CN111614657A - 基于模式选择的移动边缘安全服务方法及系统 - Google Patents
基于模式选择的移动边缘安全服务方法及系统 Download PDFInfo
- Publication number
- CN111614657A CN111614657A CN202010419782.8A CN202010419782A CN111614657A CN 111614657 A CN111614657 A CN 111614657A CN 202010419782 A CN202010419782 A CN 202010419782A CN 111614657 A CN111614657 A CN 111614657A
- Authority
- CN
- China
- Prior art keywords
- mobile edge
- task
- application
- calculated
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1008—Server selection for load balancing based on parameters of servers, e.g. available memory or workload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1012—Server selection for load balancing based on compliance of requirements or conditions with available server resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供的基于模式选择的移动边缘安全服务方法及系统,通过操作支持平台获取移动边缘用户端的应用接入请求,对应用接入请求进行安全检测,移动边缘编排器待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用,当应用接入请求通过安全检测时,移动边缘编排器根据待计算任务信息和目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,来调度目标移动边缘应用来处理各子任务,以使各移动边缘主机处理的计算任务均衡,通过综合考虑移动边缘应用的安全等级以及各个移动边缘主机间的负载均衡,在提高移动边缘系统整体安全性的同时,可以满足用户差异化的服务需求。
Description
技术领域
本申请涉及数据处理技术领域,特别是涉及基于模式选择的移动边缘安全服务方法及系统。
背景技术
针对传统移动云计算在时延、抖动、拥塞等方面存在的不足,可以将计算、存储资源迁移到离用户最近的移动网络边缘,ETSI(European Telecommunications StandardsInstitute,欧洲标准化组织)称之为MEC(Mobile Edge Computing,移动边缘计算)服务。随着5G(5th generation mobile networks,第五代移动通信网络)的加速推进,MEC服务将逐渐得到普及并大量存在于5G网络边缘。但是,由于移动边缘系统的防御硬件资源有限,来自5G大规模移动设备的DDoS(Distribution Denial of service,分布式拒绝服务)攻击,对于MEC服务而言是不可避免的威胁。
每个MEC节点的边缘数据中心靠近用户侧,与终端关系紧密,相比于核心网有更高隐私保护需求,且MEC节点在DDoS攻击后都难以维护服务可用性,因此需要应对各类MEC应用带来的数据篡改、隐私泄露、DDoS攻击、边缘数据中心控制劫持等攻击以及其他未知的安全威胁,并保证各类移动边缘应用的负载均衡。
因此,针对提高移动边缘服务的安全性的同时,满足用户差异化的服务需求是目前亟需解决的安全问题。
发明内容
本申请实施例的目的在于提供基于模式选择的移动边缘安全服务方法及系统,以实现提高移动边缘服务的安全性的同时,满足用户差异化的服务需求。
具体技术方案如下:
第一方面,本申请实施例提供了一种基于模式选择的移动边缘安全服务系统,所述系统包括:
操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边缘应用:
所述操作支持平台,用于获取移动边缘用户端的应用接入请求,所述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至所述移动边缘编排器;
所述移动边缘编排器,用于接收所述操作支持平台转发的所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
所述操作支持平台,还用于当所述应用接入请求通过安全检测时,获取所述移动边缘用户端发送的待计算任务信息,所述待计算任务信息包括多个子任务;并将所述待计算任务信息转发至所述移动边缘编排器;
所述移动边缘编排器,还用于根据所述待计算任务信息和所述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各所述子任务,以使各所述移动边缘主机处理的计算任务均衡;
所述移动边缘应用,用于响应于所述移动边缘编排器的调度,处理接收到的子任务。
可选的,当所述待计算任务的服务模式为性能优先模式时,所述移动边缘编排器具体用于:
根据所述待计算任务所需的计算资源和各所述移动边缘主机的剩余计算资源,根据各所述移动边缘主机与所述移动边缘用户端的距离,按照各所述距离从近到远的顺序,依次从各所述移动边缘主机中选择目标移动边缘主机,其中,各个所述目标移动边缘主机的剩余计算资源的总和不小于所述待计算任务所需的计算资源的(1+β)倍,其中β为预设值;
从所述目标移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到底的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
可选的,当所述待计算任务的服务模式为安全优先模式时,所述移动边缘编排器具体用于:
从各所述移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到底的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
可选的,所述应用接入请求包括用户标识,所述操作支持平台具体用于:
根据所述用户标识,判断用户是否在预设黑产用户数据库中;
当所述用户在预设黑产用户数据库中时,判定所述应用接入请求不通过安全检测;
当所述用户不在预设黑产用户数据库中时,判定所述应用接入请求通过安全检测。
可选的,所述操作支持平台还用于:
根据预设第一时间周期,从所述移动边缘用户端获取各用户的计算任务信息;
对所述计算任务信息进行特征提取,得到计算任务特征;
将所述计算任务特征与预设第一行为特征进行匹配,识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户;
对所述可疑用户的计算任务进行监测,在预设第二时间周期内,若所述可疑用户的计算任务包括预设攻击任务,将所述可疑用户确定为黑产用户;
将所述黑产用户的用户标识存储在所述预设黑产用户数据库中。
可选的,所述操作支持平台还用于:
将所述黑产用户的用户标识发送至所述移动边缘编排器,以使所述移动边缘编排器根据所述黑产用户的用户标识,停止调度处理目标移动边缘应用以处理所述黑产用户的待计算任务。
可选的,所述操作支持平台还用于:
在所述预设第二时间周期内,若所述可疑用户的待计算任务不包括攻击任务时,将所述可疑用户标记为正常用户。
可选的,所述移动边缘编排器还用于:在预设第三时间周期内,从所述操作支持平台获取待计算任务信息;在各所述待计算任务信息的数据段中填充指定数量的校验数据,得到目标数据;将目标数据分配至各所述移动边缘主机的各个移动边缘应用,以使各移动边缘应用对所述目标数据进行处理,得到处理后的数据;
所述系统还包括:移动边缘管理器;
所述移动边缘管理器,用于获取各个移动边缘应用返回的处理后的数据,并提取所述处理后的数据中的校验数据;判断各个所述处理后的数据中的校验数据是否相同,若超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对应的移动边缘应用的信息发送至所述移动边缘编排器,其中,若所述处理后的数据中的校验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
所述移动边缘编排器,还用于接收到所述移动边缘管理器发送的不真实数据对应的移动边缘应用的信息,并将不真实数据对应的移动边缘应用的信任值降低预设信任值;
其中,所述移动边缘应用的安全等级是预设更新周期范围内,根据所述移动边缘应用成功服务次数,所述移动边缘应用接收的服务请求总次数,所述边缘应用的信任值计算得到的;
所述安全等级表示为:
其中,SL(tl,sr)表示移动边缘应用的安全等级,tl表示记录所述移动边缘应用信任值的信任列表,sr表示所述移动边缘应用的服务记录,α表示所述移动边缘应用的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内所述移动边缘应用的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用接收的服务请求次数;
所述信任列表和所述服务记录存储在所述移动边缘编排器中。
可选的,所述移动边缘编排器存储有各移动边缘应用的计算任务次数,所述移动边缘管理器还用于
每隔预设第四时间周期,从所述移动边缘编排器获取各移动边缘应用的调度信息;
将安全等级低于预设安全等级阈值的移动边缘应用删除。
第二方面,本申请实施例提供了一种基于模式选择的移动边缘安全服务方法,应用于基于模式选择的移动边缘安全服务系统,所述基于模式选择的移动边缘安全服务系统包括:操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边缘应用,所述方法包括:
所述操作支持平台获取移动边缘用户端的应用接入请求,所述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至所述移动边缘编排器;
所述移动边缘编排器接收所述操作支持平台转发的所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
当所述应用接入请求通过安全检测时,所述操作支持平台获取所述移动边缘用户端发送的待计算任务信息,所述待计算任务信息包括多个子任务;并将所述待计算任务信息转发至所述移动边缘编排器;
所述移动边缘编排器根据所述待计算任务信息和所述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各所述子任务,以使各所述移动边缘主机处理的计算任务均衡;
所述移动边缘应用响应于所述移动边缘编排器的调度,处理接收到的子任务。
本申请实施例提供的移动边缘系统,移动边缘数据处理方法,通过操作支持平台获取移动边缘用户端的应用接入请求,对应用接入请求进行安全检测,并将待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源转发至移动边缘编排器;移动边缘编排器接收操作支持平台转发的待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源后,根据待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用,当应用接入请求通过安全检测时,操作支持平台获取移动边缘用户端发送的待计算任务信息,并将待计算任务信息转发至移动边缘编排器;移动边缘编排器用于根据待计算任务信息和目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,来调度目标移动边缘应用来处理各子任务,以使各移动边缘主机处理的计算任务均衡,通过综合考虑移动边缘应用的安全等级以及各个移动边缘主机间的负载均衡,在提高移动边缘系统整体安全性的同时,可以满足用户差异化的服务需求。当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的基于模式选择的移动边缘安全服务系统的第一种示意图;
图2为本申请实施例的基于模式选择的移动边缘安全服务系统的第二种示意图;
图3为本申请实施例的基于模式选择的移动边缘安全服务系统的一种流程示意图;
图4a为本申请实施例的基于模式选择的移动边缘安全服务系统的一种网络侧部署示意图;
图4b为本申请实施例的基于模式选择的移动边缘安全服务系统的一种现场级部署示意图;
图5为本申请实施例的基于模式选择的移动边缘安全服务方法的一种示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例公开了一种基于模式选择的移动边缘安全服务方法及系统,以下分别进行说明。
本申请实施例提供了基于模式选择的移动边缘安全服务系统,参见图1,图1为本申请实施例的基于模式选择的移动边缘安全服务系统的第一种示意图,包括:
操作支持平台110,移动边缘编排器120,移动边缘主机130,上述移动边缘主机130包括多个移动边缘应用1301;
上述操作支持平台110,用于获取移动边缘用户端的应用接入请求,上述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任务所需的计算资源;对上述应用接入请求进行安全检测,并将上述待计算任务的服务模式、上述待计算任务所需移动边缘应用1301的安全等级以及上述待计算任务所需的计算资源转发至上述移动边缘编排器120;
上述移动边缘编排器120,用于接收上述操作支持平台110转发的上述待计算任务的服务模式、上述待计算任务所需移动边缘应用1301的安全等级以及上述待计算任务所需的计算资源,根据上述待计算任务的服务模式、上述待计算任务所需移动边缘应用1301的安全等级以及上述待计算任务所需的计算资源,确定处理上述待计算任务的目标移动边缘应用;
上述操作支持平台110,还用于当上述应用接入请求通过安全检测时,获取上述移动边缘用户端发送的待计算任务信息,上述待计算任务信息包括多个子任务;并将上述待计算任务信息转发至上述移动边缘编排器120;
上述移动边缘编排器120,还用于根据上述待计算任务信息和上述目标移动边缘应用对应的移动边缘主机130正在处理的计算任务的数量,调度目标移动边缘应用来处理各上述子任务,以使各上述移动边缘主机130处理的计算任务均衡;
上述移动边缘应用1301,用于响应于上述移动边缘编排器120的调度,处理接收到的子任务。
本申请实施例提供了基于模式选择的移动边缘安全服务系统应用于ETSI建议的MEC架构,也可以应用于LTE(Long Term Evolution,长期演进)、5G网络系统,也适用于支持管理、编排VNF(Virtualized Network Function,虚拟化网络功能)的开源平台,包括OpenSDNCore、HP OpenNFV、Open Baton NFVO、Taker。
操作支持平台110是直接面向移动边缘用户端的应用接入请求的设备,从而根据移动边缘用户端的应用接入请求完成相应的移动边缘服务调度,移动边缘用户终端包含一切使用移动边缘服务的终端设备,可用于智慧城市、户外直播、车联网等服务。根据实际需要,基于模式选择的移动边缘安全服务系统可以包括区域子系统,其中每个区域子系统均包括移动边缘编排器120,移动边缘主机130,移动边缘编排器120可以维护和管理一个区域子系统内的移动边缘主机130。移动边缘主机130是指用于提供计算存储能力的设备。移动边缘应用1301部署在移动边缘主机130中,用于提供移动边缘服务。
当移动边缘用户端获取用户的移动边缘服务请求指令时,移动边缘用户端给操作支持平台110发送应用接入请求,操作支持平台110获取移动边缘用户端的应用接入请求,其中,应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任务所需的计算资源;操作支持平台110对应用接入请求进行安全检测,并将待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任务所需的计算资源转发至移动边缘编排器120。
在一种可能的实施方式中,上述应用接入请求包括用户标识,上述操作支持平台110具体用于:
根据上述用户标识,判断用户是否在预设黑产用户数据库中;
当上述用户在预设黑产用户数据库中时,判定上述应用接入请求不通过安全检测;
当上述用户不在预设黑产用户数据库中时,判定上述应用接入请求通过安全检测。
移动边缘用户端的应用接入请求具体可包括用户标识,其中,操作支持平台110对应用接入请求进行安全检测,具体包括:操作支持平台110根据用户标识,判断用户是否在预设黑产用户数据库中;当用户在预设黑产用户数据库中时,则说明用户为黑产用户,即判定应用接入请求不通过安全检测;当用户不在预设黑产用户数据库中时,可判定应用接入请求通过安全检测。
在一种可能的实施方式中,上述操作支持平台110具体用于:
在根据上述用户标识,判断用户是否在预设黑产用户数据库中之前,判断移动边缘用户端的应用接入请求数据段的是否完整。
应用接入请求应包括待计算任务的服务模式、用户标识、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源,当应用接入请求中缺少了上述信息,则判定应用接入请求不完整,操作支持平台110拒绝移动边缘用户端的应用接入请求。更进一步的,操作支持平台110向移动边缘用户端返回错误信息,其中,错误信息中具体可以包括应用接入请求缺失的信息。当判断移动边缘用户端的应用接入请求数据段的完整时,根据上述用户标识,判断用户是否在预设黑产用户数据库中,当上述用户不在预设黑产用户数据库中时,判定上述应用接入请求通过安全检测,同意上述移动边缘用户端的应用接入请求。
更进一步的,在预设标识数据库中保存有向操作支持平台110发送应用接入请求的用户的用户标识,操作支持平台110获取移动边缘用户端的应用接入请求后,根据用户,判断用户标识是否在上述预设标识数据库中,若在,则说明用户不是首次向操作支持平台110发送应用接入请求,如果不在,则判断用户首次向操作支持平台110发送应用接入请求,当用户首次向操作支持平台110发送应用接入请求时,操作支持平台110可对用户进行认证,其中认证方法可以参看现有/相关方案中认证方法,当认证成功后,将用户的用户标识保存至上述预设标识数据库中。
在一种可能的实施方式中,应用接入请求包括待计算任务的任务类型,移动边缘编排器存储有各移动边缘应用的服务记录,其中,服务记录包括计算任务对应的用户标识,以及完成计算任务的实际计算资源,操作支持平台110对上述应用接入请求进行安全检测,包括:
操作支持平台110根据用户的用户标识,从移动边缘编排器获取用户标识对应的服务记录,根据任务类型和服务记录判断所需的计算资源是否合理,当合理时,判定上述应用接入请求通过安全检测;当不合理时,判定上述应用接入请求不通过安全检测。
其中,根据任务类型和服务记录判断所需的计算资源是否合理,包括:根据服务记录中的计算任务的实际计算资源,判断待计算任务所需的计算资源是否超过预设第一资源阈值,当超过预设第一资源阈值时,判定所需的计算资源不合理,当未超过预设第一资源阈值时,判定所需的计算资源合理。
更进一步的,将超过预设资源阈值的用户的用户标识确定为黑产用户;并将上述黑产用户的用户标识存储在上述预设黑产用户数据库中;
将未超过预设第一资源阈值,超过预设第二资源阈值的用户标记为可疑用户;对上述可疑用户的计算任务进行监测,在预设第二时间周期内,若上述可疑用户的计算任务包括预设攻击任务,将上述可疑用户确定为黑产用户;将上述黑产用户的用户标识存储在上述预设黑产用户数据库中。
将未超过预设第二资源阈值的用户确定为正常用户,确定所需的计算资源合理。
所需计算资源数据异常时标记为可疑用户,超出阈值时标记为黑名单。
移动边缘编排器中存储有移动边缘主机和移动边缘应用的映射关系,移动边缘编排器120接收操作支持平台110转发的待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任务所需的计算资源,根据待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用。无论操作支持平台110对应用接入请求的安全检测结果如何,操作支持平台110均会将待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任务所需的计算资源转发至移动边缘编排器120,无论操作支持平台110对应用接入请求的安全检测结果如何,移动边缘编排器120接收操作支持平台110转发的待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任务所需的计算资源,根据待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用,如此,在操作支持平台110对应用接入请求进行安全检测的同时,移动边缘编排器120可确定处理待计算任务的目标移动边缘应用。以此可节约处理计算任务整体的处理时间,达到时延优化的目的。
当应用接入请求通过安全检测时,操作支持平台110获取移动边缘用户端发送的待计算任务信息,将待计算任务信息转发至移动边缘编排器120;因为待计算任务包括多个子任务,则移动边缘编排器120根据待计算任务信息和目标移动边缘应用对应的移动边缘主机130正在处理的计算任务的数量,调度目标移动边缘应用来处理各子任务,以使各移动边缘主机130处理的计算任务均衡,移动边缘应用1301响应于移动边缘编排器120的调度,进而处理接收到的子任务。通过考虑各个移动边缘主机130处理计算任务的数量,调度目标移动边缘应用来处理各子任务,以使各移动边缘主机130处理的计算任务均衡。
通过操作支持平台获取移动边缘用户端的应用接入请求,对应用接入请求进行安全检测,并将待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源转发至移动边缘编排器;移动边缘编排器接收操作支持平台转发的待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源后,根据待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用,当应用接入请求通过安全检测时,操作支持平台获取移动边缘用户端发送的待计算任务信息,并将待计算任务信息转发至移动边缘编排器;移动边缘编排器用于根据待计算任务信息和目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,来调度目标移动边缘应用来处理各子任务,以使各移动边缘主机处理的计算任务均衡,通过综合考虑移动边缘应用的安全等级以及各个移动边缘主机间的负载均衡,在提高移动边缘系统整体安全性的同时,可以满足用户差异化的服务需求。
在一种可能的实施方式中,当上述待计算任务的服务模式为性能优先模式时,上述移动边缘编排器120具体用于:
根据上述待计算任务所需的计算资源和各上述移动边缘主机130的剩余计算资源,根据各上述移动边缘主机130与上述移动边缘用户端的距离,按照各上述距离从近到远的顺序,依次从各上述移动边缘主机130中选择目标移动边缘主机130,其中,各个上述目标移动边缘主机130的剩余计算资源的总和不小于上述待计算任务所需的计算资源的(1+β)倍,其中β为预设值;
从上述目标移动边缘主机130中选出安全等级不小于上述待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;
按照安全等级从高到底的顺序,从上述待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于上述待计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
当上述待计算任务的服务模式为性能优先模式时,移动边缘编排器120根据上述待计算任务所需的计算资源和各上述移动边缘主机130的剩余计算资源,根据各移动边缘主机130与移动边缘用户端的距离,按照各距离从近到远的顺序,依次从各移动边缘主机130中选择目标移动边缘主机130,其中,各个目标移动边缘主机130的剩余计算资源的总和不小于待计算任务所需的计算资源的(1+β)倍。从目标移动边缘主机130中选出安全等级不小于待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;按照安全等级从高到底的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
其中,β是一个预设系数,可以是固定的,例如设定β为0.5,当然,为了使移动边缘编排器120根据待计算任务所需的计算资源更准确的调度出目标移动边缘主机130,从而准确调度目标移动边缘应用,β也可以是经过动态调整获得的;例如,获取历史记录中待计算任务所需的计算资源,移动边缘编排器120根据待计算任务所需的计算资源和各移动边缘主机130的剩余计算资源,根据各移动边缘主机130与移动边缘用户端的距离,按照各距离从近到远的顺序,依次从各移动边缘主机130中选择目标移动边缘主机130,各个目标移动边缘主机130的剩余计算资源的总和,以及按照安全等级从高到底的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,根据历史记录中待计算任务所需的计算资源,各个目标移动边缘主机130的剩余计算资源的总和,最终选取的各移动边缘应用1301的计算资源的总和,训练得到β。具体训练得到β的算法可以为任意强化学习算法,也可以为信息素函数,具体的,信息素函数由移动边缘用户端与移动边缘主机130距离和传输带宽构成的蚁群算法。
例如,包括5个移动边缘主机130,分别为移动边缘主机1301,移动边缘主机1302,移动边缘主机1303,移动边缘主机1304,移动边缘主机1305,根据各上述移动边缘主机130与上述移动边缘用户端的距离,按照从近到远的顺序进行排序,分别为,移动边缘主机1301,移动边缘主机1302,移动边缘主机1303,移动边缘主机1304,移动边缘主机1305,其中,待计算任务所需的计算资源为Crequired,若移动边缘主机1301的剩余计算资源大于Crequired的(1+β)倍,则移动边缘主机1301即作为目标移动边缘主机130,若移动边缘主机1301的剩余计算资源不大于Crequired的(1+β)倍,则选择移动边缘主机1301后,现在移动边缘主机1302,各个上述目标移动边缘主机130的剩余计算资源的总和不小于上述待计算任务所需的计算资源的(1+β)倍。
因为移动边缘主机130与移动边缘用户端的距离不同,则处理计算任务时数据传输的时延也不同,通过优先选择距离较近的移动边缘主机130为目标移动边缘主机130,可以节约整个计算任务的处理时间,从而达到时延优化的目的。
更进一步的,在实际应用中,可根据各移动边缘主机130与移动边缘用户端的距离,按照各距离从近到远的顺序,对各个移动边缘主机进行划分,得到各个移动边缘主机区域集群。
在一种可能的实施方式中,当上述待计算任务的服务模式为性能优先模式时,上述移动边缘编排器120具体用于:
根据上述待计算任务所需的计算资源和各上述移动边缘主机130的剩余计算资源,根据各上述移动边缘主机区域集群与上述移动边缘用户端的距离,按照各距离从近到远的顺序,依次从各上述移动边缘主机区域集群中选择目标移动边缘主机。
在一种可能的实施方式中,当上述待计算任务的服务模式为安全优先模式时,上述移动边缘编排器120具体用于:
从各上述移动边缘主机130中选出安全等级不小于上述待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;
按照安全等级从高到底的顺序,从上述待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于上述待计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
当待计算任务的服务模式为安全优先模式时,从各移动边缘主机130中选出安全等级不小于待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;按照安全等级从高到底的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
例如,待计算任务为任务A,任务A所需移动边缘应用1301的安全等级至少为3级,则表示能处理任务A安全等级为1级,2级,3级,低于3级的移动边缘应用不能处理任务A,移动边缘编排器120上述待计算任务所需移动边缘应用1301的安全等级以及上述待计算任务所需的计算资源,按照安全等级从高到底的顺序,从上述待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于上述待计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
在一种可能的实施方式中,上述操作支持平台110还用于:
根据预设第一时间周期,从上述移动边缘用户端获取各用户的计算任务信息;
对上述计算任务信息进行特征提取,得到计算任务特征;
将上述计算任务特征与预设第一行为特征进行匹配,识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户;
对上述可疑用户的计算任务进行监测,在预设第二时间周期内,若上述可疑用户的计算任务包括预设攻击任务,将上述可疑用户确定为黑产用户;
将上述黑产用户的用户标识存储在上述预设黑产用户数据库中。
操作支持平台110周期性地从移动边缘用户端获取各用户的计算任务信息,例如,操作支持平台110每隔10天从移动边缘用户端获取各用户的计算任务信息,然后对计算任务信息进行特征提取,得到计算任务特征,将计算任务特征与预设第一行为特征进行匹配,从而识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户,进而对可疑用户的计算任务进行监测,在预设第二时间周期内,若可疑用户的计算任务包括预设攻击任务,将可疑用户确定为黑产用户;将黑产用户的用户标识存储在预设黑产用户数据库中。例如,将可疑计算任务的所属的用户标记为可疑用户后,若5天内可疑用户的计算任务包括预设攻击任务,将可疑用户确定为黑产用户。
通过周期性的从移动边缘用户端获取各用户的计算任务信息,然后对计算任务信息进行分析,识别出潜在的黑产用户,从而当接收到黑产用户的应用接入请求,可直接拒绝黑产用户的应用接入请求,从而提高系统的安全性。
在一种可能的实施方式中,上述操作支持平台110还用于:
将上述黑产用户的用户标识发送至上述移动边缘编排器120,以使上述移动边缘编排器120根据上述黑产用户的用户标识,停止调度处理目标移动边缘应用以处理上述黑产用户的待计算任务。
操作支持平台110识别到黑产用户后,将黑产用户的用户标识发送至移动边缘编排器120,以使移动边缘编排器120根据黑产用户的用户标识,停止调度处理目标移动边缘应用以处理黑产用户的待计算任务,从而提高系统的安全性。
在一种可能的实施方式中,上述操作支持平台110还用于:
在预设第二时间周期内,若上述可疑用户的待计算任务不包括攻击任务时,将上述可疑用户标记为正常用户。
在预设第二时间周期内,若上述可疑用户的待计算任务不包括攻击任务时,将上述可疑用户标记为正常用户,以使得操作支持平台110可有效地对可疑用户的计算任务进行监测,减少对正常用户的计算任务进行监测,提高工作效率。
在一种可能的实施方式中,上述移动边缘编排器120还用于:在预设第三时间周期内,从上述操作支持平台110获取待计算任务信息;在各上述待计算任务信息的数据段中填充指定数量的校验数据,得到目标数据;将目标数据分配至各上述移动边缘主机130的各个移动边缘应用1301,以使各移动边缘应用1301对上述目标数据进行处理,得到处理后的数据;
上述系统还包括:移动边缘管理器;
上述移动边缘管理器,用于获取各个移动边缘应用1301返回的处理后的数据,并提取上述处理后的数据中的校验数据;判断各个上述处理后的数据中的校验数据是否相同,若超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对应的移动边缘应用1301的信息发送至上述移动边缘编排器120,其中,若处理后的数据中的校验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
上述移动边缘编排器120,还用于接收到上述移动边缘管理器发送的不真实数据对应的移动边缘应用1301的信息,并将不真实数据对应的移动边缘应用1301的信任值降低预设信任值;
其中,上述移动边缘应用1301的安全等级是预设更新周期范围内,根据上述移动边缘应用1301成功服务次数,上述移动边缘应用1301接收的服务请求总次数,上述边缘应用的信任值计算得到的;
上述安全等级表示为:
其中,SL(tl,sr)表示移动边缘应用1301的安全等级,tl表示记录上述移动边缘应用1301信任值的信任列表,sr表示上述移动边缘应用1301的服务记录,α表示上述移动边缘应用1301的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应用1301的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用1301接收的服务请求次数;
信任列表和服务记录存储在移动边缘编排器120中。
移动边缘应用1301的安全等级是预设更新周期范围内,根据移动边缘应用1301成功服务次数,移动边缘应用1301接收的服务请求总次数,边缘应用的信任值计算得到的,移动边缘编排器120存储有信任列表和服务记录,其中服务记录中包括,移动边缘应用1301接收的服务请求次数和移动边缘应用1301的成功服务次数。
安全等级表示为:
其中,SL(tl,sr)表示移动边缘应用1301的安全等级,tl表示记录上述移动边缘应用1301信任值的信任列表,sr表示上述移动边缘应用1301的服务记录,α表示上述移动边缘应用1301的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应用1301的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用1301接收的服务请求次数。
为了验证各移动边缘应用的安全等级,系统还包括移动边缘管理器。移动边缘编排器120每隔预设第三时间周期,从操作支持平台110获取待计算任务信息,在各待计算任务信息的数据段中填充指定数量的校验数据,得到目标数据,然后将目标数据分配至各移动边缘主机130的各个移动边缘应用1301,以使各移动边缘应用1301对目标数据进行处理,得到处理后的数据。移动边缘管理器获取各个移动边缘应用1301返回的处理后的数据,并提取处理后的数据中的校验数据,对各个处理后的数据中的校验数据进行多模裁决,即,判断各个处理后的数据中的校验数据是否相同,若超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据,并将不真实数据对应的移动边缘应用1301的信息发送至移动边缘编排器120。其中,若处理后的数据中的校验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同。移动边缘编排器120将不真实数据对应的移动边缘应用1301的信任值降低预设信任值。以此可以减少安全等级低的移动边缘应用,使黑产用户需要通过变化输入激励和获取输出响应方式才能分析掌控移动边缘应用的漏洞,使得移动边缘应用的漏洞变得难以探测,杜绝了数据篡改的可能性,模糊黑产用户进行隐私窃取的指向性,使得劫持边缘数据中心的难度极大提高,实现移动边缘应用的动态更新,在提高系统安全性的同时增强了移动边缘应用的动态性。更进一步的,上述移动边缘编排器、移动边缘管理器、操作支持系统等可以是具体硬件,也可以是采用网络功能虚拟化技术的VNF。
另外,在5G的应用中,移动边缘管理器、操作支持平台、移动边缘编排器可以严格由网络运营商控制,在系统层面形成移动边缘管理器、移动边缘编排器间的绝对信任,杜绝伪移动边缘管理器/移动边缘编排器攻击,以此由操作支持平台与移动边缘编排器交互过程中,带来的安全隐患。
在一种可能的实施方式中,上述移动边缘编排器120存储有各移动边缘应用1301的计算任务次数,上述移动边缘管理器还用于:
每隔预设第四时间周期,从上述移动边缘编排器120获取各移动边缘应用1301的调度信息;
将安全等级低于预设安全等级阈值的移动边缘应用1301删除。
例如,每隔半月,移动边缘管理器从移动边缘编排器120获取各移动边缘应用1301的调度信息,将安全等级低于预设安全等级阈值的移动边缘应用1301删除,以此可以减少安全等级低的移动边缘应用,使黑产用户需要通过变化输入激励和获取输出响应方式才能分析掌控移动边缘应用的漏洞,使得移动边缘应用的漏洞变得难以探测,杜绝了数据篡改的可能性,模糊黑产用户进行隐私窃取的指向性,使得劫持边缘数据中心的难度极大提高,实现移动边缘应用的动态更新,在提高系统安全性的同时增强了移动边缘应用的动态性。
参见图2,图2为本申请实施例的基于模式选择的移动边缘安全服务系统的第二种示意图,在一种可能的实施方式中,移动边缘编排器120包括移动边缘主机编排模块1201,网络功能虚拟化编排模块1202;移动边缘主机130还包括移动边缘平台1302、网络功能虚拟化基础设施1303;移动边缘管理器140包括移动边缘平台管理模块1401、虚拟化基础设施管理模块1402以及移动边缘生命周期管理模块1403。移动边缘编排器120通过移动边缘管理器140维护和管理一个区域内的移动边缘主机130。
具体的,移动边缘应用1301为在移动边缘主机130提供的网络功能虚拟化基础设施1303之上部署的虚拟网络功能运行,可以与移动边缘平台1302进行交互,提供移动边缘服务。
虚拟化基础设施管理模块1402对移动边缘应用1301进行安全评估;移动边缘平台管理模块1401通过ping侦测的方式,监测移动边缘主机130的网络系统状况,从虚拟化基础设施管理模块1402接收移动边缘应用的安全评估结果,并将结果上报至移动边缘编排器120。移动边缘生命周期管理模块1403用于执行移动边缘应用的实例化及删除在预设第四时间周期内,安全等级低于预设安全等级阈值的移动边缘应用1301。
网络功能虚拟化编排模块1202用于存储移动边缘应用信息,根据移动边缘应用的存储、计算、网络传输能力以及安全等级生成相应的调度策略;移动边缘主机编排模块1201从全局角度,根据诸如延迟、移动边缘应用安全等级等约束为待计算任务选择适当的移动边缘主机。
参见图3,图3为本申请实施例的基于模式选择的移动边缘安全服务系统的一种流程示意图,操作支持平台110获取移动边缘用户端的应用接入请求,操作支持平台110判断用户是否在预设黑产用户数据库中,当上述用户在预设黑产用户数据库中时,判定上述应用接入请求不通过安全检测,将所述黑产用户的用户标识存储在所述预设黑产用户数据库中,并直接结束整个计算任务的流程;当上述用户不在预设黑产用户数据库中时,判定上述应用接入请求通过安全检测。
操作支持平台110识别服务模式是否为安全优先模式,当待计算任务的服务模式为安全优先模式时,网络功能虚拟化编排模块1202从各移动边缘主机130中选出安全等级不小于待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;按照安全等级从高到底的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
当上述待计算任务的服务模式为性能优先模式时,移动边缘主机编排模块1201根据上述待计算任务所需的计算资源和各上述移动边缘主机130的剩余计算资源,根据各移动边缘主机130与移动边缘用户端的距离,按照各距离从近到远的顺序,依次从各移动边缘主机130中选择目标移动边缘主机130,其中,各个目标移动边缘主机130的剩余计算资源的总和不小于待计算任务所需的计算资源的(1+β)倍。网络功能虚拟化编排模块1202从目标移动边缘主机130中选出安全等级不小于待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;按照安全等级从高到底的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。选择出来的目标移动边缘应用响应于移动边缘编排器的调度,处理接收到的子任务,处理完成后,结束流程。
在一种可能的实施方式中,基于模式选择的移动边缘安全服务系统适用于中国移动定义的移动边缘计算在网络侧以及现场级两种部署。
参见图4a,图4a为本申请实施例的基于模式选择的移动边缘安全服务系统的一种网络侧部署示意图,在网络侧部署中,运营商可将移动边缘编排器部署在城域网中的地市级运营商机房,将移动边缘主机、移动边缘管理器集中部署在区县级以及更低位置的运营商机房中以及接入网基站中,通过移动边缘编排器统一调度实现区域内的移动边缘主机的编排,通过移动边缘管理器实现细粒度的移动边缘应用管理。
参见图4b,图4b为本申请实施例的基于模式选择的移动边缘安全服务系统的一种现场级部署示意图,在现场级部署中,运营商将移动边缘编排器部署有现场级移动边缘服务需求的蜂窝基站或区县级的运营商机房中,根据移动边缘服务需求密度分布式地部署移动边缘管理器,以此可应对不同区域差异化的服务需求密度,将需求较多区域内的移动边缘主机面向第三方开放,区域内经过运营商认证后第三方提供的具有通信、计算、存储能力的设备(例如手机、笔记本、平板电脑)可作为移动边缘主机运行,运营商记录服务信息,对完成服务的第三方给予奖励,这样有效利用了区域内闲置的计算资源,缓解了服务需求密集区域运营商的设备压力。可以有效解决DDoS攻击、隐私泄露等中国移动在建议移动边缘部署时未考虑的安全威胁。
本申请实施例提供了基于模式选择的移动边缘安全服务方法,应用于基于模式选择的移动边缘安全服务系统,上述基于模式选择的移动边缘安全服务系统包括:操作支持平台,移动边缘编排器,移动边缘主机,上述移动边缘主机包括多个移动边缘应用,参见图5,图5为本申请实施例的基于模式选择的移动边缘安全服务方法的一种示意图,上述方法包括:
步骤510,上述操作支持平台获取移动边缘用户端的应用接入请求,上述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源;对上述应用接入请求进行安全检测,并将上述待计算任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源转发至上述移动边缘编排器;
步骤520,上述移动边缘编排器接收上述操作支持平台转发的上述待计算任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,根据上述待计算任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,确定处理上述待计算任务的目标移动边缘应用;
步骤530,当上述应用接入请求通过安全检测时,上述操作支持平台获取上述移动边缘用户端发送的待计算任务信息,上述待计算任务信息包括多个子任务;并将上述待计算任务信息转发至上述移动边缘编排器;
步骤540,上述移动边缘编排器根据上述待计算任务信息和上述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各上述子任务,以使各上述移动边缘主机处理的计算任务均衡;
步骤550,上述移动边缘应用响应于上述移动边缘编排器的调度,处理接收到的子任务。
在一种可能的实施方式中,当上述待计算任务的服务模式为性能优先模式时,上述移动边缘编排器接收上述操作支持平台转发的上述待计算任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,根据上述待计算任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,确定处理上述待计算任务的目标移动边缘应用,包括:
步骤一,根据上述待计算任务所需的计算资源和各上述移动边缘主机的剩余计算资源,根据各上述移动边缘主机与上述移动边缘用户端的距离,按照各上述距离从近到远的顺序,依次从各上述移动边缘主机中选择目标移动边缘主机,其中,各个上述目标移动边缘主机的剩余计算资源的总和不小于上述待计算任务所需的计算资源的(1+β)倍,其中β为预设值;
步骤二,从上述目标移动边缘主机中选出安全等级不小于上述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
步骤三,按照安全等级从高到底的顺序,从上述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于上述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
在一种可能的实施方式中,当上述待计算任务的服务模式为安全优先模式时,上述移动边缘编排器接收上述操作支持平台转发的上述待计算任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,根据上述待计算任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,确定处理上述待计算任务的目标移动边缘应用,包括:
从各上述移动边缘主机中选出安全等级不小于上述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到底的顺序,从上述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于上述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
在一种可能的实施方式中,上述应用接入请求包括用户标识,上述对上述应用接入请求进行安全检测,包括:
根据上述用户标识,判断用户是否在预设黑产用户数据库中;
当上述用户在预设黑产用户数据库中时,判定上述应用接入请求不通过安全检测;
当上述用户不在预设黑产用户数据库中时,判定上述应用接入请求通过安全检测。
在一种可能的实施方式中,在上述操作支持平台获取移动边缘用户端的应用接入请求的步骤之前,上述方法还包括:
上述操作支持平台根据预设第一时间周期,从上述移动边缘用户端获取各用户的计算任务信息;对上述计算任务信息进行特征提取,得到计算任务特征;将上述计算任务特征与预设第一行为特征进行匹配,识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户;对上述可疑用户的计算任务进行监测,在预设第二时间周期内,若上述可疑用户的计算任务包括预设攻击任务,将上述可疑用户确定为黑产用户;将上述黑产用户的用户标识存储在上述预设黑产用户数据库中。
在一种可能的实施方式中,在将上述可疑用户确定为黑产用户的步骤之后,上述方法还包括:
上述操作支持平台将上述黑产用户的用户标识发送至上述移动边缘编排器,以使上述移动边缘编排器根据上述黑产用户的用户标识,停止调度处理目标移动边缘应用以处理上述黑产用户的待计算任务。
在一种可能的实施方式中,在上述将可疑计算任务的所属的用户标记为可疑用户的步骤之后,上述方法还包括:
上述操作支持平台在预设第二时间周期内,若上述可疑用户的待计算任务不包括攻击任务时,将上述可疑用户标记为正常用户。
在一种可能的实施方式中,上述系统还包括:移动边缘管理器;在上述操作支持平台获取移动边缘用户端的应用接入请求的步骤之前,上述方法还包括:
上述移动边缘编排器在预设第三时间周期内,从上述操作支持平台获取待计算任务信息;在各上述待计算任务信息的数据段中填充指定数量的校验数据,得到目标数据;将目标数据分配至各上述移动边缘主机的各个移动边缘应用,以使各移动边缘应用对上述目标数据进行处理,得到处理后的数据;
上述移动边缘管理器获取各个移动边缘应用返回的处理后的数据,并提取上述处理后的数据中的校验数据;判断各个上述处理后的数据中的校验数据是否相同,若超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对应的移动边缘应用的信息发送至上述移动边缘编排器,其中,若处理后的数据中的校验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
上述移动边缘编排器接收到上述移动边缘管理器发送的不真实数据对应的移动边缘应用的信息,并将不真实数据对应的移动边缘应用的信任值降低预设信任值;
其中,上述移动边缘应用的安全等级是预设更新周期范围内,根据上述移动边缘应用成功服务次数,上述移动边缘应用接收的服务请求总次数,上述边缘应用的信任值计算得到的;
上述安全等级表示为:
其中,SL(tl,sr)表示移动边缘应用的安全等级,tl表示记录上述移动边缘应用信任值的信任列表,sr表示上述移动边缘应用的服务记录,α表示上述移动边缘应用的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应用的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用接收的服务请求次数;
上述信任列表和上述服务记录存储在上述移动边缘编排器中。
在一种可能的实施方式中,上述移动边缘编排器存储有各移动边缘应用的计算任务次数,上述方法还包括:
上述移动边缘管理器每隔预设第四时间周期,从上述移动边缘编排器获取各移动边缘应用的调度信息;将安全等级低于预设安全等级阈值的移动边缘应用删除。
关于上述实施例中的方法,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。上述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行上述计算机程序指令时,全部或部分地产生按照本发明实施例上述的流程或功能。上述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。上述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,上述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。上述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。上述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,各个可选方案中的技术特征只要不矛盾均可组合来形成方案,这些方案均在本申请公开的范围内。诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括上述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备及存储介质的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上上述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种基于模式选择的移动边缘安全服务系统,其特征在于,所述系统包括:
操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边缘应用;
所述操作支持平台,用于获取移动边缘用户端的应用接入请求,所述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至所述移动边缘编排器;
所述移动边缘编排器,用于接收所述操作支持平台转发的所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
所述操作支持平台,还用于当所述应用接入请求通过安全检测时,获取所述移动边缘用户端发送的待计算任务信息,所述待计算任务信息包括多个子任务;并将所述待计算任务信息转发至所述移动边缘编排器;
所述移动边缘编排器,还用于根据所述待计算任务信息和所述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各所述子任务,以使各所述移动边缘主机处理的计算任务均衡;
所述移动边缘应用,用于响应于所述移动边缘编排器的调度,处理接收到的子任务。
2.根据权利要求1所述的系统,其特征在于,当所述待计算任务的服务模式为性能优先模式时,所述移动边缘编排器具体用于:
根据所述待计算任务所需的计算资源和各所述移动边缘主机的剩余计算资源,根据各所述移动边缘主机与所述移动边缘用户端的距离,按照各所述距离从近到远的顺序,依次从各所述移动边缘主机中选择目标移动边缘主机,其中,各个所述目标移动边缘主机的剩余计算资源的总和不小于所述待计算任务所需的计算资源的(1+β)倍,其中β为预设值;
从所述目标移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到底的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
3.根据权利要求1所述的系统,其特征在于,当所述待计算任务的服务模式为安全优先模式时,所述移动边缘编排器具体用于:
从各所述移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到底的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
4.根据权利要求1所述的系统,其特征在于,所述应用接入请求包括用户标识,所述操作支持平台具体用于:
根据所述用户标识,判断用户是否在预设黑产用户数据库中;
当所述用户在预设黑产用户数据库中时,判定所述应用接入请求不通过安全检测;
当所述用户不在预设黑产用户数据库中时,判定所述应用接入请求通过安全检测。
5.根据权利要求4所述的系统,其特征在于,所述操作支持平台还用于:
根据预设第一时间周期,从所述移动边缘用户端获取各用户的计算任务信息;
对所述计算任务信息进行特征提取,得到计算任务特征;
将所述计算任务特征与预设第一行为特征进行匹配,识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户;
对所述可疑用户的计算任务进行监测,在预设第二时间周期内,若所述可疑用户的计算任务包括预设攻击任务,将所述可疑用户确定为黑产用户;
将所述黑产用户的用户标识存储在所述预设黑产用户数据库中。
6.根据权利要求5所述的系统,其特征在于,所述操作支持平台还用于:
将所述黑产用户的用户标识发送至所述移动边缘编排器,以使所述移动边缘编排器根据所述黑产用户的用户标识,停止调度处理目标移动边缘应用以处理所述黑产用户的待计算任务。
7.根据权利要求5所述的系统,其特征在于,所述操作支持平台还用于:
在所述预设第二时间周期内,若所述可疑用户的待计算任务不包括攻击任务时,将所述可疑用户标记为正常用户。
8.根据权利要求1所述的系统,其特征在于,所述移动边缘编排器还用于:在预设第三时间周期内,从所述操作支持平台获取待计算任务信息;在各所述待计算任务信息的数据段中填充指定数量的校验数据,得到目标数据;将目标数据分配至各所述移动边缘主机的各个移动边缘应用,以使各移动边缘应用对所述目标数据进行处理,得到处理后的数据;
所述系统还包括:移动边缘管理器;
所述移动边缘管理器,用于获取各个移动边缘应用返回的处理后的数据,并提取所述处理后的数据中的校验数据;判断各个所述处理后的数据中的校验数据是否相同,若超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对应的移动边缘应用的信息发送至所述移动边缘编排器,其中,若所述处理后的数据中的校验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
所述移动边缘编排器,还用于接收到所述移动边缘管理器发送的不真实数据对应的移动边缘应用的信息,并将不真实数据对应的移动边缘应用的信任值降低预设信任值;
其中,所述移动边缘应用的安全等级是预设更新周期范围内,根据所述移动边缘应用成功服务次数,所述移动边缘应用接收的服务请求总次数,所述边缘应用的信任值计算得到的;
所述安全等级表示为:
其中,SL(tl,sr)表示移动边缘应用的安全等级,tl表示记录所述移动边缘应用信任值的信任列表,sr表示所述移动边缘应用的服务记录,α表示所述移动边缘应用的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内所述移动边缘应用的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用接收的服务请求次数;
所述信任列表和所述服务记录存储在所述移动边缘编排器中。
9.根据权利要求8所述的系统,其特征在于,所述移动边缘编排器存储有各移动边缘应用的计算任务次数,所述移动边缘管理器还用于:
每隔预设第四时间周期,从所述移动边缘编排器获取各移动边缘应用的调度信息;
将安全等级低于预设安全等级阈值的移动边缘应用删除。
10.一种基于模式选择的移动边缘安全服务方法,其特征在于,应用于基于模式选择的移动边缘安全服务系统,所述基于模式选择的移动边缘安全服务系统包括:操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边缘应用,所述方法包括:
所述操作支持平台获取移动边缘用户端的应用接入请求,所述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至所述移动边缘编排器;
所述移动边缘编排器接收所述操作支持平台转发的所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
当所述应用接入请求通过安全检测时,所述操作支持平台获取所述移动边缘用户端发送的待计算任务信息,所述待计算任务信息包括多个子任务;并将所述待计算任务信息转发至所述移动边缘编排器;
所述移动边缘编排器根据所述待计算任务信息和所述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各所述子任务,以使各所述移动边缘主机处理的计算任务均衡;
所述移动边缘应用响应于所述移动边缘编排器的调度,处理接收到的子任务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010419782.8A CN111614657B (zh) | 2020-05-18 | 2020-05-18 | 基于模式选择的移动边缘安全服务方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010419782.8A CN111614657B (zh) | 2020-05-18 | 2020-05-18 | 基于模式选择的移动边缘安全服务方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111614657A true CN111614657A (zh) | 2020-09-01 |
CN111614657B CN111614657B (zh) | 2021-06-04 |
Family
ID=72201904
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010419782.8A Active CN111614657B (zh) | 2020-05-18 | 2020-05-18 | 基于模式选择的移动边缘安全服务方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111614657B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112130931A (zh) * | 2020-09-27 | 2020-12-25 | 联想(北京)有限公司 | 一种应用部署方法、节点、系统及存储介质 |
CN112565257A (zh) * | 2020-12-03 | 2021-03-26 | 国网安徽省电力有限公司检修分公司 | 基于电网专用和边缘物联代理的安全进程管理系统 |
CN112637312A (zh) * | 2020-12-17 | 2021-04-09 | 深圳艾灵网络有限公司 | 一种边缘节点任务协调方法、设备及存储介质 |
CN112738767A (zh) * | 2020-11-30 | 2021-04-30 | 中南大学 | 一种基于信任的移动边缘用户任务调度方法 |
CN114090244A (zh) * | 2021-11-16 | 2022-02-25 | 中国联合网络通信集团有限公司 | 一种服务编排方法、装置、系统及存储介质 |
CN114760060A (zh) * | 2022-06-15 | 2022-07-15 | 杭州天舰信息技术股份有限公司 | 一种边缘计算的服务调度方法 |
WO2023061366A1 (zh) * | 2021-10-14 | 2023-04-20 | 华为技术有限公司 | 一种资源访问方法及装置 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108076156A (zh) * | 2017-12-27 | 2018-05-25 | 北京航空航天大学 | 一种基于中国云产品的混合云系统 |
CN108235298A (zh) * | 2016-12-21 | 2018-06-29 | 上海中兴软件有限责任公司 | 移动边缘计算中路径切换方法、移动边缘计算平台及网关 |
CN108737271A (zh) * | 2017-04-14 | 2018-11-02 | 华为技术有限公司 | 一种报文路由方法、装置及系统 |
CN109302709A (zh) * | 2018-09-14 | 2019-02-01 | 重庆邮电大学 | 面向移动边缘计算的车联网任务卸载与资源分配策略 |
EP3462316A1 (en) * | 2017-09-29 | 2019-04-03 | NEC Laboratories Europe GmbH | System and method to support network slicing in an mec system providing automatic conflict resolution arising from multiple tenancy in the mec environment |
CN110061857A (zh) * | 2019-03-13 | 2019-07-26 | 武汉星耀科技有限公司 | 一种多mec能力开放和共享的方法及系统 |
CN110460465A (zh) * | 2019-07-29 | 2019-11-15 | 天津大学 | 面向移动边缘计算的服务功能链部署方法 |
US20200136906A1 (en) * | 2019-04-30 | 2020-04-30 | Francesc Guim Bernat | Modular i/o configurations for edge computing using disaggregated chiplets |
CN111132175A (zh) * | 2019-12-18 | 2020-05-08 | 西安电子科技大学 | 一种协同计算卸载和资源分配方法及应用 |
-
2020
- 2020-05-18 CN CN202010419782.8A patent/CN111614657B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108235298A (zh) * | 2016-12-21 | 2018-06-29 | 上海中兴软件有限责任公司 | 移动边缘计算中路径切换方法、移动边缘计算平台及网关 |
CN108737271A (zh) * | 2017-04-14 | 2018-11-02 | 华为技术有限公司 | 一种报文路由方法、装置及系统 |
EP3462316A1 (en) * | 2017-09-29 | 2019-04-03 | NEC Laboratories Europe GmbH | System and method to support network slicing in an mec system providing automatic conflict resolution arising from multiple tenancy in the mec environment |
CN108076156A (zh) * | 2017-12-27 | 2018-05-25 | 北京航空航天大学 | 一种基于中国云产品的混合云系统 |
CN109302709A (zh) * | 2018-09-14 | 2019-02-01 | 重庆邮电大学 | 面向移动边缘计算的车联网任务卸载与资源分配策略 |
CN110061857A (zh) * | 2019-03-13 | 2019-07-26 | 武汉星耀科技有限公司 | 一种多mec能力开放和共享的方法及系统 |
US20200136906A1 (en) * | 2019-04-30 | 2020-04-30 | Francesc Guim Bernat | Modular i/o configurations for edge computing using disaggregated chiplets |
CN110460465A (zh) * | 2019-07-29 | 2019-11-15 | 天津大学 | 面向移动边缘计算的服务功能链部署方法 |
CN111132175A (zh) * | 2019-12-18 | 2020-05-08 | 西安电子科技大学 | 一种协同计算卸载和资源分配方法及应用 |
Non-Patent Citations (1)
Title |
---|
王智明: "万物互联时代来袭__移动边缘计算研究意义深远", 《通信世界》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112130931A (zh) * | 2020-09-27 | 2020-12-25 | 联想(北京)有限公司 | 一种应用部署方法、节点、系统及存储介质 |
CN112738767A (zh) * | 2020-11-30 | 2021-04-30 | 中南大学 | 一种基于信任的移动边缘用户任务调度方法 |
CN112565257A (zh) * | 2020-12-03 | 2021-03-26 | 国网安徽省电力有限公司检修分公司 | 基于电网专用和边缘物联代理的安全进程管理系统 |
CN112637312A (zh) * | 2020-12-17 | 2021-04-09 | 深圳艾灵网络有限公司 | 一种边缘节点任务协调方法、设备及存储介质 |
CN112637312B (zh) * | 2020-12-17 | 2023-04-18 | 深圳艾灵网络有限公司 | 一种边缘节点任务协调方法、设备及存储介质 |
WO2023061366A1 (zh) * | 2021-10-14 | 2023-04-20 | 华为技术有限公司 | 一种资源访问方法及装置 |
CN114090244A (zh) * | 2021-11-16 | 2022-02-25 | 中国联合网络通信集团有限公司 | 一种服务编排方法、装置、系统及存储介质 |
CN114090244B (zh) * | 2021-11-16 | 2024-03-19 | 中国联合网络通信集团有限公司 | 一种服务编排方法、装置、系统及存储介质 |
CN114760060A (zh) * | 2022-06-15 | 2022-07-15 | 杭州天舰信息技术股份有限公司 | 一种边缘计算的服务调度方法 |
CN114760060B (zh) * | 2022-06-15 | 2022-09-23 | 杭州天舰信息技术股份有限公司 | 一种边缘计算的服务调度方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111614657B (zh) | 2021-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111614657B (zh) | 基于模式选择的移动边缘安全服务方法及系统 | |
EP3317804B1 (en) | Automatically preventing and remediating network abuse | |
US11646972B2 (en) | Dynamic allocation of network resources using external inputs | |
CN108399101B (zh) | 资源调度的方法、装置和系统 | |
CN108683668B (zh) | 内容分发网络中的资源校验方法、装置、存储介质及设备 | |
CN108370328B (zh) | 一种nfv mano策略描述符的管理方法及装置 | |
CN106134141A (zh) | 一种更新网络服务描述器nsd的方法及装置 | |
US11481478B2 (en) | Anomalous user session detector | |
US20230254319A1 (en) | Decentralized access control for authorized modifications of data using a cryptographic hash | |
CN112631550A (zh) | 区块链随机数生成方法、装置、设备及计算机存储介质 | |
WO2024093859A1 (zh) | 服务功能编排的方法、系统、电子设备及存储介质 | |
US20200235935A1 (en) | Data access control for edge devices using a cryptographic hash | |
US9185556B2 (en) | Method and system for forming a common network using shared private wireless networks | |
US11019140B1 (en) | Systems and methods for peer-to-peer data exchange via multi-access edge computing | |
US12058179B2 (en) | Computing power network system | |
CN115211159A (zh) | 网络切片的分配资源 | |
CN114423007A (zh) | 终端接入点的确定方法、确定装置、电子设备和存储介质 | |
US12039075B2 (en) | Methods and systems for data management in communication network | |
CN111159736B (zh) | 一种区块链的应用管控方法及系统 | |
CN111327666B (zh) | 服务管理方法、装置及系统、计算机设备、存储介质 | |
CN112948803A (zh) | 应用程序的登录方法、系统、设备和存储介质 | |
RU2724801C1 (ru) | Способ балансировки нагрузки на виртуальных машинах защиты при условии ограничении области выбора виртуальных машин защиты | |
Solovyev et al. | Administration of virtual data processing center over OpenFlow | |
CN117336312A (zh) | 异地多中心机房和边缘节点融合的分布式存储方法及系统 | |
CN115525908A (zh) | 资源权限控制方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |