本文共 1430 字，大约阅读时间需要 4 分钟。

随着万物互联时代的到来，基于云计算模型的集中式大数据处理模式已经无法满足网络边缘设备所产生海量数据处理的实时性、安全性和低能耗等需求。为此，将原有的云计算中心的部分或者全部计算任务迁移到数据源的附近执行，边缘计算在工业机器人、无人驾驶、智慧交通等领域扮演着越来越重要的角色。作为一种新型的去中心化架构，它将云计算的存储、计算和网络资源扩展到网络边缘，以支持大规模的协同万物互联应用。

然而，由于边缘设备更加靠近网络边缘侧，网络环境更加复杂，并且边缘设备对于终端具有较高的控制权限，导致其在提高万物互联网络中数据传输和处理效率的同时，不可避免地带来一些新的安全威胁，如物理安全、网络安全、数据安全、应用安全等。同时，边缘计算模式也给身份认证、访问控制、入侵检测、隐私保护、密钥管理等方面带来了严峻的挑战。

在边缘计算中，不同可信域中的边缘服务器、云服务提供商和用户分别提供和访问实时服务，其分散化、实时服务的低延迟需求和用户的移动性给身份认证的实现带来了巨大的障碍，很难保证所有涉及的实体都是可信的。在访问这些服务之前，应该对每个用户进行身份验证，以确保其真实性和可信性。

访问控制是基于预定模式和策略对资源的访问过程进行实时控制的技术，按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问或限制对某些控制功能的使用。在万物互联背景下，需要访问控制以确保只有受信任方才能执行给定的操作，不同用户或终端设备具有访问每个服务的独特权限。

入侵检测通过包括监测、分析、响应和协同等一系列功能，能够发现系统内未授权的网络行为或异常现象，收集违反安全策略的行为并进行统计汇总，从而支持安全审计、进攻识别、分析和统一安全管理决策。在边缘计算中，外部和内部攻击者可以随时攻击任何实体。若没有实施适当的入侵检测机制来发现终端设备和边缘节点的恶意行为或协议违规，则会逐步破坏服务设施，进而影响整个网络。

万物互联系统的目标是通过收集海量数据为用户提供多种个性化服务。由于终端设备资源受限，缺乏对数据加密或解密的能力，这使得它容易受到攻击者的攻击。边缘计算将计算迁移到临近用户的一端，直接对数据进行本地处理、决策，在一定程度上避免了数据在网络中长距离的传播，降低了隐私泄露的风险。然而，由于边缘设备获取的用户第一手数据，能够获得大量的敏感隐私数据。如何能够保证用户在使用服务的同时又不泄露其敏感信息对边缘计算中的隐私保护算法提出了更高的要求。

密钥管理包括从密钥产生到密钥销毁的各个方面，主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等，包含密钥生成、密钥分发、验证密钥、更新密钥、密钥存储、备份密钥、密钥的有效期、销毁密钥这一系列的流程。密钥在已授权的加密模块中生成，高质量的密钥对于安全是至关重要的，整个密码系统的安全性并不取决于密码算法的机密性，而是取决于密钥的机密性。一旦密钥遭受泄露、窃取、破坏，机密信息对于攻击者来说已经失去保密性。由此可见，密钥管理对于设计和实施密码系统而言至关重要。

在万物互联环境中，由于云服务商、边缘服务商和用户对密钥管理系统与信息技术基础设施具有不同的所有权和控制权，这使得面向边缘计算环境的密钥管理比传统信息系统的密钥管理更为复杂。

本文首发于《中兴通讯技术》2019年第三期。《中兴通讯技术》是一本学术和技术相结合的公开刊物，现为中国科技核心期刊、中国百种重点期刊。本刊聚焦通信前沿技术，探讨通信市场热点，面向高端人群。

转载地址：http://wtpp.baihongyu.com/