導讀：邊緣計算已受到學術界、產業界以及政府部門的極大關注，正在從產業共識走向了產業實踐，在電力、交通、制造、智慧城市等多個價值行業有了規模應用，產業界在實踐中逐步認識到邊緣計算的本質與核心能力。隨著行業數字化轉型進程的不斷深入，邊緣計算網絡架構的演進必然導致針對邊緣計算節點的安全攻擊不斷增多，邊緣安全問題已成為限制邊緣計算產業發展的障礙之一。

為了整體把握邊緣計算安全現狀，本文以《邊緣計算安全白皮書》的角度，從邊緣安全的重要性和價值出發，探討邊緣安全十二大挑戰、五大需求特征以及十大關鍵技術，并且基于以上分析，分享四個典型場景下的邊緣安全案例。

邊緣安全的重要性和價值

邊緣計算有五大關鍵要素，即聯接（Connectivity）、業務實時性（Real-time）、數據優化（Optimization）、應用智能（Smart）、安全與隱私保護（Security），簡稱為CROSS。這五點關鍵要素意味著邊緣計算能帶來更廣泛、更快速、更敏捷的連接，但同時也將網絡攻擊威脅引入了網絡邊緣。這也就對邊緣側的安全性提出了更高的要求。

邊緣計算環境本身的實時性、復雜性、動態性、終端的資源受限等特性，導致系統安全和隱私問題變得愈發地突出。邊緣安全是邊緣計算的重要保障。

邊緣安全涉及跨越云計算和邊緣計算縱深的安全防護體系，其目標是增強邊緣基礎設施、網絡、應用、數據識別和抵抗各種安全威脅的能力，為邊緣計算的發展構建安全可信環境，加速并保障邊緣計算產業發展。

邊緣安全的價值主要體現在五個方面：

提供可信的基礎設施。

主要包括了計算、網絡、存儲類的物理資源和虛擬資源，應對鏡像篡改、DDoS 攻擊、非授權通信訪問、端口入侵等安全威脅。

提供安全可信的邊緣應用服務。

從數據安全角度，提供輕量級數據加密、數據安全存儲、敏感數據處理的安全服務。從運維安全角度，提供應用監控、審計、訪問控制等安全服務。

提供安全的設備接入和協議轉換。

邊緣節點硬件類型多樣，形態不一，復雜性、異構性突出。提供安全的接入和協議轉換能力，為數據提供存儲安全、共享安全、計算安全、傳播和管控以及隱私保護，有助于推動較為封閉的行業領域的數字化轉型。

提供安全可信的網絡及覆蓋。

安全可信的網絡除了傳統的運營商網絡安全保障（如：鑒權、秘鑰、合法監聽、防火墻技術）以外，目前面向特定行業的TSN、工業專網等，也需要定制化的網絡安全防護。

提供端到端全覆蓋的全網安全運營防護體系。包括威脅監測、態勢感知、安全管理編排、安全事件應急響應、柔性防護等。

邊緣安全十二大挑戰

白皮書中把邊緣計算環境中潛在的攻擊窗口劃分為三個層面，分別是邊緣接入（云- 邊接入，邊- 端接入）、邊緣服務器（硬件、軟件、數據）以及邊緣管理（賬號、管理/ 服務接口、管理人員），如下圖所示：

以攻擊面為分類標準，邊緣安全十二大挑戰的分類結果如下：

邊緣接入：不安全的通信協議；惡意的邊緣節點。

邊緣服務器：邊緣節點數據易被損毀；隱私數據保護不足；不安全的系統與組件；易發起分布式拒絕服務；易蔓延APT 攻擊；硬件安全支持不足。

邊緣管理：身份、憑證和訪問管理不足；賬號信息易被劫持；不安全的接口和API；難監管的惡意管理員。

邊緣接入

1）不安全的通信協議

邊緣節點的通信分為南北向。南向對接端側異構設備，北向對接云上消息通道。南向與端側設備的通信，目前絕大多數還是使用沒有安全性保障的通信協議，比如：ZigBee、藍牙等等。

北向與云端的通信，大部分是使用消息中間件或者網絡虛擬化技術，通過未經加密的傳輸層數據通道來轉發數據。這些通信協議缺少加密、認證等措施，易于被竊聽和篡改。

2）惡意的邊緣節點

邊緣計算具有分布式部署、多元異構和低延遲等特性，參與實體眾多，信任關系復雜，從而導致很難判斷一個邊緣節點是否是惡意節點偽裝的。

惡意邊緣節點是指攻擊者將自己的邊緣節點偽裝成合法的邊緣節點，使用戶難以分辨，誘導終端用戶連接到惡意邊緣節點，隱秘地收集用戶數據。

此外，邊緣節點通常被放置在用戶附近，在基站或路由器等位置，甚至在WIFI接入點的極端網絡邊緣，這使得為其提供安全防護變得非常困難，物理攻擊更有可能發生。

從運營商角度，惡意用戶部署偽基站，造成用戶流量被非法監聽，嚴重損害用戶個人隱私，甚至造成財產及人身安全威脅。在工控場景下，由于傳統設備運行的系統與軟件比較老舊，惡意用戶更容易通過系統漏洞入侵和控制部分邊緣節點，造成生產上的損失。

邊緣服務器

1）邊緣節點數據易被損毀

邊緣節點作為邊緣計算的基礎設施，其地理位置靠近用戶現場，缺少有效的數據備份、恢復、以及審計措施，導致攻擊者可能修改或刪除用戶在邊緣節點上的數據來銷毀某些證據。

從主觀角度來看，一些懷有惡意目的的攻擊者，很可能通過對邊緣節點的安全薄弱點進行攻擊，從而獲取到高級權限，來抹除對自己不利的數據，甚至是偽造對自己有利的數據。

從客觀角度來看，如果邊緣節點由于不可抗力因素導致用戶數據丟失或損壞，邊緣側沒有提供有效的數據備份與恢復機制，且云端也未能及時同步邊緣數據，那么客戶的業務將遭受致命打擊。

2）隱私數據保護不足

邊緣計算通過將計算任務下沉到邊緣，在一定程度上避免了數據在網絡中長距離的傳播，降低了隱私泄露的風險。但是，邊緣節點獲取到的第一手業務數據，仍然包含了未脫敏的隱私數據。如果一旦遭到黑客的攻擊、嗅探和腐蝕，則用戶的位置信息、服務內容和使用頻率將全部暴露。

3）不安全的系統與組件

邊緣計算將云上的計算任務卸載到本地執行，在安全方面存在的問題是計算結果是否可信。在電信運營商邊緣計算場景下，尤其是在工業邊緣計算、企業和IoT 邊緣計算場景下，邊緣節點可能從云端卸載的是不安全的定制操作系統，或者這些系統調用的是被敵手腐蝕了的供應鏈上的第三方軟件或硬件組件。

一旦攻擊者利邊緣節點上不安全Host OS 或虛擬化軟件的漏洞攻擊 Host OS 或利用Guest OS，通過權限升級或者惡意軟件入侵邊緣數據中心，并獲得系統的控制權限，則惡意用戶可能會終止、篡改邊緣節點提供的業務或返回錯誤的計算結果。如果不能提供有效機制驗證卸載的系統和組件的完整性和計算結果的正確性，云可能不會將計算任務轉移到邊緣節點，用戶也不會訪問邊緣節點提供的服務。

4）易發起分布式拒絕服務

參與邊緣計算的海量設備，通常使用簡單的處理器和操作系統，對網絡安全不重視，或者因設備本身的計算資源和帶寬資源有限，無法支持支持復雜的安全防御方案。這些海量設備恰好為DDOS攻擊提供了大量潛在的肉雞，也就是可以被黑客遠程控制的機器。

黑客可以隨意操縱它并利用它做任何事情。當攻擊者攻破了這些設備的安全防御系統，就可以利用這些肉雞，發起DDOS攻擊，即在同一時間發送大量的數據到目標服務器上，導致無法解析正常請求。

5）易蔓延APT 攻擊

APT 攻擊是一種寄生形式的攻擊，通常在目標基礎設施中建立立足點，從中秘密地竊取數據，并能適應防備APT攻擊的安全措施。

在邊緣計算場景下，APT 攻擊者首先尋找易受攻擊的邊緣節點，并試圖攻擊它們和隱藏自己。更糟糕的是，邊緣節點往往存在許多已知和未知的漏洞，且存在與中心云端安全更新同步不及時的問題。一旦被攻破，加上現在的邊緣計算環境對APT 攻擊的檢測能力不足，連接上該邊緣節點的用戶數據和程序無安全性可言。

6）硬件安全支持不足

邊緣節點更傾向于使用輕量級容器技術，但容器共享底層操作系統，隔離性較差，安全威脅嚴重。因此，僅靠軟件來實現安全隔離，很容易出現內存泄露或篡改等問題。

基于硬件的可信執行環境TEEs（如Intel SGX，ARMTrustZone，AMD 內存加密技術等）目前在云計算環境已成為趨勢，但是在復雜信任場景下的應用，目前還存在性能問題，在側信道攻擊等安全性上的不足仍有待探索。

邊緣管理

1）身份、憑證和訪問管理不足

身份認證是驗證或確定用戶提供的訪問憑證是否有效的過程。邊緣節點與終端用戶如何雙向認證、邊緣節點與云端如何實現統一的身份認證和高效的密鑰管理、在高移動性場景下如何實現在不同邊緣節點間切換時的高效認證，是需要思考的問題。

此外，在邊緣計算環境下，邊緣服務要為動態、異構的大規模設備用戶接入提供訪問控制功能，并支持用戶基本信息和策略信息的分布式的遠程提供，以及定期更新。

2）賬號信息易被劫持

用戶的現場設備往往與固定的邊緣節點直接相連，設備的賬戶通常采用的是弱密碼、易猜測密碼和硬編碼密碼，用戶唯一身份標識易泄露，導致攻擊者以此來執行修改用戶賬號、創建新賬號、刪除應用等惡意操作。

3）不安全的接口和API

在云環境下，為了方便用戶與云服務交互，要開放一系列用戶接口或API 編程接口，這些接口需防止意外或惡意接入。如果第三方基于現有API開發上層應用，那么安全風險將會嵌套。

邊緣節點既要向海量的現場設備提供接口和API，又要與云中心進行交互，這種復雜的邊緣計算環境、分布式的架構，引入了大量的接口和API 管理，但目前的相關設計并沒有都考慮安全特性。

4）難監管的惡意管理員

管理大量的現場設備，很可能存在不可信或惡意的管理員。如果管理員出于其它的目的盜取或破壞系統與用戶數據，那么它將能夠重放、記錄、修改和刪除任何網絡數據包或文件系統。現場設備的存儲資源有限，難以對惡意管理員進行全量審計。

邊緣安全五大需求特征

之所以分析邊緣安全的需求特征，是為了明確邊緣安全的邊界。區別于云安全，邊緣安全需求具備海量、異構、資源約束、分布式、實時性五大需求特征。因此只有考慮了上述需求特征，且面向邊緣計算的安全才屬于邊緣安全的范疇。

海量特征

海量特征包括海量的邊緣節點設備、海量的連接、海量的數據，圍繞海量特征，邊緣安全需要考慮高吞吐、可擴展、自動化、智能化特性進行能力構建。

隨著邊緣網絡中接入設備數量劇增、系統軟件與應用程序的多樣化，要求相關的安全服務突破接入延遲和交互次數限制、可支持的最大接入規模限制、管理人員限制以及破數據處理能力限制。

異構特征

異構特征包括計算的異構性、平臺的異構性、網絡的異構性以及數據的異構性，圍繞異構特征，邊緣安全需要考慮無縫對接、互操作、透明特性進行能力構建。由于邊緣設備、邊緣數據的異構性，要求相關安全服務能夠突破無縫對接限制、互操作性限制、對復雜設備類型管理能力的限制。

資源約束特征

資源約束特征包括計算資源約束、存儲資源約束以及網絡資源約束，從而帶來安全功能和性能上的約束。圍繞資源約束特征，邊緣安全需要考慮輕量化、云邊協同特性進行能力構建。

由于邊緣節點的計算和存儲資源受限，不支持額外的硬件安全特性，同時存在可管理的邊緣設備規模和數據規模限制，因此要求安全服務在輕量化方面，能夠提供提供輕量級的認證協議、系統安全加固、數據加密和隱私保護、以及硬件安全特性軟件模擬方法等技術；在云邊協同方面能夠提供云邊協同的身份認證、數據備份和恢復、聯合機器學習隱私保護、入侵檢測等技術。

分布式特征

邊緣計算更靠近用戶側，天然具備分布式特征。圍繞分布式特征，邊緣安全需要考慮自治、邊邊協同、可信硬件支持、自適應特性進行能力構建。

邊緣計算的分布式特性，要求相關安全服務能夠提供設備的安全識別、設備資源的安全調度與隔離、本地敏感數據的隱私保護、本地數據的安全存儲，邊邊協同的安全策略管理，輕量級可信硬件支持的強身份認證、完整性驗證與恢復，以及靈活的安全資源調度、多策略的訪問控制、多條件加密的身份認證方案。

實時性特征

邊緣計算更靠近用戶側，能夠更好的滿足實時性應用和服務的需求。圍繞實時性特征，邊緣安全需要考慮低延遲、容錯、彈性、特性進行能力構建。實時性特性要求相關安全服務提供輕量級、低延遲的安全通信協議、數據完整性驗證和恢復機制，以及支持業務連續性的軟件在線升級和維護。

邊緣安全十大安全技術

為了應對上述安全功能需求，為邊緣基礎設施、網絡、數據、應用、全生命周期管理、邊云協同的安全性保駕護航，這里列出了邊緣安全的十大安全技術以作參考：邊緣計算節點接入與跨域認證、邊緣計算節點可信安全防護、邊緣計算拓撲發現、邊緣計算設備指紋識別、邊緣計算虛擬化與操作系統安全防護、邊緣計算惡意代碼檢測與防范、邊緣計算漏洞挖掘、邊緣計算敏感數據監測、邊緣計算數據隱私保護、邊緣計算安全通信協議。

邊緣計算節點接入與跨域認證

針對邊緣計算節點海量、跨域接入、計算資源有限等特點，面向設備偽造、設備劫持等安全問題，突破邊緣節點接入身份信任機制、多信任域間交叉認證、設備多物性特征提取等技術難點，實現海量邊緣計算節點的基于邊云、邊邊交互的接入與跨域認證。

邊緣計算節點可信安全防護

面向邊緣設備與數據可信性不確定、數據容易失效、出錯等安全問題，突破基于軟/ 硬結合的高實時可信計算、設備安全啟動與運行、可信度量等技術難點，實現對設備固件、操作系統、虛擬機操作系統等啟動過程、運行過程的完整性證實、數據傳輸、存儲與處理的可信驗證等。

邊緣計算拓撲發現

針對邊緣計算節點網絡異構、設備海量、分布式部署等特點，面向邊緣計算節點大規模DDoS 攻擊、跳板攻擊、利用節點形成僵尸網絡等安全問題，突破邊緣計算在網節點拓撲實時感知、全網跨域發現、多方資源關聯映射等技術難點，形成邊緣計算的網絡拓撲繪制、威脅關聯分析、在網節點資產與漏洞發現、風險預警等能力，實現邊緣計算節點拓撲的全息繪制。

邊緣計算設備指紋識別

針對邊緣計算設備種類多樣化、設備更新迭代速度快、相同品牌或型號設備可能存在相同漏洞等特點，突破邊緣計算設備主動探測、被動探測、資產智能關聯等技術難點，形成對邊緣設備IP 地址、MAC 地址、設備類型、設備型號、設備廠商、系統類型等信息的組合設備指紋識別等能力，實現邊緣計算設備安全分布態勢圖的構建, 幫助管理員加固設備防護, 加強資產管理, 并幫助后續制定防護策略, 為安全防護方案提供參考。

邊緣計算虛擬化與操作系統安全防護

針對邊緣計算邊云協同、虛擬化與操作系統代碼量大、攻擊面廣等特點，面向虛擬機逃逸、跨虛擬機逃逸、鏡像篡改等安全風險，突破Hypervisor 加固、操作系統隔離、操作系統安全增強、虛擬機監控等技術難點，形成邊緣計算虛擬化與操作系統強隔離、完整性檢測等能力，實現邊緣計算虛擬化與操作系統的全方位安全防護能力。

邊緣計算惡意代碼檢測與防范

針對邊緣計算節點安全防護機制弱、計算資源有限等特點，面向邊緣節點上可能運行不安全的定制操作系統、調用不安全第三方軟件或組件等安全風險，突破云邊協同的自動化操作系統安全策略配置、自動化的遠程代碼升級和更新、自動化的入侵檢測等技術難點，形成云邊協同的操作系統代碼完整性驗證以及操作系統代碼卸載、啟動和運行時惡意代碼檢測與防范等能力，實現邊緣計算全生命周期的惡意代碼檢測與防范。

邊緣計算漏洞挖掘

針對邊緣計算設備漏洞挖掘難度大、系統漏洞影響廣泛等特點，面向等安全問題，突破邊緣設備仿真模擬執行、設備固件代碼逆向、協議逆向、二進制分析等技術難點，形成基于模糊測試、符號執行、污點傳播等技術的邊緣計算設備與系統漏洞挖掘能力，實現邊緣計算設備與系統漏洞的自動化發現。

邊緣計算敏感數據監測

針對邊緣計算數據的敏感性強、重要程度高等特點，面向數據產生、流轉、存儲、使用、處理、銷毀等各個環節的數據安全風險，突破敏感數據溯源、數據標簽、數據水印等技術難點，形成對敏感數據的追蹤溯源、敏感數據的流動審計、敏感數據的訪問告警等能力，實現邊緣計算敏感數據的實時監測。

邊緣計算數據隱私保護

針對邊緣計算數據脫敏防護薄弱、獲取數據敏感程度高、應用場景具有強隱私性等特點，面向邊緣計算隱私數據泄露、篡改等安全風險，突破邊緣計算輕量級加密、隱私保護數據聚合、基于差分隱私的數據保護等技術難點，實現邊緣計算設備共享數據、采集數據、位置隱私數據等數據的隱私保護。

邊緣計算安全通信協議

針對邊緣計算協議種類多樣、協議脆弱性廣泛等特點，面向協議漏洞易被利用、通信鏈路偽造等安全風險，突破邊緣計算協議安全測試、協議安全開發、協議形式化建模與證明等技術難點，實現邊緣計算協議的安全通信。

典型場景下的邊緣安全案例

基于上述對邊緣安全十二大挑戰、五大需求特征以及十大關鍵技術的分析，這里提出四個典型場景下的邊緣安全案例：智能制造領域邊云協同場景下的典型安全解決方案、泛終端安全準入典型案例、自動駕駛邊緣安全案例以及C2M- 家具定制行業-邊緣安全解決方案。

智能制造領域邊云協同場景下的典型安全解決方案

智能制造領域企業面臨著共性的安全問題和需求。例如，不同產線間沒有采取網絡隔離措施，缺少訪問控制措施。

電子車間網絡和邊緣層網絡（MES 系統、邊緣網關）之間由于業務需要存在通信連接，但未采取隔離措施或者訪問控制規則。

電子車間各主機采用較為老舊的操作系統，且未進行及時的補丁更新，未采用主機加固措施，致使部分主機受到攻擊、感染。缺少對生產網絡的實時安全監控，無法及時發現系統中存在的異常流量和異常行為。

基于以上情況，提出的解決方案架構如下圖所示。對現場層網絡拓撲進行改造，進行網絡區域劃分，采用VLAN 方式對不同生產線的設備進行隔離。

電子車間網絡和邊緣層網絡（MES 系統、邊緣網關）之間采用工業網閘進行隔離，防止邊緣層的網絡安全問題蔓延到電子車間。對電子車間的主機進行系統重裝或病毒查殺，在此基礎上安裝主機防護軟件。在滿足控制要求的工段部署安全可信PLC，替換原來不具備安全能力的普通PLC。

最后，部署安全管理平臺與安全態勢感知平臺，通過邊緣層采集電子車間網絡環境中各主機、設備的安全相關數據并進行集中分析，從而實現云端和邊緣側的邊云安全協同。

泛終端安全準入典型案例

終端接入主要面臨的挑戰有，出口嚴防，但內部終端接入還是開放、透明的網絡，無法防止從內部的非法接入訪問；核心業務的訪問安全問題；大量啞終端設備的接入安全問題以及終端接入行為審計等。

針對以上問題的解決方案是構建新一代的內部終端準入安全防御體系——終端網絡安全準入系統（NAC）。該部署方案如下圖所示：

該方案采用集中式部署的優點是實施部署簡單，成本低，終端“一體化”控制臺統一管理，但缺點是風險性比較大，當發生故障時影響面會比較廣，對于準入控制來說此種部署方式適用于規模比較小，相對比較獨立的網絡環境部署。如：分支機構比較多、連接方式是窄帶寬的情況下盡量采用分布式部署，準入設備下移，減小風險隱患。

自動駕駛邊緣安全案例

從傳統汽車封閉場景到自動駕駛開放場景，自動駕駛軟件邏輯復雜，代碼量大，安全漏洞難以避免，一旦被攻陷，很可能造成車毀人亡甚至更加嚴峻的公共安全問題。

潛在的攻擊窗口主要有通過 OBD、USB 等物理接口，實現接觸型攻擊；通過 NFC、RF、WIFI、藍牙等近距離通信方式實現非接觸型攻擊；通過 3G/4G/5G、GPS 等遠距離通信方式實現非接觸型攻擊。

針對上述潛在的安全問題，提出的自動駕駛平臺安全防護方案如下圖所示：

構建基于硬件可信根（比如 HSM）的安全啟動機制，保證從HSM 到hypervisor、hypervisor 到多OS 的安全信任鏈。

基于虛擬化隔離，將不同安全級別的業務部署在不同的虛擬機中。操作系統采用基于微內核的安全架構，保證內核攻擊窗口和可信基最小化。

基于 Trustzone 構建安全運行環境，保證敏感邏輯（AI模型、加解密計算等）和敏感數據（密鑰、身份信息）的完整性和私密性。對應用程序進行安全加固，利用程序分析和編譯器插裝等手段，保護應用代碼完整性和私密性、控制流完整性、關鍵安全敏感數據的保護。

對于端云通信 VM，進一步構建網絡安全通信和安全監控機制，通過融合身份認證、安全通信、防火墻、入侵檢測等技術，提升主動防御能力。

C2M-家具定制行業-邊緣安全解決方案

C2M（Customer-to-Manufacturer 用戶直連制造）是一種新型的工業互聯網電子商務的商業模式。為了預防和減少家具定制工廠在生產過程中的安全風險，保障企業的財產安全，需要在邊緣側進行相應的安全防護。

在家具定制行業，常見的安全問題和需求包括：邊緣設備缺乏可信安全防護、隔離機制、網絡訪問控制、安全身份認證和管理等。

針對上述安全問題，提出的C2M 家具定制行業邊緣安全軟硬件框架如下圖所示：

利用 Trustzone 進行硬件資源的隔離，將邊緣計算系統劃分成secure world（安全世界）和normal world（非安全世界），將生產過程中的敏感數據的操作放在secure world 處理，保護定制家具生產過程中的敏感數據包的明文和相應的加密密鑰的安全。

利用芯片硬件機制建立安全啟動和信任鏈保證整個軟件系統的安全可信，從BootRom 開始逐級建立可靠的安全校驗方案。搭建安全管理運營平臺，在邊緣設備發布上線之前進行安全檢測，基于行為生成安全基線和防護策略，識別和阻斷基線范圍外的異常行為。

利用 Secure Element 安全芯片作為 ID2 的安全載體，為每個邊緣設備提供唯一的標識信息，防止設備被篡改或仿冒，支撐設備身份信息的存儲和認證。

結語

邊緣安全能力作為邊緣計算不可忽視的關鍵一環，為邊緣計算的廣泛應用提供了安全可信的環境，旨在加速并保障邊緣計算產業的發展，提升典型價值場景下的邊緣安全保障能力。