CN111787038B - 一种提供边缘服务的方法、系统及计算设备 - Google Patents
一种提供边缘服务的方法、系统及计算设备 Download PDFInfo
- Publication number
- CN111787038B CN111787038B CN201910271547.8A CN201910271547A CN111787038B CN 111787038 B CN111787038 B CN 111787038B CN 201910271547 A CN201910271547 A CN 201910271547A CN 111787038 B CN111787038 B CN 111787038B
- Authority
- CN
- China
- Prior art keywords
- edge
- computing device
- link
- terminal computing
- security agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Environmental & Geological Engineering (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种提供边缘服务的方法,该方法运用于边缘服务提供系统,包括:第一安全代理通过边缘链路与多个终端计算设备进行数据流传输,每个终端计算设备通过所述第一安全代理获取边缘服务器提供的边缘服务;第一安全代理根据每个终端计算设备与所述第一安全代理传输的数据流,确定所述多个终端计算设备中的异常终端计算设备;第一安全代理生成链路异常信息,所述链路异常信息包括所述异常终端计算设备的地址;第一安全代理发送所述链路异常信息至所述安全控制器;安全控制器接收所述链路异常信息,根据所述链路异常信息生成边缘链路信息,所述边缘链路信息包括第二安全代理的地址。该方法可使终端用户获得稳定的边缘服务。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种提供边缘服务的方法、用于提供边缘服务的系统及计算设备。
背景技术
云计算是一种利用互联网实现随时随地、按需、便捷地使用计算设施、存储设备、应用程序等资源的计算模式。云计算的资源在地理位置上是集中式布局,例如:云服务提供商在全国范围内仅建立几个固定的资源区域,一个资源区域内包括的多个数据中心向全国各地甚至国外用户提供云服务。云计算这种集中式的大数据处理方式在一些情况下使用户获得的云服务存在高时延问题。边缘计算是一种云计算模式的补充,边缘计算的计算设施、存储设备、应用程序等资源分布式地部署在靠近终端的数据中心,形成多个边缘计算设备集群。目前,利用边缘计算设备集群为用户提供边缘服务的方法,有效解决了高时延的问题。
然而,现有技术中,在一些异常情况下,例如:边缘计算设备集群中的边缘服务器遭遇拒绝服务(denial of service,DOS)攻击或分布式拒绝服务(distributed denial ofservice,DDOS)攻击、边缘服务器负载接近饱和或者用户的终端所在位置发生变化时,边缘计算设备集群为用户提供的边缘服务的质量下降或服务中断,给用户较差的服务体验。如何使边缘计算设备集群在异常情况下为终端用户提供稳定的边缘服务有待解决。
发明内容
本申请提供了一种提供边缘服务的方法,该方法保证了边缘计算设备集群在异常情况下为终端用户提供稳定的边缘服务。
本申请的第一方面提供了一种提供边缘服务的方法,该方法运用于边缘服务提供系统,所述边缘服务提供系统包括安全控制器和多个边缘计算设备集群,每个边缘计算设备集群包括至少一个安全代理和至少一个边缘服务器,所述方法包括:第一安全代理通过边缘链路与多个终端计算设备进行数据流传输,每个终端计算设备通过所述第一安全代理获取边缘服务器提供的边缘服务;所述第一安全代理根据每个终端计算设备与所述第一安全代理传输的数据流,确定所述多个终端计算设备中的不安全的终端计算设备;所述第一安全代理生成链路异常信息,所述链路异常信息包括所述不安全的终端计算设备的地址;所述第一安全代理发送所述链路异常信息至所述安全控制器;所述安全控制器接收所述链路异常信息,根据所述链路异常信息生成边缘链路信息,所述边缘链路信息包括第二安全代理的地址,所述安全控制器发送所述边缘链路信息至所述多个终端计算设备中的正常终端计算设备。该方法通过第一安全代理和安全控制器的功能,识别了不安全的终端计算设备终端计算设备,且为正常终端计算设备生成了边缘链路信息,保证了连接在同一个安全代理上的正常终端计算设备不被不安全的终端计算设备影响,提高了正常终端计算设备获取的边缘服务的质量。
在第一方面的一种可能实现中,所述第一安全代理根据每个终端计算设备与所述第一安全代理传输的数据流,确定所述多个终端计算设备中的不安全的终端计算设备包括:所述第一安全代理根据所述数据流的参数确定所述不安全的终端计算设备,其中,该数据流的参数可以是固定时间内数据流的流量、固定时间内数据流的流量变化量,该方法根据数据流的参数确定不安全的终端计算设备,提高了确定不安全的终端计算设备的效率。
在第一方面的一种可能实现中,所述安全控制器接收所述链路异常信息后,所述方法还包括:所述安全控制器根据所述链路异常信息对所述不安全的终端计算设备执行异常处理,避免了所述不安全的终端计算设备继续影响边缘服务的稳定性。
在第一方面的一种可能实现中,所述安全控制器根据所述链路异常信息对所述不安全的终端计算设备执行异常处理包括:所述安全控制器拒绝所述不安全的终端计算设备发送的链路接入请求;所述安全控制器向运营商服务器发送网络停止请求,所述网络停止请求用于指示所述运营商服务器停止为所述不安全的终端计算设备提供网络通信,从根源上解决了不安全的终端计算设备对边缘计算设备集群提供稳定边缘服务的威胁。
在第一方面的一种可能实现中,所述方法还包括:所述正常终端计算设备根据所述边缘链路信息与所述第二安全代理之间建立新的边缘链路,通过所述新的边缘链路与所述第二安全代理进行数据流传输。通过该方法,所述正常的终端计算设备通过第二安全代理继续获得边缘服务器提供的边缘服务,未受到不安全的终端计算设备的影响,优化了用户通过终端计算设备获得边缘服务的业务体验感受。
在第一方面的一种可能实现中,所述边缘服务器与所述第一安全代理可以在同一个边缘计算设备集群,也可以在不同的边缘计算设备集群。
本申请的第二方面提供了一种提供边缘服务的方法,该方法运用于边缘服务提供系统,所述边缘服务提供系统包括安全控制器和多个边缘计算设备集群,每个边缘计算设备集群包括至少一个安全代理和至少一个边缘服务器,所述方法包括:第一安全代理通过边缘链路与多个终端计算设备进行数据流传输,每个终端计算设备通过所述第一安全代理获取边缘服务器提供的边缘服务;所述第一安全代理根据每个终端计算设备与所述第一安全代理传输的数据流,确定所述多个终端计算设备中与所述第一安全代理之间的边缘链路的质量异常的终端计算设备;所述第一安全代理生成链路异常信息,所述链路异常信息包括所述边缘链路质量异常的终端计算设备的地址;所述第一安全代理发送所述链路异常信息至所述安全控制器;所述安全控制器接收所述链路异常信息,根据所述链路异常信息生成边缘链路信息,所述边缘链路信息包括第二安全代理的地址;所述安全控制器发送所述边缘链路信息至所述边缘链路质量异常的终端计算设备。该方法通过第一安全代理和安全控制器识别边缘链路质量异常的终端计算设备,为边缘链路质量异常的终端计算设备提供边缘链路信息,使边缘链路质量异常的终端计算设备及时与第二安全代理构建正常的边缘链路,继续获得稳定的边缘服务。
在第二方面的一种可能实现中,所述第一安全代理根据每个终端计算设备与所述第一安全代理传输的数据流,确定所述多个终端计算设备中的边缘链路质量异常的终端计算设备包括:所述第一安全代理根据所述数据流的参数确定所述边缘链路质量异常的终端计算设备,该方法根据数据流的参数确定边缘链路质量异常的终端计算设备,提高了确定边缘链路质量异常的终端计算设备的效率,进一步地保证了为边缘链路质量异常的终端计算设备提供稳定的边缘服务。
在第二方面的一种可能实现中,所述方法包括:所述边缘链路质量异常的终端计算设备根据所述边缘链路信息与所述第二安全代理之间建立新的边缘链路,通过所述新的边缘链路与所述第二安全代理进行数据流传输。通关该方法,边缘链路质量异常的终端计算设备通过与第二安全代理之间的正常边缘链路继续获得边缘服务器提供的边缘服务,该方法高效地解决了边缘链路质量发生异常的情况,保证了为终端计算设备提供稳定的边缘服务。
本申请的第三方面提供了一种边缘服务提供系统,所述系统包括安全控制器和多个边缘计算设备集群,每个边缘计算设备集群包括至少一个安全代理和至少一个边缘服务器;其中,第一安全代理,用于通过边缘链路与多个终端计算设备进行数据流传输,其中,每个终端计算设备通过所述第一安全代理获取边缘服务器提供的边缘服务;所述第一安全代理还用于根据每个终端计算设备与所述第一安全代理传输的数据流,确定所述多个终端计算设备中的不安全的终端计算设备;所述第一安全代理还用于生成链路异常信息,所述链路异常信息包括所述不安全的终端计算设备的地址;所述第一安全代理还用于发送所述链路异常信息至所述安全控制器;所述安全控制器,用于接收所述链路异常信息,根据所述链路异常信息生成边缘链路信息,所述边缘链路信息包括第二安全代理的地址;所述安全控制器还用于发送所述边缘链路信息至所述多个终端计算设备中的正常终端计算设备。
在第三方面的一种可能实现中,所述第一安全代理还用于根据所述数据流的参数确定所述不安全的终端计算设备,其中,该数据流的参数可以是固定时间内数据流的流量、固定时间内数据流的流量变化量。
在第三方面的一种可能实现中,所述安全控制器还用于根据所述链路异常信息对所述不安全的终端计算设备执行异常处理。
在第三方面的一种可能实现中,所述安全控制器还用于拒绝所述不安全的终端计算设备发送的链路接入请求;向运营商服务器发送网络停止请求,所述网络停止请求用于指示所述运营商服务器停止为所述不安全的终端计算设备提供网络通信。
在第三方面的一种可能实现中,所述正常终端计算设备用于根据所述边缘链路信息与所述第二安全代理之间建立新的边缘链路,通过所述新的边缘链路与所述第二安全代理进行数据流传输。
本申请的第四方面提供了一种边缘服务提供系统,所述系统包括安全控制器和多个边缘计算设备集群,每个边缘计算设备集群包括至少一个安全代理和至少一个边缘服务器;其中,第一安全代理,用于通过边缘链路与多个终端计算设备进行数据流传输,其中,每个终端计算设备通过所述第一安全代理获取边缘服务器提供的边缘服务;所述第一安全代理还用于根据每个终端计算设备与所述第一安全代理传输的数据流,确定所述多个终端计算设备中的与所述第一安全代理之间的边缘链路质量异常的终端计算设备;所述第一安全代理还用于生成链路异常信息,所述链路异常信息包括所述边缘链路质量异常的终端计算设备的地址;所述第一安全代理还用于发送所述链路异常信息至所述安全控制器;所述安全控制器,用于接收所述链路异常信息,根据所述链路异常信息生成边缘链路信息,所述边缘链路信息包括第二安全代理的地址;所述安全控制器还用于发送所述边缘链路信息至所述边缘链路异常的终端计算设备。
本申请的第五方面提供了一种提供边缘服务的方法,该方法包括:安全控制器接收多个终端计算设备发送的链路接入请求;所述安全控制器向所述多个终端计算设备中的每个终端计算设备发送第一边缘链路信息,所述第一边缘链路信息包括第一安全代理的地址;所述安全控制器接收所述第一安全代理发送的链路异常信息,所述链路异常信息包括所述多个终端计算设备中的不安全的终端计算设备的地址;所述安全控制器根据所述链路异常信息生成第二边缘链路信息,所述第二边缘链路信息包括第二安全代理的地址。
在第五方面的一种可能实现方式中,所述方法还包括:所述安全控制器根据所述链路异常信息对所述不安全的终端计算设备执行异常处理。
在第五方面的一种可能实现方式中,所述根据所述链路异常信息对所述不安全的终端计算设备执行异常处理包括:拒绝所述不安全的终端计算设备发送的链路接入请求;向运营商服务器发送网络停止请求,所述网络停止请求用于指示所述运营商服务器停止为所述不安全的终端计算设备提供网络通信。
在第五方面的一种可能实现方式中,所述方法还包括:所述安全控制器发送所述边缘链路信息至所述多个终端计算设备中的正常终端计算设备。
本申请的第六方面提供了一种提供边缘服务的方法,该方法包括:安全控制器接收多个终端计算设备发送的链路接入请求;所述安全控制器向所述多个终端计算设备中的每个终端计算设备发送第一边缘链路信息,所述第一边缘链路信息包括第一安全代理的地址;所述安全控制器接收所述第一安全代理发送的链路异常信息,所述链路异常信息包括所述多个终端计算设备中的边缘链路质量异常的终端计算设备的地址;所述安全控制器根据所述链路异常信息生成第二边缘链路信息,所述第二边缘链路信息包括第二安全代理的地址。
在第六方面的一种可能实现方式中,所述方法还包括:发送所述边缘链路信息至所述边缘链路质量异常的终端计算设备。
本申请的第七方面提供了一种计算设备,所述计算设备包括存储器和处理器,所述处理器用于读取所述存储器存储的计算机指令以执行:接收多个终端计算设备发送的链路接入请求;向所述多个终端计算设备中的每个终端计算设备发送第一边缘链路信息,所述第一边缘链路信息包括第一安全代理的地址;接收所述第一安全代理发送的链路异常信息,所述链路异常信息包括所述多个终端计算设备中的不安全的终端计算设备的地址;根据所述链路异常信息生成第二边缘链路信息,所述第二边缘链路信息包括第二安全代理的地址。
在第七方面的一种可能实现方式中,所述计算设备还执行:根据所述链路异常信息对所述不安全的终端计算设备执行异常处理。
在第七方面的一种可能实现方式中,所述根据所述链路异常信息对所述不安全的终端计算设备执行异常处理包括:拒绝所述不安全的终端计算设备发送的链路接入请求;向运营商服务器发送网络停止请求,所述网络停止请求用于指示所述运营商服务器停止为所述不安全的终端计算设备提供网络通信。
在第七方面的一种可能实现方式中,所述计算设备还执行:发送所述边缘链路信息至所述多个终端计算设备中的正常终端计算设备。
本申请的第八方面提供了一种计算设备,所述计算设备包括存储器和处理器,所述处理器用于读取所述存储器存储的计算机指令以执行:接收多个终端计算设备发送的链路接入请求;向所述多个终端计算设备中的每个终端计算设备发送第一边缘链路信息,所述第一边缘链路信息包括第一安全代理的地址;接收所述第一安全代理发送的链路异常信息,所述链路异常信息包括所述多个终端计算设备中的边缘链路质量异常的终端计算设备;根据所述链路异常信息生成第二边缘链路信息,所述第二边缘链路信息包括第二安全代理的地址。
在第八方面的一种可能实现中,所述计算设备还执行:发送所述边缘链路信息至所述边缘链路质量异常的终端计算设备。
本申请的第九方面提供了一种计算设备,所述计算设备包括存储器和处理器,所述存储器用于存储计算机指令,所述处理器用于读取所述存储器存储的计算机指令以执行:通过边缘链路与多个终端计算设备进行数据流传输;根据与所述多个终端计算设备传输的数据流,确定所述多个终端计算设备中的异常终端计算设备,生成链路异常信息,所述链路异常信息包括所述异常终端计算设备的地址;发送所述链路异常信息至安全控制器;转发所述多个终端计算设备中正常终端计算设备发送的数据流至边缘服务器;接收所述边缘服务器发送的数据流至所述多个终端计算设备中的正常终端计算设备。
本申请的第十方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令被计算设备执行时,所述计算设备执行上述第五方面或第五方面的可能实现方式中任一所述的方法。
本申请的第十一方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令被计算设备执行时,所述计算设备执行上述第六方面或第六方面的可能实现方式中任一所述的方法。
本申请的第十二方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令被计算设备执行时,所述计算设备执行上述第九方面所述的计算设备执行的动作。
本申请的第十三方面提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行上述第五方面或第五方面的可能实现方式中任一所述的方法。
本申请的第十四方面提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行上述第六方面或第六方面的可能实现方式中任一所述的方法。
本申请的第十五方面提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行上述第九方面所述的计算设备执行的动作。
附图说明
图1为本申请提供的一种系统架构示意图;
图2为本申请提供的一种提供边缘服务的方法流程示意图;
图3为本申请实施例1提供的一种提供边缘服务的方法的流程示意图;
图4为本申请实施例2提供的一种提供边缘服务的方法的流程示意图;
图5为本申请提供的一种安全代理400的结构示意图;
图6为本申请提供的一种安全控制器500的结构示意图;
图7为本申请提供的一种计算设备600的结构示意图;
图8为本申请提供的一种计算设备700的结构示意图。
具体实施方式
下面结合附图,对本申请提供的实施例作以详细的描述。
由于云计算和边缘计算的发展,业界出现了利用云计算设备集群和边缘计算设备集群的资源共同向用户提供服务的模式(例如,在基于边缘计算的云游戏架构中,由边缘计算设备集群中的游戏渲染服务器负责对游戏画面进行渲染,由云计算设备集群中的游戏数据服务器负责基础游戏逻辑、用户数据、业务处理等工作),业界也出现了仅利用边缘计算设备集群的资源向用户提供服务的模式(例如,边缘计算设备集群中的语音识别服务器接收终端计算设备发送的语音信号,为用户提供实时的语音识别服务)。
本申请中,通过边缘计算设备集群中的至少一个边缘服务器的资源为用户提供的服务称为边缘服务,本申请提供了一种提供边缘服务的方法,该方法可以在边缘计算设备集群中的安全代理受到攻击或者用户的终端计算设备与安全代理之间的边缘链路出现质量异常等情况下快速作出应对,实现边缘链路断线重连,保证系统可以继续为用户提供高质量的边缘服务。本申请中,用户通过终端计算设备与边缘计算设备集群中的安全代理之间进行数据流传输的路径称为边缘链路,边缘链路可以是无线链路或者有线链路或者有线链路和无线链路的组合。数据流指通过网络传输的请求、响应、信息等的数据,例如边缘服务请求、边缘服务响应等。
图1为本申请实施例提供的系统架构的示意图,所述系统架构包括云计算设备集群、至少一个边缘计算设备集群和至少一个终端计算设备。云计算设备集群是提供计算资源、存储资源、网络资源的计算设备集群,该计算设备集群在物理位置上通常较为集中,可以由云服务提供商提供并由用户租用。例如:云服务提供商在全国范围内仅建立几个固定的资源区域,一个资源区域内包括多个数据中心,云服务提供商利用这些数据中心中的资源向全国各地甚至国外用户提供云服务。边缘计算设备集群是靠近一定物理范围内的终端计算设备的,用于提供计算资源、存储资源、网络资源的计算设备集群。边缘计算设备集群通常比云计算设备集群规模小、数量多,其边缘服务器及应用分布式地部署在一定物理范围的数据中心,并为该范围内的终端计算设备提供边缘服务。终端计算设备包括但不限于智能手机、智能相机、智能手表、智能打印机、摄像头、便携式电脑、台式电脑等。
如图1所示,终端软件开发工具包(software development kit,SDK)部署在终端计算设备中,终端SDK用于使终端计算设备与边缘计算设备集群或云计算设备集群进行数据通信,以使得用户通过终端计算设备获取边缘服务或云服务。终端SDK向部署在云计算设备集群的安全控制器发送链路接入请求以获得使用边缘服务的链路,安全控制器为所述终端SDK分配部署在边缘计算设备集群的安全代理和边缘服务器,为用户提供边缘链路信息,边缘链路信息包括为安全代理的地址。所述安全控制器、边缘服务器可以为物理计算设备也可以为虚拟计算设备。本申请中,所述安全代理为虚拟计算设备(例如运行在物理计算设备的虚拟机或软件模块),安全代理可以部署在边缘计算设备集群中任意一个物理设备上,例如:安全代理可以运行在边缘服务器上,或与边缘服务器运行在同一物理计算设备上。
本申请中,终端SDK可以部署在终端计算设备的硬件中,也可以部署在终端计算设备的操作系统中,还可以部署在终端计算设备下载的特定软件中。所述终端SDK可以是一个软件包。
位于云计算设备集群的安全控制器对各边缘链路和边缘计算设备集群中的安全代理和边缘服务器有管理和监控的功能,当所述安全控制器接收到安全代理发送的链路异常信息或所述安全控制器监控到边缘链路异常时,安全控制器根据监控到的边缘计算设备集群中其余安全代理和边缘服务器资源的利用率或其他工作状态相关参数以及所述终端SDK的位置信息,重新生成边缘链路信息。安全控制器也可以部署在某一个或多个边缘计算设备集群中。
应理解,在该系统架构中,终端计算设备中的终端SDK可以与边缘计算设备集群的安全代理以及云计算设备集群的安全控制器建立通信连接,安全代理和边缘服务器可以与安全控制器建立通信连接。边缘服务器一般不直接与终端SDK建立通信连接,而是通过安全代理实现与终端SDK的数据通信传输。所述安全代理用于转发终端SDK发送的数据流至边缘服务器,也用于转发边缘服务器发送的数据流至终端SDK。该系统架构使边缘服务器更具稳定性,因为,当终端SDK向边缘计算设备集群发生攻击时,来自终端SDK的攻击数据流或突变数据流不会直接影响边缘服务器,而是先到达安全代理,这保证了边缘服务器为用户提供的边缘服务的质量稳定性。
应理解,在该系统架构中,安全控制器可以管理至少一个边缘计算设备集群,具体为管理至少一个边缘计算设备集群中的安全代理和边缘服务器。一个边缘计算设备集群包括至少一个安全代理和至少一个边缘服务器,安全代理和边缘服务器之间的通信连接可以是一对多或多对一的关系,即一个安全代理可与多个边缘服务器通信连接、一个边缘服务器也可与多个安全代理通信连接。终端计算设备与边缘计算设备集群中的安全代理的通信连接也可以是一对多或多对一的关系,即一个终端计算设备可与多个安全代理通信连接,一个安全代理也可以与多个终端计算设备通信连接。该系统架构有效地保证了边缘计算设备集群的负载均衡。
本申请提供了一种提供边缘服务的方法,该方法运行在边缘服务提供系统,边缘服务提供系统是包括安全控制器和多个边缘计算设备集群的系统,其中,每个边缘计算设备集群包括至少一个安全代理和至少一个边缘服务器。通过本申请的提供边缘服务的方法,可解决在异常情况下边缘服务提供系统为终端计算设备提供的边缘服务质量大幅下降或中断的问题,保证在异常情况下边缘服务提供系统依然能为终端计算设备提供稳定的边缘服务。如图2所示,一种提供边缘服务的方法流程如下:
S101,安全代理a通过边缘链路与多个终端计算设备进行数据流传输。
具体地,每个终端计算设备通过安全代理a获取边缘服务器提供的边缘服务。
S102,安全代理a根据每个终端计算设备与安全代理a传输的数据流,确定所述多个终端计算设备中的异常终端计算设备。
可选的,步骤S102可以具体为:安全代理a根据所述数据流的参数确定所述异常终端计算设备,其中,所述异常终端计算设备为所述多个终端计算设备中不安全的终端计算设备。数据流的参数可以是数据流的流量,即一定时间内安全代理a接收的终端计算设备发送的数据流的通信量。
可选的,步骤S102也可以具体为:安全代理根据所述数据流的参数确定所述异常终端计算设备,其中,所述异常终端计算设备与所述第一安全代理之间的边缘链路的质量异常。数据流的参数可以是数据流的流量,即一定时间内安全代理a接收的终端计算设备发送的数据流的通信量。
S103,安全代理a生成链路异常信息,所述链路异常信息包括所述异常终端计算设备的地址。
S104,安全代理a发送所述链路异常信息至所述安全控制器。
S105,安全控制器接收所述链路异常信息,根据所述链路异常信息生成边缘链路信息,所述边缘链路信息包括安全代理b的地址。
值得注意的是,上述安全代理a与安全代理b可以在边缘服务提供系统中同一个边缘计算设备集群中,也可以在边缘服务提供系统中的不同边缘计算设备集群中。
可选的,当所述异常终端计算设备为所述多个终端计算设备中不安全的终端计算设备,提供边缘服务的方法还包括:所述安全控制器根据所述链路异常信息对所述异常终端计算设备执行异常处理。其中,异常处理包括:所述安全控制器拒绝所述异常终端计算设备发送的链路接入请求;所述安全控制器向运营商服务器发送网络停止请求,所述网络停止请求用于指示所述运营商服务器停止为所述异常终端计算设备提供网络通信。
可选的,当所述异常终端计算设备为所述多个终端计算设备中不安全的终端计算设备,执行完步骤S105后,还可执行:所述安全控制器发送所述边缘链路信息至所述多个终端计算设备中的正常终端计算设备;所述正常终端计算设备根据所述边缘链路信息与所述安全代理b之间建立新的边缘链路,通过所述新的边缘链路与所述安全代理b进行数据流传输。
可选的,当所述异常终端计算设备与所述安全代理a之间的边缘链路的质量异常,执行完步骤S105后,还可执行:所述安全控制器发送所述边缘链路信息至所述异常终端计算设备;
所述异常终端计算设备根据所述边缘链路信息与所述安全代理b之间建立新的边缘链路,通过所述新的边缘链路与所述安全代理b进行数据流传输。
下面具体说明异常终端计算设备的两种不同异常情况:
1、异常终端计算设备为所述多个终端计算设备中不安全的终端计算设备。
具体地,攻击者利用终端计算设备的终端SDK向一个边缘计算设备集群中的安全代理发起异常攻击,安全控制器接收到来自终端SDK或安全代理发送的链路异常信息,安全控制器根据链路异常信息对发生的异常情况进行处理且对与该不安全的终端计算设备连接在同一安全代理上的其他正常终端计算设备作出断线重连决策(更换边缘链路),此种情况下,被攻击的安全代理与攻击者使用的终端SDK之间的数据流流量通常出现骤增,高于正常水平;
2、异常终端计算设备与安全代理之间的边缘链路的质量异常。安全控制器检测到终端计算设备与安全代理之间的边缘链路质量异常或接收到来自安全代理发送的指示边缘链路质量异常的链路异常信息,安全控制器对边缘链路质量异常的终端计算设备作出断线重连决策,此种情况下,该边缘链路质量异常的终端计算设备对应的终端SDK与安全代理之间的数据流流量通常下降,低于正常水平。
示例性的,所述情况1产生的原因可以是:攻击者利用终端计算设备的终端SDK向一个边缘计算设备集群中的安全代理发起DOS攻击或DDOS攻击,终端SDK或安全代理检测到边缘链路的数据流流量异常(流量骤增)并向安全控制器发送链路异常信息。
所述DOS攻击和DDOS攻击均是占用目标计算设备资源的攻击方式,攻击者在短时间内向目标计算设备发送大量的请求,由于目标计算设备的资源被攻击者发送的请求占用,使得目标计算设备拒绝正常用户的请求,无法为正常用户提供服务。所述DOS攻击与DDOS攻击的区别在于DOS攻击是仅利用攻击者的计算设备攻击目标计算设备,而DDOS攻击是攻击者通过一台计算设备操控其他多台计算设备共同攻击目标计算设备。
示例性的,所述情况2产生的原因可以是:由于连接在一个边缘计算设备集群的终端计算设备在物理空间上发生移动,该终端计算设备与已建立连接的边缘计算设备集群中的安全代理及边缘服务器物理空间相距变远引起边缘链路质量异常;或由于一个边缘计算设备集群中的安全代理或边缘服务器负载接近饱和,引起一些终端计算设备的边缘链路质量下降。
本申请根据前述情况1和情况2分别描述对应的提供边缘服务的方法实施例1和实施例2。
下面结合图3对本申请的实施例1进行详细描述。
S201,多个终端计算设备向安全控制器发送链路接入请求。
具体地,用户在终端计算设备上执行接入边缘服务的操作,例如:用户在安装在终端计算设备的应用程序上利用账号名和密码进行登录,终端计算设备中的终端SDK根据用户信息和用户边缘服务接入的操作生成链路接入请求,终端SDK向安全控制器发送链路接入请求。其中,链路接入请求中包括终端SDK所对应的终端计算设备的互联网协议(Internet protocol,IP)地址。
应理解,在步骤S201中,同一时间段内,有多个终端计算设备的终端SDK就同一个边缘服务向安全控制器发送链路接入请求,其中,所述多个终端计算设备发送的链路接入请求可能包括正常用户的正常终端计算设备发送的链路接入请求和攻击者的所控制的异常终端计算设备发送的链路接入请求。
S202,安全控制器根据多个终端计算设备发送的链路接入请求,向多个终端计算设备返回原始边缘链路信息。
具体地,安全控制器接收到多个终端计算设备的终端SDK发送的链路接入请求,根据所述链路接入请求中携带的终端计算设备的IP地址、安全控制器预先获取的边缘计算设备集群中安全代理的IP地址、边缘服务器的IP地址以及安全控制器已经记录的现有边缘链路信息、各安全代理的资源占用情况和各边缘服务器的资源占用情况中的一个或多个信息,为多个终端计算设备分配安全代理a和边缘服务器,一般而言,安全代理a与发出链路接入请求的终端计算设备之间的物理位置距离较近且性能稳定。安全控制器向多个终端计算设备的终端SDK返回获取边缘服务的原始边缘链路信息,所述边缘链路信息包括以下任意一个或多个:分配给该终端计算设备的安全代理a的IP地址、边缘服务器的IP地址、安全代理a的端口号、边缘服务器的端口号、终端计算设备与安全代理a连接的指示信息等。
可选的,上述边缘链路信息中的部分信息(例如:边缘服务器的IP地址和边缘服务器的端口号)可由安全控制器进行加密,安全控制器将包括加密密文的边缘链路信息返回至终端SDK。
应理解,步骤S201和步骤S202为用户首次接入边缘服务或用户在接入边缘服务一段时间后重新接入边缘服务所需执行的步骤,执行完步骤S201和S202后,在一定时间段内用户可根据原始反复执行步骤S203及其后续步骤以获取边缘服务。
S203,多个终端计算设备根据原始边缘链路信息,向安全代理a发送边缘服务请求。
在步骤S203中,同一时间段内,多个终端计算设备根据前述原始边缘链路信息向安全代理a发送边缘服务请求,其中,所述多个终端计算设备发送的边缘服务请求可能包括正常用户的正常终端计算设备对应的终端SDK发送的边缘服务请求和攻击者所控制的异常终端计算设备的终端SDK发送的边缘服务请求。
可选的,每个终端计算设备的终端SDK监控自身发送至安全代理a的数据流,若终端SDK发现其数据流发生异常,例如:固定时间内发送的边缘服务请求流量突增,该终端计算设备的终端SDK向安全控制器发送链路异常信息,所述链路异常信息至少包括终端SDK对应的该终端计算设备的IP地址。
S204,安全代理a接收多个终端计算设备发送的边缘服务请求,判断每个终端计算设备的终端SDK发送的数据流流量是否异常,若判定为非异常则确定该终端计算设备为正常终端计算设备,转至步骤S205,若判定为异常,则判定安全代理a遭遇异常攻击,确定该终端计算设备为异常终端计算设备,转至步骤S208。
举例说明,安全代理a判断终端计算设备发送数据流流量是否异常的方法可以是安全代理a根据终端计算设备在单位时间内发送的数据流流量与安全代理a预设定的阈值之间的关系,当单位时间内某终端计算设备发送的数据流流量大于阈值则判定为异常,否则判定为非异常。
应理解,安全代理a在同一时间段内可以接收至少一个终端SDK发送的边缘服务请求,安全代理a对每一终端SDK发送流量进行判断。
S205,终端计算设备发送流量非异常,安全代理a向边缘服务器转发该终端计算设备发送的边缘服务请求。
具体地,安全代理a根据边缘服务请求中携带的有关边缘服务器的IP地址和端口号的信息将边缘服务请求转发到边缘服务器。
可选的,边缘服务请求中携带的有关边缘服务器的IP地址和端口号的信息可以是已加经过加密的密文,安全代理a根据解密算法对密文进行解密以获取边缘服务器的IP地址和端口号。
S206,边缘服务器接收到边缘服务请求,根据所述边缘服务请求生成边缘服务响应,将所述边缘服务响应返回至安全代理a。
S207,安全代理a接收到边缘服务响应,将所述边缘服务响应转发至对应的终端计算设备。
对于发送流量非异常的终端SDK对应的正常终端计算设备,步骤S201至步骤S207已完成一次完整的边缘服务获取流程。
可选的,S205之后,边缘服务器也可以直接将边缘服务响应发送至终端计算设备。
S208,终端计算设备发送流量异常,即安全代理a遭遇异常攻击,安全代理a向安全控制器发送链路异常信息。
具体地,所述链路异常信息可能包括以下任意一个或多个:异常终端计算设备的IP地址、安全代理a的IP地址、异常时间数据、地理位置数据、异常参数(例如:单位时间内流量与峰值)、与当前被攻击的安全代理a连接的正常终端计算设备的信息。
S209,安全控制器接收到链路异常信息,根据所述链路异常信息执行异常处理。
所述异常处理包括以下任意一个或多个:记录与安全代理a建立连接的异常终端计算设备的IP地址;拒绝异常终端计算设备的终端SDK发送的新的链路接入请求,安全控制器不再为异常终端计算设备的终端SDK提供新的边缘链路信息;向运营商服务器发送对异常终端计算设备对应的IP地址的网络停止请求,使异常终端计算设备无法再进行网络通信。
应理解,安全控制器接收到的链路异常信息可以是步骤S208中安全代理a发送的,也可以是由异常终端计算设备发送的。在可选的方案中,异常终端计算设备的终端SDK与安全代理a均发送链路异常信息,安全控制器接收最先到达的链路异常信息(可以是异常终端计算设备的终端SDK发送的,也可以是安全代理a发送的),且根据接收到的链路异常信息执行异常处理。
应理解,安全控制器执行的多个异常处理的操作无时间先后顺序关系。
可选的,安全控制器还可以对安全代理a执行资源回收、分配弹性IP地址或重新启动等操作。
S210,安全控制器向与安全代理a连接的正常终端计算设备对应的终端SDK发送新的边缘链路信息。所述与安全代理a连接的正常终端计算设备为在一段时间内多个终端计算设备中与前述不安全的终端计算设备共同连接在安全代理a上的其他正常终端计算设备。
安全控制器为与安全代理a连接的正常终端计算设备重新分配安全代理b(或重新分配安全代理b和新的边缘服务器),一般重新分配的安全代理b与前述正常终端计算设备的位置距离较近且性能稳定。安全控制器生成新的边缘链路信息,新的边缘链路信息中包括以下之任意一个或多个:安全代理b的IP地址和端口号、边缘服务器的IP地址和端口号、终端计算设备与安全代理b和边缘服务器连接的指示信息。
可选的,上述新的边缘链路信息中的部分信息(例如:边缘服务器的IP地址和边缘服务器的端口号)可由安全控制器进行加密,安全控制器将包括加密密文的新的边缘链路信息返回至正常终端计算设备对应的终端SDK。
值得注意的是,安全控制器向正常终端计算设备发送的新的边缘链路信息中包含的边缘服务器的信息(如:边缘服务器的IP地址和边缘服务器的端口号)可以与原本为正常终端计算设备提供边缘服务的边缘服务器相同(即原始边缘链路信息与新的边缘链路信息指示的边缘服务器为同一个),也可以是与原本边缘服务器属于同一个边缘计算设备集群中的其他边缘服务器之一或者是距终端计算设备物理位置较近的另一个边缘计算设备集群中的边缘服务器的信息(即新的边缘链路信息指示了一个新的边缘服务器)。
值得注意的是,安全控制器重新分配的安全代理b可以是与安全代理a属于同一个边缘计算设备集群中的其他安全代理或者是距终端计算设备物理位置较近的另一个边缘计算设备集群中的安全代理。
可选的,前述步骤S210与S209在执行时间上无先后顺序的限定。
可选的,前述步骤S210也可在安全控制器向与安全代理a连接的正常终端计算设备对应的终端SDK发送断线重连命令,且接收到断线重连命令的正常终端计算设备向安全控制器发送断线重连请求后再执行。
S211,正常终端计算设备向安全代理b发送边缘服务请求。
接收到新的边缘链路信息的正常终端计算设备对应的终端SDK根据新的边缘链路信息向安全代理b发送边缘服务请求。
S212,安全代理b接收正常终端计算设备发送的边缘服务请求,转发边缘服务请求至边缘服务器。
可选的,安全代理b也可执行前述步骤S204中安全代理a执行的操作,在判定正常终端计算设备发送流量非异常时再执行前述步骤S212。
S213,边缘服务器接收到边缘服务请求,根据所述边缘服务请求生成边缘服务响应,将所述边缘服务响应返回至安全代理b。
S214,安全代理b接收到边缘服务响应,将所述边缘服务响应转发至正常终端计算设备。
可选的,S213之后,边缘服务器也可以直接将边缘服务响应发送至终端计算设备。
值得注意的是,前述步骤S201-S203是对多个终端计算设备执行相同的操作,前述步骤S204执行判断多个终端计算设备中每个终端计算设备的终端SDK发送的数据流流量是否异常的操作,对判定为非异常的正常终端计算设备发送的边缘服务请求执行前述步骤S205-S207;对判断为异常的异常终端计算设备,执行前述步骤S208-S210。前述步骤S205-S207与S208-S210可同时执行,直到S210执行完毕,则不再对异常的终端计算设备执行操作了,继续对所有获得新的边缘链路信息的正常终端计算设备执行前述步骤S211-S214。
上述提供边缘服务的方法保证了在连接在同一个安全代理上的多个终端计算设备中出现异常终端计算设备(由攻击者操作对所连接的安全代理进行异常攻击的终端计算设备)的情况下,迅速为连接在该安全代理上的其他正常终端计算设备发送新的边缘链路信息,保证正常终端计算设备继续为用户提供高质量的边缘服务,该方法提升了终端计算设备获取的边缘服务的质量,给用户好的服务体验。
下面结合图4对本申请的实施例2进行详细描述。
S301,终端计算设备向安全控制器发送链路接入请求。
具体地,用户在终端计算设备上执行边缘服务接入的操作,例如:用户在安装在终端计算设备的应用程序上利用账号名和密码进行登录,终端计算设备中的终端SDK根据用户信息和用户边缘服务接入的操作生成链路接入请求,终端SDK向安全控制器发送链路接入请求。其中,链路接入请求中包括终端SDK所对应的终端计算设备的互联网协议(Internet protocol,IP)地址。
S302,安全控制器根据终端计算设备发送的链路接入请求,向终端计算设备返回原始边缘链路信息。
具体地,安全控制器接收到终端计算设备的终端SDK发送的链路接入请求,根据所述链路接入请求中携带的终端计算设备的IP地址、安全控制器预先获取的边缘计算设备集群中安全代理的IP地址、边缘服务器的IP地址和状态以及安全控制器已经记录的现有边缘链路信息为终端计算设备分配物理位置距离较近且性能稳定的安全代理a和边缘服务器,安全控制器向终端SDK返回用户通过终端计算设备获取边缘服务的边缘链路信息,所述边缘链路信息包括以下任意一个或多个:安全代理a的IP地址、边缘服务器的IP地址、安全代理a的端口号、边缘服务器的端口号、终端计算设备与安全代理a连接的指示信息。
可选的,上述边缘链路信息中的部分信息(例如:边缘服务器的IP地址和边缘服务器的端口号)可由安全控制器进行加密,安全控制器将包括加密密文的边缘链路信息返回至终端SDK。
应理解,步骤S301和步骤S302为用户首次接入边缘服务或用户在掉线后重新接入边缘服务所需执行的步骤,执行完步骤S301和S302后,在一定时间段内用户可反复执行步骤S303及其后续步骤以获取边缘服务。
S303,终端计算设备根据原始边缘链路信息,向安全代理a发送边缘服务请求。
S304,安全代理a接收终端计算设备发送的边缘服务请求,将边缘服务请求转发至边缘服务器。
S305,边缘服务器接收到边缘服务请求,根据所述边缘服务请求生成边缘服务响应,将所述边缘服务响应返回至安全代理a。
S306,安全代理a接收到边缘服务响应,将所述边缘服务响应转发至终端计算设备。
可选的,S304之后,边缘服务器也可以直接将边缘服务响应发送至终端计算设备。
S307,安全代理a向安全控制器发送安全代理a与终端计算设备之间的边缘链路质量信息。
具体地,安全代理a监控自身与相连接的终端计算设备的边缘链路质量,且定时向安全控制器发送监控到的边缘链路质量信息,所述边缘链路质量信息可以包括以下参数中任意一个或多个:丢包率、流量速率、帧率、时延率等。
值得注意的是,步骤S307与步骤S301-S306并列执行,安全代理a在执行边缘链路质量监控的同时用户通过该边缘链路获取边缘服务。
S308,安全控制器接收到边缘链路质量信息,根据边缘链路质量信息判断该边缘链路质量的稳定性,当判定边缘链路质量异常,则安全控制器执行步骤S309。
举例说明,安全控制器根据边缘链路质量信息判断该边缘链路质量的稳定性方法可以是安全控制器利用预设计的数学模型或人工智能模型根据边缘链路质量信息(例如:丢包率、流量速率、帧率、时延率)计算质量稳定性值,且利用预先设置的阈值与所计算的质量稳定值进行比较,根据比较结果判定边缘链路质量是否异常。
可选的步骤S307还可以是:安全代理a监控终端SDK与安全代理a之间的边缘链路质量,根据所述边缘链路质量判断边缘链路质量稳定性,若判断边缘链路质量异常,则向安全控制器发送边缘链路质量异常的信息。则经过可选的步骤S307之后直接执行步骤S309。
S309,安全控制器向边缘链路质量异常的终端计算设备发送新的边缘链路信息。
安全控制器为边缘链路质量异常的终端计算设备重新分配安全代理b(或重新分配安全代理b和新的边缘服务器),一般重新分配的安全代理b与前述正常终端计算设备的位置距离较近且性能稳定。安全控制器生成新的边缘链路信息,新的边缘链路信息中包括以下任意一个或多个:安全代理b的IP地址和端口号、边缘服务器的IP地址和端口号、终端计算设备与安全代理b和边缘服务器连接的指示信息。
可选的,上述新的边缘链路信息中的部分信息(例如:边缘服务器的IP地址和边缘服务器的端口号)可由安全控制器进行加密,安全控制器将包括加密密文的新的边缘链路信息返回至链路质量不稳定的终端SDK。
值得注意的是,安全控制器向边缘链路质量异常的终端计算设备发送的新的边缘链路信息中包含的边缘服务器的信息(如:边缘服务器的IP地址和边缘服务器的端口号)可以与原本为该终端计算设备提供边缘服务的边缘服务器相同(即原始边缘链路信息与新的边缘链路信息指示的边缘服务器为同一个),也可以是与原本边缘服务器属于同一个边缘计算设备集群中的其他边缘服务器之一或者是距终端计算设备物理位置较近的另一个边缘计算设备集群中的边缘服务器的信息(即新的边缘链路信息指示了一个新的边缘服务器)。
值得注意的是,安全控制器重新分配的安全代理b可以是与安全代理a属于同一个边缘计算设备集群中的其他安全代理或者是距终端计算设备物理位置较近的另一个边缘计算设备集群中的安全代理。
可选的,前述步骤S309也可以是在安全控制器向与边缘链路质量异常的终端计算设备对应的终端SDK发送断线重连命令,且接收到断线重连命令的终端计算设备向安全控制器发送断线重连请求后再执行。
S310,边缘链路质量异常的终端计算设备向安全代理b发送边缘服务请求。
接收到新的边缘链路信息的边缘链路质量异常的终端计算设备对应的终端SDK根据新的边缘链路信息中的安全代理b的IP地址和端口号向安全代理b发送边缘服务请求。
S311,安全代理b接收该边缘链路质量异常的终端计算设备发送的边缘服务请求,转发边缘服务请求至边缘服务器。
S312,边缘服务器接收到边缘服务请求,根据所述边缘服务请求生成边缘服务响应,将所述边缘服务响应返回至安全代理b。
S313,安全代理b接收到边缘服务响应,将所述边缘服务响应转发至边缘链路质量异常的终端计算设备。
上述步骤S301-S313为边缘服务提供系统为用户提供边缘服务时安全控制器根据边缘链路质量信息主动为用户调整边缘链路的过程,安全控制器根据边缘链路质量信息,及时对边缘链路进行断线重连,经过上述步骤S309-S312,边缘链路质量异常的终端计算设备通过新的边缘链路信息获取边缘服务,解决了边缘链路质量异常的问题,保证了边缘服务提供系统为用户提供稳定的边缘服务,为用户带来良好的业务体验。
值得注意的是,在一定时间内,多个终端计算设备可分别执行上述步骤S301-S313的全部或部分步骤。
图5提供了一种安全代理400,本申请对在该装置中如何划分功能单元不做限定,下面实例性地提供一种功能单元的划分。
安全代理400包括通信模块401和处理模块402。安全代理400用于执行前述图3中安全代理a执行的动作。安全代理400还可以用于执行前述图4中安全代理a执行的动作。安全代理400也可以集成图3和图4中安全代理a的功能。
具体地,
通信模块401用于执行前述步骤S204中安全代理a接收多个终端计算设备发送的边缘服务请求的操作以及S205、S207、S208;可选的,通信模块401还用于执行前述步骤S304、S306以及S307中发送链路质量信息的操作。
处理模块402用于执行前述步骤S204中判断终端计算设备发送流量是否异常的操作;可选的,处理模块402还用于执行前述步骤S307中安全代理a监控终端计算设备与安全代理a之间的边缘链路质量的操作。
可选的,该安全代理400还用于执行前述图3,或图4,或图3和图4中安全代理a执行的可选的操作。
图6提供了一种安全控制器500,本申请对在该装置中如何划分功能单元不做限定,下面实例性地提供一种功能单元的划分。
安全控制器500包括通信模块501和处理模块502,安全控制器500用于执行前述图3中安全控制器执行的动作。安全控制器500还可以用于执行前述图4中安全控制器执行的动作。安全控制器500也可以集成图3和图4中安全控制器的功能。
具体地,
通信模块501用于执行前述步骤S202、S209中接收链路异常信息的操作、S210;可选的,通信模块501还用于执行前述步骤S302、S308中接收链路质量信息的操作、S309。
处理模块502用于执行前述步骤S209中执行异常处理的操作;可选的,处理模块502还用于执行前述步骤S308中判断链路质量稳定性的操作。
可选的,安全控制器500还用于执行前述图3,或图4,或图3和图4中安全控制器执行的可选的操作。
图7提供了一种计算设备600,计算设备600包括总线601、处理器602、通信接口603和存储器604。处理器602、存储器604和通信接口603之间通过总线601通信。
其中,处理器602可以为中央处理器(英文:central processing unit,缩写:CPU)。存储器604可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random access memory,缩写:RAM)。存储器604还可以包括非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器,HDD或SSD。存储器604中存储有可执行的程序代码,处理器602执行该可执行的程序代码以执行前述边缘链路断线重连方法中安全代理a执行的操作。存储器604中还可以包括操作系统等其他运行进程所需的软件模块。操作系统可以为LINUXTM,UNIXTM,WINDOWSTM等。
具体地,处理器602执行存储器604中存储的可执行的程序代码使得所述处理器602执行前述安全代理400执行的操作,本申请中安全代理400可以是软件模块,处理器602运行存储在存储器604中的安全代理400以执行前述安全代理400执行的操作。
图8提供了一种计算设备700,计算设备700包括总线701、处理器702、通信接口703和存储器704。处理器702、存储器704和通信接口703之间通过总线701通信。
其中,处理器702可以为中央处理器(英文:central processing unit,缩写:CPU)。存储器704可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random access memory,缩写:RAM)。存储器704还可以包括非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器,HDD或SSD。存储器704中存储有可执行的程序代码,处理器702执行该可执行的程序代码以执行前述边缘链路断线重连方法中安全代理a执行的操作。存储器704中还可以包括操作系统等其他运行进程所需的软件模块。操作系统可以为LINUXTM,UNIXTM,WINDOWSTM等。
具体地,处理器702执行存储器704中存储的可执行的程序代码使得所述处理器702执行前述安全控制器500执行的操作。
本申请还提供了一种边缘服务提供系统,所述边缘服务提供系统包括安全控制器和多个边缘计算设备集群,每个边缘计算设备集群包括至少一个安全代理和至少一个边缘服务器。其中,所述边缘服务提供系统中的至少一个安全代理用于执行前述安全代理400执行的动作,所述安全控制器用于执行前述安全控制器500执行的动作。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及方法步骤,能够以电子硬件、计算机软件、或者电子硬件和计算机软件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
当使用计算机软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本发明实施例1或实施例2所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如SSD)等。
Claims (18)
1.一种提供边缘服务的方法,其特征在于,所述方法运用于边缘服务提供系统,所述边缘服务提供系统包括安全控制器和多个边缘计算设备集群,每个边缘计算设备集群包括至少一个安全代理和至少一个边缘服务器,所述方法包括:
第一安全代理通过边缘链路与多个终端计算设备进行数据流传输,每个终端计算设备通过所述第一安全代理获取边缘服务器提供的边缘服务;
所述第一安全代理根据每个终端计算设备与所述第一安全代理传输的数据流,确定所述多个终端计算设备中的异常终端计算设备;
所述第一安全代理生成链路异常信息,所述链路异常信息包括所述异常终端计算设备的地址;
所述安全控制器接收所述链路异常信息,根据所述链路异常信息生成边缘链路信息,所述边缘链路信息包括第二安全代理的地址。
2.如权利要求1所述的方法,其特征在于,所述第一安全代理根据每个终端计算设备与所述第一安全代理传输的数据流,确定所述多个终端计算设备中的异常终端计算设备包括:
所述第一安全代理根据所述数据流的参数确定所述异常终端计算设备,其中,所述异常终端计算设备为所述多个终端计算设备中不安全的终端计算设备。
3.如权利要求1或2任一所述的方法,其特征在于,所述安全控制器接收所述链路异常信息后,所述方法还包括:
所述安全控制器根据所述链路异常信息对所述异常终端计算设备执行异常处理。
4.如权利要求3所述的方法,其特征在于,所述安全控制器根据所述链路异常信息对所述异常终端计算设备执行异常处理包括:
所述安全控制器拒绝所述异常终端计算设备发送的链路接入请求;
所述安全控制器向运营商服务器发送网络停止请求,所述网络停止请求用于指示所述运营商服务器停止为所述异常终端计算设备提供网络通信。
5.如权利要求1至4任一所述的方法,其特征在于,所述方法还包括:
所述安全控制器发送所述边缘链路信息至所述多个终端计算设备中的正常终端计算设备;
所述正常终端计算设备根据所述边缘链路信息与所述第二安全代理之间建立新的边缘链路,通过所述新的边缘链路与所述第二安全代理进行数据流传输。
6.如权利要求1所述的方法,其特征在于,所述第一安全代理根据每个终端计算设备与所述第一安全代理传输的数据流,确定所述多个终端计算设备中的异常终端计算设备包括:
所述第一安全代理根据所述数据流的参数确定所述异常终端计算设备,其中,所述异常终端计算设备与所述第一安全代理之间的边缘链路的质量异常。
7.如权利要求1或6任一所述的方法,其特征在于,所述方法还包括:
所述安全控制器发送所述边缘链路信息至所述异常终端计算设备;
所述异常终端计算设备根据所述边缘链路信息与所述第二安全代理之间建立新的边缘链路,通过所述新的边缘链路与所述第二安全代理进行数据流传输。
8.一种提供边缘服务的方法,其特征在于,所述方法包括:
安全控制器接收多个终端计算设备发送的链路接入请求;
所述安全控制器向所述多个终端计算设备中的每个终端计算设备发送第一边缘链路信息,所述第一边缘链路信息包括第一安全代理的地址;
所述安全控制器接收所述第一安全代理发送的链路异常信息,所述链路异常信息包括所述多个终端计算设备中的异常终端计算设备的地址;
所述安全控制器根据所述链路异常信息生成第二边缘链路信息,所述第二边缘链路信息包括第二安全代理的地址。
9.如权利要求8所述的方法,其特征在于,所述方法还包括:
所述安全控制器根据所述链路异常信息对所述异常终端计算设备执行异常处理,其中,所述异常终端计算设备为所述多个终端计算设备中不安全的终端计算设备。
10.如权利要求9所述的方法,其特征在于,所述根据所述链路异常信息对所述异常终端计算设备执行异常处理包括:
拒绝所述异常终端计算设备发送的链路接入请求;
向运营商服务器发送网络停止请求,所述网络停止请求用于指示所述运营商服务器停止为所述异常终端计算设备提供网络通信。
11.如权利要求8-10任一所述的方法,其特征在于,所述方法还包括:
所述安全控制器发送所述第二边缘链路信息至所述多个终端计算设备中的正常终端计算设备。
12.如权利要求8所述的方法,其特征在于,发送所述第二边缘链路信息至所述异常终端计算设备,其中,所述异常终端计算设备与所述第一安全代理之间的边缘链路的质量异常。
13.一种计算设备,其特征在于,所述计算设备包括存储器和处理器,所述处理器用于读取所述存储器存储的计算机指令以执行:
接收多个终端计算设备发送的链路接入请求;
向所述多个终端计算设备中的每个终端计算设备发送第一边缘链路信息,所述第一边缘链路信息包括第一安全代理的地址;
接收所述第一安全代理发送的链路异常信息,所述链路异常信息包括所述多个终端计算设备中的异常终端计算设备的地址;
根据所述链路异常信息生成第二边缘链路信息,所述第二边缘链路信息包括第二安全代理的地址。
14.如权利要求13所述的计算设备,其特征在于,所述计算设备还执行:
根据所述链路异常信息对所述异常终端计算设备执行异常处理,其中,所述异常终端计算设备为所述多个终端计算设备中不安全的终端计算设备。
15.如权利要求14所述的计算设备,其特征在于,所述根据所述链路异常信息对所述异常终端计算设备执行异常处理包括:
拒绝所述异常终端计算设备发送的链路接入请求;
向运营商服务器发送网络停止请求,所述网络停止请求用于指示所述运营商服务器停止为所述异常终端计算设备提供网络通信。
16.如权利要求13至15任一所述的计算设备,其特征在于,所述计算设备还执行:
发送所述第二边缘链路信息至所述多个终端计算设备中的正常终端计算设备。
17.如权利要求13所述的计算设备,其特征在于,所述计算设备还执行:
发送所述第二边缘链路信息至所述异常终端计算设备,其中,所述异常终端计算设备与所述第一安全代理之间的边缘链路的质量异常。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机指令,所述计算机指令被计算设备执行时,所述计算设备执行上述权利要求8-12任一所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910271547.8A CN111787038B (zh) | 2019-04-04 | 2019-04-04 | 一种提供边缘服务的方法、系统及计算设备 |
| PCT/CN2019/130296 WO2020199686A1 (zh) | 2019-04-04 | 2019-12-31 | 一种提供边缘服务的方法、系统及计算设备 |
| EP19922780.2A EP3926924A4 (en) | 2019-04-04 | 2019-12-31 | METHOD AND SYSTEM FOR PROVIDING PERIPHERAL SERVICE AND COMPUTER DEVICE |
| US17/489,098 US20220021701A1 (en) | 2019-04-04 | 2021-09-29 | Method and System for Providing Edge Service, and Computing Device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910271547.8A CN111787038B (zh) | 2019-04-04 | 2019-04-04 | 一种提供边缘服务的方法、系统及计算设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111787038A CN111787038A (zh) | 2020-10-16 |
| CN111787038B true CN111787038B (zh) | 2022-05-17 |
Family
ID=72664884
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910271547.8A Active CN111787038B (zh) | 2019-04-04 | 2019-04-04 | 一种提供边缘服务的方法、系统及计算设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220021701A1 (zh) |
| EP (1) | EP3926924A4 (zh) |
| CN (1) | CN111787038B (zh) |
| WO (1) | WO2020199686A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113840293B (zh) * | 2021-08-18 | 2023-04-18 | 华为技术有限公司 | 获取边缘服务的方法和装置 |
| CN113709132A (zh) * | 2021-08-23 | 2021-11-26 | 深圳市托奇科技有限公司 | 一种降低云端计算要求的安全检测方法及系统 |
| CN115296866B (zh) * | 2022-07-19 | 2024-03-12 | 天翼云科技有限公司 | 一种边缘节点的访问方法及装置 |
| CN115345907B (zh) * | 2022-10-18 | 2022-12-30 | 广东电网有限责任公司中山供电局 | 一种基于边缘计算的目标动态跟踪装置 |
| CN116319118B (zh) * | 2023-05-26 | 2023-07-21 | 北京博瑞翔伦科技发展有限公司 | 一种边缘计算数字化安全控制方法和系统 |
| CN116827684B (zh) * | 2023-08-25 | 2023-11-21 | 卓望数码技术(深圳)有限公司 | DDoS攻击防御方法、系统、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1949717A (zh) * | 2005-10-14 | 2007-04-18 | 华为技术有限公司 | 一种用户边缘设备管理方法和系统 |
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN101938460A (zh) * | 2010-06-22 | 2011-01-05 | 北京豪讯美通科技有限公司 | 全程全网安全协同防御系统的协同防御方法 |
| CN107196791A (zh) * | 2017-05-17 | 2017-09-22 | 电子科技大学 | 一种分层次控制的网络架构及其触发请求服务的方法 |
| US10104039B1 (en) * | 2017-09-28 | 2018-10-16 | Cloudflare, Inc. | Establishing and using a tunnel from an origin server in a distributed edge compute and routing service |
| CN108702367A (zh) * | 2016-02-26 | 2018-10-23 | 甲骨文国际公司 | 用于发现和管理应用的安全性的技术 |
| CN108989368A (zh) * | 2017-05-31 | 2018-12-11 | 腾讯科技(深圳)有限公司 | 一种链路质量的控制方法及监控设备 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3642004B2 (ja) * | 2000-05-22 | 2005-04-27 | 日本電気株式会社 | 中継装置、移動体無線通信システム、その障害通知方法、及びその障害通知プログラムを記録した記録媒体 |
| US20060212572A1 (en) * | 2000-10-17 | 2006-09-21 | Yehuda Afek | Protecting against malicious traffic |
| US20030115480A1 (en) * | 2001-12-17 | 2003-06-19 | Worldcom, Inc. | System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks |
| US20040148520A1 (en) * | 2003-01-29 | 2004-07-29 | Rajesh Talpade | Mitigating denial of service attacks |
| US7607021B2 (en) * | 2004-03-09 | 2009-10-20 | Cisco Technology, Inc. | Isolation approach for network users associated with elevated risk |
| CN101789948B (zh) * | 2010-02-21 | 2013-03-20 | 浪潮通信信息系统有限公司 | 分层式移动互联网安全监控与防护系统 |
| US9614870B2 (en) * | 2014-06-04 | 2017-04-04 | Aaa Internet Publishing Inc. | Method of DDoS and hacking protection for internet-based servers using a private network of internet servers by executing computer-executable instructions stored on a non-transitory computer-readable medium |
| US9985985B2 (en) * | 2012-10-05 | 2018-05-29 | Aaa Internet Publishing Inc. | Method of distributed denial of service (DDos) and hacking protection for internet-based servers using a private network of internet servers by executing computer-executable instructions stored on a non-transitory computer-readable medium |
| EP2887594B1 (en) * | 2013-12-19 | 2020-02-26 | Alcatel Lucent | Overload control for trusted WLAN access to EPC |
| US11165565B2 (en) * | 2016-12-09 | 2021-11-02 | Microsoft Technology Licensing, Llc | Secure distribution private keys for use by untrusted code |
| US20200053567A1 (en) * | 2017-01-11 | 2020-02-13 | Nokia Solutions And Networks Oy | Security architecture for machine type communications |
| US20210289015A1 (en) * | 2018-07-10 | 2021-09-16 | Nokia Technologies Oy | Dynamic multiple endpoint generation |
| US11706705B2 (en) * | 2020-06-26 | 2023-07-18 | Ofinno, Llc | Multimedia priority service |
-
2019
- 2019-04-04 CN CN201910271547.8A patent/CN111787038B/zh active Active
- 2019-12-31 WO PCT/CN2019/130296 patent/WO2020199686A1/zh unknown
- 2019-12-31 EP EP19922780.2A patent/EP3926924A4/en active Pending
-
2021
- 2021-09-29 US US17/489,098 patent/US20220021701A1/en active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1949717A (zh) * | 2005-10-14 | 2007-04-18 | 华为技术有限公司 | 一种用户边缘设备管理方法和系统 |
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN101938460A (zh) * | 2010-06-22 | 2011-01-05 | 北京豪讯美通科技有限公司 | 全程全网安全协同防御系统的协同防御方法 |
| CN108702367A (zh) * | 2016-02-26 | 2018-10-23 | 甲骨文国际公司 | 用于发现和管理应用的安全性的技术 |
| CN107196791A (zh) * | 2017-05-17 | 2017-09-22 | 电子科技大学 | 一种分层次控制的网络架构及其触发请求服务的方法 |
| CN108989368A (zh) * | 2017-05-31 | 2018-12-11 | 腾讯科技(深圳)有限公司 | 一种链路质量的控制方法及监控设备 |
| US10104039B1 (en) * | 2017-09-28 | 2018-10-16 | Cloudflare, Inc. | Establishing and using a tunnel from an origin server in a distributed edge compute and routing service |
Non-Patent Citations (2)
| Title |
|---|
| "Online orchestration of cooperative defense against DDoS attacks for 5G MEC";Hongjia Li等;《IEEE》;20180611;全文 * |
| "物联网端到端安全技术研究";白磊;《中国优秀硕士学位论文全文数据库 信息科技辑》;20180415;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3926924A1 (en) | 2021-12-22 |
| US20220021701A1 (en) | 2022-01-20 |
| WO2020199686A1 (zh) | 2020-10-08 |
| CN111787038A (zh) | 2020-10-16 |
| EP3926924A4 (en) | 2022-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111787038B (zh) | 一种提供边缘服务的方法、系统及计算设备 | |
| US10581907B2 (en) | Systems and methods for network access control | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| US10250498B1 (en) | Session aggregator brokering of data stream communication | |
| US10476906B1 (en) | System and method for managing formation and modification of a cluster within a malware detection system | |
| US10348755B1 (en) | Systems and methods for detecting network security deficiencies on endpoint devices | |
| EP3300331B1 (en) | Response method, apparatus and system in virtual network computing authentication, and proxy server | |
| EP3982272A1 (en) | Platform for computing at the mobile edge | |
| EP3435627A1 (en) | Method of controlling service traffic between data centers, device, and system | |
| US10904322B2 (en) | Systems and methods for scaling down cloud-based servers handling secure connections | |
| CN115225689A (zh) | 虚拟专用网络配置文件的选择 | |
| CN112217833B (zh) | 一种安全套接字协议卸载方法、装置、存储介质及电子设备 | |
| WO2024021703A1 (zh) | 服务器的控制方法、服务器及存储介质 | |
| CN114826754A (zh) | 一种不同网络间的通信方法及系统、存储介质、电子装置 | |
| Ali et al. | A maturity framework for zero-trust security in multiaccess edge computing | |
| KR20110119763A (ko) | 장치 보조 서비스를 위한 보안 기술 | |
| CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| CN112511620A (zh) | 一种网络通讯方法、装置、设备及存储介质 | |
| CN116094868A (zh) | 网格拓扑内隧道的选择性形成和维护 | |
| US11422845B2 (en) | Native cloud live traffic migration to counter suspected harmful traffic | |
| CN114793248A (zh) | 基于拟态的加密通讯方法 | |
| US10887218B2 (en) | Enhanced dynamic encryption packet segmentation | |
| CN114095496A (zh) | 终端应用处理方法、边缘云应用服务器以及系统、介质 | |
| CN115208813B (zh) | 一种边界网关协议的迁移方法、装置、设备及存储介质 | |
| CN117938728B (zh) | 服务器集群中边缘节点的路由方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220221 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Applicant after: Huawei Cloud Computing Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |