基于霧計算基礎設施架構中的安全層包括哪些方面

基于霧計算基礎設施架構中的安全層包括以下方面：

• 可信度：可信的霧計算系統依賴于可信單元，這些可信單元在給出的設備上持續執行安全策略。如果一個或多個可信元件（硬件、固件、軟件）被盜用，那么這個節點甚至擴展到整個系統就不再是可信的。如果系統及其組件以可信的方式運行，霧計算參考架構也要進行可信屬性檢查，包括層次結構各個層級的歷史行為的可信度檢測，安全策略規定了在什么情形下訪問這個資源并用可信機制實現了這個安全策略。一些安全策略嵌入在霧節點的硬件和軟件中。其他的安全策略也可能從霧計算管理系統推送到霧節點。

• 基于網絡威脅挑戰的霧計算參考架構安全設計：霧計算部署要求安全保護機制的設計要依賴于威脅模式和在該霧節點受保護資產的價值。在該體系結構中，我們假設攻擊者正在積極地尋求要破壞的資產，尋找最脆弱的入口點。霧計算安全保護機制的目標是為被威脅模塊提供足夠的安全性，并隨著時間的推移根據需要升級安全性。在為霧計算環境中的威脅進行防范設計時，需要了解每種威脅的不同結構，以及正在處理的霧計算部署模型。在許多霧計算部署中，不能在霧計算平臺上企圖超范圍占有資源和添加要求。

• 網絡威脅模型：威脅模型指定系統防御的威脅類型，以及未被考慮到的威脅類型，如表2.1所示。威脅模型應該清楚地指定對系統、用戶和潛在攻擊者所做的假設，不需要描述它的攻擊細節。它應該指定是對現場操作系統策劃的攻擊，還是由內部人員在開發過程中策劃的攻擊。內部攻擊通常更難防范，因為設計人員可以構建一個后門，稍后系統運行的過程中可以利用它（后門）進行攻擊。

• 霧計算網絡系統的訪問控制：對資源的訪問限制及允許訪問該信息人的范圍限制，是構建安全系統的關鍵。訪問控制包括身份驗證（Authentication）、授權（Authorization）和記賬（Accounting）。身份驗證回答問題“你是誰？”，用于人和機器、機器和機器之間的身份驗證。授權是指系統中實現的記錄保存和跟蹤機制，包括跟蹤和記錄對系統資源的訪問。物理訪問安全確保只有授權人才被允許接觸霧計算硬件。

• 隱私：隱私權是決定如何使用個人信息的權利（機密性是保護機密或敏感信息的義務）。機密是數據的性質之一。霧計算必須允許用戶指定系統中數據的隱私屬性。在多租戶系統中，涉及租戶之間數據的隱私和共享問題。如果霧計算系統在邊緣端捕獲數據進行分析，那么在網絡邊緣部署霧計算系統時，也必須考慮到數據的私密性。

• 身份和身份保護：公鑰密碼可用于建立長期的網絡身份，用于身份驗證。在公鑰密碼學中，密鑰在每個用戶、實體、計算機或項目中是成對出現的（公鑰和私鑰）。私鑰必須只能被實體訪問，并且代表實體在網絡空間中的數字身份。可以使用Hash來驗證代碼模塊的完整性，方法是獲取已知代碼模塊的Hash值并使用它來標識模塊（如唯一的全局名稱）。被惡意軟件感染的相同代碼模塊將具有不同的標識或Hash值。兩個相同的代碼模塊或數據，文件名不同，具有相同的哈希值，這意味著相同的標識。

回答所涉及的環境：聯想天逸510S、Windows 10。