物联网边缘计算安全技术与应用研究报告

可信边练计算推进计划 物联网边缘计算安全技术 与应用研究报告 2023年9月 联合编制单位： 可信边缘计算推进计划、上海物盾信息科技有限公司、中国电力科学研究院有限公司、国网浙江省电力有限公司信息通信分公司、公安部第三研究所、平高集团有限公司、大唐高鸿信安（浙江）信息科技有限公司、杭州漠坦尼科技有限公司 编写人员： 李昂、王蕴婷、汤晓冬、徐梦宇、刘增明、吴海霞、谢新勤、吴楠、段祥骏、王晓晨，毛冬、饶涵宇、刘继顺、朱晨光、高群伟、刘海洁、陆屏、彭洋 目录CONTENTS 1前言1 2物联网边缘计算安全概述2 2.1物联网边缘计算框架2 2.2安全概念4 2.3研究现状8 3物联网边缘计算安全风险与挑战10 3.1典型风险10 3.2安全需求11 4物联网边缘计算安全防护12 4.1关✃技术12 4.2物联网边缘计算安全防护框架18 4.3物联网安全防护体系29 5物联网边缘计算安全防护案例33 5.1数据安全一一面向小微企业✁设备运维管理方案33 5.2安全管控虚拟电厂✁安全防护34 5.3业务连续性保障一一可编程边缘控制器安全保障36 5.4可信计算一车联网安全38 6总结和展望40 了参考文献41 1前言 十十八八大大以以来来，，党党和和政政府府将将网网络络安安全全的的战战略略高高度度提提升到升了到信了息信化息的化的同同等等水水平平。。这这一一理理念念不不断断通通过过我我国国的的网网络络安安全全法法和和等级等保级护保保护护保标护准标准体体系系进进行行落落实实，，已已经经遂逐步步成成为为我我们们引引入入任任何何信信息息技术技时术首时要首考要虑考的虑问的问题题之之一一。。 随随着着物物联联网网的的不不断断发发展展，，物物联联网网云云计计算算中中心心面面临临着海着量海设量备设接备入接入 和和实实时时控控制制响响应应的的需需求求，，特特别别是是在在城城市市基基础础设设施施智智能能化化电(电力力、、水水务务等等))和和智智能能控控制制领领域域(智(能智制能造制、造车、联车网联等)网。等此时)。引此入时边引缘入计算边范缘式计实算范式实现现边边缘缘智智能能控控制制，，提提升升案系统统的的控控制制实实时时性性和和网网络络经济经性济成性为成一为种一必种然必。然。 在在物物联联网网环环境境中中，，物物联联网网终终端端普普遍遍计计算算能能力力和和安安全全防护防能护力能较力弱较弱，存存在在比比较较产严重重的的安安全全同问题题；；新新引引入的入边的缘边计缘算计节算点节带点来带的来云的-边云协-同边协同虽虽然然可可实实现现边边节节点点对对终终端端的的亢冗余余支支持持和和边边界点界的点无的缝无移缝动移，动不，仅不进仅一进一步步增增加加了了终终端端管管理理的的难难度度，，也也引引入入了了终终端端数数据安据全安问全题问。题同。时同，时边，缘边缘计计算算范范式式引引入入到到物物联联网网环环境境中中，，文又给物给联物网联的网安的全安防全护防带护来带了来机了遇机：遇，可同以以通通过过引引入入边边缘缘安安全全防防护护节节点点强强化化局局部部物物联联网网的的设设备备入入网网认认证证管管理理、、行行为为模模式式安安全全、、基基于于密密码码的的访访间问控控制制，，从从而而便得使局得部局物部联物网联的网安的安全全性性大大大大提提升升，，同同样样分分布布式式的的边边缘缘计计算算节节点点也也为为构构建分建布分式布非式对非称对密称密码码体体系系带带来来了了可可能能。。 本本白白皮皮书书首首先先对对物物联联网网边边缘缘计计算算的的框框架架，，所所涉涉及及的的安安全主全题主和题国和国内内外外标标准准及及国国家家政政策策进进行行综综述述；；然然后后从从风风险险分分析出析发出，发列，举列当举前当可前应可应用用于于物物联联网网边边缘缘计计算算范范式式中中的的主主流流安安全全防护防技护术技；术本；文本进文一进步一提步出提物出物联联网网边边缘缘计计算算的的防防护护框框架架和和安安全全防防护护体体系，系可，可引引导导读者读在者工在程工实程践实中践中 可可信边边缘缘计计算算推推进进计计划划1 开开展展物物联联网网边边缘缘计计算算安安全全防防护护体体系的系建的设建。设最。最后本后文本列文举列多举个多实个用实案用案例例，，进进一一步步阐阐述述物物联联网网边边缘缘计计算算的安的全安体全系体的系应的用应用 我我国国网网络络安安全全工工作作采采用用“同“同步步规规划划、同、步同建步设建、设同、步同运步维运”的维三”的同三同步步原原则则，，因因此此物物联联网网边边缘缘计计算算安安全全防防护护在在推推进进物物联网联边网缘边计缘算计过算程过中程，中，尤尤为为重重要要。。 22易物联联网网边边缘缘计计算算安安金全概概述述 22..11物联物网联逆网继边计缘算计框算架框架 云服务平台 云端 边云协回工 NESCRPPLH 边缘云 (EdgeCloud) 边缘侧 国火象HSCADA H搭口 边缘网关 (EdgeGateway) HH 南肉口 功缘控制器 (Device) 机床、产线等 物物联联网网边边缘缘计计算算，，是是为为了了解解决决物物联联网网局局部部的的实时实控时制控和制本和地本化地智化智能能控控制制，，而而引引入入边边缘缘计计算算范范式式的的一一种种新型新计型算计场算景场。景。 图图11..11物物联联网网达边缘缘计算计起算案框图架图 物物联联网网边边缘缘计计算算框框架如架0如.1所0.示1，所主示要，包主括要以包下部括分以：下部分： 11)）终终端端设设备备：：终终端端设设备备主主要要包包括括传传感器感、器智、能智仪能器仪仪器表仪、表智、能智伺能伺 22可可信信边边缘缘计计算算推推进进计计划划 服服电电机机、、RRFFIDID芯芯片、片自、动自化动机化械机臂、械A臂G、V小A车G等V，小可车在等一，个可在一个局局部部应应用用场场景景，，完完成成信信息息采采集集和和局局部部控控制。制。 22)）物物联联网网局局域域网网络：络物：物联网联局网域局网域络网根络据具根体据应具用体场应景用，有场W景IF，I有WIFI、蓝蓝牙牙、、NFNCF、CZ、igBZeei、gB4Gee/5、GL4iteG等/5，G也L可i通te过等有，线网也络可实现通过有线网络实现终终端端设设备备之之间间和和与与边边缘缘边边缘缘控控制制器器的的网网络通络信通。信。 33)）边边缘缘节节点点：：边边缘缘节节点点主主要要包包括具括有具边有缘边算缘力算的力智的能智终能端终设端备、设备、控控制制设设备备、、边边缘缘控控制制器器、、边边缘缘网网关关、、边边缘缘计计算算盒子盒等子，等通，常通部常部署署在在现现场场，，实实现现智智能能感感知知、、实实时时控控制制、、实实时时数数据据处处埋和理实和时实决时决策策。。边边缘缘节节点点分分为为边边缘缘网网关关和和边边缘缘计计算算节节点点两种两类种型类。型边。缘边网缘网关关负负责责边边缘缘网网络络的的访访间问控控制制，，内内部部安安全全管管理理和和协协议议转换转等换工等作工：作；边边缘缘计计算算节节点点主主要要提提供供边边缘缘算算力力。。 44)）边边缘缘云云：：边边缘缘云云是是边边缘缘节节点点通通过过网络网连络接连在接一在起一，起可，实可现实互现相互相支支持持，，分分布布式式管管理理的的边边缘缘节节点点云云。。 55)）边边缘缘应应用用：：利利用用边边缘缘侧侧的的基基础础设设施施和和边边缘缘平台平提台供提的供基的础基能础力能，力，可可以以开开发发和和部部署署各各种种边边缘缘侧侧的的物物联联网网应应用用和和物联物网联服网务服。务。 66)）边边缘缘接接入入平平台台：：边缘缘接接入入平平台台位位于于云云端端，，主主要要实实现现云云平平台台对对边边缘缘平平台台基基础础设设施施、、边边缘缘设设备备等等资资源源的的管管理理，提，提供供将云将上云的上应的用应用和和服服务务延楚伸伸到到边边缘缘的的能能力力，，实实现现边边缘缘和和云云端端的的数数据据和能和力能的力切的协同同，，提提供供完完整整的的边边缘缘和和云云平平台台一一体体化化协协同服同务服能务力能。力。 77)）边边缘缘数数据据。。边边缘缘数数据据是是物物联联网网在在边边缘侧缘产侧生产的生采的集采数集据数、据配、置配置数数据据、、决决策策数数据据、、状状态态数数据据、、模模型型数数据据等等原原始始或衍或生衍数生据数。据这。这些些数数据据呈呈现现结结构构化化、、半半结结构构化化、、非非结结构构化化等等多多种格种式格，式具，有具分有分 可信边缘计算推进计划3 可借边缘计算推进计划 布布广广泛泛、、数数量量巨巨大大、、时时序序性性强强等等特特点点。 物物联联网网边边缘缘计计算算在在许许多多行行业业都都有有广广泛泛的的应用应和用发和展发，展特，别特是别那是些那些需需要要实实时时执执行行控控制制和和局局部部智智能能化化的的行行业业，可，可见见物物联联网边网缘边计缘算计的算应的用应用优优势势更更为为明明显显。。 11)）电电力力能能源源：：边边缘缘计计算算可可提提高高电电力力能能源行源业行的业发的电发、电配、电配、电用、电用电等等环环节节的的大大型型物物联联网网的的工工作作效效率率。。例例如如，，通通过过边边缘节缘点节的点引的入引入可可统统合合分分布布式式发发电电、、储储能能、、配配电电、、用用电电的的一一体体化化智能智，能并，通并过通过引引入入区区块块链链技技术术(能(源能市源)，币促)，进促分进布式分新布能式源新生能产源利用生。产利用。 22)）工工业业制制造造业业：：边边缘缘计计算算可可以以提提高高制造制业造的业生的产生效产率效和率质和量质，量同，同时时可可以以实实现现设设备备的的智智能能化化和和自自动动化化管管理理。例。例如，如在，在生产生线产上线使上使用用边边缘缘计计算算技技术术可可以以实实现现实实时时智智能能控控制和制预和测预维测护维，护以，及以优及化优化生生产产计计划划和和维维修修管管理理等等。。 33)）智智慧慧城城市市：：边边缘缘计计算算可可以以实实现现城城市的市智的能智化能和化数和字数化字转化型转，型例，例如如，，通通过过边边缘缘计计算算技技术术可可以以实实现现智智能能交通交、通智、能智安能防安、防智、能智环能环境境等等应应用用。。同同时时，，边边缘缘计计算算还还可可以以提提高高城城市市的的能能源利源用利效用率效和率和环环境境保保护护水水平平。。 44)）物物流流业业：：边边缘缘计计算算可可以以提提高高物物流流业业的的运运输输效效率率和安和全安性全，性例，例如，如，在在物物流流车车辆辆上上使使用用边边缘缘计计算算技技术术可可以以实实现现实实时时监监控控和和路路径径优优化化，，以以及及智智能能配配送送和和签签收收等等应应用用。。 2.2 2.2 2.2.1 2.2.1 安安全全概概态念 衡物联联网网安安全全 物物联联网网的的主主要要风风险险点点包包括括终终端端、、物物联联网网卡、卡通、信通网信络网、络云、端云、端服、服 4 4可可信信边边缘缘计计算算推推进进计计划划 务务器器端端、、物物联联网网数数据据和和应应用用端端的的安安全全风风险。险。 目目前前，，物物联联网网安安全全已已经经完完成成标标准准化化过过程程，，在在我我国国网网络络安全安的全强的制强制标标准准体体系系一—“—等“级等保级护保标护准标体准系体”中系，”已中经，对已物经联对网物安联全网进安行全了进扩行展了扩展要要求求的的定定义义。。框框架架定义定如义0如.1所0示.1：所示： 女全计算环战 （应用层） 安个计始境 (么) 安全区版达 安全道增网等 物体对象 计草节点 （区禁人） 11 好坊管理安全管理市管理 家中管理中心 图因22.1.1要免物网联安网全安本全款框架 在在物物联联网网边边缘缘计计算算中中，，物物联联网网的的安安全全风风险险主主要要引引入了入海了量海的量物的联物联网网终终端端设设备备，，且且这这些些设设备备的的操操作作系系统统不不支支持持传统传安统全安措全施措部施署部，署引，入引入了了终终端