本发明专利技术公开了一种基于KubeEdge工业边缘设备接入可信度量系统,包括中央云服务器、边缘网关以及边缘侧,所述中央云服务器与边缘网关连接,所述边缘网关与边缘侧连接。本发明专利技术的有益效果是,信任管理模型和可信度量技术可以对终端的行为建模,实时监控终端的行为,防止合法身份的终端做出不合法行为。合法身份的终端做出不合法行为。合法身份的终端做出不合法行为。
【技术实现步骤摘要】
一种基于KubeEdge工业边缘设备接入可信度量系统
[0001]本专利技术涉及领域,特别是一种基于KubeEdge工业边缘设备接入可信度量系统。
技术介绍
[0002]针对工业物联网的威胁。
[0003]物理攻击。
[0004]例如针对交通运输物联网的物理攻击,对交通设备节点本身进行物理上的破坏,如断电、移动节点位置等,造成信息缺失、信息泄露等。
[0005]感知数据破坏。
[0006]非授权地增删、修改或破坏感知数据,例如针对新能源发电厂的电力物联网生产数据篡改。
[0007]控制命令伪造攻击。
[0008]发送伪造的控制命令,从而达到破坏系统或恶意利用系统的目的,例如针对数控机床设备物联网的控制命令伪造这些鉴权方式以身份认证为核心,通过密钥、证书等方式验证终端身份的合法性,从而达到保障合法终端接入的目的。然而工业领域具有特殊性,终端往往在一次按入鉴权后长斯运作。当终端成功接入云平台后,攻击者再入侵合法终端、获得操作权限,并控制终端在系统内进行恶意行为或者窃取生产数据,此时工业互联网云平台的认证签权方式无法保障终端和生产系统的安全。
技术实现思路
[0009]本专利技术的目的是为了解决上述问题,设计了一种基于KubeEdge工业边缘设备接入可信度量系统。
[0010]实现上述目的本专利技术的技术方案为,一种基于KubeEdge工业边缘设备接入可信度量系统,包括中央云服务器、边缘网关以及边缘侧,所述中央云服务器与边缘网关连接,所述边缘网关与边缘侧连接。
[0011]所述中央云服务器由漏洞数据库、设备信息库、漏洞评估模块以及审计数据库组成,所述设备信息库分别与漏洞数据库以及漏洞评估模块连接,所述漏洞数据库以及漏洞评估模块连接。
[0012]所述边缘网关为可信通信代理。
[0013]所述边缘侧为多个终端设备。
[0014]所述可信通信代理由信任数据库、协议转换模块、设备扫描模块以及可信度量模块,所述设备扫描模块与终端设备连接,所述设备扫描模块与协议转换模块连接,所述协议转换模块、设备扫描模块分别与可信度量模块连接,所述可信度量模块连接与信任数据库连接。
[0015]所述可信度量模块连接与审计数据库连接,所述可信通信代理与设备信息库连
接。
[0016]一种基于KubeEdge工业边缘设备接入可信度量方法,包括以下步骤:步骤1设备接入扫描;终端接入网络后,可信通信代理中的设备扫描模块执行终端扫描,扫描结果上传至云端设备信息库,设备信息库中会有设备基础数据,记录该型号设备具有的已知、潜在的安全问题;步骤2评估数据准备;设备信息库根据扫描信息准确识别终端设备,并将漏洞数据库中对应终端的漏洞信息发送至漏洞评估模块。
[0017]步骤3终端风险因子评估;漏洞评估模块通过计算,获得接入设备的终端风险因子,评估信息统一保存到设备信息库,评估结果可追溯审计。
[0018]歩骤4可信度评估;步骤3的结果,下发给可信度量模块。可信度量模块基于终端分类、终端风险因子和安全等级要求,计算终端的初始信任度;步骤5边缘网关预警;扫描和连接设备,当设备经过扫描,发生安全等级降低,发出警报,如果安全等级达到预警值,中央端发出指令,使该设备下线,等待工作人员确认;步骤6设备成功接入;边缘终端通过多种协议成功接入系统,开始工作,保存状态数据,到审计数据库中。
[0019]利用本专利技术的技术方案制作的一种基于KubeEdge工业边缘设备接入可信度量系统,信任管理模型和可信度量技术可以对终端的行为建模,实时监控终端的行为,防止合法身份的终端做出不合法行。
附图说明
[0020]图1是本专利技术所述一种基于KubeEdge工业边缘设备接入可信度量系统的框图。
具体实施方式
[0021]下面结合附图对本专利技术进行具体描述,如图1所示,一种基于KubeEdge工业边缘设备接入可信度量系统,包括中央云服务器、边缘网关以及边缘侧,所述中央云服务器与边缘网关连接,所述边缘网关与边缘侧连接。
[0022]所述中央云服务器由漏洞数据库、设备信息库、漏洞评估模块以及审计数据库组成,所述设备信息库分别与漏洞数据库以及漏洞评估模块连接,所述漏洞数据库以及漏洞评估模块连接。
[0023]所述边缘网关为可信通信代理。
[0024]所述边缘侧为多个终端设备。
[0025]所述可信通信代理由信任数据库、协议转换模块、设备扫描模块以及可信度量模块,所述设备扫描模块与终端设备连接,所述设备扫描模块与协议转换模块连接,所述协议
转换模块、设备扫描模块分别与可信度量模块连接,所述可信度量模块连接与信任数据库连接。
[0026]所述可信度量模块连接与审计数据库连接,所述可信通信代理与设备信息库连接。
[0027]一种基于KubeEdge工业边缘设备接入可信度量方法,包括以下步骤:步骤1设备接入扫描;终端(工业控制、物联网智能终端设备,例如:机器手臂,传感器,摄像头)接入网络后,可信通信代理中的设备扫描模块执行终端扫描,扫描结果上传至云端设备信息库。设备信息库中会有设备基础数据,记录该型号设备具有的已知、潜在的安全问题;步骤2评估数据准备;设备信息库根据扫描信息准确识别终端设备,并将漏洞数据库中对应终端的漏洞信息发送至漏洞评估模块。漏洞数据库的数据不仅有自定义的安全信息,还会定时和国内外安全数据的厂商同步数据。
[0028]步骤3终端风险因子评估;漏洞评估模块通过计算,获得接入设备的终端风险因子,评估信息统一保存到设备信息库,评估结果可追溯审计。终端风险因子的计算服从以下规则:漏洞等级越高,风险因子越高;漏洞公开时间越短,风险因子越高;补丁信息越少,风险因子越高;漏洞分数越高,风险因子越高;攻击途径越简单,风险因子越高;攻击复杂性越低,风险因子越高;攻击时所需认证越少,风险因子越高;对机密性(完整性、可用性)的影响越大,风险因子越高;歩骤4可信度评估;步骤3的结果,下发给可信度量模块。可信度量模块基于终端分类、终端风险因子和安全等级要求,计算终端的初始信任度。初始信任度的计算服从以下规则:终端风险因子越低,初始信任度越高;终端功能单一,使用场景受限,初始信任度越高;网络安全等级要求越高,隔离管控措施多,初始信任度越高;步骤5边缘网关预警;扫描和连接设备,当设备经过扫描,发生安全等级降低,发出警报,如果安全等级达到预警值,中央端发出指令,使该设备下线,等待工作人员确认;广播设备真实状态的设备孪生属性;将期望的设备状态映射到设备的真实状态;收集设备的遥测数据;将从设备读取的信息转换为kubeedge可以接受的格式;设备的调度;检查设备的健康状况;
步骤6 设备成功接入;边缘终端通过多种协议(MQTT、BlueTooth、OPC UA、Modbus)成功接入系统,开始工作,保存状态数据,到审计数据库中。
[0029]需要说明的是:漏洞评估模块:基于漏洞信息集合计算边缘终端的终端风险因子可信度量模块本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于KubeEdge工业边缘设备接入可信度量系统,包括中央云服务器、边缘网关以及边缘侧,所述中央云服务器与边缘网关连接,所述边缘网关与边缘侧连接。2.根据权利要求1所述的一种基于KubeEdge工业边缘设备接入可信度量系统,其特征在于,所述中央云服务器由漏洞数据库、设备信息库、漏洞评估模块以及审计数据库组成,所述设备信息库分别与漏洞数据库以及漏洞评估模块连接,所述漏洞数据库以及漏洞评估模块连接。3.根据权利要求1所述的一种基于KubeEdge工业边缘设备接入可信度量系统,其特征在于,所述边缘网关为可信通信代理。4.根据权利要求1所述的一种基于KubeEdge工业边缘设备接入可信度量系统,其特征在于,所述边缘侧为多个终端设备。5.根据权利要求3所述的一种基于KubeEdge工业边缘设备接入可信度量系统,其特征在于,所述可信通信代理由信任数据库、协议转换模块、设备扫描模块以及可信度量模块,所述设备扫描模块与终端设备连接,所述设备扫描模块与协议转换模块连接,所述协议转换模块、设备扫描模块分别与可信度量模块连接,所述可信度量模块连接与信任数据库连接。6.根据权利要求5所述的一种基于KubeEd...
【专利技术属性】
技术研发人员:兰勇,于冰飞,高强,韩小楼,
申请(专利权)人:信华信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。