1.1　边缘计算概念

边缘计算参考架构对边缘计算标准化的定义为在靠近物或数据源头的网络边缘侧，融合网络、计算、存储、应用核心能力的开放平台，就近提供边缘智能服务，满足行业数字化在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。

边缘计算相比较传统云计算强化了物理世界与数字世界的融合，通过数字孪生建立物理世界与数字世界的实时映像，在资源组织管理、任务协调执行以及用户应用交互方面都增加了地理空间维度。

物理位置要素已经成为各个应用层面的重要的参考特性，其中边缘计算的内涵有联接性、数据第一入口、低延时、分布性、自组织、可定义、可调度及标准开放。

1.1.1　联接性

联接性是边缘计算网络的基础，由于联接的物理对象及其应用场景的多样性，需要边缘计算具备丰富的联接适配和网元管理功能，其中包括各种网络接口、网络协议、网络拓扑、网络部署与配置以及网络管理与维护。联接性在实现时应当充分借鉴吸收网络领域先进的研究成果，如TSN、SDN、NFV、5G、NAAS、WLAN和NB-IoT等。

1.1.2　数据第一入口

边缘计算作为物理空间世界到数字空间世界的第一入口，拥有大量、实时、完整的数据，创新应用可基于数据全周期进行管理与价值再造，从而实现更好的支撑预测性维护和资产效率管理等。同时，边缘计算也面临数据实时性、确定性和多样性等诸多挑战。

1.1.3　低延时

边缘计算是就近提供计算、存储和网络覆盖能力，数据的产生、处理、传输和应用都发生在距离数据源很近的范围，因此接收并响应边缘终端请求的时延极低。

1.1.4　分布性

边缘计算天然具备分布式特征，因此边缘计算能够支持分布式计算、存储以及资源的统一管理与动态协调，同时具备能力对分布式智能和分布式安全等应用提供支撑。

1.1.5　自组织

当网络出现异常问题甚至网络中断时，边缘计算的节点可以实现本地自治和自恢复。

1.1.6　可定义

边缘服务及领域业务逻辑不是恒久不变的，而是可以由用户根据环境和需求的变化进行修改、更新和定制。

1.1.7　可调度

领域业务任务可以由云计算中心根据分布式资源的部署和状态情况进行动态分发，任务具体在哪个边缘节点执行可以由云计算中心和边缘控制器分配协调。

1.1.8　标准开放

边缘计算平台提供标准且开放的环境，使边缘计算具备与其他系统互联、互通及互操作的能力。

1.2　安全发展现状

边缘计算技术及行业应用发展处于起步萌芽期，当前主要在商用及民用领域做试点应用，如安防摄像视频、AR/VR、移动终端、无人车、无人机、无人艇及智能机器人等。

随着国内边缘计算产业联盟ECC的成立，相继发布了边缘计算参考架构1.0、2.0和3.0，涉及应用域、数据域、网络域和设备域4个功能域，已经囊括了层次划分及功能、技术实现及交互、应用架构模式及部署等边缘计算的方方面面。

但是，边缘计算当前的主要安全防护能力基本是传统安全防护设备、软件和安全手段的堆砌，主要防御的核心思想依然是围绕网络边界进行叠加式或串行式防护。

但是，防护体系不规范、防护能力和安全措施不统一，很多安全措施及安全手段不能灵活组合协同对安全威胁进行针对性防御，使得其不能有效对边缘计算系统实施全方位和立体化的体系安全防护，又或者以性能换安全，严重降低了边缘计算系统的应用特性，使其计算体系结构的应用优势不在，更有甚之可能导致整个信息系统的功能和性能指标不能达到建立系统的初心，无法支撑客户业务的正常开展。

因此，需要结合边缘计算自身的技术、结构特点以及其与云计算中心协同作业的未来应用模式，设计安全防护体系及安全机制，确保系统在发挥边缘计算灵活、快响应、敏捷联接、低延时、自组织以及可定义等优势的同时，保障底层支撑的基础设施、核心流转数据及应用系统服务的安全及可信。

2.1　安全脆弱性分析

边缘计算的安全防护区域为跨越云计算中心和边缘计算之间的纵深网络空间，其中含有物理层、网络层、数据层、应用层、边缘服务器、终端设备及虚拟化资源。根据边缘网络的接入技术及应用形态的不同，分为传统边缘计算和移动边缘计算。

由于边缘计算网络是基于P2P的分布式网络资源组网整合，需要针对应用层业务实施端到端的立体化安全防护，从而确保整个边缘计算网络空间的真正安全，彻底解决分布式网络、异构计算以及新型存储技术引出的不同形式的边缘计算风险和威胁。

网络边缘侧由于更贴近物联网连接的边缘端设备，身份认证、访问权限控制、安全风险与威胁防护的区域广度和技术难度大幅提升。其中，边缘侧安全主要包括各种设备软硬件安全、网络安全、数据安全和应用安全，传统的认证授权、边界安全防护在边缘计算环境下难于奏效。

此外，关键数据的完整性和机密性在物理空间和网络空间均呈分布式的计算条件也是安全防护的难点。经系统分析，边缘计算具体安全风险因素有终端多且异构、数据量大且格式繁多、网络不稳定、存储异构以及云、边端防护等。

(1）终端多且异构。边缘网络的接入端点多，且分布在各地理空间，导致边缘终端防护措施及防护能力不规范和不成体系，易被利用端点扩散的攻击媒介攻破入网。

(2）数据量大且格式繁多。根据边缘侧接入数据的特点，恶意攻击方可以进行针对性的数据损毁、数据干扰或者数据窃取。

(3）网络不稳定。网络联接质量差，由于边缘节点资源有限，有些安全防护措施达不到安全能力需求，网络防御很难局部组合协同防御外部网络威胁及APT攻击。

(4）存储异构。由于边缘计算系统数据量远远超越传统云计算中心系统的数据量，在边缘侧和中心侧均有存储媒介，根据数据特征属性和重要性的不同，存储介质和存储技术也各有千秋，相应的安全等级差异大。

(5）云、边端防护。边缘计算系统防护范围广，各防护区域及对象的安全防御能力存在巨大差异。大量的边缘终端由于计算、存储及网络资源有限，难于配备有效的安全防护措施，如防病毒软件、漏洞扫描软件、软硬件加固、可信及主机监控和审计系统。对于边缘计算支撑的端到端的业务应用，计算链上协同作业的任何节点失防，将导致业务不能正常开展，甚至破坏整个系统的正常运转。

2.2　面临的安全威胁

根据边缘计算产业联盟（Edge Computing Consortium，ECC）与工业互联网产业联盟（Alliance of IndustrialInternet，AII）联合发布的边缘计算参考架构模型，边缘计算架构在纵向上主要划分为应用域、数据域、网络域和设备域。对于边缘计算系统的整体安全威胁，主要来源于这几个域的风险和其叠加因素。每个区域的威胁和风险都有其自身特征，任何一个层面的安全防御被突破都会导致边缘计算系统不可预估的损失。按照防护对象的类型，将威胁划分为节点威胁、网络威胁、数据威胁、应用威胁、安全管理威胁及身份认证威胁。

2.2.1　节点威胁

它主要有边缘终端、边缘服务器、边缘网关和云计算中心服务器节点的终端安全风险。不同节点终端应用特点和安全防护等级存在差异，需要结合木桶效应设计实现安全防御。

2.2.2　网络威胁

相对于云计算中心模式，边缘计算的网络接入点分布广、体系异构且安全防护脆弱，因此网络层的入侵威胁急剧增加，一旦被入侵和劫持，可能导致一点安全失控瘫痪整个边缘网络。

2.2.3　数据威胁

数据对于系统的重要程度不言而喻。数据产生、传输、存储、分析计算、共享以及开发过程中都有数据泄漏风险，对于有保密要求的网络系统，数据安全防御至关重要。

2.2.4　应用威胁

人机交互和设备之间的交互通信都是建立在IP网络之上，一旦网络被劫持或被入侵，通过应用之间的交互信息便可窃取系统重要的信息和权限，导致不可预知的损失。

2.2.5　安全管理威胁

安全管理制度、人员操作管理以及协同作业管理存在安全威胁和风险，需要结合具体的应用场景制定管理制度、规范以及监管和追责措施。

2.2.6　身份认证威胁

边缘计算系统规模巨大，边缘网络接入及交互装备和系统繁多，需要通过身份认证构建可信边缘网络，否则易被伪装者以合法身份入侵，窃取重要信息或破坏整个边缘网络。

3.1　安全防护体系

传统云计算中心体系架构分为IAAS、PAAS和SAAS，与之对应边缘计算体系架构为ECIAAS、ECPAAS和ECSAAS。边缘计算安全体系架构的设计需要围绕边缘计算应用体系架构的技术划分层次，构建立体化、全流程、全周期、可信及智能化的边缘防护体系。

边缘计算在实际应用场景中呈现类人脑的工作机制，云计算中心负责全局资源管理、任务协调以及安全统筹控制，雾计算作为中枢神经充当区域计算、存储和作业协调中心，负责局部的任务协调、资源配置以及安全管控，边缘终端与实际用户以及其他网元进行交互，负责任务执行和信息采集及上报，依据任务特点聚合三方协同配合完成作业，而安全威胁则贯穿于整个作业处理的全流程节点及网络，根据其所在的领域、网络空间及物理空间的特点，设计部署安全装备，并配置个性化的安全规则，设计实现对防御全域的纵深定制化的安全预案，囊括物理安全、资源安全、节点安全、网络安全、数据安全、应用安全、态势感知、安全管理编排、身份认证、权限管理、安全运维以及应急响应等。

通过引入人工智能相关技术，构建基于物理空间和网络空间特征的安全防御模型及风险应对行为执行策略，实时探测防御范围内的安全风险和安全情报，并评估获取的漏洞和风险，以达到提前或实时应对威胁处置和安全干预的目标。

安全防护也可借用边缘计算和雾计算的高带宽、低延迟以及位置感知特性，通过云计算中心实现全域安全资源的配置和区域防御流程的编排，利用策略控制器实现就近防御策略的任务执行，从而达到局部区域协同防御安全风险和APT攻击，保证边缘计算的安全、可靠以及灵活个性的架构优势和能力。

边缘计算系统安全防御体系的设计与实现，覆盖边缘计算应用体系的各个层级。不同层级之间有不同的属性和安全要求，是安全体系方案差异化设计的重要参考和依据。

为了实现边缘计算安全防护体系架构的规范和统一，总体上要求统一的态势感知与安全情报共享、统一的安全管理与流程编排、统一的身份认证与权限管理、统一的安全运维与应急响应、统一的密码支撑体系和机制、统一的资源管理和配置以及统一的数据安全管理，最大限度地保障整个边缘计算网络系统的安全与可靠。

(1）应用安全。应用安全主要包含白名单、恶意攻击防范、WAF、安全检测和响应、应用安全审计、软件加固和补丁、安全配置管理、沙箱及访问行为监管等。其中，白名单是边缘计算安全架构的重要功能，由于终端的海量异构接入，业务种类繁多，传统的IT安全授权模式不再适用，往往需要采用最小授权的安全模型管理应用及访问权限。

(2）数据安全。数据安全包含数据隔离和销毁、数据防篡改、数据加密、数据脱敏、数据访问控制、数据防泄漏和数据隐私保护等。其中，数据加密包括数据在传输过程的加密和存储过程的加密；边缘计算的数据防泄漏与传统的数据防泄漏有所不同，边缘计算的设备往往是分布式部署，需要考虑这些设备被盗后数据被获取也不会泄露任何信息。

(3）网络安全。网络安全包含网络安全隔离、重用已有协议安全、IPSec、防火墙、入侵检测和防护、DDoS防护、VPN/TLS、隐蔽通信和加密通信等。其中，DDoS防护在物联网和边缘计算中至关重要，越来越多的物联网攻击是DDoS攻击，即攻击者通过控制安全性较弱的物联网设备来集中攻击特定目标。

(4）节点安全。节点安全需要提供基础的ECN安全、安全与可靠远程升级、轻量级可信计算、软硬件加固、安全配置、防病毒、漏洞扫描和主机监控与审计等功能。其中，安全与可靠的远程升级能够及时完成漏洞和补丁的修复，避免升级后系统失效；轻量级可信计算用于计算CPU和存储资源受限的简单物联网设备，解决最基本的可信问题。

(5）资源安全。资源安全需要提供物理资源（云主机、云终端）和虚拟资源（虚拟机隔离、网络、存储、数据以及操作系统）的安全、资源访问控制以及数据库防护。其中，物理资源和虚拟资源协同安全防护是常见的边缘资源安全防御形式。

(6）物理安全。物理安全需要提供物理访问控制、智慧门禁和机房、防盗防破坏、防水防潮、温度湿度控制、防雷防火防静电、配电供应、电磁防护和红黑电源隔离等功能。其中，物理安全防御需要结合具体的领域和安全级别要求实施安全管控。

(7）安全态势感知和安全流程编排。网络边缘侧接入的终端类型广泛、数量巨大以及承载的业务繁杂，被动的安全防御往往不能起到良好的效果。因此，需要采用更加积极主动的安全防御手段，包括基于大数据的态势感知和高级威胁检测、综合安全监管和风险评估、安全合规审计和威胁溯源、漏洞统计和杀毒库升级以及统一的全网安全决策指挥，从而更加快速响应安全风险和强化安全防护，结合完善的安全情报共享和防御流程编排，最大限度地保障边缘计算系统的安全、可用及可信。

(8）认证权限管理和运维应急响应。身份认证和权限管理功能遍布边缘计算所有的功能层级，由于在网络边缘侧是海量设备的接入，传统的集中式安全认证面临巨大的性能压力。特别在设备集中上线时，认证系统往往不堪重负，需要采取根据需求行为的最小授权模型，实施去中心化、分布式的认证方式。统一运维及应急响应需要实现监管、自动化及可配置。

(9）密码和可信管理。作为整个边缘计算系统的安全基础设施，需要强化对密码相关装备及管理系统的安全防护，通过量子密码、安全多方计算及零知识证明应对新技术变革及量子技术引入的安全风险。边缘计算系统的PKI公钥基础设施采用区块链技术实现证书、密钥全周期及密码机负载均衡的管理，借助于区块链的分布式共识记账技术、隐蔽通信及审计保障可信边缘网络的安全，降低单点故障类安全风险。

3.2　边缘计算体系防护机制

边缘计算在网络空间按照传统的安全防护体系设计，主要分为安全基础设施、四个安全功能域和四个全域统一安全支撑。其中，安全基础设施支撑主要是密码及可信基础设施的全网统一共建共享；应用域用来支撑攻击防范和威胁保护；数据域用来保证数据在接入控制、传输、分析、存储和共享的全周期安全流转，其中具体包括内存加密、系统加密、硬盘加密、加密传输和脱敏共享等；网络域用来保障网络传输的机密性、完整性、可用性和可认证性等；设备域用来保护硬件服务器、终端及各类组件的物理安全、电磁安全、节点安全及资源安全等；统一认证和授权用于确保接入边缘网络的网元均是可信的，且按照统一权限模型授权及操作；统一运维及响应用于保障边缘系统安全资源统一管理、任务协商及安全应急处置；统一态势感知用来保障边缘计算系统全域安全态势监管、审计、分析、评估、统计、预警、溯源、决策及共享；统一安全流程编排主要是获取安全情报、情报分享安全规则设置、安全场景编排、协同防护流程编排、资源池化配置及安全服务全周期管理；对于边缘计算支撑的基础设施及应用系统的安全防护，要以体系化的综合思维分析和设计安全措施及安全产品，在确保边缘计算的网速、延迟、感知、成本、数据安全和灵活定制的优势基础上，协同联动安全加固其所在的范围和覆盖的对象，强化安全防护等级，实现全域资源统一管理和分配、接入身份统一认证和最小授权、网络隔离和保密统一安全管控、云计算中心和边缘终端的虚拟化防护、安全体系密码和可信统一支撑、安全态势和情报统一处理和共享、数据安全统一管理和共享等。

边缘计算体系化全域协同安全防护机制，在融合边缘计算的网络空间和物理空间特性及安全资源映射的基础上，各安全防护措施均应增加地理空间位置维度信息。

边缘计算网的安全体系设计需要结合网络空间的安全资源池化、能力服务化、流程可编排化、基础支撑统一化及物理空间安全资源有限、异构及攻防交互深度相关性等特点，综合通用的网络空间安全防御，从边缘终端防护到边缘计算服务器防护，从节点入网验证到网络层流量及协议防护，从应用层攻击检测、监管及审计到数据的全周期安全防护。

其中，数据作为边缘计算网的核心，其安全防护实现基于数据分级分类的接入、分析、传输、存储、共享以及销毁等闭环安全管控，而边缘防护具体实现时需要结合威胁诊断、防护能力等级及安全资源的物理空间特性，打造四维空间防护加网络虚拟空间防护的立体化安全体系，采取安全云中心、安全雾计算网关及边缘计算服务器和边缘终端三层级安全防御决策执行结构，根据就近原则进行针对性的安全防御流程编排及风险应对，从而充分利用边缘计算网的优势赋能边缘安全防护，实现边缘计算网的安全资源合理化的使用、释放及回收。

其中，依据地理空间位置进行网络空间安全资源管理的功能包括安全资源的管理和配置、防护流程的编排、安全防护的协同组合、运维及应急处置、身份的认证及最小授权、数据安全共享及交换和安全情报共享及态势感知。

3.3　边缘计算可信防护机制

在边缘计算全域协同安全防护网基础上，通过区块链的特性构建边缘安全可信网，其中包括区域可信、全域可信以及可信共享。应用区块链的共识记账技术达成系统安全防护的鲁棒特性，防止传统安全防护技术单点故障或者DDoS攻击导致的安全防护能力破坏；利用私有区块链打造边缘计算区域安全可信网，借助多因素身份认证技术或零知识证明技术，确保接入边缘网络的异构边缘终端（手机、平板、传感器、智能终端、计算机、公交车、汽车、无人车、无人机及无人艇等）是可信的，达到对边缘端点联接入网的事前安全管控；利用边缘网关和联盟链打通云边端的全域可信协同网络，实现边缘网络的可信安全资源在整个边缘网络域内自由组合和编排，应用区块链的不可篡改特性实现事中监管和事后威胁可追溯，从而保障数据的真实性和完整性，利用区块链网络的P2P传输机制和点对点加密通信机制，实现边缘计算网络中端到端的隐蔽通信及重要数据的安全保密；利用公有区块链实现边缘计算网与互联网之间的跨域应用可信通信及数据安全共享，通过区块链的智能合约及智能算法的融合，实现可以依据安全威胁场景进行自主智能化安全防护及风险应对。

3.4　边缘计算智能化防护机制

利用边缘智能和中心智能协同构建智能化的边缘防护体系，智能中心即安全大脑负责边缘网络全域信息的管控统计分析、分类管理及智能防御能力强化，利用边缘侧上报的威胁和风险数据建立和训练安全模型，自上向下分发已经训练成熟的安全模型到边缘网关即安全中枢神经，安全中枢神经结合其负责区域的安全态势及资源状态适配调整安全模型，并且将适配调整后的安全模型下发边缘节点即安全器官，边缘服务器根据传感器等端设备收集的终端数据和本地安全模型，利用智能算法评估执行安全防护手段，根据不同终端体系结构、计算、存储、网络资源特点以及外部威胁特征，动态增强本地安全防护模型，从而使得边缘端点安全防护能力因变而强。

利用边缘计算分布式的特点构建局部及全局区域的协同防御智能体系，由点及面不断加强风险安全防护的综合实力，实现安全防御战力全面进化升级。