一、边缘计算定义

1.0定义：边缘计算是在靠近物或数据源头的网络边缘侧，融合网络、计算、存储、应用核心能力的开放平台，就近提供边缘智能服务，满足行业数字化在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。

2.0定义：边缘计算的业务本质是云计算在数据中心之外汇聚节点的延伸和演进，主要包括云边缘、边缘云和云化网关三类落地形态；以“边云协同”和“边缘智能”为核心能力发展方向；软件平台需要考虑导入云理念、云架构、云技术，提供端到端实时、协同式智能、可信赖、可动态重置等能力；硬件平台需要考虑异构计算能力，如鲲鹏、ARM、X86、GPU、NPU、FPGA 等。

3.0定义：

• 整个系统分为云、边缘和现场三层，边缘计算位于云和现场层之间，边缘层向下支持各种现场设备的接入，向上可以与云端对接；
• 边缘层包括边缘节点和边缘管理器两个主要部分。边缘节点是硬件实体，是承载边缘计算业务的核心。边缘管理器的呈现核心是软件，主要功能是对边缘节点进行统一的管理；
• 边缘计算节点一般具有计算、网络和存储资源，边缘计算系统对资源的使用有两种方式：第一，直接将计算、网络和存储资源进行封装，提供调用接口，边缘管理器以代码下载、网络策略配置和数据库操作等方式使用边缘节点资源；第二，进一步将边缘节点的资源按功能领域封装成功能模块，边缘管理器通过模型驱动的业务编排的方式组合和调用功能模块，实现边缘计算业务的一体化开发和敏捷部署。

我的总结：1.0的定义主要从边缘计算的能力与价值出发进行阐述，2.0的定义是从边缘计算的构建和本质出发进行阐述，3.0将边缘计算模型化，边缘是介于云与现场设备之间的产物。

 

二、边缘计算的安全功能视图

因为边缘介于云和现场设备之间，因此可以根据整个数据的传输过程将安全问题分为几大类，分别是：边缘基础设施安全、边缘网络安全、边缘数据安全、边缘应用安全，每一类的安全问题都存在着几个小问题，如上图所示。

2.1边缘基础设施安全

2.1.1恶意的边缘节点，针对于边缘接入，攻击者可能将恶意边缘节点伪装成合法的边缘节点，诱使终端用户连接到恶意边缘节点，隐秘地收集用户数据。类似于攻击者可以进行钓鱼攻击，如何检测恶意的边缘节点，涉及到设备安全、接入认证和入侵检测等问题。

2.1.2不安全的系统与组件，针对于边缘服务器，边缘节点可以分布式承担云的计算任务。然而，边缘节点的计算结果是否正确对用户和云来说都存在信任问题。这里需要注意系统安全等，同时也要注意边缘节点的身份标识与鉴别。

2.1.3易蔓延的APT攻击，针对于边缘服务器，APT 攻击是一种寄生形式的攻击，通常在目标基础设施中建立立足点，从中秘密地窃取数据，并能适应防备 APT 攻击的安全措施。在边缘计算场景下，APT 攻击者首先寻找易受攻击的边缘节点，并试图攻击它们和隐藏自己。更糟糕的是，边缘节点往往存在许多已知和未知的漏洞，且存在与中心云端安全更新同步不及时的问题。一旦被攻破，加上现在的边缘计算环境对 APT 攻击的检测能力不足，连接上该边缘节点的用户数据和程序无安全性可言。与上述类似，同样要保证边缘节点的安全问题。

2.1.4硬件安全支持不足，针对于边缘服务器，边缘节点更倾向于使用轻量级容器技术，但容器共享底层操作系统，隔离性更差，安全威胁更加严重。因此，仅靠软件来实现安全隔离，很容易出现内存泄露或篡改等问题。依旧是系统安全等问题。

 

2.2边缘网络安全

2.2.1不安全的通信协议，针对于边缘接入，由于边缘节点与海量、异构、资源受限的现场 / 移动设备大多采用短距离的无线通信技术，边缘节点与云服务器采用的多是消息中间件或网络虚拟化技术，这些协议大多安全性考虑不足。因此需要选择以密码学为基础的安全的消息交换协议。

2.2.2易发起分布式拒绝服务，针对于边缘服务器，在工业边缘计算、企业和 IoT 边缘计算场景下，由于参与边缘计算的现场设备通常使用简单的处理器和操作系统，对网络安全不重视，或者因设备本身的计算资源和带宽资源有限，无法支持支持复杂的安全防御方案，导致黑客可以轻松对这些设备实现入侵，然后利用这些海量的设备发起超大流量的 DDoS 攻击。需要针对于大量的现场设备安全的协调管理。

2.2.3账号信息易被劫持，针对于边缘管理，账号劫持是一种身份窃取，主要目标一般为现场设备用户，攻击者以不诚实的方式获取设备或服务所绑定的用户特有的唯一身份标识。账号劫持通常通过钓鱼邮件、恶意弹窗等方式完成。通过这种方式，用户往往在无意中泄露自己的身份验证信息。攻击者以此来执行修改用户账号、创建新账号等恶意操作。类似于以前所研究的一些攻击方式，包括但不限于钓鱼攻击、肩窥攻击等。针对于钓鱼和恶意弹窗，需要加强检测和警报技术，肩窥等加强账户密码的安全性。

 

2.3边缘数据安全

2.3.1边缘节点数据易被损毁，针对于边缘服务器，由于边缘计算的基础设施位于网络边缘，缺少有效的数据备份、恢复、以及审计措施，导致攻击者可能修改或删除用户在边缘节点上的数据来销毁某些证据。需要轻量级的数据加密和数据的安全存储方式。

2.3.2隐私数据保护不足，针对于边缘服务器，边缘计算将计算从云迁移到临近用户的一端，直接对数据进行本地处理和决策，在一定程度上避免了数据在网络中长距离的传播，降低了隐私泄露的风险。然而，由于边缘设备获取的是用户第一手数据，能够获得大量的敏感隐私数据。

 

 

未完……