¦æŒ‘战。通过在互æ“作性和æœåŠ¡åŸŸçš„层次结构上强制执行安全策略,å¯ä»¥å…‹æœè¿™ä¸€æŒ‘战。

3.远程管ç†

对大多数物è”网设备和雾节点,管ç†å‘˜å°†å¯¹å…¶è¿›è¡Œè¿œç¨‹ç®¡ç†ã€‚远程管ç†èƒ½å¤Ÿå¸®åŠ©ç®¡ç†å‘˜ä»¥æœ€ç»æµŽçš„æ–¹å¼æŽ§åˆ¶è®¾å¤‡ï¼›å½“然,这ç§æ–¹æ³•ä¹Ÿå¤§å¤§å¢žåŠ äº†æ¼æ´žå­˜åœ¨çš„å¯èƒ½ï¼Œä¸ºå¯¹æ‰‹æ供了å‘èµ·å„ç§ç½‘络攻击的机会,åŒæ—¶ï¼Œä¹Ÿå¢žå¤§äº†ä¾¦å¯Ÿå’Œå“应攻击的难度。开放雾计算安全管ç†å·¥ä½œç»„(OpenFog Security and Manageability Workgroups)正在与产业界åˆä½œå¼€å‘一个基于域的éžé›†ä¸­å¼æœåŠ¡ç®¡ç†ä¸Šå±‚结构,以æ供安全的远程管ç†æœåŠ¡ã€‚

(二)物è”网—雾(IoT-Fog)互æ“作中存在的障ç¢

1.é—留的过时设备

在系统å‡çº§æœŸé—´ï¼ŒåŽŸæœ‰çš„è€æ—§åº”用程åºé€šå¸¸éƒ½ä¼šå¯¹çŽ°æœ‰çš„计算和存储设备进行é‡ç”¨ï¼Œä»¥ä¾¿ä¿æŠ¤çŽ°æœ‰çš„工作系统并节çœæˆæœ¬ã€‚但这ç§åšæ³•é€šå¸¸ä¼šå¸¦æ¥å®‰å…¨é—®é¢˜ï¼Œå› ä¸ºè¿™äº›é—留设备在设计之åˆå¹¶æ²¡æœ‰è€ƒè™‘到开放雾计算的安全需求。因此,在将é—留设备集æˆåˆ°å¼€æ”¾é›¾è®¡ç®—系统之å‰ï¼Œå¿…须对它们进行适当的性能完善。最优åšæ³•æ˜¯å°†åŠ å›ºåŽçš„雾节点部署为é—留设备和开放雾计算系统之间的中间介质。

2.异构å议和æ“作æµç¨‹

异构性是开放雾计算架构的本质,因此,确ä¿å¼€æ”¾é›¾è®¡ç®—实体之间的端到端通信安全是至关é‡è¦çš„,这些实体具有ä¸åŒçš„性能和功能。开放雾计算将根æ®é€šç”¨çš„区域性实践,采用加密功能和安全通信å议的标准化集åˆã€‚为了使雾节点能够与å„ç§é—留设备实现互æ“作,将开å‘å议抽象层和IP适é…层。

3.设备间的资æºçº¦æŸ

现有的设备å¯èƒ½è¿˜æ²¡æœ‰å‡†å¤‡å¥½è¿ŽæŽ¥é›¾è®¡ç®—的到æ¥ï¼Œæ— æ³•å……分ä¿æŠ¤è‡ªèº«ç³»ç»Ÿã€‚例如,许多物è”网设备无法实现强大的加密功能,容易å—到欺骗和é‡æ”¾æ”»å‡»ã€‚雾节点如何在ä¸æŸå®³ç«¯åˆ°ç«¯å®‰å…¨æ€§ï¼Œç”šè‡³æ›´å¥½åœ°ä¸ºè¿™äº›è®¾å¤‡æ供安全æœåŠ¡çš„情况下,与这些设备进行交互,ä»ç„¶æ˜¯ä¸€ä¸ªå·¨å¤§çš„挑战。

(三)ä¿æŠ¤æ–°çš„计算范å¼

1.多租户技术

未æ¥ï¼Œå¤§å¤šæ•°é›¾èŠ‚点都将支æŒå¤šç§Ÿæˆ·æŠ€æœ¯ï¼Œå…¶ä¸­ä¸€ä¸ªè½¯ä»¶å®žä¾‹å¯ä»¥æœåŠ¡äºŽå¤šä¸ªç§Ÿæˆ·å’Œç”¨æˆ·ç»„。多租户技术è¦æ±‚在å„个实例在è¿è¡Œè¿‡ç¨‹ä¸­è¿›è¡ŒçŽ¯å¢ƒä¹‹é—´çš„逻辑隔离,这样æ¯ä¸ªå®žä¾‹å°±å¯ä»¥ç‹¬ç«‹æ‰§è¡ŒåŠŸèƒ½ï¼Œè€Œæ— éœ€è€ƒè™‘其他实例,除éžéœ€è¦æ•°æ®ã€èµ„æºçš„共享。为了实现这一点,雾节点必须é…备å¯ä¿¡çš„计算基础和安全策略实施引擎,以便它们能够实现属于ä¸åŒç»„织或应用程åºåŸŸçš„租户的æµç¨‹éš”离ã€è®¿é—®æŽ§åˆ¶ã€èµ„æºç®¡ç†å’ŒæœåŠ¡è´¨é‡ï¼ˆQoS)è¦æ±‚。

2.多层物è”网—雾—云(IoT-Fog-Cloud)混åˆæŠ€æœ¯

虽然多租户技术在一个雾节点中引入了å¤æ‚性,但是在设备—雾—云统一体中部署的分布å¼å¤šå±‚雾节点为开放雾计算系统创建了å¦ä¸€ä¸ªå¤æ‚性维度。雾节点中所呈现出æ¥çš„用户进程能够在å¯ä¿¡æ‰§è¡ŒçŽ¯å¢ƒä¸­è¿è¡Œï¼Œå¹¶é€šè¿‡åŠ¨æ€çš„网格关系实现彼此的交互。在这一过程中,ä¸ä»…æ•°æ®åœ¨é€šè¿‡å¤šå±‚雾节点从设备传播到云的过程中å¯èƒ½ä¼šç»åŽ†æ›´åŠ å¤æ‚的处ç†ï¼›è¿˜å¯ä»¥åœ¨åŒä¸€å±‚的雾节点之间实现共享和èšåˆã€‚为了确ä¿æ­£ç¡®çš„æ•°æ®å’Œæµç¨‹ç®¡ç†ï¼Œå¿…须将逻辑域结构与正确的策略管ç†ç»“åˆèµ·æ¥ã€‚

四 开放雾计算体系架构的安全特性

许多开放雾计算应用å¯èƒ½éœ€è¦å°†é›¾èŠ‚点部署在公开的物ç†çŽ¯å¢ƒä¸­ï¼Œä¸Žä¸å¤ªå¯ä¿¡çš„边缘节点和设备进行互æ“作,并在严格的æ“作约æŸæ¡ä»¶ä¸‹æ供关键任务æœåŠ¡ã€‚这些è¦æ±‚æ„味ç€å¼€æ”¾é›¾è®¡ç®—系统必须æ供比传统信æ¯å®‰å…¨æ›´å¤šçš„ä¿¡æ¯ï¼Œå¹¶æ供具有å“应性ã€å¯ç”¨æ€§ã€å®‰å…¨æ€§å’Œå¯é æ€§ä¿è¯çš„ä¿¡æ¯æœåŠ¡ã€‚

(一)外在安全与内在安全

安全ä¿éšœå¿…须根æ®é›¾èŠ‚点的外部属性(如采用标准化的加密函数和安全å议)和内部属性(如实现这些函数和å议的ä¿éšœçº§åˆ«ï¼‰æ¥æŒ‡å®šã€‚这些内部属性将确ä¿ä¿¡ä»»é“¾å»ºç«‹åœ¨ä¿¡ä»»æ ¹ï¼ˆRoTs)之上,并传播到雾节点的å¯ä¿¡è®¡ç®—基(TCB)中。外在和内在的属性都应当能够识别潜在å¨èƒï¼Œå¹¶å¯¹ç³»ç»Ÿå®žæ–½å¿…è¦çš„ä¿æŠ¤æŽªæ–½ã€‚

(二)ä¿æŠ¤èŒƒå›´

开放雾计算系统的ä¿æŠ¤èŒƒå›´å¿…须包括一个或多个相互连接的雾节点,以åŠè®¾å¤‡â€”雾—云统一体中的所有实体,这些实体雾节点中直接或间接的进行交互。使用场景å¯èƒ½åŒ…括雾节点之间和雾节点内部的交互,以åŠèŠ‚点到设备和节点到云的交互。在过渡设备部署时,å¯èƒ½è¿˜éœ€è¦è€ƒè™‘雾节点和é—留设备之间的交互。连接/互æ“作域(CIDs)和æœåŠ¡/应用域(SADs)的相关规范å¯ä»¥åœ¨ä¿¡æ¯ä¼ é€’å’ŒæœåŠ¡æ”¯æŒå±‚é¢è¿›ä¸€æ­¥ç»†åŒ–ä¿æŠ¤èŒƒå›´ã€‚

(三)å¨èƒæ¨¡åž‹

由雾节点ä¿æŠ¤çš„资产ä¸ä»…包括软件ã€æ•°æ®å’Œå…ƒæ•°æ®ï¼ŒåŒæ—¶ä¹ŸåŒ…括计算ã€ç½‘络和存储资æºä¸ŽæœåŠ¡ã€‚由于雾节点存在物ç†æš´éœ²å’Œå®‰å…¨è¾¹ç•Œçš„开放性,因此å¯èƒ½ä¼šé¢ä¸´ç‰©ç†å®‰å…¨ã€é€šä¿¡å®‰å…¨ã€è®¡ç®—安全等多方é¢çš„å¨èƒã€‚这些å¨èƒå¿…须根æ®ä¸åŒä½¿ç”¨åœºæ™¯ä¸‹æ½œåœ¨å½±å“的严é‡ç¨‹åº¦è¿›è¡ŒæŽ’åºï¼Œè¿˜åº”考虑故æ„或æ„外æŸå/故障。

(四)目标和å¯äº¤ä»˜æˆæžœ

开放雾计算安全工作组的任务是指导开放雾计算系统开å‘人员采用åˆé€‚的系统ä¿æŠ¤ç­–略,以抵御与应用相关的å¨èƒã€‚帮助开å‘开放雾计算安全评估框架也是开放雾计算安全工作组的目标。为此,工作组开始采用通用的标准方法处ç†é›¾èŠ‚点的安全需求。目å‰æ­£åœ¨å¼€å‘雾节点的ä¿æŠ¤æ¡†æž¶ï¼ˆPP),并将在年底å‰å®Œæˆã€‚

雾节点的安全ä¿éšœéœ€æ±‚将在ä¿æŠ¤æ¡†æž¶åˆ¶å®šå®ŒæˆåŽè¿›è¡Œè¯¦ç»†è¯´æ˜Žã€‚这些需求将转化为目标产å“的安全评估标准。然åŽï¼ŒåŒºåŸŸè¯•éªŒå°å’Œè¯„估中心便å¯ä»¥æ‰§è¡Œå®‰å…¨ä¿éšœè¯„ä¼°æµç¨‹ã€‚

五 开放雾计算的安全方法

以节点为中心的的开放雾计算安全方法由四个ä¸åŒçš„æ–¹é¢ç»„æˆï¼šé›¾èŠ‚点的物ç†å®‰å…¨ï¼Œè®¾å¤‡â€”雾—云统一体中的端到端安全,对出现在统一体中的硬件/软件实体实行安全监控和管ç†å’Œé›¾èŠ‚点中用户执行进程的å¯ä¿¡åº¦ã€‚本文将对上述四ç§æ–¹æ³•ä¸­çš„å‰ä¸‰ç§è¿›è¡Œç®€å•é˜è¿°ï¼Œè¯»è€…å¯ä»¥å‚考开放雾计算智能对象任务å°ç»„正在开展的工作,了解确ä¿å¯é æ€§çš„需求和方法。

(一)物ç†å®‰å…¨

雾节点所需的物ç†å®‰å…¨çº§åˆ«å–决于外部人员访问其物ç†ç»„件(物ç†æš´éœ²ï¼‰çš„容易程度,以åŠå¦‚果这些组件å—到å¨èƒå°†ä¼šå¸¦æ¥ä»€ä¹ˆåŽæžœï¼ˆä½¿ç”¨ä¸´ç•Œæ€§ï¼‰ã€‚这些物ç†é£Žé™©è¯„ä¼°å¯èƒ½éœ€è¦éƒ¨ç½²å››ç§ç±»åž‹çš„防篡改机制,包括抵御ã€è¯æ®ã€ä¾¦æŸ¥å’Œå“应,以阻止或å‡è½»é’ˆå¯¹è®¾å¤‡çš„潜在物ç†æ”»å‡»å’Œç½‘络攻击。

当防篡改机制建立åŽï¼Œåº”当å…许进行åˆæ³•çš„维护。为此,雾节点应该具有一ç§ç‰¹å®šçš„ã€å®‰å…¨çš„维护模å¼ã€‚授æƒäººå‘˜åœ¨ç»´æŠ¤è¿‡ç¨‹ä¸­å¯ä»¥æš‚æ—¶ç¦ç”¨é˜²ç¯¡æ”¹æœºåˆ¶ï¼Œå¹¶åœ¨ç»´æŠ¤å·¥ä½œå®ŒæˆåŽé‡æ–°å¯ç”¨è¯¥æœºåˆ¶ã€‚

(二)端到端安全

通过对节点ã€ç½‘络和数æ®å®‰å…¨è¿›è¡Œä¿æŠ¤ï¼Œä¸ºä½äºŽè®¾å¤‡â€”雾—云统一体中的所有信æ¯ã€æœåŠ¡å’Œåº”用æ供端到端安全。

1.节点安全

安全的开放雾计算系统的开å‘应该从其雾节点的安全实现开始,这些节点应该瞄准在安全硬件中实现的强信任根(RoTs),或者由硬件支æŒçš„安全机制所ä¿æŠ¤çš„强信任根。åŒæ—¶ï¼Œè¿˜åº”当借助策略执行引擎(PEnPs)管ç†ç”¨æˆ·è¿›ç¨‹ä¹‹é—´çš„ä¿¡æ¯æµï¼Œè¿™äº›ç”¨æˆ·è¿›ç¨‹æ˜¯æ ¹æ®å¤šä¸ªç§Ÿæˆ·çš„è¦æ±‚æ¥æ‰§è¡Œçš„。é…备å¯ä¿¡è®¡ç®—基(TCBs)的雾节点能够将信任链从RoTs扩展到用户进程,并通过硬件虚拟化和å¯ä¿¡å¼•å¯¼å®žä¾‹åŒ–å¯ä¿¡æ‰§è¡ŒçŽ¯å¢ƒï¼ˆTEEs)。

研究人员å¯ä»¥ä½¿ç”¨å¤šç§æŠ€æœ¯å®žçŽ°ä¸Žå¼€æ”¾é›¾è®¡ç®—兼容的å¯ä¿¡è®¡ç®—基,从专用或集æˆç¡¬ä»¶ä¿¡ä»»æ ¹çš„使用到支æŒå†…å­˜ä¿æŠ¤å’Œå®‰å…¨æ“作模å¼çš„å¯ä¿¡è®¡ç®—基固件实现。éµå¾ªTCG TPM 2.0规范的硬件å¯ä¿¡å¹³å°æ¨¡å—(TPMs)是硬件解决方案的示例,ARM TrustZone™是专门针对供应商的固件解决方案。由于集æˆçš„硬件信任根通常具有有é™çš„å—ä¿æŠ¤å­˜å‚¨æˆ–密ç å¤„ç†èƒ½åŠ›ï¼Œå› æ­¤å¯èƒ½å¿…须使用虚拟硬件å¯ä¿¡å¹³å°æ¨¡å—æ‰èƒ½æ”¯æŒæ½œåœ¨çš„å¯ä¿¡æ‰§è¡ŒçŽ¯å¢ƒå®žä¾‹åŒ–。

2.网络安全

开放雾计算网络安全包括通信安全和信æ¯å®‰å…¨æœåŠ¡ã€‚

2.1 é€šä¿¡å®‰å…¨

X.800建议(recommendation X.800)是国际电è¯ç”µæŠ¥å’¨è¯¢å§”员会(CCITT)关于开放系统互连安全体系架构的建议,它为开放系统互连的安全通信æ供一ç§æ¦‚念性和功能性的框架,以åŠåœ¨OSI环境下解决网络安全问题的一致性途径。雾节点应éµå¾ªX.800建议中所æ供的通信安全æœåŠ¡ï¼ŒåŒ…括:

(1)机密性:对数æ®æä¾›ä¿æŠ¤ï¼Œä½¿ä¹‹ä¸å‘éžæŽˆæƒè€…泄露。

(2)完整性:抵御积æžå¨èƒï¼Œä¿è¯æ•°æ®æ²¡æœ‰é­å—未ç»æŽˆæƒæ–¹å¼ä½œçš„改动或破å。

(3)身份验è¯ï¼šåœ¨å¯¹ç­‰å®žä½“间进行通信时,必须执行身份验è¯æœåŠ¡ï¼Œç¡®ä¿è‡ªå·±ä¸ŽæœŸæœ›çš„对等实体建立è”系。

(4)æ¥æºå’Œäº¤æ˜“çš„ä¸å¯å¦è®¤æ€§ï¼ˆç”¨äºŽè¿œç¨‹è®¤è¯ï¼‰ï¼šä½¿å‘é€è€…/接收者既ä¸èƒ½å¦è®¤å‘é€/接收过报文,也ä¸èƒ½å¦è®¤å‘é€/接收过原始内容。

在所有雾到云(Fog-to-Cloud)和雾到雾(Fog-to-Fog)的通信之间都应当æ供这些æœåŠ¡ï¼Œå¹¶ä½¿ç”¨æ ‡å‡†åŒ–的安全传输å议。雾通信应å—传输层安全(TLS)和数æ®æŠ¥ä¼ è¾“层安全(DTLS)å议的ä¿æŠ¤ï¼Œç›®å‰è¿™äº›å议已ç»æˆä¸ºäº‹å®žä¸Šçš„标准。设备å议抽象层å¯ç”¨äºŽæ”¯æŒæ‰€æœ‰IP的适应边缘,管ç†å‘˜ä¼šåœ¨é›¾èŠ‚点上部署通信代ç†ç”¨äºŽå®žæ–½å议,目的是为了ä¿æŠ¤ä»ŽèŠ‚点到设备(Node-to-Device)的通信过程中有线/无线通信的机密性和完整性。

2.2 ä¿¡æ¯å®‰å…¨æœåŠ¡

é…备å¯ä¿¡è®¡ç®—基和强大安全机制的雾节点是通过网络功能虚拟化(NFV)和软件定义网络(SDN)æ¥æ供信æ¯å®‰å…¨æœåŠ¡çš„ç†æƒ³å¹³å°ã€‚系统管ç†å‘˜åº”该按照互æ“作性和æœåŠ¡é¢†åŸŸè§„范部署一些æœåŠ¡ï¼Œå¦‚深度包检查ã€åº”用层代ç†ã€IDS/IPS等,并根æ®åŸºäºŽåŸŸçš„安全æœåŠ¡ç­–略进行æ“作。

3.数æ®å®‰å…¨

æ•°æ®ã€å…ƒæ•°æ®å’Œç¨‹åºä»¥ä¸‰ç§çŠ¶æ€ä¹‹ä¸€å­˜åœ¨äºŽè®¾å¤‡â€”雾—云统一体中:(1)正在使用的数æ®ï¼Œå³å¤„ç†è¿‡ç¨‹ä¸­é©»ç•™åœ¨ç³»ç»Ÿå†…存中的数æ®ï¼›ï¼ˆ2)é™æ­¢æ•°æ®ï¼Œå³é©»ç•™åœ¨éžæ˜“失性存储器上的数æ®ï¼›ï¼ˆ3)动æ€æ•°æ®ï¼Œå³é€šè¿‡ç½‘络基础设施实现交æ¢çš„æ•°æ®ã€‚应该对这些状æ€ä¸­å­˜å‚¨çš„资料给予适当ä¿æŠ¤ã€‚

3.1 æ­£åœ¨ä½¿ç”¨çš„æ•°æ®

æ•°æ®å’Œç¨‹åºåœ¨å¤„ç†æœŸé—´é©»ç•™åœ¨å†…存层次结构中。包括关键ææ–™ã€ä¸ªäºº/å…¬å¸çš„专属数æ®ç”šè‡³ç¨‹åºä»£ç åœ¨å†…的多ç§ä¿¡æ¯éƒ½å¯èƒ½è¢«è§†ä¸ºæœºå¯†ææ–™å—到ä¿æŠ¤ï¼Œåœ¨æœªç»æŽˆæƒçš„情况下无法进行阅读或修改。内存管ç†å•å…ƒå¯ç”¨äºŽé˜»æ­¢æ¥è‡ªåœ°å€ç©ºé—´å’Œç‰©ç†/虚拟设备的未授æƒè®¿é—®ã€‚å¯ä¿¡ç®¡ç†ç¨‹åºå¯ä»¥é€šè¿‡æŠ½è±¡å’Œè™šæ‹ŸåŒ–的硬件平å°å½¢å¼æä¾›é¢å¤–çš„ä¿æŠ¤ï¼Œä»Žè€Œé™åˆ¶å•ä¸ªè™šæ‹Ÿæœºçš„执行环境。

3.2 é™æ­¢æ•°æ®

驻留在éžæ˜“失性存储中的信æ¯å¿…须接å—基本的机密性和完整性ä¿æŠ¤ã€‚通常有三ç§æœºåˆ¶å¯ç”¨äºŽä¿æŠ¤é™æ­¢æ•°æ®ï¼šä¸åŒºåˆ†çš„全存储加密;判别å¼çš„文件和数æ®åº“加密;强制的和任æ„的访问控制。必须对用户进程å‘起的所有数æ®è®¿é—®å¼ºåˆ¶æ‰§è¡ŒåŸºäºŽè§’色/属性/能力的访问控制。ä¸åŒºåˆ†æˆ–判别å¼çš„加密也应用于ä¿æŠ¤é©»ç•™åœ¨æ˜“å—物ç†å®‰å…¨æ”»å‡»çš„éžæ˜“失性存储上的信æ¯ã€‚必须使用安全凭è¯å’Œè®¿é—®æŽ§åˆ¶ç­–略管ç†æ¥å®žæ–½é€‚当的ä¿æŠ¤ã€‚

3.3 åŠ¨æ€æ•°æ®

在设备—雾—云统一体中交æ¢çš„ä¿¡æ¯å¿…须通过网络安全措施加以ä¿æŠ¤ã€‚此外,在å¯ä¿¡æ‰§è¡ŒçŽ¯å¢ƒä¸­æ‰§è¡Œçš„用户进程å¯ä»¥é€‰æ‹©ä½¿ç”¨æœåŠ¡/进程的专属密钥加密其数æ®ã€‚这些é¢å¤–çš„æ•°æ®å‚¨å­˜ä¿æŠ¤å¯ä»¥è¿›ä¸€æ­¥åŠ å¼ºèµ„料的ç§å¯†æ€§ã€‚

(三)安全监控与管ç†

æ–°çš„å¨èƒã€æ¼æ´žï¼Œç”šè‡³æ˜¯çŽ¯å¢ƒä¸­çš„简å•å˜åŒ–都å¯èƒ½å¯¼è‡´æ–°æ”»å‡»è½½ä½“的出现。因此,开放雾计算的安全监控与管ç†ï¼ˆSMM)必须赋予开放雾计算系统快速有效地å“应安全环境å˜åŒ–的能力。

安全管ç†åˆ©ç”¨ç­–ç•¥æ¥å®šä¹‰å¼€æ”¾é›¾è®¡ç®—系统的è¿è¡Œæ–¹å¼ï¼Œè€Œå®‰å…¨ç›‘控则报告系统的实际è¿è¡Œæ–¹å¼ã€‚安全管ç†ç­–略交付系统应该是自动化的,以便å‘大é‡çš„雾节点实时æ供和执行安全策略。

安全监控的实现是为了以å¯ä¿¡çš„æ–¹å¼æ”¶é›†ä¿¡æ¯å¹¶è¿›è¡Œå®‰å…¨åˆ†æžï¼Œå…¶åŸºæœ¬è¦æ±‚是在雾节点上å¯ç”¨æ—¥å¿—å’Œé¥æ„Ÿå‹˜æµ‹ï¼ˆtelemetry)功能,telemetry技术是一项远程的从物ç†è®¾å¤‡æˆ–虚拟设备上高速采集数æ®çš„技术,能够æ供更实时更高效的数æ®é‡‡é›†åŠŸèƒ½ã€‚系统管ç†å‘˜å¿…须仔细考虑日志和é¥æ„Ÿå‹˜æµ‹äº‹ä»¶çš„机密性与完整性。安全事件应该在安全信æ¯å’Œäº‹ä»¶ç®¡ç†ï¼ˆSIEM)系统或类似的中央或分布å¼å…³è”引擎中进行èšåˆä¸Žå…³è”分æžã€‚然åŽï¼Œé€šè¿‡æ€åŠ¿æ„ŸçŸ¥å’Œä¸Šä¸‹æ–‡æ„ŸçŸ¥æ¥è§¦å‘基于规则和行为分æžçš„通知,以确ä¿å¨èƒæ£€æµ‹çš„最大å¯èƒ½æ€§ã€‚

安全监控与管ç†æœåŠ¡ä¹‹é—´çš„安全通信应与特定安全域中的数æ®å¹³é¢åŠæŽ§åˆ¶å¹³é¢é€šä¿¡éš”离。安全监控与管ç†æœåŠ¡åº”该是这个安全域的一部分,雾计算系统中任何未ç»æŽˆæƒçš„实体都ä¸èƒ½åœ¨è¿™ä¸ªåŸŸä¸­é€šä¿¡ã€‚

最åŽï¼Œå°†å®‰å…¨ç›‘控与管ç†æœåŠ¡ä¸­çš„多ç§åŠŸèƒ½ç»“åˆä½¿ç”¨å¯ä»¥æ”¯æŒè‡ªä¸»çš„安全æ“作。监控系统中基于人工或机器安全分æžç”Ÿæˆçš„安全事件和警报应触å‘安全管ç†ç³»ç»Ÿå¯¹å—å½±å“的雾节点进行手动或自动的策略更新,以实现å“应å¼å®‰å…¨è‡ªåŠ¨åŒ–。通过更新尚未å—到网络攻击的雾节点中的策略,å¯ä»¥å€ŸåŠ©ä¸€ä¸ªä¸»åŠ¨çš„安全自动化系统æ¥é˜»æ­¢å¨èƒåœ¨ç³»ç»Ÿä¸­çš„传播。

1.身份和è¯ä¹¦ç®¡ç†

开放雾计算系统应当对用户ã€ç»ˆç«¯è®¾å¤‡ã€é›¾èŠ‚点ã€äº‘æœåŠ¡å™¨ä»¥åŠå¯ä¿¡æ‰§è¡ŒçŽ¯å¢ƒï¼ˆTEEs)中相关的身份和关系信æ¯ï¼Œä»¥åŠåœ¨è¿™äº›å®žä½“中实例化的æœåŠ¡å’Œåº”用程åºè¿›è¡Œç®¡ç†ã€‚开放雾计算中身份管ç†ç³»ç»Ÿçš„主è¦ç‰¹ç‚¹åŒ…括:

(1)实体注册:为了加强端到端的安全性,在将任何实体添加到开放雾计算系统之å‰ï¼Œç®¡ç†å‘˜å¿…须确ä¿å®ƒä»¬çš„真实性。一旦一个实体在开放雾计算系统中进行注册,那么它必须æ供一个加密的è¯ä¹¦ã€‚一ç§å¸¸ç”¨çš„技术是使用公钥密ç æ¥éªŒè¯å®žä½“的数字身份。

(2)代ç†æœåŠ¡ï¼šèµ„æºæœ‰é™çš„设备å¯èƒ½æ— æ³•æ‰§è¡Œå¼ºå¤§çš„身份验è¯å’Œè®¿é—®æŽ§åˆ¶ï¼Œåœ¨è¿™ä¸€æƒ…况下,这些功能应当委托给与它们相关的雾节点,把这些雾节点作为设备的代ç†ã€‚

(3)安全è¯ä¹¦å­˜å‚¨ï¼šé›¾èŠ‚点的数字身份和è¯ä¹¦ï¼Œå°¤å…¶æ˜¯ç§é’¥ï¼Œå¿…须进行安全存储。当雾节点部署在å¯èƒ½å—到网络攻击的å±é™©çŽ¯å¢ƒä¸­æ—¶ï¼Œè¿™ä¸€ç‚¹å°¤ä¸ºé‡è¦ã€‚

(4)间歇性连接:身份验è¯å’Œè®¿é—®æŽ§åˆ¶ç­‰èº«ä»½ç®¡ç†æœåŠ¡å¿…须时刻ä¿è¯åŠŸèƒ½æ­£å¸¸ï¼Œå³ä½¿åœ¨ä¸ŽåŽç«¯èº«ä»½æœåŠ¡æ²¡æœ‰ä¸»åŠ¨è¿žæŽ¥çš„情况下,也ä¸èƒ½å‡ºçŽ°åŠŸèƒ½æ•…障。应当通过雾节点之间的å作使这些æœåŠ¡æ— å¤„ä¸åœ¨ã€‚

(5)å¯ä¼¸ç¼©æ€§ï¼šèº«ä»½ç®¡ç†åŸºç¡€è®¾æ–½å¿…须是å¯ä¼¸ç¼©å’Œåˆ†æ•£çš„,因为开放雾计算系统å¯ä»¥é€šè¿‡å¢žåŠ é›¾èŠ‚点和终端设备的数é‡å®žçŽ°ä½“é‡çš„扩展。

2.域和策略管ç†

开放雾计算定义了两ç§ç±»åž‹çš„逻辑域,å³è¿žæŽ¥/互æ“作域(CID)和æœåŠ¡/应用域(SAD),以便在开放雾计算体系架构上强加一个å¯æ“作的超结构。æ¯ä¸€ç§ç±»åž‹çš„域都应该与体系架构中的数æ®/æœåŠ¡æŠ½è±¡å±‚相关è”。此外,æ¯ä¸ªåŸŸåº”该有自己的æ“作和安全策略。这些策略必须由这些域中的雾节点æ¥æ‰§è¡Œã€‚

连接/互æ“作域是设备—雾—云统一体中开放雾计算实体的粗粒度集åˆï¼Œå¯ä»¥é€šè¿‡ä¿¡æ¯äº¤æ¢ã€ç¨‹åºè¿ç§»å’Œé‡ç”¨å®žçŽ°äº’æ“作。连接/互æ“作域应该建立在开放雾计算体系结构的数æ®äº¤æ¢å±‚上,其中雾节点是数æ®äº¤æ¢å±‚的基本实体。æ¯ä¸€ä¸ªè¿žæŽ¥/互æ“作域都应当具有互æ“作性,åŒæ—¶æ‰§è¡Œç›¸åº”的安全策略。

å¦ä¸€æ–¹é¢ï¼ŒæœåŠ¡/应用域则是在å—信任执行环境集åˆä¸­æ‰§è¡Œçš„æ•°æ®/æœåŠ¡èµ„æºçš„细粒度集åˆï¼Œç”¨äºŽæ”¯æŒç‰¹å®šçš„应用程åºã€‚æœåŠ¡/应用域的实例化å‘生在开放雾计算体系架构中的æœåŠ¡æ供层。以容器或智能对象形å¼å¼€å‘的用户进程是æœåŠ¡/应用域中的基本实体。æ¯ä¸ªæœåŠ¡/应用域都应该指定和执行å¯æ“作的和å¯ä¿¡çš„计算策略。

连接/互æ“作域和æœåŠ¡/应用域都å¯ä»¥ç”±å¼€æ”¾é›¾è®¡ç®—实体ã€æ•°æ®å’ŒæœåŠ¡çš„所有者增é‡åŒ–地建立。这些所有者还有æƒåˆ©å’Œè´£ä»»æŒ‡å®šè¦åœ¨è¿™äº›åŸŸä¸­æ‰§è¡Œçš„æ“作和安全策略。å¯ä»¥å»ºç«‹åŸŸå±‚次结构æ¥ç»†åŒ–策略实施的范围。å¯ä»¥å®‰è£…桥接实体æ¥æ”¯æŒåŸŸé—´çš„交互。在安全和管ç†å·¥ä½œç»„之间正在开å‘分散的域æˆå‘˜å…³ç³»å’Œç­–略管ç†ä½“系架构。

六 结 语

开放雾计算æ出了一ç§æ™®é€‚çš„ã€å¼‚构多层通信计算体系架构,为广泛的IT/OT应用程åºæ供了å¯é çš„ä¿¡æ¯æœåŠ¡ã€‚它还æ供了一个平å°ï¼Œç”¨äºŽåœ¨è®¾å¤‡â€”雾—云统一体中部署和验è¯æ–°æŠ€æœ¯ã€‚在安全领域,研究人员正在建立安全å³æœåŠ¡ï¼ˆSECaaS)的概念,它将是一个基于雾节点的ã€ç­–略驱动型的信æ¯å®‰å…¨æœåŠ¡ï¼Œé€šè¿‡ç½‘络功能虚拟化(NFV)为无法ä¿æŠ¤è‡ªå·±çš„终端设备æä¾›æœåŠ¡ã€‚SECaaS必须尊é‡åº”用/æœåŠ¡åŸŸç»“构,并且ä¸åº”该干扰应用本身的业务æµç¨‹ã€‚包括分布å¼æŒä¹…账本在内的新技术,特别是2G/3G区å—链,如以太åŠï¼ˆEthereum)和IOTA Tangle,以åŠä¿¡æ¯ä¼ æ’­ä¼ è¾“,如BATS代ç ï¼Œéƒ½å¯ä»¥ç”¨æ¥å¢žå¼ºå¼€æ”¾é›¾è®¡ç®—安全的å¯æ‰©å±•æ€§å’Œé²æ£’性。

架构 ä¿¡æ¯ç‰©ç†ç³»ç»Ÿ ä¿¡æ¯å®‰å…¨ 应用架构 ä¿¡æ¯æž¶æž„ 网络安全 通信
撤稿纠错
本作å“采用《CC å议》,转载必须注明作者和本文链接
Ann
Ann ç­‰ä¿é«˜çº§æµ‹è¯„师 NISP
推è文章
© 2022 WANGAN.COM 帮助网安从业者æˆé•¿ï¼›å…³æ³¨äº§ä¸šå‘展,åšç½‘络安全忠诚å«å£«ï¼