姜 超, 李玉峰,2, 曹晨紅, 李江濤

1上海大學(xué)計(jì)算機(jī)工程與科學(xué)學(xué)院 上海 中國 200444

2網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室 南京 中國211100

1 引言

物聯(lián)網(wǎng)(Internet of Things, IoT)設(shè)備在生活中隨處可見, 其形成的一系列物聯(lián)網(wǎng)智能應(yīng)用, 如智能運(yùn)輸[1], 智慧城市[2], 智能家居[3]以及智能電網(wǎng)[4]等, 正深刻改變著人們的日常生活以及社會公共服務(wù)。據(jù)國際著名網(wǎng)絡(luò)方案供應(yīng)商思科(Cisco)預(yù)測, 2020年將有500億臺終端設(shè)備接入網(wǎng)絡(luò)[5], 產(chǎn)生的數(shù)據(jù)將超過500ZB[6]。

隨著萬物互聯(lián)趨勢的不斷發(fā)展, 越來越多的物聯(lián)網(wǎng)關(guān)鍵應(yīng)用需要對感知設(shè)備產(chǎn)生的大量數(shù)據(jù)進(jìn)行低延時(shí)、高吞吐的流式數(shù)據(jù)分析與處理。例如, 北京和倫敦等大城市已部署了數(shù)百萬個攝像頭進(jìn)行實(shí)時(shí)的數(shù)據(jù)監(jiān)控與收集, 用于交通的實(shí)時(shí)監(jiān)測和控制; 越來越多地建筑物配備了各種各樣的傳感器, 實(shí)時(shí)監(jiān)測照明、 溫度、濕度、氣壓、空氣質(zhì)量等信息, 以提高人員安全性和居住舒適度等。這些數(shù)據(jù)流中包含了大量的個人位置信息、醫(yī)療信息、快遞信息、以及政務(wù)企業(yè)信息等敏感信息, 因此, 對物聯(lián)網(wǎng)流處理的安全性提出了更高的要求。

傳統(tǒng)方法通過對數(shù)據(jù)進(jìn)行加密(如 Styx[7], MrCrypt[8])來確保數(shù)據(jù)的機(jī)密性, 而加密操作通常是計(jì)算密集型的, 對于資源受限的物聯(lián)網(wǎng)終端設(shè)備來說代價(jià)過于昂貴。復(fù)雜的加密操作也降低了物聯(lián)網(wǎng)應(yīng)用響應(yīng)的及時(shí)性, 影響應(yīng)用性能。近年來, 很多研究工作利用邊緣計(jì)算[9-10]構(gòu)建物聯(lián)網(wǎng)流處理系統(tǒng), 在靠近物或數(shù)據(jù)源頭的網(wǎng)絡(luò)邊緣側(cè), 對數(shù)據(jù)進(jìn)行一系列計(jì)算、處理及匯總, 從而實(shí)現(xiàn)對數(shù)據(jù)處理的安全性與實(shí)時(shí)性的提升。典型的物聯(lián)網(wǎng)邊緣流處理基本架構(gòu)如圖1所示, 主要分為三個部分, 分別為終端, 邊緣端, 云端。物聯(lián)網(wǎng)數(shù)據(jù)流由終端流出, 流經(jīng)邊緣進(jìn)行數(shù)據(jù)處理與分析, 最后到達(dá)云端。例如文獻(xiàn)[11]中提到的一個具體案例, 該案例基于上述架構(gòu)并利用DNN[12]完成分類任務(wù)。其中移動設(shè)備終端是數(shù)據(jù)的來源。邊緣對DNN的網(wǎng)絡(luò)層進(jìn)行劃分, 并將計(jì)算不密集部分放在邊緣, 計(jì)算密集型部分放在云端。首先, 移動終端將收集到的等待分類的圖片數(shù)據(jù)發(fā)送到邊緣; 隨后, 邊緣將經(jīng)過部分處理后的結(jié)果傳到云端; 接著云端對該結(jié)果進(jìn)行驗(yàn)證并進(jìn)行下一步的處理; 最后云端再將處理后的最終結(jié)果傳輸?shù)揭苿釉O(shè)備終端。

一方面, 對于傳統(tǒng)云計(jì)算而言, 邊緣更加靠近終端設(shè)備, 降低了遠(yuǎn)距離傳輸帶來的安全風(fēng)險(xiǎn), 并能夠更加及時(shí)地響應(yīng)終端設(shè)備。另一方面, 對于終端而言, 邊緣擁有更多的計(jì)算資源, 數(shù)據(jù)流處理能力強(qiáng)大。

圖1 基于邊緣計(jì)算的物聯(lián)網(wǎng)流處理架構(gòu) Figure 1 IoT stream processing architecture based on edge computing

目前基于邊緣架構(gòu)的物聯(lián)網(wǎng)流處理系統(tǒng)依然存在很多安全問題。首先, 與終端設(shè)備類似, 邊緣設(shè)備通常分布式地部署在多種多樣的環(huán)境中, 缺乏專業(yè)有效地監(jiān)管[13]且配置薄弱[14]。其次, 在邊緣側(cè)對物聯(lián)網(wǎng)數(shù)據(jù)流的處理往往需要經(jīng)由一系列復(fù)雜的組件, 這些組件存在大量潛在的攻擊面與安全威脅。這些組件包括商用操作系統(tǒng)(例如Linux或Windows), 各種用戶庫以及流分析引擎的運(yùn)行時(shí)框架等等。組件中往往重用了大量為服務(wù)器和工作站開發(fā)的代碼, 其中存在不少可被攻擊者利用的配置[15]和漏洞[16]。另外, 邊緣處通常匯集了來自多個終端的數(shù)據(jù), 是攻擊者的高價(jià)值目標(biāo)。與終端相比, 邊緣更容易受到攻擊, 一旦邊緣被攻破, 攻擊者不但能訪問到機(jī)密數(shù)據(jù), 而且可能會刪除或偽造發(fā)送到云端的數(shù)據(jù), 從而威脅到整個物聯(lián)網(wǎng)部署的完整性。如表1所示, 總結(jié)了典型物聯(lián)網(wǎng)邊緣流處理架構(gòu)中每個部分的功能、特征、安全技術(shù)與安全現(xiàn)狀。

表1 物聯(lián)網(wǎng)邊緣流處理架構(gòu)各部分功能、特征、安全技術(shù)與安全現(xiàn)狀 Table 1 The functions, features, security technologies and security status of each part of the edge stream processing architecture of the Internet of Things

為了在邊緣平臺上進(jìn)行安全流處理, 本文將探討基于可信執(zhí)行環(huán)境(Trusted Execution Environment, TEE)的物聯(lián)網(wǎng)邊緣流處理安全技術(shù), 維護(hù)物聯(lián)網(wǎng)數(shù)據(jù)流的機(jī)密性和完整性, 并確保高吞吐量和低輸出延遲。其主要思想是在受信任的執(zhí)行環(huán)境中保護(hù)和處理數(shù)據(jù)并限制其訪問接口, 忽略其余被認(rèn)為不受信任的邊緣軟件堆棧, 從而保證數(shù)據(jù)流的安全處理。

文章將首先介紹邊緣數(shù)據(jù)流安全處理的相關(guān)背景, 然后對基于可信執(zhí)行環(huán)境相關(guān)技術(shù)的具體解決方案進(jìn)行介紹與探討, 接著對主流解決方案的實(shí)驗(yàn)平臺與結(jié)果進(jìn)行介紹與分析, 最后對未來邊緣數(shù)據(jù)流安全處理的研究方向進(jìn)行展望與探討。

2 邊緣安全流處理相關(guān)背景

本節(jié)將從邊緣計(jì)算、流處理、可信計(jì)算基、可信執(zhí)行環(huán)境四個方面展開, 對邊緣安全流處理的相關(guān)背景進(jìn)行介紹。流處理與邊緣計(jì)算能夠解決物聯(lián)網(wǎng)中數(shù)據(jù)流的高吞吐量與高延遲的問題?？尚艌?zhí)行環(huán)境保障邊緣數(shù)據(jù)流的安全處理。可信計(jì)算基為可信執(zhí)行環(huán)境構(gòu)建的基礎(chǔ), 因此, 也為基于可信執(zhí)行環(huán)境的邊緣數(shù)據(jù)流的安全處理機(jī)制提供必要的條件。可信執(zhí)行環(huán)境利用可信計(jì)算基, 在邊緣構(gòu)造一個安全的環(huán)境。在該環(huán)境中, 數(shù)據(jù)的計(jì)算、存儲、保護(hù), 敏感代碼的執(zhí)行等, 均與不安全的世界隔離, 從而保證邊緣數(shù)據(jù)流的安全處理。另外, 2.4小節(jié)介紹的RISC微處理器TrustZone(Advanced Risc Machines TrustZone, ARM TrustZone)、英特爾軟件防護(hù)擴(kuò)展(Intel Software Guard Extensions, Intel SGX)等平臺均為支持TEE技術(shù)的產(chǎn)品。

2.1 邊緣計(jì)算

邊緣計(jì)算是一種計(jì)算范例, 它利用靠近終端設(shè)備的邊緣服務(wù)器構(gòu)建一個本地云, 并利用該本地云執(zhí)行計(jì)算密集型任務(wù)以及存儲大量終端用戶數(shù)據(jù)[17-19]。相比云計(jì)算來說, 邊緣計(jì)算中的本地云更靠近用戶終端設(shè)備, 能夠運(yùn)行較為復(fù)雜的分析, 并得到實(shí)時(shí)處理結(jié)果。邊緣計(jì)算旨在解決在云計(jì)算中未得到適當(dāng)處理的問題, 如延遲敏感型服務(wù)和應(yīng)用程序中的高延遲問題[20-22]。相對于云計(jì)算, 邊緣計(jì)算在一定程度上提供了優(yōu)勢, 但由于其為新興領(lǐng)域, 其發(fā)展仍處于萌芽階段。

邊緣計(jì)算具有如下特征: 邊緣設(shè)備密集分布, 對移動設(shè)備流動性支持, 位置感知, 距離用戶近, 網(wǎng)絡(luò)延遲低, 情境感知, 異構(gòu)性。表2給出了邊緣計(jì)算特征的具體介紹。

邊緣計(jì)算的這些獨(dú)特特征, 能夠大大提高物聯(lián)網(wǎng)應(yīng)用的性能, 如快速計(jì)算物聯(lián)網(wǎng)終端產(chǎn)生的大量數(shù)據(jù)流、存儲物聯(lián)網(wǎng)終端數(shù)據(jù)流及實(shí)時(shí)響應(yīng)物聯(lián)網(wǎng)終端的請求等。文章[23]從網(wǎng)絡(luò)傳輸、存儲性能及計(jì)算能力這三個方面對基于邊緣計(jì)算的物聯(lián)網(wǎng)架構(gòu)帶來的優(yōu)勢進(jìn)行了介紹。而網(wǎng)絡(luò)傳輸?shù)目炻? 存儲能力的大小, 算力的強(qiáng)弱是決定物聯(lián)網(wǎng)應(yīng)用性能高低的關(guān)鍵因素。因此, 近些年來邊緣計(jì)算在物聯(lián)網(wǎng)中得到廣泛的應(yīng)用。隨著邊緣計(jì)算的發(fā)展, 目前基于邊緣的物聯(lián)網(wǎng)應(yīng)用也有很多, 并取得了出色的效果, 如公共安全實(shí)時(shí)數(shù)據(jù)處理問題[24-26], 智能網(wǎng)聯(lián)車[27-29], 虛擬現(xiàn)實(shí)[30-31]等。

表2 邊緣計(jì)算的特征及具體介紹 Table 2 Features and specific introduction of edge computing

基于邊緣計(jì)算的物聯(lián)網(wǎng)架構(gòu), 能夠?qū)ξ锫?lián)網(wǎng)終端設(shè)備產(chǎn)生的龐大數(shù)據(jù)流進(jìn)行實(shí)時(shí)的處理以及快速的響應(yīng)。這種架構(gòu)利用邊緣在資源受限的終端設(shè)備與延遲較高的云端之間找到一個平衡點(diǎn)。但由于其發(fā)展時(shí)間較短, 在應(yīng)用安全, 數(shù)據(jù)安全, 網(wǎng)絡(luò)安全, 以及節(jié)點(diǎn)安全等方面仍然面臨著巨大的挑戰(zhàn)。

2.2 流處理

流處理一般是指對運(yùn)動中的數(shù)據(jù)進(jìn)行處理。換句話說, 就是在生成或接收數(shù)據(jù)時(shí)直接對數(shù)據(jù)進(jìn)行處理[32-34]。物聯(lián)網(wǎng)中大部分?jǐn)?shù)據(jù)都是連續(xù)不斷的, 如傳感器數(shù)據(jù), 人的體溫、血壓等健康信息, 智能網(wǎng)聯(lián)車的控制信息等。這些數(shù)據(jù)都是隨著時(shí)間的流逝而創(chuàng)建的一系列事件。在流處理出現(xiàn)之前, 通常將數(shù)據(jù)存儲在數(shù)據(jù)庫, 文件系統(tǒng)或其他形式的大容量存儲中, 并在后期采取批處理的方式對數(shù)據(jù)進(jìn)行處理。但對于實(shí)時(shí)性要求較高的物聯(lián)網(wǎng)應(yīng)用來說, 若仍采用這種方式對數(shù)據(jù)進(jìn)行處理, 帶來的弊端將是災(zāi)難性的。

在流處理架構(gòu)中有一個組件稱為流處理器[35-36], 它主要具有兩種類型的功能, 分別為用于數(shù)據(jù)移動和計(jì)算的數(shù)據(jù)功能以及用于資源管理和計(jì)算流程的控制功能(例如創(chuàng)建和安排任務(wù))。流處理器基本要求是確保物聯(lián)網(wǎng)的龐大數(shù)據(jù)能夠在物聯(lián)網(wǎng)中高效地流動以及被快速及時(shí)的計(jì)算并擁有一定的容錯能力, 保證每個數(shù)據(jù)至少被處理過一次。目前市面上已有許多成熟的流處理框架, 如 Samza[40], Storm[41], Flink[42]等, 但是現(xiàn)存框架難以解決流數(shù)據(jù)在處理過程中面臨的安全挑戰(zhàn)。

基于邊緣的物聯(lián)網(wǎng)架構(gòu)對數(shù)據(jù)處理的流程如下, 首先物聯(lián)網(wǎng)產(chǎn)生的數(shù)據(jù)到達(dá)邊緣; 隨后, 流處理器在管道處對數(shù)據(jù)進(jìn)行提取并及進(jìn)行處理(如計(jì)算, 存儲, 分組等); 最后, 利用管道將處理結(jié)果輸出。因此, 物聯(lián)網(wǎng)中的流數(shù)據(jù)具有實(shí)時(shí)性, 易失性, 突發(fā)性, 無序性及無限性[37-39]這幾個特征。表3具體介紹了物聯(lián)網(wǎng)中的流數(shù)據(jù)的特征。

表3 物聯(lián)網(wǎng)中的數(shù)據(jù)流的特征及具體介紹 Table 3 The characteristics and specific introduction of data flow in the Internet of Things

有限的終端設(shè)備資源無法同時(shí)保證數(shù)據(jù)流處理的安全與實(shí)時(shí)性要求。即便借用云計(jì)算技術(shù), 仍然面臨著帶寬、能耗的限制, 難以保證物聯(lián)網(wǎng)流數(shù)據(jù)的安全與隱私性。此外, 由于云距離終端較遠(yuǎn), 傳輸延時(shí)高, 因此, 其實(shí)時(shí)性難以保障。邊緣計(jì)算則為該問題的解決帶來了新的思路。表4介紹了邊緣計(jì)算為流處理帶來的優(yōu)勢與缺點(diǎn)。

表4 邊緣計(jì)算在流處理中的優(yōu)缺點(diǎn) Table 4 Advantages and disadvantages of edge computing in stream processing

邊緣計(jì)算與流處理的結(jié)合能夠更好的保證物聯(lián)網(wǎng)的龐大數(shù)據(jù)高效流動以及快速及時(shí)的計(jì)算與容錯能力。同時(shí), 對于時(shí)延性要求較高的物聯(lián)網(wǎng)應(yīng)用也能夠及時(shí)響應(yīng)。并且, 能夠采用終端設(shè)備無法使用的安全機(jī)制。

邊緣安全流處理目前面臨著諸多挑戰(zhàn)。在邊緣設(shè)備資源受限的情況下, 如何高效且快速的處理物聯(lián)網(wǎng)終端傳輸?shù)暮Ａ繑?shù)據(jù)以及在數(shù)據(jù)處理過程中如何有效保證數(shù)據(jù)的安全性。在存在多個終端數(shù)據(jù)源的情況下, 如何保證多個數(shù)據(jù)源的數(shù)據(jù)被安全且快速的處理。在存在多個邊緣流處理引擎的情況下, 如何合理利用多個流處理引擎進(jìn)行數(shù)據(jù)處理以及保證流數(shù)據(jù)的處理具有一定的魯棒性與安全性。

2.3 可信計(jì)算基

在數(shù)據(jù)流處理過程中, 物聯(lián)網(wǎng)應(yīng)用系統(tǒng)需要抵御不同類型的攻擊、保證系統(tǒng)的穩(wěn)定運(yùn)行以及用戶的信息安全等。若無法滿足以上條件, 可能會面臨系統(tǒng)的宕機(jī)、用戶信息的泄露、物理安全等挑戰(zhàn)?？尚庞?jì)算基(Trusted Computing Base, TCB)在一定程度上能夠?qū)ι鲜鑫锫?lián)網(wǎng)應(yīng)用系統(tǒng)的能力進(jìn)行補(bǔ)充。舉例來說, 醫(yī)療機(jī)構(gòu)的可信計(jì)算基通常具有安全機(jī)制, 以對其臨床信息數(shù)據(jù)庫實(shí)施訪問控制和用戶身份驗(yàn)證, 使攻擊者難以獲取任何一個患者的信息。為保證邊緣數(shù)據(jù)流的安全處理, 設(shè)計(jì)一個適用于邊緣的安全架構(gòu)必不可少, 而設(shè)計(jì)用于這些安全架構(gòu)的可信計(jì)算基更是重中之重。

表5介紹了TCB的定義, 組成部分, 以及功能。另外TCB還需要進(jìn)行固定形式的測試或驗(yàn)證, 只有當(dāng)測試結(jié)果達(dá)到一定要求時(shí), 才能將其投入使用。

表5 TCB定義、組成部分、功能 Table 5 TCB definition, components and functions

2.4 可信執(zhí)行環(huán)境

2.4.1 可信執(zhí)行環(huán)境的定義

隨著物聯(lián)網(wǎng)應(yīng)用系統(tǒng)變得越來越復(fù)雜, 用戶對安全性的要求越來越高。因此, 邊緣數(shù)據(jù)流的安全處理面臨了新的挑戰(zhàn)。傳統(tǒng)的物聯(lián)網(wǎng)安全技術(shù)不再能夠滿足物聯(lián)網(wǎng)邊緣流處理架構(gòu)的安全要求, 而可信執(zhí)行環(huán)境的設(shè)計(jì)能夠有效保證物聯(lián)網(wǎng)數(shù)據(jù)流的安全處理。

如下為TEE的四個不同時(shí)期的定義, 這些定義表明對TEE不同的使用和理解:

· Ben Pfaff[44]認(rèn)為TEE是“專用的封閉虛擬機(jī), 與平臺的其余部分隔離。通過硬件內(nèi)存保護(hù)和存儲的密碼保護(hù), 可以保護(hù)其內(nèi)容免受未經(jīng)授權(quán)的人員的觀察和篡改?！?/p>

· OMTP[45]認(rèn)為“TEE能抵制一組已定義的威脅。它實(shí)現(xiàn)與平臺的不安全部分的隔離, 對生命周期管理, 安全存儲, 加密密鑰和應(yīng)用程序代碼保護(hù)。”

· GlobalPlatform[46]認(rèn)為“ TEE是一個與設(shè)備主操作系統(tǒng)同時(shí)運(yùn)行但與設(shè)備主操作系統(tǒng)隔離的執(zhí)行環(huán)境。它可以保護(hù)其資源免受一般軟件攻擊。它可以使用多種技術(shù)來實(shí)現(xiàn), 并且其安全級別也會相應(yīng)變化。”

· Jonathan M[47]認(rèn)為TEE“旨在實(shí)現(xiàn)可信執(zhí)行的功能集如下: 隔離執(zhí)行, 安全存儲, 遠(yuǎn)程證明, 安全設(shè)置和可信路徑?！?/p>

從以上定義來看, TEE可以簡單描述為一種安全的, 受完整性保護(hù)的處理環(huán)境, 并具有內(nèi)存和存儲功能[48], 另外TCB是TEE設(shè)計(jì)實(shí)現(xiàn)的重要基礎(chǔ)。不同于可信平臺模塊[49](Trusted Platform Module, TPM), TEE在幫助系統(tǒng)實(shí)現(xiàn)安全的計(jì)算、隱私保護(hù)和數(shù)據(jù)保護(hù)的同時(shí), 還為第三方提供隔離的執(zhí)行環(huán)境。在該環(huán)境中, 代碼的執(zhí)行過程中對TEE的擁有的資源(如內(nèi)存、高速緩存等)具有高度的信任, 并能夠保證程序被隔離執(zhí)行, 數(shù)據(jù)被安全的存儲。另外文獻(xiàn)[50]認(rèn)為TEE保證了所執(zhí)行代碼的真實(shí)性, 運(yùn)行時(shí)狀態(tài)(例如CPU寄存器, 內(nèi)存和敏感I/O)的完整性以及其代碼、數(shù)據(jù)和運(yùn)行時(shí)狀態(tài)存儲在持久性內(nèi)存中的機(jī)密性。此外, 一些基于硬件設(shè)計(jì)的TEE維護(hù)特定的憑證表, 云端根據(jù)憑證判斷邊緣設(shè)備是否值得信賴。

如表6為TEE的核心構(gòu)件方面的定義, 這些構(gòu)件塊的設(shè)計(jì)能夠幫助TEE抵御不同攻擊。

2.4.2 支持可信執(zhí)行環(huán)境的主流硬件平臺

1) ARM TrustZone

ARM TrustZone是物聯(lián)網(wǎng)網(wǎng)關(guān)的典型硬件[52]。大多數(shù)現(xiàn)代ARM內(nèi)核都配備了TrustZone[53], 這是支持TEE技術(shù)的一種產(chǎn)品。ARM TrustZone在邏輯上對平臺的軟硬件資源進(jìn)行分區(qū), 例如動態(tài)隨機(jī)存儲器和I/O, 使它們分為安全與非不安全的兩個世界。安全世界與非安全世界也稱為普通操作系統(tǒng)和安全操作系統(tǒng)。在安全世界中執(zhí)行一些需要保密的操作, 具體如指紋識別、密碼處理、安全認(rèn)證等。其余操作在非安全世界中執(zhí)行, 具體如用戶操作系統(tǒng)、各種應(yīng)用程序等。安全世界與不安全世界通過一個名為Monitor Mode的模式進(jìn)行轉(zhuǎn)換。這兩個世界通過消息傳遞以及共享內(nèi)存這兩種方式進(jìn)行通信。另外, 由于許多惡意攻擊人員會在系統(tǒng)斷電的時(shí)候?qū)ο到y(tǒng)進(jìn)行攻擊, 所以基于ARM TrustZone的系統(tǒng)會在引導(dǎo)啟動的開始就保證其安全性, 以保證整個系統(tǒng)的安全。表7對ARM TrustZone的定義, 重要組件以及主要的功能進(jìn)行介紹。

表7 ARM TrustZone的定義, 主要組件以及主要功能 Table 7 Definition, main components and main functions of ARM TrustZone

ARM TrustZone不同于其他TEE技術(shù)(如Intel SGX), 其擁有專用的受信任的I/O。受信任的I/O是ARM TrustZone的獨(dú)特功能, 通過TrustZone TZASC和TZPC這兩個硬件組件來實(shí)現(xiàn)。另外, 目前ARM平臺由于其低功耗與出色的性能以及低廉的成本, 十分適合用于邊緣的可信執(zhí)行環(huán)境構(gòu)造, 并保證邊緣的安全流處理。

2) Intel SGX

Intel SGX 是Intel在2013年推出的指令集擴(kuò)展,旨在以硬件安全為強(qiáng)制性保障,為用戶空間提供可信執(zhí)行環(huán)境。文獻(xiàn)[54]對該項(xiàng)技術(shù)進(jìn)行了系統(tǒng)的介紹與分析, Intel設(shè)計(jì)一組新的指令集擴(kuò)展與訪問控制機(jī)制,實(shí)現(xiàn)不同程序間的隔離運(yùn)行,使得關(guān)鍵代碼和數(shù)據(jù)的機(jī)密性與完整性免受惡意軟件的攻擊和泄露。 其主要思想是將合法軟件的安全操作封裝在一個飛地(enclave)中, 保護(hù)其不受惡意軟件的攻擊。

無論是特權(quán)或者非特權(quán)的軟件(例如操作系統(tǒng)和虛擬機(jī)監(jiān)視程序[55](Virtual Machine Monitor, VMM))都無法訪問飛地, 所以攻擊者難以影響飛地中的代碼和數(shù)據(jù), 并且飛地的安全邊界只包含CPU和它自身。SGX創(chuàng)建的飛地也可以理解為一個可信執(zhí)行環(huán)境TEE, 無論惡意軟件的特權(quán)等級有多高都無法訪問飛地中的數(shù)據(jù), 從而保證數(shù)據(jù)與代碼的完整性與機(jī)密性。如圖2所示為SGX的核心操作原則, 首先在不可信環(huán)境中創(chuàng)建不同的飛地, 隨后飛地通過SGX提供的調(diào)用接口調(diào)用可信函數(shù), 數(shù)據(jù)會在飛地中被處理和分析, 最終返回得到的結(jié)果。以上內(nèi)容均說明SGX的設(shè)計(jì)能夠很大程度上提升系統(tǒng)的安全。

圖2 SGX核心操作原則 Figure 2 SGX core operating principles

ARM TrustZone與Intel SGX之間的共同點(diǎn)和區(qū)別具體如表8所示。

表8 SGX與ARM TrustZone共同點(diǎn)與區(qū)別 Table 8 Common points and differences between SGX and ARM TrustZone

2.4.3 其他支持可信執(zhí)行環(huán)境的硬件平臺或相關(guān)技術(shù)

還有一些支持TEE的硬件平臺, 如TI M- Shield[56], Intel TXT[57], AMD SVM[58]也利用隔離的方式來保障系統(tǒng)的安全。TI M-Shield與ARM TrustZone類似, 都適用于嵌入式系統(tǒng), TI M-Shield在提供安全的隔離環(huán)境的同時(shí), 還提供了安全的移動框架。但是TI M-Shield的安全隔離技術(shù)只限于兩個處理器, 分別為OMAP以及OMAP-Vox[59], 所以應(yīng)用領(lǐng)域比較狹窄。Intel TXT和AMD SVM都是基于TPM發(fā)展起來的, 并且提供從BIOS到應(yīng)用層的完整信任鏈, 從而提高系統(tǒng)的安全性。但由于其對硬件配置及安全控制策略過度依賴導(dǎo)致其無法獲得普及。由于這些平臺存在一定的缺陷, 目前很少有基于這些平臺進(jìn)行設(shè)計(jì)的物聯(lián)網(wǎng)邊緣流處理安全方案。

隨著物聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展, RISC-V指令集進(jìn)入人們的視野。該項(xiàng)目始于2010年, 由加州大學(xué)伯克利分校的David A. Patterson教授主導(dǎo)下完成。RISC-V是一個全新的指令集架構(gòu), 該指令集架構(gòu)完全開源, 并且允許自由地制造和銷售基于該指令集的芯片或軟件。相比于其他開源指令集, 其適用于云計(jì)算機(jī)、手機(jī)和嵌入式系統(tǒng)等現(xiàn)代計(jì)算設(shè)備, 因此具有重大意義。目前市面上常見的基于RISC-V設(shè)計(jì)的系統(tǒng)級芯片(System on Chip, SoC)有 Rocket[60], Hummingbird[61], VexRiscv[62]等。但是由于其誕生時(shí)間太短, 相關(guān)編譯器、軟件開發(fā)環(huán)境和開發(fā)工具以及其他生態(tài)要素仍然處于發(fā)展階段。目前基于RISC-V的邊緣安全流處理方案也并不常見。

2.4.4 可信執(zhí)行環(huán)境在終端、邊緣以及云端的構(gòu)建

TEE的構(gòu)建能夠有效提升物聯(lián)網(wǎng)應(yīng)用數(shù)據(jù)流處理的安全性。但在終端、邊緣以及云端構(gòu)建可信執(zhí)行環(huán)境仍面臨諸多挑戰(zhàn), 具體見表9所示。

表9 構(gòu)建可信執(zhí)行環(huán)境面臨的挑戰(zhàn)與安全現(xiàn)狀 Table 9 Challenges and security status of building a trusted execution environment

基于邊緣計(jì)算的物聯(lián)網(wǎng)應(yīng)用架構(gòu)可以提供較低的延遲, 最大程度地減少傳輸?shù)胶蠖藬?shù)據(jù)中心所需的流量, 并減少單個云提供商的故障風(fēng)險(xiǎn)。因此, 在邊緣構(gòu)建TEE能夠解決終端與云端面臨的挑戰(zhàn)。

3 邊緣安全流處理解決方案

現(xiàn)有的邊緣軟件堆棧將物聯(lián)網(wǎng)數(shù)據(jù)委托給商用操作系統(tǒng)(Operating System, OS), 分析引擎和語言運(yùn)行環(huán)境(例如Java虛擬機(jī))。這些組件由成千上萬行代碼組成[63], 存在許多可利用的漏洞[64-65], 難以保證邊緣系統(tǒng)的安全。目前邊緣流處理面臨的安全問題主要分為兩個。一方面, 在邊緣端發(fā)起攻擊的本地攻擊者可能會通過廣泛的用戶/內(nèi)核接口[66-67]或IPC[68]攻擊分析引擎; 另一方面, 遠(yuǎn)程的攻擊者可能會通過邊緣網(wǎng)絡(luò)服務(wù)來損害分析引擎[69]或操作系統(tǒng)[70]。攻擊者成功后可能會暴露物聯(lián)網(wǎng)數(shù)據(jù), 破壞或暗中操縱數(shù)據(jù)。在邊緣建立可信執(zhí)行環(huán)境能夠有效解決上述問題, 從而保證邊緣數(shù)據(jù)流的安全處理。

3.1 基于軟件的可信執(zhí)行環(huán)境技術(shù)

3.1.1 基于操作系統(tǒng)進(jìn)程隔離惡意軟件機(jī)制

目前許多應(yīng)用程序?qū)ο到y(tǒng)擁有極高的特權(quán), 它們能夠利用高分辨率相機(jī)和其他傳感器來觀察其用戶和物理環(huán)境。若這些應(yīng)用系統(tǒng)被攻擊, 很可能造成用戶信息的泄露(如銀行卡號, 車牌號, 物理位置, 計(jì)算機(jī)內(nèi)容)或用戶被監(jiān)視等安全問題。

Jana 等人[71]針對以上問題, 提出了一種隱私保護(hù)系統(tǒng)——Darkly。作者重點(diǎn)關(guān)注以下場景, 該場景中設(shè)備的操作系統(tǒng)與感知傳感器的硬件完全可信, 但設(shè)備上第三方應(yīng)用程序正在不可信的環(huán)境中運(yùn)行。系統(tǒng)主要思想為, 即使應(yīng)用程序是惡意的, 但是只能以用戶級特權(quán)運(yùn)行, 并且只能通過可信的API(例如OpenCV計(jì)算機(jī)視覺庫)訪問系統(tǒng)(包括感知傳感器), 從而提高邊緣上數(shù)據(jù)流處理的安全性。

Darkly的系統(tǒng)模型如圖3所示, 其中受信任的組件以陰影表示。Darkly本身包含兩個部分, 受信任的本地服務(wù)器和不受信任的客戶端庫。作者利用操作系統(tǒng)提供的基于用戶的標(biāo)準(zhǔn)隔離: 其中Darkly服務(wù)器是特權(quán)進(jìn)程, 可以直接訪問感知傳感器, 而應(yīng)用 程序作為非特權(quán)進(jìn)程運(yùn)行, 只能通過Darkly訪問傳感器。不受信任的Darkly客戶端庫作為每個應(yīng)用程序進(jìn)程的一部分運(yùn)行, 并與Darkly服務(wù)器通信。即使惡意應(yīng)用程序修改了相關(guān)庫, 系統(tǒng)仍保持安全。

圖3 DARKLY的系統(tǒng)模型 Figure 3 DARKLY’s system model

該方法將數(shù)據(jù)流的存儲、獲取、計(jì)算等操作與惡意應(yīng)用程序隔開, 在一定程度上防止數(shù)據(jù)被惡意程序泄露或者篡改。但其數(shù)據(jù)的計(jì)算主要在OS進(jìn)程中, 這樣容易導(dǎo)致TCB過大。TCB越大導(dǎo)致代碼量過大, 容易利用的漏洞就越多, 攻擊面也越廣, TCB中的任何漏洞都可能使攻擊者具有訪問應(yīng)用程序數(shù)據(jù)或損害其完整性的能力。

3.1.2 基于虛擬化隔離惡意操作系統(tǒng)機(jī)制

商用操作系統(tǒng)的可信組件往往包含大量代碼, 因此, 具有廣泛的攻擊面?？尚沤M件一旦被破壞, 攻擊者可以完全訪問系統(tǒng)上的敏感數(shù)據(jù)。目前有許多基于虛擬化的安全方案來隔離這些可能受到破壞的OS, 從而保證應(yīng)用程序中的敏感數(shù)據(jù)免受攻擊者的讀取與修改。Chen等人[72]提出了Overshadow, 利用多重陰影技術(shù), 即使整個操作系統(tǒng)都被攻擊者破壞, 仍然能夠保護(hù)應(yīng)用程序數(shù)據(jù)的隱私和完整性。Owen S等人[73]提出的一個基于虛擬化架構(gòu)的系統(tǒng)—Inktag, 該系統(tǒng)利用安全、可靠的程序?qū)Σ皇苄湃蔚纳唐稯S的行為進(jìn)行驗(yàn)證。John等人[74]提出的Virtual Ghost系統(tǒng), 它能夠創(chuàng)建操作系統(tǒng)根本無法讀取或修改的安全內(nèi)存, 從而保護(hù)敏感數(shù)據(jù)的安全。上述安全方案利用虛擬化技術(shù)保護(hù)應(yīng)用程序的敏感數(shù)據(jù)免受感染OS內(nèi)核的侵害。但是, 這樣的系統(tǒng)容易受到側(cè)信道攻擊。Dong等人提出了防御一種側(cè)信道攻擊的方法, 具體攻擊為受到入侵的OS內(nèi)核發(fā)起的頁表和最后一級緩存(Last Level Cache, LLC)側(cè)信道攻擊。

目前基于虛擬化的隔離惡意OS的機(jī)制在物聯(lián)網(wǎng)邊緣流處理安全方案的應(yīng)用仍然面臨著一些挑戰(zhàn), 主要可以分為三個方面。第一, 上述安全方案大都實(shí)現(xiàn)于資源相對豐富的PC, 并不適用于物聯(lián)網(wǎng)嵌入式系統(tǒng); 第二, 上述安全方案并不適用于流處理或無法高效快速的數(shù)據(jù)流; 第三, 對于邊緣設(shè)備而言, 上述安全方案代碼體量仍然過大, 并具有廣泛的攻擊面。但虛擬化技術(shù)由于其更高的資源利用率、更高的安全性以及更高的可用性和擴(kuò)展性等優(yōu)勢, 對基于虛擬化的邊緣流處理安全方案仍然值得研究。

3.1.3 基于可信計(jì)算基的安全機(jī)制

為了進(jìn)一步提升TCB的安全性, 縮小TCB的尺寸是一種直接可行的措施。只有保持較小的TCB安全區(qū)域尺寸, 才能夠有效保證邊緣數(shù)據(jù)流的安全處理。

文獻(xiàn)[75]提出了Flicker, 一種使用最小TCB對敏感代碼隔離執(zhí)行的體系結(jié)構(gòu)。在Flicker開始執(zhí)行之前和執(zhí)行過程中, 任何軟件都無法對Flicker代碼進(jìn)行監(jiān)視或干擾。并且在Flicker執(zhí)行完全結(jié)束之前, 可以消除所有Flicker代碼執(zhí)行的痕跡。例如, 證書頒發(fā)機(jī)構(gòu)(Certificate Authority, CA)可以使用其私鑰對證書進(jìn)行簽名, 即使基本輸入輸出系統(tǒng)(Basic Input Output System, BIOS), OS和直接存儲器訪問(Direct Memory Access, DMA)設(shè)備被控制, 密鑰仍然安全, 并且還提供代碼的遠(yuǎn)程證明。但是由于Flicker需要執(zhí)行Rootkit[76]檢測, 在執(zhí)行的過程中會進(jìn)行完整性度量[77]。若完整性度量方法的結(jié)果的誤報(bào)率和漏報(bào)率過高, 則可能無法檢測出Rootkit, 從而導(dǎo)致系統(tǒng)被攻擊。

文獻(xiàn)[78]開發(fā)了一個安全的虛擬機(jī)管理程序, 稱為TrustVisor, 為安全敏感的代碼模塊提供安全的執(zhí)行環(huán)境, 另外TCB中僅包含5306行代碼(其中一半以上用于加密操作)。TrustVisor能夠保護(hù)不受信任平臺上的安全敏感代碼和數(shù)據(jù), 并阻止惡意軟件(例如內(nèi)核級Rootkit)的攻擊。更具體地說, TrustVisor旨在保護(hù)安全敏感的代碼的完整性, 以及該代碼所使用數(shù)據(jù)的機(jī)密性和完整性, 并向遠(yuǎn)程實(shí)體證明這些屬性。該系統(tǒng)支持許多應(yīng)用程序(例如安全套接字/安全傳輸層協(xié)議), 特別適用于敏感代碼量較小的情況。這項(xiàng)工作的主要貢獻(xiàn)是設(shè)計(jì)和實(shí)現(xiàn)了一個綜合系統(tǒng), 使應(yīng)用程序開發(fā)人員能夠?yàn)樵诓话踩钠脚_上執(zhí)行的數(shù)據(jù)和代碼提供強(qiáng)大的安全保證, 并向外部驗(yàn)證者證明這些安全性。同時(shí), TrustVisor設(shè)計(jì)了小型的TCB, 大幅提升了工作效率、易用性和安全性。

以上方法將TCB尺寸保持在安全區(qū)域內(nèi)較小, 從而減少TCB中存在的漏洞, 使得攻擊者難以訪問應(yīng)用程序數(shù)據(jù)或損害其完整性, 在一定程度上提升了邊緣數(shù)據(jù)流處理的安全性。但在以最小的TCB支持?jǐn)?shù)據(jù)密集型計(jì)算時(shí), 面臨諸多挑戰(zhàn)。

3.2 基于硬件的可信執(zhí)行環(huán)境技術(shù)

3.2.1 基于Intel SGX安全流處理方案

攻擊者通常攻擊現(xiàn)有系統(tǒng)軟件中的漏洞, 或者損害特權(quán)系統(tǒng)管理員的憑據(jù), 從而獲得對其他應(yīng)用程序數(shù)據(jù)的訪問, 修改或?qū)ο到y(tǒng)的控制等。SGX增加了對安全區(qū)域的支持, 能夠保護(hù)應(yīng)用程序代碼和數(shù)據(jù)免受其他軟件(包括特權(quán)更高的軟件)的訪問。SGX的這個特性能夠有效解決上述問題, 并保證邊緣數(shù)據(jù)流處理的安全性。

文獻(xiàn)[79]為保證物聯(lián)網(wǎng)數(shù)據(jù)流的安全處理, 介紹了一個基于Intel SGX的SecureStreams中間件框架, 該框架能夠支持在不受信任的分布式環(huán)境中開發(fā)和部署安全流處理應(yīng)用。其設(shè)計(jì)將高級反應(yīng)數(shù)據(jù)流編程范例與英特爾底層軟件防護(hù)擴(kuò)展相結(jié)合, 以確保處理數(shù)據(jù)的私密性和完整性。另外, SecureStreams支持從大型集群到多租戶云基礎(chǔ)架構(gòu)的分布式環(huán)境中流處理任務(wù)的實(shí)現(xiàn)、部署和執(zhí)行, 能夠有效解決數(shù)據(jù)流處理在分布式環(huán)境中面臨的安全問題。作者利用LUA[80](一個小巧的腳本語言)實(shí)現(xiàn)了SecureStreams的原型。盡管該方案在一定程度上能夠保證數(shù)據(jù)流處理的安全, 但在其TEE中缺乏對于數(shù)據(jù)流并行處理的優(yōu)化, 可能會導(dǎo)致邊緣處理結(jié)果的延遲性較高、數(shù)據(jù)吞吐量較小等問題。

現(xiàn)有的容器隔離機(jī)制[81], 僅能防止不受信任的容器對數(shù)據(jù)的訪問, 但無法阻止高級特權(quán)系統(tǒng)軟件的訪問, 如OS內(nèi)核和系統(tǒng)管理程序等。文獻(xiàn)[82]針對這一問題, 提出了一種用于Docker的安全容器機(jī)制-SCONE, 該機(jī)制使用Intel CPU的SGX受信任執(zhí)行技術(shù)來保護(hù)數(shù)據(jù)免受容器進(jìn)程外的攻擊。該系統(tǒng)主要關(guān)注以下場景, 一個攻擊者擁有像超級用戶那樣對系統(tǒng)以及物理硬件的訪問權(quán), 并能夠控制整個軟件堆棧, 重播、修改記錄以及刪除任何網(wǎng)絡(luò)數(shù)據(jù)包或?qū)ξ募到y(tǒng)訪問。最終, 該機(jī)制能夠在不受信任的OS上提供并運(yùn)行安全容器, 從而保證數(shù)據(jù)的完整性與機(jī)密性。但該系統(tǒng)將整個用戶應(yīng)用程序和庫放入TCB中, 這樣會導(dǎo)致TCB過大, 致使TCB暴露較多的漏洞。

目前云計(jì)算基礎(chǔ)架構(gòu)旨在保護(hù)特權(quán)代碼免受不受信任的代碼侵害, 無法有效防御云計(jì)算中惡意特權(quán)軟件對系統(tǒng)的攻擊(如管理程序和固件), 以及對用戶數(shù)據(jù)的訪問。文獻(xiàn)[83]針對上述問題, 利用Intel SGX提出了一個應(yīng)用于云端的屏蔽執(zhí)行系統(tǒng)-Haven, 通過將部分代碼和數(shù)據(jù)放置在SGX的安全區(qū)中的方式來保證數(shù)據(jù)免受攻擊。該系統(tǒng)利用SGX的硬件保護(hù)技術(shù)來防御特權(quán)代碼和物理攻擊(例如內(nèi)存探針)。

VC3[84]針對上述問題提出了一個基于MapReduce框架系統(tǒng), 這是第一個允許用戶使用云服務(wù)器進(jìn)行分布式計(jì)算的同時(shí), 還能夠保持運(yùn)行代碼和數(shù)據(jù)的機(jī)密性, 并確保結(jié)果正確性和完整性的系統(tǒng)。即使惡意攻擊者可以控制整個云提供商的軟件和硬件基礎(chǔ)架構(gòu), 該系統(tǒng)仍然能夠正常的工作, 但計(jì)算中若經(jīng)過認(rèn)證的物理處理器被攻擊, 那將無法保證系統(tǒng)仍然保持正常。系統(tǒng)使用可信的SGX處理器[85-86]作為構(gòu)建模塊, 將系統(tǒng)分為受信任和不受信任的部分, 并最大程度地減少其TCB。該方法主要適用于批處理, 但其設(shè)計(jì)思想與取得的效果值得參考。

上述的兩個系統(tǒng)VC3與Haven均實(shí)現(xiàn)于云平臺, 對于資源受限的邊緣端未必合適, 但其思想及技術(shù)值得運(yùn)用于邊緣安全流處理系統(tǒng)的設(shè)計(jì)上。盡管該系統(tǒng)在設(shè)計(jì)TCB時(shí)遵循最小原則, 但對于邊緣安全流處理方案而言仍然較大, 會暴露較多漏洞。另外該系統(tǒng)由于設(shè)計(jì)與實(shí)現(xiàn)上的缺陷, 導(dǎo)致無法檢測磁盤塊的回滾攻擊, 對處理性能有一定的影響。

3.2.2 基于ARM TrustZone的安全流處理方案

物聯(lián)網(wǎng)邊緣上的商用OS, 因代碼體量過于龐大導(dǎo)致其面臨許多的安全挑戰(zhàn), 而這些設(shè)備經(jīng)常處理機(jī)密數(shù)據(jù), 攻擊者完全有可能利用受感染的OS訪問這些數(shù)據(jù)。為了解決這個問題, 傳統(tǒng)的方案如在單獨(dú)虛擬機(jī)中處理數(shù)據(jù)[87], 利用硬件功能或改造商用操作系統(tǒng), 從而保護(hù)應(yīng)用程序免受惡意操作系統(tǒng)的侵害。但是這些方案并不適用與物聯(lián)網(wǎng)平臺。為此文獻(xiàn)[88]針對上述問題開發(fā)一個系統(tǒng)——TrustShadow。TrustShadow將舊版本, 未打補(bǔ)丁的應(yīng)用程序與受到威脅的OS進(jìn)行隔離。并利用ARM TrustZone技術(shù), 將資源劃分到安全和不安全的環(huán)境中。在安全的世界中, TrustShadow為安全性至關(guān)重要的應(yīng)用程序構(gòu)建一個受信任的執(zhí)行環(huán)境。這個受信任的環(huán)境由輕量級的系統(tǒng)維護(hù), 并且由該系統(tǒng)協(xié)調(diào)應(yīng)用程序與不安全世界中的普通OS的通信。作者在具有ARM TrustZone的真實(shí)芯片板上對TrustShadow進(jìn)行了設(shè)計(jì), 并使用微基準(zhǔn)測試和實(shí)際應(yīng)用程序?qū)ζ湫阅苓M(jìn)行了評估, 評估的結(jié)果十分出色。但是該系統(tǒng)將整個用戶應(yīng)用程序和庫拉到TCB中。但正如前文所述, 若TCB過大, 則導(dǎo)致流分析引擎及其庫很大, 很復(fù)雜, 容易受到攻擊。

文獻(xiàn)[89]基于ARM TrustZone提出一個邊緣流處理安全引擎——StreamBox-TrustZone, 簡稱SBT。其目標(biāo)是維護(hù)物聯(lián)網(wǎng)數(shù)據(jù)的機(jī)密性和完整性, 支持可驗(yàn)證的結(jié)果, 并確保高吞吐量和低輸出延遲。該系統(tǒng)遵循最小特權(quán)原則, 在TEE中保護(hù)分析數(shù)據(jù)和計(jì)算并限制它們的接口。該方案能夠解決TCB過大的問題, 將TCB縮小為僅包含受保護(hù)的功能、TEE和安全硬件的部分。該系統(tǒng)的整體框架分為終端、邊緣端、云端三個部分。終端是數(shù)據(jù)流來源, 通過使用安全感測技術(shù)保證終端產(chǎn)生可信事件; 邊緣端對數(shù)據(jù)流進(jìn)行處理和分析操作, 是流處理安全的關(guān)鍵部分; 云端則是受信任的部分, 主要負(fù)責(zé)對邊緣處理結(jié)果的驗(yàn)證, 以證明分析結(jié)果的正確性。

該引擎利用ARM TrustZone構(gòu)造一個可信執(zhí)行環(huán)境StreamBox-TrustZone, 將系統(tǒng)軟硬件資源劃分為安全世界與不安全世界, 從而保證邊緣數(shù)據(jù)流的安全處理。如圖4所示, SBT主要分為兩個部分, 上半部分是受信任的是數(shù)據(jù)平面, 下半部分是不受信任的控制平面, 這個部分在流處理過程中會面對許多安全問題。另外終端傳送的數(shù)據(jù)流只會通過ARM TrustZone的可信IO通道流經(jīng)安全的數(shù)據(jù)平面, 并且數(shù)據(jù)流的所有處理都發(fā)生在數(shù)據(jù)平面中。每當(dāng)數(shù)據(jù)流經(jīng)過數(shù)據(jù)平面, 數(shù)據(jù)平面會發(fā)送一個特定憑證到控制平面?？刂破矫鏁鶕?jù)需要使用憑證, 調(diào)用系統(tǒng)接口安排數(shù)據(jù)分析管道, 最后數(shù)據(jù)平面將操作管道劃分為多個可信計(jì)算原語來對數(shù)據(jù)流進(jìn)行處理。處理完成后由數(shù)據(jù)平面將數(shù)據(jù)發(fā)送到云端進(jìn)行進(jìn)一步的驗(yàn)證和分析, 驗(yàn)證數(shù)據(jù)流的結(jié)果正確度與新鮮度。通過創(chuàng)建可信執(zhí)行環(huán)境以及高效的驗(yàn)證機(jī)制, 來提高邊緣數(shù)據(jù)流處理的安全性。同時(shí), SBT還設(shè)計(jì)特殊的內(nèi)存管理技術(shù)與并行計(jì)算技術(shù)來提高數(shù)據(jù)流分析的吞吐量與時(shí)延性。

圖4 SBT框架圖 Figure 4 SBT framework diagram

通過創(chuàng)建可信執(zhí)行環(huán)境以及高效的驗(yàn)證機(jī)制, 來提高邊緣數(shù)據(jù)流處理的安全性。同時(shí), SBT還設(shè)計(jì)特殊的內(nèi)存管理技術(shù)與并行計(jì)算技術(shù)來提高數(shù)據(jù)流分析的吞吐量與時(shí)延性。Heejin Park在華為的Hikey960開發(fā)對系統(tǒng)進(jìn)行了實(shí)現(xiàn)。結(jié)果證明, SBT的TCB中的可執(zhí)行文件只有42.5 KB, 縮小了TCB的大小。在八核ARMv8平臺上, 它對輸入事件處理速度高達(dá)140 MB/s并具有亞秒級的延遲, 得到了最佳性能。

SBT為將TCB設(shè)計(jì)到最小, 其僅包含低級計(jì)算原語, 導(dǎo)致流管道的機(jī)密性無法得到保證。SBT無法防御以下攻擊: (1)可信任的非邊緣組件, 如傳感器[90]; (2)TEE 內(nèi)核的錯誤[91]; (3)側(cè)信道攻擊, 如 key skew[92]; (4)物理攻擊, 例如嗅探TEE的DRAM[93]。

由于ARM TrustZone設(shè)計(jì)上的不足, 一旦搭配ARM平臺的終端或者邊緣設(shè)備丟失, 容易受到內(nèi)存攻擊, 例如冷啟動攻擊[94], DMA攻擊[95]等。文獻(xiàn)[96]針對這些問題提出了Sentry, 該系統(tǒng)允許應(yīng)用程序和OS組件將代碼和數(shù)據(jù)存儲在ARM SOC而不是DRAM中, 防止攻擊者通過內(nèi)存攻擊的方式破壞數(shù)據(jù)的機(jī)密性, 完整性以及系統(tǒng)的可用性。

Sentry將數(shù)據(jù)存儲在ARM SOC上來抵御內(nèi)存攻擊, 但當(dāng)負(fù)責(zé)創(chuàng)建和維護(hù)SOC的操作系統(tǒng)受到威脅時(shí), 所有保存在ARM SOC上敏感數(shù)據(jù)都會泄露出去。文獻(xiàn)[97]提出了一個基于ARM處理器的緩存輔助安全執(zhí)行框架-CaSE, 該框架可防御軟件攻擊, 硬件內(nèi)存泄露攻擊等。CaSE利用TrustZone和Cache-as- RAM技術(shù)來創(chuàng)建基于緩存的隔離執(zhí)行環(huán)境, 應(yīng)用程序的數(shù)據(jù)與代碼在內(nèi)存中進(jìn)行加密, 并且僅在處理器內(nèi)解密才能執(zhí)行。這樣能夠保護(hù)安全敏感型應(yīng)用程序的代碼和數(shù)據(jù), 使其免受操作系統(tǒng)和冷啟動攻擊的侵害。作者在搭配ARM Cortex-A8處理器的IMX53上實(shí)現(xiàn)了CaSE的原型。實(shí)驗(yàn)結(jié)果表明, 在執(zhí)行包括AES, RSA和SHA1的加密算法時(shí), CaSE對系統(tǒng)性能的影響很小。但相比直接處理明文數(shù)據(jù), 仍然無法完全滿足物聯(lián)網(wǎng)應(yīng)用的低延遲要求。

TEE內(nèi)核是SBT安全世界的重要組成部分, 對處理器擁有最高特權(quán), 并對硬件具有無限訪問權(quán)。因此, TEE內(nèi)核中存在的任何錯誤都有可能被攻擊者利用并攻擊, 隨后破壞數(shù)據(jù)的機(jī)密性, 安全性以及系統(tǒng)其余部分的正常運(yùn)行。文獻(xiàn)[98]為保證微內(nèi)核的功能正確性, 提出了SEL4, 它是L4[99]微內(nèi)核家族的成員, 旨在通過機(jī)器輔助和機(jī)器檢查的形式證明內(nèi)核的功能正確性。作者實(shí)現(xiàn)并證明了SEL4G功能的正確性。

3.2.3 基于RISC-V的安全流處理方案

當(dāng)軟件開發(fā)人員選擇目標(biāo)硬件平臺時(shí), 他們的實(shí)際應(yīng)用需求可能會被鎖定在不同硬件平臺的TEE設(shè)計(jì)限制中。例如, 3.3.1小節(jié)中提到的Intel SGX的可信執(zhí)行環(huán)境—enclave需要的內(nèi)存大小是靜態(tài)的, 缺乏安全的I / O和系統(tǒng)調(diào)用支持, 容易受到側(cè)信道攻擊。該情況下, 只有Intel才能更改SGX中固有的設(shè)計(jì), 例如動態(tài)調(diào)整SGX enclave虛擬內(nèi)存的大小[100]。正是由于這些限制和其他類似限制, 很多開發(fā)人員在其他指令集架構(gòu)(Instruction Set Architecture, ISA)(例如OpenSPARC[101], RISC-V[102-103])上重新實(shí)現(xiàn)TEE。但對TEE進(jìn)行重新設(shè)計(jì)時(shí)將面臨諸多困難, 另外設(shè)計(jì)出的TEE也可能存在上述的限制。為此, Dayeol Lee提出了KeyStone[104]—第一個用于構(gòu)建可定制TEE的開源框架。該框架突破固定TEE的限制, 允許開發(fā)人員構(gòu)建自定義的TEE, 從而保證邊緣流處理的安全。另外, KeyStone保證TEE原型被快速制作與修復(fù), 對威脅模型具有一定的魯棒性以及針對特定用例的部署。作者使用RISC-V設(shè)計(jì)和構(gòu)建KeyStone, 并在HiFive Unleashed(搭載RISC-V處理器的硬件)上實(shí)現(xiàn)了KeyStone的原型。其中RISC-V是由多個開源核心實(shí)現(xiàn)的開放式ISA[105]。

標(biāo)記內(nèi)存是一種提供細(xì)粒度和靈活的隔離邊界, 從而保證TEE的健壯性。其原因有兩個, 一方面, 細(xì)粒度的隔離邊界能夠使受信任的內(nèi)存在有限物理地址中更加緊密集成; 另一方面, 靈活的隔離機(jī)制對于動態(tài)管理受信任的內(nèi)存至關(guān)重要。但目前標(biāo)記內(nèi)存方案產(chǎn)生的內(nèi)存開銷對于資源受限的小型嵌入式系統(tǒng)并不適合。所以, 對于小型嵌入式系統(tǒng)而言, 強(qiáng)大、高效而又靈活的隔離執(zhí)行仍然是一個未解決的問題。為此Samuel Weiser設(shè)計(jì)了Timber-V[106], 一種新的帶標(biāo)記的內(nèi)存體系結(jié)構(gòu), 該機(jī)制能夠在小型嵌入式系統(tǒng)上靈活, 高效地隔離代碼和數(shù)據(jù)。作者在RISC-V模擬器上將系統(tǒng)實(shí)現(xiàn), 并展示了Timber-V的出色性能。作者利用特殊的標(biāo)記內(nèi)存技術(shù), 從而保證邊緣數(shù)據(jù)流的安全處理, 該方案將隔離執(zhí)行機(jī)制引入到資源受限的低端設(shè)備, 該隔離執(zhí)行機(jī)制類似于Intel SGX的enclave。

TEE常常無法與外部外圍設(shè)備建立安全通信, 并且部署在安全環(huán)境中, 但該安全環(huán)境中的操作系統(tǒng)并不提供最新的防御策略(如保護(hù)頁面等), 因此, TEE容易遭受各種攻擊。針對上述問題, Pascal Nasahl提出了HECTOR-V[107], 一種利用異構(gòu)多核體系結(jié)構(gòu)開發(fā)安全的TEE的設(shè)計(jì)方法。作者認(rèn)為在主應(yīng)用處理器上實(shí)現(xiàn)的TEE(例如Intel SGX或ARM TrustZone)是不安全的。因此, 作者另外使用一個安全處理器-RVSCP將其直接嵌入到HECTOR-V架構(gòu)中。RVSCP是一種經(jīng)過安全加固的RISC-V處理器, 專為構(gòu)建TEE而設(shè)計(jì)。該架構(gòu)在安全域和非安全域之間實(shí)現(xiàn)了高度隔離, 并能夠抵御側(cè)信道攻擊(例如緩存和基于瞬態(tài)的攻擊)。另外, TEE與應(yīng)用處理器的緊密耦合使HECTOR-V能夠幫助不同設(shè)備之間建立安全通信通道。

RISC-V相較于Intel SGX和ARM TrustZone起步較晚。因此, 還沒有廣泛出現(xiàn)于市場的RISC-V處理器, 并且對RISC-V處理器的隔離執(zhí)行沒有進(jìn)行廣泛的研究。

3.3 邊緣安全流處理方案小結(jié)

本節(jié)將對上述的邊緣安全流處理方案進(jìn)行總結(jié), 主要從三個方面, 分別是可防御攻擊、主要方法, 以及主要缺陷。具體如表10所示。

表10 相關(guān)技術(shù)可防御攻擊, 主要方法及主要缺陷 Table 10 Related technologies can defend against attacks, main methods and main flaws

以上部分方案并不完全適用于邊緣或邊緣安全流處理, 但其設(shè)計(jì)思想值得在邊緣應(yīng)用, 如基于虛擬化技術(shù)隔離技術(shù)、Haven和SEL4等。因此, 在設(shè)計(jì)邊緣安全流處理方案時(shí), 上述方案均值得研究。

目前適用于邊緣的安全方案大都存在一些缺陷。具體如下, 加密的方法會消耗過大的資源且數(shù)據(jù)處理速度會大幅下降, 難以在邊緣應(yīng)用?；贠S進(jìn)程隔離機(jī)制會導(dǎo)致過大的TCB, 容易暴露龐大的攻擊面。利用縮小TCB的方法, 無法有效支持?jǐn)?shù)據(jù)密集型計(jì)算, 難以滿足物聯(lián)網(wǎng)龐大數(shù)據(jù)流的快速處理。基于Intel SGX的方案成本較高且能耗較高, 另外大都適用于云端?；赗ISC-V的方案目前仍處于初期, 但其完全開源且適用于終端、邊緣和云端, 具有廣闊的發(fā)展前景。TrustZone具有低能耗, 出色的性能, 低廉的成本和成熟的技術(shù)等特性。因此, 基于TrustZone的安全方案目前最適用于物聯(lián)網(wǎng)邊緣。但由于其設(shè)計(jì)缺陷, 無法防御物理攻擊, 側(cè)信道攻擊, TEE內(nèi)核攻擊等。

4 硬件輔助的邊緣典型流處理安全方案實(shí)驗(yàn)結(jié)果對比分析

為應(yīng)對邊緣流處理過程中面臨的安全威脅, 通常, 可以采用基于軟件的TEE安全方案來進(jìn)行防護(hù), 如Darkly, 密碼加密, 訪問控制策略等機(jī)制。但基于軟件的安全方案性能開銷巨大, 對于資源受限的邊 緣來說并不適用。另外, 單純基于軟件的TEE安全方案, 代碼行數(shù)可能達(dá)到百萬級別。如3.1小節(jié)所述, 代碼行數(shù)越多, 攻擊面越大。而硬件輔助的TEE安全方案能夠有效解決上述問題。本節(jié)將對2.4小節(jié)介紹的支持TEE的硬件平臺進(jìn)行分析與總結(jié), 并對兩個基于主流硬件平臺的安全流處理方案的具體實(shí)驗(yàn)結(jié)果進(jìn)行分析與對比。

4.1 硬件平臺分析與總結(jié)

2.4.2 小節(jié)中說明目前常見的支持TEE的硬件平臺有ARM Trustzone, Texas Intruments M-Sheild, Intel SGX以及AMD SVM等。該小節(jié)說明Texas Intruments M-Sheild, AMD SVM等平臺存在一定的缺陷(如應(yīng)用領(lǐng)域狹窄, 難以普及等), 因此, 并不適用于物聯(lián)網(wǎng)邊緣安全流處理這一場景。由于RISC-V指令集架構(gòu)誕生時(shí)間較短, 基于RISC-V設(shè)計(jì)的安全流處理方案并未得到廣泛研究。

ARM TrustZone與Intel SGX相比于其他硬件平臺更加適用于邊緣可信執(zhí)行環(huán)境的構(gòu)建, 并保證物聯(lián)網(wǎng)流數(shù)據(jù)的安全處理。一方面, 由于Intel SGX健壯、可信、靈活的安全功能與硬件擴(kuò)展的性能保證, 使得這項(xiàng)技術(shù)在邊緣安全流處理方面具有廣闊的應(yīng)用空間與發(fā)展前景。目前學(xué)術(shù)界和工業(yè)界已經(jīng)對SGX技術(shù)展開了廣泛的研究, Intel也在其最新的第六代CPU中加入了對SGX的支持, 并加緊研究適用于邊緣的Intel處理器。另一方面, 根據(jù)2018年的Eclipse一項(xiàng)調(diào)查[52], 邊緣平臺一般使用ARM TrustZone來構(gòu)建邊緣安全系統(tǒng)。因此, ARM Trust-Zone和Intel SGX是目前適用于邊緣構(gòu)建安全流處理方案的主流硬件平臺。

表11對這些支持TEE的不同的平臺進(jìn)行了總結(jié)。

4.2 主流硬件平臺安全方案實(shí)驗(yàn)結(jié)果分析

4.1 小節(jié)說明Intel SGX和ARM TrustZone目前市場上的兩個主流硬件平臺。SecureStreams和StreamBox-TrustZone在流數(shù)據(jù)處理方面的表現(xiàn)都十分出色, 并且實(shí)驗(yàn)配置, 評判基準(zhǔn), 以及安全性也都近似。因此, 本節(jié)將對這兩個方案實(shí)驗(yàn)結(jié)果進(jìn)行分析與對比, 前者基于Intel SGX, 后者基于ARM Trust-Zone。

4.2.1 StreamBox-TrustZone實(shí)驗(yàn)結(jié)果分析

SBT利用縮小TCB尺寸, 優(yōu)化TEE內(nèi)部計(jì)算與內(nèi)存管理機(jī)制以及壓縮審計(jì)記錄等技術(shù)來保證處理終端流數(shù)據(jù)的速度與安全性。作者在華為的開發(fā)板-Hikey960上對SBT進(jìn)行了實(shí)現(xiàn)與評估。Hikey板支持OP-TEE[108]的運(yùn)行, 并搭載ARM TrustZone以及支持第三方編程。該板具體配置見表12。

表11 支持TEE的硬件平臺 Table 11 Hardware platforms supporting TEE

表12 SBT開發(fā)板配置 Table 12 SBT development board configuration

作者設(shè)定了相同CPU內(nèi)核數(shù)量與輸出延遲, 并測試了SBT(在TEE內(nèi)處理數(shù)據(jù), 對數(shù)據(jù)加密, 并利用可信I/O)以及三個修改版的SBT。這三個SBT修改版分別是SBT ClearIngress(在TEE內(nèi)處理數(shù)據(jù), 以明文方式提取數(shù)據(jù)), SBT IOviaOS(在TEE內(nèi)處理數(shù)據(jù), 并不利用可信I/O), Incure(在TEE外處理數(shù)據(jù), 沒有任何安全措施)。另外, 作者使用六個行為基準(zhǔn)來判斷SBT處理終端數(shù)據(jù)流的能力, 這些基準(zhǔn)均包含主要的流操作符。這六個基準(zhǔn)具體如表13所示。

表13 基準(zhǔn)的名稱及具體含義 Table 13 The name and specific meaning of the benchmark

作者測試了所有基準(zhǔn)的吞吐量, 每個基準(zhǔn)的測試結(jié)果都類似, 我們以Windowed Aggregation基準(zhǔn)為例, 介紹在不同內(nèi)核數(shù)下的不同SBT的吞吐量大小, 具體如表14所示。

表14 不同SBT Windowed Aggregation的吞吐量結(jié)果 Table 14 Throughput results of different SBT Windowed Aggregation (MB/s)

最終結(jié)果表明, Inscure表現(xiàn)最佳, SBT ClearIngress 第二, StreamBox-TZ其次, SBT IOviaOS相對最差。但是Inscure安全性最差, 而SBT的安全性是最好的, 并且隨著內(nèi)核數(shù)的增加, SBT的吞吐量也在不斷增加。

4.2.2 SecureStream實(shí)驗(yàn)結(jié)果分析

SecureStreams主要用于部署和處理大規(guī)模的安全流, 而目前基于Intel SGX部署的邊緣安全方案很少, 適用于流處理的安全方案更是少之又少。SecureStreams使用兩臺計(jì)算機(jī)組成集群來進(jìn)行實(shí)驗(yàn)與評估, 具體配置如表15所示。

表15 SecureStreams開發(fā)板實(shí)驗(yàn)配置 Table 15 SecureStreams experimental configuration

為了衡量系統(tǒng)可實(shí)現(xiàn)的吞吐量以及體系結(jié)構(gòu)的網(wǎng)絡(luò)開銷, 作者在三種不同的配置中部署了SecureStreams管道。第一個配置是允許流框架繞過SGX飛地對數(shù)據(jù)直接進(jìn)行處理, 并且不對數(shù)據(jù)集加密。第二個配置是對數(shù)據(jù)集進(jìn)行加密, 但允許加密的數(shù)據(jù)不在SGX飛地中進(jìn)行處理。最后, 配置一個完全安全的管道, 對輸入數(shù)據(jù)集進(jìn)行加密, 并在SGX飛地中對進(jìn)行數(shù)據(jù)處理。數(shù)據(jù)節(jié)點(diǎn)不斷的注入數(shù)據(jù)集, 輔助組件通過非阻塞I / O連續(xù)偵聽傳入的數(shù)據(jù), 并對數(shù)據(jù)進(jìn)行處理。作者通過利用Docker的內(nèi)部監(jiān)視和統(tǒng)計(jì)模塊來收集帶寬測量結(jié)果, 具體結(jié)果(以每種配置吞吐量峰值為例)見表16。

表16 不同SecureStreams配置的吞吐量結(jié)果 Table 16 Throughput results of different SecureStreams configurations (MB/s)

最終結(jié)果表明, 安全機(jī)制越多, 數(shù)據(jù)吞吐量越小。而數(shù)據(jù)的處理速度會隨著輔助組件的增加而增加, 但是加速度會隨著輔助組件增加而變小。其中的原因是輔助組件能夠并行處理數(shù)據(jù), 而輔助組件的并行會受到物理核心總數(shù)的限制。

4.2.3 StreamBox-TrustZone 與SecureStream結(jié)果分析與對比

從上述兩個實(shí)驗(yàn)結(jié)果可以看出, 在相同實(shí)驗(yàn)配置的情況下(均進(jìn)行數(shù)據(jù)加密, 均TEE內(nèi)進(jìn)行數(shù)據(jù)處理, 相同數(shù)量的并行組件處理), SBT每秒處理的數(shù)據(jù)更多, 性能更加出色。比如在4核心情況下, SBT的吞吐量能夠達(dá)到65MB/s左右, 而SecureStream只能夠達(dá)到8MB/s左右。

SecureStreams在小型x86集群實(shí)現(xiàn)了該系統(tǒng), 該集群的資源比HiKey豐富得多, 其具有更快的CPU(8倍i7-6700@3.4GHz與8倍Cortex-A53@ 1.2GHz), 更大的DRAM(16 GB對2 GB), 更高的功率(130W對36W)和更高的成本(600美元對65美元)。因此SBT利用更小的成本以及計(jì)算資源得到比SecureStreams更好的實(shí)驗(yàn)效果。

具體實(shí)驗(yàn)結(jié)果如表17所示。

表17 主流邊緣流處理方案實(shí)驗(yàn)結(jié)果 Table 17 Experimental results of mainstream edge stream processing scheme

綜上所述, 在邊緣安全數(shù)據(jù)流處理過程中, SBT能夠以更小的計(jì)算資源及更低的成本來獲得更出色的性能, 但SecureStreams能夠防御一些SBT無法防御的攻擊, 如冷啟動攻擊, DMA攻擊等。

5 安全展望

在之前的章節(jié)中, 對基于可信執(zhí)行環(huán)境的物聯(lián)網(wǎng)邊緣流處理安全技術(shù)進(jìn)行了介紹與探討。但目前對物聯(lián)網(wǎng)邊緣流處理安全的研究還處于一個早期階段, 依然存在著一系列的安全問題尚待解決, 在這里我們對未來研究方向進(jìn)行討論和展望。

(1)邊緣數(shù)據(jù)流處理中的安全與效率的權(quán)衡問題。大多數(shù)的物聯(lián)網(wǎng)應(yīng)用場景需要邊緣節(jié)點(diǎn)進(jìn)行復(fù)雜的運(yùn)算操作, 這些復(fù)雜的操作往往會消耗很多的時(shí)間以及大量的計(jì)算資源。若邊緣設(shè)備上采用的安全機(jī)制所消耗的計(jì)算資源以及時(shí)間代價(jià)太高, 會加重物聯(lián)網(wǎng)設(shè)備與邊緣之間的延遲問題, 所以在物聯(lián)網(wǎng)的實(shí)際應(yīng)用場景中需要對安全和效率之間做好權(quán)衡, 在保證邊緣數(shù)據(jù)處理安全的情況下同時(shí)也要能夠保證能夠及時(shí)對終端設(shè)備進(jìn)行響應(yīng)。

(2)跨越多個邊緣設(shè)備的流處理安全問題。在物聯(lián)網(wǎng)邊緣端設(shè)備往往不只一個, 可能是一個或者多個邊緣設(shè)備共同合作進(jìn)行流處理操作。邊緣端的設(shè)備一般都是分布式的, 其中網(wǎng)絡(luò)設(shè)備的可信度仍然需要進(jìn)行進(jìn)一步的研究, 從而提出一種有效的信任模型來保證跨越多個邊緣設(shè)備的數(shù)據(jù)流處理的安全性。

(3)低功耗的高效加密措施。目前, 基于數(shù)據(jù)加密的方法難以應(yīng)用于邊緣流處理的場景, 主要原因在于1)邊緣設(shè)備的資源受限; 2)加解密算法過于復(fù)雜; 3)缺乏針對邊緣側(cè)的數(shù)據(jù)加密處理方案及標(biāo)準(zhǔn)。

(4)ARM TrustZone的安全問題。由于ARM TrustZone設(shè)計(jì)上的缺陷, 目前基于ARM TrustZone構(gòu)建的邊緣流分析引擎均難以防御TEE內(nèi)核缺陷攻擊、側(cè)信道攻擊和物理攻擊(內(nèi)存攻擊)等攻擊。盡管有一些方法能夠在一定程度上防御以上攻擊, 但這些方法還未應(yīng)用于基于ARM TrustZone平臺的邊緣安全流處理引擎。未來可以借鑒并利用這些方法, 來設(shè)計(jì)基于ARM TrustZone平臺的邊緣安全流處理引擎, 從而解決上述問題, 提高邊緣流處理的安全性。

(5)基于RISC-V的物聯(lián)網(wǎng)邊緣流處理安全方案的研究。目前市面上的TEE硬件平臺普遍存在一些問題。例如, Intel SGX成本太高暫時(shí)無法廣泛適用于物聯(lián)網(wǎng); ARM TrustZone是封閉式的指令集架構(gòu)且存在著高昂的專利和架構(gòu)授權(quán)問題; TI M-Shield過度依賴于硬件配置及安全控制策略, 導(dǎo)致其應(yīng)用領(lǐng)域比較狹窄。RISC-V適用于云計(jì)算機(jī)、手機(jī)和嵌入式系統(tǒng)等現(xiàn)代計(jì)算設(shè)備, 并且完全開源, 因此, RISC- V前景十分廣闊。在未來的物聯(lián)網(wǎng)市場, RISC-V憑借其完全開源的優(yōu)勢, 很可能擊敗ARM。因此, 基于RISC-V的物聯(lián)網(wǎng)邊緣安全流處理方案值得研究。

6 結(jié)束語

隨著物聯(lián)網(wǎng)的普及, 越來越多的感知設(shè)備每時(shí)每刻都產(chǎn)生著大量數(shù)據(jù), 需要進(jìn)行低延時(shí)、高吞吐的流式數(shù)據(jù)分析與處理。在這些數(shù)據(jù)流中往往包含了大量涉及用戶隱私的敏感數(shù)據(jù), 在要求實(shí)時(shí)性的同時(shí), 對流處理的安全性提出了更高的要求。邊緣計(jì)算的出現(xiàn)一定程度上提升了數(shù)據(jù)流處理的安全性與實(shí)時(shí)性然而, 基于邊緣計(jì)算的架構(gòu)會使數(shù)據(jù)暴露于邊緣端結(jié)構(gòu)復(fù)雜、易受攻擊的軟件堆棧中, 從而帶來諸多的安全威脅。為了解決這個問題, 本文探討了基于可信執(zhí)行環(huán)境的物聯(lián)網(wǎng)邊緣流處理安全技術(shù), 從邊緣安全流處理相關(guān)背景出發(fā), 介紹了流處理, 邊緣計(jì)算以及適用于邊緣的可信執(zhí)行環(huán)境技術(shù)與相關(guān)平臺; 然后, 介紹并探討了用于邊緣端的基于可信執(zhí)行環(huán)境的流處理安全技術(shù); 接著, 對主流解決方案的實(shí)驗(yàn)平臺與結(jié)果進(jìn)行介紹與分析; 最后, 對未來物聯(lián)網(wǎng)邊緣安全流處理的研究方向進(jìn)行了展望。