◎上海戎磐網(wǎng)絡(luò)科技有限公司研究院 Slimming Panda

2016年底，在Gartner數(shù)據(jù)中心年度會議上，硅谷風投大佬A16Z合伙人Peter Levine曾說邊緣計算是云計算的“終結(jié)者”。然而，經(jīng)過兩年時間的實踐證明，邊緣計算并非要“吞噬”云計算。相反，它解決了“最后一公里”云原生應用的供應問題，很大程度上彌補了云計算在IoT領(lǐng)域?qū)嵺`中的短板，是云計算在未來發(fā)展中的重要落地支撐。未來，由邊緣計算和云計算融合所帶來的“邊云協(xié)同”效應，將促進物聯(lián)網(wǎng)基礎(chǔ)架構(gòu)迎來2.0模式。

一、邊緣計算與物聯(lián)網(wǎng)

物聯(lián)網(wǎng)的發(fā)展開啟了大數(shù)據(jù)的黃金時代，同時也給計算力帶來了前所未有的挑戰(zhàn)。智慧城市、智慧工業(yè)、智能駕駛、新零售等物聯(lián)網(wǎng)應用的落地都伴隨大量數(shù)據(jù)的產(chǎn)生。據(jù)Gartner預測，到2020年，將有多達200億臺連接設(shè)備為每位用戶生成數(shù)十億字節(jié)的數(shù)據(jù)。如此巨大的數(shù)據(jù)如果全部傳輸?shù)皆贫诉M行集中處理，顯然在帶寬和傳輸速度方面都難以滿足要求。特別是物聯(lián)網(wǎng)時代的一些新興計算場景，如實時語音翻譯，無人駕駛系統(tǒng)等，對響應時間都有極高要求，云計算已經(jīng)無法滿足此類需求。于是，邊緣計算開始進入公眾視線。

它的核心理念就是將數(shù)據(jù)的存儲、傳輸、計算和安全交給邊緣節(jié)點來處理，當然與云計算出現(xiàn)前的終端計算不同，邊緣計算并不是說要讓終端自己負責所有計算，而是在離終端更近的地方部署邊緣平臺，這樣可以避免集中式云計算中心的網(wǎng)絡(luò)延遲問題。大量實時的需要交互的計算將在邊緣節(jié)點完成，一些需要集中處理的計算則繼續(xù)交由大型云計算中心，如大數(shù)據(jù)挖掘、大規(guī)模學習等，這無疑將大大提升處理效率，減輕云端的工作負荷。由于更加靠近用戶，可以產(chǎn)生更快的網(wǎng)絡(luò)服務(wù)響應，滿足行業(yè)在實時業(yè)務(wù)、應用智能、安全與隱私保護等方面的基本需求。

由于從最終用戶和服務(wù)提供商的視角來看，邊緣所處的位置并不相同。因此在由ARM、Vapor IO、Ericsson UDN等公司聯(lián)合起草的白皮書《State of the Edge 2018》中，定義了兩種邊緣，運營商視角的基礎(chǔ)設(shè)施邊緣和最終用戶視角的設(shè)備邊緣。

基礎(chǔ)設(shè)施邊緣是指位于“最后一公里”的網(wǎng)絡(luò)運營商或者服務(wù)提供商的IT資源，其主要構(gòu)建模塊是邊緣數(shù)據(jù)中心，通常在城市及其周邊以5-10英里的間隔放置。設(shè)備邊緣是指網(wǎng)絡(luò)終端或設(shè)備側(cè)的邊緣計算資源，包括傳統(tǒng)互聯(lián)網(wǎng)設(shè)備，比如PC和智能手機等，以及新型智能設(shè)備，比如智能汽車、環(huán)境傳感器、智能信號燈等。二者雖然同屬于邊緣計算的范疇，但是在定義、關(guān)注點、核心能力(包括在計算和存儲能力、網(wǎng)絡(luò)資源規(guī)模等)等方面差異極大。揮的作用就像足球“中場”，負責決定在什么時候、將什么類型、處理到什么程度的數(shù)據(jù)發(fā)送到云中心，實現(xiàn)“按需匯聚”。

二、“邊緣計算+物聯(lián)網(wǎng)”時代的多層混合計算架構(gòu)

隨著邊緣計算的興起，理解邊緣設(shè)備所涉及的另一項技術(shù)也很重要，它就是霧計算。邊緣計算和霧計算很類似，都是對云計算的一種延伸和補充，但二者又不完全相同。其實，從云到霧，再到邊緣這些概念就可以看出其中的不同。云飄在天上，高高在上，霧靠近地面，伸手可及，而邊緣則是界線，是隔斷與對接的契機所在。與之對應的三種計算恰有如此特點。大數(shù)據(jù)時代，越來越多的數(shù)據(jù)被傳至云端進行存儲計算，再將結(jié)果返回至終端。這一過程不僅增加了云端壓力，還會造成干路數(shù)據(jù)堵塞，影響數(shù)據(jù)處理和反饋的時間。為解決云計算這一問題，霧計算應運而生。霧計算是云數(shù)據(jù)中心和物聯(lián)網(wǎng)（IoT）設(shè)備/傳感器之間的中間層，原理與云計算一樣，都是把數(shù)據(jù)上傳到遠程中心進行分析、存儲和處理。但相比云計算要把所有數(shù)據(jù)集中運輸?shù)酵粋€中心，霧計算的模式是在云端和邊緣用戶之間設(shè)置多個中心節(jié)點，即所謂的物聯(lián)網(wǎng)網(wǎng)關(guān)或“霧節(jié)點”來收集、處理和存儲數(shù)據(jù)。這些處理能力位于物聯(lián)網(wǎng)設(shè)備的LAN里面。它相當于一種本地化的云計算，只是拓撲位置不同。邊緣計算則是云計算能力從中心到邊緣的又一次下沉，它進一步推進了霧計算的“LAN內(nèi)處理能力”，處理能力更靠近數(shù)據(jù)源，可以叫做臨近計算或近場計算。它不是在中央服務(wù)器里統(tǒng)一處理，而是在網(wǎng)絡(luò)內(nèi)的各設(shè)備端實施分散處理。

縱觀全球，云計算巨頭，如亞馬遜AWS、微軟AZURE，谷歌等，都將“云+邊緣“的多層混合架構(gòu)視作滿足物聯(lián)網(wǎng)時代爆發(fā)式計算需求的解決方案。邊緣計算側(cè)重多維感知數(shù)據(jù)采集和前端智能處理；邊緣域或霧計算側(cè)重感知數(shù)據(jù)匯聚、存儲、處理和智能應用；而云中心側(cè)重業(yè)務(wù)數(shù)據(jù)融合及大數(shù)據(jù)多維分析應用。數(shù)據(jù)從邊緣節(jié)點到霧節(jié)點，再從霧節(jié)點到云中心，實現(xiàn) “數(shù)據(jù)入云”。霧節(jié)點所發(fā)

三、邊緣計算：網(wǎng)絡(luò)安全新前線

（一）網(wǎng)絡(luò)安全挑戰(zhàn)

墨菲定律的內(nèi)容之一是“會出錯的事總會出錯“，這句話用來描述邊緣計算的網(wǎng)絡(luò)安全問題尤為貼切。邊緣計算作為物聯(lián)網(wǎng)發(fā)展的產(chǎn)物，在幫助云計算巧妙避開“囚徒困境“，帶來更多發(fā)展機遇的同時，也給邊緣計算網(wǎng)絡(luò)中的用戶、邊緣節(jié)點、云服務(wù)器的安全防護帶來了新的挑戰(zhàn)。

1、大量易受攻擊的物聯(lián)網(wǎng)設(shè)備

從本質(zhì)上講，邊緣計算所面臨的網(wǎng)絡(luò)安全問題和物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全問題是一樣的。大量的設(shè)備從不同位置接入網(wǎng)絡(luò)將增加網(wǎng)絡(luò)攻擊面，特別是大部分物聯(lián)網(wǎng)設(shè)備能量與資源有限，都沒有傳統(tǒng)的IT硬件協(xié)議，無法運行標準的加密、授權(quán)和訪問控制算法，特別容易遭受定向服務(wù)拒止攻擊，包括：（1）物理篡改和竊取數(shù)據(jù)、代碼和密鑰；（2）通過偽造身份破壞數(shù)據(jù)完整性；（3）通過共享無線信道實施竊聽；（4）利用假節(jié)點惡意干擾IoT設(shè)備之間的通信鏈路。

2、NFV-SDF一體化邊緣云平臺

網(wǎng)絡(luò)功能虛擬化 (NFV)和軟件定義網(wǎng)絡(luò)（SDN）是實現(xiàn)虛擬和共享邊緣云平臺的新興技術(shù)，二者互為補充。邊緣云從名字上就不難理解是邊緣計算所用到的云平臺。SDN側(cè)重于將設(shè)備層面的控制模塊分離出來，簡化底層設(shè)備，進行集中控制，底層設(shè)備僅僅只負責數(shù)據(jù)的轉(zhuǎn)發(fā)。目的在于降低網(wǎng)絡(luò)管理的復雜度、協(xié)議部署的成本和靈活以及網(wǎng)絡(luò)創(chuàng)新。而NFV則看中將設(shè)備中的功能提取出來，通過虛擬化的技術(shù)在上層提供虛擬功能模塊。也就是，NFV希望能夠使用通用的x86體系結(jié)構(gòu)的機器替代底層的各種異構(gòu)的專用設(shè)備，然后通過虛擬化技術(shù)，在虛擬層提供不同的功能，允許功能進行組合和分離。簡單來講，SDN虛擬的是設(shè)備，而NFV虛擬的是功能，當然NFV也包括對基礎(chǔ)設(shè)備的虛擬，即NFVI。二者的融合可以使邊緣云平臺更易于配置和管理。然而，目前存在的問題是，NFV和SDN的發(fā)展和演進自成一體，各自所面臨的網(wǎng)絡(luò)安全挑戰(zhàn)還沒有得到解決，更不要說集成后所帶來的額外的安全風險和問題。例如，SDN如何防止DoS攻擊，欺騙攻擊，以及虛擬化環(huán)境中的惡意注入攻擊仍然是懸而未決的問題。NFV在監(jiān)督虛擬化網(wǎng)絡(luò)功能（VNF）隔離及虛擬化網(wǎng)絡(luò)拓撲管理、VNF跨域遷移，以及防止DoS攻擊和惡意內(nèi)部攻擊等方面仍然存在安全風險。

3、邊緣與物聯(lián)網(wǎng)設(shè)備間的卸載與交互

開放邊緣云時代的特點之一是，資源匱乏的物聯(lián)網(wǎng)設(shè)備將任務(wù)卸載到資源豐富的邊緣計算平臺進行快速處理，這會是很常見的。物聯(lián)網(wǎng)設(shè)備之間也會根據(jù)資源可用性進行任務(wù)合作。然而，這種任務(wù)卸載與合作也會帶來額外的安全隱患。首先就是軟件安全。編寫任務(wù)代碼時要能讓他們能夠被動態(tài)地安排在不同系統(tǒng)上執(zhí)行，例如邊緣計算和IoT設(shè)備。而跨平臺代碼遷移和動態(tài)安排還需要安全的API或接口，這會是一項艱巨的任務(wù)。其次是為了從邊緣云平臺提供充足的資源，還需要邊緣云編排器來協(xié)調(diào)移動/無線物聯(lián)網(wǎng)設(shè)備和邊緣云實體(例如VM)之間的交互。這就需要適當?shù)脑L問控制機制來保護邊緣云和IoT設(shè)備之間的移動代碼免受惡意攻擊。此外，物聯(lián)網(wǎng)設(shè)備和邊緣云之間的通信鏈路主要是無線和移動鏈路，所有與無線/移動網(wǎng)絡(luò)相關(guān)的安全問題也同樣存在于此。

4、信任與可信度

在“邊緣計算+物聯(lián)網(wǎng)”時代，信任是一個特別重要的問題。物聯(lián)網(wǎng)設(shè)備通常資源有限，通信模式也很獨特（從物聯(lián)網(wǎng)設(shè)備到邊緣云），使得它們更容易受到惡意攻擊。當邊緣節(jié)點遭受攻擊并被惡意篡改時，系統(tǒng)需要具備識別和探測能力。僅僅依靠口令機制或加密算法是遠遠不夠的?；跀?shù)字簽名技術(shù)的認證主要以人為中心，一旦部署有變動就會觸發(fā)重新認證，這就非常耗時。自動化認證是良策，但依然任重道遠。在NFV/SDN支持的相對復雜的邊緣云環(huán)境中，創(chuàng)建系統(tǒng)和有效的信任和信任管理機制對于提升相關(guān)實體之間的可信性和安全性非常重要。

（二）網(wǎng)絡(luò)安全機遇

區(qū)塊鏈、人工智能和機器學習等技術(shù)的出現(xiàn)，為邊緣計算帶來了新的機遇。具體包括：

機遇一：區(qū)塊鏈和零信任安全架構(gòu)

區(qū)塊鏈是一種去中心化的分布式電子記賬系統(tǒng)，它實現(xiàn)的基礎(chǔ)是一種受信任且絕對安全的模型。在加密算法的配合下，交易信息會按照發(fā)生的時間順序公開記錄在區(qū)塊鏈系統(tǒng)中，并且會附帶相應的時間戳。關(guān)鍵之處在于，這些數(shù)字“區(qū)塊”只能通過所有參與交易的人一致同意才可以更新，因此攻擊者無法通過數(shù)據(jù)攔截、修改和刪除來進行非法操作。正是因為區(qū)塊鏈的這一屬性，使得它在幫助組織建立自己的網(wǎng)絡(luò)安全系統(tǒng)，用于記錄交易、信息傳遞、用戶認證、身份和訪問控制管理方面潛力巨大。美國國防部高級研究計劃局（DARPA）近期正在推進的一個項目就是基于區(qū)塊鏈技術(shù)的戰(zhàn)場保密文電系統(tǒng)。

零信任架構(gòu)中心思想是企業(yè)不應自動信任內(nèi)部或外部的任何人/事/物，應在授權(quán)前對任何試圖接入企業(yè)系統(tǒng)的人/事/物進行驗證。這就可以限制黑客攻擊的橫向移動，防止攻擊者滲透端點設(shè)備成功后，在整個環(huán)境中橫向移動或者利用網(wǎng)絡(luò)釣魚獲得準入憑證直接到達目標資產(chǎn)所在的數(shù)據(jù)中心。

機遇二：人工智能與機器學習

對于“邊緣計算+物聯(lián)網(wǎng)“時代的網(wǎng)絡(luò)安全而言，人工智能和機器學習可以用于更好地分析網(wǎng)絡(luò)行為，識別潛在威脅和漏洞，以及探測惡意攻擊。例如，深度學習技術(shù)基于收集到的充足的數(shù)據(jù)和推理模式，能夠告訴用戶特定用戶的行為或行為是否可疑且可以匹配針對敏感數(shù)據(jù)的定向攻擊嘗試，或者用戶是否是實際執(zhí)行操作的人。依托人工智能和機器學習技術(shù)，還可以部署專用的自動掃描機器人檢查組織環(huán)境和活動，以確認是否有潛在威脅、漏洞或惡意活動。

機遇三：輕量級物聯(lián)網(wǎng)安全

無所不在的物聯(lián)網(wǎng)設(shè)備由于資源有限和網(wǎng)絡(luò)防護措施不足，通常更容易遭受攻擊，而輕量級算法可以在設(shè)備安全和能耗之間找到平衡，用于授權(quán)、加密、訪問控制和秘鑰交換。WiFi聯(lián)盟針對低功耗、長距離的物聯(lián)網(wǎng)設(shè)備的802.11ah WiFi標準，即“HaLow”，算得上是此類輕量級授權(quán)機制的一個范例。值得注意的是，輕量級解決方案通常不如正常方案強大，因此在實際使用過程中必須確保能夠滿足應用的特定需求。這就還需要制定顆粒度更細的分類方法來區(qū)分在計算復雜性和安全性方面的不同層次的需求，以便于利用各種復雜度不同的輕量級物聯(lián)網(wǎng)安全措施來滿足特定需求。

機遇四：基于欺騙的網(wǎng)絡(luò)防御

傳統(tǒng)的網(wǎng)絡(luò)防御機制，如加密、授權(quán)和訪問控制都屬于被動防御的范疇，而基于欺騙的網(wǎng)絡(luò)防御是一種主動防御手段，通過地址跳變、蜜罐和網(wǎng)絡(luò)望遠鏡等策略，迷惑攻擊者，或誘騙他們進入預先部署的蜜罐。這種防御手段還可以在組織網(wǎng)絡(luò)上生成大量的假憑據(jù)，一旦攻擊者使用了這些假憑據(jù)，就會被安全管理員探測和監(jiān)控到，通過對其活動軌跡進行分析，了解其攻擊策略和模式。

機遇五：與IP獨立的物聯(lián)網(wǎng)身份和域名系統(tǒng)

幾乎所有現(xiàn)有的互聯(lián)網(wǎng)設(shè)備都是基于IP（IPv4或IPv6）。其主要弊端是，它將所有系統(tǒng)，包括關(guān)鍵的工控系統(tǒng)，都置于危險之中，因為攻擊者只要竊取了少量簡單的憑據(jù)就可以以合法身份訪問這些系統(tǒng)。解決這一問題，需要在IP之外，另建一套單獨的身份和域名系統(tǒng)，將物聯(lián)網(wǎng)設(shè)備與外界隔離開來。例如，主機身份協(xié)議（HIP）所使用的主機標識技術(shù)就可以應用于物聯(lián)網(wǎng)設(shè)備，作為單獨的一套身份與域名系統(tǒng)。兩個實體在開始對話之前，首先需要創(chuàng)建綁定來共享密鑰，這樣可以防止外界直接訪問物聯(lián)網(wǎng)設(shè)備和系統(tǒng)。這對位于關(guān)鍵系統(tǒng)中但又資源匱乏的物聯(lián)網(wǎng)設(shè)備的防護而言尤為重要。

四、結(jié)束語

邊緣計算位于網(wǎng)絡(luò)的邊緣，更靠近用戶，異構(gòu)的接入環(huán)境和多樣的業(yè)務(wù)需求，使得邊緣節(jié)點面臨更復雜的網(wǎng)絡(luò)環(huán)境。來自用戶層和云服務(wù)器的攻擊都會對整個邊緣計算網(wǎng)絡(luò)帶來嚴重的安全威脅。但要確保邊緣計算網(wǎng)絡(luò)的安全，大部分安全防護技術(shù)仍需要部署至邊緣節(jié)點。傳統(tǒng)的網(wǎng)絡(luò)安全防護技術(shù)已經(jīng)不能完全適應邊緣計算的防護需求。因此異構(gòu)性、輕量級、分布式的安全防護技術(shù)和部署方案是今后值得深入研究的課題。