一

　　概　述

　　隨著下一代移動(dòng)網(wǎng)絡(luò)（NGMNs）、物聯(lián)網(wǎng)（IoTs）、邊緣計(jì)算、霧計(jì)算和云計(jì)算的相繼部署，全球信息服務(wù)基礎(chǔ)設(shè)施正在經(jīng)歷有史以來(lái)最大的變革。這將徹底改變?nèi)藗兊纳詈凸ぷ?，同時(shí)對(duì)于產(chǎn)品和服務(wù)的供給模式、人機(jī)交互方式等諸多方面也將帶來(lái)顛覆性的影響。長(zhǎng)期以來(lái)，全球的用戶和機(jī)構(gòu)都嚴(yán)重依賴關(guān)鍵信息基礎(chǔ)設(shè)施，因此基礎(chǔ)設(shè)施的信息安全和服務(wù)可信度成為了關(guān)鍵的問(wèn)題。智能設(shè)備的普及及其自身的物理脆弱性加劇了研究人員的擔(dān)憂。如今，日益嚴(yán)重的網(wǎng)絡(luò)攻擊也進(jìn)一步證實(shí)了威脅的存在。然而，產(chǎn)品和服務(wù)供應(yīng)商對(duì)這些漏洞和攻擊卻常常無(wú)法及時(shí)做出響應(yīng)，危及到企業(yè)的網(wǎng)絡(luò)信息安全。

　　開(kāi)放霧計(jì)算聯(lián)盟（OpenFog Consortium）相信，通過(guò)在信息提供者和消費(fèi)者之間插入無(wú)處不在的、可信的、按需的計(jì)算服務(wù)，可以大大降低安全風(fēng)險(xiǎn)，確保服務(wù)的可用性和及時(shí)響應(yīng)性。在本文中，開(kāi)放霧計(jì)算安全工作組（SWG）將對(duì)開(kāi)放霧計(jì)算體系架構(gòu)的安全前景進(jìn)行概述，并闡述開(kāi)放霧計(jì)算的功能需求和技術(shù)方法。同時(shí)，將介紹開(kāi)放霧計(jì)算安全的目標(biāo)、挑戰(zhàn)及功能需求和方法。

　　二

　　開(kāi)放霧計(jì)算參考體系架構(gòu)

　　2017年2月，OpenFog Consortium發(fā)布了開(kāi)放霧計(jì)算參考體系架構(gòu)，該體系架構(gòu)是一個(gè)水平的、系統(tǒng)級(jí)架構(gòu)，它沿著云到物（cloud-to-thing）統(tǒng)一體在任何位置分配用于計(jì)算、存儲(chǔ)、控制和聯(lián)網(wǎng)的資源與服務(wù)，同時(shí)，支持多個(gè)行業(yè)的垂直和應(yīng)用領(lǐng)域，使服務(wù)與應(yīng)用能夠更接近數(shù)據(jù)的生成來(lái)源，在網(wǎng)絡(luò)邊緣通過(guò)云計(jì)算，從事物本身并跨多個(gè)協(xié)議層進(jìn)行擴(kuò)展。此次發(fā)布的參考體系架構(gòu)基于八項(xiàng)被稱為“支柱”的核心技術(shù)原則，代表了系統(tǒng)需要包含的被定義為“OpenFog”的關(guān)鍵屬性。這些支柱分別是安全性、可擴(kuò)展性、開(kāi)放性、自主性、RAS（可靠性、可用性和可維護(hù)性）、敏捷性、層次性和可編程性，如圖1 所示。該參考體系架構(gòu)滿足了用于云到霧統(tǒng)一體的可互操作、端到端數(shù)據(jù)連接解決方案的需求。2018年6月，開(kāi)放霧計(jì)算參考體系架構(gòu)已被IEEE標(biāo)準(zhǔn)協(xié)會(huì)（IEEE-SA）采納為正式標(biāo)準(zhǔn)。

　　圖1  開(kāi)放霧計(jì)算參考體系架構(gòu)的八個(gè)支柱模型

　　這種可伸縮的計(jì)算體系架構(gòu)建立在霧節(jié)點(diǎn)的基礎(chǔ)上，霧節(jié)點(diǎn)是通信和計(jì)算實(shí)體，一方面支持硬件虛擬化和可信計(jì)算，另一方面支持安全通信和服務(wù)提供。在終端設(shè)備之間的通信路徑上可以部署多層霧節(jié)點(diǎn)，包括遺留的設(shè)備、物聯(lián)網(wǎng)傳感器/執(zhí)行器、移動(dòng)設(shè)備和云服務(wù)器。在每一層中，每個(gè)霧節(jié)點(diǎn)之間可以互相通信和協(xié)作以傳播信息和計(jì)算服務(wù)，同時(shí)支持負(fù)載平衡、容錯(cuò)和對(duì)網(wǎng)絡(luò)異常、安全攻擊的協(xié)調(diào)響應(yīng)。

　　部署在設(shè)備—霧—云（Device-Fog-Cloud）統(tǒng)一體中的霧節(jié)點(diǎn)可以執(zhí)行不同的任務(wù)，這取決于它們的通信帶寬和處理能力，以及它們與終端設(shè)備和云服務(wù)器之間的距離（以跳數(shù)或延遲計(jì)算）。直接連接到終端設(shè)備的霧節(jié)點(diǎn)主要用作數(shù)據(jù)集中器、壓縮器和預(yù)處理。上層霧節(jié)點(diǎn)通常會(huì)被賦予更多的能力，并被賦予數(shù)據(jù)分析和建模任務(wù)。另一方面，反應(yīng)性實(shí)時(shí)計(jì)算和網(wǎng)絡(luò)物理控制往往發(fā)生在接近終端設(shè)備的霧節(jié)點(diǎn)上，而數(shù)據(jù)到知識(shí)的轉(zhuǎn)換可能在離云更近的地方進(jìn)行。

　　三

　　開(kāi)放霧計(jì)算的安全目標(biāo)及存在問(wèn)題

　　使用開(kāi)放霧計(jì)算體系架構(gòu)的系統(tǒng)，需要為這些系統(tǒng)配備安全性能，目的有兩個(gè)：（1）使開(kāi)放霧計(jì)算系統(tǒng)能夠作為設(shè)備—霧—云統(tǒng)一體的一部分進(jìn)行運(yùn)作，這個(gè)統(tǒng)一體具有響應(yīng)性、可用性和可生存性，并且是可以信賴的；（2）通過(guò)霧節(jié)點(diǎn)為那些不具備自我保護(hù)能力或資源的設(shè)備和子系統(tǒng)提供信息安全和可信計(jì)算服務(wù)。

　　開(kāi)放霧計(jì)算中的安全問(wèn)題存在以下三個(gè)問(wèn)題：（1）開(kāi)放霧計(jì)算作為一種新的普適計(jì)算范式時(shí)，存在脆弱性；（2）在物理環(huán)境下會(huì)暴露多個(gè)運(yùn)行中的霧節(jié)點(diǎn)；（3）霧節(jié)點(diǎn)需要與各種類型的物聯(lián)網(wǎng)設(shè)備實(shí)現(xiàn)互操作。

　?。ㄒ唬╅_(kāi)放環(huán)境下運(yùn)行的風(fēng)險(xiǎn)

　　1.物理暴露

　　與云服務(wù)器不同，許多霧節(jié)點(diǎn)可能會(huì)暴露在物理環(huán)境中，因此很容易受到物理攻擊。為了確保端到端的安全性，必須保護(hù)霧節(jié)點(diǎn)及其外部輸入/輸出免受硬件篡改或電磁竊聽(tīng)。保護(hù)霧節(jié)點(diǎn)所需的物理安全級(jí)別必須通過(guò)物理風(fēng)險(xiǎn)評(píng)估工作來(lái)確定。

　　2.開(kāi)放安全邊界

　　在實(shí)際的應(yīng)用中，由一個(gè)服務(wù)供應(yīng)商所部署的霧節(jié)點(diǎn)可以為來(lái)自其他供應(yīng)商的客戶端提供服務(wù)。這些客戶端可能具有不同的安全實(shí)踐，并且在自我保護(hù)方面的能力可能更弱。這些沒(méi)有明確定義安全邊界的開(kāi)放操作場(chǎng)景為開(kāi)放霧計(jì)算安全帶來(lái)了一些最大的風(fēng)險(xiǎn)。如何允許這些服務(wù)共享信息和資源，同時(shí)確保開(kāi)放霧計(jì)算系統(tǒng)的總體安全性仍然是研究人員面臨的主要挑戰(zhàn)。通過(guò)在互操作性和服務(wù)域的層次結(jié)構(gòu)上強(qiáng)制執(zhí)行安全策略，可以克服這一挑戰(zhàn)。

　　3.遠(yuǎn)程管理

　　對(duì)大多數(shù)物聯(lián)網(wǎng)設(shè)備和霧節(jié)點(diǎn)，管理員將對(duì)其進(jìn)行遠(yuǎn)程管理。遠(yuǎn)程管理能夠幫助管理員以最經(jīng)濟(jì)的方式控制設(shè)備；當(dāng)然，這種方法也大大增加了漏洞存在的可能，為對(duì)手提供了發(fā)起各種網(wǎng)絡(luò)攻擊的機(jī)會(huì)，同時(shí)，也增大了偵察和響應(yīng)攻擊的難度。開(kāi)放霧計(jì)算安全管理工作組（OpenFog Security and Manageability Workgroups）正在與產(chǎn)業(yè)界合作開(kāi)發(fā)一個(gè)基于域的非集中式服務(wù)管理上層結(jié)構(gòu)，以提供安全的遠(yuǎn)程管理服務(wù)。

　?。ǘ┪锫?lián)網(wǎng)—霧（IoT-Fog）互操作中存在的障礙

　　1.遺留的過(guò)時(shí)設(shè)備

　　在系統(tǒng)升級(jí)期間，原有的老舊應(yīng)用程序通常都會(huì)對(duì)現(xiàn)有的計(jì)算和存儲(chǔ)設(shè)備進(jìn)行重用，以便保護(hù)現(xiàn)有的工作系統(tǒng)并節(jié)省成本。但這種做法通常會(huì)帶來(lái)安全問(wèn)題，因?yàn)檫@些遺留設(shè)備在設(shè)計(jì)之初并沒(méi)有考慮到開(kāi)放霧計(jì)算的安全需求。因此，在將遺留設(shè)備集成到開(kāi)放霧計(jì)算系統(tǒng)之前，必須對(duì)它們進(jìn)行適當(dāng)?shù)男阅芡晟啤Ｗ顑?yōu)做法是將加固后的霧節(jié)點(diǎn)部署為遺留設(shè)備和開(kāi)放霧計(jì)算系統(tǒng)之間的中間介質(zhì)。

　　2.異構(gòu)協(xié)議和操作流程

　　異構(gòu)性是開(kāi)放霧計(jì)算架構(gòu)的本質(zhì)，因此，確保開(kāi)放霧計(jì)算實(shí)體之間的端到端通信安全是至關(guān)重要的，這些實(shí)體具有不同的性能和功能。開(kāi)放霧計(jì)算將根據(jù)通用的區(qū)域性實(shí)踐，采用加密功能和安全通信協(xié)議的標(biāo)準(zhǔn)化集合。為了使霧節(jié)點(diǎn)能夠與各種遺留設(shè)備實(shí)現(xiàn)互操作，將開(kāi)發(fā)協(xié)議抽象層和IP適配層。

　　3.設(shè)備間的資源約束

　　現(xiàn)有的設(shè)備可能還沒(méi)有準(zhǔn)備好迎接霧計(jì)算的到來(lái)，無(wú)法充分保護(hù)自身系統(tǒng)。例如，許多物聯(lián)網(wǎng)設(shè)備無(wú)法實(shí)現(xiàn)強(qiáng)大的加密功能，容易受到欺騙和重放攻擊。霧節(jié)點(diǎn)如何在不損害端到端安全性，甚至更好地為這些設(shè)備提供安全服務(wù)的情況下，與這些設(shè)備進(jìn)行交互，仍然是一個(gè)巨大的挑戰(zhàn)。

　　（三）保護(hù)新的計(jì)算范式

　　1.多租戶技術(shù)

　　未來(lái)，大多數(shù)霧節(jié)點(diǎn)都將支持多租戶技術(shù)，其中一個(gè)軟件實(shí)例可以服務(wù)于多個(gè)租戶和用戶組。多租戶技術(shù)要求在各個(gè)實(shí)例在運(yùn)行過(guò)程中進(jìn)行環(huán)境之間的邏輯隔離，這樣每個(gè)實(shí)例就可以獨(dú)立執(zhí)行功能，而無(wú)需考慮其他實(shí)例，除非需要數(shù)據(jù)、資源的共享。為了實(shí)現(xiàn)這一點(diǎn)，霧節(jié)點(diǎn)必須配備可信的計(jì)算基礎(chǔ)和安全策略實(shí)施引擎，以便它們能夠?qū)崿F(xiàn)屬于不同組織或應(yīng)用程序域的租戶的流程隔離、訪問(wèn)控制、資源管理和服務(wù)質(zhì)量（QoS）要求。

　　2.多層物聯(lián)網(wǎng)—霧—云（IoT-Fog-Cloud）混合技術(shù)

　　雖然多租戶技術(shù)在一個(gè)霧節(jié)點(diǎn)中引入了復(fù)雜性，但是在設(shè)備—霧—云統(tǒng)一體中部署的分布式多層霧節(jié)點(diǎn)為開(kāi)放霧計(jì)算系統(tǒng)創(chuàng)建了另一個(gè)復(fù)雜性維度。霧節(jié)點(diǎn)中所呈現(xiàn)出來(lái)的用戶進(jìn)程能夠在可信執(zhí)行環(huán)境中運(yùn)行，并通過(guò)動(dòng)態(tài)的網(wǎng)格關(guān)系實(shí)現(xiàn)彼此的交互。在這一過(guò)程中，不僅數(shù)據(jù)在通過(guò)多層霧節(jié)點(diǎn)從設(shè)備傳播到云的過(guò)程中可能會(huì)經(jīng)歷更加復(fù)雜的處理；還可以在同一層的霧節(jié)點(diǎn)之間實(shí)現(xiàn)共享和聚合。為了確保正確的數(shù)據(jù)和流程管理，必須將邏輯域結(jié)構(gòu)與正確的策略管理結(jié)合起來(lái)。

　　四

　　開(kāi)放霧計(jì)算體系架構(gòu)的安全特性

　　許多開(kāi)放霧計(jì)算應(yīng)用可能需要將霧節(jié)點(diǎn)部署在公開(kāi)的物理環(huán)境中，與不太可信的邊緣節(jié)點(diǎn)和設(shè)備進(jìn)行互操作，并在嚴(yán)格的操作約束條件下提供關(guān)鍵任務(wù)服務(wù)。這些要求意味著開(kāi)放霧計(jì)算系統(tǒng)必須提供比傳統(tǒng)信息安全更多的信息，并提供具有響應(yīng)性、可用性、安全性和可靠性保證的信息服務(wù)。

　　（一）外在安全與內(nèi)在安全

　　安全保障必須根據(jù)霧節(jié)點(diǎn)的外部屬性（如采用標(biāo)準(zhǔn)化的加密函數(shù)和安全協(xié)議）和內(nèi)部屬性（如實(shí)現(xiàn)這些函數(shù)和協(xié)議的保障級(jí)別）來(lái)指定。這些內(nèi)部屬性將確保信任鏈建立在信任根（RoTs）之上，并傳播到霧節(jié)點(diǎn)的可信計(jì)算基（TCB）中。外在和內(nèi)在的屬性都應(yīng)當(dāng)能夠識(shí)別潛在威脅，并對(duì)系統(tǒng)實(shí)施必要的保護(hù)措施。

　?。ǘ┍Ｗo(hù)范圍

　　開(kāi)放霧計(jì)算系統(tǒng)的保護(hù)范圍必須包括一個(gè)或多個(gè)相互連接的霧節(jié)點(diǎn)，以及設(shè)備—霧—云統(tǒng)一體中的所有實(shí)體，這些實(shí)體霧節(jié)點(diǎn)中直接或間接的進(jìn)行交互。使用場(chǎng)景可能包括霧節(jié)點(diǎn)之間和霧節(jié)點(diǎn)內(nèi)部的交互，以及節(jié)點(diǎn)到設(shè)備和節(jié)點(diǎn)到云的交互。在過(guò)渡設(shè)備部署時(shí)，可能還需要考慮霧節(jié)點(diǎn)和遺留設(shè)備之間的交互。連接/互操作域（CIDs）和服務(wù)/應(yīng)用域（SADs）的相關(guān)規(guī)范可以在信息傳遞和服務(wù)支持層面進(jìn)一步細(xì)化保護(hù)范圍。

　?。ㄈ┩{模型

　　由霧節(jié)點(diǎn)保護(hù)的資產(chǎn)不僅包括軟件、數(shù)據(jù)和元數(shù)據(jù)，同時(shí)也包括計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源與服務(wù)。由于霧節(jié)點(diǎn)存在物理暴露和安全邊界的開(kāi)放性，因此可能會(huì)面臨物理安全、通信安全、計(jì)算安全等多方面的威脅。這些威脅必須根據(jù)不同使用場(chǎng)景下潛在影響的嚴(yán)重程度進(jìn)行排序，還應(yīng)考慮故意或意外損壞/故障。

　?。ㄋ模┠繕?biāo)和可交付成果

　　開(kāi)放霧計(jì)算安全工作組的任務(wù)是指導(dǎo)開(kāi)放霧計(jì)算系統(tǒng)開(kāi)發(fā)人員采用合適的系統(tǒng)保護(hù)策略，以抵御與應(yīng)用相關(guān)的威脅。幫助開(kāi)發(fā)開(kāi)放霧計(jì)算安全評(píng)估框架也是開(kāi)放霧計(jì)算安全工作組的目標(biāo)。為此，工作組開(kāi)始采用通用的標(biāo)準(zhǔn)方法處理霧節(jié)點(diǎn)的安全需求。目前正在開(kāi)發(fā)霧節(jié)點(diǎn)的保護(hù)框架（PP），并將在年底前完成。

　　霧節(jié)點(diǎn)的安全保障需求將在保護(hù)框架制定完成后進(jìn)行詳細(xì)說(shuō)明。這些需求將轉(zhuǎn)化為目標(biāo)產(chǎn)品的安全評(píng)估標(biāo)準(zhǔn)。然后，區(qū)域試驗(yàn)臺(tái)和評(píng)估中心便可以執(zhí)行安全保障評(píng)估流程。

　　五

　　開(kāi)放霧計(jì)算的安全方法

　　以節(jié)點(diǎn)為中心的的開(kāi)放霧計(jì)算安全方法由四個(gè)不同的方面組成：霧節(jié)點(diǎn)的物理安全，設(shè)備—霧—云統(tǒng)一體中的端到端安全，對(duì)出現(xiàn)在統(tǒng)一體中的硬件/軟件實(shí)體實(shí)行安全監(jiān)控和管理和霧節(jié)點(diǎn)中用戶執(zhí)行進(jìn)程的可信度。本文將對(duì)上述四種方法中的前三種進(jìn)行簡(jiǎn)單闡述，讀者可以參考開(kāi)放霧計(jì)算智能對(duì)象任務(wù)小組正在開(kāi)展的工作，了解確?？煽啃缘男枨蠛头椒?。

　?。ㄒ唬┪锢戆踩?/p>

　　霧節(jié)點(diǎn)所需的物理安全級(jí)別取決于外部人員訪問(wèn)其物理組件（物理暴露）的容易程度，以及如果這些組件受到威脅將會(huì)帶來(lái)什么后果（使用臨界性）。這些物理風(fēng)險(xiǎn)評(píng)估可能需要部署四種類型的防篡改機(jī)制，包括抵御、證據(jù)、偵查和響應(yīng)，以阻止或減輕針對(duì)設(shè)備的潛在物理攻擊和網(wǎng)絡(luò)攻擊。

　　當(dāng)防篡改機(jī)制建立后，應(yīng)當(dāng)允許進(jìn)行合法的維護(hù)。為此，霧節(jié)點(diǎn)應(yīng)該具有一種特定的、安全的維護(hù)模式。授權(quán)人員在維護(hù)過(guò)程中可以暫時(shí)禁用防篡改機(jī)制，并在維護(hù)工作完成后重新啟用該機(jī)制。

　?。ǘ┒说蕉税踩?/p>

　　通過(guò)對(duì)節(jié)點(diǎn)、網(wǎng)絡(luò)和數(shù)據(jù)安全進(jìn)行保護(hù)，為位于設(shè)備—霧—云統(tǒng)一體中的所有信息、服務(wù)和應(yīng)用提供端到端安全。

　　1.節(jié)點(diǎn)安全

　　安全的開(kāi)放霧計(jì)算系統(tǒng)的開(kāi)發(fā)應(yīng)該從其霧節(jié)點(diǎn)的安全實(shí)現(xiàn)開(kāi)始，這些節(jié)點(diǎn)應(yīng)該瞄準(zhǔn)在安全硬件中實(shí)現(xiàn)的強(qiáng)信任根（RoTs），或者由硬件支持的安全機(jī)制所保護(hù)的強(qiáng)信任根。同時(shí)，還應(yīng)當(dāng)借助策略執(zhí)行引擎（PEnPs）管理用戶進(jìn)程之間的信息流，這些用戶進(jìn)程是根據(jù)多個(gè)租戶的要求來(lái)執(zhí)行的。配備可信計(jì)算基（TCBs）的霧節(jié)點(diǎn)能夠?qū)⑿湃捂湉腞oTs擴(kuò)展到用戶進(jìn)程，并通過(guò)硬件虛擬化和可信引導(dǎo)實(shí)例化可信執(zhí)行環(huán)境（TEEs）。

　　研究人員可以使用多種技術(shù)實(shí)現(xiàn)與開(kāi)放霧計(jì)算兼容的可信計(jì)算基，從專用或集成硬件信任根的使用到支持內(nèi)存保護(hù)和安全操作模式的可信計(jì)算基固件實(shí)現(xiàn)。遵循TCG TPM 2.0規(guī)范的硬件可信平臺(tái)模塊（TPMs）是硬件解決方案的示例，ARM TrustZone?是專門針對(duì)供應(yīng)商的固件解決方案。由于集成的硬件信任根通常具有有限的受保護(hù)存儲(chǔ)或密碼處理能力，因此可能必須使用虛擬硬件可信平臺(tái)模塊才能支持潛在的可信執(zhí)行環(huán)境實(shí)例化。

　　2.網(wǎng)絡(luò)安全

　　開(kāi)放霧計(jì)算網(wǎng)絡(luò)安全包括通信安全和信息安全服務(wù)。

　　2.1  通信安全

　　X.800建議（recommendation X.800）是國(guó)際電話電報(bào)咨詢委員會(huì)（CCITT）關(guān)于開(kāi)放系統(tǒng)互連安全體系架構(gòu)的建議，它為開(kāi)放系統(tǒng)互連的安全通信提供一種概念性和功能性的框架，以及在OSI環(huán)境下解決網(wǎng)絡(luò)安全問(wèn)題的一致性途徑。霧節(jié)點(diǎn)應(yīng)遵循X.800建議中所提供的通信安全服務(wù)，包括：

　?。?）機(jī)密性：對(duì)數(shù)據(jù)提供保護(hù)，使之不向非授權(quán)者泄露。

　?。?）完整性：抵御積極威脅，保證數(shù)據(jù)沒(méi)有遭受未經(jīng)授權(quán)方式作的改動(dòng)或破壞。

　?。?）身份驗(yàn)證：在對(duì)等實(shí)體間進(jìn)行通信時(shí)，必須執(zhí)行身份驗(yàn)證服務(wù)，確保自己與期望的對(duì)等實(shí)體建立聯(lián)系。

　　（4）來(lái)源和交易的不可否認(rèn)性（用于遠(yuǎn)程認(rèn)證）：使發(fā)送者/接收者既不能否認(rèn)發(fā)送/接收過(guò)報(bào)文，也不能否認(rèn)發(fā)送/接收過(guò)原始內(nèi)容。

　　在所有霧到云（Fog-to-Cloud）和霧到霧（Fog-to-Fog）的通信之間都應(yīng)當(dāng)提供這些服務(wù)，并使用標(biāo)準(zhǔn)化的安全傳輸協(xié)議。霧通信應(yīng)受傳輸層安全（TLS）和數(shù)據(jù)報(bào)傳輸層安全（DTLS）協(xié)議的保護(hù)，目前這些協(xié)議已經(jīng)成為事實(shí)上的標(biāo)準(zhǔn)。設(shè)備協(xié)議抽象層可用于支持所有IP的適應(yīng)邊緣，管理員會(huì)在霧節(jié)點(diǎn)上部署通信代理用于實(shí)施協(xié)議，目的是為了保護(hù)從節(jié)點(diǎn)到設(shè)備（Node-to-Device）的通信過(guò)程中有線/無(wú)線通信的機(jī)密性和完整性。

　　2.2  信息安全服務(wù)

　　配備可信計(jì)算基和強(qiáng)大安全機(jī)制的霧節(jié)點(diǎn)是通過(guò)網(wǎng)絡(luò)功能虛擬化（NFV）和軟件定義網(wǎng)絡(luò)（SDN）來(lái)提供信息安全服務(wù)的理想平臺(tái)。系統(tǒng)管理員應(yīng)該按照互操作性和服務(wù)領(lǐng)域規(guī)范部署一些服務(wù)，如深度包檢查、應(yīng)用層代理、IDS/IPS等，并根據(jù)基于域的安全服務(wù)策略進(jìn)行操作。

　　3.數(shù)據(jù)安全

　　數(shù)據(jù)、元數(shù)據(jù)和程序以三種狀態(tài)之一存在于設(shè)備—霧—云統(tǒng)一體中：（1）正在使用的數(shù)據(jù)，即處理過(guò)程中駐留在系統(tǒng)內(nèi)存中的數(shù)據(jù)；（2）靜止數(shù)據(jù)，即駐留在非易失性存儲(chǔ)器上的數(shù)據(jù)；（3）動(dòng)態(tài)數(shù)據(jù)，即通過(guò)網(wǎng)絡(luò)基礎(chǔ)設(shè)施實(shí)現(xiàn)交換的數(shù)據(jù)。應(yīng)該對(duì)這些狀態(tài)中存儲(chǔ)的資料給予適當(dāng)保護(hù)。

　　3.1  正在使用的數(shù)據(jù)

　　數(shù)據(jù)和程序在處理期間駐留在內(nèi)存層次結(jié)構(gòu)中。包括關(guān)鍵材料、個(gè)人/公司的專屬數(shù)據(jù)甚至程序代碼在內(nèi)的多種信息都可能被視為機(jī)密材料受到保護(hù)，在未經(jīng)授權(quán)的情況下無(wú)法進(jìn)行閱讀或修改。內(nèi)存管理單元可用于阻止來(lái)自地址空間和物理/虛擬設(shè)備的未授權(quán)訪問(wèn)。可信管理程序可以通過(guò)抽象和虛擬化的硬件平臺(tái)形式提供額外的保護(hù)，從而限制單個(gè)虛擬機(jī)的執(zhí)行環(huán)境。

　　3.2  靜止數(shù)據(jù)

　　駐留在非易失性存儲(chǔ)中的信息必須接受基本的機(jī)密性和完整性保護(hù)。通常有三種機(jī)制可用于保護(hù)靜止數(shù)據(jù)：不區(qū)分的全存儲(chǔ)加密；判別式的文件和數(shù)據(jù)庫(kù)加密；強(qiáng)制的和任意的訪問(wèn)控制。必須對(duì)用戶進(jìn)程發(fā)起的所有數(shù)據(jù)訪問(wèn)強(qiáng)制執(zhí)行基于角色/屬性/能力的訪問(wèn)控制。不區(qū)分或判別式的加密也應(yīng)用于保護(hù)駐留在易受物理安全攻擊的非易失性存儲(chǔ)上的信息。必須使用安全憑證和訪問(wèn)控制策略管理來(lái)實(shí)施適當(dāng)?shù)谋Ｗo(hù)。

　　3.3  動(dòng)態(tài)數(shù)據(jù)

　　在設(shè)備—霧—云統(tǒng)一體中交換的信息必須通過(guò)網(wǎng)絡(luò)安全措施加以保護(hù)。此外，在可信執(zhí)行環(huán)境中執(zhí)行的用戶進(jìn)程可以選擇使用服務(wù)/進(jìn)程的專屬密鑰加密其數(shù)據(jù)。這些額外的數(shù)據(jù)儲(chǔ)存保護(hù)可以進(jìn)一步加強(qiáng)資料的私密性。

　?。ㄈ┌踩O(jiān)控與管理

　　新的威脅、漏洞，甚至是環(huán)境中的簡(jiǎn)單變化都可能導(dǎo)致新攻擊載體的出現(xiàn)。因此，開(kāi)放霧計(jì)算的安全監(jiān)控與管理（SMM）必須賦予開(kāi)放霧計(jì)算系統(tǒng)快速有效地響應(yīng)安全環(huán)境變化的能力。

　　安全管理利用策略來(lái)定義開(kāi)放霧計(jì)算系統(tǒng)的運(yùn)行方式，而安全監(jiān)控則報(bào)告系統(tǒng)的實(shí)際運(yùn)行方式。安全管理策略交付系統(tǒng)應(yīng)該是自動(dòng)化的，以便向大量的霧節(jié)點(diǎn)實(shí)時(shí)提供和執(zhí)行安全策略。

　　安全監(jiān)控的實(shí)現(xiàn)是為了以可信的方式收集信息并進(jìn)行安全分析，其基本要求是在霧節(jié)點(diǎn)上啟用日志和遙感勘測(cè)（telemetry）功能，telemetry技術(shù)是一項(xiàng)遠(yuǎn)程的從物理設(shè)備或虛擬設(shè)備上高速采集數(shù)據(jù)的技術(shù)，能夠提供更實(shí)時(shí)更高效的數(shù)據(jù)采集功能。系統(tǒng)管理員必須仔細(xì)考慮日志和遙感勘測(cè)事件的機(jī)密性與完整性。安全事件應(yīng)該在安全信息和事件管理（SIEM）系統(tǒng)或類似的中央或分布式關(guān)聯(lián)引擎中進(jìn)行聚合與關(guān)聯(lián)分析。然后，通過(guò)態(tài)勢(shì)感知和上下文感知來(lái)觸發(fā)基于規(guī)則和行為分析的通知，以確保威脅檢測(cè)的最大可能性。

　　安全監(jiān)控與管理服務(wù)之間的安全通信應(yīng)與特定安全域中的數(shù)據(jù)平面及控制平面通信隔離。安全監(jiān)控與管理服務(wù)應(yīng)該是這個(gè)安全域的一部分，霧計(jì)算系統(tǒng)中任何未經(jīng)授權(quán)的實(shí)體都不能在這個(gè)域中通信。

　　最后，將安全監(jiān)控與管理服務(wù)中的多種功能結(jié)合使用可以支持自主的安全操作。監(jiān)控系統(tǒng)中基于人工或機(jī)器安全分析生成的安全事件和警報(bào)應(yīng)觸發(fā)安全管理系統(tǒng)對(duì)受影響的霧節(jié)點(diǎn)進(jìn)行手動(dòng)或自動(dòng)的策略更新，以實(shí)現(xiàn)響應(yīng)式安全自動(dòng)化。通過(guò)更新尚未受到網(wǎng)絡(luò)攻擊的霧節(jié)點(diǎn)中的策略，可以借助一個(gè)主動(dòng)的安全自動(dòng)化系統(tǒng)來(lái)阻止威脅在系統(tǒng)中的傳播。

　　1.身份和證書(shū)管理

　　開(kāi)放霧計(jì)算系統(tǒng)應(yīng)當(dāng)對(duì)用戶、終端設(shè)備、霧節(jié)點(diǎn)、云服務(wù)器以及可信執(zhí)行環(huán)境（TEEs）中相關(guān)的身份和關(guān)系信息，以及在這些實(shí)體中實(shí)例化的服務(wù)和應(yīng)用程序進(jìn)行管理。開(kāi)放霧計(jì)算中身份管理系統(tǒng)的主要特點(diǎn)包括：

　　（1）實(shí)體注冊(cè)：為了加強(qiáng)端到端的安全性，在將任何實(shí)體添加到開(kāi)放霧計(jì)算系統(tǒng)之前，管理員必須確保它們的真實(shí)性。一旦一個(gè)實(shí)體在開(kāi)放霧計(jì)算系統(tǒng)中進(jìn)行注冊(cè)，那么它必須提供一個(gè)加密的證書(shū)。一種常用的技術(shù)是使用公鑰密碼來(lái)驗(yàn)證實(shí)體的數(shù)字身份。

　?。?）代理服務(wù)：資源有限的設(shè)備可能無(wú)法執(zhí)行強(qiáng)大的身份驗(yàn)證和訪問(wèn)控制，在這一情況下，這些功能應(yīng)當(dāng)委托給與它們相關(guān)的霧節(jié)點(diǎn)，把這些霧節(jié)點(diǎn)作為設(shè)備的代理。

　?。?）安全證書(shū)存儲(chǔ)：霧節(jié)點(diǎn)的數(shù)字身份和證書(shū)，尤其是私鑰，必須進(jìn)行安全存儲(chǔ)。當(dāng)霧節(jié)點(diǎn)部署在可能受到網(wǎng)絡(luò)攻擊的危險(xiǎn)環(huán)境中時(shí)，這一點(diǎn)尤為重要。

　?。?）間歇性連接：身份驗(yàn)證和訪問(wèn)控制等身份管理服務(wù)必須時(shí)刻保證功能正常，即使在與后端身份服務(wù)沒(méi)有主動(dòng)連接的情況下，也不能出現(xiàn)功能故障。應(yīng)當(dāng)通過(guò)霧節(jié)點(diǎn)之間的協(xié)作使這些服務(wù)無(wú)處不在。

　?。?）可伸縮性：身份管理基礎(chǔ)設(shè)施必須是可伸縮和分散的，因?yàn)殚_(kāi)放霧計(jì)算系統(tǒng)可以通過(guò)增加霧節(jié)點(diǎn)和終端設(shè)備的數(shù)量實(shí)現(xiàn)體量的擴(kuò)展。

　　2.域和策略管理

　　開(kāi)放霧計(jì)算定義了兩種類型的邏輯域，即連接/互操作域（CID）和服務(wù)/應(yīng)用域（SAD），以便在開(kāi)放霧計(jì)算體系架構(gòu)上強(qiáng)加一個(gè)可操作的超結(jié)構(gòu)。每一種類型的域都應(yīng)該與體系架構(gòu)中的數(shù)據(jù)/服務(wù)抽象層相關(guān)聯(lián)。此外，每個(gè)域應(yīng)該有自己的操作和安全策略。這些策略必須由這些域中的霧節(jié)點(diǎn)來(lái)執(zhí)行。

　　連接/互操作域是設(shè)備—霧—云統(tǒng)一體中開(kāi)放霧計(jì)算實(shí)體的粗粒度集合，可以通過(guò)信息交換、程序遷移和重用實(shí)現(xiàn)互操作。連接/互操作域應(yīng)該建立在開(kāi)放霧計(jì)算體系結(jié)構(gòu)的數(shù)據(jù)交換層上，其中霧節(jié)點(diǎn)是數(shù)據(jù)交換層的基本實(shí)體。每一個(gè)連接/互操作域都應(yīng)當(dāng)具有互操作性，同時(shí)執(zhí)行相應(yīng)的安全策略。

　　另一方面，服務(wù)/應(yīng)用域則是在受信任執(zhí)行環(huán)境集合中執(zhí)行的數(shù)據(jù)/服務(wù)資源的細(xì)粒度集合，用于支持特定的應(yīng)用程序。服務(wù)/應(yīng)用域的實(shí)例化發(fā)生在開(kāi)放霧計(jì)算體系架構(gòu)中的服務(wù)提供層。以容器或智能對(duì)象形式開(kāi)發(fā)的用戶進(jìn)程是服務(wù)/應(yīng)用域中的基本實(shí)體。每個(gè)服務(wù)/應(yīng)用域都應(yīng)該指定和執(zhí)行可操作的和可信的計(jì)算策略。

　　連接/互操作域和服務(wù)/應(yīng)用域都可以由開(kāi)放霧計(jì)算實(shí)體、數(shù)據(jù)和服務(wù)的所有者增量化地建立。這些所有者還有權(quán)利和責(zé)任指定要在這些域中執(zhí)行的操作和安全策略。可以建立域?qū)哟谓Y(jié)構(gòu)來(lái)細(xì)化策略實(shí)施的范圍。可以安裝橋接實(shí)體來(lái)支持域間的交互。在安全和管理工作組之間正在開(kāi)發(fā)分散的域成員關(guān)系和策略管理體系架構(gòu)。

　　六

　　結(jié)　語(yǔ)

　　開(kāi)放霧計(jì)算提出了一種普適的、異構(gòu)多層通信計(jì)算體系架構(gòu)，為廣泛的IT/OT應(yīng)用程序提供了可靠的信息服務(wù)。它還提供了一個(gè)平臺(tái)，用于在設(shè)備—霧—云統(tǒng)一體中部署和驗(yàn)證新技術(shù)。在安全領(lǐng)域，研究人員正在建立安全即服務(wù)（SECaaS）的概念，它將是一個(gè)基于霧節(jié)點(diǎn)的、策略驅(qū)動(dòng)型的信息安全服務(wù)，通過(guò)網(wǎng)絡(luò)功能虛擬化（NFV）為無(wú)法保護(hù)自己的終端設(shè)備提供服務(wù)。SECaaS必須尊重應(yīng)用/服務(wù)域結(jié)構(gòu)，并且不應(yīng)該干擾應(yīng)用本身的業(yè)務(wù)流程。包括分布式持久賬本在內(nèi)的新技術(shù)，特別是2G/3G區(qū)塊鏈，如以太坊（Ethereum）和IOTA Tangle，以及信息傳播傳輸，如BATS代碼，都可以用來(lái)增強(qiáng)開(kāi)放霧計(jì)算安全的可擴(kuò)展性和魯棒性。