边缘计算为物联网安全带来的机遇
一. 隐私保护
物联网在给人们的生活带来便利的同时,也会将个人隐私暴露在网络环境中。隐私保护对物联网的推广具有重要的意义。首先,对个体而言,无论是物联网哪种类型的隐私泄露,都可能涉及用户位置、个人兴趣爱好,甚至社会关系等敏感信息,一旦此类数据被恶意监听或篡改,使用户个人隐私暴露于公众,都可能造成无法挽回的损失。其次,对于物联网业务的发展,隐私保护问题的解决与否直接影响物联网业务的推广和民众是否愿意使用物联网业务,如果能够有效地保护网络通信中数据的安全性,将更好地推动技术的发展,有利于更好地实现数据的价值。
物联网的快速发展带来边缘数据的爆炸式增长,但并非所有的数据都是有价值的,比如在温度异常监测系统中,其实并不需要把所有采集的温度信息上传,只需将异常数据上传就可达到目的;又如人脸视频识别场景,并不需要将所有人脸图像数据上传到数据中心,而只需提供人脸图像特征值即可。通过边缘数据中心或者边缘计算中心的部署,用户可以将数据保存到本地的可控设备上进行分析处理,并将结果发送到云计算中心,有效减少传输到云端的数据量。这种方式不仅可降低数据传输带宽,同时能较好地保护隐私数据,降低终端敏感数据隐私泄露的风险。
再者,现有针对物联网中存在的隐私保护问题,业界研究了很多的隐私保护算法,如基于隐私保护分类挖掘算法、关联规则挖掘、分布式数据的隐私保持协同过滤推荐、网络访问控制等。传统计算模式下,由于物联网设备计算资源、存储能力有限,在其上部署安全软件或者高复杂度的加解密算法都会大大增加终端运行负担,导致其难以执行必要的隐私保护算法。通过引入边缘计算,物联网设备可以将数据保存在本地边缘计算设备上,边缘计算设备具备充足的资源执行隐私保护算法,有效保护传递给云端的数据隐私。
二.态势感知
网络安全态势感知研究是近几年发展起来的一个热门研究领域。它融合所有可获取的信息实时评估网络的安全态势,为网络安全管理员的决策分析提供依据,将不安全因素带来的风险和损失降到最低。网络安全态势感知在提高网路的监控能力、应急响应能力和预测网路安全的发展趋势等方面都具有重要的意义。万物互联时代背景下,越来越多的IoT设备接入到网络中,由于大多数物联网设备计算资源、存储资源有限,导致传统的安全防御技术如防火墙、IDS等技术存在很大局限,难以有效部署。
在边缘计算模式下,借助边缘计算中心的平台,通过网络内设备的日志、警报等进行分析,可以对整个局域网的安全状况进行分析和评估。甚至边缘计算中心之间可以互相协作,建立分布式的网络感知平台,如图7-8所示,提高系统检测和响应分析能力。可以说,在边缘计算大数据处理时代,网络态势感知将对安全起到巨大的作用。
三.设备更新
物联网是一个迅速变化和发展的市场,新的需求和应用不断产生。一方面,由于物联网设备数量众多,并且IoT设备生命周期较长,在增加新功能时直接更换设备硬件显然不可取,可以采用软件功能更新和网络协议更新的方式;另一方面,针对物联网设备,不可能设计出完全安全的系统,新的攻击将不断出现,而安全补丁是抵抗攻击的有效手段。这些说明物联网中的设备更新是保障物联网系统安全必不可缺的一个组成部分,但低功耗操作和受限的软件支持意味着频繁的固件更新代价太高甚至不可能实现。这也使得很多的用户鲜于更新他们的物联网设备,导致许多物联网安全漏洞。而借助边缘计算中心的计算能力,有望解决IoT设备的更新问题。
边缘设备可以主动更新软件(高级防火墙)以保护嵌入式设备免受攻击。同时,边缘设备可以与云端进行交互,预先获得物联网设备的更新固件,并在用户需要的时候实现对于设备的OTA升级,保证在没有互联网的情况下用户也能快速稳定的进行设备升级,及时安装安全补丁。边缘设备还可以定期对内网设备状态进行检测,并将检测结果上传到云端进行分析,及时发现可能的安全漏洞和威胁。
物联网是一种典型的分布式网络,设备数量和种类众多,资源受限,多种接入网络并存,为设备更新带来极大的挑战。在边缘计算网络架构下,可以通过在边缘计算平台上设计通用的设备固件升级借口,实现对种类各异设备的安全更新。照明系统管理者可以在统一的平台上监控多个系统。平台提供邮件提醒、故障预警及操作记录分析,帮助管理者更好地了解系统表现,在整个生命周期内追踪其运行状况。如此,可及时发现可能的安全漏洞和威胁。
四.安全协议
协议是指两个或两个以上参与者为完成某项特定的任务而采取的一系列步骤。通常把具有安全性功能的协议称为安全协议,其目的是在网络环境中提供各种安全服务,在不安全的公共网络上实现安全的通信。如图7-9所示为常见的互联网安全协议。
要确保物联网的安全,除了采用密码技术,还需要针对物联网的使用要求和特点设计专门的安全协议。现有的网络安全机制无法应用于本领域,例如,互联网中的安全协议IPSec、TLS等涉及大量的公钥运算,这些计算在资源受限的物联网设备中难以执行,通过引入边缘计算,可以使用协议代理、证书托管的方式,协助物联网中的资源受限设备执行安全协议。此外,针对物联网中密钥材料分发的困难,边缘计算设备可以通过物理层安全机制和物联网设备进行密钥预分发,从而保证后续安全机制的可靠进行。
万物互联时代已经到来,随着智能硬件的兴起,大量智能家居和可穿戴设备的出现,为人们的生活带来极大的便利。但是由于安全标准滞后,以及智能设备制造商缺乏安全意识和投入,物联网已经埋下极大隐患,是个人隐私、企业信息安全甚至国家关键基础设施的头号安全威胁。物联网安全比互联网安全更重要,影响更大,物联网是与物理世界打交道的,无论是自动驾驶、智能电网还是桥梁检测、灾害监测,一旦出现问题会涉及生命财产的损失。边缘计算的引入为物联网安全的发展带来巨大的机遇,例如,通过边缘数据中心的部署,可以为终端执行隐私保护算法提供充足的资源,有效保护终端和云之间的数据隐私;物联网中设备资源有限,无法执行完整的安全协议,可以借助边缘中心进行协议代理,实现数据的端到端安全传输等。未来边缘计算将在隐私保护、态势感知、设备更新以及安全协议等方面发挥重要的作用,为物联网发展带来新的保障与动力。
本文出自《边缘计算》,作者施巍松,刘芳,孙辉,裴庆祺