邊緣計算安全
內容描述
本書是一本探討邊緣計算安全的教材。全書分為三篇:上篇從邊緣計算安全概述、邊緣計算架構、
邊緣計算的實例開發應用等多方面對邊緣計算安全涉及的基礎理論和計算平臺進行闡述;中篇重點闡述
了邊緣設備的安全技術,深入分析了邊緣設備安全體系架構、邊緣設備新型架構下的安全技術,以及邊
緣設備內核安全技術,總結梳理了邊緣計算方向的關鍵安全問題和已有的研究成果;下篇對邊緣計算系
統的攻防技術進行了討論,從攻擊的視角重點剖析了邊緣計算的安全威脅模型和安全分析方法,從防護
的角度闡述了邊緣數據安全保護和邊緣網絡安全防護技術,還討論了邊緣計算與 5G 安全的關系。
本書面向想瞭解邊緣計算安全本質和細節的讀者,可作為高等院校電腦、通信、物聯網、信息安
全、網絡安全等相關專業的教學參考書,也可作為從事邊緣計算方向研究的科研人員的參考資料。
目錄大綱
目 錄
上篇:初識邊緣計算
第 1 章 邊緣計算安全概述 3
1.1 什麽是邊緣計算 3
1.2 邊緣計算產生的背景 4
1.3 邊緣計算與雲計算 5
1.4 邊緣計算場景下麵臨的安全挑戰 6
1.5 邊緣計算安全的研究現狀 9
思考題 11
第 2 章 邊緣計算架構 12
2.1 邊緣計算的理論基礎 12
2.1.1 分佈式計算 12
2.1.2 CAP 理論 13
2.1.3 李雅普諾夫穩定性理論 13
2.2 邊緣計算的層次結構 14
2.2.1 經典的三級層次結構 14
2.2.2 代表性邊緣計算架構 15
2.2.3 移動邊緣計算架構實例 17
2.2.4 邊緣計算參考架構 18
2.3 邊緣計算的編程模型 19
2.3.1 煙花模型 20
2.3.2 內容交付網絡 21
2.4 新型計算模式面臨的挑戰 26
2.4.1 異構邊緣設備 26
2.4.2 長距離網絡的瓶頸 26
2.4.3 新型網絡應用和服務的需求 27
2.5 邊緣計算架構的新機遇 28
思考題 29
第 3 章 邊緣計算實例開發應用 30
3.1 邊緣計算平臺 30
3.2 開源項目案例 31
3.2.1 開源框架 EdgeX Foundry 32
3.2.2 邊緣計算開源項目 CORD 33
3.2.3 亞馬遜邊緣計算平臺 AWS IoT Greengrass 34
3.2.4 微軟邊緣計算平臺 Azure IoT Edge 36
3.2.5 阿裡雲邊緣計算平臺 Link Edge 38
3.2.6 華為開源邊緣計算平臺 KubeEdge 39
3.2.7 百度邊緣計算平臺 Baetyl 41
3.2.8 阿裡巴巴邊緣計算雲原生項目 OpenYurt 43
3.3 開發應用實例 44
3.3.1 虛擬機開發環境 44
3.3.2 KubeEdge 搭建與實例開發 44
3.3.3 Azure IoT Edge 搭建與實例開發 55
思考題 63
中篇:邊緣設備安全
第 4 章 邊緣設備安全體系架構 67
4.1 可信執行環境 68
4.2 ARM TrustZone 隔離機制 70
4.2.1 ARM 處理器架構 71
4.2.2 ARM Cortex-A TrustZone 架構 74
4.2.3 ARM Cortex-M TrustZone 架構 81
4.2.4 ARM TrustZone 中的安全威脅 82
4.2.5 ARM TrustZone 典型應用 89
4.2.6 ARM TrustZone 的發展現狀 91
4.3 Intel SGX 處理器安全環境 91
4.3.1 Intel SGX 架構 91
4.3.2 SGX 開發相關的軟件支持 102
4.3.3 Intel SGX 的研究現狀 103
思考題 106
第 5 章 邊緣設備新型架構下的安全技術 107
5.1 RISC-V 處理器架構 108
5.1.1 基於 Chisel 的 Rocket Core 和 BOOM 108
5.1.2 輕量級低功耗的 RISC-V 硬核 112
5.1.3 基於 FPGA 的 RISC-V 軟核 115
5.1.4 HLS 與 RISC-V 處理器設計 115
5.2 RISC-V 安全機制 116
5.2.1 Sanctum 118
5.2.2 TIMBER-V 128
5.2.3 Keystone 132
5.2.4 MultiZone 135
5.3 RISC-V 在邊緣計算中的應用案例 138
思考題 141
第 6 章 邊緣設備內核安全技術 142
6.1 內核安全啟動機制 143
6.1.1 安全啟動機制 143
6.1.2 安全啟動中的威脅 150
6.1.3 安全啟動增強方案 151
6.1.4 安全啟動的發展趨勢 153
6.2 內核安全驗證技術 154
6.2.1 內核安全驗證的挑戰 154
6.2.2 基於模型檢測的驗證技術 155
6.2.3 基於定理證明的驗證技術 156
6.2.4 基於抽象解釋的驗證技術 159
6.3 內核運行時安全 161
6.3.1 內核代碼註入攻擊及防護 161
6.3.2 內核控制數據攻擊及防護 163
6.3.3 內核非控制數據攻擊及防護 167
思考題 168
下篇:邊緣計算系統攻防
第 7 章 邊緣計算系統威脅建模 171
7.1 威脅的基本概念 172
7.2 邊緣計算系統的安全威脅 172
7.3 系統攻擊技術 175
7.3.1 拒絕服務攻擊 175
7.3.2 任意代碼執行攻擊 176
7.3.3 惡意代碼攻擊 178
7.3.4 側通道攻擊 179
7.4 威脅建模與評估 182
7.4.1 威脅建模方法 182
7.4.2 威脅評估系統 185
思考題 185
第 8 章 邊緣計算系統安全分析 187
8.1 安全分析概述 188
8.1.1 安全分析的概念 188
8.1.2 安全分析的一般過程 188
8.2 固件分析技術 190
8.2.1 固件分析的基本流程 190
8.2.2 固件獲取 191
8.2.3 固件解析 194
8.2.4 固件代碼調試 197
8.2.5 固件安全性分析要點 199
8.3 軟件分析技術 200
8.3.1 軟件分析的一般流程 200
8.3.2 基本信息識別與獲取 201
8.3.3 代碼分析 202
8.3.4 模糊測試漏洞挖掘 204
8.3.5 軟件安全性分析要點 207
8.4 網絡數據與協議分析 207
8.4.1 網絡數據獲取 207
8.4.2 網絡數據分析 208
8.4.3 網絡協議形式化分析 209
8.4.4 網絡數據與協議分析的要點 211
8.5 側通道分析 211
8.5.1 功耗分析 212
8.5.2 電磁分析 212
8.5.3 光子發射分析 212
8.5.4 故障攻擊 213
思考題 213
第 9 章 邊緣數據安全保護 214
9.1 隱私保護技術 215
9.1.1 K 匿名技術 215
9.1.2 差分隱私技術 216
9.1.3 數據脫敏技術 216
9.1.4 安全多方計算技術 217
9.1.5 同態加密技術 220
9.2 訪問控制機制 221
9.2.1 訪問控制的基本原理 221
9.2.2 訪問控制基礎模型 221
9.2.3 訪問控制發展方向 228
9.3 身份認證機制 228
9.3.1 口令認證 228
9.3.2 智能卡認證 231
9.3.3 生物特徵識別 233
9.3.4 多因素認證 243
思考題 246
第 10 章 邊緣網絡安全防護 247
10.1 網絡域隔離技術 248
10.1.1 部署隔離措施的層級 248
10.1.2 隔離執行的粒度 252
10.1.3 隔離策略的制定 253
10.1.4 策略可配置性 254
10.1.5 隔離策略的生命周期 255
10.1.6 網絡域隔離的實現 256
10.2 入侵檢測技術 257
10.2.1 基於主機的入侵檢測系統 257
10.2.2 基於網絡的入侵檢測系統 258
10.2.3 基於異常的入侵檢測系統 260
10.2.4 基於簽名的入侵檢測系統 262
10.3 5G 新型網絡架構 266
10.4 5G 與移動邊緣計算 269
10.5 5G 和 MEC 的安全需求 271
10.5.1 5G 網絡架構的安全需求 271
10.5.2 MEC 的安全威脅及對策 272
思考題 274
參考文獻 275