边缘计算盒子又称为物联网边缘计算网关,是一种能够在设备上运行本地计算、消息通信、数据缓存等的智能网关,它能够在不需要联网的前提下,完成对设备的本地连接和数据的处理和分析。在安防领域中,通俗来说AI边缘盒子就像是一个AI图像处理服务器,对收集的视频源进行AI识别,给传统视频监控系统赋予了人工智能技术的边缘计算设备。
边缘盒子的作用:1、行为识别。边缘计算盒子支持人员入侵等周界报警,当有人做出异常动作时,基于边缘计算盒子的智能监控可以做出行为预警。
2、AI算法定制。在一些特定的高危行业领域中,每个行业需求针对性的定制AI算法进行AI识别预警,避免安全隐患发生。例如化工、加油站企业生产中的液体泄露识别、静电释放检测等算法,鲲云科技AI边缘计算盒子提供定制化算法及部署方案,满足多种场景需求。
3、适用场景丰富。边缘计算盒子适配智慧安监、智能安防、智慧交通、智能制造等多领域场景需求;工作温度支持-20℃~60℃。当前,物联网(IoT)技术领域充释着各种标准,像NB-IoT、LoRa、SigFox等,他们正通过各自擅长的技术和应用抢夺IoT风口,以争取在这片广阔的市场上取得优势。
这里写描述
NB-IoT是由电信标准延伸而出的,主要是由电信运营商支持,而LoRa则是一个商业运用平台,两者主要区别在于商业运营的模式:NB-IoT基本是由电信运营商来把控运营,所以使用者必须使用它的网关及服务,而LoRa就量对开放一些,有各种不同的组合方式,商业的模式是完全不同的。
技术层面上来看,NB-IoT和LoRa的差异其实并不是很大,属于各有优劣。而相对于某些领域,国内有一些用户在并行使用这两种技术和网络。NB-IoT相对而言是受限于基站的,而LoRa则要加入一个网关相对简单容易,并且总的来说价格要比NB-IOT低廉。用户可以根据需求,增加不同的网关覆盖。所以从覆盖程度上来说LoRa的覆盖程度可能比NB-IoT更广一点。
LPWAN又称LPN,全称为LowPower Wide Area Network或者LowPower Network,指的是一种无线网络。这种无线网络的优势在于低功耗与远距离,通常用于电池供电的传感器节点组网。因为低功耗与低速率的特点,这种网络和其他用于商业,个人数据共享的无线网络(如WiFi,蓝牙等)有着明显的区别。
在广泛应用中,LPWAN可使用集中器组建为私有网络,也可利用网关连到公有网络上去。
LPWAN因为跟LoRaWAN名字类似,再加上最近的LoRaWAN在IoT领域引起的热潮,使得不少人对这两个概念有所混淆。事实上LoRaWAN仅仅是LPWAN的一种,还有几种类似的技术在与LoRaWAN进行竞争。
概括来讲,LPWAN具有如下特点:
• 双向通信,有应答
• 星形拓扑(一般情况下不使用中继器,也不使用Mesh组网,以求简洁)
• 低数据速率
• 低成本
• 非常长的电池使用时间
• 通信距离较远
LPWAN适合的应用:
• IoT,M2M
• 工业自动化
• 低功耗应用
• 电池供电的传感器
• 智慧城市,智慧农业,抄表,街灯控制等等
LoraWAN和Lora之间关系
虽然一样是因为名字类似,很多人会将LoRaWAN与LoRa两个概念混淆。事实上LoRaWAN指的是MAC层的组网协议。而LoRa只是一个物理层的协议。虽然现有的LoRaWAN组网基本上都使用LoRa作为物理层,但是LoRaWAN的协议也列出了在某些频段也可以使用GFSK作为物理层。从网络分层的角度来讲,LoRaWAN可以使用任何物理层的协议,LoRa也可以作为其他组网技术的物理层。事实上有几种与LoRaWAN竞争的技术在物理层也采用了LoRa。
LoraWAN的主要竞争技术
这里写描述
如今市场上存在多个同样使用LoRa作为物理层的LPWAN技术,例如深圳艾森智能(AISenz Inc)的aiCast。aiCast支持单播、多播和组播,比LoRaWAN更加复杂完备。许多LoRaWAN下不可能的应用因此可以实现。
Sigfox使用慢速率的BPSK(300bps),也有一些较有前景的应用案例。
NB-IoT(Narrow Band-IoT)是电信业基于现有移动通信技术的IoT网络。其特点是使用现有的蜂窝通信硬件与频段。不管是电信商还是硬件商,对这项技术热情不减。
关键技术Lora简介
LoRaWAN的核心技术是LoRa。而LoRa是一种Semtech的私有调制技术(2012收购CycleoSAS公司得来)。所以为了便于不熟悉数字通信技术的人们理解,先介绍两个常见的调制技术FSK与OOK。选用这两个调制方式是因为:
1这两个是最简单、最基础、最常见的数字通信调制方式
2在Semtech的SX127x芯片上与LoRa同时被支持,尤其是FSK经常被用来与LoRa比较性能。
OOK
OOK全称为On-Off Keying。核心思想是用有载波表示一个二进制值(一般是1,也可能反向表示0),无载波表示另外一个二进制值(正向是0,反向是1)。
在0与1切换时也会插入一个比较短的空的无载波间隔,可以为多径延迟增加一点冗余以便接收端解调。OOK对于低功耗的无线应用很有优势,因为只用传输大约一半的载波,其余时间可以关掉载波以省功耗。缺点是抗噪音性能较差。
这里写描述
FSK
FSK全称为Frequency Shift Keying。LoRaWAN协议也在某些频段写明除LoRa之外也支持(G)FSK。FSK的核心思想是用两种频率的载波分别表示1与0。只要两种频率相差足够大,接收端用简单的滤波器即可完成解调。
对于发送端,简单的做法就是做两个频率发生器,一个频率在Fmark,另一个频率在Fspace。用基带信号的1与0控制输出即可完成FSK调制。但这样的实现中,两个频率源的相位通常不同步,而导致0与1切换时产生不连续,最终对接收器来讲会产生额外的干扰。实际的FSK系统通常只使用一个频率源,在0与1切换时控制频率源发生偏移。
这里写描述
GFSK是基带信号进入调制前加一个高斯(Gaussian)窗口,使得频率的偏移更加平滑。目的是减少边带(Sideband)频率的功率,以降低对相邻频段的干扰。代价是增加了码间干扰。
对于这一方面的研究实验发现:学习Lora调制技术的一些准备及发现
然而,对于“悠久历史积累”和高安全、易部署等综合优势的LoRa阵营来说,最近几年里,在技术和落地方面虽取得了长足的进步,但离真正的规模、解决行业客户的切实问题是有着不小的差距。那么,究竟是技术壁垒突破较难?产业链生态不健全?亦或者是商业模式限制了从业者对市场规模的想象?对于LoRa产业链的广大从业者而言,找到制约LoRa技术大规模发展的瓶颈,并联手产业合力突围对推动产业良性发展至关重要。
转( >摘 要 边缘计算是 5G 重要新技术能力,通过低延时、大流量、高性能服务促进新应用创新。边缘计算能力的实施面临物理、网络、协议、应用、管理等多层面的威胁,急需新安全防护能力支撑。该解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。
关键词: 多接入移动边缘计算;边缘云;安全防护;机器学习;诱骗防御;用户及实体行为分析
内容目录 :
0 引 言
1 5G 及边缘计算
2 边缘计算面临的风险
21 基础设施层安全风险
22 电信服务层安全风险
23 终端应用层安全风险
24 管理面安全风险
25 租户服务面安全风险
26 MEC 安全威胁总结
3 “云管边端”安全防护技术
31 功能架构
32 主要功能
4 “云管边端”安全防护实践
41 应用场景
5 结语
“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求,通过多级代理、边缘自治、编排能力,提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护;提供多种部署方式;在提供高性价比服务的同时为边缘云计算输送安全服务价值。
5G 是驱动创新互联网发展的关键技术之一。5G 边 缘 计 算(Multi-access Edge Computing, MEC)提供了强大的云网一体化基础设施,促使应用服务向网络边缘迁移。MEC 的一大特点是同时连通企业内网和运营商核心网,其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用,MEC 和生产管理流程逐渐融合,安全问题将日益突出, 对于 MEC 的安全防护需求日益强烈 。
采用标准 X805 模型,MEC 安全防护由 3 个逻辑层和 2 个平面组成。3 个逻辑层是基础设施层(分为物理基础设施子层、虚拟基础设施子层)、电信服务层和终端应用层。2 个平面为租户服务面和管理面。基于此分层划分识别得到如下 MEC 安全风险。
21 基础设施层安全风险
与云计算基础设施的安全威胁类似,攻击者可通过近距离接触硬件基础设施,对其进行物理攻击。攻击者可非法访问服务器的 I/O 接口, 获得运营商用户的敏感信息。攻击者可篡改镜像, 利用虚拟化软件漏洞攻击边缘计算平台(Multi- access Edge Computing Platform,MEP) 或者边缘应用(APPlication,APP) 所在的虚拟机或容器, 从而实现对 MEP 平台或者 APP 的攻击。
22 电信服务层安全风险
存在病毒、木马、蠕虫攻击。MEP 平台和APP 等通信时,传输数据被拦截、篡改。攻击者可通过恶意APP 对MEP 平台发起非授权访问, 导致用户敏感数据泄露。当 MEC 以虚拟化的虚拟网络功能(Virtual Network Function,VNF)或者容器方式部署时,VNF 及容器的安全威胁也会影响 APP。
23 终端应用层安全风险
APP 存在病毒、木马、蠕虫、钓鱼攻击。APP 和 MEP 平台等通信时,传输数据被拦截、篡改。恶意用户或恶意 APP 可非法访问用户APP,导致敏感数据泄露等。另外,在 APP 的生命周期中,它可能随时被非法创建、删除等。
24 管理面安全风险
MEC 的编排和管理网元(如 MAO/MEAO) 存在被木马、病毒攻击的可能性。MEAO 的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的 APP,不断地向用户APP 生命周期管理节点发送请求,实现 MEP 上的属于该用户终端 APP 的加载和终止,对 MEC 编排网元造成攻击。
25 租户服务面安全风险
对于存在的病毒、木马、蠕虫、钓鱼攻击, 攻击者近距离接触数据网关,获取敏感数据或篡改数据网管配置,进一步攻击核心网;用户面网关与 MEP 平台之间传输的数据被篡改、拦截等。
26 MEC 安全威胁总结
基于对上述风险的认识,可以看出:MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域,应用了基于服务化接口的多类 5G 专用接口和通信协议,网络中存在面向应用、通信网、数据网的多维度认证授权处理, 传统的简单 IDS、IPS、防火墙等防护方式很难满足 MEC 安全防护的要求,需要新的具备纵深防御能力的专业性的解决方案处理。
31 功能架构
“云管边端”安全防护解决方案总体功能架构如图1 所示。解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现,分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。
图 1 MEC 安全防护解决方案功能架构
在可视化层,产品通过 MEC 安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层,产品通过MEC 安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。
边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力,这些能力由 DDoS 攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧 5G 核心安全防护系统。
边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集,并对采集到的信令面流量进行分发,对用户面流量进行筛选和过滤。
32 主要功能
“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。
(1)基本安全
提供基础的安全防护功能,包括防欺骗、ACL 访问控制、账号口令核验、异常告警、日志安全处理等能力。
(2)通信安全
提供针对 MEC 网络的通信安全防护能力, 包括防 MEC 信令风暴、防 DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。
(3)认证审计
提供针对 MEC 网络的认证审计和用户追溯安全防护能力,可以处理 5GC 核心网认证交互、边缘应用和服务的认证交互、以及 5G 终端的认证交互,并可以进行必要的关联性管理和分析。
(4)基础设施安全
提供对 MEC 基础设施的安全防护能力, 包括关键基础设施识别,基础设施完整性证实,边缘节点身份标识与鉴别等。并可以提供Hypervisor 虚拟化基础设施的安全防护处理,保障 *** 作系统安全,保障网络接入安全。
(5)应用安全
提供完善的 MEC 应用安全防护能力,包括APP 静态行为扫描、广谱特征扫描和沙箱动态扫描,保护 APP 和应用镜像安全。
(6)数据安全
提供多个层面的 MEC 数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力, 避免应用数据安全风险。在身份认证过程中, 结合 PKI 技术实施双因子身份认证,保护认证信息安全。通过安全域管理和数据动态边界加密处理,防范跨域数据安全风险。
(7)管理安全
提供完善的管理安全防护能力。包括安全策略下发安全防护,封堵反d Shell、可疑 *** 作、系统漏洞、安全后门等常规管理安全处理,以及针对 MEC 管理的 N6 及 N9 接口分析及审计。实现对于管理风险的预警和风险提示。
(8)安全态势感知
通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测,实现针对 MEC 网络的安全态势感知。
41 应用场景
“云管边端”安全防护解决方案不仅为基础电信企业提供 5G 场景下 MEC 基础设施的安全保护能力和监测 MEC 持续运营安全风险的工具,而且赋能基础电信企业向 MEC 租用方提供安全保护增值服务,推动 5G 安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署,边缘云合作运营,安全服务租用等多种商业模式。
企业通过部署“云管边端”安全防护解决方案,能够有效实现将网络安全能力从中心延伸到边缘,实现业务快速网络安全防护和处理,为 5G 多样化的应用场景提供网络安全防护。因此,企业更有信心利用 5G 部署安全的智能化生产、管理、调度系统,从而丰富工业互联网应用,促进工业互联网智能化发展 。
42 主要优势
“云管边端”安全防护解决方案具备如下优势:
(1)专为边缘计算环境打造,整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化,提供 MEC 最佳防护方案。
(2)多种模式适应各类应用场景需求,企业可根据自身需求和特点灵活选择。可以选择租用模式,无需专业技术人员即获得最新 MEC 安全技术服务。也可以选择定制模式,深度研发适配企业特性的安全防护处理。
(3)高效融合 MEC 各个层面的安全保护能力,降低综合安全防护成本,支持多种收费模式,降低入门门槛,让MEC 安全保护不留死角。
(4)创造安全服务价值,安全策略自动化以及与网络和云服务能力的联动,深度优化MEC 安全运维管理,创造边缘云服务安全价值。
本解决方案当前已在多个实际网络中部署,实现对于智慧港口、智慧工厂、智慧医疗、工业互联网等重要信息化应用资产的安全防护。例如,随着 5G 网络的发展,可以实施对于工业大型工程设备的 5G 远程控制改造,实现远程实时控制,完成高清视频回传,从而提升生产效率。但远控过程中的各类网络安全风险可能威胁到生产稳定性,造成重大损失。通过本解决方案的实施,可以保障 5G 远程控制改造实施,保护生产运行的高效运转。
引用文本:张宝山,庞韶敏“ 云管边端”协同的边缘计算安全防护解决方案[J]信息安全与通信保密,2020(增刊1):44-48
张宝山,硕士,高工,主要研究方向为核心网、边缘计算、网络功能虚拟化、物联网、网络安全等; 庞韶敏 ,硕士,高工,主要研究方向为核心网、边缘计算、物联网、网络安全、主机安全等。 选自《信息安全与通信保密》2020年增刊1期(为便于排版,已省去原文参考文献)
提起物联网设备,我们就能想到智能化,智慧城市,智慧家居,智慧医疗,智慧养殖等等,都给生活带来了便利,但是物联网设备也有一个极其引人担心的一个问题,就是安全问题。当一切都智能后,伴随的危机风险将更大。安全漏洞一旦遭受到恶意攻击,会引发严重问题,导致一系列设备都罢工宕机。
物联网安全与之紧密联系的就是物联网设备的支出和回报问题,这是个永恒的议题。
使用物联网设备带来的优势是不言而喻的,它在无形中简化了很多业务以及人工成本,从采集数据到数据分析再到价值挖掘和提高运营效率,作用是巨大的。但是同时也存在着风险,就是物联网的安全漏洞,对于很多企业来说,使用物联网设备都有一定的担忧,也造成了物联网应用落地化并没有特别快速的普及。
出现这种冷热交替化的情况原因就很简单了,企业一方面想要拥抱物联网,走上风口,另一方面就是新的东西出来,就总不是那么成熟,有一些时间需要走,物联网攻击事件也有爆出。其实只要有了安全意识,做长期的潜在回报准备,在物联网实施过程中,从一开始就应该注重安全性,并将其作为规划布局中的关键任务之一。从初始阶段就在系统中加入安全设计,比在开发周期接近尾声时或者在漏洞已经出现或公开之后再采取措施,更加经济有效。
此外,物联网安全,挑战无处不在物联网的迅速增长和商用普及,导致物联网市场出现碎片化困局,缺乏明确、统一的标准。而定义物联网设备的标准和架构,要通过数十项持续、不同的举措来进行,企业自然会疲于应对眼前出现的挑战。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)