霧計算認證與隱私保護研究綜述

曹 咪 徐 雷 陶 冶

中國聯通研究院 北京 100176

引言

思科于2011年首次提出了霧計算的概念[1]，通過將物理上分散的節點連接起來，將數據、數據處理和應用程序分散在位于網絡邊緣的設備中，提高數據分析處理效率，降低時延，減少網絡傳輸壓力，就近為用戶提供智能服務[2]。霧計算將云計算擴展到了網絡的邊緣，解決了云計算移動性差、地理信息感知弱、時延高等問題。霧計算以其廣泛的地理分布、帶有大量網絡節點的大規模傳感器網絡、支持高移動性和實時互動以及多樣化的軟硬件設備和云在線分析等特點，迅速被物聯網和人工智能應用領域的企業所接受并獲得廣泛應用，例如，M2M、人機協同、智能電網、智能交通、智能家居、智能醫療、無人駕駛等。451 Research在2017年10月《霧計算市場的規模和影響》的研究中指出，2022年霧計算市場規模有望達到183億美元，2018年至2022的復合年均增長率將高達104.9%[3]，霧計算具有廣泛的市場潛力和應用范圍。然而，霧計算興起的同時也將帶來新的安全挑戰。一方面，霧計算位于網絡的邊緣，更靠近用戶，復雜的應用環境和多樣的業務服務使得安全問題得不到保證；另一方面，霧計算環境中的隱私數據面臨著各式各樣的安全威脅，傳統的安全機制很難抵御惡意竊取、入侵和破壞，這就需要采用更好的安全機制加強霧計算系統的完整性、機密性和可靠性。如何保障認證和隱私數據安全是霧計算安全領域的重要研究內容，霧計算應用前景廣闊，吸引了國內外各界學者對其展開研究[4]。然而，霧計算的安全研究才剛剛起步，由于技術的不成熟使得霧計算仍然面臨著各種各樣的挑戰。

本文的組織結構如下。第一章簡要分析霧計算的基礎架構與技術特點；第二章概述霧計算在認證與隱私方面存在的問題；第三章總結霧計算在認證和隱私保護方面最新的研究成果；第四章提出未來可能的研究方向；最后對本文的內容進行總結，對未來的工作進行展望。

1 霧計算基礎架構與特點

霧計算融合了網絡、計算、存儲、應用等能力，是一種半虛擬化架構的分布式服務計算范式[2]。霧計算的目的是在靠近用戶的網絡邊緣，為用戶提供一個有力的計算、存儲和通信資源，進而提供本地化、短距離和高效率的連接服務，從而克服云計算距離用戶遠、延遲高的弊端。

1.1 霧計算基礎架構

根據Bonomi F等人提出的概念，霧計算服務結構可分為三個層次[5]：終端設備層、霧層和云層。圖1展示了霧計算的三層基礎體系架構[6]。

圖1 霧計算三層體系架構

終端設備層：作為三層結構的最底層，終端設備層由數量眾多的智能終端與這些智能終端產生的海量數據構成。智能終端設備包括傳感器節點、智能手持設備(如智能手機、平板電腦和智能手表)等，這些終端設備通常被稱為終端節點[7]。

霧層：這一層也稱為霧計算層，位于中間的霧層部署在地理位置分散的霧服務器上，如公園、公交車、購物中心等等，為智能終端和云之間搭起橋梁。每個霧服務器是高度虛擬化的計算系統，類似輕量級的云服務器。此層中的霧節點由網絡設備，比如路由器、網關、交換機、無線接入點(APs)等組成。這些霧節點可以協同共享存儲和計算設施。

云層：由于霧服務器的處理能力有限，當有任務需要更多的計算資源時，這些待處理的用戶數據將通過高速有線或無線網絡從霧層上傳至云層，使用云計算更為豐富的資源和應用。傳統的云服務器和云數據中心駐留在云層，具有足夠的存儲和計算資源。

霧-云接口[8]提供端到端的服務，包括將云服務分發給霧等。在霧計算中，會有多個節點或系統相互協作以共享數據存儲和計算任務，因此，霧-霧接口和協議使不同的霧節點之間能夠相互協作。此外，霧-物接口將支持安全高效的資源利用。

1.2 霧計算技術特點

云計算的服務對象一般是互聯網用戶，多數情況下通過IP網絡以多跳的方式與用戶進行遠距離通信；而霧計算主要服務于移動用戶，每個霧服務器的覆蓋范圍有限(一般而言，無線Wi-Fi的通信距離是200米)，可與移動用戶單跳直連。在服務特征上，不同于云計算位于互聯網中采用集中式的管理模式，霧計算位于本地網絡的邊緣，采用分散式或分級部署。在服務能力上，云計算為用戶提供充足、可擴展的存儲能力和計算能力；而霧計算基于有限的存儲、計算能力，為用戶提供本地化的信息和服務應用。此外，霧計算比云計算在延遲方面低很多，且地理感知能力強，支持移動性，這就使得霧計算更適用于諸如緊急醫療服務、視頻流、游戲、增強現實等場景。表1列舉了霧計算和云計算在目標用戶、工作環境與服務特征三個主要方面的對比[9-10]。基于霧計算的服務結構，總的來說，霧計算具有延遲低、地理分布廣、位置感知強、適應移動性應用、實施容易等特點。

2 霧計算中的認證與隱私問題

2.1 霧計算認證問題分析

對網絡設備的身份認證是霧網絡中的重要要求之一。網絡設備要訪問霧網絡的服務，必須先通過霧網絡的身份認證成為網絡的一部分，這對于防止未經授權的節點進入霧網絡至關重要。由于網絡中的設備在電力、處理和存儲等方面受到各種限制，網絡設備認證成為一個巨大的挑戰。由于物聯網設備的資源限制，傳統使用證書和公鑰基礎設施(PKI)的身份驗證機制不再適用。

表1 霧計算與云計算的比較

霧節點經常動態地加入或離開霧層，當新的霧節點連接(或離開)霧層時，需要確保對已注冊終端用戶的不間斷服務，霧節點必須能夠相互驗證自己新形成的霧層。此外，霧節點還需要限制或拒絕來自惡意或受損節點的服務請求。

2.2 霧計算隱私問題分析

在霧計算中，分布式節點的計算能力能夠降低數據中心的總壓力，但是，與終端用戶相鄰的霧節點可能收集有關用戶身份、位置、應用程序使用等敏感數據。另外，由于霧節點大面積分散，集中控制十分困難，安全性較差的邊緣節點可能成為入侵者進入霧網絡的入口，入侵者一旦進入網絡，就可以挖掘和竊取用戶在實體間交換的隱私數據。霧計算的三層體系架構之間的通信也會導致隱私泄漏。

位置隱私是最重要的隱私模型之一[11]，因為設備的位置可以鏈接到所有者。由于霧客戶端將其任務卸載到最近的霧節點，因此用戶的位置、軌跡，甚至移動習慣都可以從相關的霧節點上顯示出來，通過分析霧節點的信息可以分析出用戶信息和行為習慣，比如根據智能電表的讀數可以透露房屋空置的時間信息[12]。

3 霧計算認證與隱私保護研究現狀

3.1 霧計算認證相關研究

Hu等人[13]提出了三種方案，分別是1)身份認證方案，2)數據加密方案，3)數據完整性檢查方案，用于具有人臉識別和分辨率應用的霧計算。基于認證和會話密鑰協議、基于會話密鑰的高級加密標準(AES)對稱密鑰加密機制以及SHA-1安全哈希算法三種主要策略，這三種方案可以在物聯網的霧計算環境下提供保密性、完整性和可用性。

在霧存儲系統中，細粒度訪問控制被認為是一個重要的問題。Koo和Hur[14]為加密數據提出了一種重復數據刪除方案，該方案使用用戶級密鑰管理和更新機制能夠支持霧存儲系統中的細粒度訪問控制。與方案[15]相比，方案[14]在計算、通信和存儲方面更為有效，但是對抗模型有限。使用霧計算能夠提高證書撤銷分發在物聯網環境中的有效性，如在工作[16]中，作者提出了一個基于四個系統實體的方案，包括CA、后端云、霧節點和物聯網設備。

霧平臺和終端用戶設備之間的不安全認證協議被文獻[17]確定為霧計算的主要安全問題。文中指出，物聯網設備，尤其是智能電網中的物聯網設備，容易受到數據篡改和欺騙攻擊，可以借助公鑰基礎設施、DiffieHellman密鑰交換、入侵檢測技術和修改輸入值的監視等來防止數據篡改和欺騙攻擊。文中建議，通過實施身份認證方案確保霧平臺和用戶之間通信通道的安全，可以防止這種攻擊的風險。

就目前的認證現狀來看，霧平臺在規范和要求上缺少嚴格的身份認證和安全通信協議。在霧平臺中，安全和性能因素需要被同時考慮，而加密方法諸如完全同態[18]和Fan-Vercauteren同態[19]的加密機制可以用來保護數據。這些方案包括對稱加密算法和公鑰加密算法的混合，以及基于屬性加密的其他變體。由于同態加密允許在不解密數據的情況下進行正常操作，因此減少密鑰分發將維護數據的保密性。其他研究工作提供了一個類似的框架，如高效和隱私保護聚合(EPPA)方案[20]，該系統基于同態Paillier密碼機制進行數據聚合，由于加密的同態性，使得本地網絡網關能夠在不解密的情況下對密文執行操作，從而降低認證成本，同時保持數據的機密性。

3.2 霧計算隱私保護相關研究

Lu等人[21]利用中國剩余定理，引入了一種輕量級的隱私保護數據聚合(LPDA)方案，用于霧計算增強的物聯網。LPDA能夠將混合物聯網設備的數據聚合為一個數據集，并能抵御虛假數據注入攻擊。與基本Paillier加密的聚合相比，LPDA方案在計算成本和通信開銷方面具有更高的效率，但是沒有考慮可追溯性。

Wang等人[22]介紹了一種基于差分隱私的可持續性霧計算支持數據中心查詢模型。使用Laplacian機制，與傳統的隱私保護模型相比，該查詢模型在執行效率、隱私保護質量、數據效用和能耗等方面都有更好的表現。

為了解決霧計算系統中接近探測的隱私保護問題，Huo等人[23]提出了一種基于位置差分的接近探測(LoDPD)協議。LoDPD協議使用Paillier加密算法和決策樹理論，以保護用戶所在位置的隱私不被泄露給任何一方。與私有接近探測(PPD)協議[24]相比，LoDPD協議的通信開銷更小。

在有界檢索模型中，Yang等人[25]提出了一種基于位置隱私保護的安全定位協議，用于基于位置的霧計算。Xiao等人[26]在霧計算環境中引入了一種細粒度所有者強制搜索的混合解決方案，具體來說，該方案基于三個主要階段，分別是：1)系統初始化，2)敏感數據外包存儲，3)對外包敏感數據的搜索和訪問。

Ni等人[27]指出，基于霧計算的車輛群智感知是一種新興的范例。然而，身份驗證和隱私保護是影響群智感知功能的關鍵方面。Basudan等人[28]提出了一種隱私保護方案，稱為無證書聚合簽密方案(CLASC)，用于使用霧計算的車輛群智感知。CLASC可以實現數據的保密性、完整性、雙向鑒別、隱私保護和匿名性。CLASC方案與現有方案相比，具有更低的計算成本，但是沒有考慮位置隱私。與文獻[28]的工作類似，Liu等人[29]介紹了兩種基于霧計算的車載自組網(VANET)安全交通燈控制方案。其中基于位置加密和基于加密難題的兩種策略都能有效地防御拒絕服務攻擊，但與方案[28]相比不考慮匿名性，且對抗模型受限。

與方案[21]類似，Wang等人[30]在基于霧計算的公共云計算中提出了一種聚合方案，稱為匿名安全聚合方案(ASAS)。具體來說，ASAS方案考慮了基于霧的公共云計算，具有4種類型的實體，包括系統管理器、終端設備、霧節點和公共云服務器。基于橢圓曲線公鑰密碼體制和Castagnos Laguillaumie密碼體制兩種主要的解決方案，ASAS能夠保證匿名性和身份隱私，但是對抗模型有限。

Kulkarni等人[31]提出了一種隱私保護框架來保護最終用戶設備和霧網絡之間傳感器的數據安全，側重于在傳輸過程中保護個人和關鍵數據。其引入了選擇性公鑰密碼體制，使得可用性與隱私保護達到平衡，能夠抵御內部攻擊和數據竊聽攻擊。但是沒有考慮計算開銷，且由于傳感器會連續傳輸數據，如果持續時間較長，隱私框架有可能會使底層霧系統過載，甚至崩潰。

表2總結了用于霧計算的身份認證和隱私保護方案。

表2 霧計算身份認證與隱私保護方案

4 霧計算認證與隱私保護研究建議

目前針對霧計算認證和隱私保護的研究數量相當有限，但是并不意味著研究人員在開發新的安全機制時必須從零開始。可以使用為其他相關范例設計的安全機制，作為開發霧計算安全認證和隱私機制的基礎，通過重用或改編各種安全機制，將為其他范式設計的方案靈活應用到霧計算。然而，也有必要分析每個相關范式(如移動邊緣計算、移動云計算等邊緣范式)的具體細微差別，因為移動網絡運營商的基礎結構或用戶擁有的數據中心的基本特征，會影響不同安全機制的適應過程。4.1節和4.2節將具體介紹可能重用或改編到霧計算環境下的認證和隱私保護機制，為后續的霧計算認證與隱私保護研究提供方向和借鑒。

4.1 霧計算認證研究建議

有多種方法用于云間身份管理系統的創建[32]，這樣的方法可以使用各種標準，如SAML和OpenID，提供云之間的單點登錄(SSO)身份驗證。還有幾個機制可以提供相互身份驗證而無需連接到中央身份驗證服務器[33]。由于這些方法的設計與霧計算的底層基礎架構兼容，因此，所有這些方法都可能被修改為處理不同信任域的霧計算的身份驗證。

另一方面，還有一些身份驗證基礎架構側重于同一信任域中的用戶身份驗證，這是為邊緣范式設計的[34-35]。在霧計算領域也有其他一些工作[36]可以對用戶進行身份驗證，通過使用配對密碼體制和安全硬件[37]或使用混合加密(公鑰和對稱密鑰加密)[36]等實現。

在用戶身份驗證的主題上，由于用戶數據會卸載到終端用戶附近的節點，也有研究人員提出基于特定位置信息的身份驗證方案。例如，基于情景的認證[38]、使用近場通信(NFC)驗證移動設備是否將任務卸載到授權的本地節點[39]。基于位置的身份驗證已在其他幾個領域進行了研究(例如無線傳感器網[40]、物聯網[41])，可以為霧計算的研究提供良好借鑒。

至于用戶移動性，有一些協議試圖實現安全高效的身份驗證切換[42]。但這些協議通常需要訪問集中云基礎結構中的身份驗證服務器，因此有改進的余地。

4.2 霧計算隱私保護研究建議

許多安全協議(如實體身份認證[37]和授權[36,43]、信任管理[44])允許用戶以匿名的方式與數據中心和其他實體進行交互。也有特定的隱私機制，如數據加密、安全數據共享、加密數據搜索、完整性驗證等[45]，其主要目標是保護用戶的個人數據。其中一些機制沒有很高的計算要求，可以在霧計算交互的用戶設備中實現。

在用戶和其附近的霧節點存在信任關系的情況下，對于一些實體(如個人、節點、公司環境等)的隱私保護，可以采取在霧節點部署隱私保護器的方式，這些保護器作為用戶的前端，可以實現各種數據隱私機制。這些機制可用于控制服務提供商或其他遠程實體接收的個人信息的質量和粒度[46-47]或保護用戶的身份[48]等。

5 總結與展望

由于移動性、異質性、大規模分布等特點，霧計算中出現了許多新的認證和隱私問題。本文針對霧計算的認證和隱私問題進行了深入研究，分析了霧計算存在的認證和隱私問題，總結了霧計算在認證和隱私保護方面最新的研究成果，并提出了未來可能的研究方向。

在本文工作的基礎上，需要進一步探索并實踐適用于霧計算環境的有效認證和隱私保護解決方案。另外，對于安全問題，還有一些未來的工作值得進一步調查。一方面，需要探究霧計算環境下的其他安全問題，如入侵檢測、信任管理、訪問控制、容錯性、取證等；另一方面，還需要探索針對不同應用程序或應用場景的安全解決方案，如智能電網、智能交通等。總之，霧計算的安全研究仍處于起步階段，未來會有更多的開放問題值得思考。