案例赏析：边缘计算数据安全和隐私保护





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

国务院：审议通过《网络数据安全管理条例（草案）》

2024-09-02

聚焦医疗数据安全｜美创亮相“2024健康中国医疗健康产业大会”

2024-08-29

美创荣获“中国数据安全领域最具商业合作价值企业”

2024-08-28

国家数据局：数据产业和企业数据资源开发利用政策即将出台

2024-08-28

从这三方面入手，杜绝“删库跑”！

2024-08-22

《财政数据分类分级规范》地方标准通过立项评审

2024-09-14

保护敏感数据：数据安全指南

2024-09-14

福建自贸试验区首批数据跨境流动清单发布，涉及4个行业15大应用场景

2024-09-13

数据博弈：跨国公司如何应对跨境数据披露困境？

2024-09-12

以区块链技术维护国家数据安全

2024-09-10

案例赏析：边缘计算数据安全和隐私保护

发布时间：2024-06-24 阅读次数： 247 次

【案例1】智能交通

车联网使用不同的通信技术，包括专用短程通信（DSRC）、蓝牙、Wi-Fi和移动通信网络等，这些技术实现了不同的通信模式，如车对车（V2V）和车对万物（V2X）（包括车对云通信）。同时ITS运行过程中会产生大量的数据和运算，现今智能汽车有限的计算和存储能力难以满足大量计算需求和低时延的限制，边缘计算可以很好地解决这些问题。

可以用区块链来增加边缘计算系统中的数据安全。Wazid等提出通过区块链来增加ITS安全，并提出一个由公共区块链提供的ITS安全通信框架——PBSCF-ITS，可以保证车辆与车辆、车辆与路侧单元、路侧单元与云服务器之间的访问控制和密钥管理。图1给出了系统的网络模型，由智能车辆、RSU、云服务器、用户和交通监控系统组成。一辆智能汽车可以通过DSRC或移动通信网络与附近的其他智能汽车或RSU进行通信，并可能通过移动通信网络与云服务器通信。RSU可以通过有线或无线网络与后端系统（如云或注册机构）进行通信。交通监控系统通过后端通信连接到云服务器，如有线或无线骨干通信。车辆中的传感和监控系统从周围环境中感知数据，并将信息发送到云服务器进行额外处理和存储。其他网络实体也产生数据并将其发送到云服务器。ITS环境的数据是以公共区块链的形式存储在P2P（点对点）云服务器中。使用区块链可以防止一些潜在攻击，如数据泄露攻击和数据修改攻击。根据讨论的网络模型，发生以下类型的安全通信：V2V、V2RSU和RSU2C通信，交通监控系统到云服务器通信和用户到云服务器的通信。整个通信是通过一些无线或有线通信技术进行的，然而，这种类型的通信对网络攻击者是开放的，它可以通过前面讨论的不同类型的攻击进行破坏。车辆网络中无线信道的开放性本质上诱使攻击者发起不同的攻击。

图1 边缘计算智能交通应用实例框架

1）安全通信框架

PBSCF-ITS主要分为以下几个阶段：

（1）系统初始化：选择一些重要的加密原语和参数，这些原语和参数是其他阶段所需要的，如“注册、访问控制和密钥协议”。

（2）注册阶段：参与的实体必须在使用网络服务之前进行注册。可信任机构通过安全通道以在线方式进行各种实体的注册，具体包括智能汽车注册、RSU注册、云服务器注册。

（3）访问控制：需要在不同的智能车辆、车辆及其附近的路边单元（RSU）之间提供安全的访问控制。车辆之间的访问控制和车辆与RSU之间的访问控制是不同机制。

（4）动态车辆增加：在车联网中新增一个智能汽车，需要首先由可信任机构为智能汽车生成私钥，之后进一步为智能汽车生成随机临时身份以及随机秘密，用来计算其对应的公共参数。

（5）块创建、验证和添加：首先RSU以交易的形式将数据安全地发送到云服务器，其中云服务器形成一个点对点（P2P）云服务器网络。一旦交易被广播到网络中，它就可以被加载到交易池中，交易池由网络中的每个对等节点维护。当交易池达到预先设定的交易阈值时，从网络中以轮流方式选出一个领导者，并构建一个区块，使用实用拜占庭容错（PBFT）共识算法执行基于投票的共识机制。在执行PBFT后，提议的区块将被添加到区块链中。

图2给出了框架的整体流程图。它提供了上述所有阶段的快照，如注册、访问控制和密钥建立，以及区块链创建。步骤0与RSU和云服务器的注册有关。步骤1和2与智能车辆的注册有关。在这些实体成功注册后，各自的凭证被加载到它们的内存中。步骤3~5用于车辆和RSU的访问控制和密钥建立过程。类似的步骤用于一个车辆与其邻居车辆的访问控制和密钥建立过程。步骤6用于RSU和CS之间的密钥建立。RSU使用步骤7将交易安全地发送至CS。共识和区块链的实施最终在步骤8中进行。

图2 边缘计算智能交通应用实例框架

2）预防攻击的稳健性

（1）重放攻击：又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。随着智能汽车的普及，越来越多的攻击者尝试利用重放攻击绕过汽车认证系统，对智能汽车实施控制和攻击。PBSCF-ITS可以很好地预防重放攻击。PBSCF-ITS使用3类信息，所有这些消息都是与新生成的时间戳和随机秘密一起计算的，这些消息在到达接收方时也会被验证。如果对手A试图重放旧信息，接收节点可以通过检查时间戳轻易地发现恶意事件。

（2）中间人和冒名顶替攻击：中间人攻击是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。在智能汽车中，攻击者通过伪基站、DNS劫持等手段劫持通信会话，监听通信数据，一方面可以用于通信协议破解，另一方面也可窃取汽车敏感数据。在PBSCF-ITS中，系统设定攻击者在不知道原消息和密钥的情况下，想要伪造身份，需要解决计算困难的椭圆曲线离散对数问题，这对于攻击者在多项式时间内是不可能的。因此PBSCF-ITS在通信过程中防止了中间人攻击。

（3）临时密钥泄露和特权内部攻击：在PBSCF-ITS中，没有永久（长期）密钥的情况下，攻击者通过会话劫持攻击得到的短期密钥无法推测出长期密钥。一个有特权的内部用户无法计算会话密钥，因为在成功注册实体后，大部分敏感信息都会从数据库中删除。此外，会话密钥对每个会话都是不同的。这意味着，即使一个特定会话中的会话密钥被破坏，未来和以前建立的会话密钥都是安全的。因此，PBSCF-ITS可以抵御临时密钥泄漏和特权内部攻击，并保持前向和后向的保密性。

（4）车辆物理捕获攻击。在PBSCF-ITS中，车辆的车载单元在其内存中存储信息交互信息。攻击者可以从物理上窃取车载单元，以提取其内存中的敏感信息。然而，每个车载单元中的信息都是不同的。存储在其他未被破坏的OBU中的凭证是唯一的和不同的，被破坏的车载单元的信息将不会对攻击者有太大帮助。用窃取的信息不能推导出其他未被破坏的智能车辆之间，以及智能车辆和云服务器之间的会话密钥。因此，PBSCF-ITS对车辆的物理捕获攻击是有预防性的。

【案例2】智能家居

智能家居作为新兴物联网技术发展中最具有前途的应用，正在获得工业界和学术界的广泛关注。它由众多属于不同应用领域的连接设备组成。这些设备的特点是具有异质的硬件和软件资源，并且它们支持不同的通信技术。通过共存、互动和相互合作，这些设备形成了一个分布式异构网络。图3是一个典型的智能家居场景，由许多属于不同应用的连接设备组成，它们之间使用不同的技术进行通信，并连接到网关/路由器，这些网关/路由器提供与外部网络的连接，如互联网。

图3 一个典型智能家居的例子

1）安全挑战

智能家居中存在的主要挑战阻碍了传统网络中使用标准安全机制。

（1）资源限制。大多数智能家居设备被设计成低功率和小尺寸的，这限制了它们的计算能力和存储能力。安全机制算法，如RSA和ECC，都是需要非常密集的乘法指令来执行的，而硬件资源有限的智能家居设备很难运行这些常见的加密算法。

（2）异质通信协议。由于智能家居中的设备来自不同应用和不同生产厂商，设备的通信协议不一致，设备与设备之间的连接通常需要借用中间网关，这对实施智能家居中的终端设备和互联网应用之间的端到端安全解决方案构成了重大限制。

（3）不可靠的通信。前面描述的大多数通信协议都不能保证数据包交付的可靠性。事实上，由于碰撞或高度拥挤的节点，数据包可能失败或被损坏。重传和错误处理算法需要大量的开销，这在低功率网络设备中是不能容忍的。

（4）能源限制。在智能家居场景中，有许多设备都是用电池供电，因此其通信、存储和计算的能源利用率有限，这会造成两个安全问题。首先，能源限制使设备容易受到资源耗尽的攻击，这些攻击迫使设备保持清醒，消耗能源。其次，在这些设备中实施安全策略增加了计算、存储要求和通信开销，所有这些都极大地消耗了设备的可用能源。

（5）物理访问。在智能家居中，设备可能一直处于无人看管的状态，容易成为被篡改的攻击目标。如果攻击者获得了智能家居中设备的物理访问权，他可能会从设备中提取预先设定的加密密钥和其他敏感信息。

2）安全威胁

无线网络的现有安全威胁以及新的安全威胁都适用于智能家居，可以大致分为以下几个分类。

（1）物理层攻击。干扰和篡改是物理层的两个主要安全威胁。

①干扰：包括发射无线电信号，目的是干扰或破坏受害者设备的通信。

②篡改：给予攻击者对设备的物理访问权限，会引发其他的众多攻击，包括恶意代码注入、安全信息的窃取、仿造设备等。

（2）数据链路层攻击。通常情况下，数据链路层代表了通信栈中最脆弱的一部分。

①KillerBee：这个框架提供了一套利用ZigBee和IEEE 802.15.4网络漏洞的工具。KillerBee简化了狙击、流量注入、数据包解码和操纵，以及侦察和利用。使用KillerBee可以进行许多攻击，如PANId冲突、重放攻击、数据包捕获和网络密钥窃取等。

②GTS攻击。保证时隙（GTS）攻击是基于IEEE 802.15.4超级帧组织在信标启用的操作模式下的属性。GTS 槽创造了一个脆弱点，可以允许攻击破坏设备和其协调者（网关）之间的通信。对手可以获得分配的GTS时间，并能够在这些时间中的任何时刻制造干扰。干扰将导致设备间数据包的碰撞和损坏，并使目标节点反复重传数据包。

③Back-off操纵：这种攻击可能发生在基于CSMA/CA的网络中，如IEEE 802.11和IEEE 802.15.4网络。恶意设备利用分布式协调功能不断选择一个小的后退间隔进行争夺，不给受害者设备以媒介访问的机会。

④ACK攻击：对手可以通过窃听无线信道对目标智能家居环境实施ACK攻击。对手可能会阻止接收设备接收传输的数据包，然后可以通过发送虚假的ACK来误导发送方设备，说它来自接收设备。

（3）传输层攻击。尽管对其他领域的传输层协议的攻击，如泛滥和去同步化，理论上可以应用于智能家居网络中，但目前没有关于对智能家居网络传输层的具体攻击的记录。

（4）应用层攻击。文献中已知的许多应用层攻击可能也适用于智能家居。如XMPPloit，这是一个命令行攻击工具，用于攻击XMPP连接，利用XMPP协议的客户端和服务器端的漏洞，XMPPloit可以迫使智能家居客户端设备不对其通信进行加密，因此攻击者可以在其传输过程中读取和修改它们。

3）安全要求

（1）用户认证。在智能家居中，具有联网功能的设备需要软件更新、安全补丁和数据交换。所有这些操作都需要由授权用户来执行，如果没有可靠的用户认证，智能家居设备将被完全暴露在攻击者面前。

（2）设备认证。智能家居中设备之间是互联的，如果没有设备认证，那么恶意设备可以随意加入，会导致整个智能家居设备都被暴露在攻击者面前，系统的安全性被完全破坏。所以设备之间要有严格的认证协议，要能识别智能家居网络中合法设备和未授权设备的能力。

（3）监控网络。在智能家居中，不同的设备实体与网络相连，攻击者可以通过DoS攻击来攻击智能家居网络。因此，在网络中安装监控和入侵检测工具来检测网络入侵和报告流量异常是非常重要的。

（4）物理保护。众所周知，电子设备经常无人看管，容易受到篡改攻击。因此，物理保护是智能家居的重要要求之一。防篡改设备或防逆向工程方案将是防止篡改攻击的解决方案。

【案例3】智能医疗

智能医疗是利用先进的网络、通信、计算机以及数字技术，实现医疗信息的智能化采集、转换、存储、传输和后处理，及各项医疗业务流程的数字化运作，从而实现患者与医务人员、医疗机构、医疗设备之间的互动，逐步达到医疗信息化。

作者提出的智能医疗系统架构分成3个层面：传感器层——边缘设备收集数据；网络协调器层——多个连接的边缘设备向边缘服务器发送数据；决策层——边缘计算层在短时间内处理数据，快速进行决策。图4显示了拟提出的隐私保护模型的系统结构。在这个架构中，不同的任务各个实体相互作用，如数据采集、数据聚合、存储和分析。

图4 边缘计算智能医疗应用实例

（1）智能用户：智能用户可能是健康人、癌症患者、危重病人、医院病人、医生、护士、实验室技术人员等。生物传感器已经植入患者体内，以捕获用户生物信号，传感器被聚集在物联网设备中，收集的数据以加密的形式存储在云存储中。

（2）边缘网关：这个智能设备负责对从智能用户社区收集的小数据进行远程处理。这些数据的本地诊断是为了控制智能设备，如心脏泵、氧气供应等。它还对数据进行加密，并将其存储在云存储中，以便后续进行更多的分析，并允许医生在治疗过程中访问。

（3）数据库管理器：该管理器主要负责数据存储和查询处理。处理后的查询将从密钥生成器中搜索出加密密钥。

（4）边缘服务器：管理来自不同的智能社区用户的所有数据资源，并将它们组织在不同的集群中，以其加密的形式进行分析。

1）加密模型

加密模型是基于图5所示的下列场景构建的，适用于有多个数据所有者和接收者的情况。一组身体传感器被部署在病人的身体上，感应到的数据被汇总到监测设备中。之后，会产生一个记录，称为病人健康信息（PHI）。该PHI在病人的医疗手机中生成，并以加密的形式外包给云端。在将其储存在云端之前，它将来到一个可信的第三方（边缘服务器），在那里进行以下操作。这里假设所有的数据都是文本格式的。

图5 智能医疗应用实例加密模型

（1）属性中心：通过熵计算来设置属性的值。根据属性的值，它们被优先排序，并且为每个属性分配一个预定义的值。

（2）密钥生成器：将根据一些参数值来计算数据的密钥。这些值存在于PHI中，并且根据设定的两个值，生成一个密钥。

（3）查询处理器：将负责查询处理。当任何接收者想要访问特定患者的PHI时，他/她将向服务提供商发送带有患者ID和其他详细信息的查询。查询处理器将处理查询并生成值作为令牌。该令牌将提交给密钥生成器，搜索到的PHI的密钥将通过盲令牌发送给接收方。最后，接收者只能在PHI中获取他们需要的那些属性的数据。由于隐私政策，其他属性的值保持关闭。

2）访问控制模型

访问控制系统（ACS）用于保护系统和资源不受未经授权方的影响。访问控制系统检查和决定访问权限，以便在医疗场景中允许或拒绝给定主体的访问。允许和拒绝是基于关于访问环境和条件集的明确的访问控制政策。在收到访问请求后，该模块将评估当前的访问环境和准则，以决定收到的访问请求。图6显示了在基于边缘计算的智能医疗中提议的访问控制模块。