泛在計算安全綜述

李 印 陳 勇 趙景欣 岳星輝 鄭 晨 武延軍 伍高飛

1(海南大學網絡空間安全學院(密碼學院) 海口 570228) 2(智能軟件研究中心(中國科學院軟件研究所) 北京 100190) 3(西安電子科技大學網絡與信息安全學院 西安 710071) 4(燕山大學信息科學與工程學院 河北秦皇島 066004) 5(廣西密碼學與信息安全重點實驗室(桂林電子科技大學) 廣西桂林 541004)6(國家計算機網絡入侵防范中心(中國科學院大學) 北京 101408)

泛在計算是一種基于新型智能設備和人機物交互，覆蓋萬物，云邊端一體，應用智能化，萬物互聯互通，跨設備、跨場景，人機物智能協同的新興計算模式.泛在計算需要新型泛在操作系統(ubiquitous operating systems, UOS)[1-2]提供基礎系統能力支撐，并融合管理泛在分布、能力異構的智能設備資源.泛在計算場景多樣，任務特征各異，時空分布拓撲復雜，包括智慧家庭、工業互聯網、智能云計算、智慧城市、自動駕駛等典型應用場景.“十四五”信息化規劃和2035年遠景目標綱要為打造數字中國，主要聚焦于傳感器、智能軟硬件、操作系統等[3]，而泛在計算覆蓋了當前智能信息產業的方方面面，囊括了典型智能設備、操作系統和計算場景，已經逐步成為我國智能軟硬件創新研發和生態構建的關鍵驅動.

與傳統個人計算或移動計算相比，泛在計算向著更開放、更高效、更智能的方向發展演變，其操作系統和關鍵技術的發展為社會帶來了諸多益處，但同時也面臨著更加嚴峻的安全挑戰.種類繁多、能力各異的智能設備，多樣的網絡交互協議，不同計算場景的資源交互通信，頻繁的設備接入認證，都將導致傳統計算場景的安全威脅和新型硬件、軟件、通信場景相互交織，安全形勢更加復雜，安全風險日益增大.2016年，在路由器和智能物聯網設備上運行的Mirai僵尸網絡，被惡意利用發起了歷史上最大規模的DDoS(distributed denial of service)攻擊，造成了美國大面積的網絡癱瘓，包括Twitter，Facebook在內的多家美國網站無法通過域名訪問[4].2017年，安全公司Darktrace發現有黑客利用聯網魚缸從某北美賭場竊取數據[5].2018年,思科Talos[6]發現攻擊者利用VPNFilter惡意軟件代碼感染了全球54個國家超過50萬臺路由器.同年的黑帽大會上，Santamarta[7]通過分析從飛機WiFi網絡被動收集的流量報告發現某些IP地址可以公開獲得如Telnet，HTTP，FTP等通用服務，并且可以在未經授權的情況下訪問與飛行器衛星通信固件相關的關鍵網絡接口.2020年末，火眼公司的SolarWinds軟件被植入后門[8]，美國多個政府部門受到了嚴重的供應鏈攻擊.

通過調研2018—2021年網絡與信息安全領域的四大頂級會議USENIX Security (USENIX Security Symposium)，NDSS(Network and Distributed System Security Symposium)，CCS(ACM Conference on Computer and Communications Security)，IEEE S&P(IEEE Symposium on Security and Privacy)的論文，EI和SCI索引收錄的文獻，以及2021年arXiv中收錄的預印本論文，我們發現泛在計算安全相關研究成果逐年增多.圖1按安全研究熱點進行了統計匯總，可以看出目前的安全研究除了關注隱私保護、漏洞挖掘、訪問控制、安全協議等方面，重點圍繞著安全技術智能化的方向進行研究，許多研究旨在利用機器學習算法、區塊鏈技術等新型方法，提高漏洞利用、安全防護的覆蓋率和執行效率.此外，發現大量針對智能硬件使用場景的安全攻防研究.

Fig. 1 Numbers of papers in Top 4 security conferences, EI, SCI and arXiv from 2018 to 2021圖1 2018—2021年四大頂會、EI、SCI和2021年arXiv論文分類統計

然而，這些論文中大多數研究成果主要針對單一硬件設備或單一場景，缺乏泛在計算及其關鍵技術的相關安全研究綜述.泛在計算涉及的計算領域廣，硬件設備種類多樣，軟件能力和網絡協議復雜，其面臨的安全問題也紛繁復雜，僅從單一角度和場景進行安全研究，無法全面了解泛在計算安全現狀.另外，泛在計算演進迅速，其軟硬件安全、網絡協議、設備認證接入的安全問題都缺乏系統的分析和總結，無法為研究者提供具有指導意義的研究方向.此外，泛在計算以“零信任”為安全前提構建泛在操作系統，如何保證持續演化的泛在計算生態安全至關重要，而泛在計算環境下軟硬件的供應鏈安全評估和動態安全預警機制的研究仍然缺乏系統總結.為了便于研究者深入理解泛在計算安全問題并進一步開展安全研究工作，本文對泛在計算安全研究現狀進行了深入調研和分析，指出了現有研究工作不足和泛在計算安全面臨的挑戰和機遇，為未來的安全研究工作指出了方向.

本文的主要貢獻包括3個方面：

1) 介紹了泛在計算及其操作系統的發展現狀，結合當前學術界和工業界的研究成果，總結了當前泛在計算的系統架構；

2) 深入調研近幾年國內外泛在計算領域相關安全研究文獻，從系統軟件安全、智能設備安全和通信安全3個層面總結了泛在計算安全研究現狀，并調研分析了智慧家庭、智能云計算、工業互聯網和自動駕駛4個典型泛在計算應用場景的安全問題和研究進展；

3) 結合泛在計算潛在安全問題以及現有研究工作的不足，指出了泛在計算安全研究在生態供應鏈、全場景攻擊監測、異構資源訪問控制、設備認證接入、系統安全隔離、開放環境信任協議、邊緣節點安全以及車聯網穩定性等8個方面面臨的挑戰與機遇，并為相關安全研究指出了未來的研究方向.

1 相關背景介紹

1.1 泛在計算簡介

人機物融合的泛在計算是繼主機計算、個人計算、移動計算之后新興的應用計算模式.泛在計算使人們可在任何時間地點將計算需求與云邊端多級計算服務能力無縫適配[1]，并要求新型泛在操作系統提供基礎系統能力支撐，融合管理泛在分布、能力異構的設備硬件資源.泛在計算任務特征多樣，時空分布拓撲復雜，涵蓋了智慧家庭、工業互聯網、智能云計算、自動駕駛、智慧城市、無人系統集群等典型泛在計算場景.

泛在操作系統(UOS)由梅宏院士提出[1-2]，UOS作為傳統操作系統模型的泛化與拓展，在泛在操作系統體系下，不同的泛在計算資源、應用場景、交互聯通都需要不同的操作系統能力進行適應.

學術界和工業界側重于將計算和資源解耦合，通過構建面向不同領域的泛在操作系統，抽象硬件資源為虛擬資源，以支持靈活多樣的計算任務.典型泛在操作系統如圖2所示.梅宏院士[1-2]提出了泛在操作系統UOS，并構建了面向工業物聯網的XiUOS[9]，部署在多節點集群和邊緣端/云端的計算設施.Shan等人[10]設計提出了LegoOS，通過軟件定義的方式將內存與 CPU 解耦合，實現分布式系統對內存資源的有效利用.谷歌公司研發了Kubernetes系統[11]，將計算邏輯與計算節點解耦合，提升云計算對計算節點資源的有效利用.華為公司設計提出鴻蒙操作系統[12]，通過彈性化組件設計和分布式軟總線方法，實現多種終端設備的按需彈性部署和統一接入管理.阿里公司研發了AliOS[13]，小米公司研發了Vila[14]，主要面向智慧家庭、智能物聯網等場景，對不同智能設備終端進行適配，如智能手機、智能電表、智能門鎖、智能電器等.FreeRTOS[15]，AGL[16]，QNX[17]等實時操作系統被應用到自動駕駛汽車的智能座艙、自動駕駛、智能車控等領域，并通過車載傳感器、多域協同、車路云一體化等技術，實現自動駕駛導航、車況數據監控等功能.

Fig. 2 Typical ubiquitous operating systems圖2 典型泛在操作系統

Fig. 3 Typical architecture of ubiquitous operating systems圖3 典型泛在操作系統架構

1.2 泛在操作系統架構

典型的泛在操作系統架構如圖3所示，從下向上包含硬件資源管理層、系統服務層和運行時環境.

泛在操作系統作為承載泛在計算的基礎軟件系統，在真實環境中需要管理、驅動不同泛在計算場景的智能設備，包括各種傳感器、執行器，也包括傳統的處理器、新興的智能加速器、工控機器人、智能終端設備、云服務平臺等.硬件設備種類繁雜，分布泛在、性能功耗各異，對操作系統接入和管理硬件設備的可靠性、安全性、實時性和訪問效率都有較高的要求.泛在操作系統提供統一硬件資源抽象層，通過軟件定義和虛擬化的方式，將物理空間的硬件資源能力映射到虛擬空間，通過資源能力的標準化描述，對新型設備的能力進行建模，構建泛在操作系統內核功能適配未知能力的新型計算設備.

現有的操作系統架構通常將多種硬件設備如處理器、內存、外部設備等通過總線或集成的方式在物理上集中管理.然而，泛在計算環境下硬件設備分布拓撲復雜，計算資源在物理上分布于不同計算節點，計算節點間需要頻繁通信交互來完成計算任務.泛在操作系統需要提供跨節點的、全局的計算資源信息感知，構建計算資源連接拓撲分布模型、構建分布式泛在計算資源與外界主體的交互模型，以支持泛在操作系統從宏觀角度掌握資源交互能力，有效管理泛在計算資源.因此，泛在操作系統也需支持并抽象不同網絡設備和協議能力，例如藍牙、無線、5G、光纖網絡等不同的網絡功能，ZigBee，MQTT，LoRA等典型互聯協議.

此外，泛在操作系統的系統軟件服務主要提供單節點的系統管理功能和多節點之間的智能協同功能.單節點系統管理適配不同計算場景，提供包括內存管理、調度管理、設備驅動等基本內核服務功能.而多節點之間的智能協同服務，則提供智能資源能力感知，軟件定義任務執行，“零信任”前提下的智能設備接入、訪問控制管理等能力.面向不同的計算設備和應用模式，需要構建不同的泛在操作系統.操作系統不再局限于直接運行在本地物理節點上的單體內核，而是包括不同計算節點上軟硬件資源的分布式操作系統架構，通過運行時資源任務編排執行來進行全場景的資源融合管理.

2 泛在計算安全研究現狀

我們在網絡與信息安全領域四大頂級會議近年相關論文調研的基礎上，還調研了2018年1月到2021年10月國內外泛在計算安全領域的相關高引論文，預印本arXiv平臺中的相關論文，以及中國計算機學會CCF A類和CCF B類會議與期刊論文.通過對相關調研進行歸納總結，我們將泛在計算安全研究分為三大方面：系統軟件安全、智能設備安全和通信安全.系統軟件安全是指泛在計算環境下操作系統和基礎軟件上存在的各類安全問題;智能設備安全是指在智能硬件設備上存在的安全問題;通信安全是指泛在計算環境下云邊端互聯與網絡通信相關的安全問題.

2.1 系統軟件安全

操作系統和基礎軟件是泛在計算環境的核心組成部分，任何系統軟件安全問題都會直接危害其上運行的應用程序安全，因此系統軟件的安全性對泛在操作系統及其覆蓋的計算環境至關重要.通過調研歸納，我們總結了操作系統安全技術、軟件漏洞挖掘、身份認證機制以及軟件隱私安全等主要系統軟件安全方向的研究現狀.

2.1.1 操作系統安全技術

泛在計算環境下，不同硬件、節點或場景上會適配不同的操作系統內核，如實時操作系統RTOS、智能終端系統Android、節點操作系統Linux、云原生環境openstack或容器等.

單體操作系統，如Windows，Linux，利用CPU硬件特性提供的分級保護域，以及進程地址空間隔離機制，實現對進程執行的安全保護.為了保障系統內生安全，SELinux通過對系統中所有進程、文件、端口等打標簽，將文件的訪問控制方式從DAC(自主訪問控制)改變為MAC(強制訪問控制).利用硬件安全特性保證系統安全是當前研究熱點，虛擬化硬件、Intel CAT、可編程體系結構、SR-IOV等新型硬件特性不斷引入，為系統安全保障提供了新的技術手段.Hua等人[18]提出了vTZ，通過利用ARM trustzone擴展，實現多個虛擬化的可信任執行環境，從而保證任務間的強隔離安全.Li等人[19]提出了HypSec，通過微內核設計思想將傳統虛擬機監控器劃分為虛擬機操作模塊和虛擬機數據管理模塊，通過減少核心功能代碼量，保證對最小安全可信基的嚴格測試，提升系統安全性.Hua等人[20]提出了TZ-Container，利用ARM TrustZone實現多個內存地址空間隔離的容器執行環境.而在云場景和邊緣計算場景中，如何避免任務跨虛擬機、跨容器造成內存數據讀寫和破壞，以及多內核情況下因IPI flooding造成的DoS(denial of service)攻擊，執行實體間的安全隔離成為系統安全研究的趨勢.谷歌公司提出了gvisor[21]，一個供非特權進程運行的容器環境，通過攔截系統調用避免任務直接陷入內核，實現強隔離的容器.Randazzo等人[22]提出了kata,通過在每個虛擬機中構建唯一容器，避免多容器共享內核，從而提供安全的容器沙盒.此外，Heiser等人[23]提出了形式化驗證安全的操作系統內核SeL4，通過形式化證明內核代碼實現符合抽象模型的預期定義，保證系統內核的可靠性和完整性.

小結：當前操作系統安全研究主要集中在內核架構和運行時環境，除了常規的安全隔離、權限管理控制之外，面對復雜泛在計算場景不同的內核功能需求和新型硬件能力，研究主要集中于利用硬件特性或基于形式化驗證方法，提升操作系統內生安全.

2.1.2 軟件漏洞挖掘

軟件漏洞挖掘是通過對軟件的可執行程序進行靜態或動態分析，盡可能挖掘出軟件中潛在漏洞的一種方法.隨著泛在計算的多元發展，不同設備的軟硬件差異巨大，難以構建通用的漏洞挖掘模型.雖然傳統的漏洞挖掘技術無法直接適配泛在計算環境,但其分析技術與安全測試思路仍然具有一定的普適性.

現有的軟件漏洞挖掘技術按照分析對象的不同可分為基于源代碼的漏洞挖掘和基于目標代碼的漏洞挖掘技術.基于源代碼的漏洞挖掘是在獲取到源代碼的前提下，通過分析源碼找到潛在的軟件漏洞.由于商業軟件中源碼是保密且很難獲取的，故基于源代碼的軟件漏洞挖掘技術多用于開發過程的軟件測試環節.Nunes等人[24]使用自動靜態分析方法，在程序源代碼中進行漏洞分析來改進應用程序中漏洞的整體檢測效率.Wang等人[25]通過靜態分析檢測發現了Android源碼中SSL/TLS(Secure Socket Layer/Transport Layer Security)證書驗證的漏洞.基于目標代碼的漏洞挖掘技術是分析二進制目標代碼進行漏洞檢測的方法，可以分為基于代碼特征的漏洞挖掘和基于模糊測試的漏洞挖掘技術.基于代碼特征的漏洞挖掘技術是根據已有漏洞庫提取漏洞特征來檢測目標代碼是否包含該漏洞.基于模糊測試的漏洞挖掘技術是通過在程序中輸入大量的半有效數據，根據程序異常來識別軟件潛在漏洞.該方法結合機器學習技術能顯著提高漏洞檢測的效率.Li等人[26]提出了VulDeePecker系統，基于深度學習的漏洞檢測系統減少了人工定義特征的煩瑣任務.Zong等人[27]設計實現了Fuzzguard，基于深入學習預測程序輸入的可達性，提高模糊測試的性能.Li等人[28]提出了SySeVR，利用深度學習方法檢測程序源代碼中存在的漏洞.?sterlund等人[29]研究基于Sanitizer-guided灰盒模糊測試，提升了漏洞挖掘的效率.

軟件漏洞分析是在軟件漏洞挖掘發現安全漏洞后，對發現的漏洞進行深入分析來探索軟件漏洞出現的類型和成因，進而針對此類型軟件漏洞形成新的安全解決方案.Niu等人[30]提出了一種基于深度學習的靜態污點分析方法來自動定位物聯網軟件漏洞.Yan等人[31]提出了HAN-BSVD工具，用于二進制軟件漏洞檢測的層次網絡的軟件漏洞分析.Li等人[32]通過軟件漏洞分析，提出了一種基于混合神經網絡的源代碼自動漏洞檢測框架.Chen等人[33]提出了PSOFuzzer工具，可以提高面向目標的漏洞檢測的效率.Zhang等人[34]通過對軟件漏洞檢測技術的分析提出了iTES，該系統可以自動收集常見漏洞類型的漏洞案例及源代碼，形成漏洞案例庫.

當前，軟件漏洞挖掘技術相關研究工作主要集中在優化模糊測試方法.?sterlund等人[29]提出了基于模糊測試的Parmesan系統，通過優化模糊測試覆蓋率，在錯誤發現速度上超越了基于覆蓋的模糊測試器(Angora)[35]和定向模糊測試器(AFLGo)[36].Chen等人[28]研究發現將模糊測試直接用于輸入依賴的多線程程序會降低效率，進而提出了線程感知的模糊測試方法.Ruge等人[37]提出了基于高級固件仿真的模糊測試框架Frankenstein，用于發現部署系統中的遠程代碼執行漏洞.Song等人[38]通過在執行測試時動態地創建多個檢查點來加速內核驅動的模糊測試.Nagy等人[39]設計了ZAFL平臺，在不犧牲性能的情況下將模糊測試應用于純二進制目標.

小結：目前，雖然不乏測試用例質量方面的研究，比如，Wang等人[40]提出的SyzVegaS框架，通過動態調整測試用例選擇，提高單位時間內的覆蓋率.Poeplau等人[41]提出的Symcc編譯器，可以在二進制文件中直接建立符號執行來提高覆蓋率.但在軟件漏洞挖掘檢測中，仍受用例選擇、方法和格式等因素的影響，同時存在測試冗余、攻擊面模糊、路徑選擇盲目、用例漏洞觸發能力弱等問題，需研究人員進一步研究完善.

2.1.3 身份認證機制

身份認證是泛在計算環境下設備間建立信任的方式，是各種安全服務的基本.一旦身份認證系統被攻破，那么基于身份認證的整個泛在操作系統都將面臨安全風險.

身份認證機制的缺失可能會對設備正確接入、用戶隱私和數據安全等造成危害.在物聯網、云計算等環境下由于云服務器無法檢查用戶的合法性導致非法用戶可以任意查詢云數據庫[42]，攻擊者也可以通過受損設備對網絡發起DDoS攻擊[43].近年來，主要研究工作大多采用增強密碼協議機制或生物識別技術來增強泛在計算環境下設備、用戶的身份認證能力，但仍然存在很多問題.例如，使用密碼質詢響應協議提供強身份驗證[44]，但用戶端需要防篡改硬件模塊.W3C(World Wide Web Consortium)的強身份驗證標準使用數字簽名對用戶進行身份驗證，同時保護他們的隱私，但身份驗證器的丟失會阻止用戶訪問服務[45].生物特征識別技術已被廣泛應用于增強用戶身份驗證，然而攻擊者可通過獲取并破壞用戶的生物特征，對“靜態”生物特征(如指紋)進行攻擊利用[46].Fietkau等人[47]從照片中獲取指紋信息，成功欺騙了生物識別系統.

研究人員為了解決身份認證缺失設計了相應身份認證機制，Zhang等人[42]設計了基于屬性的認證算法，用于輔助邊緣計算的細粒度訪問控制和分布式入場檢測模型，解決了傳統基于屬性的加密系統不適合分布式物聯網的問題.Tian等人[48]提出了基于混合算法的區塊鏈身份驗證方法，增強了云數據存儲的安全性.Kuang等人[43]提出了通過云服務器、霧節點或基站來遠程認證的方法，有效避免DDoS攻擊，并用于固件更新和補丁程序分發認證等安全服務.Gupta等人[49]提出了一種基于身份加密技術的輕量級雙方認證協議，在各種車輛和路邊單位之間生成會話密鑰，解決車路互聯的安全和隱私問題.共享憑證是當前最廣泛的身份驗證形式，但它易受數據庫盜竊和網絡釣魚攻擊.Zhang等人[44]提出了一種不依賴用戶端、抗篡改的硬件強認證機制，可以有效抵抗字典攻擊，保護數據安全性.Frymann等人[45]提出了通過備份驗證器生成不可鏈接的公鑰，利用備份恢復私鑰，解決了身份驗證器丟失的問題.我們在表1中對這些身份驗證方案進行了總結對比.

Table 1 Comparison and Analysis of Identity Authentication Schemes

小結：當前身份認證機制研究主要針對物聯網和云計算等計算場景，傳統的認證加密算法面對大量異構設備的接入，出現了新的安全挑戰，現有研究主要集中在基于屬性或區塊鏈的算法增強泛在計算的加密系統，提升設備與用戶接入時的安全與隱私.

2.1.4 軟件隱私安全

軟件隱私安全在泛在計算安全中有著廣泛體現.隨著新技術的應用和操作系統軟件棧的日益復雜化，軟件隱私安全面臨的威脅不斷演變.大數據、云計算、信息安全、人工智能等信息技術的發展為泛在計算及UOS的軟件安全與隱私研究帶來了新的問題，同時這些技術自身也是解決問題的重要手段.現有研究提供了一些解決隱私安全問題的方法.Ahmad等人[50]提出StaDART系統，用來解決Android應用程序在運行時擴展其功能被惡意開發者攻擊變成惡意軟件，從而威脅軟件系統安全的問題.然而，對安全問題的研究很少考慮數據隱私方面的問題.當前以隱私為導向的方法也是如此，例如，Mao等人[51]研究了人臉識別隱私保護的方法，提出了基于邊緣計算隱私保護的深度學習方法，解決了深度學習模型訓練過程外包到云或邊緣服務器上所導致的隱私侵犯問題.Boukoros等人[52]發現移動眾包感知(mobile crowd sensing, MCS)利用用戶設備作為傳感器來執行地理定位數據收集，造成用戶隱私泄露.研究人員對安全與隱私的研究是通過針對軟件的隱私問題來提出相應解決方案，從而間接地保護系統安全.Arzani等人[53]開發了一個可擴展的隱私解決方案Privateeye，在云計算場景下利用低信號數據保護虛擬機中的客戶隱私.Ahmed等人[54]開發了一種語音轉錄系統Preech，針對自動語音識別系統帶來的隱私威脅，通過端到端的語音轉錄，保護說話者聲音的聲學特征.Koti等人[55]提出了面向隱私保護的機器學習框架SWIFT，用于保障外包計算環境中的用戶隱私安全.研究人員也對局部差分隱私協議(local differential privacy, LDP)進行了改進，但大多集中在LDP協議的實用性開發，LDP協議安全性在很大程度上還沒有得到提升[56].Zeng等人[57]提出了一個原型智能家居應用，包括基于位置的訪問控制、活動通知等安全功能.Narula等人[58]提出了基于區塊鏈的隱私保護審計系統zkledger，首次提出了保護參與者的隱私并提供快速、可證明正確的審計系統.區塊鏈提供了比傳統支付更有吸引力的優勢，但是區塊鏈支付的驗證需要用戶下載和處理整個區塊鏈，這對手機等資源有限的設備來說是不可行的.為了解決這個問題，大多數主要的區塊鏈系統支持所謂的輕量級客戶端，將大部分的計算和存儲負擔外包給完整的區塊鏈節點，例如Vibes[59]，Blocksci[60].然而，這種驗證會泄露客戶交易的關鍵信息，從而破壞了用戶隱私.針對以上驗證會泄露隱私的問題，Matetic等人[61]利用SGX(software guard extensions)可信執行能力，為輕客戶端的請求提供隱私保護服務.

小結：當前，軟件棧不斷增長的同時也增大了惡意攻擊的范圍和用戶數據泄露的風險.表2給出了系統軟件對隱私設計的策略，系統軟件的安全和隱私在保護數據的機密性、完整性和可用性方面發揮著重要作用.為了加強操作系統的軟件安全和隱私，從設計新系統和保護現有系統中的信息和數據開始，有必要在整個軟件生命周期各階段考慮軟件面臨的安全和隱私問題.

Table 2 Privacy Design Strategies

2.2 智能設備安全

在泛在計算環境下，智能設備安全的首要條件是可靠性，一些可引發關鍵路徑計時故障和單事件擾動的安全攻擊會造成硬件設備的可靠性問題，如故障注入[62]可造成設備宕機.其次，設備信息輸出和其內存位置應無法被直接獲取或被推斷出相關密碼信息，即智能設備應具有保密性.然而系統的側信道或后門泄露可能造成秘密信息泄露，如加密硬件、系統總線和處理器部件(如緩存、分支預測器等)中存在的側信道泄露[63-64]，同時，硬件木馬[65]的植入也會破壞設備的保密性.再次，設備應具備完整性，即受信任的數據無法被不受信任的實體重寫，該屬性通常針對關鍵的數據位置，如程序計數器和特權寄存器等.完整性攻擊通常是為了進一步執行惡意活動，如劫持控制流[66].除上述屬性外，具備不同安全等級的硬件組件間不能直接通信.這需要在片上系統、處理器和云服務平臺上強制執行，其中安全區域和正常區域之間的交互應受到嚴格的訪問控制.然而，仍存在破壞強隔離機制的安全漏洞，例如ARM信任區域[67]和Intel處理器擴展[68]在近年來已發生過多起攻擊案例.為防止時間通道的存在，在硬件設計時，應使不同輸入組合下計算和生成結果的時間不變，換言之，不能通過觀測計算時間來獲得輸入信息.最后，基于智能設備安全問題，需要定量的指標以實現設備安全性的準確評估，如評估加密函數輸出的隨機性[69].有了這些智能設備應具備的總體安全屬性后，我們將在下文分類闡述泛在計算環境下設備硬件的相關安全研究現狀.

2.2.1 架構與實現類威脅

架構是實現設備硬件內部組織、功能的規則方法.泛在計算中的硬件架構實現需要綜合邊界、交互、成本、周期等多元條件約束，容易被惡意用戶針對薄弱環節進行安全攻擊.

在內存方面，Coldboot[70]和Rowhammer[71]攻擊表明了保護動態隨機存儲器(DRAM)中敏感數據的重要性.DRAM數據在設備關閉后，仍然會短時間保存(這一時間可以通過冷卻內存來延長).Coldboot利用這一特性從DRAM中獲取敏感信息.Rowhammer則利用DRAM數據可以通過訪問附近數據而改變的漏洞，構造代碼數據定位到內存中關鍵數據的附近，通過改變構造數據產生電路噪聲，從而導致目標敏感數據被惡意更改.

硬件緩存會保留進程數據，特別是進程訪問的內存地址，所以針對硬件緩存的攻擊普遍存在.以時間驅動或訪問驅動的計時攻擊就是其中的典型代表.時間驅動攻擊會計算受害者進程的執行時間,攻擊者通過讀取共享緩存中的內容，觀察其他進程加密操作的計時，該計時與緩存命中或未命中具有相關性，利用該相關性可以分析獲得密鑰信息[72].訪問驅動攻擊通過測量攻擊者執行訪問所花費的時間來提取信息[73].如果一個特定的緩存線路被受害者進程訪問，攻擊者將觀察到緩存命中，反之亦然.例如，攻擊者可以識別受害者的數據訪問模式，并使用該信息提取秘密信息.針對硬件緩存的攻擊往往會結合其他硬件攻擊方法,Meltdown[74]允許未經授權的進程讀取映射到當前進程內存空間的數據.Spectre[75]利用該功能推測代碼在緩存中留下的執行痕跡來提取信息.

隨著新型硬件和安全擴展的不斷演進，相應的安全方案先后問世，用以保護這些易受攻擊的敏感數據，如豐富執行環境(rich execution environment, REE)、虛擬機隔離技術、安全元件(secure element, SE)、可信執行環境(trusted execution environment, TEE)等.其中，TEE因其受硬件保護、可快速通信、具有全球標準等優勢被廣泛應用，但仍存在安全風險和漏洞[76]，這些漏洞可以被用來操縱智能設備的內核.攻擊者可以由受信任程序進行危險的TEE內核調用，任何受信程序都可以映射到主機操作系統的內存區域，通過劫持一個脆弱的受信程序，利用緩沖區溢出，直接控制智能設備[77].

小結：雖然近年來可信執行環境多次被成功攻擊，但其仍是實現泛在計算和系統安全的有效手段.對比主流操作系統中的先進防御機制，TEE在安全方面的潛力仍有待進一步挖掘.

2.2.2 硬件漏洞檢測

Google Project Zero曝光的Meltdown[74]和Spectre[75]漏洞揭示了通用處理器存在嚴重安全問題，此后，大量與處理器設計相關的安全漏洞被發現.用于加速機器學習算法的GPU(graphics processing unit)被發現存在故障注入、側通道以及堆棧溢出等漏洞[78-79]，智能汽車中大量使用的MCU(microcontroller unit)也被證明存在側通道泄露風險和可被用于故障注入攻擊的漏洞[80-81]，此外，AI中廣泛使用的神經網絡加速芯片NPU(neural network processing unit)同樣被發現存在側通道和總線控制漏洞[82].這些漏洞無法被基于系統日志的監測方式察覺，因此，泛在操作系統需要硬件漏洞挖掘框架以檢測識別智能設備中存在的已知漏洞以及潛在未知漏洞.

硬件漏洞檢測與挖掘大多是通過模糊測試和關聯分析的方法，這些方法在軟件測試中已經得到廣泛的應用，但是用于硬件測試時還面臨很多技術難題.Moghimi等人[83]使用模糊測試技術發現了Medusa漏洞，但是其模糊測試架構仍基于微體系架構數據采樣，因此，只能發現相似的漏洞.Khan等人[84]彌補了這個缺點，提出了高度靈活的內核可重構REHAD架構，能適應威脅級別并檢測新的攻擊.雖然，側信道通常被攻擊者利用進行信息竊取，但信道本身是可以被用于檢測惡意活動的，Mao等人[85]使用神經網絡模型分析設備的電磁信道輻射，實現惡意行為的實時檢測.對于近期興起的針對動態隨機存儲器的Rowhammer[71]攻擊，Farmani等人[86]提出了RHAT框架，通過對內存存儲元件特征的空間關聯分析，自動化檢測利用內存模塊漏洞進行的惡意攻擊.當前，自動化的硬件漏洞檢測已成為硬件安全研究的前沿方向.

小結：硬件漏洞挖掘應當構建具有自我學習能力的測試用例生成方法[87]，提升覆蓋率，從而自動化檢測潛在的未知漏洞.此外，通過監測硬件設備運行動態來判斷硬件攻擊也是當前的熱點研究方向.Zhu等人[88]通過特殊的硬件芯片檢測處理器端口的數據，并利用模式匹配及重放方法判斷是否受到了硬件攻擊，Li等人[89]通過追蹤設備執行時的事件信息并利用機器學習方法來判斷是否受到了硬件攻擊.相應地，攻擊者通過在惡意代碼中增加特定指令或時間間隔，模擬普通應用執行時的體系結構特征，來掩蓋利用硬件漏洞的攻擊過程，降低攻擊監測效率[90].

2.2.3 設備側信道攻擊

側信道攻擊是指通過分析軟硬件運行時產生的各種泄露信息，對系統進行攻擊的方法.這些物理泄露的信息特征往往與設備內部處理的數據息息相關.攻擊者可以通過搜集這些信號的某一種或幾種物理特征，繞過協議和算法本身的安全性對智能設備進行攻擊.隨著泛在計算的發展，智能設備的普及，側信道安全威脅日益嚴重.雖然防護技術日益進步，但因芯片微架構的改進，如共享緩存、推測控制和超線程等技術的引入，都會產生額外的側信道安全問題.這些側信道可以按物理特性的不同進行分類.

1) 時間通道.由于不同軟件的執行過程共享硬件資源，不同指令的執行又存在時間差異，導致基于時間的側信道.比如芯片進行算數和布爾操作時，會存在快速和慢速執行路徑，這類特征可被用于揭露底層操作信息[91].Paccagnella等人[92]利用CPU環互聯爭用的細粒度時間模式來推斷受害者進程的信息.Gras等人[93]利用硬件后備緩沖區(translation lookaside buffers, TLB)來泄露受害者活動的細粒度信息.網絡加密流量側信道攻擊通過分析、提取網絡應用通信過程中泄露的數據包長度、時間等側信道信息，能夠識別用戶的身份和行為，甚至還原用戶輸入的原始數據.隨著云計算的出現，現已可以跨虛擬機實現時間側信道攻擊[94].

2) 功率通道.攻擊者可以通過測量電子元件運行時的功率軌跡，對軌跡特征進行數學分析，進而提取設備中的秘密信息.這種攻擊的基本前提是芯片的瞬態功率軌跡可泄露其內部的交換模式.若攻擊者知道設備的內部實現，則可通過功率分析進行攻擊[95].若攻擊者具有設備的訪問權限，則可以采用模板攻擊[96].近年來，隨著云服務的增長，多租戶云環境中，惡意用戶可與受信任用戶共享資源[97-98]，遠程的功率攻擊也就變得可行.攻擊者可以通過電力交付網絡推斷出使用同一硬件資源用戶的程序信息.

3) 電磁通道.電磁信號是最早被利用并進行側信道攻擊的一種物理信號，通過探測捕捉集成電路的電磁輻射，將這些輻射信號數字化后，可從中提取秘密信息，即電磁分析.這種分析技術可用于提取RSA，ECDH，ECDSA等加密過程中的密鑰信息[99].Yan等人[100]對移動設備進行簡單功率追蹤，實現了APP鑒別、用戶界面辨別、密碼長度推測和地理位置估計.Hayashi等人[101]利用綁定在移動設備旁的金屬體形成一個類似天線的作用，收集屏幕的電磁輻射，實現對屏幕信息的實時估測.但是這些經典的分析算法在處理電磁信號細微變化方面面臨困難，比如噪聲源影響或因時序錯誤引起的電磁信號不對齊.深度學習作為一種有效的解決方法[102]，近年來被廣泛應用于電磁信號分析,大多數傳統的分析方法也逐漸被深度學習所取代[103-104].比如，Liu等人[105]用磁圈天線采集手機屏幕排線的電磁輻射，生成一種直觀上沒有意義的灰度圖，通過機械學習技術解讀還原信息，實現無可見光情況下的屏幕信息獲取.

4) 機械波通道.對設備散發的機械波所進行的分析主要集中在振動和聲波方面.通過手機內的運動傳感器攻擊者可以輕松獲得用戶的按鍵信息，Aviv等人就先后使用嵌入式加速度傳感器來解鎖智能手機[106]和識別PIN(personal identification number)碼[107].聲波也是一種便于采集和分析的機械波，Berger等人[108]演示了如何使用鍵盤聲源進行字典攻擊.Asonov和Agrawal[109]通過不同按鍵的聲波輻射恢復鍵盤的輸入信息.Backes等人[110]研究了點陣打印機的聲信道，結合機械學習，實現自動化的獲取打印輸出內容.近年來，Genkin等人[111]將聲信道攻擊提升到了一個新的高度，他們演示了如何通過網絡攝像頭或屏幕上的內置麥克風接收到的聲波來還原屏幕內容.

小結：現階段，已有一些防御側信道攻擊的研究成果，Braunstein等人[112]將量子密鑰分發(quantum key distribution, QKD)協議中的所有真實通道替換成虛擬通道，使私人空間內的相關探測器和設置無法訪問，以消除側通道攻擊.Oleksenko等人[113]提出了Varys，保護在Intel SGX中運行的進程免受緩存計時和頁表側信道攻擊.Dong等人[114]采取了針對由被攻擊的操作系統內核發起的頁表和最后一級緩存LLC(last level cache)側信道攻擊的防御措施，緩解了操作系統內核受到的側信道攻擊.這些研究大多針對攻擊手段進行分析，如何在泛在計算環境中建立更安全的側通道攻擊防御系統還需深入研究.

2.2.4 硬件木馬

硬件木馬是指在集成電路中嵌入的可以在某種特殊條件下觸發的模塊或電路，這種模塊或電路平日處于潛伏狀態，在特殊條件觸發下，可被攻擊者利用實現破壞性功能.物聯網、云計算、工業互聯網等領域中大量應用FPGA，ASIC和SoC硬件，這些硬件易被植入惡意電路或潛藏漏洞隱患，已成為泛在計算安全的主要威脅之一.

早期的硬件木馬通常在特定事件下使用單觸發器來激活木馬，這類硬件木馬很容易被概率分析識別.Zhang等人[115]利用多個離散觸發信號，使硬件木馬能夠抵抗硬件信任驗證技術.基于不正確的混淆密鑰下設計的功能無法明確規定以保護正確密鑰這一事實，攻擊者在實現混淆邏輯方面具有許多靈活性，包括插入惡意電路.Nahiyan等人[116]提出在有限狀態機中加入惡意狀態的硬件木馬設計，其思想是使用未占用狀態編碼來插入浮動木馬狀態.有限狀態機正常運行時無法過渡到木馬狀態，但可以通過故障攻擊激活木馬，使有限狀態機進入惡意狀態.Hu等人[117]使用了一對永遠不會達到特定輸入組合的信號(例如，由于路徑相關，邏輯不能同時為“0”)作為觸發器.因此，雖然每個觸發器信號都可以切換，但木馬在正常運行期間永遠不會被觸發.故障注入被用作強制觸發木馬的激活信號，這種木馬在多租戶FPGA上比較常見，攻擊者可以通過功耗消耗電路來遠程激活木馬，從而引起片上信號延遲的巨大波動，最終導致定時故障[118].此外，通過對設計布局進行輕微修改來創建模擬硬件木馬，如通過改變摻雜劑極性或輸入與晶體管的比率來插入模擬硬件木馬，從而導致短路[119].這些摻雜型硬件木馬很難識別，因為它們不會引入額外的晶體管，而只會修改電路參數.Liu等人[120]演示了一種模擬硬件木馬，它在不違反協議規范的情況下通過調制無線傳輸的幅度或頻率來泄露AES密鑰.使用常規測試方法無法檢測到這類木馬，因為它不會改變設計功能.

小結：智能芯片和硬件設備的制造需要經過多道工藝，其中不乏可靠性未知的制造商，這對硬件木馬的植入大開方便之門.硬件木馬的隱蔽性強、作用機制復雜、破壞力大，在現在乃至今后很長時間內都將是泛在計算生態的重點防護對象.

2.3 通信安全

通信作為泛在操作系統的重要組成部分，是實現萬物互聯的樞紐，也成了泛在計算安全研究的重點.隨著越來越多的設備實現互聯互通，通信過程中數據的完整性和安全性問題變得越來越重要.本節分別針對通信協議安全、網絡流量分析、僵尸網絡、通信隱私安全、緩存攻擊5個方面對通信安全問題進行討論和分析.

2.3.1 通信協議安全

通信協議是通信系統架構的基礎，攻擊者往往利用通信協議的安全缺陷進行惡意攻擊，給通信安全帶來嚴峻挑戰.本節對泛在計算中廣泛應用的物理層、傳輸層和應用層上的幾種通用協議進行了安全性評估，并給出了相應的防御對策.

1) 物理層協議安全

物理層常用的通信協議有WiFi，ZigBee，BLE等.ZigBee是一種低速短距離的無線通信技術，常用于智能家居領域智能套件的開發.Ghost幽靈攻擊[121]針對使用ZigBee協議的無線網絡，通過構造虛假消息使節點消耗能量來進行多余計算，縮短節點生命周期，并使其面臨DDoS攻擊和重放攻擊等威脅.藍牙技術與WiFi，ZigBee等技術一樣是一種無線通信技術，能夠簡化移動終端設備之間的通信流程，使數據傳輸更為高效便捷.Zuo等人[122]利用藍牙低功耗(bluetooth low energy, BLE)協議存在的缺陷獲取到應用程序的靜態UUIDs，以此對設備進行指紋識別攻擊.

目前通用的藍牙技術有BR/EDR(basic rate/enhanced data rate)和BLE兩種技術，這2種技術的安全威脅主要有攻擊和惡意軟件2種類型[123].Claverie等人[124]對藍牙協議中常用的BT，BLE和BM中的認證機制進行了研究，發現它們都容易遭受反射攻擊.

BR/EDR主要用于音頻流傳輸，常用于藍牙耳機、智能揚聲器等音頻設備.Antonioli等人[125]研究了一種針對BR/EDR中的密鑰協商協議的惡意攻擊KNOB，KNOB攻擊可以通過低熵密鑰破解原有的加密密鑰，從而竊聽用戶的隱私，該方案適用于英特爾、蘋果、高通等公司生產的大多數藍牙芯片.之后Antonioli又發現了可以避開藍牙身份認證的藍牙模擬攻擊(BIAS)[126]，其針對通信連接的身份認證期間的漏洞，即使不知道設備和用戶共享的密鑰也可以產生安全威脅，文獻[126]還實現了KNOB和BIAS的組合攻擊，并提出了緩解BIAS的對策和更新藍牙標準修復漏洞的建議.

BLE技術有效地降低了設備之間通信所需的功耗，在泛在計算環境中有著較為廣泛的應用，但BLE技術低能耗的特點也使其更難抵御惡意攻擊，尤其是中間人攻擊.Yaseen等人[127]針對電子醫療領域采用BLE技術的傳感器構建了一個新框架，用于檢測BLE配對機制中的安全漏洞，并利用無輸入無輸出(NiNo)功能和Just Works配對模式保護藍牙節點免遭攻擊.Gu等人[128]提出了第一個基于BLE技術構建的安全物聯網通信框架，該框架可以在通信連接建立之前和建立間對通信設備持續進行身份認證，且僅需通過嗅探通信傳輸的特性即可認證成功.

鑒于藍牙經常受到惡意攻擊的情況，用戶對藍牙技術產生的隱私泄露風險也感到擔心，因此CHA等人[129]設計了PrivacyBat框架，該框架為用戶提供了隱私偏好服務，使用戶能夠獲取附近設備的信息及其提供的隱私策略，并給予用戶自主選擇隱私策略的自由，這樣可以提高用戶對物聯網中設備的信任度.

2) 傳輸層協議安全

SSL/TLS是常用的傳輸層安全協議，已被廣泛應用于多種計算場景.Karthikeyan等人[130]提出了一個替代mcTLS的模塊化協議.Paul等人[131]設計了一個應用協議狀態模糊化技術的開源框架，用以測試分析DTLS協議.Khalid等人[132]設計了一種自動化工具IoTVerif，用來識別物聯網應用程序與TLS證書驗證相關的漏洞.Markus等人[133]結合分布式技術實現了分布式域驗證機制DV++，繞過CA(certificate authority)域驗證機制來實施攻擊.該機制利用隨機選擇的分布式節點，節點之間的路徑不會重疊，將節點放在不同的網絡中進行域驗證.Henry等人[134]提出的多視點域驗證機制multiVA，證明了多節點驗證機制的可行性，并實現了安全性、成本和良性故障之間的平衡.

3) 應用層協議安全

目前應用層主要使用的協議有MQTT，CoAP等，實現節點到云平臺的安全通信.MQTT協議是常見的應用層通信協議，使用的發布-訂閱通信模型可以提供一對多的消息傳遞.CoAP協議主要適用于物聯網中資源受限的設備.Jia等人[135]對AWS、Microsoft、IBM、阿里巴巴等物聯網云平臺進行了人工安全分析，發現這些平臺的安全風險主要來源于定制的MQTT協議中存在的缺陷.Wang等人[136]設計了能夠對各種通信協議進行自動安全性分析的框架.Shahid等人[137]對CoAP協議的安全性進行了研究，在SicsthSense云平臺上完成了安全的CoAP協議設置，在資源受限的物聯網設備之間實現安全的端到端通信.

小結：目前，針對泛在計算環境通信安全的研究主要集中在對通用協議進行安全檢測和漏洞修復，但這些協議無法滿足泛在計算生態的普適性要求.針對不同的環境往往需要針對性的適配通信協議，因此需要研究能夠為各種不同的定制協議提供安全檢測的工具，同時還要考慮安全機制的通信開銷，實現安全性與成本之間的平衡，使資源有限的網絡節點之間實現端到端加密通信.考慮到目前大部分研究是通過人工分析進行的，未來還應實現更高效、更準確的通信協議自動化安全檢測技術.

2.3.2 網絡流量分析

泛在計算環境中智能設備的激增帶動了網絡的爆炸式發展，隨著網絡流量逐漸復雜化、海量化，如何識別、監測、分析網絡流量成為重要的研究方向.Mustafizur等人[138]提出了一種通過機器學習來分析網絡流量識別物聯網設備的方法，構建了一個用來生成網絡流量的實驗性網絡.Duan等人[139]從遠程網絡服務器、流級流量特征和分組級流量特征3個方面對智能家居環境中設備產生的網絡流量進行特征分析.

流量分析攻擊通過分析設備傳輸的元數據，推斷出用戶的敏感信息.Noah等人[140]設計了隨機流量填充算法，通過調整覆蓋用戶原始流量，使攻擊者難以檢測到真實流量數據.Abbas等人[141]提出了一種新型的針對用戶隱私的攻擊，對使用WiFi，ZigBee，BLE這3種協議的22種不同類型設備進行測試，通過機器學習方法對設備的通信流量進行分析并準確識別用戶行為.智能設備在通信過程中會產生數據包對，而對這些數據包的長度進行分析，可以推斷出發生的特定事件.Rahmadi等人[142]設計實現了一種自動提取數據包級簽名的方法PINGPONG，每個數據包的簽名都是獨一無二的，可有效判斷設備及事件類型，還可用于異常檢測或進行被動推理攻擊等.Saba等人[143]設計了用于隱藏元數據的Express系統，相比其他提供加密保證的元數據隱藏系統，該系統使用了輕量級的對稱加密原語.

語音命令指紋攻擊主要指針對智能揚聲器的語音流量攻擊.Sean等人[144]研究了流量分析攻擊在語音命令識別上的應用，通過語音命令指紋攻擊能夠準確推斷亞馬遜Echo上語音命令的內容.但語音命令指紋攻擊的準確率要低于傳統網站指紋攻擊，仍然需要更加深入地進行研究.Wang等人[145]使用自動采集工具在亞馬遜Echo和谷歌Home這2個智能揚聲器上進行語音采集，并通過深度學習方法對數據集進行了概念驗證攻擊，但該作者僅對自動語音進行了實驗，而真實的人類語音復雜度更高，未來需要更多的研究提高語音隱私的安全性.

小結：現有的網絡流量分析攻擊的防御方法主要有3種：1)數據包填充，在數據包中添加虛擬字節以改變數據包的長度；2)流量整形，改變數據包到達的時間間隔，將數據包以比較均勻的速度發送出去，使傳入流量與傳出流量相等；3)流量注入，添加相似的假數據包以混淆發送的真實數據.幾種流量分析攻擊類型與防御方法的對比如表3所示.通常情況下，單一的防御方法只能減輕針對某部分的攻擊，如流量注入并不會改變數據包大小、流量長度等流量特征，因此，針對這種流量特征的攻擊，防御效果會變弱.通過將多個設備產生的元數據結合起來分析，可以推測出用戶更具體的行為，給用戶帶來進一步的隱私泄露風險，研究人員要更加關注網絡流量之間的聯系，開發更多的組合防御方法來應對復雜多樣的流量分析攻擊.除此之外，現有的防御方法增加了設備的通信開銷以及數據的延遲時間，因此，如何在保證安全的前提下降低通信延遲、提升用戶體驗需要進一步研究.

Table 3 Comparison of Attack Types and Defense Methods of Traffic Analysis

2.3.3 僵尸網絡

僵尸網絡是由一組感染一個或多個僵尸程序的互聯網設備構成的，這些被感染的設備由攻擊者進行集中控制，通過一對多惡意攻擊，可以在短時間內感染大量主機.

目前大多數僵尸網絡的檢測都是基于流或圖的流量分析，但隨著僵尸網絡的不斷發展，通用方法已經難以準確檢測僵尸網絡.Wang等人[146]將2種方法相結合，提出了基于流和圖的混合流量分析方法BotMark，并模擬Mirai，Black Energy，Zeus，Athena和Ares五個僵尸網絡對BotMark進行了測試，證明了方法的有效性.在流量分析的過程中要對網絡流量數據進行分類，根據數據的樣本特征識別攻擊，Doshi等人[147]基于機器學習算法實現了對物聯網的DDoS攻擊檢測，通過分類算法準確區分物聯網設備中正常狀態和DDoS攻擊下的流量.但對高度不平衡的流量數據進行處理時分類性能會變差，增加檢測難度.Popoola等人[148]采用合成少數類過采樣算法實現網絡流量數據的平衡，并結合深層遞歸神經網絡(DRNN)對達到平衡的數據進行分類，使僵尸網絡攻擊檢測更為高效，但增加了計算和學習成本.

隨著泛在計算和UOS的發展，越來越多的智能設備實現互聯，僵尸網絡的類型和變體也逐漸增多，僵尸網絡的威脅性與日俱增.Herwig等人[149]對新型僵尸網絡Hajime進行了深入分析，Hajime的不同之處在于使用了分布式哈希表進行控制.Hajime的變體只能向容易被攻擊的設備進行傳播，不能對設備發起任何攻擊，但其在執行的過程中可能會暴露主機端口，從而給設備帶來安全風險[150].Chew等人[151]預測了新的僵尸網絡變異模型RSHB，該模型在基于社交網絡構建的僵尸網絡中添加了復活機制來抵御檢測，為新型僵尸網絡研究提供了樣本，但如何分析RSHB的特征，如何利用機器學習針對RSHB的防御策略還需要深入研究.Cetin等人[152]研究了如何對感染Mirai僵尸網絡的設備進行修復的方法，提出了安全隔離機制，將受到感染的設備置于隔離網絡，降低設備的再感染率.

小結：現階段應對僵尸網絡攻擊的對策主要是采用機器學習的方法對僵尸網絡進行檢測，及時發現并制止產生的安全威脅.檢測的過程就是對網絡流量數據進行分類的過程，但高度不平衡的數據樣本會降低分類的性能，因此，如何高效地處理高度不平衡的流量數據，實現性能與開銷之間的平衡還需要進一步的研究.僵尸網絡的變體層出不窮，時刻威脅著智能設備的安全，因此，要及時對設備進行檢測，警惕新型僵尸網絡的誕生，未來也需要對僵尸網絡可能產生的變異模型及其相應的緩解策略進行更多的研究.

2.3.4 通信隱私安全

通信隱私安全是用戶隱私等敏感信息傳輸保護的基礎，尤其是泛在計算環境下通信系統存在各種漏洞，這些安全隱患時刻威脅著通信用戶的信息數據安全.

對此，Burkhalter等人[153]提出了一個允許用戶設置數據共享和處理方式的隱私偏好的系統，以加密方式保護第三方應用端到端的數據隱私.Nour等人[154]分析了以信息為中心的網絡模型在網絡緩存的利與弊，并討論了合并范式中的安全和隱私挑戰.Wang等人[155]根據以信息為中心的網絡模型構建了一個用于隱私保護的網絡服務框架Riverbed，用戶可以對遠程服務如何處理和存儲敏感數據進行限制.Poddar等人[156]提出了為用戶的視頻流以及機器學習模型提供保密性的Visor系統，用于保護云服務免受視頻模塊引起的側通道攻擊，并解決CPU-GPU通信通道中的泄露問題.Kwon等人[157]針對端到端加密通信過程中元數據泄露導致私人信息傳遞受阻的問題，開發了一個可擴展的消息傳遞系統XRD. Wang等人[158]研究發現5G移動通信系統的認證和密鑰協議5G AKA仍易受到鏈接性攻擊的安全威脅.由于5G AKA協議的復雜性，評估該協議安全性的難度大大提高.Basin等人[159]全面系統地分析了5G AKA協議在威脅模型下所提供的安全保障，并提出了正式的AKA模型來分析每個安全目標需要滿足的最低安全假設條件.針對5G AKA協議沒有海量設備接入認證機制的漏洞，Cao等人[160]設計了一種輕量級的認證協議來實現普通用戶設備(UE)和海量機器通信設備(mMTC)2種標準設備的安全連接.

小結：現階段通信隱私安全研究主要聚焦于5G通信系統.5G網絡集成了許多新技術，但也帶來了新的安全隱患.此外，現有的安全解決方案無法完全滿足特定應用程序的通信性能要求.總體上看，5G通信下的隱私安全與隱私的挑戰主要包括漏洞攻擊、信任模型、安全管理、訪問控制、數據保護、物理層安全以及完善等[161].

2.3.5 緩存攻擊

泛在系統中設備接入數量逐漸增多，緩存技術可以有效提高網絡邊緣服務和云存儲能力，顯著減少服務延遲，減少網絡負載，改善用戶體驗[162].但緩存技術在隱私侵犯和安全漏洞方面也受到了許多安全威脅，主要的緩存攻擊包括緩存中毒攻擊、緩存污染攻擊、緩存側通道攻擊和緩存欺騙攻擊，這些攻擊導致內容放置、內容交付和內容使用方面的隱私、安全和信任問題[163].

Man等人[164]研究發現了一種新的緩存污染攻擊，通過發送大量非流行內容請求來填充路由器緩存，降低路由器緩存命中率.Mirheidari等人[165]研究了網絡緩存欺騙對內容分發網絡提供商部署的大規模緩存代理網絡的安全威脅.Alharbi等人[166]對DNS(domain name system)緩存進行了中毒攻擊，破壞用戶端設備DNS緩存.

為了解決網絡緩存受到的污染和中毒攻擊，Lei等人[167]提出了新的系統框架，集成了興趣密鑰的內容綁定、轉發策略和按需驗證，以有效發現被污染內容.Man等人[164]提出了一種基于梯度boost決策樹的檢測算法，通過模型學習實現緩存污染檢測.Babu等人[168]提出了一種基于Merkle哈希樹的一次性簽名方案，解決了命名數據網絡NDN(Named Data Networking)中緩存中毒問題.Hussain等人[169]基于NDN的物聯網網絡設計了一種多播簽名解決方案，可以避免緩存污染攻擊、內容中毒攻擊.Hu等人[170]提出了一種新的分布式DNS數據平面體系結構Blockzone，提高了DNS抵御DDoS和緩存中毒攻擊的安全性.Berger[171]對典型和非典型響應時間進行分析，區分從根服務器到內部緩存服務器的不同級別DNS服務器響應時間，用于識別DNS中毒攻擊.

小結：隨著緩存技術使用的不斷增多，緩存安全問題也層出不窮.一旦用戶請求，內容會緩存在邊緣節點上，實現緩存密鑰和內容的安全綁定，可以有效防止潛在的替換攻擊和中毒攻擊.這種一致性證明對確保內容的可靠性和完整性至關重要，研究人員需要關注這一方面的安全，并設計出相應的實現方案.

3 典型泛在計算場景安全問題與研究現狀

泛在計算具有泛在性、異構性、動態性、移動性、開放性、多模態感知交互等特點，安全需求較為復雜.表4中列舉了部分與之相關的典型技術及其對應的普遍性問題，同時給出了相關的可行安全方案.不同于傳統的基于私鑰密碼機制的安全解決方案，泛在計算需要通過各異構網絡的協同以支持不同業務之間的無縫連接，這就要求泛在操作系統應滿足異構網絡間的相互通信以及用戶與設備之間的交互的安全需求.本節將從4個典型的泛在計算場景出發，分析其安全問題以及現有研究工作的不足之處.

Table 4 Typical Technologies and General Issues

3.1 智慧家庭

智能設備是智慧家庭的重要組成部分，隨著智慧家庭的不斷發展，路由器、語音助手、手環、電視、開關、門禁、攝像頭產品的智慧能力不斷提升，智慧家庭設備使用、保存和傳輸的用戶隱私數據也越來越多.這些隱私數據不僅包括用戶的賬號信息，還包括用戶日常使用智能設備帶來的隱私數據信息.如智能門禁記錄了用戶的指紋、人臉等信息，智能手環、電視、攝像頭記錄了用戶的行為數據、語音信息、家庭影像記錄，以及用戶使用智能設備的行為習慣等敏感數據.此外，智慧家庭往往需要和第三方云端進行數據同步和云端智能決策，攻擊者通過遠程控制智慧家庭設備，截獲云家數據傳輸，可以輕易獲取用戶的敏感信息，控制智慧家庭設備，造成用戶隱私泄露等安全風險.

現有的研究主要包括基于區塊鏈的方法、增強認證機制等來解決智能家居遠程認證的安全問題.Qashlan等人[172]將基于屬性的訪問控制與智能合約和邊緣計算相結合，為智能家居系統中的物聯網設備創建了安全框架.Shen等人[173]提出了一個基于區塊鏈的智能家居分布式設備接入認證系統，通過實現認證流程的去中心化，有效提高智能家居系統的安全性.Dong等人[174]提出了使用毫米波雷達在智能家居中進行揚聲器驗證的安全方法，通過深度學習技術持續檢測用戶的活性，解決了揚聲器語音驗證的冒名頂替攻擊.Yu等人[175]設計了一個輕量級的隱私保護認證方案，提高了智能家居環境遠程認證的安全性.Poh等人[176]提出了PrivHome隱私保護計劃，支持身份驗證、安全數據存儲和智能家居系統的查詢，以及數據保密和實體認證，保障智能家居環境安全.

根據國家互聯網應急中心(CNCERT)發布的《2021年第二季度聯網智能設備安全態勢報告》顯示[177],聯網智能設備漏洞、智能設備惡意程序，僵尸網絡控制端IP地址都相較于往年有大幅增長，漏洞類型覆蓋了信息泄露、拒絕服務、弱口令、權限繞過、跨站溢出等典型漏洞.智慧家庭面臨的安全問題包括隱私保護、通信安全、身份驗證、通信加密和傳感器安全控制等.如何確保智慧家庭上的傳感器能有效過濾掉異常輸入，如何解決隱私數據在各個實體之間不安全的傳輸以及用戶數據在云平臺上不會被濫用，已經成為智慧家庭場景面臨的主要安全問題.

3.2 智能云計算

云計算是一種利用虛擬化技術，為多租戶提供按需訪問配置的虛擬計算資源的服務框架.典型的云計算安全直接與其計算基礎設施相關，如虛擬機安全[18-20]、容器安全[21-22]等.當前的主要研究趨勢是通過類型安全的語言進行虛擬機或容器的重構，并利用硬件特性，如加密芯片、安全通信模組、ARM TrustZone擴展等，增強虛擬機監控器和容器運行時環境的安全性.此外，利用Library OS的思想，構建用戶態的設備驅動服務，可以保證云服務基礎系統設施功能定制優化的同時，也提升系統的魯棒性.

與其他環境不同，智能云計算服務與智慧家庭、工業互聯網、自動駕駛等多種典型泛在計算場景存在頻繁的互聯互通.因此，智能云計算的安全風險不僅與云環境系統軟硬件有關，還與通信交互相關.Xiao等人[178]認為外包是與云特性密切相關并構成安全隱私威脅的主要屬性之一.工業界通常使用收斂加密來保護外包數據[179].雖然加密文件提高了安全性，但是文件去冗余可能成為一個側信道，攻擊者可以利用它發起模板攻擊.Zhang等人[180]提出了一種離散收斂加密方案，用以防護這類云端模板攻擊.

除了基于收斂加密的框架，一些外包存儲系統基于代理重加密算法[181]來確保數據安全.Ateniese等人[182]提出了一種雙向重加密機制，在保證高效訪問控制的前提下，加強分布式存儲系統的安全.Xu等人[183]提出一種基于云的重加密算法，由數據所有者的私鑰和接收方的公鑰生成重加密密鑰.針對授予的訪問權限提供數據加密密鑰，減少數據所有者與其相應接收者之間的直接交互來降低開銷.上述加密技術不能滿足計算外包數據或確保動態用戶組之間的細粒度數據共享，因此，研究者提出了新的密碼原語.比如基于屬性的加密[184]和同態加密[185]，分別提供靈活的數據共享和安全的外包計算.Huang等人[186]提出了一種基于屬性的分層加密，引入了部分解密和簽名結構，將客戶端的大部分計算開銷委托給云服務提供商.Wang等人[187]引入了集成在單個訪問樹中的分層訪問結構并提出了一種新穎的基于層次屬性的加密方案來共享云計算中的數據.

3.3 工業互聯網

工業互聯網是傳統工業與信息化技術相結合的產物，推動傳統工業走向智能化、網絡化，實現了人機物的互聯融合，但新興技術的發展也給工業互聯網帶來了極大的安全挑戰.

目前，大部分智能工廠都是集中管理的系統架構，但隨著智能設備數量的不斷增加和業務類型的復雜化，傳統的集中式管理中心漸漸難以實現數據的集成，信息孤島問題開始露出水面[188].且在工業大數據的背景下，數據交互極其頻繁，而工業互聯網系統依賴于中心服務器，一旦服務器數據泄露，將會威脅到整個工業互聯網的安全.因此，傳統的工業互聯網架構已經難以滿足數據安全性的需求，隨著區塊鏈技術的興起，區塊鏈架構被引入工業互聯網.Wan等人[189]結合區塊鏈技術構建了一個輕量級的去中心化架構，并增加了白名單、非對稱加密等機制提高架構的安全性.

然而區塊鏈公開透明的特性也給工業互聯網的安全防護提出了新的挑戰，需要在區塊鏈中增添訪問控制機制以保護加密的數據.Huang等人[190]推出了一個面向智能制造平臺的通用可擴展的區塊鏈體系，采用的是基于信用的PoW機制，同時，通過訪問控制保證私密數據的安全性.Lu等人[191]為分布式多方數據共享設計了新的協作機制，通過聯邦學習算法將要共享的數據映射到數據模型中，實現數據模型的共享而非原始數據的共享，以防止數據泄露.

除了區塊鏈技術，邊緣計算也是工業互聯網領域熱門的研究方向.在工業傳感器云的云服務端，內部攻擊是一種主要的威脅來源，云服務容易受到一些惡意的用戶和服務提供商的攻擊，因此，需要信任評估機制保證云服務的可靠性.Wang等人[192]結合邊緣計算技術，設計出一種細粒度的信任評估機制，通過邊緣計算來處理邊緣設備的數據，并通過評估機制檢測惡意用戶和惡意服務提供商，從而抵御內部攻擊.但傳統的安全防護方法通常會在邊緣節點失效，邊緣計算的引入使邊緣節點需要更加有效的安全防護，因此還需研究分布式異構的安全方案.Wu等人[193]融合區塊鏈和邊緣計算技術，提出了一個安全可擴展的分層框架來保護工業互聯網中的關鍵基礎設施的隱私安全.在傳感器云中，安全問題也易出現在身份認證機制的缺陷上，Li等人[194]設計了三因素認證協議，該協議具有更高的魯棒性和高效性，實現了用戶的匿名及工控設備的數據泄露防護.

3.4 自動駕駛

隨著自動駕駛技術的發展，車聯網的安全問題已經成為產業界和學術界的主要研究目標.智能汽車涵蓋了自動駕駛域、智能座艙域和智能車控域.其安全性涉及車控設備、操作系統、應用軟件、車云互聯、路面感知，以及自動駕駛算法等方面.Meng等人[195]提出了一種用戶驅動的云傳輸系統，通過構建交通模型并預測行駛路況.云架構可以使車輛間彼此共享計算資源、信息和數據，以生成新的知識，其網絡架構可在IEEE 802.11p標準層上實現[196].云輔助自動駕駛系統[197]通過與云端共享傳感器信息，為汽車安全行駛提供助力.Kumar等人[198]介紹了一種用于自動駕駛的通信系統，它使車輛能夠請求和訪問其他車輛捕捉到的信息，實現基于客戶需求的隨行圖像服務[199].

在車聯網平臺中，各車輛共享相同的特權，普通的車輛和惡意對手具有相同的訪問權限，這使得該平臺需要安全隱私保護機制，以防御諸如拒絕服務攻擊、女巫攻擊、中間人攻擊等各類影響司機隱私和安全，危害交通健康，甚至導致人員傷亡的惡意攻擊.但早期使用的加密技術[200]沒有考慮車聯網的實際需求，Malandrino等人[201]針對這些不足，提出了車聯網信任管理解決方案.Wan和Zhang[202]基于身份的數據傳輸協議，使用代數簽名和IBS(identity-based signature)算法對車輛的真實身份進行加密，保障車輛和路側單元之間的數據傳輸.Feng等人[203]提出了一種考慮不確定性的隱私評估方法，以解決基于V2X(vehicle-to-everything)通信中隱私泄露的問題.該算法通過分析用戶的歷史行為來評估車輛的隱私保護，采用聚合算法結合實時和離線通信，有效抑制了女巫攻擊.在位置信息方面，Hussain等人[204]提出了基于車輛自組網VANET(vehicular ad-hoc network)云服務堆棧的安全和隱私感知服務，使車輛可以通過匿名的方式和云基礎設施共享位置信息，保護車輛的隱私安全.在通信安全方面，Safi等人[205]提出了一種車云互聯服務中隱私感知的信息傳播方法，基于密文策略屬性的加密來實現訪問控制系統和帶有假名車輛的身份簽名驗證.

獲得可靠的數據信息后，可以進一步實現自動駕駛技術，完成從L0級(無自動化)到L4級(高度自動化駕駛)的轉變.而自動駕駛的核心就是實現場景的實時感知[206]，可行的實現方案是使用深度學習技術訓練可以完成目標檢測、場景分類和行為分析等任務的模型[207].例如，百度Apollo[208]在感知和決策模塊中使用了多種深度學習模型，特斯拉為實現自動駕駛使用了先進的對象檢測模型[209].然而，這些模型容易受到對抗性用例的影響.Zhou等人[210]用對抗性干擾替換路邊的原始廣告牌，實現了一種攻擊端到端駕駛模型的方法，使車輛的轉向角預測數據偏離實際值23°之多.Boloor等人[211]提出了一種基于貝葉斯優化的方法來偽造道路上的車道線使車輛偏移原始方向.Liu等人[212]模擬了對端到端駕駛模型的攻擊，構建對抗性觸發器(如簡單的圖形標志)，并放置在原始輸入圖像的角落，如果道路圖像中包含這些惡意觸發器，車輛將會偏離預先規劃的軌跡.

此外，在智能駕駛方面還有很多開放性問題正待解決，比如高速移動性、資源異質性、跨域認證方式等.

4 挑戰與機遇

在深入調研現階段泛在計算環境在系統軟件安全、智能設備安全和通信安全3方面的研究現狀，以及總結泛在計算典型應用場景的安全研究現狀的基礎上，指出了泛在計算安全面臨的八大安全挑戰，并給出了可用于應對這些挑戰的潛在安全技術研究方向，其關系如表5所示:

4.1 軟硬件供應鏈安全挑戰

人機物融合泛在計算使泛在操作系統生態的構建面臨邊界開放、社會技術和信息物理融合的挑戰，匯聚眾多跨界分布、異構異質的硬件設備資源，和不同計算場景下的不同操作系統功能和軟件棧.不同硬件設備、固件、軟件棧的版本、型號、配置方式，在泛在計算環境下存在很大不同，其中存在的軟硬件漏洞需要進行有效的評估和定位.一旦其中一個設備、軟件或通信通路存在漏洞受到攻擊，整個泛在計算環境都將受到安全威脅.管理評估不同類型開源軟硬件、維護安全生態是泛在計算生態構建的主要難點.此外，開源協議、軟硬件在泛在環境下大量使用，需要研究如何避免因為相關因素或突發事件造成的軟硬件供應鏈中的核心產品不能開放使用，也是構建泛在計算生態下供應鏈安全的一大挑戰.

4.2 全場景的攻擊監測問題

泛在計算場景下資源設備多樣，任務場景各異，現有的攻擊監測方法一般針對單一設備或單一場景，如何覆蓋不同智能設備、不同場景，提供統一的攻擊監測方法，尤其是泛在計算環境下硬件設備的存儲空間從KB級到TB級變化，計算能力和安全監測能力呈現差異化；如何在受限的計算能力和存儲空間中，為泛在智能設備提供安全保障機制和攻擊預警能力是泛在系統攻擊監測的極大挑戰.

4.3 泛在分布的異構資源訪問控制方法缺失

泛在計算環境下資源往往通過總線、有線網絡或無線互聯的方式聯通在一起.泛在操作系統在異構資源訪問管理時，不僅需要準確定位資源，還需要對資源的網絡位置、訪問控制權限、操作方式等進行準確定義.迫切需要研究泛在異構資源訪問控制方法，通過資源命名、訪問控制操作的定義，來支持跨設備、跨場景的細粒度異構資源訪問控制，保證資源的正確訪問，支持資源所在各級網絡環境拓撲的表征命名，實現對各級別資源的細粒度訪問權限控制，支持資源間的權限隔離.

4.4 端到端的設備認證接入挑戰

當前廣泛運用的設備接入認證主要基于非對稱加密的認證方案，典型的如基于PKI(public key infrastructure)和基于IBC(identity-based crypto-graphy)的設備認證接入方法.但是現有認證方案需要可信第三方，在泛在計算環境下，由于智能設備端相較于云端的存算能力差異大，安全致信能力低，因此，設備的局域網、互聯網接入，設備端到端的交互等操作時的設備認證，都需要通過云端進行，甚至通過云云互聯進行認證，帶來大量的通信和計算開銷，增加了認證響應時延.對于局域網環境下，如智慧家庭、工業互聯網等典型場景，任務跨設備調度，多設備協同帶來了不必要的時間開銷，降低了用戶體驗和生產制造效率.此外，中心化認證模式下，一旦認證中心宕機，將造成既有功能可用性破壞.因此，迫切需要研究去中心化的、端到端的直接認證方式，避免第三方介入帶來的安全認證時效性問題.

4.5 安全隔離挑戰

現有操作系統的安全隔離通常由進程間隔離、虛擬機隔離、容器隔離，甚至物理隔離來實現.部分研究者通過系統內核分區的方式進行軟件應用隔離，避免不可信用戶和應用對其他用戶的安全影響.然而，在泛在計算環境下，現有的安全隔離方法已不能滿足所有計算場景的安全需要.因此，如何構建新型安全隔離方法，具有重要的研究意義和實現價值.

4.6 開放環境下的信任問題

在泛在計算環境下，通用的開放標準協議將面臨新的挑戰.目前并沒有完全能夠適用于泛在計算環境的通信協議，現行的MQTT，CoAP等通信協議只能應對單一計算場景，而面對更多復雜的應用場景時，通用協議難以保證數據的安全性，并且基于場景進行的通用協議定制，往往帶來了更多的安全風險.因此需要研究如何使通信協議能夠在泛在計算環境下安全使用，并將其應用于更多的場景，同時實現對通信協議安全性的自動化檢測分析.

4.7 工業邊緣節點的性能與安全

工業互聯網中的傳感器節點的資源和能力有限，無法部署比較復雜的算法，因此，安全性較差，難以保證數據的質量，尤其對邊緣節點來說更容易受到惡意攻擊而損壞，邊緣計算的引入可以大大提高工業互聯網體系的處理效率，然而傳統的數據安全防護方法通常無法在邊緣節點中應用.因此，邊緣節點的數據泄露風險更高，數據在傳輸過程中也更易被劫持，亟須為工業互聯網部署分布式的輕量級安全方案.區塊鏈技術也逐漸應用于工業互聯網，其去中心化的系統改善了集中式管理系統的可擴展性和安全性不足的問題，但區塊鏈固有的可伸縮性也限制了其在工業互聯網中的應用.如何結合區塊鏈技術保證分布式、性能與安全性之間的平衡成為新的挑戰.

4.8 車聯網絡實現穩定連接的挑戰

由于車輛具有高速移動性和分布不均勻的特征，車載網絡的拓撲會時刻發生改變，這使得網絡連接欠缺穩定性.目前主要的路由技術多是利用地理位置信息，比如通過GPS獲得車輛的地理位置，車與車、車與設備之間的相對距離，結合數字地圖預測車輛的移動方向.通過傳感器獲得車輛的相對速度，結合歷史數據和道路設施計算路由交叉點，根據信號的強度對車載鏈路的穩定性進行評估等.這種方法的復雜度高，計算負載大，又受制于GPS定位等必要約束，無法滿足穩定性需求.因此，如何構建一個安全可靠的車聯網絡成為一個備受關注的研究方向.

5 未來研究方向

本節針對第4節介紹的八大泛在計算安全技術挑戰，結合泛在計算安全現狀，指出未來泛在計算發展過程中的八大安全研究方向：

1) 泛在計算供應鏈安全評估

為避免因開源軟硬件漏洞造成的系統整體威脅，如何通過知識圖譜或其他人工智能方法，對開放環境進行安全評估，判斷其硬件設備、軟件配置是否存在安全威脅，值得進一步深入研究.此外，針對泛在計算環境下軟硬件供應鏈中核心軟硬件的開源協議進行安全評估，標識出開源可控、自主可控、“卡脖子”的軟件棧和硬件設備，從而根據不同可控等級，為各應用場景建立動態預警機制，有望為泛在計算開源生態的演進提供安全支持，避免因為供應鏈破壞造成的損失，具有重要的經濟價值和社會價值.

2) 全場景的自動化攻擊監測方法

基于軟硬件漏洞的安全攻擊利用了泛在計算環境下已知的軟硬件漏洞，例如緩存和能耗側通道漏洞、亂序執行漏洞和預測執行漏洞等，具有隱蔽性強、攻擊效果好、防御難度大的特點.為了實現泛在計算環境下全場景的自動化攻擊監測，研究者需要利用模式匹配等方法，抽象各類軟硬件攻擊造成的軟硬件狀態變化模式，在系統運行過程中動態監測軟硬件的運行狀態并利用機器學習技術進行模式匹配，以實現對基于軟硬件漏洞攻擊的實時監測.同時安全研究者需要研究如何細粒度實時感知硬件設備上的軟硬件運行狀態，通過構建集中式、云端或邊端的狀態采集框架，進行實時運行狀態采集，對能力受限的硬件設備進行統一感知、監測和預警，從而保證泛在計算從智能物聯網、工業互聯網、自動駕駛車輛到云計算等不同場景下的各類軟硬件設備的安全性.

3) 可擴展資源命名和訪問控制方法

為了實現泛在操作系統跨設備、跨場景、跨網絡的異構資源正確訪問，并對資源進行正確、安全的訪問控制，研究者需要研究可擴展的資源命名方法，并通過資源命名，表征不同設備資源類型、資源所在網絡層級，并提供不依賴集中注冊和分配的唯一通用標識，從而保證泛在操作系統資源訪問的正確性.同時，研究者需要明確定義每一級別命名與網絡拓撲的對應關系，定義不同用戶對不同命名層級資源的讀、寫、控制權限，從而避免信息泄露和錯誤讀寫造成的安全性問題.此外，研究者需要研究安全無狀態的資源訪問機制，從而保證泛在操作系統每次讀、寫、控制等操作與異構設備資源狀態無關，避免傳輸過程中的信息泄漏問題.

4) 去中心化的端到端設備認證方法

為了實現泛在計算環境下，快速的端到端設備認證通信、應用跨設備協同，需要研究更加快速輕量的設備認證介入方法.如何利用如區塊鏈技術構建分布式共享的認證權限記錄，從而彌補現有方案中存在的密鑰泄露、時效性差、認證中心依賴的問題；如何構建環境自適應的密鑰和認證管理機制，將云端集中式認證服務，根據任務場景需要，自適應遷移適配到設備子集群，甚至是終端設備上，從而保證在不同場景下，“離線”的、端到端的直接認證交互，避免第三方介入帶來的安全性、穩定性和實效性問題.

5) 系統安全分區方法

由于泛在計算環境下軟硬件交互頻繁，不同用戶、不同任務往往需要在相同資源設備上運行.如何保證核心系統、任務、硬件的安全性，從時間和空間2個基本屬性進行安全管理.構建時空分區，在應用之間、資源設備之間分離執行關鍵點，包括安全性、隱私、性能等，以隔離故障并減少安全干擾.通過分區控制，系統將執行實體托管到各個分區上，確保相互不干擾，具備抵御惡意攻擊的彈性.同時，仍需保證不同分區間的數據安全傳輸.此外，研究如何進行環境自適應的安全分區構造方法，為應用提供定制的安全分區策略，從而保證泛在操作系統對統一部署的大規模智能設備上任務的安全保護和管理.

6) 自動化檢測分析方法

需要開發自動化檢測分析框架，能夠高效檢測出現有通信協議中的安全漏洞.而在某個協議中發現的問題，往往也會存在于其他的一些通信協議中，因此也需要對其他有類似問題的協議進行具體分析，將提出的修復方案推廣到更多的通信協議中.還需對方案的多場景應用進行研究，泛在計算的應用場景繁多且復雜，現有的通用協議很難實現對所有應用場景隱私安全的全覆蓋，需要對通信協議進行持續的探索優化，并將其放到真實的場景中進行測試，實現能夠在復雜環境下的廣泛應用.

7) 構建融合區塊鏈和邊緣計算的基礎設施框架

區塊鏈和邊緣計算技術為工業互聯網的安全性帶來了新的解決方案，區塊鏈可以改善邊緣節點安全性薄弱的問題，保護邊緣節點的數據隱私，而邊緣計算可以為區塊鏈體系提供更強的計算能力.因此，構建全新的工業互聯網框架，將區塊鏈和邊緣計算2種新興技術融合在一起，實現工業互聯網的安全性和可擴展性.該架構由物聯網設備層、邊緣計算層、云計算層和區塊鏈層組成，邊緣計算層為本地設施提供計算和存儲能力，區塊鏈層保證了其他3層的安全性和可擴展性.未來還需在此框架的基礎上繼續對區塊鏈和邊緣計算在工業互聯網中的應用進行研究測試，使2種技術與工業互聯網系統融合，實現計算效率的最大化.

8) 提高車聯網絡穩定性方法

一個解決車聯網絡穩定性的方向是，預計車輛節點的行動軌跡并選取穩定的路由來改善全局性能.這需要充分考慮路由穩定性要素，提高網絡可靠性，進而延長鏈接的生命周期.通過已有的研究結果，可以獲得鏈路中節點分支度的變化速度、鏈路周期和反映網絡穩定性的矩陣；通過節點間的距離和相對速度使用模糊邏輯預估鏈路的生存周期.同時結合看門狗技術優化設施知識圖譜，從節點收發報文入手，實時分析惡意節點，最終獲得一個穩定的網絡策略.

6 結 語

關于泛在計算領域的安全研究雖然逐年增多，但因其涉及的典型場景多，設備種類各異，應用環境差別大，且新型軟硬件不斷演進落地，其整體還處于起步階段.泛在計算在系統軟件、硬件設備、網絡、生態等各個方面仍缺少代表性的安全研究成果.本文在調研大量典型泛在計算場景相關安全論文后，首先介紹了泛在計算和泛在操作系統架構.然后從系統軟件、智能設備、通信協議3個維度出發，闡述了泛在計算的安全研究現狀，并總結了智慧家庭、智能云計算、工業互聯網、自動駕駛等典型泛在計算場景的相關安全研究工作.通過深入分析泛在計算安全研究問題以及現有工作的不足，總結了泛在計算面臨的八大安全技術挑戰和機遇.最后對泛在計算安全研究進行了展望，指出了泛在計算供應鏈安全評估、全場景自動化攻擊監測方法、可擴展資源命名及訪問控制方法、去中心化的端到端設備認證方法、系統安全分區方法、自動化檢測分析方法、融合區塊鏈和邊緣計算的基礎設施框架、車聯網絡穩定性方法等未來安全研究熱點方向.

作者貢獻聲明：李印負責調研分析、論文起草和最終版本修訂；陳勇負責調研分析和數據統計；趙景欣負責調研分析和修訂；岳星輝負責調研分析；鄭晨提出研究思路，設計研究方案；武延軍負責審核；伍高飛負責校對.