你的位置:首頁(yè) > 測(cè)試測(cè)量 > 正文

如何破解邊緣計(jì)算安全難題?

發(fā)布時(shí)間:2021-10-13 來(lái)源:M博士 責(zé)任編輯:lina

【導(dǎo)讀】在大規(guī)模商用以及快速發(fā)展的AI芯片技術(shù)雙重加持下,邊緣計(jì)算在未來(lái)十年將迎來(lái)爆炸性增長(zhǎng)。根據(jù)Grand View Research的數(shù)據(jù),2019年邊緣計(jì)算所帶來(lái)的市場(chǎng)價(jià)值約為25億美元。到2027年,這一數(shù)值將達(dá)到434億美元,年復(fù)合增長(zhǎng)率達(dá)到37.4%。

 


在大規(guī)模商用以及快速發(fā)展的AI芯片技術(shù)雙重加持下,邊緣計(jì)算在未來(lái)十年將迎來(lái)爆炸性增長(zhǎng)。根據(jù)Grand View Research的數(shù)據(jù),2019年邊緣計(jì)算所帶來(lái)的市場(chǎng)價(jià)值約為25億美元。到2027年,這一數(shù)值將達(dá)到434億美元,年復(fù)合增長(zhǎng)率達(dá)到37.4%。在巨大的商業(yè)價(jià)值面前,邊緣計(jì)算本身潛在的安全優(yōu)勢(shì)和缺點(diǎn)同樣引起了業(yè)界的廣泛關(guān)注。以物聯(lián)網(wǎng)(IoT)為例,因更多數(shù)據(jù)留在網(wǎng)絡(luò)邊緣,大幅減少了數(shù)據(jù)在傳輸過(guò)程中被截獲的機(jī)會(huì),提高了數(shù)據(jù)的安全性。不過(guò),這里面還有一個(gè)有趣的悖論,那就是邊緣計(jì)算網(wǎng)絡(luò)泛在、開(kāi)放的特點(diǎn)很可能將網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)傳導(dǎo)至系統(tǒng)各業(yè)務(wù)環(huán)節(jié)。如此看來(lái),邊緣安全防護(hù)的挑戰(zhàn)很?chē)?yán)峻。從某種意義上說(shuō),邊緣安全問(wèn)題正在成為限制邊緣計(jì)算產(chǎn)業(yè)發(fā)展的障礙之一。


邊緣計(jì)算中的安全挑戰(zhàn)


邊緣計(jì)算的基本思想是將大量對(duì)實(shí)時(shí)性有較高要求的數(shù)據(jù)留在邊緣處理,盡可能減少數(shù)據(jù)上傳到云的傳輸時(shí)間,以提高數(shù)據(jù)的實(shí)時(shí)性和安全性,這是它邊緣計(jì)算的優(yōu)勢(shì)。然而,每個(gè)硬幣都有正反兩面。邊緣計(jì)算優(yōu)勢(shì)的背后有一個(gè)不爭(zhēng)的事實(shí):每臺(tái)邊緣設(shè)備都代表了一個(gè)潛在的易受攻擊的端點(diǎn),加之邊緣計(jì)算中使用的設(shè)備比傳統(tǒng)數(shù)據(jù)中心或服務(wù)器的設(shè)置更小,在設(shè)計(jì)時(shí)不可能像數(shù)據(jù)中心那樣予以充分的安全性考慮。在設(shè)備更新和維護(hù)方面更不能與數(shù)據(jù)中心相提并論。


綜合來(lái)看,邊緣計(jì)算最易受黑客攻擊的窗口主要分布在三個(gè)位置:一是圖1中的邊緣接入側(cè),二是邊緣服務(wù)器端,三是邊緣管理的位置。


如何破解邊緣計(jì)算安全難題?

圖1:邊緣計(jì)算中潛在的攻擊窗口(圖源:邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟)


在實(shí)際應(yīng)用中,圍繞邊緣計(jì)算的安全問(wèn)題多且復(fù)雜。InfoQ最近的一份報(bào)告發(fā)現(xiàn),邊緣計(jì)算將面臨五個(gè)基本的安全問(wèn)題:


一是架構(gòu)方面。雖然邊緣設(shè)備相對(duì)容易將數(shù)據(jù)安全地發(fā)送到云,但云卻很難將數(shù)據(jù)安全地發(fā)送回設(shè)備,因此,在網(wǎng)絡(luò)架構(gòu)上要予以充分考慮。

二是碎片化傾向。我們可以要求所有物聯(lián)網(wǎng)設(shè)備必須經(jīng)過(guò)身份驗(yàn)證,并遵守隱私政策。根據(jù)IDC預(yù)測(cè),到2025年,將有414億臺(tái)物聯(lián)網(wǎng)設(shè)備,要在無(wú)限增長(zhǎng)的物聯(lián)網(wǎng)設(shè)備上實(shí)施統(tǒng)一的隱私政策這將是一個(gè)巨大的挑戰(zhàn)。

三是物理安全。邊緣內(nèi)的移動(dòng)設(shè)備相對(duì)數(shù)據(jù)中心更容易被竊取或以其他方式被進(jìn)行物理操作。比如,邊緣安全漏洞可以讓黑客很容易進(jìn)入到網(wǎng)絡(luò)的核心。尤其是一些邊緣設(shè)備在進(jìn)行徹底的測(cè)試之前就被匆忙推向市場(chǎng),采用的技術(shù)沒(méi)有充分考慮蘊(yùn)含的安全風(fēng)險(xiǎn)。

四是安全邊界問(wèn)題。隨著時(shí)間的推移,設(shè)備最終可能會(huì)超出邊緣計(jì)算的邊界,這對(duì)管理員理解眾多限制條件帶來(lái)了挑戰(zhàn)。

五是用戶(hù)錯(cuò)誤??紤]到邊緣中的設(shè)備數(shù)不勝數(shù),IT專(zhuān)家也很難預(yù)見(jiàn)所有存在于用戶(hù)端的復(fù)雜的安全風(fēng)險(xiǎn)。


如何讓邊緣計(jì)算更安全?


現(xiàn)在,邊緣計(jì)算已經(jīng)成為數(shù)據(jù)和業(yè)務(wù)應(yīng)用的重要匯聚節(jié)點(diǎn),它重新定義了企業(yè)信息系統(tǒng)中云、管、端的關(guān)系,網(wǎng)絡(luò)架構(gòu)的變化必然對(duì)安全提出了新需求。通常,邊緣計(jì)算安全主要遵守六個(gè)基本規(guī)則:


一是使用訪(fǎng)問(wèn)控制和監(jiān)視來(lái)增強(qiáng)邊緣的物理安全。

二是從中心自上而下操作控制邊緣的配置和操作。

三是建立審計(jì)程序,將數(shù)據(jù)和應(yīng)用程序的托管和更改控制在邊緣。

四是在設(shè)備/用戶(hù)和邊緣設(shè)施之間應(yīng)用最高級(jí)別的網(wǎng)絡(luò)安全。

五是將邊緣作為IT運(yùn)營(yíng)中公共云的一部分。

六是要監(jiān)視并記錄所有邊緣活動(dòng),特別是與操作和配置相關(guān)的活動(dòng)。


目前,邊緣計(jì)算的安全方案大多集中在邊緣計(jì)算終端安全、數(shù)據(jù)安全、網(wǎng)絡(luò)入侵檢測(cè)防御等三個(gè)方面。這其中的很多方案屬于被動(dòng)安全,主動(dòng)防御方案相對(duì)較少?,F(xiàn)在,大量的邊緣智能部署在無(wú)人值守的設(shè)備上,必須強(qiáng)化自身的安全防護(hù)能力。


在邊緣計(jì)算終端安全方面,邊緣計(jì)算網(wǎng)絡(luò)中的設(shè)備、終端制造商越來(lái)越多地開(kāi)始在產(chǎn)品中部署不同的加密技術(shù),以向物聯(lián)網(wǎng)傳感節(jié)點(diǎn)或邊緣計(jì)算終端提供安全可用的數(shù)據(jù)。


在邊緣計(jì)算數(shù)據(jù)安全方面,邊緣計(jì)算網(wǎng)絡(luò)中開(kāi)始引入大量的傳感量測(cè)設(shè)備用于用戶(hù)端數(shù)據(jù)和系統(tǒng)狀態(tài)信息的采集。有一點(diǎn)需要注意的是,這些設(shè)備很可能又衍生了其他的數(shù)據(jù)安全風(fēng)險(xiǎn),在網(wǎng)絡(luò)智能化、傳感化改造過(guò)程中仍需不斷完善。這也是為什么邊緣智能不斷強(qiáng)化敏感數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的安全性的原因。一方面,我們可以通過(guò)數(shù)據(jù)加密、數(shù)字簽名等機(jī)制防止數(shù)據(jù)被竊取或非法篡改。另一方面,保證密鑰自身的存儲(chǔ)和使用安全也非常重要,他能從根本上確保敏感數(shù)據(jù)的安全性。


在邊緣計(jì)算網(wǎng)絡(luò)攻擊檢測(cè)防御方面,面向邊緣計(jì)算的多層次網(wǎng)絡(luò)安全感知框架逐漸浮出水面,它對(duì)邊緣計(jì)算網(wǎng)絡(luò)中大型異構(gòu)計(jì)算和網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)威脅的識(shí)別要素和準(zhǔn)則進(jìn)行了定義,有助于管理人員做出合理的防御決策。


在邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟(ECC)與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟(AII)共同提出的邊緣安全參考框架1.0中,其邊緣安全防護(hù)對(duì)象覆蓋了邊緣基礎(chǔ)設(shè)施、邊緣網(wǎng)絡(luò)、邊緣數(shù)據(jù)、邊緣應(yīng)用、邊緣安全等全生命周期管理以及邊云協(xié)同安全“5+1”個(gè)層次,綜合考慮了信息安全(Security)、功能安全(Safety)、隱私(Privacy)、可信(Trust)四大安全類(lèi)別以及需求特征。當(dāng)然,這是一個(gè)大而全的框架,實(shí)際部署中并非所有的應(yīng)用場(chǎng)景都會(huì)涉及到全部的安全功能模塊。


如何破解邊緣計(jì)算安全難題?

圖2:邊緣安全參考框架1.0(圖源:邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟)


可擴(kuò)展的邊緣安全方案


邊緣智能與中心化平臺(tái)相比,數(shù)量大、部署分散,進(jìn)一步增加了安全防護(hù)的難度。因此,邊緣智能需要引入完整的主動(dòng)防御機(jī)制,確保海量邊緣設(shè)備能夠有效識(shí)別攻擊者的硬件篡改和惡意代碼注入,進(jìn)行安全告警。


NXP Semiconductors(恩智浦)的EdgeVerse平臺(tái)是一個(gè)功能全面的邊緣計(jì)算和安全平臺(tái),包含業(yè)界領(lǐng)先的可擴(kuò)展嵌入式處理、安全、軟件和行業(yè)解決方案。EdgeLock? 是NXP專(zhuān)門(mén)針對(duì)邊緣計(jì)算推出的安全平臺(tái),作為EdgeVerse的一部分,EdgeLock? 產(chǎn)品組合中包含安全元件、安全身份驗(yàn)證器、應(yīng)用處理器和MCU的嵌入式安全功能,它賦予邊緣節(jié)點(diǎn)充分的完整性、真實(shí)性和隱私性,從邊緣到網(wǎng)關(guān)再到云,均提供了可靠的安全性保障。


EdgeLock? 平臺(tái)中的安全功能涉及安全啟動(dòng)信任錨、片上加密、可即時(shí)配置的安全解決方案、設(shè)備雙向驗(yàn)證、安全設(shè)備管理套件、無(wú)線(xiàn)(OTA)更新和生命周期管理等。


在具體產(chǎn)品上,安全嵌入式處理器是一個(gè)主要類(lèi)型。以i.MX 8M Plus應(yīng)用處理器為例,它是NXP邊緣計(jì)算EdgeVerse方案中的重要一員,也是首個(gè)集成了專(zhuān)用神經(jīng)處理單元(NPU)的i.MX系列產(chǎn)品,在邊緣端可以實(shí)現(xiàn)高性能的機(jī)器學(xué)習(xí)。為了確保邊緣端的安全,i.MX 8M Plus內(nèi)置了先進(jìn)的EdgeLock? 嵌入式安全技術(shù),包括資源域控制器、Trust Zone、HAB、加密啟動(dòng)、采用RSA和橢圓曲線(xiàn)算法的公共密鑰加密,為邊緣節(jié)點(diǎn)的安全提供了保障。


如何破解邊緣計(jì)算安全難題?

圖3:i.MX 8M Plus應(yīng)用處理器中的安全特性(圖源:NXP)


NXP邊緣計(jì)算EdgeVerse平臺(tái)上的另一款重要安全產(chǎn)品EdgeLock? SE050,屬于即插可信安全元件,它已經(jīng)通過(guò)通用標(biāo)準(zhǔn)(CC)EAL 6+認(rèn)證,從邊緣到云端均能保障工業(yè)4.0和物聯(lián)網(wǎng)的安全應(yīng)用。與安全嵌入式處理器相比,這種安全元件可以靈活地為更廣泛的嵌入式應(yīng)用增加“即插即用”的安全特性,位物聯(lián)網(wǎng)邊緣設(shè)備提供硬件安全防護(hù)。


如何破解邊緣計(jì)算安全難題?

圖4:恩智浦EdgeLock? SE050功能框圖(圖源:NXP)


總之。邊緣計(jì)算的優(yōu)勢(shì)是毋庸置疑的,因設(shè)備分布廣,數(shù)據(jù)量特別巨大,它的安全防護(hù)問(wèn)題乃是重中之重。保護(hù)邊緣是一個(gè)復(fù)雜的過(guò)程,在傳統(tǒng)的安全原則之外,各企業(yè)和行業(yè)聯(lián)盟也在加緊研究對(duì)策,相關(guān)的產(chǎn)品已經(jīng)在市場(chǎng)上廣泛部署。這樣的努力正在進(jìn)行中,且正在加速。


免責(zé)聲明:本文為轉(zhuǎn)載文章,轉(zhuǎn)載此文目的在于傳遞更多信息,版權(quán)歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權(quán)問(wèn)題,請(qǐng)電話(huà)或者郵箱聯(lián)系小編進(jìn)行侵刪。



推薦閱讀:

無(wú)線(xiàn) Mesh 網(wǎng)絡(luò)的四種檢測(cè)應(yīng)用

超聲波、激光、毫米波:聊聊自動(dòng)駕駛中的雷達(dá)“三劍客”

幾款經(jīng)典高性能電壓基準(zhǔn)比較分析,尋求性能和特點(diǎn)優(yōu)化的解決方案

讓我們看看升壓型穩(wěn)壓器是如何造就兼具升壓和降壓能力的扁平狀SEPIC的?

2022第六屆上海國(guó)際自動(dòng)駕駛與智能座艙技術(shù)創(chuàng)新應(yīng)用展覽會(huì)

特別推薦
技術(shù)文章更多>>
技術(shù)白皮書(shū)下載更多>>
熱門(mén)搜索
?

關(guān)閉

?

關(guān)閉