边缘计算安全白皮书

边缘计算安全白皮书边缘计算产业联盟（ECC）与工业互联网产业联盟（AII）联合发布2019年11月边缘计算已受到学术界、产业界以及政府部门的极大关注，正在从产业共识走向了产业实践，在电力、交通、制造、智慧城市等多个价值行业有了规模应用，产业界在实践中逐步认识到边缘计算的本质与核心能力。伴随行业数字化转型进程的不断深入，边缘计算网络架构的变迁必然导致针对云边缘、边缘云、云化网关等边缘计算节点的安全攻击不断增多，边缘安全问题已成为限制边缘计算产业发展的障碍之一。为加速并保障边缘计算产业的发展，提升典型价值场景下的边缘安全保障能力，边缘计算产业联盟（EdgeComputingConsortium，缩写为ECC）与工业互联网产业联盟（AllianceofIndustrialInternet，缩写为AII）共同研究编写边缘计算安全白皮书。作为《边缘计算参考架构3.0》的延伸，许多重要的术语和概念与其保持一致，本文档不再一一详细说明，读者可以参考《边缘计算参考架构3.0》的相关内容。本白皮书目的是识别、解释和定位与边缘安全相关的体系结构、设计和技术，从边缘安全的重要性和价值出发，分析了典型价值场景下边缘安全面临的挑战和需求特征，并提出了边缘安全的参考框架和确保处理相应安全问题的方法组合。本文档的目标读者包括但不限于边缘计算产业联盟的所有成员，联盟成员的供应商，安全产品提供商，安全服务提供商，系统集成商以及其他关心边缘计算系统安全相关的机构和个人。PREFACE前言参与编写单位：中国科学院沈阳自动化研究所华为技术有限公司北京奇安信科技有限公司北京神州绿盟信息安全科技股份有限公司北京大学北京和利时系统工程有限公司中国联通研究院国家工业信息安全发展研究中心航天云网科技发展有限责任公司石化盈科信息技术有限责任公司盛科网络（苏州）有限公司西安电子科技大学华中科技大学中山大学阿里巴巴网络技术有限公司国网辽宁省电力有限公司电力科学研究院中国南方电网有限责任公司指导单位：工业和信息化部网络安全管理局编写组成员：于海斌、曾鹏、尚文利、翁志强、黄还青、陈春雨、陶耀东、王晓鹏、沈晴霓、邓良、李俊、徐伟、张华、张国颖、穆雷霆、王冲华、程中林、徐雷、于城、裴庆祺、胡晓娅、周纯杰、刘一涛、董之微、李桐、许爱东、蒋屹新、张宇南、崔君荣、陈旭、谭晓军、赵剑明、刘贤达、尹隆、佟国毓、李越、程晓磊CONTENTS目录前言1.边缘安全保障并加速边缘计算落地实践...................................................................011.1边缘计算2.0.................................................................................................................................................................011.2边缘计算参考架构3.0...............................................................................................................................................021.3边缘安全重要性和价值............................................................................................................................................031.4边缘安全白皮书的内容和范畴...............................................................................................................................032.边缘安全挑战及需求特征.........................................................................................042.1边缘安全十二大挑战.................................................................................................................................................042.2边缘安全的五大需求特征........................................................................................................................................092.3边缘安全的边界...........................................................................................................................................................113.边缘安全参考框架......................................................................................................123.1多视图呈现....................................................................................................................................................................133.2边缘安全十大关键技术............................................................................................................................................244.典型场景下的边缘安全案例.....................................................................................264.1智能制造领域边云协同场景下的典型安全解决方案.....................................................................................264.2泛终端安全准入典型案例........................................................................................................................................284.3自动驾驶边缘安全案例.............................................................................................................................................304.4C2M-家具定制行业-边缘安全解决方案.........................................................................................................32附录1：术语表...............................................................................................................34附录2：缩略语表...........................................................................................................36附录3：参考文献...........................................................................................................39边缘计算安全白皮书边缘安全保障并加速边缘计算落地实践0101边缘安全保障并加速边缘计算落地实践1.1边缘计算2.0边缘计算产业联盟（ECC）2017年发布的《边缘计算参考架构1.0》中给出了边缘计算1.0的定义。边缘计算是在靠近物或数据源头的网络边缘侧，融合网络、计算、存储、应用核心能力的开放平台，就近提供边缘智能服务，满足行业数字化在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。它从边缘计算的位置、能力与价值等维度给出定义，在边缘计算产业发展的初期有效牵引产业共识，推动边缘计算产业的发展。随着边缘计算产业的发展逐步从产业共识走向落地实践，边缘计算的主要落地形态、技术能力发展方向、软硬件平台的关键能力等问题逐渐成为产业界的关注焦点，边缘计算2.0应运而生。边缘计算2.0：边缘计算的业务本质是云计算在数据中心之外汇聚节点的延伸和演进，主要包括云边缘、边缘云和云化网关三类落地形态；以“边云协同”和“边缘智能”为核心能力发展方向；软件平台需要考虑导入云理念、云架构、云技术，提供端到端实时、协同式智能、可信赖、可动态重置等能力；硬件平台需要考虑异构计算能力，如鲲鹏、ARM、X86、GPU、NPU、FPGA等。云边缘：云边缘形态的边缘计算，是云服务在边缘侧的延伸，逻辑上仍是云服务，主要的能力提供依赖于云服务或需要与云服务紧密协同。如华为云提供的IEF解决方案、阿里云提供的LinkEdge解决方案、AWS提供的Greengrass解决方案等均属于此类。图1边缘计算2.0云计算边云协同/边缘智能边云协同/边缘智能交通市政制造能源视觉手机边缘计算终端边缘云边缘网关云边缘EC-SaaSEC-PaaSEC-IaaSAIEC-SaaSEC-PaaSEC-IaaSAIEC-SaaSEC-PaaSEC-IaaSAIIaaS行业应用网络应用IoT应用IoT平台行业平台网络平台边缘计算安全白皮书边缘安全保障并加速边缘计算落地实践02边缘云：边缘云形态的边缘计算，是在边缘侧构建中小规模云服务能力，边缘服务能力主要由边缘云提供；集中式DC侧的云服务主要提供边缘云的管理调度能力。如多接入边缘计算（MEC）、CDN、华为云提供的IEC解决方案等均属于此类。云化网关：云化网关形态的边缘计算，以云化技术与能力重构原有嵌入式网关系统，云化网关在边缘侧提供协议/接口转换、边缘计算等能力，部署在云侧的控制器提供边缘节点的资源调度、应用管理与业务编排等能力。1.2边缘计算参考架构3.0基于模型驱动的工程方法（Model-DrivenEngineeringMDE），ECC2018年提出了边缘计算参考架构3.0。参考架构3.0在每层提供了模型化的开放接口，实现了架构的全层次开放；通过纵向管理服务、数据全生命周期服务、安全服务，实现业务的全流程、全生命周期的智能服务。边缘计算参考架构3.0的主要内容包括：»整个系统分为云、边缘和现场三层，边缘计算位于云和现场层之间，边缘层向下支持