一种云边协同的边缘设备安全度量方法技术

本发明专利技术提供的一种云边协同的边缘设备安全度量方法包括：设计软件探针，探测状态数据；设计安全控制机构，开展初步分析；设计云边协同交互通道，传递状态数据给云端；设计安全度量及证明机构，对状态数据进行度量，并给出远程证明；传递证明数据给云边协同交互通道，进行云边数据传输；传递证明数据给安全控制机构，进行安全控制。结合了云端和边缘端各自的优势，通过双方的协同，既能够通过探针等方式获取边缘设备上的数据，同时能够在云端进行完整性、合规性的度量，并以远程证明的方式，反馈给边缘终端，使边缘终端能够处理异常事件。使边缘终端能够处理异常事件。使边缘终端能够处理异常事件。

【技术实现步骤摘要】
一种云边协同的边缘设备安全度量方法


[0001]本专利技术涉及云边协同领域，尤其涉及一种云边协同的边缘设备安全度量方法。

技术介绍

[0002]随着物联网、工业互联网的发展，边缘设备开始逐渐发展成智能边缘设备。工业控制系统包括工程师站、操作员站等，为了实现远程管理，已经从传统的服务器扩展到成服务器集群和云服务。但是，由于控制网络和办公网络进行了互联，导致典型安全事件的发生，包括病毒在内外的传播、数据锁定，亟需对边缘设备进行监测和安全度量。
[0003]边缘设备，特别是工业控制器等，要求实时执行、过程连续操作，给网络安全防护增加了难度。另外，在边缘设备上运行的软件不能中断，也为工业控制器的安全监测带来难度。其中，典型的是对边缘设备的监测数据的获取，不能采用侵入方式，强行读取和扫描边缘设备的数据。边缘设备可能缺少人工智能、算法库、知识库等，需要云端支持。
[0004]国际上，随着“数字孪生、可信计算、网络安全监测”等技术的发展，对边缘设备行为监测提供了理论和技术支撑，包括人工智能、机器学习等算法，以及用户异常行为识别、设备指纹识别、白协议识别、数据完整性检测、威胁识别等技术。目前，边缘设备获取数据常采用扫描和直接获取的等方式，使边缘设备处于被动地位，在一定程度上，侵入了边缘设备，可能导致边缘设备产生不可估量的后果。另外，云端服务提供了人工智能服务，以及用于匹配的知识库、规则库等，都为边缘设备的行为规范和合规性、数据完整性的度量提供的基础性的保障。在安全性度量方面，目前主要有二种方法：实时性度量和非实时性度量。实时性度量要求边缘设备终止执行，并开始度量，度量结果出来后再执行，在云边协同的环境中，将带来极大的延时。非实时性度量要求边缘设备边执行边度量，当度量结果出来后，再延后处置，不影响边缘设备的正常执行。

技术实现思路

[0005]鉴于上述问题，提出了本专利技术以便提供克服上述问题或者至少部分地解决上述问题的一种云边协同的边缘设备安全度量方法。
[0006]根据本专利技术的一个方面，提供了一种云边协同的边缘设备安全度量方法包括：
[0007]设计软件探针，探测状态数据；
[0008]设计安全控制机构，开展初步分析；
[0009]设计云边协同交互通道，传递状态数据给云端；
[0010]设计安全度量及证明机构，对状态数据进行度量，并给出远程证明；
[0011]传递证明数据给云边协同交互通道，进行云边数据传输；
[0012]传递证明数据给安全控制机构，进行安全控制。
[0013]可选的，所述设计软件探针，探测状态数据具体包括：
[0014]假设边缘终端T的软件系统A，在T时刻，其状态数据AS＝{as1,as2,
…
,as
n
}，n∈N，则AS称为软件系统A的一个快像；
[0015]设计一个软件探针B，并嵌入软件探针于软件系统A，能够在T时刻获得AS。
[0016]可选的，所述设计安全控制机构，开展初步分析具体包括：
[0017]软件探针B获得状态数据AS后，传递AS给安全控制机构C；
[0018]安全控制机构C是边缘终端中的一个软件模块，与软件系统A并行执行，互相不牵制；
[0019]在接到状态数据AS后，开始分析，并决定传递给云端作安全性度量和证明。
[0020]可选的，所述设计云边协同交互通道，传递状态数据给云端具体包括：
[0021]安全控制机构C分析后，转交状态数据AS给云边协同交互通道D；
[0022]云边协同交互通道D是由边缘终端T
‑
云服务端E两边的软件组成，主要负责数据的安全传递；
[0023]接到状态数据AS后，边缘端交互通道D采用协议对AS封装，Ecode(AS,sig(AS))，并传递给云端交互通道D；
[0024]云端交互通道D，通过Decode(Ecode(AS,sig(AS)))获得AS。
[0025]可选的，所述设计安全度量及证明机构，对状态数据进行度量，并给出远程证明具体包括：
[0026]云端交互通道D获得AS后，转交AS给安全度量及证明机构F；
[0027]安全度量及证明机构F是云服务端E的一个软件模块和服务，负责对状态数据进行细致分析，依据知识库进行推理，通过算法对数据和行为合规性、完整性进行度量；
[0028]安全度量及证明机构F在收到AS后，进行安全度量AV＝ev(AS),其中AV＝{av1,av2,
…
,av
m
},m∈N,是获得的证明数据；
[0029]包含了{“正常”、“异常”、“合规”、“反馈数据”}等值。
[0030]可选的，所述传递证明数据给云边协同交互通道，进行云边数据传输具体包括：
[0031]安全度量及证明机构F得到AS的证明数据AV后，云端交互通道D采用协议对AV封装，Ecode(AV,sig(AV))，并传递给边端交互通道D；
[0032]边端交互通道D，通过Decode(Ecode(AV,sig(AV)))获得AV。
[0033]可选的，所述传递证明数据给安全控制机构，进行安全控制具体包括：
[0034]云边协同交互通道D获得证明数据AV后，传递给安全控制机构C；
[0035]安全控制机构C获得云端的证明数据AV，并对其中的数据分析，形成动作。
[0036]本专利技术提供的一种云边协同的边缘设备安全度量方法包括：设计软件探针，探测状态数据；设计安全控制机构，开展初步分析；设计云边协同交互通道，传递状态数据给云端；设计安全度量及证明机构，对状态数据进行度量，并给出远程证明；传递证明数据给云边协同交互通道，进行云边数据传输；传递证明数据给安全控制机构，进行安全控制。结合了云端和边缘端各自的优势，通过双方的协同，既能够通过探针等方式获取边缘设备上的数据，同时能够在云端进行完整性、合规性的度量，并以远程证明的方式，反馈给边缘终端，使边缘终端能够处理异常事件。
[0037]上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。
附图说明
[0038]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
[0039]图1一种云边协同的边缘设备安全度量方法结构图；
[0040]图2一种云边协同的边缘设备安全度量方法流程图。
具体实施方式
[0041]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种云边协同的边缘设备安全度量方法，其特征在于，所述度量方法包括：设计软件探针，探测状态数据；设计安全控制机构，开展初步分析；设计云边协同交互通道，传递状态数据给云端；设计安全度量及证明机构，对状态数据进行度量，并给出远程证明；传递证明数据给云边协同交互通道，进行云边数据传输；传递证明数据给安全控制机构，进行安全控制。2.根据权利要求1所述的一种云边协同的边缘设备安全度量方法，其特征在于，所述设计软件探针，探测状态数据具体包括：假设边缘终端T的软件系统A，在T时刻，其状态数据AS＝{as1,as2,
…
,as
n
}，n∈N，则AS称为软件系统A的一个快像；设计一个软件探针B，并嵌入软件探针于软件系统A，能够在T时刻获得AS。3.根据权利要求1所述的一种云边协同的边缘设备安全度量方法，其特征在于，所述设计安全控制机构，开展初步分析具体包括：软件探针B获得状态数据AS后，传递AS给安全控制机构C；安全控制机构C是边缘终端中的一个软件模块，与软件系统A并行执行，互相不牵制；在接到状态数据AS后，开始分析，并决定传递给云端作安全性度量和证明。4.根据权利要求1所述的一种云边协同的边缘设备安全度量方法，其特征在于，所述设计云边协同交互通道，传递状态数据给云端具体包括：安全控制机构C分析后，转交状态数据AS给云边协同交互通道D；云边协同交互通道D是由边缘终端T
‑
云服务端E两边的软件组成，主要负责数据的安全传递；接到状态数据AS后，边缘端交互通道D采用协议对AS封装，Eco...

【专利技术属性】
技术研发人员：秦峰，陈玉强，吴昊，王秦君，王大明，徐文杰，陆文强，王占峰，
申请(专利权)人：北京国信蓝盾科技有限公司，
类型：发明
国别省市：