【導讀】在大規模商用以及快速發(fā)展的AI芯片技術(shù)雙重加持下，邊緣計算在未來(lái)十年將迎來(lái)爆炸性增長(cháng)。根據Grand View Research的數據，2019年邊緣計算所帶來(lái)的市場(chǎng)價(jià)值約為25億美元。到2027年，這一數值將達到434億美元，年復合增長(cháng)率達到37.4%。

在大規模商用以及快速發(fā)展的AI芯片技術(shù)雙重加持下，邊緣計算在未來(lái)十年將迎來(lái)爆炸性增長(cháng)。根據Grand View Research的數據，2019年邊緣計算所帶來(lái)的市場(chǎng)價(jià)值約為25億美元。到2027年，這一數值將達到434億美元，年復合增長(cháng)率達到37.4%。在巨大的商業(yè)價(jià)值面前，邊緣計算本身潛在的安全優(yōu)勢和缺點(diǎn)同樣引起了業(yè)界的廣泛關(guān)注。以物聯(lián)網(wǎng)（IoT）為例，因更多數據留在網(wǎng)絡(luò )邊緣，大幅減少了數據在傳輸過(guò)程中被截獲的機會(huì )，提高了數據的安全性。不過(guò)，這里面還有一個(gè)有趣的悖論，那就是邊緣計算網(wǎng)絡(luò )泛在、開(kāi)放的特點(diǎn)很可能將網(wǎng)絡(luò )安全的風(fēng)險傳導至系統各業(yè)務(wù)環(huán)節。如此看來(lái)，邊緣安全防護的挑戰很?chē)谰?。從某種意義上說(shuō)，邊緣安全問(wèn)題正在成為限制邊緣計算產(chǎn)業(yè)發(fā)展的障礙之一。

邊緣計算中的安全挑戰

邊緣計算的基本思想是將大量對實(shí)時(shí)性有較高要求的數據留在邊緣處理，盡可能減少數據上傳到云的傳輸時(shí)間，以提高數據的實(shí)時(shí)性和安全性，這是它邊緣計算的優(yōu)勢。然而，每個(gè)硬幣都有正反兩面。邊緣計算優(yōu)勢的背后有一個(gè)不爭的事實(shí)：每臺邊緣設備都代表了一個(gè)潛在的易受攻擊的端點(diǎn)，加之邊緣計算中使用的設備比傳統數據中心或服務(wù)器的設置更小，在設計時(shí)不可能像數據中心那樣予以充分的安全性考慮。在設備更新和維護方面更不能與數據中心相提并論。

綜合來(lái)看，邊緣計算最易受黑客攻擊的窗口主要分布在三個(gè)位置：一是圖1中的邊緣接入側，二是邊緣服務(wù)器端，三是邊緣管理的位置。

圖1:邊緣計算中潛在的攻擊窗口（圖源：邊緣計算產(chǎn)業(yè)聯(lián)盟）

在實(shí)際應用中，圍繞邊緣計算的安全問(wèn)題多且復雜。InfoQ最近的一份報告發(fā)現，邊緣計算將面臨五個(gè)基本的安全問(wèn)題：

一是架構方面。雖然邊緣設備相對容易將數據安全地發(fā)送到云，但云卻很難將數據安全地發(fā)送回設備，因此，在網(wǎng)絡(luò )架構上要予以充分考慮。

二是碎片化傾向。我們可以要求所有物聯(lián)網(wǎng)設備必須經(jīng)過(guò)身份驗證，并遵守隱私政策。根據IDC預測，到2025年，將有414億臺物聯(lián)網(wǎng)設備，要在無(wú)限增長(cháng)的物聯(lián)網(wǎng)設備上實(shí)施統一的隱私政策這將是一個(gè)巨大的挑戰。

三是物理安全。邊緣內的移動(dòng)設備相對數據中心更容易被竊取或以其他方式被進(jìn)行物理操作。比如，邊緣安全漏洞可以讓黑客很容易進(jìn)入到網(wǎng)絡(luò )的核心。尤其是一些邊緣設備在進(jìn)行徹底的測試之前就被匆忙推向市場(chǎng)，采用的技術(shù)沒(méi)有充分考慮蘊含的安全風(fēng)險。

四是安全邊界問(wèn)題。隨著(zhù)時(shí)間的推移，設備最終可能會(huì )超出邊緣計算的邊界，這對管理員理解眾多限制條件帶來(lái)了挑戰。

五是用戶(hù)錯誤?？紤]到邊緣中的設備數不勝數，IT專(zhuān)家也很難預見(jiàn)所有存在于用戶(hù)端的復雜的安全風(fēng)險。

如何讓邊緣計算更安全？

現在，邊緣計算已經(jīng)成為數據和業(yè)務(wù)應用的重要匯聚節點(diǎn)，它重新定義了企業(yè)信息系統中云、管、端的關(guān)系，網(wǎng)絡(luò )架構的變化必然對安全提出了新需求。通常，邊緣計算安全主要遵守六個(gè)基本規則：

一是使用訪(fǎng)問(wèn)控制和監視來(lái)增強邊緣的物理安全。

二是從中心自上而下操作控制邊緣的配置和操作。

三是建立審計程序，將數據和應用程序的托管和更改控制在邊緣。

四是在設備/用戶(hù)和邊緣設施之間應用最高級別的網(wǎng)絡(luò )安全。

五是將邊緣作為IT運營(yíng)中公共云的一部分。

六是要監視并記錄所有邊緣活動(dòng)，特別是與操作和配置相關(guān)的活動(dòng)。

目前，邊緣計算的安全方案大多集中在邊緣計算終端安全、數據安全、網(wǎng)絡(luò )入侵檢測防御等三個(gè)方面。這其中的很多方案屬于被動(dòng)安全，主動(dòng)防御方案相對較少?，F在，大量的邊緣智能部署在無(wú)人值守的設備上，必須強化自身的安全防護能力。

在邊緣計算終端安全方面，邊緣計算網(wǎng)絡(luò )中的設備、終端制造商越來(lái)越多地開(kāi)始在產(chǎn)品中部署不同的加密技術(shù)，以向物聯(lián)網(wǎng)傳感節點(diǎn)或邊緣計算終端提供安全可用的數據。

在邊緣計算數據安全方面，邊緣計算網(wǎng)絡(luò )中開(kāi)始引入大量的傳感量測設備用于用戶(hù)端數據和系統狀態(tài)信息的采集。有一點(diǎn)需要注意的是，這些設備很可能又衍生了其他的數據安全風(fēng)險，在網(wǎng)絡(luò )智能化、傳感化改造過(guò)程中仍需不斷完善。這也是為什么邊緣智能不斷強化敏感數據在存儲和傳輸過(guò)程中的安全性的原因。一方面，我們可以通過(guò)數據加密、數字簽名等機制防止數據被竊取或非法篡改。另一方面，保證密鑰自身的存儲和使用安全也非常重要，他能從根本上確保敏感數據的安全性。

在邊緣計算網(wǎng)絡(luò )攻擊檢測防御方面，面向邊緣計算的多層次網(wǎng)絡(luò )安全感知框架逐漸浮出水面，它對邊緣計算網(wǎng)絡(luò )中大型異構計算和網(wǎng)絡(luò )環(huán)境的網(wǎng)絡(luò )威脅的識別要素和準則進(jìn)行了定義，有助于管理人員做出合理的防御決策。

在邊緣計算產(chǎn)業(yè)聯(lián)盟（ECC）與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟（AII）共同提出的邊緣安全參考框架1.0中，其邊緣安全防護對象覆蓋了邊緣基礎設施、邊緣網(wǎng)絡(luò )、邊緣數據、邊緣應用、邊緣安全等全生命周期管理以及邊云協(xié)同安全“5+1”個(gè)層次，綜合考慮了信息安全（Security）、功能安全（Safety）、隱私（Privacy）、可信（Trust）四大安全類(lèi)別以及需求特征。當然，這是一個(gè)大而全的框架，實(shí)際部署中并非所有的應用場(chǎng)景都會(huì )涉及到全部的安全功能模塊。

圖2:邊緣安全參考框架1.0（圖源：邊緣計算產(chǎn)業(yè)聯(lián)盟)

可擴展的邊緣安全方案

邊緣智能與中心化平臺相比，數量大、部署分散，進(jìn)一步增加了安全防護的難度。因此，邊緣智能需要引入完整的主動(dòng)防御機制，確保海量邊緣設備能夠有效識別攻擊者的硬件篡改和惡意代碼注入，進(jìn)行安全告警。

NXP Semiconductors（恩智浦）的EdgeVerse平臺是一個(gè)功能全面的邊緣計算和安全平臺，包含業(yè)界領(lǐng)先的可擴展嵌入式處理、安全、軟件和行業(yè)解決方案。EdgeLock? 是NXP專(zhuān)門(mén)針對邊緣計算推出的安全平臺，作為EdgeVerse的一部分，EdgeLock? 產(chǎn)品組合中包含安全元件、安全身份驗證器、應用處理器和MCU的嵌入式安全功能，它賦予邊緣節點(diǎn)充分的完整性、真實(shí)性和隱私性，從邊緣到網(wǎng)關(guān)再到云，均提供了可靠的安全性保障。

EdgeLock? 平臺中的安全功能涉及安全啟動(dòng)信任錨、片上加密、可即時(shí)配置的安全解決方案、設備雙向驗證、安全設備管理套件、無(wú)線(xiàn)（OTA）更新和生命周期管理等。

在具體產(chǎn)品上，安全嵌入式處理器是一個(gè)主要類(lèi)型。以i.MX 8M Plus應用處理器為例，它是NXP邊緣計算EdgeVerse方案中的重要一員，也是首個(gè)集成了專(zhuān)用神經(jīng)處理單元（NPU）的i.MX系列產(chǎn)品，在邊緣端可以實(shí)現高性能的機器學(xué)習。為了確保邊緣端的安全，i.MX 8M Plus內置了先進(jìn)的EdgeLock? 嵌入式安全技術(shù)，包括資源域控制器、Trust Zone、HAB、加密啟動(dòng)、采用RSA和橢圓曲線(xiàn)算法的公共密鑰加密，為邊緣節點(diǎn)的安全提供了保障。

圖3:i.MX 8M Plus應用處理器中的安全特性（圖源：NXP）

NXP邊緣計算EdgeVerse平臺上的另一款重要安全產(chǎn)品EdgeLock? SE050，屬于即插可信安全元件，它已經(jīng)通過(guò)通用標準（CC）EAL 6+認證，從邊緣到云端均能保障工業(yè)4.0和物聯(lián)網(wǎng)的安全應用。與安全嵌入式處理器相比，這種安全元件可以靈活地為更廣泛的嵌入式應用增加“即插即用”的安全特性，位物聯(lián)網(wǎng)邊緣設備提供硬件安全防護。

圖4:恩智浦EdgeLock? SE050功能框圖（圖源：NXP）

總之。邊緣計算的優(yōu)勢是毋庸置疑的，因設備分布廣，數據量特別巨大，它的安全防護問(wèn)題乃是重中之重。保護邊緣是一個(gè)復雜的過(guò)程，在傳統的安全原則之外，各企業(yè)和行業(yè)聯(lián)盟也在加緊研究對策，相關(guān)的產(chǎn)品已經(jīng)在市場(chǎng)上廣泛部署。這樣的努力正在進(jìn)行中，且正在加速。

免責聲明：本文為轉載文章，轉載此文目的在于傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問(wèn)題，請電話(huà)或者郵箱聯(lián)系小編進(jìn)行侵刪。

推薦閱讀：

無(wú)線(xiàn) Mesh 網(wǎng)絡(luò )的四種檢測應用

超聲波、激光、毫米波：聊聊自動(dòng)駕駛中的雷達“三劍客”

幾款經(jīng)典高性能電壓基準比較分析，尋求性能和特點(diǎn)優(yōu)化的解決方案

讓我們看看升壓型穩壓器是如何造就兼具升壓和降壓能力的扁平狀SEPIC的？

2022第六屆上海國際自動(dòng)駕駛與智能座艙技術(shù)創(chuàng )新應用展覽會(huì )