一、概述
2019年1月,美國陸軍研究實驗室(ARL)和Techinica公司達成合作協議,針對美國國防部需求研發一個智能霧計算平臺(Smart Fog)為拒止和競爭環境中的作戰人員提供增強的態勢感知能力。2019年5月,美國ManTech公司推出了霧計算平臺“安全戰術邊緣平臺”(STEP),這是一種高帶寬、堅固、安全和可擴展的解決方案,將為嚴苛環境中的作戰人員提供實時數據分析能力。“霧”會在帶寬有限的戰場上保存和緩存來自傳感器和設備的數據,只向云發送必要的基本信息,最大限度地減少資源并提高安全性。當連接穩定后,再將完整的數據傳到云端。
由此可見,安全性是霧計算部署實施過程中的關鍵問題。系統必須有一個共同的安全基線,確保基本的互操作性和安全保護。加密為霧計算提供了實現安全服務的機制,這些安全服務包括機密性、完整性、身份驗證和不可否認性。加密函數可以在平臺安全處理器中實現,以保護加密密鑰和安全策略,進而保護其他對象。加密函數還可用于為受信任的軟件提供安全的執行環境,并保護其中的存儲和通信。
本文將從節點安全、網絡安全和數據安全三個方面,分別分析霧計算在部署實施過程中遇到的安全問題。
二、節點安全方面
圖1所示為開放霧節點的安全架構,該架構可分為四個水平“區域”:
自下而上的第一層是硬件層。此處可能存在許多可選的硬件加速器。圖1中顯示的是SoC上的加密設備,它可能是外部設備,也可能作為特殊說明出現在處理器ISA中。此處還顯示了其他的通用加速器。系統mmu和iommu也與物理核心一起位于此層。硬件信任根(HW-RoT)也是硬件基礎設施的一部分,可以嵌在芯片上或提供此功能的外部設備中。
第二層包含了系統固件、可選ROM和NVRAM平臺。這些組件的存在及其性質取決于平臺。為了支持HW-RoT和信任鏈的擴展,在受信任的系統ROM上必須有一個不可變的固件,這是開機后平臺上執行的第一行代碼。
第三層是虛擬層。它實例化和管理虛擬設備,例如,圖1所示的vSoC設備,并將它們按照OAM(操作、維護和管理)系統的指令分配給虛擬機。它還實例化了部分其他虛擬設備,這些設備主要包括外部物理設備(如所示的vNIC)。這些虛擬設備完全由硬件支持,該硬件可存儲繞過虛擬機管理程序的數據(如SR-IOV兼容設備)或軟件模擬的虛擬實例(如共享的硬盤)。如果物理內核支持SMT(同時多線程),那么不論虛擬內核是不是硬件線程,它都允許顯示其他虛擬內核。
最后一層主要是實現虛擬機的實例化。物理資源在此處由虛擬機管理程序映射為虛擬資源。虛擬機中的操作系統管理應用的地址空間,這些空間可以實例化為單獨的應用地址空間或Linux容器。
圖1 開放霧節點安全架構
有許多連接各層并提供系統服務的函數,這些函數可以創建由受信任組件組成的安全信任鏈。這些由圖1中各層之間的垂直箭頭表示。
(一)運行時完整性檢查(RTIC)和自省
安全啟動或測量啟動不能確保已安全實例化的軟件在執行過程中不出現錯誤或被病毒感染。在運行過程中進行完整性檢查的目的是在執行期間監控和偵查鏡像中代碼和靜態數據的改變。這是通過在執行之前運行一組RTIC的特定工具來“理解”圖像構造(即代碼和靜態數據頁所在的位置)實現的。管理程序可以承載RTIC機制,基本假設是管理程序本身是受信任的。RTIC僅用于檢查虛擬機。所使用的機制大多是被動的,因為頁面表單經過修改后,可以對不應該寫入頁面的內容進行檢測,這一過程由策略驅動。通常,虛擬機會被終止。
目前,這種方法還沒有產品實現,但KVM和Xen管理程序中至少有一個實現正在開發中。
解決此問題的另一種方法是內存加密,它可以保護加密“容器”中的代碼和數據免受外部攻擊。盡管這樣,敵方仍然有可能利用漏洞或對先前感染的鏡像進行攻擊。當這些“容器”必須走出來以獲取服務或數據時,它們也容易受到漏洞的攻擊。雖然可以以這種方式保護靜態和動態的代碼和數據,但容器之外的代碼和數據都不會受到保護。
當這個問題有一個更成熟的解決方案時,霧節點應借助RTIC方法保護節點免受危害。公共場所的節點不一定比保護區中的節點更有用,因為攻擊并不一定需要物理訪問。
(二)調試、性能監控和分析控制
在系統部署后,應關閉所有形式的調試(包括硬件和軟件)、性能監控和分析控制。這些機制為具有物理訪問或遠程訪問的第三方提供了一種技術,以破壞系統的安全機制,或深入了解系統的行為,從而允許未來的側信道攻擊。
如果在現場需要其他調試、監控或分析信息,則必須有機制來確保為合法人員的特定訪問提供安全的授權。
三、網絡安全方面
作為在運營技術前端設備和云計算數據中心之間部署的普適計算基礎設施,安全的開放霧計算平臺不僅能夠提供高度可用的實時可信計算服務,而且還能夠很好地定位以實施動態多層縱深防御策略,保護對我們日常生活至關重要的物理網絡系統。為了完成這一雙重任務,開放霧計算平臺必須通過提供網絡安全性和持續安全監控與管理來加強節點安全性。
圖2 開放霧計算安全功能層和操作平面圖
圖2所示為一個架構平面圖,該架構提供了具有端到端安全性的兩個操作平面:安全調配、安全監控和管理,以及三個功能層:通信安全、服務安全和應用安全。此架構符合ITU-X.805建議,也符合開放網絡基金會(ONF)建議的軟件定義網絡體系結構(ONF/SDN)。下面將對三個功能層進行詳細闡述。
(一)通信安全層
該層在設備—霧—云計算層次結構中的所有實體之間的物理/虛擬通信信道內實現了X.800中推薦的以下通信安全服務。
(1)機密性
? 連接和無連接數據的機密性
? 通信流量機密性
(2)完整性
? 連接恢復的完整性
? 具有偵查功能的無連接完整性
? 防重放保護
(3)可認證性
? 無連接通信的數據源身份認證
? 基于連接的通信對等實體認證
? 已認證的信道訪問控制
(4)不可否認性(可選)
? 數據源的不可否認性
? 目的地的不可否認性
設備—霧—云計算統一體中發生的通信可分為三種安全通信路徑:節點到云的安全通信路徑、節點到節點的安全通信路徑和節點到設備的安全通信路徑。由于霧節點通常充當云服務器對其相關前端設備的代理,同時將這些前端設備聚合到云服務器并表示這些前端設備,因此這些路徑應協作,以保持前端設備和云服務器之間的互操作性。以下重點介紹了各種途徑的預期功能和建議的做法。
圖3 開放霧計算安全通信路徑
(二)節點到云的安全通信路徑
為了確保這些通信路徑的安全,霧節點需要為自己和其所代表的前端設備實現所有X.800通信安全服務(包括不可否認性)。應使用從霧節點中安裝的硬件信任根派生的安全憑證實現強認證和不可否認服務。應根據云服務提供商與霧節點管理器之間建立的通信安全策略強制實施信道訪問控制,作為其服務級別協議的一部分。所有的加密操作都應由嵌入在霧節點中的密碼加速器執行,而加密密鑰則應作為安全監控和管理操作的一部分進行管控。
這些路徑還有望保留云服務器使用的因特網通信協議和API,用于與前端設備(包括IoT設備、個人移動設備、POS終端、獨立計算機和服務器)進行通信。當前,幾乎所有這些通信都是通過以下兩個協議套件作為Web服務事務實現的。
表1 用于安全節點到云通信的協議套件
(三)節點到節點的安全通信路徑
分布式霧計算平臺可能由跨越多個子網或管理域的霧節點層次結構組成,但這些霧節點需要相互協調以實現特定目標。基于事務的客戶端—服務器計算模型和基于事件的發布—訂閱消息傳遞模式應實現節點間的信息交換,以實現直接、及時的交互。以下協議套件通常用于實現這些范例。
表2 用于安全節點到節點通信的協議套件
與節點到云的路徑一樣,節點到節點的路徑期望霧節點作為通信端來實現所有X.800的通信安全服務,包括不可否認性。應使用從霧節點中安裝的硬件信任根派生的安全憑證實現強認證和不可否認服務。信道訪問控制應根據霧節點管理器在其服務層協議中建立的通信安全策略實施。所有的加密操作都應由嵌入在霧節點中的密碼加速器執行,而加密密鑰則由安全監控和管理操作進行管控。
(四)節點到設備的安全通信路徑
霧節點通常會充當云服務器通信的代理,它會保留前端設備使用的通信協議和API。遺憾的是,不同應用和通信媒介對設備通信協議的選擇是多種多樣的。通過調整互聯網(TCP/UDP/IP)協議套件,努力實現無線、有線通信和工業自動化之間的協議融合。
大多數X.800通信安全服務(不包括不可否認性)可以借助安全協議通過有線/無線以太網,以及因特網的網絡和傳輸層實現。在適應因特網協議的前端設備中,可以使用頒發給前端設備的安全憑據實現強認證。信道訪問控制可以根據霧服務提供商指定的通信安全策略強制執行。所有加密操作都可以由前端設備中加密的嵌入式處理器執行,而加密密鑰可以作為安全監控和管理操作的一部分進行管理。
但是,在許多不精通因特網且資源受限的前端設備中,只有有限的加密功能(如使用手動安裝密鑰的對稱密碼)可用。這些設備必須安裝在受物理保護的通信環境中,并通過硬件連接到一個或多個霧節點,這些節點可以提供大多數的X.800通信安全服務。
隨著對霧計算研究的進一步深入,研究人員將繼續擴大節點到設備通信的覆蓋范圍。
(五)服務安全層
服務安全層不僅能夠提供傳統網絡安全設備提供的信息安全服務,包括深度數據包檢查(DPI)、應用層代理、合法消息攔截、入侵檢測和保護系統(IPS/IDS)、系統/網絡事件和狀態監控、內容篩選和父母監管等,同時,它還可以提供與安全服務捆綁的各類網絡服務,包括vRouters、廣域網加速器、網絡地址轉換器(NAT)、內容交付服務器。
表3 用于安全節點到設備通信的協議套件
隨著越來越多地使用軟件定義網絡來替代專用設備,這些“設備”越來越多地作為軟件解決方案在虛擬機和Linux容器中實現。與上述其他設備一樣,此類安全設備通常稱為網絡功能虛擬化(NFV),或單獨稱為虛擬網絡功能(VNF)。這些虛擬網絡功能以及其他單獨打包的服務很可能被鏈接到一個服務功能鏈路(SFC)上,并使用網絡服務報頭將數據包路由到選定的服務功能路徑(SFP)中。在許多情況下,人們認為這些服務功能將在開放霧計算系統中得以實現。NFV和SFC環境呈現出了它們自己的一組安全問題,包括許多已經討論過的方法,但也引入了下面所討論的一些新挑戰。
提供并保持數據完整性與機密性的可信VNF到VNF通信,需要來自平臺硬件、軟件和固件的許多功能提供支持。除了從信任的硬件根開發出信任鏈外,還需要具備以下功能:
(1)基于VNF + CA建立身份的安全密鑰供應
? 虛擬網絡功能(VNFC)的身份認證
? 非對稱加密
(2)批量數據加密
? 對稱加密
(3)安全持久的密鑰存儲
? 針對私鑰
(4)受信任的VNF到OAM/MANO通信(完整性、機密性)
? 安全軟件更新
? (與上述預配相同)
(5)認證
? 雙方均處于安全狀態
除此之外,研究人員還需要在以下領域針對安全問題引入更多的思考:
(1)服務覆蓋:服務功能轉發器(SFF)的傳輸轉發
? 在服務功能(SF)/VNF之間使用數據包進行加密
? 服務功能轉發器必須對服務功能/VNF端點進行身份認證
(2)啟用服務功能鏈路的域邊界
? 在邊界認證受信任方:防止欺騙和DdoS攻擊
(3)分類
? OAM對分類策略的認證和授權
(4)服務功能鏈路封裝
? 元數據需要驗證其來源
? 敏感元數據的選擇性共享:加密或轉換
此外,網絡服務報頭(NSH)提供了創建動態關系的功能,這些動態關系可能無法提前進行身份認證,并且可能由服務功能轉發器來實現。
(1)任何服務功能或服務功能轉發器都可以動態更新服務功能路徑。
(2)服務功能路徑可以在自身路徑中列出多種服務功能。
另外:
網絡服務報頭可以包含任意(固定或可變長度)的元數據字段,由原始分類器添加,或者由服務功能、服務功能轉發器在遍歷服務功能路徑時添加。它們用于傳達可能對鏈中其他服務功能有用的環境信息。
這引入了另一個數據機密性和隱私條件。由于元數據可以包含服務功能路徑認為必要組件所需的任何數據,因此還不清楚如何有選擇性地在供應鏈中隱藏(或加密)一些字段(當數據包中的信息包含了服務提供商、用戶或部門信息時,這其中的一些信息是專有的、加密的或敏感的),現有架構還沒有解決這些問題,這是一個復雜的問題,包含了許多動態變化、且未知的參與者。
四。數據安全方面
駐留在系統中的數據一般有三類:處理過程中存在于內存中的數據、存儲在非易失性內存上的數據,以及網絡接口中所發送/接收的數據。本節將對如何保護這三種數據的安全性進行介紹。
(一)使用數據
在處理過程中,數據駐留在內存系統層次結構(例如SRAM、DRAM、緩存、交換空間等)中。其中一些數據,例如密鑰材料、個人數據、公司專有數據,甚至專有算法都被視為機密信息,需要受到保護,以免被未授權方讀取或更改。如前所述,內存管理單元(例如mmu、iommu、smmu)可用于保護內存免受來自其他地址空間(如虛擬機)或設備(物理或邏輯/虛擬)的未授權訪問。讀/寫/無執行頁面屬性位還提供了地址空間內的受限訪問。管理程序可以通過抽象和虛擬化硬件來添加一些額外的保護,這些硬件可以直接影響另一臺虛擬機的執行環境。
駐留在交換空間上的內存也應該受到保護。其目的是防止未授權方讀取磁盤上的頁面數據,例如,刪除數據并在另一個系統上讀取它。這可以通過加密來實現。整體磁盤加密是在相對較低的成本下提供此功能的一種方法。
使用外部硬件調試器(如JTAG)和軟件調試器訪問內存不應該在該領域的生產系統中啟用。在離開實驗室或受控環境時,應始終關閉JTAG。當需要調試時,如果允許,則在字段中必須設置控件,以確保只有授權用戶才能使用調試接口,并且對其他所有訪問禁用。
對使用中的數據進行安全保護還會涉及到對加密內存的機密性和完整性進行保護。內存加密用于在執行期間提供代碼和數據的機密性。它用于保護內存中的秘密信息,即使系統的其它部分已遭到破壞,內存中的信息依然受到保護。使用內存加密是基于這樣一個事實:只有CPU包被認為是可信的——而內存不可信。它還有另外一個作用,可以防止攻擊者將代碼注入正在運行的鏡像,因為解密會導致代碼損壞和程序失敗。
由于其速度快,內存加密方案通常使用對稱密鑰加密。此功能需要額外的硬件支持,包括駐留在內存管理子系統中的加密設備、支持加密硬件管理的操作系統,以及與加密內存相關的密鑰管理方法。內存加密并非沒有成本。當內存被提取到緩存并從緩存寫入內存時,內存的動態加/解密會影響內存響應時間。在霧計算環境中,內存加密技術對某些類別的數據和某些應用具有明顯的安全優勢。它可以在威脅分析證明合理的情況下使用。
(二)靜止數據
靜止數據是指駐留在硬盤、固態硬盤(SSD)、優盤、CD、DVD等非易失性存儲上的數據。加密是針對靜態數據的前沿防御。在其他類型的數據中,它保護個人身份信息(隱私)和其他敏感數據(機密性),對具有正確密鑰的人進行限制性訪問,阻止沒有密鑰的用戶訪問數據,避免存儲介質受到某種形式的物理損壞。
它還滿足許多合規性要求,消除了有關存儲介質停用的任何顧慮,以及未經授權訪問可能帶來的物理威脅——即使具有物理訪問權限的人員離開了霧節點驅動器,他們也將喪失訪問權限。
加密本身是不夠的——密鑰、策略和證書必須在安全存儲中進行主動管理,以確保它們不會被泄露,并且不會落入壞人之手。系統管理員應該設置一個流程,用于監視從數據庫、應用和OS/文件系統中訪問數據的人員、內容、位置、時間和方式等信息,以及監控對敏感信息的訪問和未經授權的訪問嘗試。所有安全事件都需要記錄以便OAM系統進行后續的分析取證。通過管理程序的實例化,以及虛擬機中操作系統和應用程序的實例化,安全數據必須建立在一個安全的信任鏈上。
通常有三種保護和加密靜態數據的方法:
(1)全磁盤加密
盡管軟件磁盤加密實現也存在,但在磁盤固件中通常使用基于硬件的加密機制來實現全磁盤加密。它的工作原理是自動加密寫入磁盤的所有數據,并自動解密從磁盤讀取的所有數據。這兩種操作都依賴于擁有正確的身份認證密鑰。如果沒有正確的認證密鑰,即使刪除了硬盤驅動器,運行相同或不同軟件的另一臺機器也無法讀取它。全磁盤加密的優點是它不需要軟件或OAM系統的特別注意。如果使用軟件加密,因為硬盤上的所有東西(包括操作系統)都加密了,加/解密過程可能會增加數據訪問時間。全磁盤加密對位于公共場合(如商場、燈柱、街角、路邊、車輛等)的霧設備最有用。由于一個密鑰用于加密整個硬盤驅動器,所以OAM系統應該提供一個加密密鑰備份機制,以防止系統由于某種原因變得不可用,同時需要提供數據檢索功能以及安全備份。
(2)文件系統(和數據庫)加密
文件系統級加密提供了一種方法,可以使用單獨的基于密鑰的訪問和身份認證機制來保護文件或目錄/文件夾上的特定文件。當存儲在磁盤(或其他媒體)上的單個文件需要保護時,甚至需要防止其他應用(或用戶)訪問完全加密的磁盤。在使用中,文件使用對稱文件加密密鑰(FEK)加密。FEK則使用所有者的公鑰進行加密。加密的FEK與加密的文件一起存儲。要解密文件,文件系統首先使用與所有者公鑰匹配的私鑰對嵌入的FEK進行解密,然后使用FEK解密文件。整個數據庫、單條記錄或記錄中的字段也可以進行加密。文件系統加密可以由運行在相同虛擬機中的應用使用,這些應用中的數據是專有的,或者包含了其他敏感數據或私有數據的文件。
(3)文件系統訪問控制機制
文件系統訪問控制機制通過USERID或GROUPID限制對特定文件或文件組的訪問。所有現代文件系統都以某種方式控制文件權限。應用于權限組的基本文件權限是權限類型。
權限組——每個文件和目錄都有三個基于用戶的權限組:
? 所有者:所有者權限僅適用于文件或目錄的所有者,它們不會影響其他用戶的操作。
? 組:組權限僅適用于已分配給文件或目錄的組,它們不會影響其他用戶的操作。
? 所有用戶:所有用戶權限適用于系統上的所有其他用戶,這通常是最重要的權限組。
權限類型——每個文件或目錄都有三種基本權限類型:
? 讀:讀權限是指用戶讀取文件內容的能力。
? 寫:寫權限是指用戶寫入或修改文件或目錄的能力。
? 執行:執行權限影響用戶執行文件或查看目錄內容的能力。
這些機制是定義USERID和GROUPID的操作系統環境中的重要控件。通常為管理員。在為特定操作系統文件環境設置USERID和/或GROUPID時,將通過OAM操作指定訪問權限。如果不同的應用在相同的操作系統環境中運行,每個應用需要對共享文件系統中的數據進行不同的訪問(例如,對于某些應用來說是只讀的,對于數據生成應用來說是可讀寫的),那么這一點會非常重要。
(三)動態數據
動態數據,有時稱為傳輸中的數據,用于描述網絡接口(包括虛擬網絡接口)與霧節點之間發送和接收的數據包,即通過網絡傳輸的信息。系統管理員應該使用VPN、SSL或其他技術為所有正在運行的敏感信息或私有數據進行加密,以保護數據在傳輸過程中不被破壞或以明文形式顯示。
對于動態數據的保護,可以使用兩種方法進行加密:使用加密連接或使用加密文件。加密連接是指通過網絡連接發送的任何內容都自動加密,而不管要發送的信息的加密狀態如何。例如,如果發送一個已經加密的文件,它將在發送時再次加密(使用不同的密鑰)。在傳輸過程中,后續數據的另一種安全方法是使用已加密的文件。由于加密的文件以加密的形式存在,所以它總是加密的,因此是受保護的。
五。結語
目前,霧計算安全的研究還剛剛起步,對于用戶而言,在享受高速率、低延遲和響應時間的高質量服務的同時,還需要避免用戶數據在傳輸過程中被竊聽和盜用,因此,研究人員需要在分析霧計算系統特征的基礎上,深入研究霧計算安全所涉及的關鍵技術,從節點安全、網絡安全、數據安全等三個方面研究數據安全保護解決方案,針對不同的數據類型找到合適的加密算法,實現對霧計算中數據安全的保障。
