基于容器的工业云平台边缘计算安全防护系统及方法

1.本发明涉及到工业领域与信息技术领域，更具体地说是一种基于容器的工业云平台边缘计算安全防护系统及方法。


背景技术：

2.工业场景中集中式的云计算走向更加分布式的边缘计算，为传统的网络架构带来了极大的改变。以工业场景为例，根据《中国工业互联网安全态势报告》，截至2018年11月，全球范围内暴露在互联网上的工控系统及设备数量已超10 万台。
3.从长远来看，实施制造业边缘安全系统是边缘计算的重要保障。边缘安全涉及跨越云计算和边缘计算纵深的安全防护体系，通过增强边缘基础平台、网络、数据、应用和抵抗各种安全威胁的能力，能够为边缘计算的发展构建安全可信环境，加速并保障边缘计算产业发展。但由于目前公有云服务运行在广域网环境，与工业现场中使用的工业互联网之间存在设计上的差异，广域网存在网络带宽不稳定的情况，导致公有云安全服务无法满足边缘计算安全服务的实时性要求。而由于边缘安全服务的系统性与复杂性，将边缘安全服务部署到每个边缘应用网关中，无疑会加大边缘应用网关的运行成本，降低安全服务部署的可行性。


技术实现要素：

4.针对上述技术不足，本发明提供基于容器的工业云平台边缘计算安全防护系统及方法，基于容器架构，计算、存储、网络等基础资源均实现容器化，安全功能模块部署在工业云平台工厂侧的边缘安全服务网关中，应用模块部署在边缘计算网关中，能够根据不同安全功能需求进行调整。同时通过配置安全资源防护策略，进行不同安全功能组件之间的联动，快速构建工业云平台边缘侧多维立体的安全防护体系，实现对云平台边缘侧防攻击、防篡改、防数据丢失泄露的安全防护，为工业云平台边缘侧不同安全需求的应用服务制定不同安全的防御方案，实现动态、可配置的边缘计算安全防护。
5.本发明解决其技术问题所采用的技术方案是：
6.基于容器的工业云平台边缘计算安全防护方法，在工业云平台应用场景下，针对广域网与工业网络之间的带宽差异，在工业现场侧将功能模块以容器方式部署在边缘应用网关和边缘安全服务网关两类设备中，边缘应用网关实现边缘侧与公有云服务之间业务指令数据传输，安全服务网关通过广域网定期同步公有云中的云端安全资源，并通过工业网络实现工业现场侧安全服务的快速调用。
7.所述该方法包括以下步骤：
8.步骤1、在边缘安全服务网关部署安全服务组件与统一安全服务门户；
9.步骤2、通过安全服务管理组件部署安全服务，并将安全服务注册到安全服务编排组件中，通过安全服务编排组件对安全服务组件进行功能编排，实现动态可配置的边缘计算安全服务组合；
10.步骤3、安全服务管理组件通过广域网与公有云服务连接，将安全服务容器镜像同步到边缘安全服务网关中，实现安全功能更新，判断安全服务组件是否就绪，若是则通过工业网对工业现场内部的边缘应用网关提供服务，否则返回步骤1；
11.步骤4、在边缘应用网关中部署安全服务调度组件，在边缘安全服务网关就绪后，访问统一安全服务门户获取边缘计算安全服务组合列表；
12.步骤5、根据边缘应用需求选择边缘计算安全服务组合，在边缘应用的执行过程中，通过工业网访问统一安全服务门户，由边缘安全服务网关提供边缘安全服务。
13.针对每个边缘应用网关调用的边缘安全服务，边缘安全服务网关均使用独立的容器运行，从而实现对不同边缘计算安全服务的资源隔离，并通过安全服务编排为不同安全需求的应用服务制定不同的安全防御。
14.基于容器的工业云平台边缘计算安全防护系统，包括1套边缘安全服务网关、多个边缘应用网关以及与其通信的工业现场的应用设备；
15.边缘安全服务网关，用于在工业现场内采用单一集群方式部署用于运行的安全服务组件，并进行服务编排整合，由安全服务调用门户通过工业网络提供给应用设备端部署的各边缘应用；同时，边缘安全服务网关还通过广域网与公有云服务连接，通过安全服务容器镜像下载实现云端安全资源同步；
16.边缘应用网关，用于部署工业现场应用设备端的边缘计算应用业务，可根据工厂内实际业务需求部署多个，直接与生产信息化系统和生产设备进行通讯实现生产应用操作，通过工业网调用边缘安全服务网关的安全服务，通过广域网连接公有云，实现边缘应用网关与公有云服务之间的业务指令数据传输。
17.所述边缘安全服务网关内设有容器运行环境、安全服务管理组件、安全服务编排组件、安全服务监控组件、基础安全组件、网络安全组件、数据安全组件、业务安全组件、统一安全服务门户；
18.所述容器运行环境，用于建立支持边缘计算安全服务运行的环境，实现不同安全调用服务的资源隔离；
19.所述安全服务管理组件，用于实现边缘安全服务网关内部各安全组件的功能注册、信息查询和配置修改、服务镜像版本更新；
20.所述安全服务编排组件，通过编排边缘安全服务网关内部各安全组件配置安全资源防护，实现不同安全功能组件之间的联动；
21.所述安全服务监控组件，用于实现边缘安全服务网关内各安全组件状态监控以及本地服务运行状态监控；
22.所述基础安全组件，用于维护从边缘应用网关启动到运行整个过程中的设备安全、认证安全、虚拟化安全；
23.所述网络安全组件，用于保障边缘应用网关的网络通讯安全，支撑边缘应用网关与现有各种生产信息化系统与生产设备互联互通，包括安全协议、网络域隔离、网络监测、网络防护；
24.所述数据安全组件，用于通过数据加密、数据安全存储、敏感数据处理，实现工业数据采集、清洗、存储、处理全生命周期安全；
25.所述业务安全组件，用于阻止恶意应用对边缘计算网关安全产生影响，实现边缘
应用加固、权限和访问控制、应用监控；
26.所述统一安全服务门户，提供服务发布、服务管理的服务编排信息，通过聚合安全服务接口实现与边缘应用网关的安全调度服务共享。
27.所述边缘应用网关内设有容器运行环境、安全服务调度组件、边缘应用；
28.容器运行环境，用于建立支持边缘计算应用服务运行的环境，实现不同应用调用服务的资源隔离；
29.安全服务调度组件，用于同步安全服务门户中提供的服务编排信息，实现在边缘应用网关进行安全服务调用；
30.边缘应用，用于与生产信息化系统和生产设备进行通信，实现生产应用操作。
31.所述云端安全资源包括：安全服务、安全组件、安全配置。
32.所述生产应用操作为生产过程中的操作指令数据。
33.所述业务指令数据为生产过程中的业务指令数据。
34.本发明具有以下有益效果及优点：
35.本发明提出一种基于容器的工业云平台边缘计算安全防护系统及方法，系统底层基于容器架构，计算、存储、网络等基础资源均实现容器化，安全功能模块部署在工业云平台工厂侧的边缘安全服务网关中，应用模块部署在边缘计算网关中，针对每个边缘应用网关调用的边缘安全服务，边缘安全服务网关均使用独立的容器运行，从而实现对不同边缘计算安全服务的资源隔离，并可以通过安全服务编排，为不同安全需求的应用服务制定不同安全的防御方案。安全功能模块包括基础安全组件、网络安全组件、数据安全组件以及业务安全组件，涵盖了网络安全、应用安全、数据安全及用户管理安全各层面需求。同时通过配置安全资源防护策略，进行不同安全功能组件之间的联动，快速构建工业云平台边缘侧多维立体的安全防护体系，实现对云平台边缘侧防攻击、防篡改、防数据丢失泄露的安全防护，为工业云平台边缘侧不同安全需求的应用服务制定不同安全的防御方案，实现动态、可配置的边缘计算安全防护。
附图说明
36.图1是基于容器的工业云平台边缘计算安全防护系统架构图；
37.图2是基于容器的工业云平台边缘计算安全防护系统服务调用示意图；
38.图3是基于容器的工业云平台边缘计算安全防护系统服务访问流程图。
具体实施方式
39.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明的具体实施方法做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本发明。但本发明能够以很多不同于在此描述的其他方式来实施，本领域技术人员可以在不违背发明内涵的情况下做类似改进，因此本发明不受下面公开的具体实施的限制。
40.除非另有定义，本文所使用的所有技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。
41.如图1～图3所示，基于容器的工业云平台边缘计算安全防护系统，包括1 套边缘
安全服务网关、多个边缘应用网关以及与其通信的应用设备；
42.边缘安全服务网关，在工厂内采用单一集群方式部署，用于运行包括基础安全、网络安全、数据安全、业务安全等安全服务，并进行服务编排整合，提供统一的安全服务调用门户，通过高速的工厂内工业网络，为工厂内部署的各边缘应用提供安全服务；同时，边缘安全服务网关通过广域网与公有云服务连接，通过安全服务容器镜像下载实现云端安全资源同步。所述云端安全资源包括：安全服务、安全组件、安全配置、安全策略。边缘应用网关，是承载边缘计算应用业务的核心，可根据工厂内实际业务需求部署多个，直接对接生产信息化系统与生产设备实现生产应用操作，通过高速工业网调用边缘安全服务，通过广域网实现边缘侧与公有云服务之间业务指令数据传输。
43.边缘安全服务网关内设有容器运行环境、安全服务管理组件、安全服务编排组件、安全服务监控组件、基础安全组件、网络安全组件、数据安全组件、业务安全组件、统一安全服务门户；
44.容器运行环境，用于建立支持边缘计算安全服务运行的环境，能够实现不同安全调用服务的资源隔离；
45.安全服务管理组件，用于实现边缘安全服务网关内部各安全组件的功能注册、信息查询和配置修改、服务镜像版本更新；
46.安全服务编排组件，通过编排边缘安全服务网关内部各安全组件配置安全资源防护策略，实现不同安全功能组件之间的联动；可通过参数设定，对每个业务应用实现细致的策略配置，实现具有针对性的安全等级需求，并且可根据场景的需求配置所需的安全组件，并通过不同的配置实现相应级别的保护。
47.安全服务监控组件，用于实现边缘安全服务网关内各安全组件状态监控以及本地服务运行状态监控；
48.基础安全组件，为边缘应用网关提供基本安全保障，保证边缘应用设施在启动、运行、操作等过程中的安全可信，基础安全组件涵盖从边缘应用网关启动到运行整个过程中的设备安全、认证安全、虚拟化安全；
49.网络安全组件，用于保障边缘应用网关的网络通讯安全，支撑边缘应用网关与现有各种生产信息化系统与生产设备互联互通，构建纵深防御体系，从安全协议、网络域隔离、网络监测、网络防护等从内到外保障边缘网络安全；
50.数据安全组件，用于保障数据在边缘节点存储以及在复杂异构的边缘网络环境中传输的安全性，实现轻量级数据加密、数据安全存储、敏感数据处理功能，保障工业数据采集、清洗、存储、处理全生命周期安全；
51.业务安全组件，用于阻止恶意应用在应用级别对边缘计算网关安全产生影响，实现边缘应用加固、权限和访问控制、应用监控、应用审计等安全功能。
52.统一安全服务门户，用于向高速工业网中提供统一的边缘安全服务，通过服务门户实现安全服务共享，并提供发布、管理、自恢复功能，通过聚合安全服务接口实现安全服务对安全调度服务透明，降低安全服务耦合度。
53.边缘应用网关内设有容器运行环境、安全服务调度组件、边缘应用；
54.容器运行环境，用于建立支持边缘计算应用服务运行的环境，能够实现不同应用调用服务的资源隔离；
55.安全服务调度组件，用于同步安全服务门户中提供的服务编排信息，实现在边缘应用网关进行安全服务调用；
56.边缘应用是承载边缘计算应用业务，可根据工厂内实际业务需求部署多个，直接对接生产信息化系统与生产设备实现生产应用操作。生产应用操作包括整个生产流程，如制定生产工单，按工单领料，领料后生产，生产完成进行入库等操作指令。
57.基于容器的工业云平台边缘计算安全防护方法，包括以下步骤：
58.在工业云平台应用场景下，针对广域网与工业网络之间的带宽差异，在工厂侧将功能模块以容器方式部署在边缘应用网关和边缘安全服务网关两类设备中，边缘应用网关实现边缘侧与公有云服务之间业务指令数据传输功能，安全服务网关通过广域网定期同步公有云中的安全策略模型，并通过高速工业网络实现工厂侧安全服务的快速调用。业务指令数据包括：生产计划控制指令，生产物资供应指令，产品质量控制指令等。
59.步骤1、在边缘安全服务网关部署安全服务组件与统一安全服务门户；
60.步骤2、通过安全服务管理组件部署安全服务，并将安全服务注册到服务编排组件中，通过安全服务编排组件对安全服务组件进行功能编排，实现动态可配置的边缘计算安全服务组合；
61.步骤3、安全服务管理组件通过广域网与公有云服务连接，将安全服务容器镜像同步到边缘安全服务网关中，实现安全功能更新。安全服务组件就绪后，通过工业网对工厂内部的边缘应用网关提供服务。
62.步骤4、在边缘应用网关中部署安全服务调度组件，在边缘安全服务网关就绪后，访问统一安全服务门户获取边缘计算安全服务组合列表；
63.步骤5、根据边缘应用需求选择边缘计算安全服务组合，在边缘应用的执行过程中，通过高速工业网访问统一安全服务门户，由边缘安全服务网关提供边缘安全服务。
64.针对每个边缘应用网关调用的边缘安全服务，边缘安全服务网关均使用独立的容器运行，从而实现对不同边缘计算安全服务的资源隔离，并可以通过安全服务编排，为不同安全需求的应用服务制定不同安全的防御方案。
65.以上所述，仅是本发明的较佳实施例，并非对本发明作任何限制，凡是根据本发明技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化，均仍属于本发明技术方案的保护范围内。