劉文懋，雷 新（北京神州綠盟科技有限公司，北京100191）

1 物聯(lián)網(wǎng)應(yīng)用的關(guān)鍵基礎(chǔ)設(shè)施

1.1 面向物聯(lián)網(wǎng)應(yīng)用的云計算基礎(chǔ)設(shè)施

云計算技術(shù)的發(fā)展已經(jīng)超過了10年，無論公有云還是私有云，都具備了提供大規(guī)模計算資源、平臺服務(wù)或應(yīng)用托管的能力。特別是公有云的平臺即服務(wù)（PaaS），可為不同的場景下的應(yīng)用提供諸如AI計算、數(shù)據(jù)存儲、認(rèn)證和消息隊列等服務(wù)，通過按需調(diào)用這些服務(wù)，可組裝成云原生（Cloudnative）的物聯(lián)網(wǎng)應(yīng)用，支持大規(guī)模物聯(lián)網(wǎng)設(shè)備直連云端服務(wù)的應(yīng)用場景。

如亞馬遜AWSIoT平臺提供了物聯(lián)網(wǎng)設(shè)備連接、管理和分析功能，并且提供了如FreeRTOS和1-Click等嵌入式操作系統(tǒng)和微服務(wù)接口，用于無縫對接AWS的各項云服務(wù)。

國內(nèi)廠商如阿里云在物聯(lián)網(wǎng)上推出了物聯(lián)網(wǎng)云平臺Link Platform、邊緣網(wǎng)關(guān)Link Edge和物聯(lián)網(wǎng)操作系統(tǒng)AliOS Things，同樣提供了設(shè)備管理和數(shù)據(jù)分析的功能。在生態(tài)合作方面，阿里巴巴與傳統(tǒng)廠商合作，開發(fā)物聯(lián)網(wǎng)產(chǎn)品，目前阿里巴巴的產(chǎn)品非常多，截至2018年4月7日，從天貓上搜索“阿里智能”就可以找到4 000多個商品，覆蓋環(huán)境管家、數(shù)碼娛樂、全屋智能和運動健康等領(lǐng)域。

表1列出了一些在業(yè)界具有代表性的公有云服務(wù)商，無一例外地均提供了物聯(lián)網(wǎng)云平臺的服務(wù)。這些云服務(wù)商或多或少地提供了物聯(lián)網(wǎng)操作系統(tǒng)或模組SDK，與第三方廠商合作，生產(chǎn)可接入物聯(lián)網(wǎng)平臺的智能物聯(lián)網(wǎng)終端。

表1 主流公有云服務(wù)商的物聯(lián)網(wǎng)平臺

除了以上云服務(wù)商從云端出發(fā)自頂向下地建立物聯(lián)網(wǎng)應(yīng)用外，還有一些物聯(lián)網(wǎng)廠商雖然沒有云計算的背景，但從物聯(lián)網(wǎng)芯片和業(yè)務(wù)入手，為物聯(lián)網(wǎng)廠商提供了物聯(lián)網(wǎng)設(shè)備SDK，同時建立了物聯(lián)網(wǎng)平臺，自底向上地提出了物聯(lián)網(wǎng)應(yīng)用解決方案，如國內(nèi)的機智云、慶科云等。

此外，在一些工業(yè)物聯(lián)網(wǎng)的場景中，一些云計算服務(wù)商直接提供了針對細(xì)分領(lǐng)域的物聯(lián)網(wǎng)云平臺服務(wù)，例如寄云（neucloud）將工業(yè)設(shè)備的運行數(shù)據(jù)保存到云端，并為企業(yè)運營者提供直觀的運行情況展示，提供運營需要的支撐數(shù)據(jù)，還可通過計算分析找到運行異常的設(shè)備。

1.2 面向?qū)崟r物聯(lián)網(wǎng)應(yīng)用的邊緣計算和5G網(wǎng)絡(luò)

物聯(lián)網(wǎng)云服務(wù)主要部署在云服務(wù)商所在的數(shù)據(jù)中心，數(shù)據(jù)流從物聯(lián)網(wǎng)終端設(shè)備經(jīng)過互聯(lián)網(wǎng)到達(dá)云計算數(shù)據(jù)中心，整個過程會存在一定的延遲。在一些低延遲近乎實時的應(yīng)用場景中，如自動駕駛、工業(yè)控制，這樣的延遲是無法接受的；此外互聯(lián)網(wǎng)的鏈路存在不穩(wěn)定性，一旦到云端的通道延遲或中斷，終端就無法進(jìn)行正常的數(shù)據(jù)處理，可能引發(fā)嚴(yán)重的后果。

所以，在很多物聯(lián)網(wǎng)云服務(wù)商提出的解決方案中，除了云端和終端外，還引入了邊緣網(wǎng)關(guān)的角色，該網(wǎng)關(guān)承擔(dān)實時決策和部分?jǐn)?shù)據(jù)處理工作，邊緣側(cè)和云端共同組成完整的設(shè)備控制和數(shù)據(jù)處理機制。例如，表1中的AWS和百度云的物聯(lián)網(wǎng)解決方案中均包含了邊緣網(wǎng)關(guān)，最終提供了人工智能處理海量實時數(shù)據(jù)的功能?？蛻艨稍诮尤牖ヂ?lián)網(wǎng)的出口處部署邊緣網(wǎng)關(guān)，在內(nèi)部網(wǎng)絡(luò)部署物聯(lián)網(wǎng)設(shè)備，對內(nèi)組成高速傳輸?shù)木W(wǎng)絡(luò)。

除了云服務(wù)商可以在客戶側(cè)或CDN側(cè)部署邊緣網(wǎng)關(guān)外，電信運營商也積極參與到物聯(lián)網(wǎng)和邊緣計算的建設(shè)中。特別是5G標(biāo)準(zhǔn)中，ITU-R將超高可靠與低延遲的通信（uRLLC）作為三大應(yīng)用場景之一，這就要求運營商了解物聯(lián)網(wǎng)應(yīng)用的區(qū)域，并在建設(shè)和運營時將邊緣服務(wù)盡可能貼近應(yīng)用基站。這將改變現(xiàn)在運營商數(shù)據(jù)中心和部署云服務(wù)的模式，給托管云服務(wù)提出了更靈活的要求。

需要說明的是上述基礎(chǔ)設(shè)施將會彼此融合，例如AWS的GreenGrass云服務(wù)提供了物聯(lián)網(wǎng)分析、存儲服務(wù)?？紤]在工業(yè)物聯(lián)網(wǎng)等場景下對實時性、網(wǎng)絡(luò)中斷而業(yè)務(wù)不斷的要求，GreenGrass支持邊緣計算，使得物聯(lián)網(wǎng)設(shè)備可以運行Lambda函數(shù)處理收集到的數(shù)據(jù)，這樣設(shè)備即使在離線狀態(tài)也可以完成部分功能。

2 新基礎(chǔ)設(shè)施下的物聯(lián)網(wǎng)服務(wù)的安全挑戰(zhàn)

2.1 云計算帶來的安全挑戰(zhàn)

隨著云計算技術(shù)引入物聯(lián)網(wǎng)應(yīng)用，會出現(xiàn)2類安全挑戰(zhàn)：云平臺自身的安全問題和使用云服務(wù)后的物聯(lián)網(wǎng)應(yīng)用的安全問題。

a）云平臺數(shù)據(jù)秘密性。物聯(lián)網(wǎng)設(shè)備的所有者將物聯(lián)網(wǎng)設(shè)備產(chǎn)生的數(shù)據(jù)傳輸?shù)搅嗽破脚_中，并保存在云存儲中。與傳統(tǒng)的on-premise嵌入式應(yīng)用平臺相比，物聯(lián)網(wǎng)云平臺暴露的攻擊面大大增加，如何提高整個云計算系統(tǒng)的安全防護(hù)能力，防止惡意攻擊者攻破并竊取有價值數(shù)據(jù)，將是云服務(wù)商面臨的巨大挑戰(zhàn)。

b）云平臺可信度。物聯(lián)網(wǎng)平臺上存儲的數(shù)據(jù)的擁有者為物聯(lián)網(wǎng)設(shè)備擁有者或物聯(lián)網(wǎng)廠商，但數(shù)據(jù)存放在云端，數(shù)據(jù)擁有者缺乏物理上的控制權(quán)，這會帶來潛在的風(fēng)險。此外，云服務(wù)商的內(nèi)部員工可能惡意竊取或篡改物聯(lián)網(wǎng)應(yīng)用數(shù)據(jù)，云平臺的可信度是物聯(lián)網(wǎng)上云的挑戰(zhàn)之一。

c）云服務(wù)可用性。物聯(lián)網(wǎng)應(yīng)用會管理上百萬規(guī)模的物聯(lián)網(wǎng)設(shè)備，所以物聯(lián)網(wǎng)服務(wù)的可用性就顯得尤為重要。當(dāng)云服務(wù)出現(xiàn)服務(wù)中斷或被拒絕服務(wù)，則整個物聯(lián)網(wǎng)應(yīng)用可能會陷入癱瘓。

d）來自云平臺的攻擊。如果攻擊者攻破了云平臺，或內(nèi)部員工惡意控制了物聯(lián)網(wǎng)云服務(wù)，則可以通過云端指令向物聯(lián)網(wǎng)設(shè)備下發(fā)指令，如下載惡意代碼、對特定目標(biāo)發(fā)動拒絕服務(wù)連接等，從而影響特定或所有的物聯(lián)網(wǎng)設(shè)備的安全性。這將比破解一兩個物聯(lián)網(wǎng)設(shè)備的危害性大得多。

總之，當(dāng)云計算應(yīng)用在物聯(lián)網(wǎng)場景下，既要考慮到云計算自身的安全問題，還要考慮物聯(lián)網(wǎng)在云計算的應(yīng)用中面臨的獨特挑戰(zhàn)。

2.2 邊緣計算帶來的安全挑戰(zhàn)

邊緣計算將遠(yuǎn)程計算存儲拆分成了云端和邊緣兩級，那么會存在以下安全挑戰(zhàn)。

a）認(rèn)證機制。為了加快認(rèn)證速度，會在云端和邊緣側(cè)實現(xiàn)協(xié)同的認(rèn)證機制。當(dāng)云端認(rèn)證通過后，邊緣節(jié)點會緩存認(rèn)證信息。但整個過程需要考慮各種因素，例如重放攻擊、憑證失效時間等，以防止攻擊者繞過云端認(rèn)證，偽造邊緣節(jié)點控制物聯(lián)網(wǎng)終端。

b）由于帶寬和實時性要求，業(yè)務(wù)安全的數(shù)據(jù)分析會將大量的訓(xùn)練過程放到云端，而將分類過程放在邊緣節(jié)點，但該計算模型需要考慮數(shù)據(jù)分析的準(zhǔn)確率和響應(yīng)速度。在業(yè)務(wù)量巨大的物聯(lián)網(wǎng)網(wǎng)絡(luò)中，這將會是一個巨大的挑戰(zhàn)。即便誤報率降到很小的比例，乘以海量的事件數(shù)，也是人力難以處理的量級。

c）運營商網(wǎng)絡(luò)中的邊緣節(jié)點盡可能靠近業(yè)務(wù)位置，該邊緣節(jié)點除了業(yè)務(wù)處理外，還需要具備相應(yīng)的安全能力，那么邊緣節(jié)點中按需的安全防護(hù)能力，安全防護(hù)機制是在核心網(wǎng)絡(luò)部署，還是在邊緣節(jié)點部署，需要考慮資源約束條件和服務(wù)需求，這將考驗運營商網(wǎng)絡(luò)架構(gòu)和安全體系的成熟度。

2.3 5G網(wǎng)絡(luò)帶來的安全挑戰(zhàn)

5G網(wǎng)絡(luò)存在3種應(yīng)用場景，其中2個與物聯(lián)網(wǎng)相關(guān)。其中：高可靠性與低延遲通信（uRLLC）可以將延遲降低到1 ms，那么這些實時性很高的應(yīng)用中就應(yīng)該將后端的處理時間也壓縮到同等數(shù)量級，這對整體系統(tǒng)設(shè)計和性能優(yōu)化提出了很高的要求；此外海量連接通信（mMTC）可在每平方公里管理十萬臺物聯(lián)網(wǎng)終端，那么也對邊緣節(jié)點的高并發(fā)長連接能力提出了要求。如果這些物聯(lián)網(wǎng)應(yīng)用在設(shè)計上不考慮通信網(wǎng)絡(luò)、邊緣節(jié)點和應(yīng)用場景，很容易在服務(wù)可用性、認(rèn)證和加密性能上出現(xiàn)瓶頸。

此外，5G網(wǎng)絡(luò)實現(xiàn)了全網(wǎng)絡(luò)IP化，即在接入網(wǎng)、匯聚網(wǎng)和核心網(wǎng)都運行了TCP/IP協(xié)議，在此基礎(chǔ)上可部署基于X86的計算存儲資源實現(xiàn)服務(wù)編排，那么是否可以利用SDN/NFV技術(shù)，在上述網(wǎng)絡(luò)中部署可快速生效的安全資源，并將安全能力融合進(jìn)標(biāo)準(zhǔn)的NFV架構(gòu)，形成可管理、可控制的安全資源池，這將向安全廠商和運營商提出新的挑戰(zhàn)。

2.4 合規(guī)性的挑戰(zhàn)

當(dāng)物聯(lián)網(wǎng)服務(wù)保存用戶終端的數(shù)據(jù)時，必然會涉及到用戶隱私問題，2018年5月歐洲的通用數(shù)據(jù)保護(hù)法案GDPR正式落地，屆時會對物聯(lián)網(wǎng)服務(wù)商的方案中的數(shù)據(jù)存儲、數(shù)據(jù)傳輸提出了很高的合規(guī)性要求。例如車聯(lián)網(wǎng)應(yīng)用中需要對車輛標(biāo)識、PKI等做匿名化處理，以防止被攻擊者跟蹤行跡。

此外，一些國家考慮到網(wǎng)絡(luò)空間主權(quán)，頒發(fā)的法律法規(guī)也對服務(wù)商數(shù)據(jù)存儲的歸屬做出了規(guī)定。這對于物聯(lián)網(wǎng)應(yīng)用的架構(gòu)、國際化（i18n）和服務(wù)承諾（SLA）都提出了挑戰(zhàn)。

3 新型基礎(chǔ)設(shè)施下的物聯(lián)網(wǎng)服務(wù)的安全對策

3.1 云計算平臺的安全防護(hù)

從云服務(wù)商的角度，應(yīng)在設(shè)施、平臺和應(yīng)用層面保證云計算系統(tǒng)的安全性，從而保障運行的物聯(lián)網(wǎng)平臺安全（見圖1）。

例如，在云計算系統(tǒng)和虛擬環(huán)境建設(shè)時，應(yīng)根據(jù)業(yè)務(wù)的安全需求，事先劃分安全域，并在邊界側(cè)部署訪問控制策略；并分析物聯(lián)網(wǎng)服務(wù)所面臨的安全威脅和自身的脆弱性特點，有針對性地部署檢測和響應(yīng)機制，在運行時檢查網(wǎng)絡(luò)流量和終端內(nèi)部行為，建立正常場景下的基線，分析異常的行為，對惡意攻擊進(jìn)行隔離、響應(yīng)和溯源取證。

3.2 面向物聯(lián)網(wǎng)服務(wù)的安全云

在用戶的角度，除了云服務(wù)商的安全機制外，還應(yīng)該有獨立的第三方安全廠商提供專業(yè)的安全保證，例如對物聯(lián)網(wǎng)終端到云端數(shù)據(jù)流進(jìn)行安全防護(hù)，以及對物聯(lián)網(wǎng)云服務(wù)的安全檢查。針對應(yīng)用即服務(wù)（SaaS）的業(yè)務(wù)，國外較為成熟安全機制為基于云訪問的安全代理（CASB——Cloud Access Security Brokers）。

CASB一般部署在終端到云端之間的某個位置，對經(jīng)過的數(shù)據(jù)在業(yè)務(wù)層面進(jìn)行分析和處理，CASB通常有3種部署方式。

圖1 云計算平臺的安全防護(hù)示意圖

a）云端代理，即通過反向代理設(shè)置數(shù)據(jù)流經(jīng)過CASB云。在物聯(lián)網(wǎng)場景中，安全廠商會構(gòu)建一個面向物聯(lián)網(wǎng)應(yīng)用的安全云。

b）企業(yè)側(cè)，即CASB網(wǎng)關(guān)。在物聯(lián)網(wǎng)場景中，該網(wǎng)關(guān)會演變?yōu)檫吘壘W(wǎng)關(guān)，但有處理物聯(lián)網(wǎng)業(yè)務(wù)的能力。

c）云端API模式。用戶在CASB云端和業(yè)務(wù)云平臺設(shè)置訂閱監(jiān)控操作，當(dāng)業(yè)務(wù)云端發(fā)生事件時，CASB云會收到回調(diào)通知，進(jìn)行處理。在物聯(lián)網(wǎng)場景中，要求物聯(lián)網(wǎng)云平臺提供開放的接口，向第三方安全平臺提供事件訂閱通知的功能。

總之，安全廠商可建立面向物聯(lián)網(wǎng)應(yīng)用的安全CASB機制，從業(yè)務(wù)角度分析物聯(lián)網(wǎng)設(shè)備或物聯(lián)網(wǎng)服務(wù)運行狀態(tài)，找到潛在的異常和惡意攻擊。

3.3 借助SDN/NFV構(gòu)建管道側(cè)快速響應(yīng)能力

4G網(wǎng)絡(luò)在核心網(wǎng)利用通用的x86服務(wù)器部署資源池，利用SDN/NFV技術(shù)實現(xiàn)按需的網(wǎng)絡(luò)服務(wù)鏈，5G網(wǎng)絡(luò)則更進(jìn)一步，在接入網(wǎng)、匯聚網(wǎng)和骨干網(wǎng)均具備了SDN/NFV的資源池能力。安全作為業(yè)務(wù)的一部分，自然也能成為服務(wù)鏈中的一環(huán)。

當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)數(shù)據(jù)經(jīng)過運營商網(wǎng)絡(luò)時，運營商可根據(jù)業(yè)務(wù)特點和威脅態(tài)勢，在最靠近業(yè)務(wù)層調(diào)用安全資源，進(jìn)行防護(hù)。例如當(dāng)運營商的態(tài)勢感知系統(tǒng)發(fā)現(xiàn)某地大量的物聯(lián)網(wǎng)僵尸主機連接C2時，則可動態(tài)向SDN網(wǎng)絡(luò)設(shè)備下發(fā)阻斷指令；當(dāng)發(fā)現(xiàn)有僵尸網(wǎng)絡(luò)針對某個目標(biāo)發(fā)動DDoS攻擊時，則可快速在近源側(cè)準(zhǔn)備好虛擬化清洗設(shè)備資源池，通過SDN控制器將流量調(diào)度到清洗資源池進(jìn)行緩解。

可見，運營商可充分利用物聯(lián)網(wǎng)設(shè)備和服務(wù)的威脅情報，構(gòu)建針對物聯(lián)網(wǎng)的知識庫，利用SDN和NFV技術(shù)按需構(gòu)建安全資源池，在此基礎(chǔ)上針對多個物聯(lián)網(wǎng)威脅或脆弱性場景提供安全增值服務(wù)，在管道側(cè)實現(xiàn)全面的安全防護(hù)。

3.4 充分利用邊緣計算提高安全服務(wù)質(zhì)量

如前述所，運營商網(wǎng)絡(luò)中可部署安全資源池，提供按需的安全服務(wù)；從物聯(lián)網(wǎng)云服務(wù)商的角度看，也可以在云端側(cè)部署相應(yīng)的CASB安全機制。但考慮到安全檢測機制的實時性和安全數(shù)據(jù)分析所花費的帶寬資源，如果物聯(lián)網(wǎng)服務(wù)商或運營商支持邊緣計算，則可將上述安全機制一部分卸載（offload）到邊緣側(cè)，提高安全服務(wù)的質(zhì)量（QoS）。

第3.3節(jié)提到運營商用靠近物聯(lián)網(wǎng)設(shè)備側(cè)的接入層安全資源池對DDoS流量進(jìn)行清洗，就是一個典型的邊緣側(cè)提供的安全服務(wù)。此外，基于代理的物聯(lián)網(wǎng)CASB服務(wù)在一些實時性要求較高的異常檢測應(yīng)用中，也需要在邊緣側(cè)部署一些偏分類功能的檢測節(jié)點，當(dāng)發(fā)現(xiàn)異常行為時實施阻斷，而不需要考慮與CASB云服務(wù)的延遲開銷或網(wǎng)絡(luò)狀態(tài)。

3.5 改進(jìn)的認(rèn)證方式和密碼算法

借助新型基礎(chǔ)設(shè)施和新的技術(shù)發(fā)展，很多實時性要求很高的物聯(lián)網(wǎng)應(yīng)用成為可能，例如智能交通中的協(xié)同駕駛、工業(yè)互聯(lián)網(wǎng)下的業(yè)務(wù)控制。這些應(yīng)用場景下必然會存在安全攻擊，例如在V2V無線網(wǎng)絡(luò)中，惡意攻擊者偽造身份實施女巫攻擊；在工業(yè)互聯(lián)網(wǎng)中，攻擊者偽造或重放控制指令，那么身份認(rèn)證和通信加密就成為了物聯(lián)網(wǎng)應(yīng)用的必選項。

但在車聯(lián)網(wǎng)場景下，高速運行的車輛通常交互時間不會超過數(shù)秒，在此間隔內(nèi)完成身份認(rèn)證、密鑰交換、數(shù)據(jù)加密等操作，就要求在設(shè)計認(rèn)證和密碼算法時考慮到時延。

此外，在涉及到隱私的物聯(lián)網(wǎng)場景下，密鑰生成還需要考慮到匿名性、可管理的不可回溯性等屬性。在弱終端的場景下，加密算法還需要考慮能耗和處理性能等問題。

總之，實現(xiàn)安全的物聯(lián)網(wǎng)應(yīng)用必須考慮認(rèn)證和加密機制，設(shè)計或選擇適合相應(yīng)場景的認(rèn)證和加密機制尤為重要。

3.6 設(shè)想的物聯(lián)網(wǎng)安全架構(gòu)

綜上所述，在新型基礎(chǔ)設(shè)施支撐下的物聯(lián)網(wǎng)安全架構(gòu)將是層次化、復(fù)合的體系。

在終端或邊緣側(cè)，應(yīng)內(nèi)置安全SDK或Agent，除了安全加固外，還可接收安全云端的安全處置指令。

此外，邊緣側(cè)應(yīng)具備安全分析的部分能力，對流經(jīng)的數(shù)據(jù)進(jìn)行在線實時的分析識別；同時，具有根據(jù)云端指令按需準(zhǔn)備虛擬化安全資源的能力。

在運營商骨干網(wǎng)側(cè)，可利用SDN和NFV技術(shù)實現(xiàn)快速、按需和靈活的威脅感知、安全檢測、應(yīng)急響應(yīng)的安全能力，提供定制化的安全服務(wù)。

在云端，安全廠商部署安全SaaS服務(wù)，在業(yè)務(wù)層面提供海量、細(xì)粒度的物聯(lián)網(wǎng)業(yè)務(wù)安全分析和物聯(lián)網(wǎng)威脅情報服務(wù)。物聯(lián)網(wǎng)云服務(wù)商提供完備的云安全防護(hù)機制，應(yīng)對針對應(yīng)用平臺的種種攻擊。

圖2給出了物聯(lián)網(wǎng)安全架構(gòu)，需要說明的是圖2中只給出了主要功能組件的關(guān)系，要實現(xiàn)前述的物聯(lián)網(wǎng)安全防護(hù)，還需關(guān)注2個核心控制應(yīng)用：CASB云服務(wù)和邊緣側(cè)業(yè)務(wù)分析的整體檢測機制；運營商整體的安全防護(hù)決策和調(diào)度應(yīng)用，涵蓋了骨干網(wǎng)和邊緣側(cè)的所有資源池管理。設(shè)計好這2類應(yīng)用的架構(gòu)，是構(gòu)建靈活有效物聯(lián)網(wǎng)安全體系的重要前提。

圖2 物聯(lián)網(wǎng)安全架構(gòu)