一、概述
2019年1月,美國陸軍研究實驗室(ARL)和Techinica公司達成合作協(xié)議,針對美國國防部需求研發(fā)一個智能霧計算平臺(Smart Fog)為拒止和競爭環(huán)境中的作戰(zhàn)人員提供增強的態(tài)勢感知能力。2019年5月,美國ManTech公司推出了霧計算平臺“安全戰(zhàn)術(shù)邊緣平臺”(STEP),這是一種高帶寬、堅固、安全和可擴展的解決方案,將為嚴苛環(huán)境中的作戰(zhàn)人員提供實時數(shù)據(jù)分析能力?!办F”會在帶寬有限的戰(zhàn)場上保存和緩存來自傳感器和設(shè)備的數(shù)據(jù),只向云發(fā)送必要的基本信息,最大限度地減少資源并提高安全性。當(dāng)連接穩(wěn)定后,再將完整的數(shù)據(jù)傳到云端。
由此可見,安全性是霧計算部署實施過程中的關(guān)鍵問題。系統(tǒng)必須有一個共同的安全基線,確?;镜幕ゲ僮餍院桶踩Wo。加密為霧計算提供了實現(xiàn)安全服務(wù)的機制,這些安全服務(wù)包括機密性、完整性、身份驗證和不可否認性。加密函數(shù)可以在平臺安全處理器中實現(xiàn),以保護加密密鑰和安全策略,進而保護其他對象。加密函數(shù)還可用于為受信任的軟件提供安全的執(zhí)行環(huán)境,并保護其中的存儲和通信。
本文將從節(jié)點安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全三個方面,分別分析霧計算在部署實施過程中遇到的安全問題。
二、節(jié)點安全方面
圖1所示為開放霧節(jié)點的安全架構(gòu),該架構(gòu)可分為四個水平“區(qū)域”:
自下而上的第一層是硬件層。此處可能存在許多可選的硬件加速器。圖1中顯示的是SoC上的加密設(shè)備,它可能是外部設(shè)備,也可能作為特殊說明出現(xiàn)在處理器ISA中。此處還顯示了其他的通用加速器。系統(tǒng)mmu和iommu也與物理核心一起位于此層。硬件信任根(HW-RoT)也是硬件基礎(chǔ)設(shè)施的一部分,可以嵌在芯片上或提供此功能的外部設(shè)備中。
第二層包含了系統(tǒng)固件、可選ROM和NVRAM平臺。這些組件的存在及其性質(zhì)取決于平臺。為了支持HW-RoT和信任鏈的擴展,在受信任的系統(tǒng)ROM上必須有一個不可變的固件,這是開機后平臺上執(zhí)行的第一行代碼。
第三層是虛擬層。它實例化和管理虛擬設(shè)備,例如,圖1所示的vSoC設(shè)備,并將它們按照OAM(操作、維護和管理)系統(tǒng)的指令分配給虛擬機。它還實例化了部分其他虛擬設(shè)備,這些設(shè)備主要包括外部物理設(shè)備(如所示的vNIC)。這些虛擬設(shè)備完全由硬件支持,該硬件可存儲繞過虛擬機管理程序的數(shù)據(jù)(如SR-IOV兼容設(shè)備)或軟件模擬的虛擬實例(如共享的硬盤)。如果物理內(nèi)核支持SMT(同時多線程),那么不論虛擬內(nèi)核是不是硬件線程,它都允許顯示其他虛擬內(nèi)核。
最后一層主要是實現(xiàn)虛擬機的實例化。物理資源在此處由虛擬機管理程序映射為虛擬資源。虛擬機中的操作系統(tǒng)管理應(yīng)用的地址空間,這些空間可以實例化為單獨的應(yīng)用地址空間或Linux容器。
圖1 開放霧節(jié)點安全架構(gòu)
有許多連接各層并提供系統(tǒng)服務(wù)的函數(shù),這些函數(shù)可以創(chuàng)建由受信任組件組成的安全信任鏈。這些由圖1中各層之間的垂直箭頭表示。
?。ㄒ唬┻\行時完整性檢查(RTIC)和自省
安全啟動或測量啟動不能確保已安全實例化的軟件在執(zhí)行過程中不出現(xiàn)錯誤或被病毒感染。在運行過程中進行完整性檢查的目的是在執(zhí)行期間監(jiān)控和偵查鏡像中代碼和靜態(tài)數(shù)據(jù)的改變。這是通過在執(zhí)行之前運行一組RTIC的特定工具來“理解”圖像構(gòu)造(即代碼和靜態(tài)數(shù)據(jù)頁所在的位置)實現(xiàn)的。管理程序可以承載RTIC機制,基本假設(shè)是管理程序本身是受信任的。RTIC僅用于檢查虛擬機。所使用的機制大多是被動的,因為頁面表單經(jīng)過修改后,可以對不應(yīng)該寫入頁面的內(nèi)容進行檢測,這一過程由策略驅(qū)動。通常,虛擬機會被終止。
目前,這種方法還沒有產(chǎn)品實現(xiàn),但KVM和Xen管理程序中至少有一個實現(xiàn)正在開發(fā)中。
解決此問題的另一種方法是內(nèi)存加密,它可以保護加密“容器”中的代碼和數(shù)據(jù)免受外部攻擊。盡管這樣,敵方仍然有可能利用漏洞或?qū)ο惹案腥镜溺R像進行攻擊。當(dāng)這些“容器”必須走出來以獲取服務(wù)或數(shù)據(jù)時,它們也容易受到漏洞的攻擊。雖然可以以這種方式保護靜態(tài)和動態(tài)的代碼和數(shù)據(jù),但容器之外的代碼和數(shù)據(jù)都不會受到保護。
當(dāng)這個問題有一個更成熟的解決方案時,霧節(jié)點應(yīng)借助RTIC方法保護節(jié)點免受危害。公共場所的節(jié)點不一定比保護區(qū)中的節(jié)點更有用,因為攻擊并不一定需要物理訪問。
?。ǘ┱{(diào)試、性能監(jiān)控和分析控制
在系統(tǒng)部署后,應(yīng)關(guān)閉所有形式的調(diào)試(包括硬件和軟件)、性能監(jiān)控和分析控制。這些機制為具有物理訪問或遠程訪問的第三方提供了一種技術(shù),以破壞系統(tǒng)的安全機制,或深入了解系統(tǒng)的行為,從而允許未來的側(cè)信道攻擊。
如果在現(xiàn)場需要其他調(diào)試、監(jiān)控或分析信息,則必須有機制來確保為合法人員的特定訪問提供安全的授權(quán)。
三、網(wǎng)絡(luò)安全方面
作為在運營技術(shù)前端設(shè)備和云計算數(shù)據(jù)中心之間部署的普適計算基礎(chǔ)設(shè)施,安全的開放霧計算平臺不僅能夠提供高度可用的實時可信計算服務(wù),而且還能夠很好地定位以實施動態(tài)多層縱深防御策略,保護對我們?nèi)粘I钪陵P(guān)重要的物理網(wǎng)絡(luò)系統(tǒng)。為了完成這一雙重任務(wù),開放霧計算平臺必須通過提供網(wǎng)絡(luò)安全性和持續(xù)安全監(jiān)控與管理來加強節(jié)點安全性。
圖2 開放霧計算安全功能層和操作平面圖
圖2所示為一個架構(gòu)平面圖,該架構(gòu)提供了具有端到端安全性的兩個操作平面:安全調(diào)配、安全監(jiān)控和管理,以及三個功能層:通信安全、服務(wù)安全和應(yīng)用安全。此架構(gòu)符合ITU-X.805建議,也符合開放網(wǎng)絡(luò)基金會(ONF)建議的軟件定義網(wǎng)絡(luò)體系結(jié)構(gòu)(ONF/SDN)。下面將對三個功能層進行詳細闡述。
(一)通信安全層
該層在設(shè)備—霧—云計算層次結(jié)構(gòu)中的所有實體之間的物理/虛擬通信信道內(nèi)實現(xiàn)了X.800中推薦的以下通信安全服務(wù)。
(1)機密性
? 連接和無連接數(shù)據(jù)的機密性
? 通信流量機密性
?。?)完整性
? 連接恢復(fù)的完整性
? 具有偵查功能的無連接完整性
? 防重放保護
?。?)可認證性
? 無連接通信的數(shù)據(jù)源身份認證
? 基于連接的通信對等實體認證
? 已認證的信道訪問控制
?。?)不可否認性(可選)
? 數(shù)據(jù)源的不可否認性
? 目的地的不可否認性
設(shè)備—霧—云計算統(tǒng)一體中發(fā)生的通信可分為三種安全通信路徑:節(jié)點到云的安全通信路徑、節(jié)點到節(jié)點的安全通信路徑和節(jié)點到設(shè)備的安全通信路徑。由于霧節(jié)點通常充當(dāng)云服務(wù)器對其相關(guān)前端設(shè)備的代理,同時將這些前端設(shè)備聚合到云服務(wù)器并表示這些前端設(shè)備,因此這些路徑應(yīng)協(xié)作,以保持前端設(shè)備和云服務(wù)器之間的互操作性。以下重點介紹了各種途徑的預(yù)期功能和建議的做法。
圖3 開放霧計算安全通信路徑
(二)節(jié)點到云的安全通信路徑
為了確保這些通信路徑的安全,霧節(jié)點需要為自己和其所代表的前端設(shè)備實現(xiàn)所有X.800通信安全服務(wù)(包括不可否認性)。應(yīng)使用從霧節(jié)點中安裝的硬件信任根派生的安全憑證實現(xiàn)強認證和不可否認服務(wù)。應(yīng)根據(jù)云服務(wù)提供商與霧節(jié)點管理器之間建立的通信安全策略強制實施信道訪問控制,作為其服務(wù)級別協(xié)議的一部分。所有的加密操作都應(yīng)由嵌入在霧節(jié)點中的密碼加速器執(zhí)行,而加密密鑰則應(yīng)作為安全監(jiān)控和管理操作的一部分進行管控。
這些路徑還有望保留云服務(wù)器使用的因特網(wǎng)通信協(xié)議和API,用于與前端設(shè)備(包括IoT設(shè)備、個人移動設(shè)備、POS終端、獨立計算機和服務(wù)器)進行通信。當(dāng)前,幾乎所有這些通信都是通過以下兩個協(xié)議套件作為Web服務(wù)事務(wù)實現(xiàn)的。
表1 用于安全節(jié)點到云通信的協(xié)議套件
(三)節(jié)點到節(jié)點的安全通信路徑
分布式霧計算平臺可能由跨越多個子網(wǎng)或管理域的霧節(jié)點層次結(jié)構(gòu)組成,但這些霧節(jié)點需要相互協(xié)調(diào)以實現(xiàn)特定目標。基于事務(wù)的客戶端—服務(wù)器計算模型和基于事件的發(fā)布—訂閱消息傳遞模式應(yīng)實現(xiàn)節(jié)點間的信息交換,以實現(xiàn)直接、及時的交互。以下協(xié)議套件通常用于實現(xiàn)這些范例。
表2 用于安全節(jié)點到節(jié)點通信的協(xié)議套件
與節(jié)點到云的路徑一樣,節(jié)點到節(jié)點的路徑期望霧節(jié)點作為通信端來實現(xiàn)所有X.800的通信安全服務(wù),包括不可否認性。應(yīng)使用從霧節(jié)點中安裝的硬件信任根派生的安全憑證實現(xiàn)強認證和不可否認服務(wù)。信道訪問控制應(yīng)根據(jù)霧節(jié)點管理器在其服務(wù)層協(xié)議中建立的通信安全策略實施。所有的加密操作都應(yīng)由嵌入在霧節(jié)點中的密碼加速器執(zhí)行,而加密密鑰則由安全監(jiān)控和管理操作進行管控。
(四)節(jié)點到設(shè)備的安全通信路徑
霧節(jié)點通常會充當(dāng)云服務(wù)器通信的代理,它會保留前端設(shè)備使用的通信協(xié)議和API。遺憾的是,不同應(yīng)用和通信媒介對設(shè)備通信協(xié)議的選擇是多種多樣的。通過調(diào)整互聯(lián)網(wǎng)(TCP/UDP/IP)協(xié)議套件,努力實現(xiàn)無線、有線通信和工業(yè)自動化之間的協(xié)議融合。
大多數(shù)X.800通信安全服務(wù)(不包括不可否認性)可以借助安全協(xié)議通過有線/無線以太網(wǎng),以及因特網(wǎng)的網(wǎng)絡(luò)和傳輸層實現(xiàn)。在適應(yīng)因特網(wǎng)協(xié)議的前端設(shè)備中,可以使用頒發(fā)給前端設(shè)備的安全憑據(jù)實現(xiàn)強認證。信道訪問控制可以根據(jù)霧服務(wù)提供商指定的通信安全策略強制執(zhí)行。所有加密操作都可以由前端設(shè)備中加密的嵌入式處理器執(zhí)行,而加密密鑰可以作為安全監(jiān)控和管理操作的一部分進行管理。
但是,在許多不精通因特網(wǎng)且資源受限的前端設(shè)備中,只有有限的加密功能(如使用手動安裝密鑰的對稱密碼)可用。這些設(shè)備必須安裝在受物理保護的通信環(huán)境中,并通過硬件連接到一個或多個霧節(jié)點,這些節(jié)點可以提供大多數(shù)的X.800通信安全服務(wù)。
隨著對霧計算研究的進一步深入,研究人員將繼續(xù)擴大節(jié)點到設(shè)備通信的覆蓋范圍。
?。ㄎ澹┓?wù)安全層
服務(wù)安全層不僅能夠提供傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備提供的信息安全服務(wù),包括深度數(shù)據(jù)包檢查(DPI)、應(yīng)用層代理、合法消息攔截、入侵檢測和保護系統(tǒng)(IPS/IDS)、系統(tǒng)/網(wǎng)絡(luò)事件和狀態(tài)監(jiān)控、內(nèi)容篩選和父母監(jiān)管等,同時,它還可以提供與安全服務(wù)捆綁的各類網(wǎng)絡(luò)服務(wù),包括vRouters、廣域網(wǎng)加速器、網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)、內(nèi)容交付服務(wù)器。
表3 用于安全節(jié)點到設(shè)備通信的協(xié)議套件
隨著越來越多地使用軟件定義網(wǎng)絡(luò)來替代專用設(shè)備,這些“設(shè)備”越來越多地作為軟件解決方案在虛擬機和Linux容器中實現(xiàn)。與上述其他設(shè)備一樣,此類安全設(shè)備通常稱為網(wǎng)絡(luò)功能虛擬化(NFV),或單獨稱為虛擬網(wǎng)絡(luò)功能(VNF)。這些虛擬網(wǎng)絡(luò)功能以及其他單獨打包的服務(wù)很可能被鏈接到一個服務(wù)功能鏈路(SFC)上,并使用網(wǎng)絡(luò)服務(wù)報頭將數(shù)據(jù)包路由到選定的服務(wù)功能路徑(SFP)中。在許多情況下,人們認為這些服務(wù)功能將在開放霧計算系統(tǒng)中得以實現(xiàn)。NFV和SFC環(huán)境呈現(xiàn)出了它們自己的一組安全問題,包括許多已經(jīng)討論過的方法,但也引入了下面所討論的一些新挑戰(zhàn)。
提供并保持數(shù)據(jù)完整性與機密性的可信VNF到VNF通信,需要來自平臺硬件、軟件和固件的許多功能提供支持。除了從信任的硬件根開發(fā)出信任鏈外,還需要具備以下功能:
?。?)基于VNF + CA建立身份的安全密鑰供應(yīng)
? 虛擬網(wǎng)絡(luò)功能(VNFC)的身份認證
? 非對稱加密
?。?)批量數(shù)據(jù)加密
? 對稱加密
?。?)安全持久的密鑰存儲
? 針對私鑰
?。?)受信任的VNF到OAM/MANO通信(完整性、機密性)
? 安全軟件更新
? (與上述預(yù)配相同)
(5)認證
? 雙方均處于安全狀態(tài)
除此之外,研究人員還需要在以下領(lǐng)域針對安全問題引入更多的思考:
?。?)服務(wù)覆蓋:服務(wù)功能轉(zhuǎn)發(fā)器(SFF)的傳輸轉(zhuǎn)發(fā)
? 在服務(wù)功能(SF)/VNF之間使用數(shù)據(jù)包進行加密
? 服務(wù)功能轉(zhuǎn)發(fā)器必須對服務(wù)功能/VNF端點進行身份認證
?。?)啟用服務(wù)功能鏈路的域邊界
? 在邊界認證受信任方:防止欺騙和DdoS攻擊
?。?)分類
? OAM對分類策略的認證和授權(quán)
?。?)服務(wù)功能鏈路封裝
? 元數(shù)據(jù)需要驗證其來源
? 敏感元數(shù)據(jù)的選擇性共享:加密或轉(zhuǎn)換
此外,網(wǎng)絡(luò)服務(wù)報頭(NSH)提供了創(chuàng)建動態(tài)關(guān)系的功能,這些動態(tài)關(guān)系可能無法提前進行身份認證,并且可能由服務(wù)功能轉(zhuǎn)發(fā)器來實現(xiàn)。
?。?)任何服務(wù)功能或服務(wù)功能轉(zhuǎn)發(fā)器都可以動態(tài)更新服務(wù)功能路徑。
(2)服務(wù)功能路徑可以在自身路徑中列出多種服務(wù)功能。
另外:
網(wǎng)絡(luò)服務(wù)報頭可以包含任意(固定或可變長度)的元數(shù)據(jù)字段,由原始分類器添加,或者由服務(wù)功能、服務(wù)功能轉(zhuǎn)發(fā)器在遍歷服務(wù)功能路徑時添加。它們用于傳達可能對鏈中其他服務(wù)功能有用的環(huán)境信息。
這引入了另一個數(shù)據(jù)機密性和隱私條件。由于元數(shù)據(jù)可以包含服務(wù)功能路徑認為必要組件所需的任何數(shù)據(jù),因此還不清楚如何有選擇性地在供應(yīng)鏈中隱藏(或加密)一些字段(當(dāng)數(shù)據(jù)包中的信息包含了服務(wù)提供商、用戶或部門信息時,這其中的一些信息是專有的、加密的或敏感的),現(xiàn)有架構(gòu)還沒有解決這些問題,這是一個復(fù)雜的問題,包含了許多動態(tài)變化、且未知的參與者。
四。數(shù)據(jù)安全方面
駐留在系統(tǒng)中的數(shù)據(jù)一般有三類:處理過程中存在于內(nèi)存中的數(shù)據(jù)、存儲在非易失性內(nèi)存上的數(shù)據(jù),以及網(wǎng)絡(luò)接口中所發(fā)送/接收的數(shù)據(jù)。本節(jié)將對如何保護這三種數(shù)據(jù)的安全性進行介紹。
(一)使用數(shù)據(jù)
在處理過程中,數(shù)據(jù)駐留在內(nèi)存系統(tǒng)層次結(jié)構(gòu)(例如SRAM、DRAM、緩存、交換空間等)中。其中一些數(shù)據(jù),例如密鑰材料、個人數(shù)據(jù)、公司專有數(shù)據(jù),甚至專有算法都被視為機密信息,需要受到保護,以免被未授權(quán)方讀取或更改。如前所述,內(nèi)存管理單元(例如mmu、iommu、smmu)可用于保護內(nèi)存免受來自其他地址空間(如虛擬機)或設(shè)備(物理或邏輯/虛擬)的未授權(quán)訪問。讀/寫/無執(zhí)行頁面屬性位還提供了地址空間內(nèi)的受限訪問。管理程序可以通過抽象和虛擬化硬件來添加一些額外的保護,這些硬件可以直接影響另一臺虛擬機的執(zhí)行環(huán)境。
駐留在交換空間上的內(nèi)存也應(yīng)該受到保護。其目的是防止未授權(quán)方讀取磁盤上的頁面數(shù)據(jù),例如,刪除數(shù)據(jù)并在另一個系統(tǒng)上讀取它。這可以通過加密來實現(xiàn)。整體磁盤加密是在相對較低的成本下提供此功能的一種方法。
使用外部硬件調(diào)試器(如JTAG)和軟件調(diào)試器訪問內(nèi)存不應(yīng)該在該領(lǐng)域的生產(chǎn)系統(tǒng)中啟用。在離開實驗室或受控環(huán)境時,應(yīng)始終關(guān)閉JTAG。當(dāng)需要調(diào)試時,如果允許,則在字段中必須設(shè)置控件,以確保只有授權(quán)用戶才能使用調(diào)試接口,并且對其他所有訪問禁用。
對使用中的數(shù)據(jù)進行安全保護還會涉及到對加密內(nèi)存的機密性和完整性進行保護。內(nèi)存加密用于在執(zhí)行期間提供代碼和數(shù)據(jù)的機密性。它用于保護內(nèi)存中的秘密信息,即使系統(tǒng)的其它部分已遭到破壞,內(nèi)存中的信息依然受到保護。使用內(nèi)存加密是基于這樣一個事實:只有CPU包被認為是可信的——而內(nèi)存不可信。它還有另外一個作用,可以防止攻擊者將代碼注入正在運行的鏡像,因為解密會導(dǎo)致代碼損壞和程序失敗。
由于其速度快,內(nèi)存加密方案通常使用對稱密鑰加密。此功能需要額外的硬件支持,包括駐留在內(nèi)存管理子系統(tǒng)中的加密設(shè)備、支持加密硬件管理的操作系統(tǒng),以及與加密內(nèi)存相關(guān)的密鑰管理方法。內(nèi)存加密并非沒有成本。當(dāng)內(nèi)存被提取到緩存并從緩存寫入內(nèi)存時,內(nèi)存的動態(tài)加/解密會影響內(nèi)存響應(yīng)時間。在霧計算環(huán)境中,內(nèi)存加密技術(shù)對某些類別的數(shù)據(jù)和某些應(yīng)用具有明顯的安全優(yōu)勢。它可以在威脅分析證明合理的情況下使用。
?。ǘ╈o止數(shù)據(jù)
靜止數(shù)據(jù)是指駐留在硬盤、固態(tài)硬盤(SSD)、優(yōu)盤、CD、DVD等非易失性存儲上的數(shù)據(jù)。加密是針對靜態(tài)數(shù)據(jù)的前沿防御。在其他類型的數(shù)據(jù)中,它保護個人身份信息(隱私)和其他敏感數(shù)據(jù)(機密性),對具有正確密鑰的人進行限制性訪問,阻止沒有密鑰的用戶訪問數(shù)據(jù),避免存儲介質(zhì)受到某種形式的物理損壞。
它還滿足許多合規(guī)性要求,消除了有關(guān)存儲介質(zhì)停用的任何顧慮,以及未經(jīng)授權(quán)訪問可能帶來的物理威脅——即使具有物理訪問權(quán)限的人員離開了霧節(jié)點驅(qū)動器,他們也將喪失訪問權(quán)限。
加密本身是不夠的——密鑰、策略和證書必須在安全存儲中進行主動管理,以確保它們不會被泄露,并且不會落入壞人之手。系統(tǒng)管理員應(yīng)該設(shè)置一個流程,用于監(jiān)視從數(shù)據(jù)庫、應(yīng)用和OS/文件系統(tǒng)中訪問數(shù)據(jù)的人員、內(nèi)容、位置、時間和方式等信息,以及監(jiān)控對敏感信息的訪問和未經(jīng)授權(quán)的訪問嘗試。所有安全事件都需要記錄以便OAM系統(tǒng)進行后續(xù)的分析取證。通過管理程序的實例化,以及虛擬機中操作系統(tǒng)和應(yīng)用程序的實例化,安全數(shù)據(jù)必須建立在一個安全的信任鏈上。
通常有三種保護和加密靜態(tài)數(shù)據(jù)的方法:
?。?)全磁盤加密
盡管軟件磁盤加密實現(xiàn)也存在,但在磁盤固件中通常使用基于硬件的加密機制來實現(xiàn)全磁盤加密。它的工作原理是自動加密寫入磁盤的所有數(shù)據(jù),并自動解密從磁盤讀取的所有數(shù)據(jù)。這兩種操作都依賴于擁有正確的身份認證密鑰。如果沒有正確的認證密鑰,即使刪除了硬盤驅(qū)動器,運行相同或不同軟件的另一臺機器也無法讀取它。全磁盤加密的優(yōu)點是它不需要軟件或OAM系統(tǒng)的特別注意。如果使用軟件加密,因為硬盤上的所有東西(包括操作系統(tǒng))都加密了,加/解密過程可能會增加數(shù)據(jù)訪問時間。全磁盤加密對位于公共場合(如商場、燈柱、街角、路邊、車輛等)的霧設(shè)備最有用。由于一個密鑰用于加密整個硬盤驅(qū)動器,所以O(shè)AM系統(tǒng)應(yīng)該提供一個加密密鑰備份機制,以防止系統(tǒng)由于某種原因變得不可用,同時需要提供數(shù)據(jù)檢索功能以及安全備份。
(2)文件系統(tǒng)(和數(shù)據(jù)庫)加密
文件系統(tǒng)級加密提供了一種方法,可以使用單獨的基于密鑰的訪問和身份認證機制來保護文件或目錄/文件夾上的特定文件。當(dāng)存儲在磁盤(或其他媒體)上的單個文件需要保護時,甚至需要防止其他應(yīng)用(或用戶)訪問完全加密的磁盤。在使用中,文件使用對稱文件加密密鑰(FEK)加密。FEK則使用所有者的公鑰進行加密。加密的FEK與加密的文件一起存儲。要解密文件,文件系統(tǒng)首先使用與所有者公鑰匹配的私鑰對嵌入的FEK進行解密,然后使用FEK解密文件。整個數(shù)據(jù)庫、單條記錄或記錄中的字段也可以進行加密。文件系統(tǒng)加密可以由運行在相同虛擬機中的應(yīng)用使用,這些應(yīng)用中的數(shù)據(jù)是專有的,或者包含了其他敏感數(shù)據(jù)或私有數(shù)據(jù)的文件。
?。?)文件系統(tǒng)訪問控制機制
文件系統(tǒng)訪問控制機制通過USERID或GROUPID限制對特定文件或文件組的訪問。所有現(xiàn)代文件系統(tǒng)都以某種方式控制文件權(quán)限。應(yīng)用于權(quán)限組的基本文件權(quán)限是權(quán)限類型。
權(quán)限組——每個文件和目錄都有三個基于用戶的權(quán)限組:
? 所有者:所有者權(quán)限僅適用于文件或目錄的所有者,它們不會影響其他用戶的操作。
? 組:組權(quán)限僅適用于已分配給文件或目錄的組,它們不會影響其他用戶的操作。
? 所有用戶:所有用戶權(quán)限適用于系統(tǒng)上的所有其他用戶,這通常是最重要的權(quán)限組。
權(quán)限類型——每個文件或目錄都有三種基本權(quán)限類型:
? 讀:讀權(quán)限是指用戶讀取文件內(nèi)容的能力。
? 寫:寫權(quán)限是指用戶寫入或修改文件或目錄的能力。
? 執(zhí)行:執(zhí)行權(quán)限影響用戶執(zhí)行文件或查看目錄內(nèi)容的能力。
這些機制是定義USERID和GROUPID的操作系統(tǒng)環(huán)境中的重要控件。通常為管理員。在為特定操作系統(tǒng)文件環(huán)境設(shè)置USERID和/或GROUPID時,將通過OAM操作指定訪問權(quán)限。如果不同的應(yīng)用在相同的操作系統(tǒng)環(huán)境中運行,每個應(yīng)用需要對共享文件系統(tǒng)中的數(shù)據(jù)進行不同的訪問(例如,對于某些應(yīng)用來說是只讀的,對于數(shù)據(jù)生成應(yīng)用來說是可讀寫的),那么這一點會非常重要。
?。ㄈ﹦討B(tài)數(shù)據(jù)
動態(tài)數(shù)據(jù),有時稱為傳輸中的數(shù)據(jù),用于描述網(wǎng)絡(luò)接口(包括虛擬網(wǎng)絡(luò)接口)與霧節(jié)點之間發(fā)送和接收的數(shù)據(jù)包,即通過網(wǎng)絡(luò)傳輸?shù)男畔?。系統(tǒng)管理員應(yīng)該使用VPN、SSL或其他技術(shù)為所有正在運行的敏感信息或私有數(shù)據(jù)進行加密,以保護數(shù)據(jù)在傳輸過程中不被破壞或以明文形式顯示。
對于動態(tài)數(shù)據(jù)的保護,可以使用兩種方法進行加密:使用加密連接或使用加密文件。加密連接是指通過網(wǎng)絡(luò)連接發(fā)送的任何內(nèi)容都自動加密,而不管要發(fā)送的信息的加密狀態(tài)如何。例如,如果發(fā)送一個已經(jīng)加密的文件,它將在發(fā)送時再次加密(使用不同的密鑰)。在傳輸過程中,后續(xù)數(shù)據(jù)的另一種安全方法是使用已加密的文件。由于加密的文件以加密的形式存在,所以它總是加密的,因此是受保護的。
五。結(jié)語
目前,霧計算安全的研究還剛剛起步,對于用戶而言,在享受高速率、低延遲和響應(yīng)時間的高質(zhì)量服務(wù)的同時,還需要避免用戶數(shù)據(jù)在傳輸過程中被竊聽和盜用,因此,研究人員需要在分析霧計算系統(tǒng)特征的基礎(chǔ)上,深入研究霧計算安全所涉及的關(guān)鍵技術(shù),從節(jié)點安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等三個方面研究數(shù)據(jù)安全保護解決方案,針對不同的數(shù)據(jù)類型找到合適的加密算法,實現(xiàn)對霧計算中數(shù)據(jù)安全的保障。