5G時(shí)代,邊緣計(jì)算參考架構(gòu)3.0 |
該參考架構(gòu)基于模型驅(qū)動(dòng)的工程方法(Model-Driven Engineering,MDE)進(jìn)行設(shè)計(jì),如圖3-1所示,可將物理和數(shù)字世界的知識(shí)模型化,從而實(shí)現(xiàn)以下目標(biāo): 物理世界和數(shù)字世界的協(xié)作; 跨產(chǎn)業(yè)的生態(tài)協(xié)作; 減少系統(tǒng)異構(gòu)性,簡化跨平臺(tái)移植流程; 有效支撐系統(tǒng)的全生命周期活動(dòng)。 ▲圖3-1 邊緣計(jì)算參考架構(gòu)3.0 參考架構(gòu)3.0的主要內(nèi)容包括: 整個(gè)系統(tǒng)分為云、邊緣和現(xiàn)場三層,邊緣計(jì)算位于云和現(xiàn)場層之間,邊緣層向下支持各種現(xiàn)場設(shè)備的接入,向上可以與云端對接。 邊緣層包括邊緣節(jié)點(diǎn)和邊緣管理器兩個(gè)主要部分。邊緣節(jié)點(diǎn)是硬件實(shí)體,是承載邊緣計(jì)算業(yè)務(wù)的核心。邊緣節(jié)點(diǎn)根據(jù)業(yè)務(wù)側(cè)重點(diǎn)和硬件特點(diǎn)的不同,包括以網(wǎng)絡(luò)協(xié)議處理和轉(zhuǎn)換為重點(diǎn)的邊緣網(wǎng)關(guān)、以支持實(shí)時(shí)閉環(huán)控制業(yè)務(wù)為重點(diǎn)的邊緣控制器、以大規(guī)模數(shù)據(jù)處理為重點(diǎn)的邊緣云、以低功耗信息采集和處理為重點(diǎn)的邊緣傳感器等。 邊緣管理器的呈現(xiàn)核心是軟件,主要功能是對邊緣節(jié)點(diǎn)進(jìn)行統(tǒng)一管理。 邊緣節(jié)點(diǎn)一般具有計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源,邊緣計(jì)算系統(tǒng)對資源的使用有兩種方式: 第一,直接將計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源進(jìn)行封裝,提供調(diào)用接口,邊緣管理器以代碼下載、網(wǎng)絡(luò)策略配置和數(shù)據(jù)庫操作等方式使用邊緣節(jié)點(diǎn)資源; 第二,進(jìn)一步將邊緣節(jié)點(diǎn)的資源按功能領(lǐng)域封裝成功能模塊,邊緣管理器通過模型驅(qū)動(dòng)的業(yè)務(wù)編排的方式組合和調(diào)用功能模塊,實(shí)現(xiàn)邊緣計(jì)算業(yè)務(wù)的一體化開發(fā)和敏捷部署。 邊緣計(jì)算須提供統(tǒng)一的管理服務(wù)、數(shù)據(jù)全生命周期服務(wù)和安全服務(wù),以處理各種異構(gòu)的基礎(chǔ)設(shè)施、設(shè)備形態(tài)等,最終達(dá)到提升管理與運(yùn)維運(yùn)營效率,降低運(yùn)維成本的目的。 邊緣計(jì)算按距離由近及遠(yuǎn)可分為現(xiàn)場層、邊緣層和云計(jì)算層,如圖3-2所示。 ▲圖3-2 邊緣計(jì)算按距離分類 1. 現(xiàn)場層 現(xiàn)場層包括傳感器、執(zhí)行器、設(shè)備、控制系統(tǒng)和資產(chǎn)等現(xiàn)場節(jié)點(diǎn)。這些現(xiàn)場節(jié)點(diǎn)通過各種類型的現(xiàn)場網(wǎng)絡(luò)、工業(yè)總線與邊緣層中的邊緣網(wǎng)關(guān)等設(shè)備相連接,實(shí)現(xiàn)現(xiàn)場層和邊緣層之間數(shù)據(jù)流和控制流的連通。 網(wǎng)絡(luò)可以使用不同的拓?fù)浣Y(jié)構(gòu),邊緣網(wǎng)關(guān)等設(shè)備用于將一組現(xiàn)場節(jié)點(diǎn)彼此連接以及連接到廣域網(wǎng)絡(luò)。它具有到集群中每個(gè)邊緣實(shí)體的直接連接,允許來自邊緣節(jié)點(diǎn)的數(shù)據(jù)流入和到邊緣節(jié)點(diǎn)的控制命令流出。 2. 邊緣層 邊緣層是邊緣計(jì)算三層架構(gòu)的核心,用于接收、處理和轉(zhuǎn)發(fā)來自現(xiàn)場層的數(shù)據(jù)流,提供智能感知、安全隱私保護(hù)、數(shù)據(jù)分析、智能計(jì)算、過程優(yōu)化和實(shí)時(shí)控制等時(shí)間敏感服務(wù)。 邊緣層包括邊緣網(wǎng)關(guān)、邊緣控制器、邊緣云、邊緣傳感器等計(jì)算存儲(chǔ)設(shè)備,以及時(shí)間敏感網(wǎng)絡(luò)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備,封裝了邊緣側(cè)的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源。邊緣層還包括邊緣管理器軟件,該軟件主要提供業(yè)務(wù)編排或直接調(diào)用的能力,用于操作邊緣節(jié)點(diǎn)完成相關(guān)任務(wù)。 當(dāng)前邊緣層的部署有云邊緣(KubeEdge)、邊緣云(MEC與此對應(yīng))和云化網(wǎng)關(guān)三類落地形態(tài)。 云邊緣:云邊緣形態(tài)的邊緣計(jì)算,是云服務(wù)在邊緣側(cè)的延伸,邏輯上仍是云服務(wù),主要提供依賴于云服務(wù)或需要與云服務(wù)緊密協(xié)同的服務(wù)。華為云提供的IEF解決方案、阿里云提供的Link Edge 解決方案、AWS提供的Greengrass解決方案等均屬于此類。 邊緣云:邊緣云形態(tài)的邊緣計(jì)算,是在邊緣側(cè)構(gòu)建中小規(guī)模云,邊緣服務(wù)能力主要由邊緣云提供;集中式DC側(cè)的云服務(wù)主要提供邊緣云的管理調(diào)度能力。MEC、CDN、華為云提供的IEC解決方案等均屬于此類。 云化網(wǎng)關(guān):云化網(wǎng)關(guān)形態(tài)的邊緣計(jì)算,以云化技術(shù)與能力重構(gòu)原有嵌入式網(wǎng)關(guān)系統(tǒng),云化網(wǎng)關(guān)在邊緣側(cè)提供協(xié)議、接口轉(zhuǎn)換、邊緣計(jì)算等能力,部署在云側(cè)的控制器提供針對邊緣節(jié)點(diǎn)的資源調(diào)度、應(yīng)用管理、業(yè)務(wù)編排等能力。 3. 云計(jì)算層 云計(jì)算層提供決策支持系統(tǒng),以及智能化生產(chǎn)、網(wǎng)絡(luò)化協(xié)同、服務(wù)化延伸和個(gè)性化定制等特定領(lǐng)域的應(yīng)用服務(wù)程序,并為最終用戶提供接口。云計(jì)算層從邊緣層接收數(shù)據(jù)流,并向邊緣層以及通過邊緣層向現(xiàn)場層發(fā)出控制信息,從全局范圍內(nèi)對資源調(diào)度和現(xiàn)場生產(chǎn)過程進(jìn)行優(yōu)化。 邊緣計(jì)算參考架構(gòu)的功能視圖如圖3-3所示。 ▲圖3-3 功能視圖 1. 基礎(chǔ)資源 基礎(chǔ)資源包括網(wǎng)絡(luò)、計(jì)算和存儲(chǔ)三個(gè)基礎(chǔ)模塊,以及虛擬化服務(wù),其中前三個(gè)前面已有介紹,故這里僅對虛擬化服務(wù)進(jìn)行簡單介紹。 虛擬化技術(shù)降低了系統(tǒng)開發(fā)和部署成本,已經(jīng)開始從服務(wù)器應(yīng)用場景向嵌入式系統(tǒng)應(yīng)用場景滲透。典型的虛擬化技術(shù)包括裸機(jī)(Bare Metal,又稱裸金屬)架構(gòu)和主機(jī)(Host)架構(gòu)。 前者是虛擬化層的虛擬機(jī)管理器(Hypervisor)等功能直接運(yùn)行在系統(tǒng)硬件平臺(tái)上,然后再運(yùn)行操作系統(tǒng)和虛擬化功能;后者是虛擬化層功能運(yùn)行在主機(jī)操作系統(tǒng)上。前者有更好的實(shí)時(shí)性,智能資產(chǎn)和智能網(wǎng)關(guān)一般采用該方式。 2. 功能領(lǐng)域 邊緣計(jì)算的功能模塊主要用于控制、分析和優(yōu)化三個(gè)領(lǐng)域。 1)控制功能 如圖3-4所示,在工業(yè)互聯(lián)網(wǎng)邊緣計(jì)算場景中,控制仍然是一個(gè)重要的核心功能。控制系統(tǒng)要求對環(huán)境可感知且執(zhí)行要穩(wěn)、準(zhǔn)、快。因此,大規(guī)模復(fù)雜系統(tǒng)對控制器的計(jì)算能力和實(shí)時(shí)響應(yīng)要求嚴(yán)格,利用邊緣計(jì)算增強(qiáng)本地計(jì)算能力,降低由云集中式計(jì)算帶來的響應(yīng)延遲是面向大規(guī)模復(fù)雜控制系統(tǒng)的有效解決方案。 ▲圖3-4 控制功能領(lǐng)域 控制功能主要包括對環(huán)境的感知和執(zhí)行、實(shí)時(shí)通信、實(shí)體抽象、控制系統(tǒng)建模、資產(chǎn)管理等。 感知與執(zhí)行:感知是指從傳感器中讀取環(huán)境信息。執(zhí)行是指向執(zhí)行器中寫入由環(huán)境變化引起的響應(yīng)操作。兩者的物理實(shí)現(xiàn)通常由一組專用硬件、固件、設(shè)備驅(qū)動(dòng)程序和API接口組成。 實(shí)體抽象:在一個(gè)更高的層次通過虛擬實(shí)體表征控制系統(tǒng)中的傳感器、執(zhí)行器、同級控制器和系統(tǒng),并描述它們之間的關(guān)系,其中還包含系統(tǒng)元素之間消息傳遞過程中消息的語義。通過實(shí)體抽象,一方面易于控制系統(tǒng)上下文表征,理解感知信息和執(zhí)行信息的含義;另一方面,虛擬實(shí)體將系統(tǒng)硬件軟件化和服務(wù)化,從而使得系統(tǒng)構(gòu)建過程中可以縱向?qū)⒂布⑾到y(tǒng)功能和特定應(yīng)用場景組合,增加開發(fā)的靈活性,提高開發(fā)效率。 建模:控制系統(tǒng)建模即通過解釋和關(guān)聯(lián)從環(huán)境(包括傳感器、網(wǎng)絡(luò)設(shè)備)中獲取的數(shù)據(jù),達(dá)到理解系統(tǒng)的狀態(tài)、轉(zhuǎn)換條件和行為的目的。建模的過程是從定性了解系統(tǒng)的工作原理及特性到定量描述系統(tǒng)的動(dòng)態(tài)特性的過程。 資產(chǎn)管理:資產(chǎn)管理是指對控制系統(tǒng)操作的管理,包括系統(tǒng)上線、配置、執(zhí)行策略、軟/固件更新以及其他系統(tǒng)生命周期管理。 2)分析功能 分析功能主要包括流數(shù)據(jù)分析、視頻圖像分析、智能計(jì)算和數(shù)據(jù)挖掘等。 基于流式數(shù)據(jù)分析可對數(shù)據(jù)進(jìn)行即時(shí)處理,快速響應(yīng)事件并滿足不斷變化的業(yè)務(wù)條件與需求,加速對數(shù)據(jù)執(zhí)行的持續(xù)分析。針對流數(shù)據(jù)具有的大量、連續(xù)、快速、隨時(shí)間變化快等特點(diǎn),流數(shù)據(jù)分析需要能夠過濾無關(guān)數(shù)據(jù),進(jìn)行數(shù)據(jù)聚合和分組,快速提供跨流關(guān)聯(lián)信息,將元數(shù)據(jù)、參考數(shù)據(jù)和歷史數(shù)據(jù)與上下文的流數(shù)據(jù)相結(jié)合,并能夠?qū)崟r(shí)監(jiān)測異常數(shù)據(jù)。 對于海量非結(jié)構(gòu)化的視頻數(shù)據(jù),在邊緣側(cè)可提供實(shí)時(shí)的圖像特征提取、關(guān)鍵幀提取等基礎(chǔ)功能支持。 在邊緣側(cè)應(yīng)用智能算法(例如傳統(tǒng)的遺傳算法、蟻群算法、粒子群算法;與人工智能相關(guān)的神經(jīng)網(wǎng)絡(luò)、機(jī)器學(xué)習(xí)等),可完成對復(fù)雜問題的求解。在邊緣側(cè)提供常用的統(tǒng)計(jì)模型庫,支持統(tǒng)計(jì)模型、機(jī)理模型等模型算法的集成,支持輕量的深度學(xué)習(xí)等模型訓(xùn)練方法。 3)優(yōu)化功能 邊緣計(jì)算優(yōu)化功能涵蓋了場景應(yīng)用的多個(gè)層次,如圖 3-5所示。 ▲圖3-5 優(yōu)化功能 測量與執(zhí)行優(yōu)化:對傳感器和執(zhí)行器信號的接口進(jìn)行優(yōu)化,減少通信數(shù)據(jù)量,保障信號傳遞的實(shí)時(shí)性。 環(huán)境與設(shè)備安全優(yōu)化:對報(bào)警事件進(jìn)行優(yōu)化管理,盡可能早地發(fā)現(xiàn)問題并做出響應(yīng);優(yōu)化緊急事件處理方式,簡化緊急響應(yīng)條件。 調(diào)節(jié)控制優(yōu)化:對控制策略、控制系統(tǒng)參數(shù)(如PID)、故障檢測過程等進(jìn)行優(yōu)化。 多元控制協(xié)同優(yōu)化:對預(yù)測控制系統(tǒng)的控制模型、MIMO(Multiple-Input Multiple-Output)控制系統(tǒng)的參數(shù)矩陣以及多個(gè)控制器組成的分布式系統(tǒng)的協(xié)同控制進(jìn)行優(yōu)化。 實(shí)時(shí)優(yōu)化:對生產(chǎn)車間或工作單元范圍內(nèi)的數(shù)據(jù)進(jìn)行實(shí)時(shí)優(yōu)化以實(shí)現(xiàn)參數(shù)估計(jì)和數(shù)據(jù)辨識(shí)等功能。 車間排產(chǎn)優(yōu)化:主要包括需求預(yù)測模型優(yōu)化、供應(yīng)鏈管理優(yōu)化、生產(chǎn)過程優(yōu)化等。 邊緣管理包括基于模型的業(yè)務(wù)編排以及對代碼、網(wǎng)絡(luò)和數(shù)據(jù)庫的管理,且采用相同配置模式來進(jìn)行管理,包括分配版本號、保存配置變更信息等,下面以模型為例來展示邊緣管理功能。 邊緣計(jì)算參考架構(gòu)3.0基于模型的業(yè)務(wù)編排,通過架構(gòu)、功能需求、接口需求等模型定義,支持模型和業(yè)務(wù)流程的可視化呈現(xiàn),支持基于模型生成多語言的代碼;通過集成開發(fā)平臺(tái)和工具鏈集成邊緣計(jì)算領(lǐng)域模型與垂直行業(yè)領(lǐng)域模型;支持模型庫版本管理。 業(yè)務(wù)編排一般基于三層架構(gòu),如圖3-6所示。 ▲圖3-6 邊緣編排 1)業(yè)務(wù)編排器 編排器負(fù)責(zé)定義業(yè)務(wù)組織流程,一般部署在云端(公有云/私有云)或本地(智能系統(tǒng)上)。編排器提供可視化的工作流定義工具,支持CRUD操作。編排器能夠基于和復(fù)用開發(fā)服務(wù)框架已經(jīng)定義好的服務(wù)模板、策略模板進(jìn)行業(yè)務(wù)編排。在下發(fā)業(yè)務(wù)流程給策略控制器前,編排器能夠完成工作流的語義檢查和策略沖突檢測等工作。 2)策略控制器 為了保證業(yè)務(wù)調(diào)度和控制的實(shí)時(shí)性,在網(wǎng)絡(luò)邊緣側(cè)會(huì)部署策略控制器,以實(shí)現(xiàn)本地就近控制。策略控制器按照一定策略,結(jié)合本地的邊緣功能模塊所支持的服務(wù)與能力,將業(yè)務(wù)流程分配給本地的一個(gè)或多個(gè)邊緣功能模塊以完成具體實(shí)施工作。 考慮到邊緣計(jì)算領(lǐng)域和垂直行業(yè)領(lǐng)域需要不同的知識(shí)和系統(tǒng)實(shí)現(xiàn),所以控制器的設(shè)計(jì)和部署往往分域完成。由邊緣計(jì)算領(lǐng)域控制器負(fù)責(zé)對安全、數(shù)據(jù)分析等邊緣計(jì)算服務(wù)進(jìn)行部署。涉及垂直行業(yè)業(yè)務(wù)邏輯的部分,由垂直行業(yè)領(lǐng)域的控制器進(jìn)行分發(fā)調(diào)度。 3)策略執(zhí)行器 在每個(gè)邊緣節(jié)點(diǎn)內(nèi)置策略執(zhí)行器,其負(fù)責(zé)將策略翻譯成本設(shè)備命令并在本地調(diào)度執(zhí)行。邊緣節(jié)點(diǎn)既支持由控制器推送策略,又支持主動(dòng)向控制器請求策略。策略可只關(guān)注高層次業(yè)務(wù)需求,而不對邊緣節(jié)點(diǎn)進(jìn)行細(xì)粒度控制,從而保證邊緣節(jié)點(diǎn)的自主性和本地事件響應(yīng)處理的實(shí)時(shí)性。 當(dāng)然,邊緣管理功能也允許通過代碼管理、網(wǎng)絡(luò)配置、數(shù)據(jù)庫操作等方式直接操作或調(diào)用相應(yīng)資源,來完成對應(yīng)的管理任務(wù)。代碼管理包括對功能模塊或代碼進(jìn)行存儲(chǔ)、更新、檢索、增加、刪除及版本控制等操作。 而網(wǎng)絡(luò)管理則可在高層上對大規(guī)模計(jì)算網(wǎng)絡(luò)和工業(yè)現(xiàn)場網(wǎng)絡(luò)進(jìn)行維護(hù)與管理,實(shí)現(xiàn)對網(wǎng)絡(luò)資源的控制、規(guī)劃、分配、部署、監(jiān)視和編排。 數(shù)據(jù)庫管理則針對數(shù)據(jù)庫的建立、調(diào)整、組合、數(shù)據(jù)安全性控制、完整性控制、故障恢復(fù)和監(jiān)控等進(jìn)行全生命周期的操作。 邊緣計(jì)算參考架構(gòu)3.0中的邊緣服務(wù)包括管理服務(wù)、數(shù)據(jù)全生命周期服務(wù)和安全服務(wù)。 1)管理服務(wù) 邊緣計(jì)算參考架構(gòu)3.0支持面向終端設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)設(shè)備、數(shù)據(jù)、業(yè)務(wù)與應(yīng)用的隔離、安全、分布式架構(gòu)的統(tǒng)一管理服務(wù)。 邊緣計(jì)算參考架構(gòu)3.0支持面向工程設(shè)計(jì)、集成設(shè)計(jì)、系統(tǒng)部署、業(yè)務(wù)與數(shù)據(jù)遷移、集成測試、集成驗(yàn)證與驗(yàn)收等全生命周期服務(wù)。 2)數(shù)據(jù)全生命周期服務(wù) 邊緣數(shù)據(jù)是在網(wǎng)絡(luò)邊緣側(cè)產(chǎn)生的數(shù)據(jù),包括機(jī)器運(yùn)行數(shù)據(jù)、環(huán)境數(shù)據(jù)以及信息系統(tǒng)數(shù)據(jù)等,具有高通量(瞬間流量大)、流動(dòng)速度快、類型多樣、關(guān)聯(lián)性強(qiáng)、分析處理實(shí)時(shí)性要求高等特點(diǎn),與互聯(lián)網(wǎng)等商業(yè)大數(shù)據(jù)相比,邊緣數(shù)據(jù)的智能分析有如下特點(diǎn): 因果VS關(guān)聯(lián):邊緣數(shù)據(jù)主要面向智能資產(chǎn),相關(guān)系統(tǒng)運(yùn)行一般有明確的輸入、輸出的因果關(guān)系,而商業(yè)大數(shù)據(jù)關(guān)注的是數(shù)據(jù)關(guān)聯(lián)關(guān)系。 高可靠性VS較低可靠性:制造、交通等行業(yè)對模型的準(zhǔn)確度和可靠性要求高,否則會(huì)帶來財(cái)產(chǎn)損失甚至人身傷亡。而商業(yè)大數(shù)據(jù)分析對可靠性要求一般較低。邊緣數(shù)據(jù)的分析要求結(jié)果可解釋,所以黑盒化的深度學(xué)習(xí)方式在一些應(yīng)用場景受到限制。將傳統(tǒng)的機(jī)理模型和數(shù)據(jù)分析方法相結(jié)合是智能分析創(chuàng)新和應(yīng)用的方向。 小數(shù)據(jù)VS大數(shù)據(jù):機(jī)床、車輛等資產(chǎn)是人設(shè)計(jì)、制造的,其運(yùn)行過程中產(chǎn)生的多數(shù)數(shù)據(jù)是可以預(yù)知的,其在異常、邊界等情況下產(chǎn)生的數(shù)據(jù)才是真正有價(jià)值的數(shù)據(jù)。商業(yè)大數(shù)據(jù)分析一般需要海量的數(shù)據(jù)。邊緣數(shù)據(jù)分析可以通過業(yè)務(wù)編排層定義數(shù)據(jù)全生命周期的業(yè)務(wù)邏輯,包括指定數(shù)據(jù)分析算法等,通過功能領(lǐng)域優(yōu)化數(shù)據(jù)服務(wù)的部署和運(yùn)行,滿足業(yè)務(wù)實(shí)時(shí)性等要求。 數(shù)據(jù)全生命周期包括: 數(shù)據(jù)預(yù)處理:對原始數(shù)據(jù)進(jìn)行過濾、清洗、聚合、質(zhì)量優(yōu)化(剔除壞數(shù)據(jù)等)和語義解析等操作。 數(shù)據(jù)分發(fā)和策略執(zhí)行:基于預(yù)定義規(guī)則和數(shù)據(jù)分析結(jié)果,在本地進(jìn)行策略執(zhí)行;或者將數(shù)據(jù)轉(zhuǎn)發(fā)給云端或其他邊緣節(jié)點(diǎn)進(jìn)行處理。 數(shù)據(jù)可視化和存儲(chǔ):采用時(shí)序數(shù)據(jù)庫等技術(shù)可以大大節(jié)省存儲(chǔ)空間并滿足高速的讀寫操作需求。利用AR、VR等新一代交互技術(shù)逼真呈現(xiàn)數(shù)據(jù)。 邊緣計(jì)算架構(gòu)的安全設(shè)計(jì)與實(shí)現(xiàn)首先需要考慮: 安全功能適配邊緣計(jì)算的特定架構(gòu); 安全功能能夠靈活部署與擴(kuò)展; 能夠在一定時(shí)間內(nèi)持續(xù)抵抗攻擊; 能夠容忍一定程度和范圍內(nèi)的功能失效,基礎(chǔ)功能始終保持運(yùn)行; 整個(gè)系統(tǒng)能夠從失敗中快速且完全恢復(fù)。 同時(shí),需要考慮邊緣計(jì)算應(yīng)用場景的獨(dú)特性: 安全功能輕量化,能夠部署在各類硬件資源受限的IoT設(shè)備中,考慮到加解密、證書認(rèn)證等操作都需要消耗相應(yīng)的軟硬件資源,考慮到邊緣設(shè)備資源受限的影響,最終的安全方案需要在易用性、成本與安全保障能力方面進(jìn)行取舍,同時(shí)應(yīng)避免安全性過于依賴中心化資源共享。 海量異構(gòu)的設(shè)備接入,部分邊緣存在無法持續(xù)監(jiān)管的問題(歸屬于企業(yè)或個(gè)人,或網(wǎng)絡(luò)非持續(xù)在線等),存在被黑客篡改或攻擊后借助該邊緣節(jié)點(diǎn)入侵整個(gè)系統(tǒng)的風(fēng)險(xiǎn)。 傳統(tǒng)依賴防火墻或網(wǎng)關(guān)實(shí)現(xiàn)的基于邊界隔離內(nèi)、外網(wǎng)的安全方案仍是需要的,但還不夠。即使在內(nèi)網(wǎng),基于一般信任的安全模型也不再適用,需要基于不信任的安全模型,比如按照最小授權(quán)原則重新設(shè)計(jì)安全模型 (白名單)等。 在關(guān)鍵的設(shè)備節(jié)點(diǎn)(例如邊緣網(wǎng)關(guān))實(shí)現(xiàn)網(wǎng)絡(luò)與域的隔離,對安全攻擊和風(fēng)險(xiǎn)范圍進(jìn)行控制,避免攻擊由點(diǎn)到面擴(kuò)展。 安全和實(shí)時(shí)態(tài)勢感知無縫嵌入整個(gè)邊緣計(jì)算架構(gòu)中,實(shí)現(xiàn)持續(xù)的檢測與響應(yīng)。盡可能依賴自動(dòng)化實(shí)現(xiàn),但是時(shí)常也需要人工干預(yù)。 安全的設(shè)計(jì)需要覆蓋邊緣計(jì)算架構(gòu)的各層級,不同層級需要不同的安全特性,還需要有統(tǒng)一的態(tài)勢感知、安全管理與編排、統(tǒng)一的身份認(rèn)證與管理以及統(tǒng)一的安全運(yùn)維體系,只有這樣才能最大限度保障整個(gè)架構(gòu)安全與可靠。所有安全管理模塊的示意與關(guān)系如圖3-7所示。 ▲圖3-7 安全管理模塊 由圖3-7可知,安全管理主要涉及如下幾項(xiàng): 節(jié)點(diǎn)安全:需要提供基礎(chǔ)的邊緣計(jì)算安全、端點(diǎn)安全、軟件加固和安全配置、安全與可靠遠(yuǎn)程升級、輕量級可信計(jì)算、硬件安全開關(guān)等功能。安全與可靠的遠(yuǎn)程升級能夠及時(shí)完成漏洞修復(fù),同時(shí)避免升級后系統(tǒng)失效(也就是常說的“變磚”)。輕量級可信計(jì)算用于計(jì)算(CPU)和存儲(chǔ)與資源受限的簡單物聯(lián)網(wǎng)設(shè)備相關(guān)的數(shù)據(jù),解決最基本的可信問題。 網(wǎng)絡(luò)安全:包含防火墻(Firewall)、入侵檢測和防護(hù)(IPS/IDS)、DDoS防護(hù)、VPN/TLS功能,也包括一些傳輸協(xié)議的安全功能重用(例如REST協(xié)議的安全功能)。其中DDoS防護(hù)在物聯(lián)網(wǎng)和邊緣計(jì)算中特別重要,近年來,越來越多的物聯(lián)網(wǎng)攻擊是DDoS攻擊,攻擊者通過控制安全性較弱的物聯(lián)網(wǎng)設(shè)備(例如采用固定密碼的攝像頭)來集中攻擊特定目標(biāo)。 數(shù)據(jù)安全:包含數(shù)據(jù)加密、數(shù)據(jù)隔離和銷毀、數(shù)據(jù)防篡改、隱私保護(hù)(數(shù)據(jù)脫敏)、數(shù)據(jù)訪問控制和數(shù)據(jù)防泄露等。其中數(shù)據(jù)加密,包含數(shù)據(jù)在傳輸過程中的加密、在存儲(chǔ)時(shí)的加密;邊緣計(jì)算的數(shù)據(jù)防泄露與傳統(tǒng)的數(shù)據(jù)防泄露有所不同,邊緣計(jì)算的設(shè)備往往是分布式部署,需要考慮這些設(shè)備被盜以后,相關(guān)數(shù)據(jù)即使被獲得也不會(huì)泄露。 應(yīng)用安全:主要包含白名單、應(yīng)用安全審計(jì)、惡意代碼防范、WAF(Web應(yīng)用防火墻)、沙箱等安全功能。其中,白名單是邊緣計(jì)算架構(gòu)中非常重要的功能,由于終端的海量異構(gòu)接入,業(yè)務(wù)種類繁多,傳統(tǒng)的IT安全授權(quán)模式不再適用,往往需要采用最小授權(quán)的安全模型(例如白名單功能)管理應(yīng)用及訪問權(quán)限。 安全態(tài)勢感知、安全管理編排:網(wǎng)絡(luò)邊緣側(cè)接入的終端類型廣泛且數(shù)量巨大,承載的業(yè)務(wù)繁雜,被動(dòng)安全防御往往不能起到良好的效果。因此,需要采用更加積極主動(dòng)的安全防御手段,包括基于大數(shù)據(jù)的態(tài)勢感知和高級威脅檢測,以及統(tǒng)一的全網(wǎng)安全策略和主動(dòng)防護(hù)機(jī)制,從而更加快速地進(jìn)行響應(yīng)和防護(hù)。再結(jié)合完善的運(yùn)維監(jiān)控和應(yīng)急響應(yīng)機(jī)制,則能夠最大限度保障邊緣計(jì)算系統(tǒng)的安全、可用、可信。 身份和認(rèn)證管理:身份和認(rèn)證管理功能遍布所有功能層。但是在邊緣側(cè)要考慮海量設(shè)備接入的訴求,傳統(tǒng)集中式安全認(rèn)證面臨巨大的性能壓力,特別是在設(shè)備集中上線時(shí)認(rèn)證系統(tǒng)往往不堪重負(fù)。去中心化、分布式的認(rèn)證方式和證書管理成為新的技術(shù)選擇。 |
電話:+86-531-82377616 I M+86-13853180854
郵箱:[email protected]
總部:濟(jì)南市歷下區(qū)解放路正大時(shí)代廣場816
研發(fā)地:濟(jì)南市高新區(qū)三慶齊盛廣場2號樓1607
微信公眾號
微信咨詢
掃一掃 加微信