在区块链边缘计算环境下,由于相关边缘计算服务模式的复杂性、实时性,数据的多源异构性、感知性以及终端资源受限特性,传统环境下的数据安全和隐私保护机制不再适用于边缘设备产生的海量数据防护,亟待新的边缘数据安全治理理念,提供轻量级数据加密、数据安全存储、敏感数据处理和敏感数据监测等关键技术能力,保障数据的产生、采集、流转、存储、处理、使用、分享、销毁等环节的全生命周期安全,涵盖对数据完整性、保密性和可用性。
Paydex认为:广域和局域场景下,数据在边缘节点存储以及在复杂异构的边缘网络环境中传输的安全性需要得到保障。对于存储的大量数据,需要识别出保障业务运行的重要数据并进行安全备份和恢复,避免因数据损毁导致正常业务无法进行。此外,应提供异地备份功能,可通过通信网络将重要数据备份到异地,支持备份数据一致性检验、备份位置查询等功能。
为了更好的适应行业发展,完成相应的数字产业布局,面对边缘计算用户隐私数据泄露的安全风险,paydex采用轻量级加密、隐私保护数据聚合、基于差分隐私的数据保护、联合机器学习隐私保护等技术手段外,在进行数据信息的路由转发时,更根据数据信息的类型进行分类管理。将涉及用户隐私的数据信息加以标识,在每个节点的数据入口通过防火墙进行隔离,按照最小化原则关掉所有不必要的服务及端口,对于增加标识的重要数据进行完整性、机密性及防复制的保护。另外,针对开放API接口的隐私数据泄露问题,我们将云计算服务中心的入侵检测技术应用于节点,对API接口的使用者进行检测,防止攻击者获取用户的隐私数据信息;针对节点部署分散的问题,可以采用分布式入侵检测技术,通过多个节点之间进行协作,以自组织的方式实现对恶意攻击的检测。
增强对称加密、非对称加密
在以上的技术框框架之下,我们基于数据脱敏要求对用户数据中的隐私(含:身份信息、位置信息和私密数据等关联到个人的数据)和身份(含:用户所知、用户拥有(如智能卡)、用户具有(如生物特征等))进行保护,以加密(含:对称加密、非对称加密等)或脱敏(含:匿名或假名等)等主流数据安全技术,不断加强存储以防数据丢失,保障用户数据的机密性和完整性。边缘计算应支持对接入设备使用用户准入机制,同时支持安全接入隧道,并对用户的数据加密,来确保安全的接入设备。尤其在企业园区的应用场景中,可将用户的接入授权与企业内部的授权服务器对接,实现用户接入授权。
构建态势感知能力
Paydex通过统一的安全态势感知、协同防御能力建设,实现边云协同态势感知。应用于中心云入侵检测技术也可以应用于边缘节点,对恶意软件、恶意攻击等行为进行检测。此外,对于边缘分布式的特点,可以通过相应的分布式边缘入侵检测技术来进行识别,在中心云管理面进行安全态势感知呈现。
相比中心侧,paydex打造的边缘场景由于其部署位置更下沉,提供开放能力,且可用资源更受限等特点,无法部署重量级的防御能力,边缘场景将面临更大的安全威胁。为了解决这个问题,利用“白名单/规则/AI算法”等技术,结合边缘网元自身的业务特点,构建边缘场景内置的轻量化安全态势感知能力,实现威胁检测的高性能和高检出率。
凭借边缘场景内置的轻量化安全态势感知能力,paydx能够实现设备接入前的安全配置核查,系统加固,以减少系统自身的脆弱点;能够实现平台运行时的实时入侵检测/定时配置核查加固,及时发现网络被攻击/系统配置被篡改的异常行为,快速响应,降低不良影响。