基于霧計算的物聯網基礎安全架構

李昕,楊波

(湖南財政經濟學院信息技術與管理學院,湖南長沙410205)

基于霧計算的物聯網基礎安全架構

李昕,楊波

(湖南財政經濟學院信息技術與管理學院,湖南長沙410205)

物聯網傳統的數據處理集中在云計算，其巨大的設備數和海量的實時數據傳遞都對網絡帶寬及云計算數據中心構成極大壓力。文章討論了如何利用位于云數據中心和終端結點層之間的霧計算層，存儲并及時處理大量本地數據，快速有效響應請求，減輕網絡和云數據中心壓力。

霧計算；物聯網；安全架構

1 問題的提出

物聯網（Internet of Things，IoT）自2005年正式被國際電信聯盟命名以來，迅速成為互聯網經濟的發(fā)展亮點。預計到2020年，超過500億個的終端設備會被聯入物聯網，這個數字還將很快達到10000億。這些海量的設備包括了傳感器、傳動器和智能終端，它們時時刻刻都在產生著巨量的實時數據，其傳統的數據處理都是依賴云計算。

云計算將大量的計算資源以動態(tài)、按需服務的方式供應和部署，克服了傳統應用系統的諸多不足，如系統資源利用效率低下、物理空間有限、應用部署復雜、運行不靈活等。但物聯網信息分布與交換的特點也對云計算提出了巨大的挑戰(zhàn)。

1.云計算要求基礎網絡滿足超高速交換、統一交換、虛擬化交換、透明化交換等，而現有的網絡基礎設施卻很難達到。

2.物聯網采集交換的信息數量大且多源異構，冗余性、互補性、實時性強，海量數據需要快速加工傳遞。云計算是聚合度很高的計算服務，其使用簡單方便，但消耗大量網絡帶寬，隨著用戶訪問量增大，很可能引起服務中斷、響應延遲等。

國際上針對物聯網安全的研究從2011年起不斷見諸各類文獻。物聯網安全面臨了4個主要挑戰(zhàn)，即數據可溯源性及完整性、身份識別、信任管理、隱私保護。這些研究的焦點集中在數據遠程處理的安全性，并根據物聯網的特點，提出在資源有限的嵌入式設備中引入輕量級的安全加密元素，以構建新的物聯網安全架構[1]。

國內針對物聯網安全的研究和國際上基本時間同步，主要文獻均認為由于物聯網體系的多元異構，難以建立起標準統一的安全保護體系，而應該根據物聯網的3個層次（感知層、傳輸層和應用層）面臨的不同安全問題，采取不同的應對措施，構建混合多元的物聯網安全機制[2]。

針對物聯網終端的資源受限性和巨大數量，許多國內研究者也提出在物聯網感知層采用輕量級的安全技術，節(jié)省存儲、運算和傳輸資源消耗,提高響應速度，不過度追求很高的安全級別，而在資源受限的情況下提供適當的安全保護[3]。

在物聯網感知層，許多傳感器和嵌入設備可以被植入相對簡單的安全措施，如基于硬件的物理防復制功能和輕量級加密方法等。但這些安全手段普遍存在以下不足：

1.受制于終端設備較弱的計算能力和較小的存儲容量，安全運算耗時較多，服務請求響應慢；

2.終端設備能源供應有限，耗能較大的加密方法很難正常完成；

3.數據本地化處理很少，網絡流量壓力大。

因此，這些安全手段只能提供一定程度的安全保護，難以取得令人滿意的總體效果。從物聯網最基礎的感知層出發(fā)，構建物聯網安全體系，有利于系統內各個部分的保護，但必須考慮如何投入更多的資源給安全體系。在這個安全架構中引入霧計算，動用更多的本地計算能力和存儲空間，進一步滿足能耗需求，各類安全手段就可以得到極大強化，各類應用請求的響應時間明顯縮小，物聯網安全體系也得到整體提升。

2 霧計算的優(yōu)勢分析

2011年，思科全球研發(fā)中心總裁Dr.Flavio Bonomi及其研發(fā)團隊首次提出霧計算（Fog Computing）的概念：霧計算介于云計算與終端計算的中間；霧計算是半虛擬化架構的分布式的服務計算模型；物聯網終端可以隨時隨地聯網訪問本地云（Local Cloud，也稱霧節(jié)點）[4，5]。

霧計算層既包含了向上和向下的網關，也包括了臨時數據存儲和計算設備。它能對待加工的數據請求進行智能判斷，如果涉及長期存儲或歷史數據分析，該層將直接作為網關把數據上傳云數據中心，否則就在本地完成計算和存儲。霧計算既繼承了云計算的優(yōu)點，也具有邊緣計算的優(yōu)勢，能夠充分發(fā)揮終端的計算功能和本地就近處理的優(yōu)勢。它可以很好地解決時延敏感應用（Latency-sensitive Applications）的快速響應問題，這些業(yè)務往往處于數據中心邊緣，需要就近處理，如交通指揮系統、泊車系統、健康照料系統、地方能源網系統等。

隨著霧計算層的引入，可參與邊緣計算的資源會明顯增加。霧計算是一種分布式的計算服務系統，最突出的運行特點在于所擔任的邊緣計算任務也可以由網關、路由器和訪問結點等網絡設備來完成的。較為現代的上述網絡設備，其CPU的運算能力、內外存大小已經完全可以媲美過去的個人計算機，其在網絡中的位置也可以方便地構成集群，進一步整合眾多邊緣結點分散的計算和存儲能力，形成了更為強大的霧結點集群。這個集群不僅提供相對充足的計算能力和數據暫存空間，該層可使用的能源也可以不再成為處理能力瓶頸。

霧計算不是云計算的替代品，而是有力補充。霧計算層能夠智能地分析各個應用請求是否需要云計算層的干預支持。凡有實時及低時延要求的服務請求，如實時數據流服務、智能交通監(jiān)控、智能泊車等，系統將盡可能快地調用霧計算設備及聯網的本地工作站和小型存儲單元來完成響應。

霧計算層可以被看作由多個獨立的霧節(jié)點(Fog Node)組成的系統。其中的每個節(jié)點從物理或邏輯上可包含多個計算位置，既包括應用服務的計算環(huán)境，也包括資源中心、管理與控制中心。用戶在節(jié)點之間的交互協作，可以是遠程Web通信方式，也可以是局部交互。節(jié)點之間的用戶可以訪問本地和遠程云服務中心資源，且計算環(huán)境的改變可以引起其位置和依賴該位置的服務發(fā)生同步遷移，但用戶的資源中心始終處于相對穩(wěn)定的安全域內[6]。

3 基于霧計算的多層安全措施

物聯網從邏輯上可以分成3個主要層次:感知層、傳輸層、處理層。此外，對處理層形成的數據加以應用也可視為應用層。物聯網的基礎安全架構必然覆蓋了每個邏輯層。而霧計算層主要分布在感知層和傳輸層中靠近感知層的一側，如圖1。

在霧計算層之下的硬件和嵌入式設備層，已經有研究者提出采取不同安全措施，從底層開始應對物聯網系統安全挑戰(zhàn)[7]。例如，利用傳感器物理層防克隆功能（Sensor PUF,Physical Unclonable Function）保障數據可溯源性和完整性；利用傳感器及其他硬件PUF來解決身份識別問題；利用PUF和硬件性能計數器來強化可信度管理；利用輕量級加密算法來支持保密性和隱私保護。

圖1 霧計算層在物聯網體系中的相對位置

可用于物聯網安全保護的密碼元素很多，包括加密算法、HASH函數、數字簽名和密鑰交換算法。為了不致消耗過多能源，根據數據量大小，選擇合適的處理地點和合適的密碼算法至關重要。例如：如果待處理的數據不超過1KB,最好在傳感器內部就完成數據處理；如果待處理的數據不超過1MB，數據處理則可以在霧結點完成；如果數據為1GB以內，或超過1GB,數據加工必須分別在網關或更高層的聯合基礎設施（包含計算、儲存、網絡通訊等能力）。數據加工的充分本地化帶來了更快的響應時間。

各種智能傳感器已經紛紛采用越來越功能強大的單片機構成完整的片上系統,例如AD公司的ADc841/842/843閃存微控制器，已經包含運行周期高達20MHz的8052內核，內置了64KB程序閃存及4KB數據閃存，2304字節(jié)的數據RAM,以及大量的片上外設，如12位ADC/DAC、時間間隔計數器、串行I/O、看門狗定時器和電源監(jiān)視器等。這種檔次的片上系統已經足以支持較輕量級的加密運算了。

物聯網上的傳感器網關在電源、硬件充分支持下，往往采用16/32位ARM精簡指令集處理器+嵌入式Linux結構，其運算能力基本相當于一臺個人電腦，完全有能力提供更高安全性能的加密保護。

國外研究者對物聯網各層可用的加密元素已經進行了研究和總結，并做出了推薦，見表1。

構建引入霧計算層的物聯網安全架構，主要問題集中在如何選擇合適的霧計算硬件配置，驗證和構建合適的加密方法，并定位合適的安全措施部署位置。對現有的輕量級加密方法在新的霧計算層進行時延和功耗測試后，改進現有加密方法或改用更高強度的安全算法，爭取在安全指標不下降和功耗無明顯增加的基礎上，大幅減小安全措施占用的計算時延，優(yōu)化物聯網系統底層響應，強化鞏固基于霧計算層的物聯網安全架構。

表1 物聯網各層的加密元素

構建基于霧計算的物聯網安全體系，關鍵是充分利用霧計算層引入的各類資源，如計算能力、存儲空間、能源供給等，在現有安全措施的基礎上，尋找最大程度的安全強度提升。其中期望解決的關鍵問題包括，以下4個方面。

1.基于傳感器等硬件的安全算法優(yōu)化策略

傳統傳感器只根據采集的客觀量值，產生對應的數字化測量結果，并加密上傳。為了提高安全強度，可嘗試提取傳感器的唯一性ID，并修改傳感器中相應的安全算法，把傳感器的唯一性ID也作為加密計算的參數，從而影響到輸出結果。

2.輕量級安全算法的改進策略

受限于各類資源，目前物聯網終端多采用輕量級的安全算法。在霧計算引入了較為充足的計算能力和空間后，完全有能力支持安全強度更高，計算更復雜的安全算法。在充分研究理解現有的輕量級安全算法基礎上，通過適當改進算法設計，提高安全強度，加快運算速度，維持或減少功耗。

3.霧節(jié)點的資源提供衡量方法

霧計算層不是霧節(jié)點的簡單集合，多個節(jié)點可以構成集群，實現資源的高效融合。通過適當的壓力測試，掌握霧計算層能提供的最大資源潛力，形成相對穩(wěn)定的節(jié)點資源評估算法，也為今后進行物聯網網絡規(guī)劃提供相應工具。

4.安全算法的改善程度衡量標準

安全算法的改進效果可以通過運算時間長短、功耗大小和抗攻擊能力強弱等諸多指標來衡量。在對安全算法的不斷修正和不斷測試中，研究以上指標的定量化計算方法，形成算法改善程度的客觀衡量標準。

4 應用前景

基于霧計算的物聯網安全體系研究不僅具有重要的理論研究意義，同時在物聯網系統數據可溯源性和完整性、身份認證、可信度管理、保密性和隱私保護等眾多領域具有非常廣泛的應用前景，具有非常重要的工程價值。物聯網安全體系的提升，能贏得用戶對物聯網系統的更多信任，對物聯網本身的發(fā)展推廣具有極其重要的意義。

[1]KanuparthiA,KarriR,AddepalliS.Hardwareand embedded security in the context of internet of things[C].Proceedingsofthe2013ACMworkshoponSecurity,privacy&dependabilityforcybervehicles.ACM,New York,USA,2013:61-64.

[2]武傳坤.物聯網安全關鍵技術與挑戰(zhàn)[J].密碼學報，2015,2(1):40-53.

[3]楊庚,許建.物聯網安全特征與關鍵技術[J].南京郵電大學學報：自然科學版,2010,30(4):20-29.

[4]Bonomi F.Connected vehicles,the internet of things,and fog computing[C].The Eighth ACM International Workshop on Vehicular Inter-Networking(VANET),Las Vegas,USA,2011:13-15.

[5]Bonomi F,Milito R,Zhu Jiang,et al.Fog Computing and Its Role in the Internet of Things[C].Proceedings of the firsteditionoftheMCCworkshoponMobilecloud computing ACM，New York,USA,2012:13-14.

[6]Clickloud Company.Fog Computing Introduction[EB/OL].http://www.tsgsites-hostmonster.com/fogcomputing/.2011-11-20.

[7]K.Rosenfeld,E.Gavas,and R.Karri.Sensor physical unclonablefunctions[C].2010IEEEInternational SymposiumonHardware-OrientedSecurityandTrust(HOST),Anaheim,USA,2010:112-117.

IoT Safe Infrastructure Based on Fog Computing

Li Xin,Yang Bo
(School of Information Technology and Management,Hunan University of Finance and Economics,Changsha 410205,China)

Traditional data processing of IoT focuses on cloud computing.The huge number of devices and real time data cause great pressure on the network and cloud computing centers.The paper suggests the introduction of fog computing between cloud computing center and sensor layer of IoT,to store and process the great deal of local data in time,and to respond to requests quickly and efficiently so as to release the pressure of the network and could computing centers.

fog computing;IoT;safe infrastructure

TP311

A

1672-447X(2017)05-0019-004

2017-05-08

湖南財政經濟學院教學改革項目(2015yjjg004)；湖南財政經濟學院教改重點項目(2016yjjg002)

李昕（1969-），湖南岳陽人，碩士，湖南財政經濟學院信息技術與管理學院副教授，研究方向為物聯網；楊波（1974-），湖南長沙人，博士研究生，湖南財政經濟學院信息技術與管理學院講師，研究方向為物聯網。

責任編輯：胡德明