため、さらに、Linux Foundation は、完全なセットの開発に特化した、高性能エッジ クラウド用のオープン ソース プロジェクトのセットである Akraino Edge Stack を提供します。オープンソース ソフトウェア スタックを使用してネットワーク構築とエッジ インフラストラクチャを最適化します。
- · クラウドとエッジの統合のためのエッジ コンピューティング。クラウド コンピューティング サービス プロバイダーは、エッジ コンピューティングの重要な推進者です。「クラウドとエッジの統合」の概念に基づいて、クラウド サービスの機能をネットワークのエッジまで拡張することに取り組んでいます。代表的な例には次のようなものがあります。 AWS の GreenGrass と Baidu の OpenEdge[29]、Alibaba の Link IoT Edge および Azure IoT Edge は、クラウドとエッジをハイブリッド化し、クラウド機能をエッジ デバイスに拡張して低遅延を実現することを目的としたエッジ コンピューティング フレームワークです。クラウド 同じプログラミング モデル。フレームワークが異なれば、エッジ コンピューティングに対する理解、ソリューション設計、実装アイデアも異なり、フレームワーク間の互換性は実現できません。既存のコンピューティング フレームワーク:
- · OpenEdge は機能が限られており、Baidu IoT プラットフォームに緊密にバインドされていますが、関数型コンピューティングのアイデアから学ぶことができます。
- · KubeEdge は、Kubernetes テクノロジーに基づいたエッジ コンピューティングに適応し、プラットフォーム テクノロジーに制限があり、プラットフォームと緊密に結合されています。
- · EdgeX モジュールは分離されており、APP はマイクロサービスの形式で実行され、APP 管理も REST API 呼び出しを通じて実装されます。これは比較的完全な産業用 IoT ソリューションですが、クラウド エッジの統合とセキュリティに関する考慮事項が欠けています。EdgeX は、データエクスポート用のインターフェースを備えているため、IoT管理プラットフォームと直接通信できない IoT管理プラットフォームとの連携プロセスは連携仕様に基づいて開発する必要がある EdgeXには、アプリケーション配布、アップグレード、管理、ビジネスAPP制御、デバイス管理などの機能が欠けている同時に、EdgeX にはセキュリティ強化ソリューションがなく、安全なアクセス、アクセス制御、アプリケーション コマンド検証などの側面での設計が不足しています。
1.3 エッジ指向のセキュリティと信頼できるテクノロジー
- ・モノのインターネットとエッジコンピューティングのセキュリティリスクに関する研究
-
- エッジ アクセスに関しては、エッジ アクセスは安全でない通信プロトコルを使用しており、悪意のあるエッジ ノードが存在する可能性があります。
-
- エッジ ノードのセキュリティに関しては、エッジ ノードのデータは損傷しやすく、プライベート データの保護は不十分で、安全でないシステムやコンポーネントは分散型サービス妨害を開始しやすく、APT 攻撃が蔓延しやすく、ハードウェア セキュリティ サポートが不十分です。
-
- エッジ管理に関しては、ID、資格情報、アクセス管理が不十分で、アカウント情報が簡単に乗っ取られ、安全でないインターフェイスや API は悪意のある管理者を監視することが困難であり、2019 年末にエッジ コンピューティング産業連合による「エッジ コンピューティング セキュリティ ホワイト ペーパー」が発表されました。エッジセキュリティに関連するアーキテクチャ、設計、テクノロジーの特定と説明と位置付けから始まり、エッジセキュリティの重要性と価値から始まり、典型的な価値シナリオにおけるエッジセキュリティの課題と需要特性を分析し、エッジセキュリティの参照フレームワークを提案しますレベルプロテクション 2.0 の具体的な要件には、センシング ノード機器の物理的保護、アクセス制御、侵入防御、センシング ノード デバイスのセキュリティ、ゲートウェイ ノード デバイスのセキュリティ、データ リプレイ防止、データ フュージョンが含まれます。処理およびセンシング ノードの管理 8 つの主要カテゴリの要件のうち、センシング ノード デバイスのセキュリティ、ゲートウェイ ノード デバイスのセキュリティなどでは、アクティブな保護システムを構築するために Trusted 3.0 アーキテクチャの使用が明らかに必要です。
- · モノのインターネットとエッジ コンピューティングのセキュリティ リスクとテクノロジー
- 2019 North American Open Source Summit で、Microsoft の Tarditi は、証明書認証、障害レポート、OTA セキュリティなどのいくつかの重要な属性を含む、安全性の高い IoT デバイスの 7 つの異なる属性を提案しました。レポートでは、信頼のルートに焦点を当てていました。北京理工大学の Ning Zhenhu [31] は、トラステッド コンピューティング技術とモノのインターネットの認識層のセキュリティ メカニズムを組み合わせることを提案し、認識層のトラステッド イミュニティ技術を研究しました。モノのインターネットの信頼性のあるネットワーク接続技術、知覚ネットワークの行動信頼性測定技術、知覚ネットワークの信頼性認証技術により、知覚層の安全性と信頼性が確保されます。モノのインターネット全体。
- · モノのインターネットとエッジ コンピューティングの具体的な実践
- Amazon はユニバーサル HTTP および MQTT アクセス ソリューションを採用し、IoT デバイスの監視を追加し、Microsoft Azure はセキュリティ標準の Device Identity Combination Engine (DICE) と Hardware Security Module (HSM) をサポートし、Alibaba Cloud は GloablePlatform TEE のアイデアを組み合わせて Link TEE ソリューションを提案します。 IoT 端末の信頼性に関しては、過去 20 年間、トラステッド プラットフォーム モジュール TPM、ARM の TrustZone、物理的複製不可能機能 (PUF) から、インテルのソフトウェア ガードなどの最近の進歩に至るまで、さまざまなハードウェア セキュリティ ソリューションと実践の傾向を見てきました。拡張機能 (SGX) や制御フロー強制技術 (CET) などの攻撃は、より巧妙になり、防ぐのが難しくなり、脅威の規模は常に増大しています。
- 現在の国内外の研究状況から判断すると、IoT 端末やエッジゲートウェイのセキュリティと信頼性は、ハードウェアの仕組みの観点からより良く解決できると考えられますが、Microsoft、AWS、Alibaba などのメーカーのソリューションを見ると、ハードウェアの信頼性保証メカニズムについては、現在も徐々に改善されており、特に IoT 端末向けの Trusted 3.0 標準の実装と動的測定技術の研究および工学的応用はまだ初期段階にあります。