具体实施方式

下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。可以理解的是，此处所描述的具体实施例仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理，但是其中的许多步骤可以被并行地、并发地或者同时实施。此外，各步骤的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。

本发明提供了一种边缘云计算中边缘云节点与终端用户安全管理方法。图1是本发明边缘云节点与终端用户安全管理方法流程图。

本发明基于边缘云计算的边缘云节点系统提供基于用户分组的隔离和可信环境边缘云节点，以便进行普通边缘云节点的管理和恶意软件监测，对边缘云节点的物理主机实施基于规则库的访问，防止恶意管理者从管理域威胁用户的隐私数据，防止病毒和恶意代码从一个用户扩散到其他用户，缓解用户隐私与边缘云计算提供者之间的安全规则冲突。

1)为了减轻用户对边缘云节点隐私信息遭泄露，本发明首先消除现有边缘云节点管理者的权限，阻止管理者通过技术手段访问用户边缘云节点的内部数据，限制其对用户边缘云节点的操作。通过基于边缘云节点规则库的访问规则对原来的管理模式进行分解，提供3个新的管理接口：系统管理、安全管理和日志管理。

2)通过对终端用户添加访问规则库，实现基于用户角色分组的逻辑隔离，防止病毒和恶意代码扩散到其他用户。

3)本发明创建一个特殊的可信环境边缘云节点，将授权、访问规则配置、信任度证明和监控等功能从管理域移动到可信环境边缘云节点，避免管理域对安全功能的干扰。

限制管理者的特权操作是本发明的边缘云节点系统的关键点之一。另外，还需要在管理域创建多个管理角色，从而实现对管理域权限分离管理模式，为边缘云节点管理平台提供安全增强的管理接口。本发明通过将管理域分为系统、安全和日志管理接口，实现对管理域管理权限的分离。其中，系统管理主要被设计用于管理虚拟资源，完成创建、分配边缘云节点资源等操作；安全管理用于完成授权和边缘云节点安全访问规则配置，由原来的管理域移动到专用的可信环境边缘云节点中；日志管理从边缘云节点监视器层记录上层边缘云节点的运行状态，包括执行操作的用户名、目标服务器ID、动作状态、是否授权、边缘云节点操作系统错误代码等，不仅提供类似的查询接口还能防止日志被篡改。

多用户模式下，需要根据不同用户的应用场景，提供满足不同安全规则、逻辑隔离、运行监督的安全服务。为了简化安全管理，本发明基于用户域构建逻辑隔离方法，安全管理者不再监控单个的边缘云节点和虚拟资源，而是基于用户角色管理整个用户域的作业。本发明的隔离规则基于每个用户，通过使用唯一的用户域安全标签，可以标记所有用户的边缘云节点和用户域相关的资源。仲裁监视器的主要作用是仲裁，根据访问规则库的用户隔离规则，监控边缘云节点之间的资源共享和边缘云节点之间的通信，从而实现基于用户域的逻辑隔离，并限制管理者查看用户域的隐私数据。

在本发明架构中，边缘云节点中的监控代理不获取用户的隐私数据，且满足访问规则库的安全规则，在创建边缘云节点时经用户和提供者双方同意后安装在边缘云节点的驱动中。代理的主要作用是监控边缘云节点中的模块加载并获取内部视图，通过多视图对比的方法监视边缘云节点内部是否有存在恶意软件。需要修复时，管理者可以在可信环境边缘云节点中向边缘云节点发送操作指令，防止边缘云节点内部发生攻击其他用户的动作发生。基于边缘云节点监视器对上层边缘云节点的操作拦截，可信环境边缘云节点中可以部署其他诸如边缘云节点内核完整性监视模块，可信环境边缘云节点中的安全组件和监视代理对边缘云节点内部资源的访问均符合规则库中的访问规则。

本发明将控制管理域的权限的功能放到边缘云节点监视器中实现。本发明利用了边缘云节点监视器中提供的安全控制模块。该模块提供通用的访问机制和灵活的安全hook函数接口，在边缘云节点监视器启动后运行。在安全控制模块中添加hook函数后，当域间发生事件通道、授权表、内存映射等相关操作时，安全控制模块拦截这些调用并解析调用参数，从中获取主体、客体和操作属性，访问执行模块进行判定，只有符合规则库中的访问规则才能执行操作。对于关键安全控制模块和边缘云节点监视器自身的防护，则利用基于可信平台模块的完整性度量机制进行完整性度量。

在本发明的权限控制规则中，管理域中的管理者被禁止对用户域发起安全相关操作，并且不允许任何管理者拥有创建管理账户的权限。如果是其他管理用户，则按照角色控制和访问列表规则对管理用户实施强制访问。系统管理利用原有的系统管理软件完成用户域的资源分配相关操作，但不能查看已分配给用户域的内存页信息。安全管理提供用户授权其他用户访问自己共享内存的权限，并且可通过位于可信环境边缘云节点的工具配置规则库中的访问规则。日志管理通过修改边缘云节点监视器中的事件hook，添加日志和查询接口来实现，并且访问权限受到规则库中的安全规则保护，这样就实现了权限分离的管理模式。

本发明的执行模块中，角色控制是一个基于角色的模块，用于定义管理者和用户的角色，分配基于安全标签的权限，并规定系统、安全和日志管理角色的权限分离。访问列表规则中定义了域间的访问规则，以便于对用户域实施基于用户角色的管理，同时提供基于用户域的分组隔离规则，将具有相同用户标签的边缘云节点划分到同一个域中进行系统和安全管理。本发明对权限的访问流程主要分为4步：

(1)当管理域或者用户域请求访问其他域时，边缘云节点安全控制模块拦截这些请求，对请求的主体、客体和操作类型进行分析；

(2)边缘云节点安全控制模块将这些请求传递给执行模块，由执行模块根据访问边缘云节点规则库返回判定结果；

(3)执行模块将允许/拒绝的判定结果返回到边缘云节点安全控制模块；

(4)根据判定结果，如果是允许则边缘云节点安全控制模块允许主体对客体的访问，否则，不允许本次访问请求。

边缘云节点监视器的设计实现了对虚拟资源(如：局域网、磁盘、内存或者CPU)的隔离，可以对边缘云节点之间的信息流实施访问。本发明改进现有的虚拟资源隔离方法，一方面利用安全控制模块的仲裁对管理者的权限进行限制和分割，实现权限分离的管理模式。另一方面对不同用户分组对应的边缘云节点和资源进行标记，使每个用户自己对应的边缘云节点和资源具有唯一的ID和相同的类型，这些标记由边缘云节点监视器统一管理。安全控制模块使用这些标记与访问规则库进行匹配，如果主体和客体具有相同的类型，且满足访问规则，则允许通信或者共享资源。

在用户域内部，本发明利用内存地址空间切换和CPU的禁止执行标志位，在边缘云节点监视器层提供一种轻量级的内存隔离方法，当模块执行时保护客户机内核堆栈，使扩展的内核模块在其自己的地址空间执行，而地址空间的切换操作则受到边缘云节点监视器的监控，可以在边缘云节点监视器层检查是否边缘云节点中有破坏内核完整性的操作，并隔离不可信模块的执行环境。

考虑到用户的隐私保护，除了在边缘云节点规则库中添加基于用户角色分组的访问规则，还需要为特定用户的隐私保护提供安全规则的支持。因此，在本发明的边缘云节点系统的执行模块中，还通过访问列表实现一系列用户定制的安全规则，可以指定用户的哪些数据不能被其他边缘云节点甚至管理域访问。

在本发明的边缘云节点系统中，将安全管理和服务功能移植到专用的可信环境边缘云节点中。通过修改边缘云节点监视器源码实现了添加可信环境边缘云节点这个新的边缘云节点类型，并提供可信环境边缘云节点配置边缘云节点监视器中安全规则的权限，同时禁止其他域的边缘云节点修改边缘云节点监视器中的安全规则，对内存、文件系统的隔离可以限制其他边缘云节点对可信环境边缘云节点的访问。

使用虚拟可信平台模块技术，在现有可信链的基础上，通过为边缘云节点提供虚拟可信平台模块作为可信环境边缘云节点的可信根，将信任链从底层物理可信平台模块传递到可信环境边缘云节点内部，从而实现对可信环境边缘云节点内部完整性度量。利用部署后提供的信任度证明结果，使平台提供者和用户可将证明结果作为相互信任的依据。

目前的可信环境边缘云节点安全服务功能中，除了平台信任度证明功能外，还提供了基于交叉视图对比的恶意软件监测和处理功能。以下以监测功能为例，说明安全功能从管理域移植到可信环境边缘云节点后的系统架构实现。

可信环境边缘云节点的监测模块主要由控制单元、监测单元和恶意软件处理单元构成。

1)控制单元：控制单元位于可信环境边缘云节点的应用层，利用边缘云节点监视器提供的函数库与边缘云节点监视器以及用户域进行交互。其功能主要包括：显示各个用户域的安全链表、显示当前各个用户域所受恶意软件攻击情况、向恶意软件处理单元发送指令处理对应的恶意软件。这里，安全链表的作用是存储用户对应边缘云节点的模块信息，位于边缘云节点监视器层的安全链表具有更高的可信度，可以防止用户边缘云节点层的模块视图信息被破坏。

2)监测单元：监测单元部署于边缘云节点监视器层中，包括隐藏代码监测和隐私信息监测。隐藏代码监测边缘云节点中存在的隐藏代码；隐私信息监测单元监测恶意软件对系统内核隐私信息的篡改，并在监测到被攻击时及时予以恢复。

3)恶意软件处理单元：恶意软件处理单元部署于用户域的内核空间，作为一个功能单元嵌入到本发明的边缘云节点系统中的监视代理，实现与控制单元进行交互，接收控制单元的命令对监测到的恶意软件提供信息恢复与模块卸载。