基于边缘计算的物联网安全设计综述
摘要
普及型物联网应用程序使我们能够感知、分析、控制和优化传统物理系统。近年来,许多物联网应用程序中的安全漏洞表明,这些应用可能使物理系统面临风险。资源限制严重以及安全设计不足是物联网应用程序中诸多安全问题的两大主要原因。作为云的延伸,新兴的具有丰富资源的边缘计算为我们设计和部署针对物联网应用程序的新型安全解决方案提供了新的途径。尽管在这一研究方向上已有一些研究工作,但面向物联网应用的基于边缘的安全设计仍处于初级阶段。本文旨在全面综述边缘层现有的物联网安全解决方案,并进一步推动更多基于边缘的物联网安全设计。我们首先提出一种以边缘为中心的物联网架构。随后,系统地回顾了在安全架构设计、防火墙、入侵检测系统、认证与授权协议以及隐私保护机制等方面的基于边缘的物联网安全研究工作。最后,我们提出了对未来研究方向和开放研究问题的见解。
关键词 :边缘计算、物联网(IoT)、安全、架构、安全协议、防火墙、入侵检测、认证、授权、隐私
1. 引言
随着传感、通信和微控制器技术的最新发展,我们见证了物理世界与网络世界的融合[1, 2]。物联网(IoT)通过连接数十亿的智能物体和智能设备,旨在构建一个智能化的世界,使我们能够利用现代网络技术感知、分析、控制和优化传统的物理系统。近年来,许多物联网应用已被开发并部署,使我们的生活比以往更加便利。然而,这些应用也使传统物理系统面临网络威胁[3]。最近已报告多起安全漏洞事件。例如,大量智能摄像头被攻陷,并被用来组建僵尸网络,对Dye公司管理的DNS服务器发起大规模分布式拒绝服务(DDoS)攻击[4, 5]。安全问题已成为物联网系统和应用的重要关切,这些问题可能阻碍物联网的进一步扩展。
物联网应用部署中的安全漏洞[6]可能导致巨大的财产损失。
尽管物联网应用程序需要强安全性保护,但保障物联网系统的安全仍面临诸多挑战,其原因多种多样。其中,严重的资源限制和不足的安全设计是当前物联网应用程序中许多安全问题的主要成因[3]。许多现有的安全机制,包括基于属性的访问控制[7]、基于群签名的身份认证[8]、同态加密[9]以及基于公钥的解决方案,都要求设备具备较高的计算能力和内存空间才能运行。这些机制大多不适用于许多物联网终端设备,例如智能电表、智能储物柜、智能摄像头等。云通常拥有几乎无限的资源,但它距离物联网终端设备较远,难以有效地为物联网设备提供高质量服务。作为云的延伸,近年来兴起的边缘计算将大量计算和存储资源迁移到网络边缘[10],从而形成边缘层。
靠近物联网终端设备。因此,许多计算密集型和资源需求高的任务可以从资源受限的终端设备卸载到资源丰富的边缘层。这种新的计算范式不仅缓解了物联网终端设备的资源限制 [11, 12, 13, 14],还优化了系统性能[15]。同时,它也为设计和部署物联网终端设备的安全解决方案提供了新的途径。
一些研究工作已致力于设计新型的基于边缘的物联网安全解决方案。这些工作包括基于边缘的安全架构设计[11, 12, 13, 14]、防火墙[16]、入侵检测系统[17, 18]、认证与授权协议[19]以及隐私保护机制[20, 21, 22]。然而,基于边缘的物联网安全研究仍处于早期阶段。针对物联网的更复杂、先进的基于边缘的安全设计仍需持续探索。此外,目前尚缺乏一项全面综述,能够清晰地呈现该研究方向的最新进展。本文旨在通过提供对现有提出的基于边缘的物联网安全解决方案的系统性综述来填补这一空白。在此基础上,我们还希望阐明该领域的未来研究方向,以促进未来新型基于边缘的安全设计的发展。
本文的贡献主要体现在三个方面。首先,我们提出了一种通用的以边缘为中心的物联网架构,解释了边缘层如何与物联网应用用户、云以及物联网终端设备进行交互。其次,我们对基于边缘的物联网安全设计进行了全面的系统性综述,并将这些设计分为五大主要类别,包括安全架构、防火墙、入侵检测、认证与授权以及隐私。我们展示了每个类别中代表性研究工作的详细内容。据我们所知,这是首次针对基于边缘的物联网安全设计开展此类系统性综述。最后,我们指出了若干挑战和未来研究方向。我们希望本研究能够为基于边缘的物联网安全研究铺平道路,并激励和启发更多新颖的设计。
本综述论文的其余部分组织如下:在第2节中,我们定义了一个以边缘为中心的物联网架构;接着,在第3节中,我们对基于边缘的物联网安全设计进行了系统性综述;第4节概述了未来研究方向;最后,我们在第5节中对全文进行总结。
2. 以边缘为中心的物联网架构
随着物联网应用程序的迅速普及,预计到2025[23]将拥有774.4亿台物联网设备。针对数量庞大的物联网设备,不同组织从不同角度提出了各种物联网架构[1, 24, 25]。
边缘计算已被认为是物联网系统的重要支撑[24]。然而,目前尚不存在以边缘为中心的物联网架构。在本节中,我们提出了一种用于物联网应用程序的以边缘为中心的计算架构,如图1所示。
以边缘为中心的物联网架构包含四个主要部分:云、物联网终端设备、边缘和用户。该架构的设计综合考虑了各部分的可用资源及其特定功能。用户通过智能物联网应用使生活更加便捷,而他们通常通过云或边缘提供的交互界面与物联网终端设备通信,而非直接与终端设备交互。物联网终端设备深度嵌入物理世界,能够感知物理环境并对物理世界进行控制,但在处理计算密集型任务方面能力有限。云拥有几乎无限的资源,但通常在物理位置上距离终端设备较远,因此以云为中心的物联网系统通常无法高效运行[26],尤其是在系统具有实时需求时。边缘作为整个架构的核心组件,既能协调其他三个部分协同工作,又能弥补云和物联网终端设备的不足,从而实现优化的性能。
在以边缘为中心的物联网架构中,物联网用户通过云或边缘提供的基于网页或移动应用的界面提交查询以访问物联网数据,或发送命令以控制物联网设备。这些查询和命令最终将到达边缘层,由边缘层进行处理。边缘层可将这些请求转发给物联网终端设备,或代表物联网终端设备在边缘层进行处理。与物联网终端设备交互时,边缘层不仅将它们与用户和云连接起来,同时还可以存储从物联网终端设备收集并上传的数据,并将大数据分析和综合安全算法等繁重的计算任务从物联网终端设备中卸载。此外,许多面向物联网终端设备的现有服务可以从云迁移到边缘,并可根据物联网终端设备的需求进行定制。在边缘与云的关系方面,边缘可以独立于云运行,也可以与云协作式工作。在第一种模式中,边缘具备足够的能力来满足物联网应用需求,例如,它可以提供存储和计算服务以响应所有来自物联网设备的请求。在第二种模式中,边缘从云获得支持,以管理边缘层或协助处理物联网应用需求。例如,云可以基于大量收集的数据执行深度学习,而所训练出的模型可由边缘用于为终端设备提供更优质的服务。
以边缘为中心的物联网系统架构是一种优化设计。除了满足诸多实时需求并为终端设备卸载繁重的计算任务外,边缘层还是部署物联网安全解决方案的理想场所,原因如下:首先,边缘层比物联网终端设备拥有更多的资源,因此许多计算密集型的安全操作(如同态加密和基于属性的访问控制)可以部署在边缘层。其次,边缘层在物理位置上靠近物联网终端设备,能够满足安全设计所需的实时需求[27]。第三,边缘层收集并存储来自大量物联网终端设备的数据,因此与终端设备相比,边缘层更适合进行安全决策,因为最优的安全决策既依赖于算法的效率,也依赖于信息的充分性。例如,凭借更多的数据,边缘层可以更高效地检测入侵[4, 5, 3]。随着软件定义网络和网络虚拟化的普及,许多安全操作将被转化为路由策略,但这些策略之间可能产生冲突。由于边缘层能够掌握整个网络的全局视图,因此可以在边缘层解决这些冲突。第四,考虑到终端设备的资源限制、维护成本以及数量极为庞大,在每个物联网终端设备上部署和管理防火墙通常是不可行的。相反,在边缘层部署防火墙可以更有效地过滤和阻断入站攻击。第五,考虑到终端设备的移动性,边缘层能够持续跟踪这些设备的移动,并为其提供连续的安全连接。此外,终端设备与边缘层之间相对稳定的关系有助于建立双方之间的高度信任,从而缓解设备间信任建立的难题。最后但同样重要的是,边缘通常具有较高的与云的高速连接。每当需要时,边缘可以联系云层以获得安全支持。例如,云可以为边缘提供位置和任务验证,如[28]所示,并且云可以设计强大的安全机制来保护边缘。接下来,我们研究基于边缘的物联网安全解决方案。
3. 面向物联网的基于边缘的安全设计
随着边缘计算的兴起,近年来许多研究人员探索基于边缘计算的设计以应对物联网安全挑战。这些设计涵盖了从全面的安全架构设计到实现特定安全目标的具体设计,例如分布式防火墙、入侵检测系统、认证与授权算法以及隐私保护机制。在本节中,我们总结了已提出的各种设计方案,并讨论了各自的优缺点。由于基于边缘的物联网安全解决方案数量较少,我们尽力在本综述中包含所有相关且高质量的研究工作。
3.1. 边缘层综合安全架构
边缘为设计和部署面向物联网应用程序的新型且全面的安全解决方案提供了新的场所。这些设计旨在通过将终端设备的安全保护最大程度地卸载到边缘层,以满足终端设备的大部分安全需求。在受信任的边缘层部署安全机制,可以缓解物联网设备层因资源限制引起的安全挑战。图2展示了基于边缘的三种主要综合性安全架构类别,包括以用户为中心[13, 29]、以设备为中心[12, 14]和端到端安全[30]。
以用户为中心的基于边缘的物联网安全架构
用户满意度是物联网应用程序成功的关键因素之一。随着数十亿台物联网设备接入互联网规模网络,物联网应用程序使用户能够通过PC、智能手机、智能电视、智能手表等各类终端访问系统中的海量资源。便捷性和普遍的资源可访问性是物联网应用程序最具吸引力的特征。然而,在考虑安全问题时,存在两个显著的担忧。一方面,用户可能并非总是从可信且安全的设备登录;另一方面,大多数普通用户可能并不具备足够的有效管理安全的知识。因此,依赖用户来保障安全是存在风险的。由边缘层为每个特定用户管理安全成为一个颇具吸引力的思路,由此产生了诸如将个人安全卸载到网络边缘[13]以及在网络边缘实现虚拟化安全[29]等安全架构设计。
图3展示了以用户为中心的安全架构设计的主要思想。在图中,两种设计[29, 13]都旨在边缘层建立一个可信域。当用户需要通过各种设备访问物联网应用程序中的资源时,将首先连接到部署在边缘的可信虚拟域(TVD)。TVD负责管理对物联网资源的安全访问。边缘可以具有不同的形式。在[13]中,边缘层由一组安全网关组成,而在[29]中,边缘层由一个或多个网络边缘设备(NED)组成。这两种设计均采用网络功能虚拟化(NFV)技术来构建边缘层。
更具体地说,在[29]中,每个用户以一种简单直接的方式指定其安全策略。然后借助规范策略语言[31]和策略转换机制[32],这些策略被转化为一组个人安全应用(PSA),例如杀毒软件、防火墙和内容检查工具。TVD作为一个逻辑容器,封装了用户特定的PSA,并部署在NED上。用户利用名为SECURED的系统[31]将PSA配置到最近的兼容NED上。通过使用远程认证和验证技术[33],在用户与SECURED系统之间建立信任关系。最后,NFV编排系统协助管理和控制NED。通过这种方式,用户的大部
分安全需求由边缘进行管理。
同样,在[13]中提出了一种虚拟移动安全架构。它由四个主要组件构成。
组件,包括安全应用虚拟容器(SAVC)、网络执行器、资源迁移器和编排器。SAVC包含一组安全工具,如防火墙、反钓鱼软件、杀毒软件等,根据每个用户的特定安全需求进行配置。网络执行器为每个用户实例化一个虚拟专用网络。在编排器的协调下,资源迁移器将特定SAVC的状态迁移到靠近用户的位置。因此,可有效解决由用户移动性引起的网络安全问题。
总之,以用户为中心的基于边缘的物联网安全设计方案针对每个特定用户在边缘层定制安全保护机制。基于虚拟化技术,它们能够安全地连接来自不同位置且使用具有各种安全保护级别的设备的物联网用户。
面向物联网安全的以设备为中心的边缘设计
数十亿物联网设备已深度嵌入物理世界,它们不仅采集有价值的数据,为众多智能应用提供基础,还执行诸多关键决策以控制物理世界。与以用户为中心的物联网安全设计不同,以设备为中心的物联网安全设计根据每个终端设备的可用资源、感知数据的敏感性以及执行任务的影响,定制个性化的安全解决方案,同时也可以综合考虑一组终端设备的安全需求。EdgeSec[12]和ReSIoT[14]是两种典型的利用边缘层部署设备专用的物联网安全解决方案的设计。这些设计的主要思路是将安全功能从物联网设备卸载到边缘层,如图4所示。大多数设计旨在不改变现有网络架构和标准协议的前提下,通过补充终端设备的能力来满足物联网应用程序的安全要求。
EdgeSec[12]设计了一种新颖的安全服务,该服务部署在边缘层以增强物联网系统的安全。EdgeSec由六个主要模块组成,这些模块协同工作,系统地应对物联网系统中的特定安全挑战。这些模块包括安全配置文件管理器、安全分析分析、协议映射、安全仿真、通信接口管理以及请求处理。首先,每个物联网设备向安全配置文件管理模块注册,以便收集设备特定信息并识别设备特定的安全需求。然后,安全分析模块通过实现两个功能来监督独立物联网子系统的安全性:其一分析物联网子系统中已注册设备的安全依赖关系,其二决定安全功能的部署位置。协议映射模块根据各个物联网设备的可用资源和已建立的安全配置文件,从协议库中选择适当的安全协议。此外,安全仿真模块在关键指令实际执行前模拟其后果,以保护物理系统的安全。其他组件提供诸如屏蔽通信异构性以及协调不同模块协同工作的功能。
ReSIoT[14]为物联网应用程序提出了一种可重构安全框架。该框架设计了一个安全代理(SA),它可以是无线路由器、基站或网关设备,用于分担物联网设备上的加密计算开销。因此,资源受限的物联网设备也能够受到需要高计算能力的先进安全算法的保护。在ReSIoT架构中,整个物联网系统被划分为四个主要组成部分,包括一组物联网应用服务器、物联网安全域、全局密钥管理系统以及位于边缘层的全局认证、授权和计费(AAA)系统。安全代理(SA)协同工作,实现一组可重构安全功能(RSFs)协议,以完成上述四个ReSIoT组件中定义的功能。通过这种方式,可以利用诸如群签名和基于属性的加密等大量计算密集型且先进的加密算法来构建物联网安全解决方案。
总之,以设备为中心的基于边缘的物联网安全设计会考虑每个终端设备的特性,并通过为每个设备定制适当的安全解决方案来满足其安全需求。
物联网端到端安全
许多物联网应用程序期望在物联网设备之间以及物联网设备与云之间实现端到端安全;然而,由于设备的异构性,实现物联网中的端到端安全具有挑战性。由于边缘层作为连接异构物联网设备和云的桥梁,研究人员已考虑设计部署在边缘层的安全中间件,以实现物联网设备之间的安全端到端通信。在[30]中间件管理针对移动设备的MAC算法、加密算法、认证器以及安全会话状态等安全功能。
3.2. 边缘层的防火墙
大多数物联网设备资源受限,因此无法支持防火墙等重型安全应用程序。此外,考虑到物联网设备的大规模性,如果每个物联网设备都配备防火墙,管理大量防火墙将极其昂贵。基于边缘的防火墙最具成本效益且高效。图5展示了一个基于边缘的防火墙设计示例。在图中,物联网应用程序定义防火墙策略,这些策略被转换为一组流策略。在检测并解决流策略中的冲突后,这些策略转化为一组分布式防火墙规则,并部署在边缘。随后,所有进出流量都将受到这些规则的检查。
将防火墙部署在边缘层是以下优势下的理想选择。首先,由于仅存在一个概念上的集中式防火墙,防火墙的更新将更加可行且易于管理。其次,在许多物联网应用程序中,边缘设备可能负责管理一个物联网子系统,因此防火墙可被配置以满足该子系统的整体安全需求。第三,它能够支持物联网系统中的用户移动性,因为边缘层可以跟踪用户及其终端设备的移动和凭证信息。接下来,我们回顾两种基于边缘计算的防火墙设计,包括Flowguard[16]和网络边缘的分布式防火墙架构[34]。前者利用了软件定义网络(SDN)技术,而后者则采用了虚拟网络功能(VNF)技术。
FLOWGUARD[16]包含三个主要功能单元:网络状态和配置更新、违规检测以及违规解决。在FLOWGUARD中,违规检测不仅检查每个流的违规情况(如传统技术那样),还跟踪流路径以识别网络中每个流的原始源和最终目的地。其思想是使用头空间分析(HSA)[35]作为流跟踪机制。他们还引入了防火墙授权空间的概念,用于表示防火墙规则所允许或拒绝的数据包,从而将防火墙规则转换为互不相交的授权子空间,即拒绝授权空间和允许授权空间。基于流路径和防火墙授权空间,可进行违规检测。
检测到违规后,在违规解决过程中,设计了一种新颖的综合性违规解决机制用于安装新的流策略。该机制不会直接拒绝可能部分违反流策略的新流,而是提出通过流重路由和流标记来打破流依赖性[36]。
马卡姆和佩恩提出了一种位于网络边缘的分布式防火墙架构[34]。该架构采用主从架构,以在边缘层对多个设备的分布式策略执行点进行集中管理。策略服务器提供用户界面、策略管理、网络连接组管理以及审计等功能,同时还创建策略并将其推送到网络接口卡(NIC),由其过滤违反策略的数据包。所设计的分布式防火墙架构预期具有可扩展性、与拓扑无关、不可绕过和防篡改的特性。
3.3. 边缘层的入侵检测系统(IDS)
2016年,攻击者入侵了大量物联网设备,并利用这些设备对Dye公司拥有的多个DNS服务器发起分布式拒绝服务(DDoS)攻击。此次攻击导致大范围的互联网连接中断,造成了重大损失。如果当时存在一个分布式入侵检测系统,或许能够在攻击初期就检测到DDoS攻击并限制其造成的损失。由于边缘层可获取的信息更为丰富,在边缘层设计入侵检测机制具有诸多优势。例如,可以利用先进的机器学习算法整合多源数据,从而获得更好的入侵检测结果;同时还能自适应攻击模式的变化。下文将介绍几种旨在在边缘层检测物联网系统入侵的替代设计方案。
一种基于边缘的入侵检测系统概念设计如图6所示。在此设计中,分布式流量监控服务收集实时网络流量,并在各个边缘设备上运行入侵检测算法。此外,通过分析来自多个边缘设备的流量数据执行协同入侵检测。最后,
检测结果由部署在边缘设备上的网络控制器强制执行。
Roman et al.提出了一种虚拟免疫系统(VIS),用于分析底层物联网基础设施[17]的安全性和一致性。如图7所示,该虚拟免疫系统包含两个功能部分:VIS内核和虚拟免疫细胞(VIC),其中VIC包含通信模块、报告模块和安全操作协议模块。在VIS内核中,设有VIS协调器,其根据来自多个来源的信息,在边缘基础设施中配置和部署虚拟接口控制器(VICs),这些信息包括内部系统管理员、外部威胁情报源以及边缘基础设施中VICs所收集的信息。虚拟免疫细胞(VIC)扫描通信端口、分析流量并执行平台特定的任务。它们还管理凭证、存储日志并持有安全操作级别协议(SOLA)。
SIOTOME[18]展示了一种边缘‐互联网服务提供商(ISP)协同架构,用于检测和隔离物联网安全攻击。该架构结合了来自ISP的宏观视角和每个物联网设备的细粒度视图,以构建高效且注重隐私的物联网安全服务。在SIOTOME中,边缘数据收集器基于网络流量的观测来监控物联网设备的行为。随后,边缘分析器分析所收集的数据,以识别威胁和攻击,并在发现威胁和攻击时通知边缘控制器。边缘控制器随后配置网络网关以修改网络流量。SIOTOME还利用诸如网络隔离[38]等防御机制,以限制攻击面以及允许的网络输入和输出,同时阻止漏洞扫描和DDoS攻击。
类似地,基于边缘计算的异常检测在[37]中被提出。研究人员设计了一种基于边缘计算的系统,用于检测移动物联网系统中一种特定但重要的攻击,即选择性转发攻击。在[37]中,物联网设备作为看门狗设备,测量其邻近设备的丢包率。每个边缘服务器收集、聚合并与其他边缘服务器共享来自看门狗设备的信息。通过采用投票方法,在终端设备上检测选择性转发行为的恶意行为。
3.4. 基于边缘的认证与授权机制
最近,趋势科技指出,未授权访问是针对控制系统的主要攻击类型[39]。认证与授权是阻止多种类型攻击(包括未授权访问和DDoS攻击)的关键安全机制[40]。在物联网系统架构中,基于认证与授权机制的端到端安全也被寄予期望,但由于诸多原因,实现起来极为困难。以双向认证为例,首先,在两个异构对等体之间建立端到端直接通信非常困难;其次,许多传统的认证机制(如基于数字签名的机制)在物联网终端设备中并不适用。
在边缘层的支持下,许多研究人员设计了基于边缘的认证协议,采用如图8所示的多阶段认证。如图所示,认证过程被划分为多个阶段,包括终端设备与边缘层之间的认证,以及边缘与其他方(可以是物联网用户、云或其他终端设备)之间的认证。根据通信对端的特性,可为不同阶段采用定制化的认证协议。通过这种方式,边缘充当了一个良性的中间人,帮助异构设备建立双向认证。此外,还有一种方式是边缘代表终端设备完成认证与授权过程,即终端设备将认证与授权功能外包给边缘。Furthermore,由于边缘具备支持多种认证接口的资源,多因素认证[41]在物联网系统中成为可能。
作为一个边缘作为代理并代表物联网终端设备进行认证与授权的示例设计,在[19]控制系统中,网关被开发用于实现多因素认证与授权,并部署确保身份有效性的实时身份监控服务。多因素认证通常涉及两种以上不同类型的认证机制,旨在验证您所知道的信息(例如用户名/密码和安全问题),和/或你拥有的东西(例如令牌、密钥、证书和/或智能钥匙扣),和/或你是谁(如生物特征)。在认证与授权过程中,物联网用户向网关发送包含生物特征和身份信息的请求。网关对用户进行认证并确定其授权级别。
沙等人[42, 28]的研究工作展示了利用边缘设备作为桥梁来实现物联网用户与物联网设备之间相互认证的示例。该方案是一种两阶段认证协议。在第一阶段,边缘设备使用基于数字签名的协议对用户进行认证,并从用户处获取凭证。根据接收到的凭证,边缘设备进一步通过基于对称密钥的认证协议与物联网终端设备实现相互认证。类似地,还提出了多种其他边缘支持的认证协议用于射频识别标签的认证,包括[43, 44]。
在资源丰富的边缘层,可以支持许多强大的认证和授权算法。例如,在边缘层基于属性的访问控制对物联网数据的访问实施细粒度访问策略。
3.5. 基于边缘的隐私保护设计
物联网应用程序从普遍存在的物联网设备收集大量有价值且敏感的数据。由于智能家居和智慧城市等许多物联网应用程序已深度嵌入每个人的日常生活中,物联网用户期望获得严格的隐私保护。当边缘层可用的数据多于终端设备时,便有可能实现多种隐私目标,例如差分隐私[45]、k‐匿名性[46, 47, 48]和隐私保护聚合[20]。换句话说,当物联网应用程序提交对物联网数据的查询时,边缘可首先处理数据,然后通过向物联网应用程序提供隐私保护的数据来响应这些查询,如图9所示。
在边缘层提出了一种轻量级隐私保护数据聚合方案(LPDA)[20]。在该方案中,物联网设备将其本地处理的感知数据连同消息认证码(MAC)一起上报至边缘节点。边缘节点收到报告后,首先通过比较MAC值对物联网终端设备进行认证,然后生成物联网应用程序的聚合值。通过使用同态Paillier加密[49]、中国剩余定理[50]和单向哈希链技术,所提出的方案能够解决混合物联网数据的聚合问题,减少通信量,并过滤来自物联网终端设备报告中的虚假数据。此外,LPDA利用差分隐私技术[51]实现隐私保护的目标。
类似地,Du etal. 还提出了一种通过向输出值[21]添加拉普拉斯随机噪声的输出扰动(OPP)方法。该机制在不显著影响数据可用性的情况下实现了差分隐私。他们还引入了一种目标扰动(OJP)方法。与OPP不同,OJP将噪声添加到边缘处的阻塞数据中,而不是输出值上。然后在边缘层基于修改后的数据计算输出值。与OPP相比,OJP实现了更好的隐私保护效果。
提出了一种基于边缘计算[22]的隐私感知调度算法。该工作的主要思想是在不同的服务器上执行具有不同隐私需求的不同应用程序的任务。例如,私有应用任务仅在本地或私有云点/微型数据中心执行。半私有应用任务可以在与云数据中心通信的本地或私有云点/微型数据中心执行,而公共应用任务可以被调度到任何数据中心。所提出的调度算法还旨在满足应用程序的实时需求。
4. 开放研究问题
在前面的章节中,我们回顾了一系列现有研究工作,这些工作专注于设计基于边缘的物联网安全解决方案。我们发现,该方向的研究仍处于早期阶段,仍有许多具有挑战性的问题亟待解决。在本节中,我们概述了一组开放的研究问题,包括保护边缘层、应对不可信边缘层、安全相关的数据质量、用于物联网安全的分布式和跨域机器学习算法、安全仿真与响应机制、终端设备-边缘通信的轻量级协议,以及安全操作系统和轻量级虚拟机。
尽管边缘层为我们提供了部署新型物联网安全解决方案的新场所,但它也扩大了攻击面,因为边缘层本身需要安全保护。保护边缘层并非易事,因为与云中的数据中心相比,大多数边缘节点可能没有由强大的安全专业人员团队进行管理,且可能不位于物理上安全的位置。这需要投入额外的研究力量来为边缘设备设计安全解决方案。此外,以边缘为中心的物联网架构引入了许多新的挑战。边缘与云之间以及边缘与物联网终端系统之间的通信。我们还需要确保这些通信的安全。
尽管目前存在多种面向物联网应用程序的基于边缘的隐私保护技术,但在许多当前的设计中,物联网终端设备选择信任边缘。然而,边缘节点可能会被攻破,或者它们可能出于自身利益而变得好奇(即试图追踪物联网设备的活动,就像云平台曾经所做的那样)。在这种情况下,物联网终端设备需要新的解决方案来保护其隐私。隔离技术虽已被探索,但如何为资源受限的物联网设备提供隔离支持,或如何在边缘层有效实现隔离,仍是值得研究的未来课题。另一方面,我们需要能够建立物联网终端设备与边缘之间强信任关系的算法。此外,也可考虑采用高效的第三方审计来保护隐私。
索默和帕克森提出在2010[?]中使用机器学习进行网络入侵检测。此后,许多研究工作致力于推进该领域的发展。布扎克和古文综述了用于入侵检测的数据挖掘和机器学习方法[55]。近年来,随着深度学习的普及,其也被应用于入侵检测。例如,循环神经网络(RNN)被用于在[56]中检测入侵,而肖恩等提出基于非对称深度自编码器构建深度学习分类模型来检测入侵[57]。然而,大多数现有的深度学习和机器学习方法属于集中式算法,需要大量数据,适合部署在云上。尽管已看到将入侵检测和防火墙部署在边缘的优势,但我们发现这些发展大多仍处于早期阶段。如何在边缘高效地定制这些算法,并基于小规模数据集和有限信息有效检测入侵,仍然是一个研究挑战。跨域推理对未来智能入侵检测算法至关重要,这也需要多个边缘节点之间进行有效的协作,而这些边缘节点可能由不同的管理域部署和管理。如何激励边缘节点参与协作,并以可承受的低成本实现相同的安全目标,值得进一步研究。应针对以边缘为中心的物联网架构定制机器学习技术,以便基于小规模数据集和有限信息实现更高的准确性和性能。此外,还需要冲突解决机制来整合来自不同管理域的多策略。
我们通常基于从物联网系统中的设备及系统环境收集的数据来做出安全决策。例如,机器学习算法从数据中学习攻击模型以进行攻击检测。这些数据的质量和可信度对决策的正确性至关重要。因此,设计可靠的协议来收集一组高质量数据[58]并非易事。在这方面,交叉验证算法以及欺骗性数据检测和过滤技术[59]引起了关注。
尽管物理系统安全极为重要,但该领域的研究尚不充分。安全与风险模拟可能具有重要意义,如[12]所示;然而,如何建模并开展能够对安全风险进行可靠评估的安全模拟,仍是一个重大挑战。此外,许多与安全相关的决策具有实时需求,这进一步增加了仿真建模与设计的复杂性。因此,针对潜在安全风险的隔离技术和应急响应机制[60]需要更深入的研究,以限制物理系统损失。基于边缘和基于终端设备的解决方案都亟待发展。
尽管我们可以将许多安全操作从物联网终端设备卸载到边缘层,但在许多物联网应用程序中,连接终端设备和边缘的通信信道仍需要具备较高水平的安全保护;然而,由于终端设备资源严重受限,实现这一点非常困难。另一个值得探索的研究领域是终端设备与边缘层之间的轻量级安全通信协议。基于物理特征的方法(例如[20, 61])备受关注。
最后,虚拟机被广泛用于构建边缘层,有时一个边缘节点上可能存在多个虚拟机,因为该边缘节点为多个用户或终端设备提供服务。这些虚拟机及其虚拟机监控器[62]的安全性对于整个边缘层的安全至关重要。考虑到物联网应用程序的规模,还要求这些虚拟机具有轻量级特性。鉴于这些需求,我们需要更多研究人员投入到安全且轻量级的虚拟机、安全操作系统(如SeL4[63])、以及它们在边缘计算中的应用研究中。
5. 结论
近年来,保障物联网系统安全的挑战引发了广泛的研究兴趣。然而,这一问题仍然是一个重大挑战。新兴的边缘计算催生了许多基于边缘的物联网安全设计。本文在形式化定义的以边缘为中心的物联网架构背景下,对现有的基于边缘的物联网安全解决方案进行了系统且深入的综述。这些解决方案涵盖了物联网安全中最重要的主题,包括全面的安全架构、防火墙、入侵检测系统、认证与授权机制,以及隐私保护设计。此外,我们还识别出一系列挑战并概述了研究方向清单。
扫一扫
6999
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
