CN113114656A - 基于边缘云计算的基础设施布局方法 - Google Patents

基于边缘云计算的基础设施布局方法 Download PDF

Info

Publication number
CN113114656A
CN113114656A CN202110373237.4A CN202110373237A CN113114656A CN 113114656 A CN113114656 A CN 113114656A CN 202110373237 A CN202110373237 A CN 202110373237A CN 113114656 A CN113114656 A CN 113114656A
Authority
CN
China
Prior art keywords
edge
edge node
cloud platform
network
nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110373237.4A
Other languages
English (en)
Other versions
CN113114656B (zh
Inventor
丁志勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zhongjiahexin Communication Technology Co ltd
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202110373237.4A priority Critical patent/CN113114656B/zh
Publication of CN113114656A publication Critical patent/CN113114656A/zh
Application granted granted Critical
Publication of CN113114656B publication Critical patent/CN113114656B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Abstract

本发明提供了一种基于边缘云计算的基础设施布局方法,该方法包括:将多个安全设施布局引擎分别部署在形成边缘云环境的每个边缘节点,监控各边缘节点的系统进程和网络通信,获得边缘节点信息;将边缘节点信息传输到上位云平台;使用对应于各边缘节点的本地安全协议,基于边缘节点信息标识边缘节点上的多个本地异常标记;基于本地安全协议响应多个本地异常标记,安全设施布局引擎执行对应的边缘节点的时域验证。本发明提出了一种基于边缘云计算的基础设施布局方法,使用终端的服务元数据配置来选择可用网络资源,从而满足与应用服务相关的性能值需求,在减少等待延迟的同时提高网络中的网络资源利用率。

Description

基于边缘云计算的基础设施布局方法
技术领域
本发明涉及云计算,特别涉及一种基于边缘云计算的基础设施布局方法。
背景技术
传统云计算架构的系统性能瓶颈在于网络带宽的有限性,传送海量数据以及云端处理数据都需要一定的时间,这会加大请求响应时间,用户体验差。随着物联网的发展,所有的电子设备都可以连接互联网,这些电子设备会后产生海量的数据。传统的云计算模型并不能及时有效的处理这些数据。而在边缘节点处理这些数据将会带来极小的响应时间、减轻网络负载、保证用户数据的私密性。因此云计算、软件定义网络都在探索向边缘节点中的多种终端和终端用户提供服务和应用。然而,边缘服务器的网络资源由于其有限的可用资源,存在的缺陷是无法满足服务和应用的性能值需求以及响应终端的需求而有效地管理网络资源的分配和利用。
发明内容
为解决上述现有技术所存在的问题,本发明提出了一种基于边缘云计算的基础设施布局方法,包括:
将多个安全设施布局引擎分别部署在形成边缘云环境的多个节点中的每个边缘节点,其中所述多个安全设施布局引擎监控各边缘节点的系统进程和网络通信,以获得边缘节点信息;
将所述边缘节点信息传输到上位云平台;使用对应于各边缘节点的本地安全协议,基于所述边缘节点信息来标识各边缘节点上的多个本地异常标记;所述本地安全协议由所述上位云平台自动生成并分配;
基于所述本地安全协议来响应多个本地异常标记,其中每个安全设施布局引擎中独立于上位云平台来标识和响应各边缘节点的本地异常标记;
所述每个安全设施布局引擎进一步执行对应的边缘节点的时域验证,其中,所述时域验证包括验证在对应的边缘节点上不存在本地异常标记。
优选地,其中监控各边缘节点的系统进程和网络通信包括,连续地验证边缘节点活动。
优选地,所述上位云平台还用于分析所述边缘节点信息,以确定各边缘节点的网络访问行为和处理器行为。
优选地,利用所述各边缘节点的网络访问行为和处理器行为来更新所述本地安全协议。
优选地,所述上位云平台采用神经网络算法来分析所述边缘节点信息,以确定各边缘节点的网络访问行为和处理器行为。
优选地,所述多个边缘节点的相关边缘节点被分组到节点簇,其中,所述节点簇的多个相关边缘节点包括多个网络访问模式;
将公共本地安全协议分配至所述节点簇的多个相关边缘节点。
优选地,所述本地安全协议基于预先配置的规则集。
优选地,所述本地安全协议包括多个策略,用于控制边缘节点相互之间、边缘节点和外部系统之间的访问。
附图说明
图1是根据本发明实施例的基于边缘云计算的基础设施布局方法的流程图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的某些或所有细节也可以根据权利要求书实现本发明。
本发明的一方面提供了一种基于边缘云计算的基础设施布局方法。图1是根据本发明实施例的基于边缘云计算的基础设施布局方法流程图。
本发明描述了基于分级边缘云平台和资源利用率的应用服务,所述应用服务在分级边缘云环境中实现,所述分级边缘云环境包括分级边缘云平台,每一级网络包括可配置为托管服务和应用的边缘服务器。例如,在分为三级边缘云环境中,第一级边缘云平台可在蜂窝设备和基站等边缘设备实现,第二级可在接入网和核心网之间的中间网络中实现,而第三级可在核心网中实现。根据另一实施方式,对于分级第一级边缘云平台,与网络边缘的距离或网络中的位置可以是不同的。例如,分级第一级边缘云平台可包括不同于边缘云平台的网络,例如互联网、分组数据网络。
本发明中的网络设备使用终端的服务元数据配置作为选择分级边缘云平台的可用网络或可用虚拟机的基础来向终端提供服务或应用。所述终端的服务元数据配置可包括终端的类型、终端被授权访问的应用服务的类型,以及终端的其他属性,以基于所述服务元数据配置来标识可用虚拟机。
所述网络设备计算与应用服务的提供相关联的多种资源特性。例如,所述资源特性包括与每个空闲虚拟机相关的资源利用率(例如可用虚拟机的网络资源相关的资源利用率)、与终端位置相关的资源利用率和其他资源利用率,例如缓存。
所述网络设备进一步用于确定可用虚拟机是否满足性能阈值。性能阈值可为等待延迟。性能阈值可包括与要提供的应用服务相关的多个性能值。
所述网络设备选择可用虚拟机来提供和托管应用服务,使得在满足性能阈值的同时最小化资源利用率。根据示例性实施方式,选择在满足性能阈值的同时产生最小资源使用率的可用虚拟机。
本发明的边缘云环境包括边缘云环境部署模块,用于实现提供分级边缘云平台和基于资源利用的应用服务的网络设备。边缘云环境部署模块可以作为独立的网络设备,或被实现为接入网中的接入设备或在边缘云平台中的计算设备。
第一级边缘云平台可与接入网的特定地理区域的接入设备集成,第二级边缘云平台可与回程网络的网络设备集成,第三级边缘云平台可与核心网的核心设备集成。鉴于以上架构,第一级边缘云平台可具有比第二级和第三级更低的等待延迟。另外,第二级边缘云平台可具有比第三级更低的等待延迟。
在终端、接入网和核心网执行连接过程中,多种类型的连接消息可在终端和网络之间交换。此时,核心设备可不经过接入网而将终端的服务配置元数据传输到边缘云环境部署模块。根据另一实施例,核心设备可通过接入网或第一级边缘云平台向边缘云环境部署模块发送服务配置元数据,或在连接完成之后向所述边缘云环境部署模块发送服务配置元数据。
对于所述服务配置元数据,其可包括表示终端的属性信息和订阅信息,例如表示终端的类型,包括是否为物联网设备、是否为移动设备。所述订阅信息可表示无线接入类型或等级,以及与服务质量相关的控制参数。
响应于边缘云环境部署模块接收到服务配置元数据,边缘云环境部署模块基于服务配置元数据确定终端可用的路由许可。例如,物联网设备可能不被允许访问边缘较远的边缘云平台。或用户设备可以被允许访问任何边缘云平台,例如包括第一级边缘云平台至第三级,并且由于订阅等级、用户设备使用的应用服务类型或服务配置元数据中包括的终端属性信息而具有访问第一级边缘云平台的优先级。因此,边缘云环境部署模块可基于服务配置元数据来确定终端可访问分级边缘云平台中的哪些网络。
边缘云环境部署模块还可基于服务配置元数据,来选择终端可以访问的可选应用服务。例如,服务配置元数据表示终端可以访问的多个应用服务。服务配置元数据可包括与所使用的应用或服务相关的历史信息。终端可以被限制为基于所述服务配置元数据中的订阅信息来访问应用或服务的集合。边缘云环境部署模块进一步基于可用主网络信息来选择空闲虚拟机,从而实现可用服务的托管。
所述边缘云环境部署模块进一步配置为计算空闲虚拟机的总资源利用率,并确定性能值需求是否满足阈值服务需求。例如,将存储在服务需求字段中的性能参数值与阈值服务需求进行比较。阈值服务需求为管理配置的最小服务需求参数和可用服务的相关数值。
为防止在边缘云环境的节点运行恶意应用,基于分析边缘云平台中所有节点的行为特征,为边缘云平台中的节点创建受保护环境,以确定需要授予节点的数据存取或云平台的数据连接权限。
所述边缘云环境包括安全设施布局引擎,用于在系统内以不同的颗粒度连续收集节点信息,持续验证并建立单个节点和整个网络的可信度。因此,本发明描述的系统建立从网络级到用户或终端级的多种颗粒度的行为预测,然后将该预测与当前实际使用状态进行比较,不断执行验证。优选地,分别验证节点和使用该节点的用户的完整性。
安全设施布局引擎用于分析节点上发生的过程或网络流量,然后将所分析的数据传输到上位云平台。多个安全设施布局引擎监控各边缘节点的系统进程和网络通信,以获得边缘节点信息。上位云平台分析数据以确定节点的云平台的数据连接行为或处理器行为。优选地,在多个节点上运行的多个安全设施布局引擎与上位云平台通信或执行相同的行为分析;自动向多个节点的多个分组分配多个规则集,
在将所述边缘节点信息传输到上位云平台之后;使用对应于各边缘节点的本地安全协议,基于所述边缘节点信息来标识各边缘节点上的多个异常标记;所述本地安全协议由所述上位云平台自动生成并分配;基于本地安全协议响应多个异常标记,其中每个安全设施布局引擎中独立于上位云平台来标识和响应各边缘节点的本地异常标记;执行对应的边缘节点的时域验证,其中所述时域验证包括验证在对应的边缘节点上不存在本地异常标记。
利用所述各边缘节点的网络访问行为和处理器行为来更新所述本地安全协议。所述多个边缘节点的相关边缘节点被分组到节点簇,所述节点簇的多个相关边缘节点包括多个网络访问模式;将公共本地安全协议分配至所述节点簇的多个相关边缘节点。
优选地,确定节点的云平台的数据连接行为或处理器行为包括,安全设施布局引擎在基础等级访问节点设备,以监控设备上发生的所有活动,包括安全异常活动。通过所述监控,确定节点设备是否违反预定义的安全规则,以执行由系统定义的其他动作。进一步地,本发明描述的基于安全设施布局引擎的系统提供分层的安全解决方案,以提供单独的节点安全以及整个边缘网络的安全。
所述本地安全协议包括多个策略,用于控制边缘节点相互之间、边缘节点和外部系统之间的访问。通过安全设施布局引擎对节点的连续监控,确定所收集的数据来构建访问策略。访问策略可以直接从用户或节点的行为来生成,然后通过神经网络算法分析并自动更新。
优选地,安全设施布局引擎向多个节点的多个分组分配多个规则集,用于控制多个节点的多个分组的行为。上位云平台预先向多个节点的多个分组分配多个规则集。在特定节点上操作的安全设施布局引擎应用多个规则集来确定是否允许或拒绝运行于当前节点的应用的路由请求。
现有边缘网络安全管理面临的另一方面的困难是网络的瞬态性,特别是对于接入网络的新节点和离开网络的旧节点。优选地,本发明公开方法通过构建边缘网络连续更新的映射表示,包括多个网段或边缘子网,以基于软件的分布式方式映射多个节点。即基于从整个网络中的分布式应用接收的数据来创建视图。所述分布式应用包括安装在每个节点的安全设施布局引擎。优选地,网络可以包括多个边缘子网,每个边缘子网包括多个边缘节点。因此系统基于从安全设施布局引擎接收的信息来构建多种边缘子网的视图。
在安全设施布局引擎通过神经网络算法为节点生成访问策略时,进一步包括,为节点建立角色,或改变节点的策略等来调整云平台的数据连接。安全设施布局引擎在标识到异常之后自主执行网络策略,包括关闭或启用云平台的数据连接、限制网络带宽、基于带宽的使用而锁定节点或在特定时间段控制流量。在可选的实施例中,安全设施布局引擎获取每个应用读写请求的地址、每个服务以及进出每个节点的双向报文通信,以对具有相似特征的节点进行分类,得到具有相似通信模式的一组节点。
与底层网络基础设施的具体结构无关,本发明的边缘云平台可以无延迟地执行,因为系统无需执行云平台的数据连接的路由,并且安全设施布局引擎直接安装在节点本地。
为进一步增强基础实施的安全性,本发明进一步实施例将边缘云计算与区块链技术结合,首先将订阅用户的位置特征存储至区块链内的多个区块,每个区块包括订阅用户的多个预测的位置状态变量的时间点记录和表示预测的位置状态变量的准确性的置信空间。
然后接收访问边缘云平台的请求、第一用户凭证和加密令牌;将第一用户凭证与订阅用户的区块链位置特征相关联,并解密该位置特征;
接收用户位置预测值;基于与最近时间点相关联的位置特征中的预测的位置状态变量,预测订阅用户的当前位置和相关联的当前置信空间;当接收到的请求用户位置预测值处于当前置信空间之内时,允许请求用户访问边缘云平台。
如果接收到的用户位置预测值处于当前置信空间之外,则向用户发送对第二用户凭证的询问请求;并且在接收到将用户标识为订阅用户的第二用户凭证时,允许访问边缘云平台。在接收到未将用户标识为订阅用户的第二用户凭证时,禁止用户进行访问。
其中,接收将用户标识为订阅用户的第二用户凭证;并且生成更新的区块,该更新的区块记录接收到访问边缘云平台的请求的时间,包括当前所预测的订阅用户位置和当前置信空间,并且将更新的区块加入订阅用户的区块链。
其中,所述预测订阅用户的当前位置是通过将EKF滤波器应用于订阅用户的区块链中的时间点的位置特征来预测订阅用户的当前位置,该位置特征具有高于阈值的置信空间。
如果订阅用户拥有数据E并希望将以用户私钥加密的文件上传至边缘云平台,当边缘云平台已经存在该数据时,为减少存储空间和传输带宽,所述边缘云平台执行以下去重操作:
订阅用户计算数据E的哈希值hash(E)以及数据E=(a1,a2,…,an)的哈希树的根N0,并将(hash(E),N0)发送至边缘云平台。边缘云平台接收到(hash(E),N0)后,在存储索引中搜索,如果找到该索引,边缘云平台通知验证用户。
验证用户在文件的哈希树上随机选择e个叶的编号{b1,b2,…,be},然后将{b1,b2,…,be}发送给验证用户并将{b1,b2,…,be}||kga发送给边缘云平台,边缘云平台将{b1,b2,…,be}||kga转发给订阅用户。其中kga为预设第一加密私钥。
订阅用户利用数据E构建哈希树,并提供叶子{hash(ai)}b1<i<be以及从选择的叶子到根N0间所需的同级节点{Ti}1<i<s(其中s是所需的同级节点的个数)。
订阅用户将{hash(ai)}b1<i<be和{Ti}1<i<s编码成有限群上的元素{V(ai)}b1<i<be和{Ti'}1<i<s,并发送加密数据kgb||(kgb,{V(ai)}b1<i<be,{Ti'}1<i<s)给边缘云平台。边缘云平台将接收的信息转发给验证用户。其中kgb为预设第二加密私钥。
订阅用户等待tM时间后发送kga/b给边缘云平台,边缘云平台将其转发给验证用户。tM是用户和边缘云平台间的最大延迟,kga/b是根据kgb和kga形成的重加密私钥。
如果从发送{b1,b2,…,be}||kga到接收kgb||(kgb,{V(ai)}b1<i<be,{Ti'}1<i<s)的时间间隔大于tM,验证用户拒绝本次所有权验证。否则,验证用户用重加密私钥kga/b解密接收到的数据{V(ai)=V(ai)/[e(kgb,kga/b)]1/a}b1<i<be和{Ti'=Ti'Zk2/[e(kgb,kga/b)]1/a}1<i<s。然后,验证用户解码{V(ai)}b1<i<be和{Ti'}1<i<s,得到{hash(ai)}b1<i<be和{Ti}1<i<s,并用以验证根N0。如果验证失败,验证用户否认订阅用户的所有权验证,否则,验证用户将kg1/b编码成有限群上的元素(kg1/a)',并发送(e(kgb,kgk3),(kg1/a))(其中k3是随机选择的)给边缘云平台,边缘云平台将其转发给订阅用户。
订阅用户计算得到kgb/a并发送给边缘云平台。订阅用户在本地存储(hash(E),N0,kg1/a)。此时订阅用户完成数据的上传过程,成为数据所有者,并能任意获取数据和验证数据的内容。边缘云平台将订阅用户记录为数据E的所有者并将kgb/a记录为二次加密私钥。订阅用户在边缘云平台中实际存储的是kg1/a。当订阅用户要求获取文件时,边缘云平台将密文以及对应的加密文件EK(E)发送给订阅用户。订阅用户使用用户私钥解密得到私钥K',并解码得到会话私钥K,订阅用户利用该会话私钥可解密得到自己的文件。
因此,通过本发明的分级边缘云平台和基于资源利用的应用服务,可以提高网络中的网络资源利用率。例如,应用服务可以选择并提供具有最小网络资源使用以及满足与应用服务相关的性能值需求的应用服务。另外,使用终端的服务元数据配置来选择可用网络可允许应用服务以预测的方式提供应用服务并减少等待延迟。
本发明边缘云环境部署模块提高了网络资源利用率。例如,可以通过划分应用的功能改善边缘云环境中的网络资源分配和利用,同时仍然满足服务质量和多种通信度量,并防止在可能不需要某种配置的功能上托管的高成本的网络资源。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或这种范围和边界的等同形式内的全部变化和修改例。

Claims (8)

1.一种基于边缘云计算的基础设施布局方法,其特征在于,包括:
将多个安全设施布局引擎分别部署在形成边缘云环境的每个边缘节点,其中所述多个安全设施布局引擎监控各边缘节点的系统进程和网络通信,以获得边缘节点信息;
将所述边缘节点信息传输到上位云平台;使用对应于各边缘节点的本地安全协议,基于所述边缘节点信息来标识各边缘节点上的多个本地异常标记;所述本地安全协议由所述上位云平台自动生成并分配;
基于所述本地安全协议来响应多个本地异常标记,其中每个安全设施布局引擎中独立于上位云平台来标识和响应各边缘节点的本地异常标记;
所述每个安全设施布局引擎进一步执行对应的边缘节点的时域验证,其中,所述时域验证包括验证在对应的边缘节点上不存在本地异常标记。
2.根据权利要求1所述的方法,其中监控各边缘节点的系统进程和网络通信包括,连续地验证边缘节点活动。
3.根据权利要求2所述的方法,其中,所述上位云平台还用于分析所述边缘节点信息,以确定各边缘节点的网络访问行为和处理器行为。
4.根据权利要求3所述的方法,进一步包括,利用所述各边缘节点的网络访问行为和处理器行为来更新所述本地安全协议。
5.根据权利要求3所述的方法,其中,所述上位云平台采用神经网络算法来分析所述边缘节点信息,以确定各边缘节点的网络访问行为和处理器行为。
6.根据权利要求1所述的方法,其中,所述多个边缘节点的相关边缘节点被分组到节点簇,其中,所述节点簇的多个相关边缘节点包括多个网络访问模式;
将公共本地安全协议分配至所述节点簇的多个相关边缘节点。
7.根据权利要求1所述的方法,其中所述本地安全协议基于预先配置的规则集。
8.根据权利要求1所述的方法,其中,所述本地安全协议包括多个策略,用于控制边缘节点相互之间、边缘节点和外部系统之间的访问。
CN202110373237.4A 2021-04-07 2021-04-07 基于边缘云计算的基础设施布局方法 Active CN113114656B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110373237.4A CN113114656B (zh) 2021-04-07 2021-04-07 基于边缘云计算的基础设施布局方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110373237.4A CN113114656B (zh) 2021-04-07 2021-04-07 基于边缘云计算的基础设施布局方法

Publications (2)

Publication Number Publication Date
CN113114656A true CN113114656A (zh) 2021-07-13
CN113114656B CN113114656B (zh) 2022-11-18

Family

ID=76714583

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110373237.4A Active CN113114656B (zh) 2021-04-07 2021-04-07 基于边缘云计算的基础设施布局方法

Country Status (1)

Country Link
CN (1) CN113114656B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612854A (zh) * 2021-08-16 2021-11-05 中国联合网络通信集团有限公司 基于区块链的通信方法、服务器和终端
CN113726865A (zh) * 2021-08-24 2021-11-30 浙江御安信息技术有限公司 基于边缘计算的数据传输与协同系统
CN113783862A (zh) * 2021-09-02 2021-12-10 付腾瑶 一种边云协同过程中进行数据校验的方法及装置
CN114268478A (zh) * 2021-12-14 2022-04-01 中国联合网络通信集团有限公司 边缘云平台的调用请求鉴权方法、装置、设备及介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7373660B1 (en) * 2003-08-26 2008-05-13 Cisco Technology, Inc. Methods and apparatus to distribute policy information
CN107249046A (zh) * 2017-08-15 2017-10-13 李俊庄 一种基于区块链的分布式云存储系统构建方法
US20200167205A1 (en) * 2019-04-30 2020-05-28 Intel Corporation Methods and apparatus to control processing of telemetry data at an edge platform
WO2020207264A1 (zh) * 2019-04-08 2020-10-15 阿里巴巴集团控股有限公司 网络系统、服务提供与资源调度方法、设备及存储介质
CN111800281A (zh) * 2019-04-08 2020-10-20 阿里巴巴集团控股有限公司 网络系统、管控方法、设备及存储介质
CN112003924A (zh) * 2020-08-20 2020-11-27 浪潮云信息技术股份公司 一种面向工业互联网的边缘云平台搭建方法及系统
CA3147760A1 (en) * 2019-07-29 2021-02-04 Level 3 Communications, Llc Predictive ai automated cloud service turn-up
CN112463393A (zh) * 2020-12-14 2021-03-09 国网辽宁省电力有限公司抚顺供电公司 基于Mongo集群技术的配电物联网边缘计算架构设计方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7373660B1 (en) * 2003-08-26 2008-05-13 Cisco Technology, Inc. Methods and apparatus to distribute policy information
CN107249046A (zh) * 2017-08-15 2017-10-13 李俊庄 一种基于区块链的分布式云存储系统构建方法
WO2020207264A1 (zh) * 2019-04-08 2020-10-15 阿里巴巴集团控股有限公司 网络系统、服务提供与资源调度方法、设备及存储介质
CN111800281A (zh) * 2019-04-08 2020-10-20 阿里巴巴集团控股有限公司 网络系统、管控方法、设备及存储介质
US20200167205A1 (en) * 2019-04-30 2020-05-28 Intel Corporation Methods and apparatus to control processing of telemetry data at an edge platform
CA3147760A1 (en) * 2019-07-29 2021-02-04 Level 3 Communications, Llc Predictive ai automated cloud service turn-up
CN112003924A (zh) * 2020-08-20 2020-11-27 浪潮云信息技术股份公司 一种面向工业互联网的边缘云平台搭建方法及系统
CN112463393A (zh) * 2020-12-14 2021-03-09 国网辽宁省电力有限公司抚顺供电公司 基于Mongo集群技术的配电物联网边缘计算架构设计方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612854A (zh) * 2021-08-16 2021-11-05 中国联合网络通信集团有限公司 基于区块链的通信方法、服务器和终端
CN113612854B (zh) * 2021-08-16 2023-07-25 中国联合网络通信集团有限公司 基于区块链的通信方法、服务器和终端
CN113726865A (zh) * 2021-08-24 2021-11-30 浙江御安信息技术有限公司 基于边缘计算的数据传输与协同系统
CN113726865B (zh) * 2021-08-24 2023-10-17 浙江御安信息技术有限公司 基于边缘计算的数据传输与协同系统
CN113783862A (zh) * 2021-09-02 2021-12-10 付腾瑶 一种边云协同过程中进行数据校验的方法及装置
CN114268478A (zh) * 2021-12-14 2022-04-01 中国联合网络通信集团有限公司 边缘云平台的调用请求鉴权方法、装置、设备及介质
CN114268478B (zh) * 2021-12-14 2023-04-25 中国联合网络通信集团有限公司 边缘云平台的调用请求鉴权方法、装置、设备及介质

Also Published As

Publication number Publication date
CN113114656B (zh) 2022-11-18

Similar Documents

Publication Publication Date Title
CN113114656B (zh) 基于边缘云计算的基础设施布局方法
Yan et al. A security and trust framework for virtualized networks and software‐defined networking
US11489879B2 (en) Method and apparatus for centralized policy programming and distributive policy enforcement
Khan et al. Towards secure mobile cloud computing: A survey
US20190349733A1 (en) DECENTRALIZED DATA STORAGE AND PROCESSING FOR IoT DEVICES
CN107579958B (zh) 数据管理方法、装置及系统
CN105516110B (zh) 移动设备安全数据传送方法
IL158309A (en) Centralized network control
CN111885604B (zh) 一种基于天地一体化网络的认证鉴权方法、装置及系统
CN111742531A (zh) 简档信息共享
CN114239046A (zh) 数据共享方法
CN113039542A (zh) 云计算网络中的安全计数
Riabi et al. A proposal of a distributed access control over fog computing: The its use case
US20210344723A1 (en) Distributed network application security policy generation and enforcement for microsegmentation
JP6712744B2 (ja) ネットワークシステム、キャッシュ方法、キャッシュプログラム、管理装置、管理方法及び管理プログラム
WO2012001475A1 (en) Consigning authentication method
WO2012001476A2 (en) Consigning authentication method
Ke et al. A privacy risk assessment scheme for fog nodes in access control system
Singh et al. A comprehensive survey on trust management in fog computing
CN116170806A (zh) 一种智能电网lwm2m协议安全访问控制方法及系统
CN114024767B (zh) 密码定义网络安全体系构建方法、体系架构及数据转发方法
US20210286896A1 (en) Methods and systems for data management in communication network
CN105556926B (zh) 匹配第一和第二网络间的数据交换访问规则的方法和系统
Silva et al. Privacy preservation in temporary use of iot environments
Daoud et al. A Distributed Access Control Scheme based on Risk and Trust for Fog-cloud Environments.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20221031

Address after: 519 (8), Floor 5, Building 1, Yard 178, Binhe Road, Miyun District, Beijing 101500

Applicant after: Beijing zhongjiahexin Communication Technology Co.,Ltd.

Address before: 461503 group 5, Xuzhuang village, Houhe Town, Ge City, Xuchang City, Henan Province

Applicant before: Ding Zhiyong

GR01 Patent grant
GR01 Patent grant