冉黎瓊, 翁越男, 徐小玲，宋海權(quán), 陳金勇, 高 林,吳凌淳, 陳 琴,徐康鐳

(1.成都信息工程大學 軟件工程學院，四川 成都 610225；2.成都安聯(lián)云防保安服務有限公司，四川 成都 610095；3.成都信息工程大學 網(wǎng)絡空間安全學院，四川 成都 610225；4.中國電子科技集團公司第五十四研究所，河北 石家莊 050081)

0 引言

近年來，眾多科學技術(shù)企業(yè)與學術(shù)研究組織將工作重心從獨立執(zhí)行轉(zhuǎn)向云計算、邊緣計算與霧計算系統(tǒng)，這使得他們可擁有高效且可擴展的巨大數(shù)據(jù)存儲容量[1]。同時，這一轉(zhuǎn)變也帶來了諸多挑戰(zhàn)，例如，如何在云、邊緣和霧計算系統(tǒng)中實現(xiàn)大規(guī)模數(shù)據(jù)存儲的安全，如何保護用戶的信息隱私免受攻擊。本質(zhì)上看，這類數(shù)據(jù)管理方式是由云計算、邊緣計算和霧計算的全球中心托管，并為個人用戶數(shù)據(jù)提供整體管理服務。

當擁有大量數(shù)據(jù)和重要應用程序的云提供商與客戶共享數(shù)據(jù)時，信息安全和隱私問題成為一個熱點研究問題。隨著這一問題的日益嚴峻，計算范式研究領(lǐng)域提出了該類問題的主要研究方向及內(nèi)容[2]。目前，每種計算范式中最受關(guān)注的問題是保護用戶隱私使其免受未經(jīng)授權(quán)的訪問和攻擊。此外，保持并維護數(shù)據(jù)完整性也是一個非常重要的方面[3]。

當涉及保護個人信息和其他重要數(shù)據(jù)時，需要根據(jù)不同的需求改變計算卸載策略[4]。云客戶擁有對其個人信息和數(shù)據(jù)的合法訪問權(quán)(即用戶有權(quán)知道其他設備何時、如何以及多大頻率訪問其個人信息)。安全和隱私方面包括5個不同特征：完整性、問責制、機密性、可用性和隱私保護[5]。

針對上述問題，本文對云、邊緣和霧計算3種計算范式中的信息安全和隱私方面進行了全面綜述，主要貢獻包括：① 對云、邊緣和霧計算3種范式的信息安全和隱私問題進行深入研究和對比分析，并給出解決方案；② 詳細介紹3種范式各自在信息安全和隱私保護方面的主流技術(shù)及其特征；③ 發(fā)現(xiàn)信息安全與隱私機制的部署缺陷是由多樣性計算的異質(zhì)性造成的，給出不同的信息安全部署技術(shù)加強信息的安全性與隱私性。

1 相關(guān)背景

下面介紹不同范式的背景，對每種范式都進行了討論，為介紹每種計算范式在信息安全和隱私方面的問題與挑戰(zhàn)進行背景知識鋪墊。

1.1 云計算

云計算是一種通過網(wǎng)絡訪問的、可擴展的、靈活的物理或虛擬共享資源池，可按需自助獲取或管理資源的集中式范式。終端用戶僅作為一個數(shù)據(jù)消費者，負責向云端請求數(shù)據(jù)，得到返回結(jié)果并顯示。

傳統(tǒng)云計算架構(gòu)如圖1所示。云端數(shù)據(jù)僅從數(shù)據(jù)生產(chǎn)者那里獲取，然后接收處理來自終端數(shù)據(jù)消費者的請求，并將處理結(jié)果返回給終端用戶。

圖1 傳統(tǒng)云計算架構(gòu)Fig.1 Traditional cloud computing framework

云計算具有虛擬化、動態(tài)擴展和高性價比等特性，主要解決資源利用率不高、物理資源設備難以集中管理和高效使用等問題。在用戶端和云端之間通過網(wǎng)絡連接和使用，云計算高度依賴網(wǎng)絡，在大規(guī)模物聯(lián)網(wǎng)(Internet of Things，IoT)設備和傳感器場景下，其網(wǎng)絡阻塞、高延時和低服務質(zhì)量等問題凸顯。

隨著不斷發(fā)展的技術(shù)和基礎(chǔ)設備創(chuàng)新，企業(yè)的物理資源也得以增加和換新，云計算為企業(yè)提供獨特的應用程序解決方案[6]，同時使用不同的組件來提供服務。

云計算是一種在可配置計算資源共享池中，按需進行網(wǎng)絡訪問的范式。云計算的特點包括按需自助服務、廣域網(wǎng)訪問、多租戶和資源池、快速彈性和可擴展性。通常根據(jù)制造商和企業(yè)的需要提供所需的云計算資源。同時，企業(yè)相關(guān)產(chǎn)品的云訪問也至關(guān)重要，有助于企業(yè)根據(jù)需要虛擬化各種服務及云使用[7]。

云計算服務通過網(wǎng)絡上已建立的通道訪問功能，高頻地進行網(wǎng)絡訪問，從而促進工作站、平板電腦、筆記本電腦和移動電話等不同用戶設備的使用[8]。網(wǎng)絡訪問導致了使用云計算服務的各個客戶端對服務提供者提供的計算資源進行分組的問題，需要根據(jù)用戶需求，仔細重新分配云計算服務資源[9]。大規(guī)模的云服務異構(gòu)環(huán)境也導致了計算資源伸縮性方面的問題，這需要服務提供商創(chuàng)建特定的云服務資源以實現(xiàn)大幅降低計算成本的目標。用戶對云計算的需求可能會發(fā)生變化，平臺或系統(tǒng)需要立即做出響應。對計算資源使用情況進行仔細觀察和監(jiān)管，并根據(jù)使用情況建立日志提供反饋，例如賬戶信息、帶寬和存儲信息。如果對所使用的資源進行充分地控制和說明，就可以詳細、正確地報告所使用的基本計算服務情況。

如今，各類型企業(yè)都使用云計算技術(shù)在云中存儲重要數(shù)據(jù)，使它們能夠通過互聯(lián)網(wǎng)從世界任何地方訪問這些存儲的信息。從計算架構(gòu)來看，面向服務和事件驅(qū)動的架構(gòu)是構(gòu)成云計算架構(gòu)的主要組合[10]。網(wǎng)絡通過有線或無線介質(zhì)連接前端和后端。計算架構(gòu)中涉及的各種組件[4]如圖2所示。

圖2 任務卸載模型Fig.2 Task offloading model

實線箭頭表示當前可實現(xiàn)技術(shù)，如：個人云層和邊緣網(wǎng)絡層可以實現(xiàn)移動電話與個人計算機的數(shù)據(jù)交換；虛線箭頭表示發(fā)展中的技術(shù)，如：計算機與數(shù)字相機不能借助3種范式進行互通互聯(lián)。

1.2 邊緣計算

邊緣計算作為新一代的計算范式，主要模式是通過將資源分配到網(wǎng)絡邊緣更靠近各種辦公和家用電器，如移動設備、IoT設備、客戶端和客戶端傳感器等。邊緣計算的核心是物理可用性和緊密性，其中端到端延遲受Cloudlets的影響，相比云計算的帶寬更經(jīng)濟可行、適用性更高、安全性更好[11]。

邊緣計算傾向于使計算盡可能接近數(shù)據(jù)源，以減少延遲和帶寬使用。簡單地說，邊緣計算意味著在云中運行更少的進程，并將這些進程移動到本地，如在用戶的計算機、IoT設備或邊緣服務器上[12]。網(wǎng)絡中的邊緣計算減少了實際傳輸距離，從而減少客戶和服務器站點之間的通信開銷。

邊緣計算如今被認為是一種最先進的計算模式，將服務和應用程序從已知的云環(huán)境集中到距離主要源最近的站點，并提供處理數(shù)據(jù)的計算能力，以及用于連接云和最終用戶設備的附加連接。解決或減少云計算單一云的設備數(shù)量問題的最佳方法之一是確保在特定位置增加邊緣節(jié)點[13]。

總體而言，邊緣計算服務的主要消費者是可利用計算資源受限的設備，例如可穿戴設備、健身和醫(yī)療用的跟蹤器帶或智能手機[14]。如圖2所示，典型的邊緣計算架構(gòu)包括3個重要節(jié)點：云、本地邊緣和邊緣設備[15]。局部邊緣涉及一個包含不同邊緣服務器的若干子層的結(jié)構(gòu)，其計算方向自底向上。接入點(Access Points, AP)和基站(Base Stations, BS)都是位于子層的邊緣服務器[16]。這些設備用于在通信期間從各種邊緣設備獲取數(shù)據(jù)，并使用多個無線接口返回控制流。

蜂窩BS從邊緣設備接收數(shù)據(jù)后，將數(shù)據(jù)傳輸?shù)轿挥谏蠈幼訉又械倪吘壏掌?，其上層子層主要完成操作計算工作，從BS轉(zhuǎn)發(fā)數(shù)據(jù)后，進行基本的分析和計算。在離邊緣設備最近的邊緣服務器上，設置計算限制，以便在給定工作的難度超過它時，卸載工作并將其發(fā)送到具有足夠計算能力的上層子層。然后，邊緣服務器完成流控制鏈，并將其傳回AP，最后將其發(fā)送到邊緣設備[17]。

邊緣架構(gòu)允許將不支持高延遲的應用程序切換到更接近計算需求者的位置，例如Augmented/Virtual/Mixed Reality(AR/VR/MR)游戲、蜂窩傳輸?shù)?，所有這些都遵循了該模式的接近驅(qū)動性質(zhì)[18]。

一般用2種方法表示邊緣和用戶設備：物理接近度和邏輯接近度。物理接近度是指數(shù)據(jù)計算的頂部段與用戶設備之間的確切距離；邏輯接近度是指邊緣計算段與用戶設備之間的跳數(shù)。由于多跳造成的長路由可能會出現(xiàn)擁塞，從而導致延遲問題增加。為了避免可能導致延遲的排隊，邏輯接近需要在計算網(wǎng)絡系統(tǒng)的回程中限制此類事件。

雖然常規(guī)云計算模式在滿足巨大計算需求方面存在不足，但考慮到其較低的能耗水平、實時性，尤其是安全和隱私方面的問題，邊緣計算暫時并不能代替云計算。同時，邊緣計算和云計算二者可以在諸多應用場景進行融合，例如汽車自動駕駛、工業(yè)互聯(lián)網(wǎng)和智能城市。重要的是，邊緣計算和云計算的協(xié)作為降低軟件的延遲提供了保障，例如汽車自動駕駛、公司網(wǎng)絡資產(chǎn)和IoT信息分析等。

邊緣計算通過多個參與者支持的功能來執(zhí)行。蜂窩網(wǎng)絡、藍牙、ZigBee和WiFi是通過連接端點設備和邊緣計算層節(jié)點來實現(xiàn)連接的各種技術(shù)。訪問模式確定了端點設備帶寬可用性、連接范圍和提供的各種設備類型協(xié)助[19]。

簡言之，邊緣計算隨著IoT的發(fā)展日漸受到重視，聚焦于高速、低延時的數(shù)據(jù)存儲和計算服務。在設備端接收和處理數(shù)據(jù)，消除遠距離帶寬傳輸延時，提升服務質(zhì)量，是對云計算的補充，但不會取代云計算，因為邊緣計算所處理的數(shù)據(jù)僅為近端的局部數(shù)據(jù)，總體全面的數(shù)據(jù)尚需集中式云計算的整體處理。

邊緣計算模型如圖3所示。

圖3 邊緣計算模型Fig.3 Edge computing model

與云計算不同，云端的數(shù)據(jù)不僅僅由數(shù)據(jù)提供者提供，終端用戶既是數(shù)據(jù)生產(chǎn)者又是數(shù)據(jù)消費者，可以向云端發(fā)送請求得到結(jié)果，也可以接收云端的請求并返回處理結(jié)果，邊緣服務器在終端設備與云之間，靠近終端側(cè)為終端用戶提供更加快速智能的服務，同時與云端相輔相成。

1.3 霧計算

霧計算是一種介于云計算和邊緣計算之間的分布式共享資源管理模式。云計算由于數(shù)據(jù)傳輸距離遠產(chǎn)生高延時；邊緣計算接近度太低，易受攻擊，數(shù)據(jù)安全性和隱私問題凸顯；霧計算在二者之間構(gòu)建中間層，向遠端傳送整體協(xié)同數(shù)據(jù)，向近端匯聚局部數(shù)據(jù)處理后返回。

霧計算服務的終端設備是所接入的網(wǎng)關(guān)或機頂盒，該基礎(chǔ)設施允許應用程序在附近操作，以便輕松觀察活動并處理來自個人、流程或項目的大量數(shù)據(jù)。霧計算的優(yōu)勢在于自動反饋，客戶借此受益于霧計算和云計算服務，如存儲、計算、應用程序服務和數(shù)據(jù)提供。通常，云計算與霧計算可以分開討論，霧計算在距離、移動協(xié)助和密集位置共享方面更接近客戶端[20]，同時可以提供云計算的分布式和對用戶透明的功能。

NIST認為霧計算是一種分層模型，用于實現(xiàn)可擴展計算資源的連續(xù)共享和無限制訪問。該模型有助于部署分布式、延遲感知的應用程序和服務，并由停留在智能終端設備和集中式之間的霧節(jié)點組成服務。霧節(jié)點具有上下文感知能力，可以在集群中支持通用數(shù)據(jù)管理和通信系統(tǒng)[21]。

霧計算被認為是云計算的擴展，因為云計算在理想情況下主要集中在一個中央計算系統(tǒng)上，發(fā)生在計算架構(gòu)層的上部，而霧負責減少邊緣層負載，特別是在入口點和資源受限的設備上[22]。

霧計算和邊緣計算通過霧設備從網(wǎng)絡端托管和執(zhí)行任務，而不是使用集中式云平臺。這意味著將某些資源置于云的邊緣，而不是在云中派生使用和存儲。霧體系結(jié)構(gòu)專門選擇在靠近網(wǎng)絡的邊緣進行通信、存儲、控制、決策和計算。在此執(zhí)行和數(shù)據(jù)存儲是為了解決當前基礎(chǔ)設施在訪問關(guān)鍵任務和用例方面的不足，如數(shù)據(jù)密度。

霧計算系統(tǒng)的部署類似于邊緣計算，但專用于需要更高處理能力的應用程序，同時仍然更接近用戶。這使得霧計算的設備需要一定的異構(gòu)性，同時霧計算需要在這種異構(gòu)設置中管理資源和解決問題，在仿真、資源管理、部署事項和應用服務等相關(guān)領(lǐng)域廣泛應用[23]。

當前，霧計算缺乏標準化架構(gòu)，也沒有具有給定標準的明確架構(gòu)。通常在霧計算上執(zhí)行的大多數(shù)研究項目架構(gòu)表示為3層模型[24]，如圖4所示。

圖4 傳統(tǒng)霧計算架構(gòu)Fig.4 Traditional fog computing framework

此外，OpenFog聯(lián)盟建立了詳細的N層參考架構(gòu)[25]，如圖5所示。

圖5 N層計算架構(gòu)Fig.5 N-layer computing architecture

對如圖4所示的3層模型進行改進。本文主要考慮3層架構(gòu)。霧計算被認為是基于云到霧設置云計算的補充。實際上，它代表了一個中間層，也稱為霧層，縮小了本地終端設備和云基礎(chǔ)設施之間的差距[26]，在該層中霧節(jié)點數(shù)量很大。與云模型類似，霧層也使用本地虛擬化技術(shù)?？紤]到可用資源，使用基于容器的解決方案實現(xiàn)虛擬化更合適[23]?；贠penFog聯(lián)盟，霧節(jié)點被稱為“實現(xiàn)霧計算服務的物理和邏輯網(wǎng)元”。霧節(jié)點具有執(zhí)行計算、傳輸和臨時存儲數(shù)據(jù)的能力，并且位于云和最終用戶設備之間[27]。

從云計算遷移到霧計算的主要原因是計算負載，并使云計算邊緣化。各種應用程序和IoT設計服務定義了霧計算[28]，其對應于生態(tài)系統(tǒng)中的極端異構(gòu)性，在集中式云和邊緣的不同設備之間提供服務，如通過霧的最終用戶應用程序。

霧計算模型包括了廣泛的共享式服務，以提供用戶設備服務質(zhì)量[29]。在不同的環(huán)境中，霧計算的節(jié)點和傳感器在地理上是共享的，例如監(jiān)測化學反應器、醫(yī)療系統(tǒng)、傳感器和氣候方面。通過霧計算分析，更好地提供客戶需求，更好地了解從云到IoT的整個過程中的傳輸、存儲和控制操作[30]。

1.4 范式異同

與云不同，霧和邊緣計算的主要目標在某些領(lǐng)域相似，這2種方法都致力于使云計算更接近于用戶，并為客戶提供較低延遲的服務，一方面，確保高實時性的應用程序?qū)崿F(xiàn)所需的服務質(zhì)量；另一方面，降低總體網(wǎng)絡負載[31]。不同計算范式性能對比如表1所示。

表1 不同計算范式性能對比Tab.1 Performance comparison of different computing paradigms

本節(jié)描述了構(gòu)成上述范例的基本特征，使其在方式上具有獨特性；研究了不同的計算構(gòu)架、范例特點以及對行業(yè)的益處，并討論了應用場景。

云雖作為一種集中式架構(gòu)和IoT推動方式，但高延遲、位置敏感度低和計算時間長等缺點一直未得以解決。提出了邊緣和霧計算范例的升級技術(shù)，以減輕云系統(tǒng)的負擔并解決所指出的問題，發(fā)現(xiàn)這2種計算范例有助于減少發(fā)送到云的大量數(shù)據(jù)。邊緣計算在安全和隱私方面優(yōu)于云計算。然而，由霧節(jié)點組成的霧計算范式被視為一種獨特的分布式計算架構(gòu)，以便為IoT設備提供改進服務和支持。

2 計算范式的安全性和隱私性

2.1 云計算安全

當今大多數(shù)網(wǎng)絡和遠程存儲數(shù)據(jù)傾向于使用云計算相關(guān)技術(shù)，對云的一個特殊要求是確保服務始終一致，保持可靠性，并根據(jù)需要提供數(shù)據(jù)。云計算中安全和隱私問題主要包括機密性、數(shù)據(jù)安全、網(wǎng)絡釣魚和多租戶[32]。本節(jié)探討了云計算系統(tǒng)中與安全和隱私相關(guān)的各種威脅，并給出緩解威脅的方法。

云計算用戶根據(jù)其特定需求采用不同的分布式云模型，因此，云的安全和隱私威脅因云中托管的基礎(chǔ)設施而不同。云安全聯(lián)盟(Cloud Security Alliance, CSA)指出，常見的威脅包括信息泄露、高級別持續(xù)性威脅(Advanced Persistent Threats, APT)和拒絕服務攻擊(Denial of Service, DoS)[33]。

云基礎(chǔ)設施的安全性在很大程度上取決于已有的多層保護技術(shù)。入侵檢測系統(tǒng)(Intrusion Detection System, IDS)尤為重要，其專門用于跟蹤可疑威脅和攔截網(wǎng)絡上的潛在攻擊。此外，還可以將各種事件分離出來進行網(wǎng)絡狀態(tài)分析。云資源和服務會遇到來自內(nèi)部或外部入侵者的不同種類的威脅和攻擊[34]。

2.1.1 云數(shù)據(jù)安全

數(shù)據(jù)安全在處理云設備并保持其運行方面發(fā)揮著重要作用。涉及到數(shù)據(jù)和云服務中心的保護和恢復，傳輸或傳輸中所涉及數(shù)據(jù)必須始終受到保護。通常會選擇一種簡單而健壯的機制，以便在部署之前能夠了解云服務功能，并在建立階段能夠與云安全特性保持一致。在部署階段，云服務供應商和云客戶的存在也發(fā)揮了一定的作用，雙方都必須滿足一定的數(shù)據(jù)安全要求[35]，如服務級別協(xié)商、信息流量，尤其是數(shù)據(jù)安全等問題。首先，云服務供應商必須保護存儲在云中的客戶數(shù)據(jù)，以減少或消除安全缺陷；其次，用于加密數(shù)據(jù)的技術(shù)必須非常強大，以保證更好的數(shù)據(jù)安全性，并實現(xiàn)監(jiān)控其他信息訪問的身份驗證機制；最后，通過數(shù)據(jù)加密建立訪問控制，以確保只有選擇合法的員工才能訪問數(shù)據(jù)。

2.1.2 云數(shù)據(jù)隱私

隱私風險要從多個角度考慮，如訪問控制、云系統(tǒng)、客戶和存儲信息[36]。公有云面臨更多的隱私威脅，盡管這些威脅因云模型的不同而有很大的區(qū)別。有些威脅產(chǎn)生是由于信息的擴散、未經(jīng)授權(quán)的人的惡意使用以及客戶端被攻擊無法控制導致。黑客可以借助復制信息的機制，使用文件的哈希代碼訪問存儲在云中的客戶端敏感文檔[37]。了解數(shù)據(jù)隱私和其他相關(guān)隱私原則將大大有助于處理已知威脅。

大多數(shù)情況下，人們的隱私無論是有意還是無意被侵犯，未經(jīng)知情或授權(quán)訪問個人數(shù)據(jù)均被視為侵犯隱私。侵犯手段包含多種，如公開泄露、隱私攻擊、數(shù)據(jù)侵犯和其他攻擊手段。隱私泄露會造成很大的損害，可以從以下幾個方面管理隱私問題。

① 信任標準：設置信任標準對消除或抵制隱私侵犯的不信任起著重要作用?？蛻艨梢酝飧鞣N各樣的信任標準，但其實他們希望的還是在合理的范圍內(nèi)看到最小或零侵犯隱私的情況[38]。

② 訪問控制：云系統(tǒng)本身存在大量安全問題，未經(jīng)授權(quán)的個人或組織就可以獲得訪問權(quán)限?？梢酝ㄟ^回答問題來獲取訪問權(quán)限，通過建立管理策略、對多域進行檢查以及提供強大的管理密鑰來解決訪問控制問題。

③ 數(shù)據(jù)加密：需要足夠強大，以保證客戶文件的隱私。數(shù)據(jù)加密不足會對云隱私構(gòu)成嚴重威脅[39]。

2.2 邊緣計算安全

節(jié)點數(shù)量的增長導致云計算的性能大幅下降，邊緣計算提供了一個重大的范式轉(zhuǎn)變。邊緣計算被視為一種新型云計算，可以在共享計算中承載具有新技術(shù)能力的應用程序，在需要時執(zhí)行信息處理時無需再將數(shù)據(jù)傳輸?shù)皆啤Ｖ苯釉诜植际皆O備的節(jié)點上進行計算，當數(shù)據(jù)在接近用戶的地方處理時，縮短了響應時間，用戶體驗更好。

5G網(wǎng)絡日漸普及[40]，作為5G網(wǎng)絡的一部分，邊緣計算發(fā)揮著樞紐的作用，這對于資源受限的小型設備及其交互方式至關(guān)重要。邊緣計算顯示了與不同設備和多個交叉連接網(wǎng)絡的關(guān)系。在邊緣計算中，盡管節(jié)點上的信息處理提供了一定的安全和隱私保護，但由于邊緣計算架構(gòu)的去中心化設計，極有可能出現(xiàn)即時威脅和攻擊。邊緣計算的結(jié)構(gòu)不能充分支持保護信息的機制，這意味著網(wǎng)絡上該邊緣節(jié)點的復雜性使得數(shù)據(jù)易于暴露，難以保護。

盡管邊緣計算技術(shù)在不斷發(fā)展，但其安全性和隱私性的發(fā)展仍然是一個持續(xù)的過程，全球研究人員一直致力于開展相關(guān)工作，以制定對策，提高邊緣系統(tǒng)的安全性和隱私性。使用不同的簡單移動邊緣計算方法進行安全檢查，提出整體的安全和保護方案以及研究工作的建議。本文將涉及邊緣計算信息安全和隱私的問題分為4個獨立部分[41]：訪問控制、身份驗證、信息安全和隱私保護。本文更多地關(guān)注信息安全和隱私保護。

2.2.1 邊緣數(shù)據(jù)安全

目前，邊緣計算安全性和隱私方面的工作具有挑戰(zhàn)性。邊緣系統(tǒng)信息安全的主要目的是通過創(chuàng)建一個具有穩(wěn)定操作系統(tǒng)的共享模型來安全地移動數(shù)據(jù)和減輕負載，為最終用戶和遠程節(jié)點開發(fā)了可接受的共享信息安全性和輕量級設計。

此外，應履行保護客戶機密和維護客戶信任的責任，例如一個由許多IoT設備建造的數(shù)字化建筑，由于其產(chǎn)生大量個人數(shù)據(jù)，可能成為主要目標[42]。因此，保護客戶隱私并獲得客戶信任的方法是確保數(shù)據(jù)處理發(fā)生在建筑物的邊緣網(wǎng)絡或節(jié)點[43]。除了上述內(nèi)容，還應該考慮邊緣特定元素。

① 保密性：在移動客戶端使用移動應用程序服務的情況下，保密性要求較高，因此，一些客戶很難決定是否使用該應用。Du等[44]列舉了與邊緣計算保密性相關(guān)的缺點，介紹了服務提供商未經(jīng)許可獲取機密信息所帶來的風險。數(shù)據(jù)傳輸過程發(fā)生在分布式或非安全網(wǎng)絡中，隨后在邊緣分布式網(wǎng)絡中存儲和處理，數(shù)據(jù)安全性將不斷遭到破壞。當前工作主要是對機密性的項目訪問進行限制[45]。

② 檢測攻擊：邊緣節(jié)點周圍環(huán)境復雜，安全保障不足，面臨威脅。當來自一個邊緣節(jié)點的威脅管理不當并且可能隨后擴展到另一個邊緣節(jié)點時，邊緣系統(tǒng)的性能可能會受到嚴重阻礙。由于跨越邊緣節(jié)點威脅的路徑較長，很難找到快速解決方案。此外，尋找檢測攻擊的基本原因會增加成本，后續(xù)恢復也可能需要一段時間[46]。因此，必須進行定期檢查，以檢測任何潛在或即將發(fā)生的攻擊。

2.2.2 邊緣數(shù)據(jù)隱私

與其他保護信息的計算模式不同，邊緣信息中心、服務、基礎(chǔ)設施供應商，甚至某些客戶都存在潛在的漏洞，對此，保護客戶個人信息安全尤為重要[47]。

① 數(shù)據(jù)隱私保護：在邊緣節(jié)點，屬于客戶的大量數(shù)據(jù)從應用程序和其他用戶的設備中檢索，然后對收集到的信息進行處理和分析。盡管邊緣計算節(jié)點是可靠的，但仍然顯示出一定程度的漏洞。因此，信息隱私保護對于避免邊緣計算節(jié)點的泄漏非常重要[48]。

② 身份隱私：身份隱私保護是組織甚至個人客戶的主要關(guān)注點。相比云系統(tǒng)，特別是移動云，邊緣模型在保護客戶身份方面尚缺乏重視[49]。

③ 位置隱私：當客戶端想要使用邊緣計算中的服務時，首先要獲得訪問權(quán)限，客戶端必須按照服務提供商的要求提供他們的位置。但當數(shù)據(jù)泄漏時很可能也會泄漏位置，為此在社交網(wǎng)絡平臺的移動模型中，提出了位置隱私保護的動態(tài)分布性[50]，該模型可以在一定的社會互動范圍內(nèi)對信任度低的訪問者進行分類。通過在單個存儲系統(tǒng)中劃分客戶的數(shù)據(jù)位置，即使攻擊者設法破壞了存儲設施，也不會構(gòu)成重大威脅，因為客戶端的身份不會被泄漏。

2.3 霧計算安全

霧計算模式幫助云范式和邊緣范式提高計算能力、安全性和隱私性[51]，是目前領(lǐng)先和受推薦的計算服務。霧設備被認為是獨立的分布式設備，包含網(wǎng)關(guān)、路由器、交換機或傳統(tǒng)服務器[52]。此外，在當前大規(guī)模減排的需求下，霧計算被稱為具有可持續(xù)性和巨大安全效益的智能綠色平臺。許多霧節(jié)點被視為可更新的，其地理位置分布在不同區(qū)域。不同的霧節(jié)點獨立工作，但通過計算范式，使得信息中心在計算過程中承受的壓力大大降低。

霧計算能夠交叉連接每個數(shù)字設備、無線端點和本地設備。這種相互連接很容易受到安全隱私侵犯，比如泄露客戶的數(shù)據(jù)位置、泄露機密文件和竊取私人賬戶。

邊緣計算中的每一個單元都獨立運行，以確保信息不會被轉(zhuǎn)發(fā)到云，而是在本地處理。霧計算可以擴展邊緣節(jié)點中沒有輔助的云服務，例如基礎(chǔ)設施即服務、軟件即服務和平臺即服務。

2.3.1 霧數(shù)據(jù)安全

一些攻擊通常會威脅個人和政企單位，為了對相關(guān)數(shù)據(jù)提供保護，提出了開發(fā)威脅情報平臺(Threat Intelligence Platform, TIP)[53]。數(shù)據(jù)安全是工業(yè)部門最優(yōu)先考慮的方面，尤其是信息必須得到保護。部署智能設備和傳感器設備，可廣泛減少威脅和安全攻擊。

針對醫(yī)療領(lǐng)域，患者個人健康史涉及到機密信息。已知霧架構(gòu)包含多個霧節(jié)點，這些節(jié)點可能存在漏洞。霧系統(tǒng)通過電纜或無線網(wǎng)絡持續(xù)接收來自醫(yī)療設備傳感器的信息，篡改患者的個人數(shù)據(jù)、完整性和設備可用性是顯而易見的。根據(jù)在無線網(wǎng)絡中發(fā)現(xiàn)的漏洞，可以很容易通過DoS等方式進行攻擊。由于缺乏適當?shù)目蚣軄砜刂茖F節(jié)點的訪問，帳戶盜竊、未經(jīng)允許的訪問以及一些不安全通道，都可能造成信息的泄漏。通過深入的分析和嚴格的規(guī)則來建立標準的控制機制，如個人系統(tǒng)、選擇性加密和重復認證，可以緩解上述問題[54]。

綜上，霧計算提供了類似邊緣計算的挑戰(zhàn)，同時將這些挑戰(zhàn)與分散和分布式環(huán)境連接起來。

2.3.2 霧數(shù)據(jù)隱私保護

保護個人和企業(yè)的隱私通常是霧計算面臨的主要安全問題。當霧節(jié)點位于個人附近時，有助于收集重要信息，但由于霧節(jié)點的分布式特性，很難保持集中監(jiān)控。

在傳輸過程中，當霧節(jié)點的安全狀況不佳時，攻擊者可以很容易地獲得訪問權(quán)限，竊取關(guān)鍵信息。隱私泄漏經(jīng)常發(fā)生，即使用戶從未按照規(guī)定發(fā)布他們的個人信息?？蛻綦[私主要包括以下4個方面：數(shù)據(jù)隱私、位置隱私、身份隱私和使用隱私[55]。

3 安全和隱私挑戰(zhàn)

下面介紹每個范式面臨的主要挑戰(zhàn)，各計算范式安全問題如圖6 所示，并根據(jù)開放系統(tǒng)互聯(lián)(Open System Interconnection，OSI)模型比較3種范式的挑戰(zhàn)并給出建議對策。

圖6 3種計算范式安全問題Fig.6 Security issues of three computing paradigms

3.1 云范式的安全挑戰(zhàn)

數(shù)據(jù)丟失、隱私泄漏、多租戶、管理平臺的非法訪問和互聯(lián)網(wǎng)協(xié)議是云計算所面臨的主要挑戰(zhàn)[56]。上述挑戰(zhàn)為潛在攻擊提供空間，讓網(wǎng)絡犯罪分子獲得訪問控制，允許訪問未經(jīng)授權(quán)的服務，使云計算面臨著巨大的威脅，從而直接或間接地影響業(yè)務。下面將詳細介紹不同的云計算問題[57]。

① 多租戶用于為不同客戶和組織提供服務，這些客戶和組織在體系結(jié)構(gòu)設計中使用在SaaS供應商的服務器上運行的特定軟件。在SaaS模型中，由于客戶轉(zhuǎn)向使用云服務供應商制造的多租戶應用程序，因此存在很高的漏洞風險。云供應商經(jīng)常使用管理資源和調(diào)度工作[58]，但硬件是完全通過云服務供應商的虛擬化實現(xiàn)的。根據(jù)沙箱的獨立性，可以認為與客戶共享硬件是安全的。當沙箱系統(tǒng)存在安全問題時，網(wǎng)絡犯罪分子可以訪問主機[59]。因此推薦使用虛擬化軟件，以顯示云安全中的最新漏洞。

② 數(shù)據(jù)完整性：云中的數(shù)據(jù)完整性在很大程度上受安全方面的重視，要求具有訪問權(quán)的對象才能對數(shù)據(jù)請求做出回復。建立一個通用的基本數(shù)據(jù)完整性標準十分重要，但當前標準還不夠完善，缺乏統(tǒng)一的數(shù)據(jù)標準。信任是客戶希望在計算方面展示的眾多企業(yè)價值之一，目前很多公司都遇到信任問題，很大程度影響了公司對數(shù)據(jù)的處理[60]。

③ 未經(jīng)授權(quán)的訪問：對管理平臺和資源的未經(jīng)授權(quán)的訪問是云計算的漏洞之一。由于云服務中經(jīng)常涉及到共享技術(shù)，從而導致用戶信息有暴露的風險。為緩解該問題引入訪問控制，有助于保護客戶端的個人信息及其隱私域[61]。值得注意的是，由于采用的是單一風格的認證模型，且使用的認證機制不強，攻擊者可以簡單地對云服務系統(tǒng)進行未經(jīng)授權(quán)的訪問[62]。

④ 數(shù)據(jù)丟失和泄漏：云服務的低成本促進越來越多的客戶使用云服務，伴隨著云的高流量和使用，數(shù)據(jù)泄漏或丟失的風險增加。云服務的漏洞和威脅不可避免，對個人和企業(yè)構(gòu)成了巨大的安全威脅。如果由于缺乏備份系統(tǒng)而意外地從云中刪除文件，用戶無法進行檢索和恢復數(shù)據(jù)操作[63]。

⑤ 惡意內(nèi)部人員：每個企業(yè)在招聘政策和員工信息方面都有不同的規(guī)章制度，部分員工擁有更高的權(quán)限，可以在公司內(nèi)部訪問某些重要數(shù)據(jù)。CSA在通用數(shù)據(jù)安全和管理活動標準中實施透明度要求，概述安全故障期間的通知程序，同時將服務水平協(xié)議(Service Level Agreement, SLA)作為人力資源需求，最后在供應鏈管理中建立并實施嚴格的規(guī)則[63]。

有惡意動機的人為云服務供應商工作，當他們能夠不受阻礙地訪問敏感信息時，特別是當云服務供應商不能嚴格監(jiān)控其工作人員時，他們大概率會參與惡性事件。

⑥ 身份盜竊：一些攻擊者會通過偽裝以竊取受害者的不同數(shù)據(jù)而進行網(wǎng)絡釣魚攻擊，受害者會因為密碼弱安全性而遭受攻擊。身份盜竊是通過惡意手段獲取個人和公司的敏感數(shù)據(jù)信息。

⑦ 中間人攻擊 (Man-in-the-Middle Attack, MITM)：在數(shù)據(jù)從一端傳送至另一端或在不同系統(tǒng)之間傳送的過程中，網(wǎng)絡攻擊者可以很容易地獲得訪問權(quán)，從而控制機密數(shù)據(jù)。當由于配置不充分而導致加密套接字協(xié)議層 (Secure Socket Layer, SSL)不安全時，很容易發(fā)生這種情況。在實體之間進行有效的SSL配置和數(shù)據(jù)分析可以大大地降低中間人攻擊者造成的威脅[64]。

⑧ DoS攻擊：限制或阻止服務的執(zhí)行和訪問所需的數(shù)據(jù)，會造成用戶部分或完全缺乏服務可用。即便是合法用戶使用云訪問數(shù)據(jù)服務器或訪問數(shù)據(jù)也會被拒絕，攻擊者通過高頻的請求不斷地阻塞服務器，目標服務器將無法響應該用戶的訪問請求[65]。

⑨ 釣魚攻擊：是常見的攻擊之一，攻擊者通過將受害者引向惡意鏈接來冒充他們，再通過云服務隱藏他們的云主機，這些主機使用網(wǎng)絡釣魚方式使用云服務的客戶賬戶。網(wǎng)絡釣魚可以分為2類威脅：攻擊者利用云服務托管網(wǎng)站進行釣魚攻擊；云計算服務及其帳戶被劫持[66]。

3.2 邊緣范式的挑戰(zhàn)

邊緣計算也為用戶提供存儲、數(shù)據(jù)處理等服務，但仍然面臨著巨大的安全和隱私挑戰(zhàn)，主要包括如下幾個方面。

① 數(shù)據(jù)注入：當服務器敏感時，攻擊者可以通過將危險數(shù)據(jù)注入設備導致中毒。利用偽造的數(shù)據(jù)發(fā)送欺騙消息，使目標節(jié)點受到損害，被稱為外部偽造，例如，在現(xiàn)代數(shù)字工業(yè)生產(chǎn)線中，攻擊者發(fā)送了虛假的機器讀數(shù)，造成嚴重的功能變化損害設備[41]。

② 竊聽：攻擊者在網(wǎng)絡傳輸過程中屏蔽自己并觀察網(wǎng)絡流量，非法獲取數(shù)據(jù)。很難檢測出這種類型的攻擊，因為攻擊者恰好隱藏在平臺內(nèi)部[67]。

③ 隱私泄露：缺乏對邊緣節(jié)點的嚴格訪問控制，很容易導致數(shù)據(jù)隱私被篡改。位于邊緣附近的設備生成的數(shù)據(jù)在邊緣架構(gòu)中存儲和處理，對邊緣架構(gòu)進行分類的用戶可能會泄漏信息[68]。

④ 分布式DoS：攻擊者利用網(wǎng)絡協(xié)議漏洞對節(jié)點發(fā)起攻擊，破壞網(wǎng)絡限制資源訪問和服務提供。攻擊者通過向服務器加載大量數(shù)據(jù)包，干擾服務器的帶寬來關(guān)閉通道，從而實現(xiàn)這類攻擊[41]。

⑤ 權(quán)限和訪問控制：未經(jīng)授權(quán)的訪問也是邊緣計算的主要挑戰(zhàn)之一。在授權(quán)個人或員工訪問系統(tǒng)中機密數(shù)據(jù)權(quán)限之前，需要對他們進行身份確認。通過訪問控制協(xié)議的建立，當實施訪問控制措施和許可時，可以認為多個設備和其他服務之間的連接是安全的[69]。

3.3 霧范式的安全挑戰(zhàn)

云計算研究對其安全性和隱私威脅的方法并不適用于霧計算，因為在網(wǎng)絡邊緣的霧實體活躍存在，霧實體運行的鄰近區(qū)域?qū)⒚媾R各種威脅。

① 信任問題：由于相互信任的需求和網(wǎng)絡的分布式特性，霧系統(tǒng)面臨著信任設計的挑戰(zhàn)。與云計算不同，云系統(tǒng)已經(jīng)包含了預先設計的安全模型，這些模型滿足工業(yè)安全需求，在云系統(tǒng)內(nèi)授予客戶和企業(yè)信任措施。然而，霧計算網(wǎng)絡更容易暴露，更容易受到安全和隱私攻擊。盡管可以將相同的安全機制部署到組成霧計算網(wǎng)絡的每個霧節(jié)點上，但分布式設計也使得解決信任問題具有挑戰(zhàn)性[15]。

② 惡意軟件攻擊：通過病毒、間諜軟件、木馬或勒索軟件竊取敏感數(shù)據(jù)，破壞機密信息，甚至拒絕服務。為此，引入了用于病毒檢測和高級反惡意軟件的真實防御機制[70]。

③ 數(shù)據(jù)計算處理：霧節(jié)點接收從終端用戶設備收集的數(shù)據(jù)，處理后發(fā)送到云系統(tǒng)。經(jīng)過各種流程，最終用戶發(fā)送到云系統(tǒng)的數(shù)據(jù)和從霧節(jié)點發(fā)送到云的數(shù)據(jù)是不同的。此外，如果供應商擁有這些霧節(jié)點，由于數(shù)據(jù)處理后會產(chǎn)生許多安全和隱私方面的缺點，使得難以被信任[71]。

④ 節(jié)點攻擊：攻擊者通過物理攻擊來捕獲易受攻擊的節(jié)點，嚴重情況下，攻擊者可以改變整個節(jié)點，造成硬件缺陷，或通過數(shù)字發(fā)送消息從霧節(jié)點竊取敏感信息，并引起傳感器節(jié)點對機密數(shù)據(jù)的失真[70]。

⑤ 隱私保護：使用云服務供應商、IoT和無線系統(tǒng)的用戶面臨著個人信息數(shù)據(jù)泄露問題。在霧網(wǎng)絡中，由于霧節(jié)點和用戶距離較近，這類隱私很容易就被忽視，當霧節(jié)點之間的通信變得頻繁時，就可能產(chǎn)生隱私泄露問題[55]。

3.4 攻擊與對策

漏洞、威脅或安全攻擊會因為范式的不同而不同，并且不存在解決各種安全問題的具體方法。因此，需要結(jié)合多種設計模型來創(chuàng)建可靠的多層防御模型以保護3種計算系統(tǒng)[72]。根據(jù)指定的OSI網(wǎng)絡模型詳細比較了3種范式的安全問題，并給出解決方案，如表2所示[17,24,42,54,73-95]。

表2 范式的不同攻擊方式和建議對策Tab.2 Different attacks for paradigms and suggested countermeasures

上述內(nèi)容中，終端設備并不涉及任何已建立的安全措施，數(shù)據(jù)在傳輸過程中很可能存在安全漏洞。為了防止數(shù)據(jù)泄漏給不法分子，建議使用加密技術(shù)對數(shù)據(jù)進行加密。但伴隨著加密所需的額外計算開銷，會造成一定的延時。

任何系統(tǒng)中的漏洞都可能授予攻擊者部分或全部訪問權(quán)限，進而造成嚴重的傷害和損失。如果數(shù)據(jù)被破壞，可能會暴露個人或組織的關(guān)鍵信息，可能導致整個網(wǎng)絡的嚴重故障并造成中斷?？梢酝ㄟ^漏洞檢測工具和漏洞挖掘方法準確地發(fā)現(xiàn)潛在漏洞，針對各個漏洞設計特定方案來應對其威脅和攻擊。

4 結(jié)束語

隨著云計算技術(shù)的快速發(fā)展和廣泛應用，數(shù)據(jù)量劇增而導致的高延遲和安全風險，邊緣計算和霧計算應運而生，用以消除遠距離帶寬傳輸延時，提升服務品質(zhì)。但又伴隨著邊緣節(jié)點和霧節(jié)點的安全和隱私問題。本文全面介紹和分析了云計算、邊緣計算和霧計算3種模式，并逐一歸納基于安全和隱私方面的相似性、差異性、攻擊方式和建議對策。

針對多種計算模式的混合應用、整體協(xié)同工作將是未來云計算領(lǐng)域值得研究的內(nèi)容，同時未來的研究還包括提出新的技術(shù)和機制，以適應霧計算的特性和可能的跨平臺對策工具。