CN113709109A - 一种基于云端与边缘端数据交换的安全系统和方法 - Google Patents
一种基于云端与边缘端数据交换的安全系统和方法 Download PDFInfo
- Publication number
- CN113709109A CN113709109A CN202110852550.6A CN202110852550A CN113709109A CN 113709109 A CN113709109 A CN 113709109A CN 202110852550 A CN202110852550 A CN 202110852550A CN 113709109 A CN113709109 A CN 113709109A
- Authority
- CN
- China
- Prior art keywords
- data
- agent
- cloud
- data exchange
- post
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000004519 manufacturing process Methods 0.000 claims abstract description 45
- 238000013473 artificial intelligence Methods 0.000 claims abstract description 37
- 230000008569 process Effects 0.000 claims abstract description 19
- 230000005540 biological transmission Effects 0.000 claims abstract description 17
- 231100000279 safety data Toxicity 0.000 claims abstract description 17
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 11
- 238000012549 training Methods 0.000 claims description 14
- 238000007726 management method Methods 0.000 claims description 10
- 238000005457 optimization Methods 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 8
- 238000012550 audit Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 description 6
- 238000002955 isolation Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 229920002803 thermoplastic polyurethane Polymers 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于云端与边缘端数据交换的安全系统和方法,包括设于企业网络的非军事区的数据交换前置代理,所述前置代理通过企业防火墙与公有云网络连接,基于数字证书双向身份认证;企业的管理信息区和生产控制区之间设有安全数据交换设备;企业生产控制区内设有数据交换后置代理;所述后置代理通过安全数据交换设备与非军事区中的前置代理进行数据交换;企业生产控制区内的边缘计算节点通过后置代理从云端下载人工智能模型和参数,从生产设备采集过程数据,运行人工智能算法。本发明符合工业企业现有安全策略,在网络层、传输层、应用层三个层面解决了工业互联网人工智能应用中云端和边缘端数据交换的安全问题。
Description
技术领域
本发明涉及信息安全领域,尤其是涉及一种基于云端与边缘端数据交换的安全系统和方法。
背景技术
工业互联网通常采用云端和边缘端协同的架构。边缘端在靠近工业现场的网络边缘侧运行处理、分析等操作,就近提供边缘计算服务,能够更好满足制造业敏捷连接、实时优化、安全可靠等方面的关键需求。
人工智能(AI)是工业互联网的重要组成部分,在全面感知、泛在连接、深度集成和高效处理的基础上,工业人工智能实现精准决策和动态优化,完成工业互联网的数据优化闭环。在典型的基于深度学习的人工智能运用中,云端负责建模和模型训练,边缘端负责运行AI模型以实现预测、分类、识别等功能。建模和模型训练不仅需要专业人员,还需要专门的硬件,如GPU和TPU等。工业企业大多并不具备上述条件,对这些企业而言,使用公有云(移动、阿里、百度、腾讯、亚马逊等)提供的建模和模型训练云服务是比较务实的选择。
使用公有云提供的人工智能服务需要在云端(公有云)与边缘端(企业)之间进行数据交换,边缘端把用于模型训练的样本数据上传到云端,云端把AI模型以及模型参数下载到边缘端,由边缘端负责执行。
工业企业对网络安全和信息安全有比较高的要求。由于需要跨越公有云、互联网、企业内部网络,上述数据交换必须充分考虑网络安全和信息安全,做好全方位的安全防护。安全防护缺失或者不到位,将给工业企业的网络安全、信息安全,甚至是生产安全带来隐患。
发明内容
为了解决上述技术问题,本发明提出一种基于云端与边缘端数据交换的安全系统和方法,使用公有云提供的人工智能服务需要在云端(公有云)与边缘端(企业)之间进行数据交换,边缘端把用于模型训练的样本数据上传到云端,云端把AI模型以及模型参数下载到边缘端,由边缘端负责执行。
工业企业对网络安全和信息安全有比较高的要求。由于需要跨越公有云、互联网、企业内部网络,上述数据交换必须充分考虑网络安全和信息安全,做好全方位的安全防护。安全防护缺失或者不到位,将给工业企业的网络安全、信息安全,甚至是生产安全带来隐患。
本发明的技术方案具体如下:
一种基于云端与边缘端数据交换的安全系统,包括设于企业网络的非军事区的数据交换前置代理,所述前置代理通过企业防火墙与公有云网络连接,基于数字证书双向身份认证;
企业的管理信息区和生产控制区之间设有安全数据交换设备;
企业生产控制区内设有数据交换后置代理;所述后置代理通过安全数据交换设备与非军事区中的前置代理进行数据交换;
企业生产控制区内的边缘计算节点通过后置代理从云端下载人工智能模型和参数,从生产设备采集过程数据,运行人工智能算法。
进一步地,全数据交换设备、数据交换前置代理与公有云之间还设有防火墙。
进一步地,公有云和前置代理各自持有传输层证书,并且将对方的证书配置在信任证书列表中;由公有云或前置代理发起数据交换。
进一步地,后置代理和公有云配置应用层证书,发送数据时,使用各自数字证书对应的私钥进行签名,接收数据时使用对方数字证书中的公钥进行验签;验签失败的数据被抛弃。
进一步地,验签失败时,触发安全告警,同时数据被记录到安全审计日志中;后置代理还包括数据审核模块。
进一步地,后置代理将由云端收到的合法的AI模型和参数下载到边缘计算节点,把由边缘计算节点采集的用于模型训练的样本数据通过安全数据交换设备摆渡到前置代理后上传到云端。
一种云端与边缘端数据的安全交换方法,包括如下步骤:
步骤1、公有云使用云端应用层证书对应的私钥对需要下载到边缘端的数据进行数字签名;
步骤2、公有云和前置代理使用传输层证书进行双向身份认证,并建立安全连接,所述安全连接包括HTTPS或者VPN;
步骤3、若安全连接建立成功,公有云通过上述安全连接将签名后的数据发送到企业侧的前置代理;
步骤4、前置代理通过安全数据交换设备将收到的含数字签名的数据摆渡到生产控制区内的后置代理;
步骤5、后置代理使用云端应用层证书的公钥对数据的数字签名进行验签,验签失败的数据将被抛弃,流程结束;验签通过则流程继续;
步骤6、后置代理将不含数字签名的数据下载到生产控制区内的边缘计算节点;
步骤7、边缘计算节点运行人工智能算法,实现精准决策和动态优化。
一种云端与边缘端数据的安全交换方法,包括如下步骤:
步骤1、企业生产控制区内的边缘计算节点将训练AI模型所需的样本发送到后置代理;
步骤2、后置代理使用边缘端应用层证书对应的私钥对数据进行签名;
步骤3、后置代理将签名后的数据通过安全数据交换设备摆渡到非军事区内的前置代理;
步骤4、公有云和前置代理使用各自的传输层证书进行双向身份认证并建立安全连接,所述安全连接包括HTTPS或者VPN;
步骤5、前置代理通过上述安全连接将含数字签名的数据发送到公有云;
步骤6、公有云使用边缘端应用层证书中的公钥对数据的数字签名进行验签,验签失败的数据将被抛弃,流程结束;验签通过则流程继续;
步骤7、公有云使用不含数字签名的数据进行人工智能建模及模型训练。
人工智能算法可以是任何业内公知的或者专有的算法,其具体形式并不属于本发明的范围。
在企业网络的非军事区(DMZ)设置数据交换前置代理,简称前置代理。所述前置代理经过企业网络防火墙与公有云进行网络连接。
所述前置代理和公有云之间采用安全传输协议(包括但不限于HTTPS或VPN等)进行通信,确保数据传输的安全;所述传输协议启用基于X.509数字证书的双向身份认证,确保数据交换两端确认彼此身份。
本发明将上述数字证书称为传输层证书。公有云使用的证书称为云端传输层证书,前置代理使用的证书称为边缘端传输层证书。数字证书使用非对称加密技术,其中包含证书主体的身份信息及其公钥,每个数字证书都有对应的私钥,私钥由证书所者持有和使用,这是业界公知的常识。
在企业管理信息区和生产控制区之间部署安全数据交换设备。所述安全数据交换设备实现管理信息区和生产控制区之间的物理隔离和数据交换,同时还具备病毒防护和入侵检测等安全功能。
在企业生产控制区设置数据交换后置代理,简称后置代理。所述后置代理通过安全数据交换设备与非军事区中的前置代理进行数据交换。所述后置代理支持通过人工或者自动的方式对数据进行审核,同时保存所有数据交换的历史以备审计。后置代理和公有云都配置了用于对所交换数据进行数字签名和验证的X.509数字证书,称为应用层证书。公有云使用的证书称为云端应用层证书,后置代理使用的证书称为边缘端应用层证书。后置代理和公有云使用各自应用层证书对应的私钥对己方发送的数据进行数字签名,使用对方数字证书中的公钥对收到的数据验签,确保数据来源的合法性以及数据的完整性。所述后置代理把由云端收到的合法的AI模型和参数下载到边缘计算节点,把由边缘计算节点采集的用于模型训练的样本数据通过安全数据交换设备摆渡到前置代理后上传到云端。
在企业生产控制区内的边缘计算节点通过后置代理下载AI模型和参数,由生产设备采集过程数据,运行人工智能(AI)算法,实现生产过程的精准决策和动态优化。
与现有技术相比,本发明的有益效果具体如下:
本发明符合工业企业现有安全策略,在网络层、传输层、应用层三个层面解决了工业互联网人工智能应用中云端和边缘端数据交换的安全问题,特别适合工业互联网中使用公有云人工智能服务的场景,对于推动人工智能在工业互联网中的应用落地有积极的意义。
附图说明
为了更清楚地说明本发明实施例中的方案,下面将对实施例描述中需要使用的附图做简单介绍。
图1为本发明提供的系统原理图。
具体实施方式
下面结合附图对本发明的技术方案进行清楚和完整的描述。显然,所描述的实施例是本发明的部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
按照网络安全纵深防御的原则,企业网络通常被划分为多个安全区。为了描述上的方便,本实施例假设企业网络划分为非军事区(DMZ)、管理信息区以及生产控制区共三个安全区域:非军事区(DMZ)是位于企业内网和外网之间的安全缓冲区域,它把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全;管理信息区覆盖企业办公网络,其中运行着各种办公自动化系统;生产控制区覆盖企业生产控制网络,其中运行着各种生产自动化系统和设备。在不需要创造性劳动的情况下,本领域普通技术人员很容易将本发明推广到多于三个安全区的情形。
如图1所示,本实施例的基于云端与边缘端数据交换的安全系统,包括设于企业网络的非军事区200的数据交换前置代理220,所述前置代理通过企业防火墙210与公有云100网络连接,基于数字证书双向身份认证。企业的管理信息区300和生产控制区400之间设有安全数据交换设备500。
企业生产控制区400内设有数据交换后置代理410。后置代理410通过安全数据交换设备500与非军事区200中的前置代理220进行数据交换。
企业生产控制区400内的边缘计算节点420通过后置代理410从云端下载人工智能模型和参数,从生产设备430采集过程数据,运行人工智能算法。全数据交换设备500、数据交换前置代理220与公有云100之间还设有防火墙210。
本实施例中,在企业网络的非军事区200设置数据交换前置代理220,简称前置代理。前置代理通过企业防火墙210与公有云100进行网络连接。前置代理和公有云之间采用基于数字证书的双向身份认证,采用HTTPS或VPN等安全传输协议。数字证书符合X.509标准,采用RSA或者椭圆曲线等非对称加密技术,本实施例称其为传输层证书。
公有云和前置代理各自持有自己的传输层证书,并且将对方的证书配置在信任证书列表中。
前置代理到公有云方向的数据交换采用“推”的方式,由前置代理发起数据交换。公有云到前置代理的数据交换可以采用“推”的方式,也可以采用“拉”的方式。若采用推的方式,则由公有云发起数据交换,此时前置代理需要有外网IP地址;若采用拉的方式,则由前置代理发起数据交换。由于公有云只能与企业非军事区(DMZ)中的前置代理通信,因此本发明完全符合工业企业网络安全分区的策略,能有效阻断来自互联网侧针对企业内网的渗透和入侵。
在企业的管理信息区300和生产控制区400之间部署安全数据交换设备500。安全数据交换设备在实现管理信息区和生产控制区之间的物理隔离的同时,提供了在两个安全区间进行数据摆渡的通道。
安全数据交换设备还可提供病毒防护和入侵检测等功能。业界通常把此类设备称为网闸或者安全隔离网闸。由于采用了独特的硬件设计,网闸切断了两个区域的网络连接,能有效阻断从管理信息区到生产控制区的渗透和入侵,保护生产控制区内的生产自动化系统和设备。
在企业生产控制区400内设置数据交换后置代理410,简称后置代理。后置代理410通过安全数据交换设备500与非军事区200中的前置代理220进行数据交换。所述后置代理和公有云都配置了应用层证书,发送数据时使用各自数字证书对应的私钥进行签名,接收数据时使用对方数字证书中的公钥进行验签。验签失败的数据将被抛弃。
优选地,验签失败将触发安全告警,同时数据被记录到安全审计日志中。通过对数据进行签名和验签,本发明确保所交换的数据不能伪造,不能被篡改,发送方不能抵赖。优选地,所述后置代理具有数据审核功能,可以配置为人工审核,也可以配置为自动审核,还可以配置为对不同数据类型采用不同审核方式。
只有审核通过的数据才能交换。数据审核能避免企业敏感数据外泄,有效保护企业的商业秘密。优选地,所述后置代理还保存所有数据交换的历史记录,满足信息安全审计的需要。
在企业生产控制区400内的边缘计算节点420通过后置代理410从云端下载人工智能模型和参数,从生产设备430采集过程数据,运行人工智能算法,实现生产过程的精准决策和动态优化。
基于上述系统,本实施例的云端到边缘端数据交换过程如下:
步骤1、公有云100使用云端应用层证书对应的私钥对需要下载到边缘计算节点420的数据(AI模型和参数)进行数字签名。
步骤2、公有云100和企业侧非军事区中的前置代理220使用各自的传输层证书进行双向身份认证并建立安全的传输层连接,所述安全传输连接包含但不限于HTTPS或VPN等;如果采用“推”的数据交换方式,则由公有云发起建立连接;如果采用“拉”的数据交换方式,则由前置代理220代理周期性地发起建立连接,然后检查公有云端是否有数据需要下载,有数据需要下载则进入步骤3,否则过程结束。
步骤3、公有云100通过上述安全连接将数据(含数字签名)发送到企业侧的前置代理220。
步骤4、前置代理220通过安全数据交换设备500将由公有云收到的数据(含数字签名)摆渡到企业生产控制区内的后置代理410。
步骤5、后置代理410使用云端应用层证书中的公钥对数据中的数字签名进行验签,如果数据非法则抛弃并记录审计信息,流程结束;验签通过则流程继续。
步骤6、后置代理410将数据(不含数字签名)下载到边缘计算节点420。
步骤7、边缘计算节点运行人工智能算法,实现精准决策和动态优化。
人工智能算法可以是任何业内公知的或者专有的算法。
本实施例的边缘端到云端数据交换过程如下:
步骤1、边缘计算节点420将数据(训练AI模型所需的样本)发送到后置代理410。
步骤2、后置代理410使用边缘端应用层证书对应的私钥对数据进行签名。
步骤3、后置代理410将签名后的数据通过安全数据交换设备500摆渡到前置代理220。
步骤4、公有云100和前置代理220使用各自的传输层证书进行双向身份认证并建立安全链接,所述安全传输连接包含但不限于HTTPS或VPN等。
步骤5、前置代理220通过上述安全连接将来自后置代理220的数据(含数字签名)发送到公有云100。
步骤6、公有云100使用边缘端应用层证书中的公钥对数据的签名进行验签,验签失败的数据将被抛弃,流程结束;验签通过则流程继续。
步骤7、公有云100使用收到的数据(不含数字签名)进行建模和模型训练。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于云端与边缘端数据交换的安全系统,其特征在于:包括设于企业网络的非军事区的数据交换前置代理,所述前置代理通过企业防火墙与公有云网络连接,基于数字证书双向身份认证;
企业的管理信息区和生产控制区之间设有安全数据交换设备;
企业生产控制区内设有数据交换后置代理;所述后置代理通过安全数据交换设备与非军事区中的前置代理进行数据交换;
企业生产控制区内的边缘计算节点通过后置代理从云端下载人工智能模型和参数,从生产设备采集过程数据,运行人工智能算法。
2.根据权利要求1所述的安全系统,其特征在于:全数据交换设备、数据交换前置代理与公有云之间还设有防火墙。
3.根据权利要求1所述的安全系统,其特征在于:公有云和前置代理各自持有传输层证书,并且将对方的证书配置在信任证书列表中;由公有云或前置代理发起数据交换。
4.根据权利要求1所述的安全系统,其特征在于:后置代理和公有云配置应用层证书,发送数据时,使用各自数字证书对应的私钥进行签名,接收数据时使用对方数字证书中的公钥进行验签;验签失败的数据被抛弃。
5.根据权利要求4所述的安全系统,其特征在于:验签失败时,触发安全告警,同时数据被记录到安全审计日志中;后置代理还包括数据审核模块。
6.根据权利要求1所述的安全系统,其特征在于:后置代理将由云端收到的合法的AI模型和参数下载到边缘计算节点,把由边缘计算节点采集的用于模型训练的样本数据通过安全数据交换设备摆渡到前置代理后上传到云端。
7.一种云端与边缘端数据的安全交换方法,其特征在于:包括如下步骤:
步骤1、公有云使用云端应用层证书对应的私钥对需要下载到边缘端的数据进行数字签名;
步骤2、公有云和前置代理使用传输层证书进行双向身份认证,并建立安全连接,所述安全连接包括HTTPS或者VPN;
步骤3、若安全连接建立成功,公有云通过上述安全连接将签名后的数据发送到企业侧的前置代理;
步骤4、前置代理通过安全数据交换设备将收到的含数字签名的数据摆渡到生产控制区内的后置代理;
步骤5、后置代理使用云端应用层证书的公钥对数据的数字签名进行验签,验签失败的数据将被抛弃,流程结束;验签通过则流程继续;
步骤6、后置代理将不含数字签名的数据下载到生产控制区内的边缘计算节点;
步骤7、边缘计算节点运行人工智能算法,实现精准决策和动态优化。
8.一种云端与边缘端数据的安全交换方法,其特征在于:包括如下步骤:
步骤1、企业生产控制区内的边缘计算节点将训练AI模型所需的样本发送到后置代理;
步骤2、后置代理使用边缘端应用层证书对应的私钥对数据进行签名;
步骤3、后置代理将签名后的数据通过安全数据交换设备摆渡到非军事区内的前置代理;
步骤4、公有云和前置代理使用各自的传输层证书进行双向身份认证并建立安全连接,所述安全连接包括HTTPS或者VPN;
步骤5、前置代理通过上述安全连接将含数字签名的数据发送到公有云;
步骤6、公有云使用边缘端应用层证书中的公钥对数据的数字签名进行验签,验签失败的数据将被抛弃,流程结束;验签通过则流程继续;
步骤7、公有云使用不含数字签名的数据进行人工智能建模及模型训练。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110852550.6A CN113709109B (zh) | 2021-07-27 | 2021-07-27 | 一种基于云端与边缘端数据交换的安全系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110852550.6A CN113709109B (zh) | 2021-07-27 | 2021-07-27 | 一种基于云端与边缘端数据交换的安全系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113709109A true CN113709109A (zh) | 2021-11-26 |
| CN113709109B CN113709109B (zh) | 2024-02-27 |
Family
ID=78650745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110852550.6A Active CN113709109B (zh) | 2021-07-27 | 2021-07-27 | 一种基于云端与边缘端数据交换的安全系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113709109B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114745180A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 接入认证方法、装置和计算机设备 |
| CN114745226A (zh) * | 2022-03-31 | 2022-07-12 | 和中通信科技有限公司 | 基于交换中心的企业间跨域安全交换方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110296520A1 (en) * | 2010-05-28 | 2011-12-01 | Commvault Systems, Inc. | Firewall proxy systems and methods in a backup environment |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
| CN103825741A (zh) * | 2014-01-24 | 2014-05-28 | 安徽云盾信息技术有限公司 | 一种加密设备生产过程中注入带签名的证书的解决方法 |
| US20150026332A1 (en) * | 2013-05-26 | 2015-01-22 | Connectloud, Inc. | Method and Apparatus to Securely Process Streams of Data of Network / Storage / Compute Devices of Private Enterprise Clouds in Real-time from the Public Cloud |
| CN105359486A (zh) * | 2013-05-03 | 2016-02-24 | 思杰系统有限公司 | 使用代理安全访问资源 |
| CN108432180A (zh) * | 2015-11-13 | 2018-08-21 | 维萨国际服务协会 | 用于基于pki的认证的方法和系统 |
| CN108769031A (zh) * | 2018-05-31 | 2018-11-06 | 中化能源科技有限公司 | 基于区块链的边缘计算服务的实物存证溯源系统 |
| CN112930668A (zh) * | 2018-09-11 | 2021-06-08 | 阿韦瓦软件有限责任公司 | 用于dmz代理客户端的安全配置推送的服务器和系统 |
-
2021
- 2021-07-27 CN CN202110852550.6A patent/CN113709109B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110296520A1 (en) * | 2010-05-28 | 2011-12-01 | Commvault Systems, Inc. | Firewall proxy systems and methods in a backup environment |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
| CN105359486A (zh) * | 2013-05-03 | 2016-02-24 | 思杰系统有限公司 | 使用代理安全访问资源 |
| US20150026332A1 (en) * | 2013-05-26 | 2015-01-22 | Connectloud, Inc. | Method and Apparatus to Securely Process Streams of Data of Network / Storage / Compute Devices of Private Enterprise Clouds in Real-time from the Public Cloud |
| CN103825741A (zh) * | 2014-01-24 | 2014-05-28 | 安徽云盾信息技术有限公司 | 一种加密设备生产过程中注入带签名的证书的解决方法 |
| CN108432180A (zh) * | 2015-11-13 | 2018-08-21 | 维萨国际服务协会 | 用于基于pki的认证的方法和系统 |
| CN108769031A (zh) * | 2018-05-31 | 2018-11-06 | 中化能源科技有限公司 | 基于区块链的边缘计算服务的实物存证溯源系统 |
| CN112930668A (zh) * | 2018-09-11 | 2021-06-08 | 阿韦瓦软件有限责任公司 | 用于dmz代理客户端的安全配置推送的服务器和系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114745226A (zh) * | 2022-03-31 | 2022-07-12 | 和中通信科技有限公司 | 基于交换中心的企业间跨域安全交换方法 |
| CN114745226B (zh) * | 2022-03-31 | 2023-09-05 | 和中通信科技有限公司 | 基于交换中心的企业间跨域安全交换方法 |
| CN114745180A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 接入认证方法、装置和计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113709109B (zh) | 2024-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10547594B2 (en) | Systems and methods for implementing data communication with security tokens | |
| Ciholas et al. | The security of smart buildings: a systematic literature review | |
| EP4163183A1 (en) | Information security protection method and apparatus | |
| CN112804310A (zh) | 一种面向物联网应用的多链智能安全网关及实现方法 | |
| CN113709109B (zh) | 一种基于云端与边缘端数据交换的安全系统和方法 | |
| Oniga et al. | Analysis, design and implementation of secure LoRaWAN sensor networks | |
| US20090113517A1 (en) | Security state aware firewall | |
| CN110996285A (zh) | 一种基于6LoWPAN的高校智慧消防服务系统及设计方法 | |
| CN110995448A (zh) | 一种基于区块链的物联网设备身份认证方法、认证系统 | |
| CN116055254A (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
| CN110198297A (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| Puthal et al. | Decision tree based user-centric security solution for critical IoT infrastructure | |
| EP2974355A2 (en) | A device, a system and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network | |
| Rabieinejad et al. | Secure ai and blockchain-enabled framework in smart vehicular networks | |
| CN115549932A (zh) | 一种面向海量异构物联网终端的安全接入系统及接入方法 | |
| Xu et al. | Research on network security of VPN technology | |
| Kumar et al. | Towards the integration of blockchain and IoT for security challenges in IoT: A review | |
| Zhang et al. | Risk analysis of CAN bus and Ethernet communication security for intelligent connected vehicles | |
| Tyagi et al. | An Analysis of Securing Internet of Things (IoT) Devices from Man-in-the-Middle (MIMA) and Denial of Service (DoS) | |
| Kolisnyk et al. | Investigation of the smart business center for IoT systems availability considering attacks on the router | |
| CN114157509B (zh) | 基于国密算法具备SSL和IPsec的加密方法及装置 | |
| Trueblood et al. | A data-centric approach to taming the message dissemination in the Internet of Vehicles | |
| Millar | Network security issues in the Internet of Things (IoT) | |
| Rudraraju et al. | Dynamic design and implementation of security intelligence for industry | |
| Siergiejczyk | Analysis of information secure transmission methods in the intelligent transport systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |