在區塊鏈邊緣計算環境下,由於相關邊緣計算服務模式的複雜性、實時性,資料的多源異構性、感知性以及終端資源受限特性,傳統環境下的資料安全和隱私保護機制不再適用於邊緣裝置產生的海量資料防護,亟待新的邊緣資料安全治理理念,提供輕量級資料加密、資料安全儲存、敏感資料處理和敏感資料監測等關鍵技術能力,保障資料的產生、採集、流轉、儲存、處理、使用、分享、銷燬等環節的全生命週期安全,涵蓋對資料完整性、保密性和可用性。
為了更好的適應行業發展,完成相應的數字產業佈局,面對邊緣計算使用者隱私資料洩露的安全風險,paydex採用輕量級加密、隱私保護資料聚合、基於差分隱私的資料保護、聯合機器學習隱私保護等技術手段外,在進行資料資訊的路由轉發時,更根據資料資訊的型別進行分類管理。將涉及使用者隱私的資料資訊加以標識,在每個節點的資料入口透過防火牆進行隔離,按照最小化原則關掉所有不必要的服務及埠,對於增加標識的重要資料進行完整性、機密性及防複製的保護。另外,針對開放API介面的隱私資料洩露問題,我們將雲計算服務中心的入侵檢測技術應用於節點,對API介面的使用者進行檢測,防止攻擊者獲取使用者的隱私資料資訊;針對節點部署分散的問題,可以採用分散式入侵檢測技術,透過多個節點之間進行協作,以自組織的方式實現對惡意攻擊的檢測
增強對稱加密、非對稱加密
在以上的技術框框架之下,我們基於資料脫敏要求對使用者資料中的隱私(含:身份資訊、位置資訊和私密資料等關聯到個人的資料)和身份(含:使用者所知、使用者擁有(如智慧卡)、使用者具有(如生物特徵等))進行保護,以加密(含:對稱加密、非對稱加密等)或脫敏(含:匿名或假名等)等主流資料安全技術,不斷加強儲存以防資料丟失,保障使用者資料的機密性和完整性。邊緣計算應支援對接入裝置使用使用者准入機制,同時支援安全接入隧道,並對使用者的資料加密,來確保安全的接入裝置。尤其在企業園區的應用場景中,可將使用者的接入授權與企業內部的授權伺服器對接,實現使用者接入授權。
構建態勢感知能力
相比中心側,paydex打造的邊緣場景由於其部署位置更下沉,提供開放能力,且可用資源更受限等特點,無法部署重量級的防禦能力,邊緣場景將面臨更大的安全威脅。為了解決這個問題,利用“白名單/規則/AI演算法”等技術,結合邊緣網元自身的業務特點,構建邊緣場景內建的輕量化安全態勢感知能力,實現威脅檢測的高效能和高檢出率。
憑藉邊緣場景內建的輕量化安全態勢感知能力,paydx能夠實現裝置接入前的安全配置核查,系統加固,以減少系統自身的脆弱點;能夠實現平臺執行時的實時入侵檢測/定時配置核查加固,及時發現網路被攻擊/系統配置被篡改的異常行為,快速響應,降低不良影響。