[发明专利]基于边缘计算网关的上下行数据安全隔离系统及方法

说明书

本发明公开一种基于边缘计算网关的上下行数据安全隔离系统及方法，其特征在于，所述系统包括专用私有协议SDK、用户接入安全控制模块、上下行数据隔离交换模块、设备接入安全控制模块。本发明实现了基于身份的上下行数据隔离，通过私有加密通道的技术进行权限控制，以接口的形式，简化了设备接入、简化了应用开发、降低系统复杂度。

技术领域

本发明属于工业互联网数据安全技术领域，具体涉及一种基于边缘计算网关的上下行数据安全隔离系统及方法。

背景技术

工业互联网作为新一代信息技术与制造业深度融合的产物，日益成为新型工业化的关键支撑。伴随工业互联网核心关键技术的突破，推进了工业互联网平台的创新发展。其中边缘计算作为工业互联网平台的重要组成部分，承担着工业互联网平台从设备连接到边缘智能的一系列重要的功能和创新。采用边缘计算技术，通过边缘计算网关在靠近数据源的一侧进行本地计算分析，从而获得更高的计算实时性。

在现有技术中，应用系统、边缘计算网关、数据源设备之间仍是使用传统的通信方法，存在着较低的交互效率和较高的安全隐患的问题。在以下几个方面上存在着不足：

在架构应用领域上，各类型企业传统优势不同，技术栈不同，整体架构各异，使得当前的边缘计算软件之间的互通性和互操作性不强，数据采集、协议转换、工业机理、智能算法等模块复用困难。在面对不同领域环境时，其数据机构化难度较高，适配困难，在实施体系架构上开发难度高，行业应用推广难以落地；

在安全通信层面上，现有技术大多采用传统的SSL基于PKI的密钥交换机制，即交换协商密钥后，公钥加密、私钥解密的机制，可以保障数据传输层面的加解密。但用户的鉴权与数据的通信加密不能有效地结合；

在数据隔离层面上，现有技术鲜有有效的工业环境下的上下行数据隔离方法，在防范恶意指令入侵、非权限指令的错误下达以及不明设备的接入干扰方面，存在数据层面的安全风险。

发明内容

有鉴于此，本发明提出了一种基于边缘计算网关的上下行数据安全隔离方法，用于解决上下行数据无法有效隔离、鉴权与数据的通信加密不能有效地结合的问题。

本发明提供一种基于边缘计算网关的上下行数据安全隔离方法，通过对工业现场上下行数据来源及应用进行安全隔离与身份验证，起到防范工业控制领域中因恶意指令的入侵、非权限指令的越权下达以及杜绝来自不明设备的数据输入干扰等原因造成的工业控制系统故障甚至瘫痪，保证了工业控制系统的正常运行。

本发明第一方面，公开一种基于边缘计算网关的上下行数据安全隔离系统，所述系统包括专用私有协议SDK、用户接入安全控制模块、上下行数据隔离交换模块、设备接入安全控制模块；

专用私有协议SDK：用于采用专用私有协议为边缘计算网关提供对外接口，建立基于权限控制的私有加密通道，实现边缘计算网关与应用层、设备层的加密通信；

用户接入安全控制模块：用于构建边缘计算网关的应用系统数据访问/操作安全策略；对于通过应用系统数据访问/操作安全策略认证的请求，下发请求至上下行数据隔离交换模块；接收上下行数据隔离交换模块的上报数据，并向专用私有协议SDK上报设备状态数据；

上下行数据隔离交换模块：用于对通过设备接入安全控制模块身份认证的设备，分别构建设备上行数据通道和设备下行数据通道；接收用户接入安全控制模块的下发请求并索引设备下行数据通道，并向设备接入安全控制模块定向下发请求；接收设备接入安全控制模块的定向数据上报并索引设备上行数据通道，向用户接入安全控制模块上报数据；

设备接入安全控制模块：用于构建边缘计算网关的数据源设备接入安全策略；接收上下行数据隔离交换模块的定向下发请求，并向专用私有协议SDK发送设备命令；接收通过专用私有协议SDK反馈的设备状态上报，并向上下行数据隔离交换模块进行定向数据上报。