关于边缘计算的数据安全概述

边缘计算是指数据或任务能够在靠近数据源头的网络边缘侧进行进行计算的一种新型服务模型，而这里的边缘侧可以是从云到数据端的任意实体，依靠这些边缘计算平台，数据近处理为数据的安全提供了很大的支撑。 边缘计算的产生主要是为解决传统云计算当今社会中存在的问题，包括多源异构数据的处理、过多数据导致的带宽负载和资源浪费、由边缘设备的不全面的功能导致的资源受限和边缘设备上传过程中的数据安全和隐私保护。边缘计算与现有的云计算集中式处理模式相结合能有效的解决云中心和网络边缘的大数据处理问题。

边缘计算模型包括移动云计算（MCC）、雾计算（FC）和移动边缘计算（MEC）等新型边缘化计算模型。这些以网络边缘设备为核心的计算模式均为云计算任务向网络边缘迁移提供构架支撑，通过部署边缘服务设备（如雾节点、边缘服务器和私有云等），降低云计算中心的计算负载，减缓网络带宽压力。
由于边缘计算的服务模式是复杂的，实时的。所以对于大量数据的处理方式就显得尤为重要。数据的存储安全、共享安全、计算安全、隐私安全等等都面临这挑战。

从边缘到数据源分成四个层次包括，核心基础设施、边缘数据中心、边缘网络和移动终端。核心基础设施为网络边缘设备提供核心网络接入以及集中式云计算服务和管理功能，边缘数据中心负责虚拟化服务和多个管理服务，边缘网络计算通过融合多种通信网络来实现物联网设备和传感器的互联。整个架构体系中数据存在这大量的安全问题，分成数据安全、身份认证、隐私保护和访问控制。

• 数据安全
  主要指外包数据的安全，包括数据的保密性与安全共享、完整性审计和可搜索加密。数据的保密性与安全共享通常采用加密技术来实现，通常采用先加密再上传的形式，传统的加密方式包括对称加密和非对称加密，但对后续数据的处理提供难度。目前使用基于属性的加密是一种基于属性的门限策略，当用户拥有某些属性的时候才能对信息进行解密，而这种门限从原式的单调访问树逐渐进化成了多层次特征。基于密文策略的属性加密方案被广泛应用于云计算中数据存储和共享安全中。而代理重加密算法是半可信的代理者可以通过重加密密钥将密文转换成针对数据使用者的密文，使服务器和代理者无法获得明文。消息代理重加密被广泛应用于数据转发、文件分发等多用户共享的云安全应用中。完整审计解决的是如何确定数据的完整性和可用性，并在功能上完整动态审计、批量审计、隐私审计和低复杂度。可搜索加密是指在云端对已经加密的数据进行有效查询，目前对于边缘计算来说主要问题是其算法的复杂度过高，执行过程中会产生大量的功耗。现阶段的可搜索加密分成安全排名可搜索加密、基于属性的可搜索加密、支持动态更新的可搜索加密和可搜索代理重加密。
• 身份认证
  因为边缘计算是一个多实体的计算范式，其中包含了很多功能实体，所以边缘计算中不同的信任域之间的实体要进行相互验证，包括单一域内的身份认证用于解决每个实体的身份分配问题，并且具有一定的隐私保护特性；跨域身份认证用于认证不信任域实体之间的认证极值，目前处于初级阶段；切换认证是为边缘计算中具有高移动性特点的终端设备准备的一种用户身份认证的移交技术，保证实时的准确性，但认证移交过程中身份隐私问题很重要。
• 访问控制
  基于预定模型和策略对资源的访问过程进行实时控制的记住，是确保边缘计算中系统安全性和保护用户隐私的关键技术和重要方法，基于边缘计算事多实体在不同信任域中的系统架构，提出基于属性的访问控制和基于角色的访问控制。
• 隐私保护
  可分成数据隐私保护，位置隐私保护和身份隐私保护，主要集中在移动云计算和雾计算环境中。其中数据隐私保护是为保证用户在灵活使用数据的同时保证数据的安全，位置隐私保护是基于位置服务提出来的，主要利用K-匿名算法，但k-匿名算法在应用中消耗了许多带宽，设计轻量级的高效隐私保护方案显得尤为重要。身份隐私保护现仅在移动云计算环境下探索。