CN113810428A - 边缘计算设备的安全控制系统和安全控制方法 - Google Patents
边缘计算设备的安全控制系统和安全控制方法 Download PDFInfo
- Publication number
- CN113810428A CN113810428A CN202111168591.XA CN202111168591A CN113810428A CN 113810428 A CN113810428 A CN 113810428A CN 202111168591 A CN202111168591 A CN 202111168591A CN 113810428 A CN113810428 A CN 113810428A
- Authority
- CN
- China
- Prior art keywords
- data message
- security
- message
- data
- edge computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种边缘计算设备的安全控制系统,多个边缘计算设备通过所述系统接入互联网;所述系统包括安全芯片和协议栈模块;所述安全芯片,用于若接收到源数据报文,对所述源数据报文进行过滤,获得初始安全数据报文;所述协议栈模块,用于对所述初始安全数据报文中协议栈各层进行威胁信息过滤,获得发送数据报文,并将所述发送数据报文发送至多个所述边缘计算设备中与所述源数据报文对应的目标边缘设备。本发明还公开一种控制方法。安全芯片和协议栈模块可以依次对源数据报文进行过滤和安全控制,提高了对源数据报文的分析全面性,使得获得的发送数据报文的安全性较好,从而提高了边缘计算设备的网络安全性。
Description
技术领域
本发明涉及边缘系统控制技术领域,特别涉及一种边缘计算设备的安全控制系统和安全控制方法。
背景技术
随着智慧城市,智慧社区,智慧医疗,智慧金融,工业4.0,智能家居等智能产业的兴起,5G/6G、WiFi6、XPON等高速互联基础设施的快速实施,边缘计算设备将会以指数级的方式进行增长,网络和数据的安全保护将成为重中之重,需要确保使用边缘计算设备的设施是安全的,让设备不受网络入侵的威胁,同时对于边缘安全策略,根据运营业务制定最佳的安全方案,怎么应对网络安全及根据业务实施安全精细化管理是业界目前迫切需要解决的问题。
目前,边缘计算设备的网络安全管理和控制策略一般集成在网关或路由等设备上,由路由器对边缘计算设备进行安全管理。
但是,采用现有的技术,路由器对边缘计算设备进行安全管理时,边缘计算设备的网络安全隐患较大。
发明内容
本发明的主要目的是提供一种边缘计算设备的安全控制系统和安全控制方法,旨在解决现有技术中路由器对边缘计算设备进行安全管理时,边缘计算设备的网络安全隐患较大的技术问题。
为实现上述目的,本发明提出一种边缘计算设备的安全控制系统,多个边缘计算设备通过所述系统接入互联网;所述系统包括安全芯片和协议栈模块;
所述安全芯片,用于若接收到源数据报文,对所述源数据报文进行过滤,获得初始安全数据报文;
所述协议栈模块,用于对所述初始安全数据报文中协议栈各层进行威胁信息过滤,获得发送数据报文,并将所述发送数据报文发送至多个所述边缘计算设备中与所述源数据报文对应的目标边缘设备。
可选的,所述系统还包括安全策略模块;
所述安全策略模块,用于利用安全策略,对所述发送数据报文进行过滤,获得结果数据报文,并将所述结果数据报文发送至所述目标边缘设备。
可选的,
所述安全策略模块,还用于在所述发送数据报文中提取出特征码信息,并滤除所述发送数据报文中特征码信息与所述安全策略中的正则表达式不匹配的数据报文,获得所述结果数据报文。
可选的,所述系统还包括病毒分析模块;
所述病毒分析模块,用于利用预设病毒库,对所述结果数据报文中的数据过滤,获得最终发送数据报文,并将所述最终发送数据报文发送至所述目标边缘设备。
可选的,
所述病毒分析模块,还用于在所述结果数据报文中索引与所述预设病毒库中病毒特征代码对应的威胁代码,并删除所述结果数据报文中的所述威胁代码,获得所述最终发送数据报文。
可选的,
所述安全芯片,还用于在所述源数据报文中数据链路层的协议报文头部为数据链路层协议数据帧时,滤除所述源数据报文中的以太网广播帧、报文传输速率达到第一预设速率阈值的同源以太网地址对应的数据帧以及与预设以太网匹配的数据帧,获得第一中间数据报文;以及基于所述第一中间数据报文,获得所述初始安全数据报文。
可选的,
所述安全芯片,还用于在所述第一中间数据报文中网络层的协议报文头部为网络层数据报文时,滤除所述第一中间数据报文中的广播报文和组播报文,获得第二中间数据报文;并滤除所述第二中间数据报文中数据报文速率达到第二预设速率阈值的第一威胁报文,获得第三中间数据报文;以及基于所述第三中间数据报文,获得所述初始安全数据报文。
可选的,
所述安全芯片,还用于滤除所述第三中间数据报文中具有大量无效TCP连接报文的数据报文,获得第四中间数据报文,并滤除所述第四中间数据报文中网络传输层协议报文头部满足预设条件的第二威胁报文,获得所述初始安全数据报文。
可选的,所述系统还包括鉴权认证模块;
所述鉴权模块,用于在多个所述边缘设备与所述边缘计算设备的安全控制系统连接时,对多个所述边缘设备进行鉴权与认证,并在多个所述边缘设备鉴权完成且认证完成时,允许多个所述边缘设备接入所述边缘计算设备的安全控制系统。
此外,为实现上述目的,本发明还提出了一种安全控制方法,用于边缘计算设备的安全控制系统,多个边缘计算设备通过所述系统接入互联网;所述系统包括安全芯片和协议栈模块;所述方法包括以下步骤:
通过所述安全芯片若接收到源数据报文,对所述源数据报文进行过滤,获得初始安全数据报文;
通过所述协议栈模块对所述初始安全数据报文中协议栈各层进行威胁信息过滤,获得发送数据报文,并将所述发送数据报文发送至多个所述边缘计算设备中与所述源数据报文对应的目标边缘设备。
本发明技术方案提出了一种边缘计算设备的安全控制系统,多个边缘计算设备通过所述系统接入互联网;所述系统包括安全芯片和协议栈模块;所述安全芯片,用于若接收到源数据报文,对所述源数据报文进行过滤,获得初始安全数据报文;所述协议栈模块,用于对所述初始安全数据报文中协议栈各层进行威胁信息过滤,获得发送数据报文,并将所述发送数据报文发送至多个所述边缘计算设备中与所述源数据报文对应的目标边缘设备。
现有方案中,路由器对边缘计算设备进行安全管理,路由器的计算性能和存储空间有限,只能对源数据报文进行简单的分析,使得对源数据报文的分析处理不全面,导致获得的发送数据报文的安全性较差,边缘计算设备的网络安全隐患较大。但是采用本发明的系统,安全芯片和协议栈模块可以依次对源数据报文进行过滤和安全控制,提高了对源数据报文的分析全面性,使得获得的发送数据报文的安全性较好,从而提高了边缘计算设备的网络安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明边缘计算设备的安全控制系统第一实施例的结构示意图;
图2为本发明边缘计算设备的安全控制系统第二实施例的结构示意图;
图3为本发明边缘计算设备的安全控制系统第三实施例的结构示意图;
图4为本发明边缘计算设备的安全控制系统第四实施例的结构示意图;
图5为本发明安全控制方法第一实施例的流程图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明,本申请实施例中所有方向性指示(诸如上、下、左、右、前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
在本申请中,除非另有明确的规定和限定,术语“连接”、“固定”等应做广义理解,例如,“固定”可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请中的具体含义。
另外,若本申请实施例中有涉及“第一”、“第二”等的描述,则该“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,全文中出现的“和/或”的含义,包括三个并列的方案,以“A和/或B”为例,包括A方案、或B方案、或A和B同时满足的方案。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
参照图1,图1为本发明边缘计算设备的安全控制系统第一实施例的结构示意图;多个边缘计算设备3通过所述系统2接入互联网1;所述系统2包括安全芯片21和协议栈模块22;
所述安全芯片21,用于若接收到源数据报文,对所述源数据报文进行过滤,获得初始安全数据报文;
所述协议栈模块22,用于对所述初始安全数据报文中协议栈各层进行威胁信息过滤,获得发送数据报文,并将所述发送数据报文发送至多个所述边缘计算设备中与所述源数据报文对应的目标边缘设备。
需要说明的是,本发明安全芯片可以是任何形式的安全芯片,安全芯片集成有分析固件或分析模组,安全芯片通过分析固件或分析模组,执行所述源数据报文进行过滤,获得初始安全数据报文的步骤。
源数据报文可以用户、终端或服务器通过互联网发送至边缘计算设备的安全控制系统,由边缘计算设备的安全控制系统的安全芯片接收,然后继续由安全芯片进行源数据报文的过滤。
其中,安全芯片中的分析固件或分析模组,可以对ARP、IP、ICMP、TCP、UDP攻击进行分析,以实现对源数据报文的分析和过滤。
具体的,源数据报文通常是基于tcp/ip协议的报文,源数据报文的协议层级分为数据链路层、网络分析层、传输层和端口层。
进一步的,所述安全芯片21,还用于在所述源数据报文中数据链路层的协议报文头部为数据链路层协议数据帧时,滤除所述源数据报文中的以太网广播帧、报文传输速率达到第一预设速率阈值的同源以太网地址对应的数据帧以及与预设以太网匹配的数据帧,获得第一中间数据报文;以及基于所述第一中间数据报文,获得所述初始安全数据报文。
安全分析固件或安全分析模组先通过数据链接层分析,分析数据包协议头部,如果是数据链路层的协议数据帧,如ARP帧、以太网广播帧、以太网多播帧等,则进行数据链路层的安全分析处理,如过滤以太网广播帧,对同源以太网地址的每秒超过多少速率(达到第一预设速率阈值,第一预设速率阈值可以是用户基于需求设定的)的数据帧直接过滤掉;并且可通过系统配置规则,安全固件读取规则,根据配置的规则中预置的威胁以太网地址,将源数据报文中与威胁以太网地址匹配的(相同的)数据帧也过滤掉,进过上述三次过滤操作,第一中间数据报文,然后继续基于第一中间数据报文,获得初始安全数据报文。
所述安全芯片21,还用于在所述第一中间数据报文中网络层的协议报文头部为网络层数据报文时,滤除所述第一中间数据报文中的广播报文和组播报文,获得第二中间数据报文;并滤除所述第二中间数据报文中数据报文速率达到第二预设速率阈值的第一威胁报文,获得第三中间数据报文;以及基于所述第三中间数据报文,获得所述初始安全数据报文。
网络层分析网络层的协议报文头部,对于属于网络层的数据报文,如ICMP报文,网络层广播报文,网络层组播报文等,可以根据配置规则过滤掉网络层广播报文,例如对于ICMP报文,根据同源网络层地址的ICMP数据报文速率(达到第二预设速率阈值,第二预设速率阈值可以是用户基于需求设定的,本发明不做限定),来判定是否是洪水攻击(洪水攻击的报文即为所述第一威胁报文),如果是则直接丢弃,对于网络层广播和组播报文,根据配置规则可以直接接收或过滤掉。经过上述两个步骤的过滤操作,获得第三中间数据报文,然后基于所述第三中间数据报文,获得所述初始安全数据报文。
所述安全芯片21,还用于滤除所述第三中间数据报文中具有大量无效TCP连接报文的数据报文,获得第四中间数据报文,并滤除所述第四中间数据报文中网络传输层协议报文头部满足预设条件的第二威胁报文,获得所述初始安全数据报文。
传输层分析分析网络传输层的协议报文头部,一般是分析TCP/UDP协议头部,对于大量无效的TCP连接报文直接过滤。其中,满足预设条件是指协议头部分析源网络地址、源端口、目的地址、目的端口以及标志字段具有有大量相同连接的报文,满足预设条件的报文即为供水攻击报文——第二威胁报文,也需要过滤。经过上述两个步骤过滤,获得最终的初始安全报文。
在本发明实施例中,通过安全芯片经过上述三个协议层级的安全过滤,获得的初始安全报文威胁性较低,提高了边缘设备的安全性。
协议栈模块,采用增强的网络协议栈,可以对协议栈各层进行威胁信息过滤,达到增强网络各层安全。协议栈模块对初始安全数据包文的处理过程即是对协议栈各层进行威胁信息过滤的过程,最终输出的即为所述发送数据报文,发送数据报文具有较高的安全性,可以直接发送给目标边缘设备。
可以理解的是,对于一个源数据报文,是具有发送目标的,多个边缘设备中,源数据报文的发送目标即为目标边缘设备,目标边缘设备即为源数据报文的发送终点,用于处理源数据报文。可以基于源数据报文中发送目标的设备信息等,在多个边缘设备中确定出目标边缘设备。
在一些实施例中,对于不同网络层的源数据报文,可以将源数据报文对应的发送数据报文输入到安全策略模块进行处理,处理过程如下文所述。
进一步的,图2为本发明边缘计算设备的安全控制系统第二实施例的结构示意图;所述系统还包括安全策略模块23;
所述安全策略模块23,用于利用安全策略,对所述发送数据报文进行过滤,获得结果数据报文,并将所述结果数据报文发送至所述目标边缘设备。
具体的,安全策略模块,在所述发送数据报文中提取出特征码信息,并滤除所述发送数据报文中特征码信息与所述安全策略中的正则表达式不匹配的数据报文,获得所述结果数据报文。
对于安全策略模块,需要在协议栈模块获得发送数据报文时,继续对发送数据报文进行进一步的处理,获得获得结果数据报文,结果数据报文才会发送至目标边缘设备,结果数据报文才会具有更高的安全性,边缘设备的安全性进一步提高。
可以根据业务制定相关安全策略,也可以把制定好的安全业务规则导入边缘计算设备的安全控制系统的安全策略模块中,或者以插件的形式安装到此边缘计算设备的安全控制系统的安全策略模块中中,安全策略模块根据业务安全规则进行数据处理,对于业务安全规则的数据安全,一般可以通过发送数据报文中特征码信息进行安全处理,安全策略模块分析业务应用协议,用正则表达式匹配发送数据报文,准确分析发送数据报文。发送数据报文中特征码信息与所述安全策略中的正则表达式不匹配的数据报文,需要被过滤,比如QQ、微信信息的过滤。
进一步的,参照图3,图3为本发明边缘计算设备的安全控制系统第三实施例的结构示意图;所述系统还包括病毒分析模块24;
所述病毒分析模块24,用于利用预设病毒库,对所述结果数据报文中的数据过滤,获得最终发送数据报文,并将所述最终发送数据报文发送至所述目标边缘设备。预设病毒库可以是用户基于需求添加的,预设病毒库中的数据可以基于用户实际需求定时更新。
具体的,所述病毒分析模块,还用于在所述结果数据报文中索引与所述预设病毒库中病毒特征代码对应的威胁代码,并删除所述结果数据报文中的所述威胁代码,获得所述最终发送数据报文。
对于病毒分析模块,需要在安全策略模块获得结果数据报文时,继续对结果数据报文进行进一步的处理,获得获得最终发送数据报文,最终发送数据报文才会发送至目标边缘设备,最终发送数据报文会具有更高的安全性,边缘设备的安全性进一步提高。
另外,可以通过更新预设病毒库,对输入的结果数据报文进行分析,来达到防御病毒攻击的目的。预设病毒库数据库中存放的是病毒特征代码,更新预设病毒库也就是将新的病毒特征代码放入数据库。在传输的结果数据报文下载到本系统后,打开被检测的结果数据报文,在结果数据报文中搜索,检查结果数据报文中是否含有病毒数据库的病毒特征代码,如果有,则认为是病毒文件,进行安全处理——过滤。
进一步的,参照图4,图4为本发明边缘计算设备的安全控制系统第四实施例的结构示意图;所述系统还包括鉴权认证模块25;
所述鉴权模块25,用于在多个所述边缘设备与所述边缘计算设备的安全控制系统连接时,对多个所述边缘设备进行鉴权与认证,并在多个所述边缘设备鉴权完成且认证完成时,允许多个所述边缘设备接入所述边缘计算设备的安全控制系统。
当一个边缘设备与边缘计算设备的安全控制系统连接时,需要对该边缘设备进行鉴权和认证,只有鉴权完成且认证完成时,表明该边缘设备是安全的设备,则允许其接入所述边缘计算设备的安全控制系统。从而避免具有威胁的边缘设备接入所述边缘计算设备的安全控制系统,提高了所述边缘计算设备的安全控制系统的安全性和稳定性。
本发明技术方案提出了一种边缘计算设备的安全控制系统,多个边缘计算设备通过所述系统接入互联网;所述系统包括安全芯片和协议栈模块;所述安全芯片,用于若接收到源数据报文,对所述源数据报文进行过滤,获得初始安全数据报文;所述协议栈模块,用于对所述初始安全数据报文中协议栈各层进行威胁信息过滤,获得发送数据报文,并将所述发送数据报文发送至多个所述边缘计算设备中与所述源数据报文对应的目标边缘设备。
现有方案中,路由器对边缘计算设备进行安全管理,路由器的计算性能和存储空间有限,只能对源数据报文进行简单的分析,使得对源数据报文的分析处理不全面,导致获得的发送数据报文的安全性较差,边缘计算设备的网络安全隐患较大。但是采用本发明的系统,安全芯片和协议栈模块可以依次对源数据报文进行过滤和安全控制,提高了对源数据报文的分析全面性,使得获得的发送数据报文的安全性较好,从而提高了边缘计算设备的网络安全性。
参照图5,图5为本发明安全控制方法第一实施例的流程图,所述方法用于用于边缘计算设备的安全控制系统,多个边缘计算设备通过所述系统接入互联网;所述系统包括安全芯片和协议栈模块;所述方法包括以下步骤:
步骤S11:通过所述安全芯片若接收到源数据报文,对所述源数据报文进行过滤,获得初始安全数据报文;
步骤S12:通过所述协议栈模块对所述初始安全数据报文中协议栈各层进行威胁信息过滤,获得发送数据报文,并将所述发送数据报文发送至多个所述边缘计算设备中与所述源数据报文对应的目标边缘设备。
需要说明的是,由于本实施例的方法所执行的步骤与前述系统实施例的步骤相同,其具体的实施方式以及可以达到的技术效果都可参照前述实施例,这里不再赘述。
以上所述仅为本发明的可选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。
Claims (10)
1.一种边缘计算设备的安全控制系统,其特征在于,多个边缘计算设备通过所述系统接入互联网;所述系统包括安全芯片和协议栈模块;
所述安全芯片,用于若接收到源数据报文,对所述源数据报文进行过滤,获得初始安全数据报文;
所述协议栈模块,用于对所述初始安全数据报文中协议栈各层进行威胁信息过滤,获得发送数据报文,并将所述发送数据报文发送至多个所述边缘计算设备中与所述源数据报文对应的目标边缘设备。
2.如权利要求1所述的系统,其特征在于,所述系统还包括安全策略模块;
所述安全策略模块,用于利用安全策略,对所述发送数据报文进行过滤,获得结果数据报文,并将所述结果数据报文发送至所述目标边缘设备。
3.如权利要求1所述的系统,其特征在于,
所述安全策略模块,还用于在所述发送数据报文中提取出特征码信息,并滤除所述发送数据报文中特征码信息与所述安全策略中的正则表达式不匹配的数据报文,获得所述结果数据报文。
4.如权利要求2所述的系统,其特征在于,所述系统还包括病毒分析模块;
所述病毒分析模块,用于利用预设病毒库,对所述结果数据报文中的数据过滤,获得最终发送数据报文,并将所述最终发送数据报文发送至所述目标边缘设备。
5.如权利要求4所述的系统,其特征在于,
所述病毒分析模块,还用于在所述结果数据报文中索引与所述预设病毒库中病毒特征代码对应的威胁代码,并删除所述结果数据报文中的所述威胁代码,获得所述最终发送数据报文。
6.如权利要求1所述的系统,其特征在于,
所述安全芯片,还用于在所述源数据报文中数据链路层的协议报文头部为数据链路层协议数据帧时,滤除所述源数据报文中的以太网广播帧、报文传输速率达到第一预设速率阈值的同源以太网地址对应的数据帧以及与预设以太网匹配的数据帧,获得第一中间数据报文;以及基于所述第一中间数据报文,获得所述初始安全数据报文。
7.如权利要求6所述的系统,其特征在于,
所述安全芯片,还用于在所述第一中间数据报文中网络层的协议报文头部为网络层数据报文时,滤除所述第一中间数据报文中的广播报文和组播报文,获得第二中间数据报文;并滤除所述第二中间数据报文中数据报文速率达到第二预设速率阈值的第一威胁报文,获得第三中间数据报文;以及基于所述第三中间数据报文,获得所述初始安全数据报文。
8.如权利要求7所述的系统,其特征在于,
所述安全芯片,还用于滤除所述第三中间数据报文中具有大量无效TCP连接报文的数据报文,获得第四中间数据报文,并滤除所述第四中间数据报文中网络传输层协议报文头部满足预设条件的第二威胁报文,获得所述初始安全数据报文。
9.如权利要求1所述的系统,其特征在于,所述系统还包括鉴权认证模块;
所述鉴权模块,用于在多个所述边缘设备与所述边缘计算设备的安全控制系统连接时,对多个所述边缘设备进行鉴权与认证,并在多个所述边缘设备鉴权完成且认证完成时,允许多个所述边缘设备接入所述边缘计算设备的安全控制系统。
10.一种安全控制方法,其特征在于,用于边缘计算设备的安全控制系统,多个边缘计算设备通过所述系统接入互联网;所述系统包括安全芯片和协议栈模块;所述方法包括以下步骤:
通过所述安全芯片若接收到源数据报文,对所述源数据报文进行过滤,获得初始安全数据报文;
通过所述协议栈模块对所述初始安全数据报文中协议栈各层进行威胁信息过滤,获得发送数据报文,并将所述发送数据报文发送至多个所述边缘计算设备中与所述源数据报文对应的目标边缘设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111168591.XA CN113810428B (zh) | 2021-09-30 | 2021-09-30 | 边缘计算设备的安全控制系统和安全控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111168591.XA CN113810428B (zh) | 2021-09-30 | 2021-09-30 | 边缘计算设备的安全控制系统和安全控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113810428A true CN113810428A (zh) | 2021-12-17 |
| CN113810428B CN113810428B (zh) | 2023-07-18 |
Family
ID=78897480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111168591.XA Active CN113810428B (zh) | 2021-09-30 | 2021-09-30 | 边缘计算设备的安全控制系统和安全控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113810428B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1574839A (zh) * | 2003-06-06 | 2005-02-02 | 微软公司 | 多层防火墙结构 |
| CN104243344A (zh) * | 2014-10-11 | 2014-12-24 | 网宿科技股份有限公司 | 一种有效数据包捕获方法及请求重定向服务器 |
| CN107147655A (zh) * | 2017-05-25 | 2017-09-08 | 北京中电普华信息技术有限公司 | 一种网络双协议栈并行处理模型及其处理方法 |
| CN108289088A (zh) * | 2017-01-09 | 2018-07-17 | 中国移动通信集团河北有限公司 | 基于业务模型的异常流量检测系统及方法 |
| US20180375824A1 (en) * | 2017-06-22 | 2018-12-27 | Nicira, Inc. | Method and system of resiliency in cloud-delivered sd-wan |
| CN109995740A (zh) * | 2018-01-02 | 2019-07-09 | 国家电网公司 | 基于深度协议分析的威胁检测方法 |
| CN112926059A (zh) * | 2021-04-07 | 2021-06-08 | 恒安嘉新(北京)科技股份公司 | 一种数据处理方法、装置、设备及存储介质 |
| CN113422706A (zh) * | 2021-06-18 | 2021-09-21 | 上海怿星电子科技有限公司 | 检测网络协议栈一致性的方法及车辆 |
| CN113595931A (zh) * | 2021-07-08 | 2021-11-02 | 杭州海康威视数字技术股份有限公司 | 一种报文处理方法、装置、设备及存储介质 |
-
2021
- 2021-09-30 CN CN202111168591.XA patent/CN113810428B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1574839A (zh) * | 2003-06-06 | 2005-02-02 | 微软公司 | 多层防火墙结构 |
| CN104243344A (zh) * | 2014-10-11 | 2014-12-24 | 网宿科技股份有限公司 | 一种有效数据包捕获方法及请求重定向服务器 |
| CN108289088A (zh) * | 2017-01-09 | 2018-07-17 | 中国移动通信集团河北有限公司 | 基于业务模型的异常流量检测系统及方法 |
| CN107147655A (zh) * | 2017-05-25 | 2017-09-08 | 北京中电普华信息技术有限公司 | 一种网络双协议栈并行处理模型及其处理方法 |
| US20180375824A1 (en) * | 2017-06-22 | 2018-12-27 | Nicira, Inc. | Method and system of resiliency in cloud-delivered sd-wan |
| CN109995740A (zh) * | 2018-01-02 | 2019-07-09 | 国家电网公司 | 基于深度协议分析的威胁检测方法 |
| CN112926059A (zh) * | 2021-04-07 | 2021-06-08 | 恒安嘉新(北京)科技股份公司 | 一种数据处理方法、装置、设备及存储介质 |
| CN113422706A (zh) * | 2021-06-18 | 2021-09-21 | 上海怿星电子科技有限公司 | 检测网络协议栈一致性的方法及车辆 |
| CN113595931A (zh) * | 2021-07-08 | 2021-11-02 | 杭州海康威视数字技术股份有限公司 | 一种报文处理方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 王劲松等: "基于组特征过滤器的僵尸主机检测方法的研究", 《通信学报》, no. 02 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113810428B (zh) | 2023-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102014116B (zh) | 防御分布式网络泛洪攻击 | |
| Mai et al. | Impact of packet sampling on portscan detection | |
| US11973783B1 (en) | Attack prevention in internet of things networks | |
| CN109587156B (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN101631026A (zh) | 一种防御拒绝服务攻击的方法及装置 | |
| WO2007073971A1 (en) | Distributed network protection | |
| US10498618B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
| CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
| CN110933111B (zh) | 一种基于DPI的DDoS攻击识别方法及装置 | |
| US20210168163A1 (en) | Bind Shell Attack Detection | |
| CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
| KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
| CN102035793A (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| CN111885106A (zh) | 一种基于终端设备特征信息的物联网安全管控方法及系统 | |
| CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| Araki et al. | Subspace clustering for interpretable botnet traffic analysis | |
| Resende et al. | HTTP and contact‐based features for Botnet detection | |
| CN110995586B (zh) | 一种bgp报文的处理方法、装置、电子设备及存储介质 | |
| Sultana et al. | Detecting and preventing ip spoofing and local area network denial (land) attack for cloud computing with the modification of hop count filtering (hcf) mechanism | |
| Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
| CN113810428A (zh) | 边缘计算设备的安全控制系统和安全控制方法 | |
| US20140068748A1 (en) | Diameter firewall using reception ip address or peer identity | |
| Holkovič et al. | Automating network security analysis at packet-level by using rule-based engine | |
| WO2024020962A1 (en) | Method, apparatus and system for covert path discovering and computer-readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |