保护边缘设备信任分数的方法技术

一个示例方法包括将信任评分与认证级别相关联。信任分数在计算系统中受到保护，使得设备可以被验证。认证级别基于已核查的信任分数。数。数。

【技术实现步骤摘要】
【国外来华专利技术】保护边缘设备信任分数的方法


[0001]本专利技术的实施方式总体上涉及网络以及设备安全性。更具体地，本专利技术的至少一些实施方式涉及用于安全操作的系统、硬件、软件、计算机可读介质和方法，所述安全操作包括数据和/或设备相关的安全操作。

技术介绍

[0002]IoT(物联网)通常指连接到互联网的数十亿的设备。这些设备中的许多设备收集、生成或共享数据。连接到互联网的设备的范围很大，并且包括例如边缘数据中心、终结点设备、边缘服务器和传感器。随着边缘设备的演变，从边缘设备上传的数据量可能大于下载到边缘设备的数据量。
[0003]传输数据的能力在带来安全问题的同时，并不是唯一的安全问题。具有IP(互联网协议)地址的设备在某个时候会受到某种攻击。如今，安全往往是设备本身的责任。消费者有责任确保他们的设备在软件和固件方面是最新的。随着时间的推移，这将成为一项非常复杂的任务，尤其是当制造商不再提供支持、无法更新代码库和函数库等时。
[0004]如今，当设备被添加到边缘系统时，装载和注册过程通常是手动的，而且不安全。从制造商的角度来看，密钥和证书(如SCEP(简单证书注册协议))通常是手动执行的，没有鉴证，也没有多个签名者的好处。从设备所有者的角度来看，证书管理、更新、设备所有权转移等都很耗时，而且容易出错。
[0005]当前的安全方法将边缘生态系统和设备作为孤岛(silo)处理，但这会造成更多的漏洞、更高的风险，并且生成的数据总体价值更低。此外，当前的安全方法使管理过程复杂化，使得很难解决和减轻风险。由于永久连接和暴露在互联网上，数据盗窃或操纵是当前边缘部署面临的最大威胁之一。
[0006]这些类型部署中的一个关键问题是，这些生态系统中的大多数边缘生态系统和设备很难进行认证和信任。例如，难以确保正确的设备正在接收正确的信息(对软件、命令、数据、消息、元数据等的更新)，也难以确保从可信来源接收该信息。
[0007]除了有效设备的安全性外，还需要防止非法或假冒设备的影响。例如，假冒设备可能试图连接到生态系统并输入虚假数据。欺诈服务器可能试图窃听通信或向网络发布虚假数据或指令。简单地说，安全技术通常在很大程度上依赖于设备本身，这种方法除了其不足之处外，还增加了硬件和软件制造商的复杂性和依赖性。
附图说明
[0008]为了描述可以获得本专利技术的优点和特征中的至少一些所用的方式，将通过参考本专利技术在附图中示出的具体实施方式来呈现本专利技术的实施方式的更特定描述。应理解，这些附图仅描绘了本专利技术的典型实施方式并且因此不应被视为是对其范围的限制，通过使用这些附图将用附加的特征和细节来描述并解释本专利技术的实施方式，其中：
[0009]图1A公开了生成信任分数的各个方面；
[0010]图1B公开了将认证级别与信任分数相关联的各个方面；
[0011]图1C公开了将认证级别与信任分数相关联的各个方面；
[0012]图1D公开了被配置为保护信任分数的计算系统的各个方面；
[0013]图1E示出实现安全平台的生态系统的示例；
[0014]图2公开了信任数据库和信任账本的各个方面；
[0015]图3公开了用于核查或验证信任分数的方法的各个方面，该方法可以包括设备注册；
[0016]图4公开了用于保护和/或验证信任分数的方法的各个方面；以及
[0017]图5进一步公开了在网络中保护和验证信任分数和/或注册设备的各个方面。
具体实施方式
[0018]本专利技术的实施方式总体上涉及网络安全性、设备安全性和/或认证。更具体地，本专利技术的至少一些实施方式涉及用于安全操作、认证操作、将信任分数与认证级别相关联的安全即服务(security as a service，SaaS)、和/或其组合的系统、硬件、软件、计算机可读介质和方法。
[0019]总体上，本专利技术的示例实施方式涉及SaaS(本文称为安全平台)，其可以将安全作为服务来提供，并且可以执行或强制执行安全操作，包括但不限于信任操作、信任分数操作、信任分数保护操作、账本操作、信任验证操作、认证操作等，或其组合。安全平台可以取代或增强设备特定的安全性。安全平台可以允许连接到生态系统的设备(例如，边缘部署的附接到网关、网络的一部分)部分地基于信任分数来执行安全相关操作。这至少部分地通过确保信任分数有效来实现的。根据信任分数，安全即服务可能强制执行认证要求或认证级别。信任分数和相关联的元数据可以记录在不可变的分布式账本中，例如区块链账本或超级账本中。
[0020]本专利技术的实施方式使用信任分数来促进这两种安全性。总体上，信任分数衡量设备的安全程度。基于信任分数，确定设备访问生态系统/与生态系统通信时必须使用的认证级别。本专利技术的实施方式保护该信任分数，该信任分数可以由许多来源生成。本专利技术的实施方式确保设备的信任分数不被伪造或欺诈，以确保将适当的认证级别应用于设备。
[0021]例如，诸如传感器之类的设备可能由于各种原因(例如，由于其位置、频繁的数据访问、过度的功耗)而表现出可疑行为，然后安全平台可以确定是否正在应用或执行适当的认证级别。在一个示例中，一旦识别出行为，就可能需要认证。这可以确定设备在装载过程(例如，将设备添加到生态系统中)期间或甚至在装载过程之后没有使用用于可疑行为的适当的真实动作。
[0022]由于可疑行为或其他原因，可以通过检查存储在不可变账本中的设备的信任分数来验证设备的信任分数。这允许安全平台通过用账本中的信任分数验证当前使用的信任分数来确定设备的信任分数是准确的、伪造的、还是错误的。如果信任分数不匹配，则可以断开设备连接，可能需要进行附加的认证，等等。
[0023]当信任分数发生变化时，该变化也会以授权的方式提交到账本。这允许将区块链或账本用于审计目的，并允许执行正确的认证级别。将信任分数存储在账本中可以保护信任分数。
[0024]本专利技术的实施方式进一步促进了生态系统信任进入/离开生态系统的设备的能力。保护信任分数和验证信任分数的能力可以促进安全和信任。例如，在第一生态系统中操作的设备可以具有信任分数。如果该设备试图加入该设备未知的第二生态系统，则第二生态系可能不信任该设备。然而，如果第一生态系统信任第二生态系统并且能够用第二生态系统验证设备的信任分数，则第一生态系统可能对设备具有一定的信任。
[0025]如果可用，第一生态系统还可以使用账本来验证信任分数。这表明，并不总是需要使用账本来验证信任分数，并且可以使用信任分数和信任关系来保护生态系统的安全。然而，账本仍然可以在任何时候使用。例如，如果第一生态系统和第二生态系统都共享与同一账本关联的或可以访问相关账本的网关设备，则除了信任第一生态系统之外，第二生态系也能够通过访问账本来验证设备的信任分数，因为设备的信任分数可能存储在该账本中。
[0026]安全平台被配置为将信任分数或信任评分与认证相关联。安全平台允许基于信任分数应用或要求各种认证级别。相对较高的信任分数可能需要较低的认证级别，而相对较低的信任分数则本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：基于计算系统中的设备执行的工作负载为所述设备生成信任分数；通过应用程序提交事务请求以注册所述设备的所述信任分数；通过实现存储不可变信任分数的账本的认可对等方验证所述信任分数；从认可对等方接收对等设备的信任分数；生成用于所述设备的信任分数的验证所述信任分数的验证块；以及将所述信任分数提交到所述账本。2.根据权利要求1所述的方法，还包括：使用侧面渠道配置文件来生成所述设备的所述信任分数。3.根据权利要求2所述的方法，其中，所述侧面渠道配置文件包括启动配置文件、套接字配置文件、操作配置文件、所述设备的生命周期内的操作配置文件、功耗配置文件或其组合中的一个或多者。4.根据权利要求3所述的方法，还包括：基于所述设备是否与所述侧面渠道配置文件有偏差来提高或降低所述信任分数。5.根据权利要求2所述的方法，还包括：将所述侧面渠道配置文件发布到所述账本。6.根据权利要求1所述的方法，其中，验证所述信任分数包括从其他可信网络或其他账本接收所述对等设备的信任分数。7.根据权利要求1所述的方法，还包括：将所述对等设备的信任分数广播到所述账本和/或其他账本用于验证。8.根据权利要求1所述的方法，还包括：验证不同计算系统中的设备的信任分数。9.一种非暂时性计算机可读介质，包括用于执行操作的计算机可执行指令，所述操作包括：基于计算系统中的设备执行的工作负载为所述设备生成信任分数；通过应用程序提交事务请求以注册所述设备的所述信任分数；通过实现存储不可变信任分数的账本的认可对等方验证所述信任分数；从认可对等方接收对等设备的信任分数；生成用于所述设备的信任分数的验证所述信任分数的验证块；以及将所述信任分数提交到所述账本。10.根据权利要求9所述的非暂时性计算机可读介质，还包括：使用侧面渠道配置文件来生成所述设备的所述信任分数。11.根据权利要求10...

【专利技术属性】
技术研发人员：M，
申请(专利权)人：EMCIP控股有限公司，
类型：发明
国别省市：