一、概述

　　2019年1月，美國陸軍研究實(shí)驗(yàn)室（ARL）和Techinica公司達(dá)成合作協(xié)議，針對美國國防部需求研發(fā)一個智能霧計(jì)算平臺（Smart Fog）為拒止和競爭環(huán)境中的作戰(zhàn)人員提供增強(qiáng)的態(tài)勢感知能力。2019年5月，美國ManTech公司推出了霧計(jì)算平臺“安全戰(zhàn)術(shù)邊緣平臺”（STEP），這是一種高帶寬、堅(jiān)固、安全和可擴(kuò)展的解決方案，將為嚴(yán)苛環(huán)境中的作戰(zhàn)人員提供實(shí)時數(shù)據(jù)分析能力?！办F”會在帶寬有限的戰(zhàn)場上保存和緩存來自傳感器和設(shè)備的數(shù)據(jù)，只向云發(fā)送必要的基本信息，最大限度地減少資源并提高安全性。當(dāng)連接穩(wěn)定后，再將完整的數(shù)據(jù)傳到云端。

　　由此可見，安全性是霧計(jì)算部署實(shí)施過程中的關(guān)鍵問題。系統(tǒng)必須有一個共同的安全基線，確?；镜幕ゲ僮餍院桶踩Ｗo(hù)。加密為霧計(jì)算提供了實(shí)現(xiàn)安全服務(wù)的機(jī)制，這些安全服務(wù)包括機(jī)密性、完整性、身份驗(yàn)證和不可否認(rèn)性。加密函數(shù)可以在平臺安全處理器中實(shí)現(xiàn)，以保護(hù)加密密鑰和安全策略，進(jìn)而保護(hù)其他對象。加密函數(shù)還可用于為受信任的軟件提供安全的執(zhí)行環(huán)境，并保護(hù)其中的存儲和通信。

　　本文將從節(jié)點(diǎn)安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全三個方面，分別分析霧計(jì)算在部署實(shí)施過程中遇到的安全問題。

　　二、節(jié)點(diǎn)安全方面

　　圖1所示為開放霧節(jié)點(diǎn)的安全架構(gòu)，該架構(gòu)可分為四個水平“區(qū)域”：

　　自下而上的第一層是硬件層。此處可能存在許多可選的硬件加速器。圖1中顯示的是SoC上的加密設(shè)備，它可能是外部設(shè)備，也可能作為特殊說明出現(xiàn)在處理器ISA中。此處還顯示了其他的通用加速器。系統(tǒng)mmu和iommu也與物理核心一起位于此層。硬件信任根（HW-RoT）也是硬件基礎(chǔ)設(shè)施的一部分，可以嵌在芯片上或提供此功能的外部設(shè)備中。

　　第二層包含了系統(tǒng)固件、可選ROM和NVRAM平臺。這些組件的存在及其性質(zhì)取決于平臺。為了支持HW-RoT和信任鏈的擴(kuò)展，在受信任的系統(tǒng)ROM上必須有一個不可變的固件，這是開機(jī)后平臺上執(zhí)行的第一行代碼。

　　第三層是虛擬層。它實(shí)例化和管理虛擬設(shè)備，例如，圖1所示的vSoC設(shè)備，并將它們按照OAM（操作、維護(hù)和管理）系統(tǒng)的指令分配給虛擬機(jī)。它還實(shí)例化了部分其他虛擬設(shè)備，這些設(shè)備主要包括外部物理設(shè)備（如所示的vNIC）。這些虛擬設(shè)備完全由硬件支持，該硬件可存儲繞過虛擬機(jī)管理程序的數(shù)據(jù)（如SR-IOV兼容設(shè)備）或軟件模擬的虛擬實(shí)例（如共享的硬盤）。如果物理內(nèi)核支持SMT（同時多線程），那么不論虛擬內(nèi)核是不是硬件線程，它都允許顯示其他虛擬內(nèi)核。

　　最后一層主要是實(shí)現(xiàn)虛擬機(jī)的實(shí)例化。物理資源在此處由虛擬機(jī)管理程序映射為虛擬資源。虛擬機(jī)中的操作系統(tǒng)管理應(yīng)用的地址空間，這些空間可以實(shí)例化為單獨(dú)的應(yīng)用地址空間或Linux容器。

　　圖1  開放霧節(jié)點(diǎn)安全架構(gòu)

　　有許多連接各層并提供系統(tǒng)服務(wù)的函數(shù)，這些函數(shù)可以創(chuàng)建由受信任組件組成的安全信任鏈。這些由圖1中各層之間的垂直箭頭表示。

　?。ㄒ唬┻\(yùn)行時完整性檢查（RTIC）和自省

　　安全啟動或測量啟動不能確保已安全實(shí)例化的軟件在執(zhí)行過程中不出現(xiàn)錯誤或被病毒感染。在運(yùn)行過程中進(jìn)行完整性檢查的目的是在執(zhí)行期間監(jiān)控和偵查鏡像中代碼和靜態(tài)數(shù)據(jù)的改變。這是通過在執(zhí)行之前運(yùn)行一組RTIC的特定工具來“理解”圖像構(gòu)造（即代碼和靜態(tài)數(shù)據(jù)頁所在的位置）實(shí)現(xiàn)的。管理程序可以承載RTIC機(jī)制，基本假設(shè)是管理程序本身是受信任的。RTIC僅用于檢查虛擬機(jī)。所使用的機(jī)制大多是被動的，因?yàn)轫撁姹韱谓?jīng)過修改后，可以對不應(yīng)該寫入頁面的內(nèi)容進(jìn)行檢測，這一過程由策略驅(qū)動。通常，虛擬機(jī)會被終止。

　　目前，這種方法還沒有產(chǎn)品實(shí)現(xiàn)，但KVM和Xen管理程序中至少有一個實(shí)現(xiàn)正在開發(fā)中。

　　解決此問題的另一種方法是內(nèi)存加密，它可以保護(hù)加密“容器”中的代碼和數(shù)據(jù)免受外部攻擊。盡管這樣，敵方仍然有可能利用漏洞或?qū)ο惹案腥镜溺R像進(jìn)行攻擊。當(dāng)這些“容器”必須走出來以獲取服務(wù)或數(shù)據(jù)時，它們也容易受到漏洞的攻擊。雖然可以以這種方式保護(hù)靜態(tài)和動態(tài)的代碼和數(shù)據(jù)，但容器之外的代碼和數(shù)據(jù)都不會受到保護(hù)。

　　當(dāng)這個問題有一個更成熟的解決方案時，霧節(jié)點(diǎn)應(yīng)借助RTIC方法保護(hù)節(jié)點(diǎn)免受危害。公共場所的節(jié)點(diǎn)不一定比保護(hù)區(qū)中的節(jié)點(diǎn)更有用，因?yàn)楣舨⒉灰欢ㄐ枰锢碓L問。

　?。ǘ┱{(diào)試、性能監(jiān)控和分析控制

　　在系統(tǒng)部署后，應(yīng)關(guān)閉所有形式的調(diào)試（包括硬件和軟件）、性能監(jiān)控和分析控制。這些機(jī)制為具有物理訪問或遠(yuǎn)程訪問的第三方提供了一種技術(shù)，以破壞系統(tǒng)的安全機(jī)制，或深入了解系統(tǒng)的行為，從而允許未來的側(cè)信道攻擊。

　　如果在現(xiàn)場需要其他調(diào)試、監(jiān)控或分析信息，則必須有機(jī)制來確保為合法人員的特定訪問提供安全的授權(quán)。

　　三、網(wǎng)絡(luò)安全方面

　　作為在運(yùn)營技術(shù)前端設(shè)備和云計(jì)算數(shù)據(jù)中心之間部署的普適計(jì)算基礎(chǔ)設(shè)施，安全的開放霧計(jì)算平臺不僅能夠提供高度可用的實(shí)時可信計(jì)算服務(wù)，而且還能夠很好地定位以實(shí)施動態(tài)多層縱深防御策略，保護(hù)對我們?nèi)粘Ｉ钪陵P(guān)重要的物理網(wǎng)絡(luò)系統(tǒng)。為了完成這一雙重任務(wù)，開放霧計(jì)算平臺必須通過提供網(wǎng)絡(luò)安全性和持續(xù)安全監(jiān)控與管理來加強(qiáng)節(jié)點(diǎn)安全性。

　　圖2  開放霧計(jì)算安全功能層和操作平面圖

　　圖2所示為一個架構(gòu)平面圖，該架構(gòu)提供了具有端到端安全性的兩個操作平面：安全調(diào)配、安全監(jiān)控和管理，以及三個功能層：通信安全、服務(wù)安全和應(yīng)用安全。此架構(gòu)符合ITU-X.805建議，也符合開放網(wǎng)絡(luò)基金會（ONF）建議的軟件定義網(wǎng)絡(luò)體系結(jié)構(gòu)（ONF/SDN）。下面將對三個功能層進(jìn)行詳細(xì)闡述。

　?。ㄒ唬┩ㄐ虐踩珜?/p>

　　該層在設(shè)備—霧—云計(jì)算層次結(jié)構(gòu)中的所有實(shí)體之間的物理/虛擬通信信道內(nèi)實(shí)現(xiàn)了X.800中推薦的以下通信安全服務(wù)。

　?。?）機(jī)密性

　　?    連接和無連接數(shù)據(jù)的機(jī)密性

　　?    通信流量機(jī)密性

　　（2）完整性

　　?    連接恢復(fù)的完整性

　　?    具有偵查功能的無連接完整性

　　?    防重放保護(hù)

　?。?）可認(rèn)證性

　　?    無連接通信的數(shù)據(jù)源身份認(rèn)證

　　?    基于連接的通信對等實(shí)體認(rèn)證

　　?    已認(rèn)證的信道訪問控制

　　（4）不可否認(rèn)性（可選）

　　?    數(shù)據(jù)源的不可否認(rèn)性

　　?    目的地的不可否認(rèn)性

　　設(shè)備—霧—云計(jì)算統(tǒng)一體中發(fā)生的通信可分為三種安全通信路徑：節(jié)點(diǎn)到云的安全通信路徑、節(jié)點(diǎn)到節(jié)點(diǎn)的安全通信路徑和節(jié)點(diǎn)到設(shè)備的安全通信路徑。由于霧節(jié)點(diǎn)通常充當(dāng)云服務(wù)器對其相關(guān)前端設(shè)備的代理，同時將這些前端設(shè)備聚合到云服務(wù)器并表示這些前端設(shè)備，因此這些路徑應(yīng)協(xié)作，以保持前端設(shè)備和云服務(wù)器之間的互操作性。以下重點(diǎn)介紹了各種途徑的預(yù)期功能和建議的做法。

　　圖3  開放霧計(jì)算安全通信路徑

　?。ǘ┕?jié)點(diǎn)到云的安全通信路徑

　　為了確保這些通信路徑的安全，霧節(jié)點(diǎn)需要為自己和其所代表的前端設(shè)備實(shí)現(xiàn)所有X.800通信安全服務(wù)（包括不可否認(rèn)性）。應(yīng)使用從霧節(jié)點(diǎn)中安裝的硬件信任根派生的安全憑證實(shí)現(xiàn)強(qiáng)認(rèn)證和不可否認(rèn)服務(wù)。應(yīng)根據(jù)云服務(wù)提供商與霧節(jié)點(diǎn)管理器之間建立的通信安全策略強(qiáng)制實(shí)施信道訪問控制，作為其服務(wù)級別協(xié)議的一部分。所有的加密操作都應(yīng)由嵌入在霧節(jié)點(diǎn)中的密碼加速器執(zhí)行，而加密密鑰則應(yīng)作為安全監(jiān)控和管理操作的一部分進(jìn)行管控。

　　這些路徑還有望保留云服務(wù)器使用的因特網(wǎng)通信協(xié)議和API，用于與前端設(shè)備（包括IoT設(shè)備、個人移動設(shè)備、POS終端、獨(dú)立計(jì)算機(jī)和服務(wù)器）進(jìn)行通信。當(dāng)前，幾乎所有這些通信都是通過以下兩個協(xié)議套件作為Web服務(wù)事務(wù)實(shí)現(xiàn)的。

　　表1  用于安全節(jié)點(diǎn)到云通信的協(xié)議套件

　?。ㄈ┕?jié)點(diǎn)到節(jié)點(diǎn)的安全通信路徑

　　分布式霧計(jì)算平臺可能由跨越多個子網(wǎng)或管理域的霧節(jié)點(diǎn)層次結(jié)構(gòu)組成，但這些霧節(jié)點(diǎn)需要相互協(xié)調(diào)以實(shí)現(xiàn)特定目標(biāo)?；谑聞?wù)的客戶端—服務(wù)器計(jì)算模型和基于事件的發(fā)布—訂閱消息傳遞模式應(yīng)實(shí)現(xiàn)節(jié)點(diǎn)間的信息交換，以實(shí)現(xiàn)直接、及時的交互。以下協(xié)議套件通常用于實(shí)現(xiàn)這些范例。

　　表2  用于安全節(jié)點(diǎn)到節(jié)點(diǎn)通信的協(xié)議套件

　　與節(jié)點(diǎn)到云的路徑一樣，節(jié)點(diǎn)到節(jié)點(diǎn)的路徑期望霧節(jié)點(diǎn)作為通信端來實(shí)現(xiàn)所有X.800的通信安全服務(wù)，包括不可否認(rèn)性。應(yīng)使用從霧節(jié)點(diǎn)中安裝的硬件信任根派生的安全憑證實(shí)現(xiàn)強(qiáng)認(rèn)證和不可否認(rèn)服務(wù)。信道訪問控制應(yīng)根據(jù)霧節(jié)點(diǎn)管理器在其服務(wù)層協(xié)議中建立的通信安全策略實(shí)施。所有的加密操作都應(yīng)由嵌入在霧節(jié)點(diǎn)中的密碼加速器執(zhí)行，而加密密鑰則由安全監(jiān)控和管理操作進(jìn)行管控。

　?。ㄋ模┕?jié)點(diǎn)到設(shè)備的安全通信路徑

　　霧節(jié)點(diǎn)通常會充當(dāng)云服務(wù)器通信的代理，它會保留前端設(shè)備使用的通信協(xié)議和API。遺憾的是，不同應(yīng)用和通信媒介對設(shè)備通信協(xié)議的選擇是多種多樣的。通過調(diào)整互聯(lián)網(wǎng)（TCP/UDP/IP）協(xié)議套件，努力實(shí)現(xiàn)無線、有線通信和工業(yè)自動化之間的協(xié)議融合。

　　大多數(shù)X.800通信安全服務(wù)（不包括不可否認(rèn)性）可以借助安全協(xié)議通過有線/無線以太網(wǎng)，以及因特網(wǎng)的網(wǎng)絡(luò)和傳輸層實(shí)現(xiàn)。在適應(yīng)因特網(wǎng)協(xié)議的前端設(shè)備中，可以使用頒發(fā)給前端設(shè)備的安全憑據(jù)實(shí)現(xiàn)強(qiáng)認(rèn)證。信道訪問控制可以根據(jù)霧服務(wù)提供商指定的通信安全策略強(qiáng)制執(zhí)行。所有加密操作都可以由前端設(shè)備中加密的嵌入式處理器執(zhí)行，而加密密鑰可以作為安全監(jiān)控和管理操作的一部分進(jìn)行管理。

　　但是，在許多不精通因特網(wǎng)且資源受限的前端設(shè)備中，只有有限的加密功能（如使用手動安裝密鑰的對稱密碼）可用。這些設(shè)備必須安裝在受物理保護(hù)的通信環(huán)境中，并通過硬件連接到一個或多個霧節(jié)點(diǎn)，這些節(jié)點(diǎn)可以提供大多數(shù)的X.800通信安全服務(wù)。

　　隨著對霧計(jì)算研究的進(jìn)一步深入，研究人員將繼續(xù)擴(kuò)大節(jié)點(diǎn)到設(shè)備通信的覆蓋范圍。

　?。ㄎ澹┓?wù)安全層

　　服務(wù)安全層不僅能夠提供傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備提供的信息安全服務(wù)，包括深度數(shù)據(jù)包檢查（DPI）、應(yīng)用層代理、合法消息攔截、入侵檢測和保護(hù)系統(tǒng)（IPS/IDS）、系統(tǒng)/網(wǎng)絡(luò)事件和狀態(tài)監(jiān)控、內(nèi)容篩選和父母監(jiān)管等，同時，它還可以提供與安全服務(wù)捆綁的各類網(wǎng)絡(luò)服務(wù)，包括vRouters、廣域網(wǎng)加速器、網(wǎng)絡(luò)地址轉(zhuǎn)換器（NAT）、內(nèi)容交付服務(wù)器。

　　表3  用于安全節(jié)點(diǎn)到設(shè)備通信的協(xié)議套件

　　隨著越來越多地使用軟件定義網(wǎng)絡(luò)來替代專用設(shè)備，這些“設(shè)備”越來越多地作為軟件解決方案在虛擬機(jī)和Linux容器中實(shí)現(xiàn)。與上述其他設(shè)備一樣，此類安全設(shè)備通常稱為網(wǎng)絡(luò)功能虛擬化（NFV），或單獨(dú)稱為虛擬網(wǎng)絡(luò)功能（VNF）。這些虛擬網(wǎng)絡(luò)功能以及其他單獨(dú)打包的服務(wù)很可能被鏈接到一個服務(wù)功能鏈路（SFC）上，并使用網(wǎng)絡(luò)服務(wù)報(bào)頭將數(shù)據(jù)包路由到選定的服務(wù)功能路徑（SFP）中。在許多情況下，人們認(rèn)為這些服務(wù)功能將在開放霧計(jì)算系統(tǒng)中得以實(shí)現(xiàn)。NFV和SFC環(huán)境呈現(xiàn)出了它們自己的一組安全問題，包括許多已經(jīng)討論過的方法，但也引入了下面所討論的一些新挑戰(zhàn)。

　　提供并保持?jǐn)?shù)據(jù)完整性與機(jī)密性的可信VNF到VNF通信，需要來自平臺硬件、軟件和固件的許多功能提供支持。除了從信任的硬件根開發(fā)出信任鏈外，還需要具備以下功能：

　?。?）基于VNF + CA建立身份的安全密鑰供應(yīng)

　　?    虛擬網(wǎng)絡(luò)功能（VNFC）的身份認(rèn)證

　　?    非對稱加密

　　（2）批量數(shù)據(jù)加密

　　?    對稱加密

　?。?）安全持久的密鑰存儲

　　?    針對私鑰

　?。?）受信任的VNF到OAM/MANO通信（完整性、機(jī)密性）

　　?    安全軟件更新

　　?    （與上述預(yù)配相同）

　?。?）認(rèn)證

　　?    雙方均處于安全狀態(tài)

　　除此之外，研究人員還需要在以下領(lǐng)域針對安全問題引入更多的思考：

　?。?）服務(wù)覆蓋：服務(wù)功能轉(zhuǎn)發(fā)器（SFF）的傳輸轉(zhuǎn)發(fā)

　　?    在服務(wù)功能（SF）/VNF之間使用數(shù)據(jù)包進(jìn)行加密

　　?    服務(wù)功能轉(zhuǎn)發(fā)器必須對服務(wù)功能/VNF端點(diǎn)進(jìn)行身份認(rèn)證

　?。?）啟用服務(wù)功能鏈路的域邊界

　　?    在邊界認(rèn)證受信任方：防止欺騙和DdoS攻擊

　?。?）分類

　　?    OAM對分類策略的認(rèn)證和授權(quán)

　?。?）服務(wù)功能鏈路封裝

　　?    元數(shù)據(jù)需要驗(yàn)證其來源

　　?    敏感元數(shù)據(jù)的選擇性共享：加密或轉(zhuǎn)換

　　此外，網(wǎng)絡(luò)服務(wù)報(bào)頭（NSH）提供了創(chuàng)建動態(tài)關(guān)系的功能，這些動態(tài)關(guān)系可能無法提前進(jìn)行身份認(rèn)證，并且可能由服務(wù)功能轉(zhuǎn)發(fā)器來實(shí)現(xiàn)。

　?。?）任何服務(wù)功能或服務(wù)功能轉(zhuǎn)發(fā)器都可以動態(tài)更新服務(wù)功能路徑。

　?。?）服務(wù)功能路徑可以在自身路徑中列出多種服務(wù)功能。

　　另外：

　　網(wǎng)絡(luò)服務(wù)報(bào)頭可以包含任意（固定或可變長度）的元數(shù)據(jù)字段，由原始分類器添加，或者由服務(wù)功能、服務(wù)功能轉(zhuǎn)發(fā)器在遍歷服務(wù)功能路徑時添加。它們用于傳達(dá)可能對鏈中其他服務(wù)功能有用的環(huán)境信息。

　　這引入了另一個數(shù)據(jù)機(jī)密性和隱私條件。由于元數(shù)據(jù)可以包含服務(wù)功能路徑認(rèn)為必要組件所需的任何數(shù)據(jù)，因此還不清楚如何有選擇性地在供應(yīng)鏈中隱藏（或加密）一些字段（當(dāng)數(shù)據(jù)包中的信息包含了服務(wù)提供商、用戶或部門信息時，這其中的一些信息是專有的、加密的或敏感的），現(xiàn)有架構(gòu)還沒有解決這些問題，這是一個復(fù)雜的問題，包含了許多動態(tài)變化、且未知的參與者。

　　四。數(shù)據(jù)安全方面

　　駐留在系統(tǒng)中的數(shù)據(jù)一般有三類：處理過程中存在于內(nèi)存中的數(shù)據(jù)、存儲在非易失性內(nèi)存上的數(shù)據(jù)，以及網(wǎng)絡(luò)接口中所發(fā)送/接收的數(shù)據(jù)。本節(jié)將對如何保護(hù)這三種數(shù)據(jù)的安全性進(jìn)行介紹。

　?。ㄒ唬┦褂脭?shù)據(jù)

　　在處理過程中，數(shù)據(jù)駐留在內(nèi)存系統(tǒng)層次結(jié)構(gòu)（例如SRAM、DRAM、緩存、交換空間等）中。其中一些數(shù)據(jù)，例如密鑰材料、個人數(shù)據(jù)、公司專有數(shù)據(jù)，甚至專有算法都被視為機(jī)密信息，需要受到保護(hù)，以免被未授權(quán)方讀取或更改。如前所述，內(nèi)存管理單元（例如mmu、iommu、smmu）可用于保護(hù)內(nèi)存免受來自其他地址空間（如虛擬機(jī)）或設(shè)備（物理或邏輯/虛擬）的未授權(quán)訪問。讀/寫/無執(zhí)行頁面屬性位還提供了地址空間內(nèi)的受限訪問。管理程序可以通過抽象和虛擬化硬件來添加一些額外的保護(hù)，這些硬件可以直接影響另一臺虛擬機(jī)的執(zhí)行環(huán)境。

　　駐留在交換空間上的內(nèi)存也應(yīng)該受到保護(hù)。其目的是防止未授權(quán)方讀取磁盤上的頁面數(shù)據(jù)，例如，刪除數(shù)據(jù)并在另一個系統(tǒng)上讀取它。這可以通過加密來實(shí)現(xiàn)。整體磁盤加密是在相對較低的成本下提供此功能的一種方法。

　　使用外部硬件調(diào)試器（如JTAG）和軟件調(diào)試器訪問內(nèi)存不應(yīng)該在該領(lǐng)域的生產(chǎn)系統(tǒng)中啟用。在離開實(shí)驗(yàn)室或受控環(huán)境時，應(yīng)始終關(guān)閉JTAG。當(dāng)需要調(diào)試時，如果允許，則在字段中必須設(shè)置控件，以確保只有授權(quán)用戶才能使用調(diào)試接口，并且對其他所有訪問禁用。

　　對使用中的數(shù)據(jù)進(jìn)行安全保護(hù)還會涉及到對加密內(nèi)存的機(jī)密性和完整性進(jìn)行保護(hù)。內(nèi)存加密用于在執(zhí)行期間提供代碼和數(shù)據(jù)的機(jī)密性。它用于保護(hù)內(nèi)存中的秘密信息，即使系統(tǒng)的其它部分已遭到破壞，內(nèi)存中的信息依然受到保護(hù)。使用內(nèi)存加密是基于這樣一個事實(shí)：只有CPU包被認(rèn)為是可信的——而內(nèi)存不可信。它還有另外一個作用，可以防止攻擊者將代碼注入正在運(yùn)行的鏡像，因?yàn)榻饷軙?dǎo)致代碼損壞和程序失敗。

　　由于其速度快，內(nèi)存加密方案通常使用對稱密鑰加密。此功能需要額外的硬件支持，包括駐留在內(nèi)存管理子系統(tǒng)中的加密設(shè)備、支持加密硬件管理的操作系統(tǒng)，以及與加密內(nèi)存相關(guān)的密鑰管理方法。內(nèi)存加密并非沒有成本。當(dāng)內(nèi)存被提取到緩存并從緩存寫入內(nèi)存時，內(nèi)存的動態(tài)加/解密會影響內(nèi)存響應(yīng)時間。在霧計(jì)算環(huán)境中，內(nèi)存加密技術(shù)對某些類別的數(shù)據(jù)和某些應(yīng)用具有明顯的安全優(yōu)勢。它可以在威脅分析證明合理的情況下使用。

　?。ǘ╈o止數(shù)據(jù)

　　靜止數(shù)據(jù)是指駐留在硬盤、固態(tài)硬盤（SSD）、優(yōu)盤、CD、DVD等非易失性存儲上的數(shù)據(jù)。加密是針對靜態(tài)數(shù)據(jù)的前沿防御。在其他類型的數(shù)據(jù)中，它保護(hù)個人身份信息（隱私）和其他敏感數(shù)據(jù)（機(jī)密性），對具有正確密鑰的人進(jìn)行限制性訪問，阻止沒有密鑰的用戶訪問數(shù)據(jù)，避免存儲介質(zhì)受到某種形式的物理損壞。

　　它還滿足許多合規(guī)性要求，消除了有關(guān)存儲介質(zhì)停用的任何顧慮，以及未經(jīng)授權(quán)訪問可能帶來的物理威脅——即使具有物理訪問權(quán)限的人員離開了霧節(jié)點(diǎn)驅(qū)動器，他們也將喪失訪問權(quán)限。

　　加密本身是不夠的——密鑰、策略和證書必須在安全存儲中進(jìn)行主動管理，以確保它們不會被泄露，并且不會落入壞人之手。系統(tǒng)管理員應(yīng)該設(shè)置一個流程，用于監(jiān)視從數(shù)據(jù)庫、應(yīng)用和OS/文件系統(tǒng)中訪問數(shù)據(jù)的人員、內(nèi)容、位置、時間和方式等信息，以及監(jiān)控對敏感信息的訪問和未經(jīng)授權(quán)的訪問嘗試。所有安全事件都需要記錄以便OAM系統(tǒng)進(jìn)行后續(xù)的分析取證。通過管理程序的實(shí)例化，以及虛擬機(jī)中操作系統(tǒng)和應(yīng)用程序的實(shí)例化，安全數(shù)據(jù)必須建立在一個安全的信任鏈上。

　　通常有三種保護(hù)和加密靜態(tài)數(shù)據(jù)的方法：

　?。?）全磁盤加密

　　盡管軟件磁盤加密實(shí)現(xiàn)也存在，但在磁盤固件中通常使用基于硬件的加密機(jī)制來實(shí)現(xiàn)全磁盤加密。它的工作原理是自動加密寫入磁盤的所有數(shù)據(jù)，并自動解密從磁盤讀取的所有數(shù)據(jù)。這兩種操作都依賴于擁有正確的身份認(rèn)證密鑰。如果沒有正確的認(rèn)證密鑰，即使刪除了硬盤驅(qū)動器，運(yùn)行相同或不同軟件的另一臺機(jī)器也無法讀取它。全磁盤加密的優(yōu)點(diǎn)是它不需要軟件或OAM系統(tǒng)的特別注意。如果使用軟件加密，因?yàn)橛脖P上的所有東西（包括操作系統(tǒng)）都加密了，加/解密過程可能會增加數(shù)據(jù)訪問時間。全磁盤加密對位于公共場合（如商場、燈柱、街角、路邊、車輛等）的霧設(shè)備最有用。由于一個密鑰用于加密整個硬盤驅(qū)動器，所以O(shè)AM系統(tǒng)應(yīng)該提供一個加密密鑰備份機(jī)制，以防止系統(tǒng)由于某種原因變得不可用，同時需要提供數(shù)據(jù)檢索功能以及安全備份。

　?。?）文件系統(tǒng)（和數(shù)據(jù)庫）加密

　　文件系統(tǒng)級加密提供了一種方法，可以使用單獨(dú)的基于密鑰的訪問和身份認(rèn)證機(jī)制來保護(hù)文件或目錄/文件夾上的特定文件。當(dāng)存儲在磁盤（或其他媒體）上的單個文件需要保護(hù)時，甚至需要防止其他應(yīng)用（或用戶）訪問完全加密的磁盤。在使用中，文件使用對稱文件加密密鑰（FEK）加密。FEK則使用所有者的公鑰進(jìn)行加密。加密的FEK與加密的文件一起存儲。要解密文件，文件系統(tǒng)首先使用與所有者公鑰匹配的私鑰對嵌入的FEK進(jìn)行解密，然后使用FEK解密文件。整個數(shù)據(jù)庫、單條記錄或記錄中的字段也可以進(jìn)行加密。文件系統(tǒng)加密可以由運(yùn)行在相同虛擬機(jī)中的應(yīng)用使用，這些應(yīng)用中的數(shù)據(jù)是專有的，或者包含了其他敏感數(shù)據(jù)或私有數(shù)據(jù)的文件。

　?。?）文件系統(tǒng)訪問控制機(jī)制

　　文件系統(tǒng)訪問控制機(jī)制通過USERID或GROUPID限制對特定文件或文件組的訪問。所有現(xiàn)代文件系統(tǒng)都以某種方式控制文件權(quán)限。應(yīng)用于權(quán)限組的基本文件權(quán)限是權(quán)限類型。

　　權(quán)限組——每個文件和目錄都有三個基于用戶的權(quán)限組：

　　?    所有者：所有者權(quán)限僅適用于文件或目錄的所有者，它們不會影響其他用戶的操作。

　　?    組：組權(quán)限僅適用于已分配給文件或目錄的組，它們不會影響其他用戶的操作。

　　?    所有用戶：所有用戶權(quán)限適用于系統(tǒng)上的所有其他用戶，這通常是最重要的權(quán)限組。

　　權(quán)限類型——每個文件或目錄都有三種基本權(quán)限類型：

　　?    讀：讀權(quán)限是指用戶讀取文件內(nèi)容的能力。

　　?    寫：寫權(quán)限是指用戶寫入或修改文件或目錄的能力。

　　?    執(zhí)行：執(zhí)行權(quán)限影響用戶執(zhí)行文件或查看目錄內(nèi)容的能力。

　　這些機(jī)制是定義USERID和GROUPID的操作系統(tǒng)環(huán)境中的重要控件。通常為管理員。在為特定操作系統(tǒng)文件環(huán)境設(shè)置USERID和/或GROUPID時，將通過OAM操作指定訪問權(quán)限。如果不同的應(yīng)用在相同的操作系統(tǒng)環(huán)境中運(yùn)行，每個應(yīng)用需要對共享文件系統(tǒng)中的數(shù)據(jù)進(jìn)行不同的訪問（例如，對于某些應(yīng)用來說是只讀的，對于數(shù)據(jù)生成應(yīng)用來說是可讀寫的），那么這一點(diǎn)會非常重要。

　?。ㄈ﹦討B(tài)數(shù)據(jù)

　　動態(tài)數(shù)據(jù)，有時稱為傳輸中的數(shù)據(jù)，用于描述網(wǎng)絡(luò)接口（包括虛擬網(wǎng)絡(luò)接口）與霧節(jié)點(diǎn)之間發(fā)送和接收的數(shù)據(jù)包，即通過網(wǎng)絡(luò)傳輸?shù)男畔ⅰＯ到y(tǒng)管理員應(yīng)該使用VPN、SSL或其他技術(shù)為所有正在運(yùn)行的敏感信息或私有數(shù)據(jù)進(jìn)行加密，以保護(hù)數(shù)據(jù)在傳輸過程中不被破壞或以明文形式顯示。

　　對于動態(tài)數(shù)據(jù)的保護(hù)，可以使用兩種方法進(jìn)行加密：使用加密連接或使用加密文件。加密連接是指通過網(wǎng)絡(luò)連接發(fā)送的任何內(nèi)容都自動加密，而不管要發(fā)送的信息的加密狀態(tài)如何。例如，如果發(fā)送一個已經(jīng)加密的文件，它將在發(fā)送時再次加密（使用不同的密鑰）。在傳輸過程中，后續(xù)數(shù)據(jù)的另一種安全方法是使用已加密的文件。由于加密的文件以加密的形式存在，所以它總是加密的，因此是受保護(hù)的。

　　五。結(jié)語

　　目前，霧計(jì)算安全的研究還剛剛起步，對于用戶而言，在享受高速率、低延遲和響應(yīng)時間的高質(zhì)量服務(wù)的同時，還需要避免用戶數(shù)據(jù)在傳輸過程中被竊聽和盜用，因此，研究人員需要在分析霧計(jì)算系統(tǒng)特征的基礎(chǔ)上，深入研究霧計(jì)算安全所涉及的關(guān)鍵技術(shù)，從節(jié)點(diǎn)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等三個方面研究數(shù)據(jù)安全保護(hù)解決方案，針對不同的數(shù)據(jù)類型找到合適的加密算法，實(shí)現(xiàn)對霧計(jì)算中數(shù)據(jù)安全的保障。