本发明涉及一种基于分类分级的工业终端边缘动态受信网关及实现方法,属于工业云平台边缘安全。
背景技术:
1、工业云平台边缘安全技术是工业互联网领域的关键技术之一,旨在保障工业云平台免受未经授权的边缘设备访问和潜在的安全威胁。随着工业设备的数字化转型和工业云平台的普及,边缘计算和边缘安全成为亟需解决的问题。
2、传统的工业互联网安全技术主要依赖于静态的授权机制,即一旦设备获得授权,其权限就保持不变。然而,随着工业互联网的快速发展,这种静态授权方式已经不能满足复杂多变的安全需求。静态授权存在以下问题:
3、1.静态授权无法适应工业设备状态的动态变化。工业设备在运行过程中会受到各种内外部因素的影响,其安全状态会发生变化,而静态授权无法根据这些变化进行动态调整。
4、2.静态授权无法应对新型安全威胁。随着网络攻击手段的不断演变,静态授权机制容易受到恶意攻击者的绕过和攻击。
5、3.静态授权难以实现对边缘设备的细粒度控制。在工业互联网环境中,不同的设备可能需要不同级别的授权,而静态授权无法满足这种细粒度的控制需求。
6、可以看出,在现有技术中,一些研究关注了工业互联网安全的问题,但大多仍停留在静态授权的范畴,缺乏对设备动态状态的实时评估和授权调整。例如,smith等人在《industrial iot security:challenges,solutions,and opportunities》中讨论了工业物联网安全的挑战和解决方案,但未深入探讨动态授权技术。另外,jones等人在《edgecomputing security:state of the art and challenges》中详细介绍了边缘计算的安全挑战,但对于动态授权方面的技术解决方案尚未有深入探讨。
技术实现思路
1、本发明的目的在于解决工业云平台面临的安全挑战,针对传统静态授权方式无法满足工业互联网快速发展的需求的问题,提出了一种基于分类分级的工业终端边缘动态受信网关及实现方法,通过整合静态身份因素和动态信息指标,实现对工业边缘设备的灵活动态授信。
2、本发明的技术方案如下:
3、一种基于分类分级的工业终端边缘动态受信网关,其特征在于包括设备信息采集模块、本地缓存模块、身份联动模块、多点部署联动模块、安全日志联动模块、授信结果接收模块以及安全策略执行模块;
4、设备信息采集模块:用于负责与工业终端设备建立连接,主动采集多维度的设备信息,包括物联状态、操作系统版本、应用软件版本、软件授权使用期限、硬件构成信息、网络地址、通信协议;并将采集的信息传输至本地缓存模块以及授信结果接收模块;
5、安全事件日志联动模块:与工控安全设备、工业物联网安全设备的安全事件日志进行联动,通过与这些安全设备进行信息交换和事件共享,并将数据传输至授信结果接收模块,边缘动态授信网关能够获取到更全面的安全事件信息和设备状态数据,从而更准确地评估设备的信任度和安全性;
6、身份联动模块:边缘动态授信网关通过与云端控制中心进行紧密联动,获取工业终端设备的分类分级信息,并将其同步更新至边缘动态授信网关的授信结果接收模块;
7、多点部署支持模块:与云端控制中心进行紧密联动,边缘动态授信网关支持多点部署情况下的联动和信息同步,在多个边缘动态授信网关同时部署的情况下,能够协同工作,共同维护设备信息和安全策略,以确保整个系统的一致性和安全性;
8、本地缓存模块:边缘动态授信网关具有本地缓存功能,用于接收设备信息采集模块的信息,存储预定义的设备分类分级信息,包括设备的安全级别、授权访问范围、信任分数;
9、授信结果接收模块:边缘动态授信网关向云端控制中心上报设备的综合信任分数,云端控制中心根据这些信息判断设备的实时信任分数是否在安全范围内,并及时更新授信凭证和访问控制级别,更新后的动态授信结果将下发至边缘动态授信网关,实现对设备的动态授权管理;
10、安全策略执行模块:边缘动态授信网关负责执行安全策略,包括对设备的访问控制、流量监测、安全事件响应,在获取到最新的设备信息和授权策略后,边缘动态授信网关会根据这些信息对设备进行授权访问,监测设备的行为和流量情况,并对安全事件做出及时响应。
11、一种基于分类分级的工业终端边缘动态受信网关实现方法,利用上述的边缘动态授信网关,包括如下步骤:
12、步骤1、通过预设的分类分级模板对工业终端进行分类分级并储存至本地缓存模块,所述分类分级模板包括按静态身份因素进行分类和根据安全级别进行分级;
13、步骤2、使用设备信息采集模块通过主动方式与工业终端建立连接并采集终端设备信息;
14、步骤3、通过身份联动模块从云端控制中心获取的工业终端设备身份分类分级信息,并获取对工业云平台应用资源的授信访问,对设备进行同步接入授信,与工业云平台或工业云平台安全代理建立通信连接;
15、步骤4、通过设备信息采集模块实时获取和监测工业终端的动态信息,通过对各工业终端设备的动态信息进行综合赋值得到初始综合信任分数,并由授信结果接收模块结合初始综合信任分数、工控安全设备、工业物联网安全设备的安全事件日志得到最终的综合信任分数,并由身份联动模块上传至云端控制中心;
16、步骤5、云端控制中心根据身份联动模块上报的各工业终端设备的综合信任分数,结合对各类型各级别工业终端设备可信任分数范围的设置,判断各终端设备的实时信任分数是否在安全范围内,并及时更新授信凭证和访问控制级别,将动态授信结果下发至身份联动模块,并传输至安全策略执行模块,实现边缘动态授信控制。
17、优选地,上述工业终端包括工业控制系统、生产设备、工业物联传感、工业访问终端。
18、优选地,上述步骤1中,静态身份因素包括工业终端设备的特性和功能,结合访问工业云平台的云化应用类型、访问方式以及交互数据流类型;所述安全级别分为五个级别,分别为:未授权访问、认证访问、有限访问、控制访问和管理访问。
19、优选地,上述步骤2中,终端设备信息包括物联状态、嵌入式操作系统版本、应用软件版本、软件授权使用期限、硬件构成信息、硬件版本信息、网络地址信息、网络端口信息、通信协议及版本信息。
20、优选地,上述步骤4中,动态信息包括网络连接质量、工业终端设备会话状态、流量类型和大小、云端应用访问类型及接口调用频次、发布和订阅消息队列状态、数据访问类型及读写频次。
21、优选地,上述步骤4中,综合信任分数的获取方法为:
22、首先,对于每个动态指标信息,通过考虑其特征fi、历史行为hi和影响范围ri的具体特性来确定其对设备信任度的重要程度;这一步骤通过以下公式来表达:
23、ii=f(fi,hi,ri)
24、其次,为每个动态指标信息分配相应的权重wi,如果有n个动态指标信息,对于第i个指标,其权重表示为wi;
25、然后,根据预设的分类分级模板中的信息指标信任分数pi以及确定的重要程度ii和权重wi,对每个动态指标信息进行评分si;评分的计算方法为:
26、si=pi×ii×wi
27、最后,将所有动态指标信息的评分进行加权求和,得出第一工业终端设备的初始综合信任分数t:
28、本发明的有益效果是:
29、本技术的边缘动态授信技术和网关实现具有多项优点和积极效果,对工业云平台的安全和稳定运行具有重要意义。首先,该技术能够实现对工业边缘设备的灵活动态授信。通过整合静态身份因素和动态信息指标,系统能够根据设备实时状态进行动态授权管理,使得工业云平台能够更好地适应复杂多变的工业互联网环境。这种灵活性和智能性有助于提高工业云平台对边缘设备的安全管控能力。其次,边缘动态授信技术和网关实现能够有效应对新型安全威胁。传统的静态授权方式容易受到恶意攻击者的绕过和攻击,而本技术通过实时评估设备信任分数,能够更及时地发现和应对安全威胁,从而提高了工业互联网系统的整体安全性。此外,该技术实现了对边缘设备的细粒度控制。不同的设备可能需要不同级别的授权,而边缘动态授信技术能够根据设备状态动态调整授权级别,实现了对设备的精细化管理,有助于提高整个系统的安全性和灵活性。最重要的是,该技术为工业云平台提供了全方位的安全管理解决方案。通过边缘动态授信技术和网关实现,工业云平台能够实现对边缘设备的智能动态授权管理,从而提高了整个系统的安全性和稳定性,为工业互联网的发展和安全运行提供了重要支持。
30、综上,边缘动态授信技术和网关实现为工业云平台边缘安全领域带来了新的技术突破和解决方案,具有重要的应用前景和社会效益。该技术的推广应用有望为工业互联网系统的安全性和稳定性带来显著的提升,为工业互联网的可持续发展和安全运行做出积极贡献。
1.一种基于分类分级的工业终端边缘动态受信网关,其特征在于包括设备信息采集模块、本地缓存模块、身份联动模块、多点部署联动模块、安全日志联动模块、授信结果接收模块以及安全策略执行模块;
2.一种基于分类分级的工业终端边缘动态受信网关实现方法,其特征在于利用权利要求1所述的边缘动态授信网关,包括如下步骤:
3.根据权利要求2所述的一种用于工业终端的边缘动态授信网关实现方法,其特征在于所述工业终端包括工业控制系统、生产设备、工业物联传感、工业访问终端。
4.根据权利要求2所述的一种用于工业终端的边缘动态授信网关实现方法,其特征在于所述步骤1中,静态身份因素包括工业终端设备的特性和功能,结合访问工业云平台的云化应用类型、访问方式以及交互数据流类型;所述安全级别分为五个级别,分别为:未授权访问、认证访问、有限访问、控制访问和管理访问。
5.根据权利要求2所述的基于分类分级的工业终端边缘动态受信网关实现方法,其特征在于所述步骤2中,终端设备信息包括物联状态、嵌入式操作系统版本、应用软件版本、软件授权使用期限、硬件构成信息、硬件版本信息、网络地址信息、网络端口信息、通信协议及版本信息。
6.根据权利要求2所述的基于分类分级的工业终端边缘动态受信网关实现方法,其特征在于所述步骤4中,动态信息包括网络连接质量、工业终端设备会话状态、流量类型和大小、云端应用访问类型及接口调用频次、发布和订阅消息队列状态、数据访问类型及读写频次。
7.根据权利要求2所述的基于分类分级的工业终端边缘动态受信网关实现方法,其特征在于所述步骤4中,综合信任分数的获取方法为:
