基于零信任架構(gòu)的邊緣計(jì)算接入安全體系研究

◆靳起朝 任 超

?

基于零信任架構(gòu)的邊緣計(jì)算接入安全體系研究

◆靳起朝 任 超

（邢臺(tái)市公安局科信處 河北 054000）

邊緣計(jì)算作為一種新型計(jì)算架構(gòu)，已開(kāi)始在國(guó)計(jì)民生的諸多領(lǐng)域應(yīng)用，但網(wǎng)絡(luò)安全問(wèn)題已成為制約其大規(guī)模應(yīng)用推廣的瓶頸。本文充分調(diào)研了邊緣計(jì)算的架構(gòu)、特點(diǎn)，深入分析了其面臨的安全風(fēng)險(xiǎn)，基于可信計(jì)算、零信任安全等先進(jìn)理念和技術(shù)，針對(duì)性地設(shè)計(jì)了網(wǎng)絡(luò)接入層面的安全防護(hù)體系，不僅能防御當(dāng)前的種種攻擊，而且符合我國(guó)等級(jí)保護(hù)制度的相關(guān)要求。

邊緣計(jì)算；零信任安全；可信計(jì)算

0 前言

隨著物聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)的深入發(fā)展和廣泛應(yīng)用，越來(lái)越多的行業(yè)被驅(qū)動(dòng)創(chuàng)新，出現(xiàn)了智慧交通、智慧醫(yī)療、智慧校園等一系列的惠民應(yīng)用。然而，隨著接入網(wǎng)絡(luò)的設(shè)備數(shù)量激增，網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)也在呈幾何式增長(zhǎng)，傳統(tǒng)的云計(jì)算中心已無(wú)法滿足低時(shí)延、密集化的網(wǎng)絡(luò)接入和服務(wù)需求。因此，在網(wǎng)絡(luò)邊緣利用分散的計(jì)算、存儲(chǔ)資源，執(zhí)行數(shù)據(jù)分布式處理任務(wù)，緩解云計(jì)算中心的負(fù)載，將成為物聯(lián)網(wǎng)發(fā)展的關(guān)鍵。邊緣計(jì)算正是為滿足這種計(jì)算需求而被提出，是在靠近物或數(shù)據(jù)源頭的網(wǎng)絡(luò)邊緣側(cè)，融合網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)、應(yīng)用核心能力的分布式開(kāi)放平臺(tái)，就近提供邊緣智能服務(wù)，滿足行業(yè)數(shù)字化在敏捷聯(lián)接、實(shí)時(shí)業(yè)務(wù)、數(shù)據(jù)優(yōu)化、應(yīng)用智能、安全與隱私保護(hù)等方面的關(guān)鍵需求[1]。邊緣計(jì)算將云計(jì)算的服務(wù)資源擴(kuò)展到了網(wǎng)絡(luò)的邊緣，解決了云計(jì)算中心計(jì)算負(fù)載過(guò)重、網(wǎng)絡(luò)傳輸帶寬壓力過(guò)大、網(wǎng)絡(luò)傳輸時(shí)延過(guò)高等問(wèn)題，是連接物理世界和數(shù)字世界的媒介。

然而，邊緣計(jì)算興起的同時(shí)也給網(wǎng)絡(luò)中的用戶、數(shù)據(jù)、計(jì)算節(jié)點(diǎn)的安全防護(hù)帶來(lái)了新的挑戰(zhàn)。2016年10月21日，大量部署在互聯(lián)網(wǎng)中的智能設(shè)備遭受Mirai【2】病毒入侵，從而將其作為“肉雞”發(fā)起網(wǎng)絡(luò)攻擊，使得美國(guó)西海岸遭受400G左右的DDoS攻擊，造成大面積網(wǎng)絡(luò)癱瘓。2017年10月，一個(gè)名為“IoTroop”【3】的新型僵尸網(wǎng)絡(luò)出現(xiàn)，該僵尸網(wǎng)絡(luò)利用路由器、攝像頭等設(shè)備的漏洞，將僵尸程序傳播到互聯(lián)網(wǎng)，感染并控制了多達(dá)200萬(wàn)臺(tái)在線設(shè)備。上述都是典型的針對(duì)邊緣計(jì)算的網(wǎng)絡(luò)攻擊事件。

近期，針對(duì)邊緣計(jì)算的網(wǎng)絡(luò)攻擊事件呈增多趨勢(shì)，是因?yàn)檫吘売?jì)算網(wǎng)絡(luò)中的智能設(shè)備、網(wǎng)絡(luò)通信技術(shù)在設(shè)計(jì)之初都對(duì)考慮安全不足。邊緣計(jì)算所聯(lián)接物理對(duì)象的計(jì)算、存儲(chǔ)資源都較為有限，因此在設(shè)計(jì)之初更優(yōu)先考慮業(yè)務(wù)功能的正確、可靠實(shí)現(xiàn)，而忽略網(wǎng)絡(luò)安全的威脅；邊緣計(jì)算聯(lián)接物理對(duì)象所采用的網(wǎng)絡(luò)通信技術(shù)多種多樣，如BlueTooth、ZigBee、Wi-Fi、NB-IoT甚至Profibus、Ethercat等總線，在網(wǎng)絡(luò)安全方面都存在諸多缺陷。

綜上所述，邊緣計(jì)算作為一種新型的計(jì)算架構(gòu)，已逐步滲透到各個(gè)領(lǐng)域，在我們生活中扮演越來(lái)越重要的角色，但是邊緣計(jì)算的安全問(wèn)題，尤其是物理對(duì)象的接入安全還未得到有效改善，一旦被黑客利用，就可能泄露我們的隱私信息、影響社會(huì)秩序穩(wěn)定，甚至威脅國(guó)家安全。因此，邊緣計(jì)算的安全問(wèn)題亟待解決。

1 邊緣計(jì)算部署架構(gòu)及安全風(fēng)險(xiǎn)分析

1.1 邊緣計(jì)算部署架構(gòu)

從軟硬件設(shè)備的邏輯部署角度看，邊緣計(jì)算可以分為四層：智能設(shè)備、智能網(wǎng)關(guān)、智能系統(tǒng)、云計(jì)算中心。智能設(shè)備包括智能手機(jī)、智能汽車(chē)、智能攝像頭、智能開(kāi)關(guān)等，通過(guò)BlueTooth、ZigBee、Modbus、Profibus等通信協(xié)議與智能網(wǎng)關(guān)進(jìn)行短距離通信，或者通過(guò)Wi-Fi、45G、NB-IoT等協(xié)議與智能網(wǎng)關(guān)進(jìn)行遠(yuǎn)距離通信。智能設(shè)備主要承擔(dān)對(duì)物理世界的感知任務(wù)，然后將感知結(jié)果匯聚到智能網(wǎng)關(guān)。智能網(wǎng)關(guān)具備一定的計(jì)算和存儲(chǔ)能力，能夠?qū)χ悄茉O(shè)備上傳的感知數(shù)據(jù)進(jìn)行實(shí)時(shí)分析、處理和存儲(chǔ)。根據(jù)業(yè)務(wù)場(chǎng)景的需要，智能網(wǎng)關(guān)可將實(shí)時(shí)處理完的感知結(jié)果上報(bào)智能系統(tǒng)進(jìn)行更復(fù)雜的處理，同時(shí)將非實(shí)時(shí)數(shù)據(jù)聚合后送到云端進(jìn)行存儲(chǔ)或處理。

從軟硬件設(shè)備所處物理環(huán)境角度看，邊緣計(jì)算的智能設(shè)備、智能網(wǎng)關(guān)一般部署在開(kāi)放的物理環(huán)境下，如城市道路、野外環(huán)境等，地理位置分散且無(wú)人值守。智能系統(tǒng)及云計(jì)算中心一般部署在運(yùn)營(yíng)使用單位的數(shù)據(jù)中心中。智能網(wǎng)關(guān)和智能系統(tǒng)或者云計(jì)算中心通過(guò)運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換。

圖1 邊緣計(jì)算部署架構(gòu)

1.2 邊緣計(jì)算安全風(fēng)險(xiǎn)分析

從邊緣計(jì)算部署架構(gòu)可以看出，邊緣計(jì)算的最上層是云計(jì)算中心，因此云計(jì)算【4】所面臨的安全風(fēng)險(xiǎn)在邊緣計(jì)算中依然存在；智能系統(tǒng)部署于數(shù)據(jù)中心中，分析和處理智能網(wǎng)關(guān)匯聚的數(shù)據(jù)，其面臨的安全風(fēng)險(xiǎn)和傳統(tǒng)信息系統(tǒng)相同。智能設(shè)備和智能網(wǎng)關(guān)所在物理環(huán)境惡劣、所處理的數(shù)據(jù)及協(xié)議復(fù)雜，其面臨更多新的安全風(fēng)險(xiǎn)，如下：

1）固件篡改：因?yàn)橹悄茉O(shè)備和智能網(wǎng)關(guān)處于無(wú)人值守的開(kāi)放物理環(huán)境中，攻擊者很容易直接接觸物理設(shè)備，進(jìn)而對(duì)設(shè)備固件進(jìn)行逆向分析，通過(guò)篡改固件，增加攻擊代碼或關(guān)閉設(shè)備的安全機(jī)制等。

2）閑置接口利用：為了調(diào)試或設(shè)備管理方便，有些智能設(shè)備和智能網(wǎng)關(guān)會(huì)保留UART、COM等外設(shè)接口，而攻擊者物理接觸設(shè)備后，可以利用這些未被關(guān)閉的閑置接口進(jìn)行攻擊。

3）暴力破解：智能設(shè)備大多使用嵌入式linux系統(tǒng)，系統(tǒng)賬戶一般以文件形式保存，攻擊者拿到這個(gè)文件就可以進(jìn)行系統(tǒng)密碼破解，也可搜集常用的弱口令列表，通過(guò)機(jī)器嘗試的方式獲取系統(tǒng)相關(guān)服務(wù)的認(rèn)證口令。

4）管理界面漏洞利用：攻擊者利用智能設(shè)備或智能網(wǎng)關(guān)管理界面上的SQL注入、上傳、遠(yuǎn)程代碼執(zhí)行等漏洞，獲取設(shè)備管理權(quán)限，從而進(jìn)行攻擊。

5）應(yīng)用漏洞利用：基于業(yè)務(wù)的需要，智能設(shè)備或智能網(wǎng)關(guān)都會(huì)開(kāi)放諸多應(yīng)用服務(wù)，攻擊者可以利用應(yīng)用服務(wù)的漏洞，對(duì)設(shè)備進(jìn)行攻擊。

6）網(wǎng)絡(luò)竊聽(tīng)：智能設(shè)備和智能網(wǎng)關(guān)可以基于ZigBee、BlueTooth、Modbus等多種網(wǎng)絡(luò)協(xié)議進(jìn)行通信，而這些協(xié)議在設(shè)計(jì)之初，幾乎沒(méi)有考慮通信的保密性，因此基于這些協(xié)議進(jìn)行通信，容易出現(xiàn)數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

綜上所述，對(duì)邊緣計(jì)算而言，智能設(shè)備、智能網(wǎng)關(guān)側(cè)新增加的安全風(fēng)險(xiǎn)更加突出，是其安全防護(hù)體系設(shè)計(jì)的重點(diǎn)。

2 邊緣計(jì)算接入安全體系設(shè)計(jì)思路

2.1 相關(guān)技術(shù)

（1）嵌入式設(shè)備架構(gòu)

嵌入式設(shè)備主要由嵌入式微處理器、相關(guān)支撐硬件、固件和嵌入式系統(tǒng)軟件組成，是集軟硬件于一體的可獨(dú)立工作的“器件”。嵌入式微處理器主要由一個(gè)單片機(jī)或微控制器 (MCU)組成。相關(guān)支撐硬件包括AD轉(zhuǎn)換、存儲(chǔ)介質(zhì)（ROM、SDRAM等）、通訊設(shè)備等。嵌入式系統(tǒng)軟件包括與硬件相關(guān)的底層軟件、操作系統(tǒng)、圖形接口、通訊協(xié)議、文件系統(tǒng)、和應(yīng)用程序等，如圖2所示。

圖2 嵌入式設(shè)備架構(gòu)

嵌入式設(shè)備具有如下特點(diǎn)：1）應(yīng)用固化：一般面向特定應(yīng)用需求開(kāi)發(fā)，可擴(kuò)展性較差，嵌入式設(shè)備一旦進(jìn)入市場(chǎng)，在較長(zhǎng)生命周期內(nèi)不會(huì)更新；2）資源有限：為了節(jié)約成本，嵌入式設(shè)備的計(jì)算和存儲(chǔ)資源都和應(yīng)用需求相匹配，冗余的能力較為有限，無(wú)法完成較為復(fù)雜的、應(yīng)用需求之外的任務(wù)。

（2）零信任安全

零信任安全【5】最早由著名研究機(jī)構(gòu)Forrester的首席分析師John Kindervag在2010年提出。其核心思想是：默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，需要基于認(rèn)證和授權(quán)機(jī)制，重構(gòu)網(wǎng)絡(luò)安全的信任基礎(chǔ)。零信任安全摒棄了傳統(tǒng)網(wǎng)絡(luò)安全的防護(hù)架構(gòu)：默認(rèn)內(nèi)網(wǎng)是安全的，安全就是構(gòu)筑企業(yè)的數(shù)字護(hù)城河，通過(guò)防火墻、WAF、IPS等邊界安全產(chǎn)品對(duì)企業(yè)網(wǎng)絡(luò)出口進(jìn)行重重防護(hù)，而忽略企業(yè)內(nèi)網(wǎng)的安全。

邊緣計(jì)算地理位置分散、無(wú)人值守，難以劃清其網(wǎng)絡(luò)邊界，因此，在設(shè)計(jì)邊緣計(jì)算接入安全體系時(shí)，應(yīng)假設(shè)任何設(shè)備都是不可信任的，都可能已經(jīng)被攻擊者入侵。

2.2 設(shè)計(jì)思路

本文將基于可信計(jì)算【6、7】、態(tài)勢(shì)感知等先進(jìn)技術(shù)手段，為邊緣計(jì)算構(gòu)建符合零信任架構(gòu)的接入安全防護(hù)體系。具體思路如下：

1）白盒管理：構(gòu)建統(tǒng)一的安全管理平臺(tái)，實(shí)時(shí)監(jiān)控邊緣設(shè)備的軟硬件配置，使得設(shè)備上的程序、配置及行為都一目了然，及時(shí)發(fā)現(xiàn)異常行為。

2）可信控制：基于可信計(jì)算思想，增加可信根，構(gòu)建可信鏈，實(shí)現(xiàn)對(duì)固件、操作系統(tǒng)以及應(yīng)用程序的可信驗(yàn)證，阻止未通過(guò)驗(yàn)證的程序執(zhí)行。

3）可信接入：利用可信網(wǎng)絡(luò)連接機(jī)制，在設(shè)備接入網(wǎng)絡(luò)時(shí)對(duì)其身份和可信狀態(tài)進(jìn)行驗(yàn)證，并在數(shù)據(jù)傳輸時(shí)，確保數(shù)據(jù)的保密性。

3 基于零信任架構(gòu)的邊緣計(jì)算接入安全體系

依據(jù)上文所述的設(shè)計(jì)思路，為邊緣計(jì)算接入安全構(gòu)建了圖3的防護(hù)體系：

圖3 邊緣計(jì)算接入安全防護(hù)架構(gòu)

白盒管理是本接入安全體系的基礎(chǔ)。邊緣計(jì)算網(wǎng)絡(luò)中智能設(shè)備和網(wǎng)關(guān)都是嵌入式設(shè)備，依據(jù)嵌入式設(shè)備應(yīng)用固化的特點(diǎn)，本安全體系采用白盒管理的思想構(gòu)建管理平臺(tái)，采集邊緣設(shè)備的資產(chǎn)屬性，包括程序、軟硬件配置、應(yīng)用行為、文件完整性狀態(tài)、系統(tǒng)內(nèi)存狀態(tài)等信息，并實(shí)現(xiàn)可視化展示，使得邊緣設(shè)備的運(yùn)行狀態(tài)一目了然。在此基礎(chǔ)上，構(gòu)建程序基準(zhǔn)庫(kù)、配置模板、行為規(guī)則庫(kù)等知識(shí)圖譜，對(duì)邊緣設(shè)備的運(yùn)行狀態(tài)進(jìn)行分析，及時(shí)發(fā)現(xiàn)異常狀態(tài)。

圖4 白盒管理框架

可信控制是本接入安全體系的核心。依據(jù)嵌入式設(shè)備應(yīng)用固化、資源有限的特點(diǎn)，本安全體系采用可信計(jì)算的技術(shù)確保邊緣設(shè)備可信。通過(guò)增加TPCM，實(shí)現(xiàn)不可篡改的信任根，作為信任的源頭；對(duì)邊緣設(shè)備進(jìn)行改造，增加內(nèi)核級(jí)的可信基礎(chǔ)軟件，實(shí)現(xiàn)對(duì)用戶、程序等主體的可信檢查和權(quán)限控制；從而實(shí)現(xiàn)如下功能：1）身份可信：提供暴力破解防護(hù)和弱口令檢查功能，可對(duì)系統(tǒng)無(wú)效用戶、普通用戶、超級(jí)用戶的登錄次數(shù)和頻率限制，減少用戶名口令嘗試次數(shù)。同時(shí)對(duì)設(shè)備的賬戶提供弱口令安全檢測(cè)，提高賬戶口令要求。2）程序可信：采用白名單方式固化邊緣設(shè)備中能夠運(yùn)行的程序，對(duì)執(zhí)行程序進(jìn)行可信檢測(cè)，確保惡意程序或與業(yè)務(wù)無(wú)關(guān)的程序無(wú)法在設(shè)備中運(yùn)行。3）配置可信：定期對(duì)系統(tǒng)、軟件的重要安全配置進(jìn)行可信性檢查，發(fā)現(xiàn)不可信的配置，及時(shí)進(jìn)行修復(fù)。4）行為可信：對(duì)應(yīng)用服務(wù)的程序行為進(jìn)行可信性檢查，及時(shí)發(fā)現(xiàn)和阻斷違規(guī)行為。

可信接入是本接入安全架構(gòu)的保障。在智能設(shè)備和智能網(wǎng)關(guān)進(jìn)行通信，以及智能網(wǎng)關(guān)和智能系統(tǒng)進(jìn)行數(shù)據(jù)交換時(shí)，驗(yàn)證通信雙方的身份及可信狀態(tài)，只有可信設(shè)備之間才能建立網(wǎng)絡(luò)連接，并基于IPSEC、SSL等協(xié)議實(shí)現(xiàn)端到端的加密傳輸，規(guī)避Modbus、Profibus等網(wǎng)絡(luò)協(xié)議固有的安全缺陷。

4 總結(jié)

本文廣泛調(diào)研了邊緣計(jì)算的架構(gòu)和特點(diǎn)，并且深入分析了其面臨的安全風(fēng)險(xiǎn)，然后針對(duì)邊緣計(jì)算的特點(diǎn)，結(jié)合可信計(jì)算、零信任安全等先進(jìn)理念和技術(shù)，給出了其接入安全防護(hù)體系。

本文給出的接入安全體系設(shè)計(jì)合理，不僅能夠極大提升邊緣計(jì)算的安全性，同時(shí)還符合我國(guó)等級(jí)保護(hù)制度的相關(guān)安全要求。

[1]邊緣計(jì)算參考架構(gòu)2.0 [EB/OL]. http://www.ecconsortium.org/Uploads/file/20171128/1511871147942955.pdf.

[2]Kolias C,Kambourakis G,Stavrou A,et al.DDoS in the IoT:Mirai and Other Botnets[J]. Computer,2017,50(7):80-84.

[3]Checkpoint: IoTroop Botnet: the full investigation [EB/OL]. https://research.checkpoint.com/iotroop-botnet-full-investigation/.

[4]Zhang YQ, Wang XF, Liu XF, Liu L.Survey on cloud computing security[J].Journal of Software, 2016,27(6):1328-1348.

[5]No More Chewy Centers: The Zero Trust Model Of Information Security[EB/OL].http://crystaltechnologies.com/wp-content/uploads/2017/12/forrester-zero-trust-model-information-security.pdf.

[6]沈昌祥, 張煥國(guó), 王懷民,等. 可信計(jì)算的研究與發(fā)展[J]. 中國(guó)科學(xué):信息科學(xué), 2010(2):139-166.

[7]沈昌祥. 用可信計(jì)算3.0筑牢網(wǎng)絡(luò)安全防線[J]. 信息通信技術(shù), 2017, 3(3):290-298.

本文受湖南省自然科學(xué)基金項(xiàng)目（批準(zhǔn)號(hào)：07JJ3129），湖南省青年骨干教師培養(yǎng)基金資助項(xiàng)目資助。