CN110785757A - 边缘设备和用于运行边缘设备的方法 - Google Patents

边缘设备和用于运行边缘设备的方法 Download PDF

Info

Publication number
CN110785757A
CN110785757A CN201880040790.2A CN201880040790A CN110785757A CN 110785757 A CN110785757 A CN 110785757A CN 201880040790 A CN201880040790 A CN 201880040790A CN 110785757 A CN110785757 A CN 110785757A
Authority
CN
China
Prior art keywords
special
core
edge device
kernel
stack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880040790.2A
Other languages
English (en)
Other versions
CN110785757B (zh
Inventor
本杰明·科勒
伊丽莎白·海因德尔
伊戈尔·米洛瓦诺维克
沃尔夫冈·里德尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN110785757A publication Critical patent/CN110785757A/zh
Application granted granted Critical
Publication of CN110785757B publication Critical patent/CN110785757B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/43Security arrangements using identity modules using shared identity modules, e.g. SIM sharing

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种边缘设备(10)和用于运行边缘设备(10)的方法,其中,为边缘设备(10)增补特型内核管理器(52)和基础特型内核(54),其中,特型内核管理器(52)用作至少用于启动和停止安装在边缘设备(10)上的特型内核(40‑46)的装置,并且其中,基础特型内核(54)以独立的特型内核形式包括边缘设备(10)的基础功能。

Description

边缘设备和用于运行边缘设备的方法
技术领域
本发明涉及一种边缘设备和用于运行边缘设备的方法。
背景技术
边缘设备原则上是公知的并且通常也称作为边缘仪器或边缘网关。边缘设备用作两个计算机网络之间、即例如在第一计算机网络与第二计算机网络(例如所谓的云)之间的接口,其中,借助该第一计算机网络,设定用于控制和/或监控工业过程的自动化设备在所谓的现场层中彼此通信连接。原则上,每个属于相应的第一计算机网络的设备能够借助于边缘设备与相应的第二计算机网络中的设备交换数据,例如将在控制和/或监控工业过程的框架中生成的数据存储在云中等等。
随着物联网(Internet of Things)云平台(例如,Siemens MindSphere,微软Azure IoT,亚马逊AWS IoT等)和所述的边缘设备的出现,工业环境中系统架构的复杂性增加。在安全性方面,对经典的现场层和其中的边缘设备(边缘网关)与共同云平台的连接性提出了新的挑战。当今的边缘设备通常配备有具有广泛的功能和服务范围的通用操作系统(例如Linux,Windows等)。软件本地安装在这些系统上。为了保护这些设备免受攻击,人们尝试通过停用不需要的服务或组件来“强化”系统软件(由相应的操作系统和下面称作为基础功能的网关软件来构成的整体)。当然,在停用的情况下,这种通用服务或组件仍如之前那样存在于操作系统内核中,从而导致潜在更大的攻击面。
同时,通常需要:边缘设备不仅承担一项专门的功能,而且还并行提供多个功能。例如,边缘设备一方面可以提供自动化解决方案的现场层到云的连接,并且另一方面提供应用,其能够处理来自现场层的数据。为了在一个边缘设备或多个边缘设备上动态地安装(部署)这样的或类似的功能和一个或每个对功能来说所必需的应用,已经建立了所谓的容器技术。容器技术是用于以简单的方式将应用打包和分布(“部署”)到一个目标设备或一组目标设备上的标准方法,并且存在各种实现方式。例如,在Linux环境中,例如开源软件“Docker”已作为容器技术来实现。除了相应的应用之外,被打包为容器并进行部署的应用还包括完整的运行时环境,即库和/或二进制文件和配置文件,它们对于执行相应的应用是必需的。通过将至少一个应用及其相应的运行时环境打包(以下称为容器化)在软件容器中,可以将各种操作系统发行版本中的差异抽象化。所得的软件容器具有并行能力,即封装在其中的应用可以并行地并且相互独立地执行。但是,容器技术的一个特性在于:所有软件容器都共享一个共同的操作系统内核。尽管可以通过相应的网络虚拟化来使各个软件容器分离,但是软件容器全部都安装在共同的通用内核(参见图1)上,该通用内核在可能存在的安全漏洞方面提供了大面积的攻击面。
发明内容
相应地,本发明的目的在于:降低边缘设备的潜在的受攻击性并且在此获得在容器技术的框架内提供的灵活性。
根据本发明,该目的借助于具有权利要求1的特征的边缘设备来实现。边缘设备以原则上已知的方式和方法设定和设置用于:用作在自动化设备一方与至少一个外部网络另一之间的接口,该自动化设备彼此通信连接并且设定用于控制和/或监控工业过程。根据在此提出的方案,代替至今为止使用的容器技术,将特型内核技术用于封装在边缘设备上待执行的软件应用并且边缘设备为此包括以软件实现的附加功能单元。第一附加功能单元下面称作为特型内核(Unikernel)管理器。第二附加功能单元在下面称为基础特型内核。特型内核管理器用作至少用于启动和停止安装在边缘设备上的特型内核的装置,并且相应地设定和设置用于:在边缘设备运行时按需启动和停止安装在边缘设备上的特型内核。基础特型内核以独立的特型内核的形式包括边缘设备的基础功能,即允许边缘设备用作在联网的自动化设备一方与另一网络一方之间的接口。
在用于运行这种边缘设备的方法中,借助于特型内核管理器按需且自动地启动和停止安装在边缘设备上的特型内核,并且借助于基础特型内核展开边缘设备的基础功能。
本发明的优点在于:一个或每个待借助于边缘设备执行的应用以出于安全考量而尤其有利的方式和方法封装在特型内核中。此外,特型内核在封装一个或多个应用方面提供与软件容器相同的优点。特别地,特型内核同样是有并行能力的,使得封装于其中的应用在此也能够并行地并且彼此独立地执行。
特型内核技术的简化方案有益于边缘设备一方和总系统一方的安全性,其中,在该总系统中边缘设备履行其接口功能。一个或每个安装在边缘设备上的且借助于特型内核管理器监控的(启动、停止等等)特型内核不包括传统内核的许多服务,或者至少得到了显著精简。因此,所实现的组件数量(在边缘设备上运行的服务)的减少使得边缘设备的受攻击性显著降低。此外,特型内核直到超级监控者层(例如Xen超级监控者)都能被隔离,而在常规的软件容器中,隔离仅包括作为最低层的内核。由于可以启动(开启,开机)或停止(结束,关机)特型内核,能够动态地调整在此提出的类型的边缘设备的功能。就这一点而言,例如,可以通过启动另一个特型内核和至少一个封装在其中的应用来添加附加的功能,和/或通过停止相应的特型内核来停用不再需要的功能。在边缘设备运行期间变得已知的安全漏洞的情况下,仅必须停用与安全漏洞相关的一个或每个特型内核,而全部其他的特型内核能够功能未受损地在边缘设备上继续运行。在使用常规的操作系统或容器技术的边缘设备中,必须停用整个边缘设备或者例如对内核打补丁。
本发明的有利设计方案是从属权利要求的主题。在此使用的权利要求之间的引用关系表示通过相应的从属权利要求的特征对所引用的权利要求的主题的进一步改进。引用关系不可理解为放弃对于从属权利要求的特征或特征组合实现独立、客观的保护。此外,鉴于从属权利要求和说明书的布局,在将从属权利要求中的特征详细具体化时的前提是:相应的前述权利要求以及主题的边缘设备或其运行方法的一般化实施方式中的这种限制是不存在的。因此,即使没有具体指明也可将说明书中对于从属权利要求方面的任何引用理解为可选特征的描述。最后要指出的是:在此提出的边缘设备也可以根据从属的方法权利要求来改进,例如通过使边缘设备包括相应装置的方式,该装置例如设定和设置用于执行一个或多个相应的方法步骤,并且反之亦然。
在边缘设备和其运行方法的一个实施方式中,借助于基础特型内核能够接收标志处于危险中的特型内核的标识并借助于基础特型内核进行接收;并且借助特型内核管理器能够停止一个或每个由接收到的标识所标志的特型内核,并且借助于基础特型内核将其停止。借此,能够以简单的方式和方法在一定程度上切断使得边缘设备可被攻击的功能。由于停止了处于危险中的特型内核,使其对外不再可见并且消除了受攻击性。
因此,可以将一个或多个、或者一些或所有应用和/或特别是边缘设备的基本功能实现为特型内核。通过将应用与一个或多个库(例如来自包含操作系统服务的驱动/库的库操作系统(LibOS))一起直接编译可以创建特型内核,其中,该库包含应用专门需要的操作系统服务(尤其只是操作系统服务)。因此,可以如下地实现特型内核,使得其直接地在硬件上、直接地在超级监控者上(在这种情况下,有时也存在:在虚拟的LibOS机中实施特型内核)、或在软件容器中实施。实施方式包括直接在超级监控者上运行的一个或多个特型内核和/或虚拟机。
因此,特型内核能够理解为专用程序。特型内核例如能够从包含应用代码、系统库和/或配置的模块化堆栈中编译。
在边缘设备及其运行方法的另一实施例中,借助于基础特型内核能够将预留在远离边缘设备但对于边缘设备可访问的特型内核堆栈中的特型内核从该特型内核堆栈中下载,并且能够安装在边缘设备上;并且在边缘设备运行时按需下载并且安装在边缘设备上。以该方式通过安装至少一个另外的特型内核,能够以至少一个封装在相应的特型内核中的应用的功能对边缘设备的功能进行动态扩展。如此,代替处于危险中的且停用的特型内核能够下载并安装取代该处于危险中的特型内核的、消除错误的特型内核,从而保持边缘设备的功能。
在边缘设备和其运行方法的一个具体的实施方式中,借助于基础特型内核能够检验预留在特型内核堆栈中的或从特型内核堆栈中下载的特型内核的电子签名并且在运行时进行检验。这确保了:能够识别出经篡改的特型内核并且能够结合下载来识别。在识别出篡改的情况下,例如能够提出:完全不从特型内核堆栈中下载相关的特型内核或者不将其安装在边缘设备上,至少不轻易将其启动。
在边缘设备和其运行方法的附加的或可替选的具体实施方式中,借助于基础特型内核能对从特型内核堆栈中下载的特型内核解密,例如借助于由边缘设备的硬件包括的TPM芯片解密,并且在运行时结合下载来解密。这确保了:可能包含在特型内核中的敏感数据对于第三方是不可见的。
特型内核管理器和基础特型内核以计算机程序的形式实现并且在边缘设备运行时被加载到边缘设备的存储器中。因此,本发明一方面也是用作特型内核管理器和/或基础特型内核的、具有可通过计算机执行的程序代码指令的计算机程序,并且另一方面是具有这种计算机程序的存储介质,即具有程序代码装置的计算机程序产品,以及最后也是一种边缘设备,在其存储器中加载有或者能够加载作为用于执行方法及其设计方案的装置的这种计算机程序。
在下文中描述方法步骤或方法步骤顺序时,这涉及如下的行为,只要没有明确地指出通过计算机程序的用户来开始个别行为,这些行为就基于计算机程序、或在计算机程序控制下进行。至少,每当使用术语“自动”时表示,相关的行为基于计算机程序、或在计算机程序的控制下进行。
代替具有各个程序代码指令的计算机程序,也能够以固件的形式来实现在此和在下文描述的方法。对于本领域技术人员清楚的是:代替以软件来实现方法,总是也可以以固件、或固件和软件、或以固件和硬件来实现。因此,对于在此提交的说明书适用的是:术语“软件”和术语“计算机程序”也包括其他的可实现方式,即尤其是以固件或以固件和软件或以固件和硬件来实现。
附图说明
下面,根据附图详细阐述本发明的实施例。彼此相对应的对象或元件在全部附图中设有相同的附图标记。
实施例不可理解为对本发明的限制。更确切地说,在本申请的范畴中也完全可以进行补充和修改,尤其是如下的补充和修改,这些补充和修改例如在实现目的方面对于本领域技术人员来说,能够通过对各个结合在总体或具体的说明书部分中描述的以及在权利要求和/或附图中所包含的特征或方法步骤的组合或变形而推断出的,并且通过特征的组合产生新的主题或新的方法的步骤或方法步骤顺序。
附图示出:
图1示出边缘设备,其具有在其硬件上安置的操作系统以及在操作系统上安置的容器引擎,以用于在边缘设备上执行至少一个封装在容器中的软件应用;
图2示出根据在此提出的方案的边缘设备,其中,应在边缘设备上执行的软件应用封装在一个或多个特型内核中,借助于特型内核管理器控制和监控一个或每个特型内核的运行,并且也将边缘设备的基础功能封装在所属的特性内核中;以及
图3示出根据图2的边缘设备的另一视图,以及为了自动停用特型内核而可评估的、并可由边缘设备接收的、标志待停用的处于危险中的特型内核的标识。
具体实施方式
图1中的视图示意性地简化示出下面有时也简称为设备的边缘设备(边缘仪器,边缘网关)10。
根据示例性示出的情景,边缘设备10以原则上已知的方式和方法用作在自动化设备14、15、16一方与至少一个外部网络(例如所谓云18)一方之间的接口,这些自动化设备彼此通信连接并且设定用于控制和/监控未详细示出的工业过程12。
在已知的设定用于运行封装在软件容器20、21、22中的应用24、25、26的边缘设备10中,操作系统32安装在设备的相应的硬件30上。在该操作系统上又安装有用作容器-超级监控者34的相应的容器引擎,例如Docker引擎,该容器引擎以原则上已知的方式和方法允许执行至少一个封装在软件容器20-22中的(容器化的)应用24-26。相应的软件容器20-22包括对于执行一个或每个封装在容器20-22中的应用24-26来说所需要的运行时环境36、37、38,即例如二进制数据、库、配置数据等。
如图1中的简化视图所示,如有可能在个别服务或组件方面得到精简的操作系统32用作为起到容器超级监控者34作用的容器引擎的基础。即使是可能以该方式精简的操作系统32,也还是具有广泛的内核功能的操作系统32。
在与具有广泛的内核功能的操作系统32的竞争中,建立了所谓的特型内核技术。特型内核软件堆栈不使用完整的操作系统内核,而是提供正好相应应用所需的那些操作系统组件。特型内核技术以所谓的库-OS方案(Library-OS)为基础,根据该方案,基本功能(例如驱动器、网络堆栈、文件系统等)以及相应的应用24-26(图2)本身都编译成独立的镜像(特型内核镜像)40、42、44、46(图2),独立镜像能够直接地在特型内核超级监控者50(图2)上启动。这产生了紧凑的(小体积的)镜像40、42并且能够快速加载或启动相应的应用24-26(几毫秒)。因此,通过将特型内核超级监控者基础结构集成在边缘设备10上,能够启动和结束特型内核镜像40-46。
根据在此提出的方案,为边缘设备10扩展出附加的软件组件并且这在图2中的视图示意性地简化示出。附加的软件组件是已经提及的、安置在边缘设备10的硬件30上的特型内核超级监控者50以及一方面为特型内核管理器52并且另一方面为基础特型内核镜像54。为使下面的描述具有更好的可读性,特型内核镜像下面简称为特型内核。因此,基础特型内核镜像54称作为基础特型内核54。
例如,根据图2的边缘设备10用作在自动化设备14-16一方与至少一个外部的或另外的网络18一方之间的接口,这些自动化设备彼此通信连接,正如图1所示。借助于总线系统等通信连接的自动化设备14-16和根据自动化解决方案控制和/或监控的工业过程12在此不再显示。工业过程12和联网的自动化设备14-16在下面有时简称为现场层。
特型内核管理器52用作为用于管理一个特型内核40-46或多个特型内核40-46的装置,尤其是用于启动和停止相应的特型内核40-46的装置。可选地,特型内核管理器52根据在此提出的方案设定和设置用于:在启动特型内核之前,对加密的特型内核40-46解密。为此,特型内核使用私人密匙,该私人密匙例如位于相应的边缘设备10的所谓的TPM芯片(TPM=Trusted Platform Module,可信赖平台模块)56上。
基础特型内核54以独立的特型内核的形式包括边缘设备10的基础功能。边缘设备10的原则上本身已知的基础功能尤其包括:借助于以太网和/或ATM构建点对点连接、评估通信服务的质量(quality-of-Service)、处理和/或转化不同的数据流(多重服务、转译)、路由选择等等。
可选地,基础特型内核54或还有对基础特型内核54进行增补的另一基础特型内核54设定和设置用于:用作为用于与至少一个特型内核堆栈(特型内核集线器)60通信的接口。在该特性中,基础特型内核54用作为以下装置,其用于从特型内核堆栈60下载特型内核44、46并将下载的特型内核44、46安装(部署)在相应的边缘设备10上。
如上面描述的那样,一个或每个预留在特型内核堆栈60中的特型内核44、46包括一个或每个封装在相应的特型内核44、46中的、可执行的(编译的)应用24-26以及(以同样编译的形式的)库函数等等。每个预留在特型内核堆栈60中的特型内核44、46在其被添加到特型内核堆栈60之前在本地计算机(未示出)上进行编译并且可选地被数字签名和/或加密,并且随后传递给特型内核堆栈60。例如,在云18中的存储器、如有可能还有分布的存储器用作为特型内核堆栈60。
在特型内核40-46以原则上本身已知的方式和方法签名(例如借助于CRC、RSA、SHA等)的情况中,在特型内核40-46启动之前,通过借助于基础特型内核54自动执行的对数字签名的检验,能够确保下载的特型内核40-46的真实性,并且还确保:特型内核40-46不会被篡改。在数字签名的特型内核40-46以及由基础特型内核54自动执行的对数字签名的检验中,仅当能够无错误地完成数字签名的检验时才由基础特型内核54启动下载的特型内核40-46。如果没有无错误地完成检验,则不启动下载的特型内核40-46并且可选地将其从边缘设备10的存储器中删除。
在以原则上已知的方式和方法加密的(例如借助于CRC、RSA、SHA等)的特型内核40-46的情况中,在启动特型内核40-46之前,通过借助于基础特型内核54自动执行的解密同样能够确保下载的特型内核40-46的真实性,并且还确保:特型内核40-46不会被篡改。在数字加密的特型内核40-46和由基础特型内核54自动执行的解密中,仅当能够无错误地完成解密过程时才由基础特型内核54启动下载的特型内核40-46。如果没有无错误地完成解密过程,则不启动下载的特型内核40-46并且可选地将其从边缘设备10的存储器中删除。在加密的特型内核40-46的情况中还确保了:例如包含于其中的授权数据(例如通向云终端的授权数据)或证书等等能够不受危险以及不被滥用。
图2中的视图示出了具有边缘设备10的情况,该边缘设备具有第一特型内核40和第二特型内核42。这两者例如是借助于基础特型内核54从特型内核堆栈60中下载的。第一特型内核40例如包括用于与私人云62通信的应用24。封装在第一特型内核40中的应用24在此范围内例如用作存档应用,并且为此以编译形式包括确定应用24的功能的程序代码指令、以及为了执行应用24而可能需要的库函数等等,例如用于访问边缘设备10的相应的硬件30的库函数。随后,借助于第一特型内核40例如对来自被相应控制和/或被监控的(在此未示出的)工业过程12(图1)的数据进行存档。第二特型内核42例如包括用于与所谓的MindSphere云64进行通信的应用26。封装在第二特型内核42中的应用26在此范围内例如是用于对来自工业过程12的现场层的数据进行预处理、过滤等操作的应用26,并且此外以编译形式同样包括确定应用26的功能的程序代码指令以及可能对于执行应用26来说所需要的库函数等,例如用于访问边缘设备10的相应的硬件30的库函数。
图3示出了根据图2的边缘设备10的另一视图。据此,边缘设备10以常规的方式和方法包括呈微处理器形式的或符合微处理器类型的处理单元66作为边缘设备的硬件30的组成部分。借助于处理单元66,在边缘设备10运行时执行特型内核超级监控者50、特型内核管理器52、基础特型内核54以及一个或每个安装在边缘设备10上并为了执行而设置的特型内核40、42(尤其为了执行而激活的特型内核40、42)。特型内核超级监控者50、特型内核管理器52、基础特型内核54和一个或每个特型内核40、42在该范围内是可彼此独立执行的计算机程序,该计算机程序能够以原则上已知的方式和方法加载到边缘设备10的存储器68中并且在边缘设备10运行时加载到存储器68中。
如果在边缘设备10的运行中表现出安装在边缘设备10上的特型内核40-46处于危险中,即有可能以边缘设备10或经由边缘设备10可访问的设备受到未授权访问形式受到攻击,那么下面提出:在识别到这种危险情况下,对边缘设备10传输标志相关的特型内核40-46的标识70。由中央实例、例如经由云18来实现标识70的发送,并且例如通过边缘设备10的供应商的专家、相关的特型内核40-46的供应商的专家等等来发起标识的发送。在边缘设备10侧,基础特型内核54接收标志处于危险中的特型内核40-46的标识70。基础特型内核在内部将接收到的标识70传输给特型内核管理器52。特型内核管理器基于接收到的标识70停止一个或每个通过接收到的标识70标志的且至此为止由边缘设备10执行的特型内核40-46(在图3的视图中示出用闪电符号标记的特型内核42)。因此,由于处于危险中的特型内核42而产生的边缘设备10的受攻击性被直接消除。可选地,能够由特型内核管理器52将一个或每个处于危险中的特型内核42从边缘设备10的存储器68中删除。以该方式至少被停用的且如有可能从存储器68中删除的特型内核42,例如能够通过随后从特型内核堆栈60中下载新的、消除错误的特型内核40-46来取代。随后,边缘设备10的原始功能复原。在此期间,边缘设备10和每个不受危险影响的特型内核40-46可以继续运行。
尽管详细地通过优选的实施例详细地阐述和描述了本发明,然而本发明不受所公开的实例的限制,并且能够由本领域技术人员从中推导出其他的变体方式,而不偏离本发明的保护范围。
因此,在此提交的说明书的各个重要的方面可以简要地总结为:提供一种边缘设备10及其运行方法,其中,为边缘设备10增补相应的计算机程序或计算机程序模块形式的用作特型内核管理器52的以及用作基础特型内核54的软件功能。特型内核管理器52用作至少用于启动和停止安装在边缘设备10上的特型内核40-46的装置,并且在边缘设备10运行时引起安装在边缘设备10上的特型内核40-46的按需的自动启动或停止。基础特型内核54以独立的特型内核形式包括边缘设备10的基本功能,并在边缘设备10的运行中被执行,以便提供边缘设备10的基础功能,即能够以原则上已知的方式构建边缘设备10与其它设备的通信连接。这种其它设备例如为远程的其它网络中的远程设备或边缘设备10所属网络中的设备。在这种通信连接的框架中,边缘设备10能够借助于基础功能以同样原则上已知的方式从这种设备接收数据或者发送给这种设备。

Claims (12)

1.一种边缘设备(10),所述边缘设备设定和设置为,用作自动化设备(14-16)一方与至少一个外部网络(18)一方之间的接口,所述自动化设备彼此通信连接并且设定用于控制和/或监控工业过程(12),
其特征在于,
设有特型内核管理器(52)和基础特型内核(54),
其中,所述特型内核管理器(52)用作至少用于启动和停止安装在所述边缘设备(10)上的特型内核(40-46)的装置,并且
其中,所述基础特型内核(54)以独立的特型内核形式包括所述边缘设备10的基础功能。
2.根据权利要求1所述的边缘设备(10),
其中,借助于所述基础特型内核(54)能够接收标志处于危险中的特型内核(40-46)的标识(70),并且
其中,借助于所述特型内核管理器(52)能够停止由接收到的所述标识(70)标志的一个或每个所述特型内核(40-46)。
3.根据权利要求1或2所述的边缘设备(10),其中,借助于所述基础特型内核(54)能够将预留在远离所述边缘设备(10)的特型内核堆栈(60)中的特型内核(44、46)从该特型内核堆栈(60)中下载,并且能够将该特型内核安装在所述边缘设备(10)上。
4.根据权利要求3所述的边缘设备(10),其中,借助于所述基础特型内核(54)能够检验预留在所述特型内核堆栈(60)中的或从所述特型内核堆栈(60)中下载的特型内核(44、46)的电子签名。
5.根据权利要求3或4所述的边缘设备(10),其中,借助于所述基础特型内核(54)能够对从所述特型内核堆栈(60)中下载的所述特型内核(44、46)解密。
6.根据权利要求5所述的边缘设备(10),其中,借助于所述基础特型内核(54)能够借助于由所述边缘设备(10)的硬件(30)包括的TPM芯片(56)对从所述特型内核堆栈(60)中下载的所述特型内核(44、46)解密。
7.一种用于运行根据前述权利要求中任一项所述的边缘设备(10)的方法,
其中,借助于特型内核管理器(52)按需启动和停止安装在所述边缘设备(10)上的特型内核(40-46),并且
其中,借助于所述基础特型内核(54)展开所述边缘设备(10)的基础功能。
8.根据权利要求7所述的方法,
其中,借助于所述基础特型内核(54)接收标志处于危险中的特型内核(40-46)的标识(70),
其中,所述基础特型内核(54)将接收到的所述标识(70)传输给所述特型内核管理器(52),并且
其中,借助于所述特型内核管理器(52)停止由接收到的所述标识(70)标志的一个或每个特型内核(40-46)。
9.根据权利要求7或8所述的方法,其中,借助于所述基础特型内核(54)将预留在远离所述边缘设备(10)的特型内核堆栈(60)中的特型内核(44、46)从该特型内核堆栈(60)中下载并且将该特型内核安装在所述边缘设备(10)上。
10.根据权利要求7、8或9所述的方法,其中,借助于所述基础特型内核(54)检验预留在所述特型内核堆栈(60)中的或者从所述特型内核堆栈(60)中下载的特型内核(44、46)的电子签名,和/或对从所述特型内核堆栈(60)中下载的特型内核(44、46)解密。
11.一种计算机程序,具有程序代码装置,以便当所述计算机程序作为特型内核管理器(52)或基础特型内核(54)在根据权利要求1至6中任一项所述的边缘设备(10)上被执行时,执行权利要求7至10中任一项所述的方法的全部步骤。
12.根据权利要求1至6中任一项所述的边缘设备(10),具有处理单元(66)和存储器(68),根据权利要求11所述的计算机程序被加载到所述存储器中,在所述边缘设备(10)运行时通过所述处理单元(66)执行所述计算机程序。
CN201880040790.2A 2017-06-19 2018-06-04 边缘设备和用于运行边缘设备的方法 Active CN110785757B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP17176590.2 2017-06-19
EP17176590.2A EP3418933A1 (de) 2017-06-19 2017-06-19 Edge-gerät und verfahren zum betrieb eines edge-geräts
PCT/EP2018/064558 WO2018234020A1 (de) 2017-06-19 2018-06-04 Edge-gerät und verfahren zum betrieb eines edge-geräts

Publications (2)

Publication Number Publication Date
CN110785757A true CN110785757A (zh) 2020-02-11
CN110785757B CN110785757B (zh) 2023-09-26

Family

ID=59091374

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880040790.2A Active CN110785757B (zh) 2017-06-19 2018-06-04 边缘设备和用于运行边缘设备的方法

Country Status (4)

Country Link
US (1) US11150937B2 (zh)
EP (2) EP3418933A1 (zh)
CN (1) CN110785757B (zh)
WO (1) WO2018234020A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10983847B2 (en) * 2019-02-15 2021-04-20 Red Hat, Inc. Dynamically loadable unikernel binaries
EP3722951A1 (en) * 2019-04-08 2020-10-14 Schneider Electric Industries SAS Service deployment in a cluster of i/o devices
US11321107B1 (en) * 2020-05-13 2022-05-03 NanoVMs, Inc. Running arbitrary binaries as unikernels on embedded processors

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030120935A1 (en) * 2001-12-20 2003-06-26 Coretrace Corporation Kernel-based network security infrastructure
CN101171573A (zh) * 2005-06-22 2008-04-30 思科技术公司 用于网络、块和文件输入及输出的卸载堆栈
WO2009155574A1 (en) * 2008-06-19 2009-12-23 Servicemesh, Inc. Cloud computing gateway, cloud computing hypervisor, and methods for implementing same
US8392697B1 (en) * 2007-04-11 2013-03-05 American Megatrends, Inc. BIOS configuration and management
US20140020072A1 (en) * 2012-07-13 2014-01-16 Andrew J. Thomas Security access protection for user data stored in a cloud computing facility
USRE44717E1 (en) * 2004-05-06 2014-01-21 Intellectual Ventures Ii Llc Edge detecting method
US8813174B1 (en) * 2011-05-03 2014-08-19 Symantec Corporation Embedded security blades for cloud service providers
US20150052524A1 (en) * 2013-08-13 2015-02-19 Vmware, Inc. Method and system for remigration of virtual machines and virtual applications between cloud-computing facilities
CN104951694A (zh) * 2014-03-24 2015-09-30 华为技术有限公司 一种管理虚拟机的隔离方法及装置
US20160092678A1 (en) * 2014-09-30 2016-03-31 Microsoft Corporation Protecting Application Secrets from Operating System Attacks
CN105512550A (zh) * 2015-01-21 2016-04-20 卡巴斯基实验室股份公司 用于活跃的操作系统内核保护的系统和方法
US20160283404A1 (en) * 2013-12-17 2016-09-29 Bin Cedric XING Secure enclaves for use by kernel mode applications
WO2016186755A1 (en) * 2015-05-19 2016-11-24 Microsoft Technology Licensing, Llc. Secured access control to cloud-based applications
US20170177854A1 (en) * 2014-05-15 2017-06-22 Carnegie Mellon University Method and Apparatus for On-Demand Isolated I/O Channels for Secure Applications

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9886303B2 (en) * 2016-06-15 2018-02-06 International Business Machines Corporation Specialized micro-hypervisors for unikernels
US10169028B2 (en) * 2016-12-13 2019-01-01 Ciena Corporation Systems and methods for on demand applications and workflow management in distributed network functions virtualization
US10931744B1 (en) * 2017-01-19 2021-02-23 Tigera, Inc. Policy controlled service routing
US10362517B2 (en) * 2017-04-07 2019-07-23 Vapor IO Inc. Distributed handoff-related processing for wireless networks
US10945166B2 (en) * 2017-04-07 2021-03-09 Vapor IO Inc. Distributed processing for determining network paths
US20180375897A1 (en) * 2017-06-26 2018-12-27 Formaltech, Inc. Automated network device cloner and decoy generator

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030120935A1 (en) * 2001-12-20 2003-06-26 Coretrace Corporation Kernel-based network security infrastructure
USRE44717E1 (en) * 2004-05-06 2014-01-21 Intellectual Ventures Ii Llc Edge detecting method
CN101171573A (zh) * 2005-06-22 2008-04-30 思科技术公司 用于网络、块和文件输入及输出的卸载堆栈
US8392697B1 (en) * 2007-04-11 2013-03-05 American Megatrends, Inc. BIOS configuration and management
WO2009155574A1 (en) * 2008-06-19 2009-12-23 Servicemesh, Inc. Cloud computing gateway, cloud computing hypervisor, and methods for implementing same
US8813174B1 (en) * 2011-05-03 2014-08-19 Symantec Corporation Embedded security blades for cloud service providers
US20140020072A1 (en) * 2012-07-13 2014-01-16 Andrew J. Thomas Security access protection for user data stored in a cloud computing facility
US20150052524A1 (en) * 2013-08-13 2015-02-19 Vmware, Inc. Method and system for remigration of virtual machines and virtual applications between cloud-computing facilities
US20160283404A1 (en) * 2013-12-17 2016-09-29 Bin Cedric XING Secure enclaves for use by kernel mode applications
CN104951694A (zh) * 2014-03-24 2015-09-30 华为技术有限公司 一种管理虚拟机的隔离方法及装置
US20170177854A1 (en) * 2014-05-15 2017-06-22 Carnegie Mellon University Method and Apparatus for On-Demand Isolated I/O Channels for Secure Applications
US20160092678A1 (en) * 2014-09-30 2016-03-31 Microsoft Corporation Protecting Application Secrets from Operating System Attacks
CN105512550A (zh) * 2015-01-21 2016-04-20 卡巴斯基实验室股份公司 用于活跃的操作系统内核保护的系统和方法
WO2016186755A1 (en) * 2015-05-19 2016-11-24 Microsoft Technology Licensing, Llc. Secured access control to cloud-based applications

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
葛敬国;: "基于网络处理器IXP2400系统的软件设计", 计算机科学, no. 02, pages 269 - 273 *

Also Published As

Publication number Publication date
US11150937B2 (en) 2021-10-19
US20200183726A1 (en) 2020-06-11
EP3418933A1 (de) 2018-12-26
CN110785757B (zh) 2023-09-26
WO2018234020A1 (de) 2018-12-27
EP3616113A1 (de) 2020-03-04

Similar Documents

Publication Publication Date Title
EP3101535B1 (en) Method for updating a control unit for an automotive vehicle, control unit for an automotive vehicle, and computer program product
US10009350B2 (en) Hardware components configured for secure physical separation of communication networks in a vehicle and methods of use thereof
US9235707B2 (en) Methods and arrangements to launch trusted, coexisting environments
US20180124064A1 (en) Separated application security management
US9104861B1 (en) Virtual security appliance
US20210185095A1 (en) Virtualized controllers for in-vehicle and iot networks
US20170010875A1 (en) Method for Deploying BIOS Integrity Measurement via BIOS Update Package and System Therefor
CN107408172B (zh) 从用户信任的设备安全地引导计算机
CN110785757B (zh) 边缘设备和用于运行边缘设备的方法
US20060070066A1 (en) Enabling platform network stack control in a virtualization platform
US20090064274A1 (en) Dual non-volatile memories for a trusted hypervisor
CA2627635A1 (en) Universal game download system for legacy gaming machines
EP2672414A1 (en) Method for transferring configuration data to controller devices, a system and a computer program product
US20230229758A1 (en) Automated persistent context-aware device provisioning
US20230229778A1 (en) Multi-phase secure zero touch provisioning of computing devices
ES2805423T3 (es) Procedimiento y dispositivo para proporcionar una función de seguridad criptográfica para el funcionamiento de un aparato
Nyström et al. UEFI NETWORKING AND PRE-OS SECURITY.
CN109711161B (zh) 一种监控方法及电子设备
CN113301107B (zh) 节点计算平台及其实现方法、计算机可读存储介质
US20230161867A1 (en) Method and device for securely starting up a container instance
CN116360924A (zh) 安全执行容器的方法及装置
CN112219186A (zh) 用于将程序代码包安装到设备中的方法以及设备和机动车
CN116208353A (zh) 一种校验固件的方法、装置、网卡、芯片系统及服务器
US20230229779A1 (en) Automated ephemeral context-aware device provisioning
Tsantekidis et al. Security for heterogeneous systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant