CN115529193B - 一种云边协同隧道的安全通信方法 - Google Patents
一种云边协同隧道的安全通信方法 Download PDFInfo
- Publication number
- CN115529193B CN115529193B CN202211490687.2A CN202211490687A CN115529193B CN 115529193 B CN115529193 B CN 115529193B CN 202211490687 A CN202211490687 A CN 202211490687A CN 115529193 B CN115529193 B CN 115529193B
- Authority
- CN
- China
- Prior art keywords
- tunnel
- edge
- cloud
- value
- asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云边协同隧道的安全通信方法,属于数字信息传输技术领域,具体方法包括:设置隧道资产中心、隧道云服务和隧道边缘客户端,所述隧道资产中心和隧道云服务均工作在云计算中心,所述隧道边缘客户端工作在边缘节点;当隧道边缘客户端向隧道云服务发起注册申请时,隧道云服务从隧道资产中心检查是否存在该节点的资产模型,当具有对应的资产模型时,将节点注册到隧道资产中心;当不具有对应的资产模型时,丢弃对应的注册请求;隧道云服务验证隧道边缘客户端的身份并创建合法的云边隧道,当云服务访问边缘服务时,所有通信流量都经过隧道云服务器转发给隧道边缘客户端;隧道边缘客户端主动注册隧道云服务,并创建云边通信隧道。
Description
技术领域
本发明属于数字信息传输技术领域,具体是一种云边协同隧道的安全通信方法。
背景技术
随着边缘计算技术的高速发展,边缘计算已经成为云计算的延伸,同时也成为轻量级私有化部署的优选方案。但是,随着边缘计算的外延发展,云计算和边缘计算之间的通信隧道,需要在公网环境下进行部署,因而其安全问题也备受关注。因此为了完善其通信安全,本发明提供了一种云边协同隧道的安全通信方法。
发明内容
为了解决上述方案存在的问题,本发明提供了一种云边协同隧道的安全通信方法。
本发明的目的可以通过以下技术方案实现:
一种云边协同隧道的安全通信方法,具体方法包括:
设置隧道资产中心、隧道云服务和隧道边缘客户端,所述隧道资产中心和隧道云服务均工作在云计算中心,所述隧道边缘客户端工作在边缘节点;当隧道边缘客户端向隧道云服务发起注册申请时,隧道云服务从隧道资产中心检查是否存在该节点的资产模型,当具有对应的资产模型时,将节点注册到隧道资产中心;当不具有对应的资产模型时,丢弃对应的注册请求;
隧道云服务验证隧道边缘客户端的身份并创建合法的云边隧道,当云服务访问边缘服务时,所有通信流量都经过隧道云服务器转发给隧道边缘客户端;
隧道边缘客户端主动注册隧道云服务,并创建云边通信隧道。
进一步地,云边隧道的所有通信采用符合国家密码标准的SM2方案进行加密。
进一步地,云边隧道采用基于QUIC的HTTP 3协议。
进一步地,云边隧道采用的加密算法的推荐方法包括:
获取符合云边隧道的加密方案,标记为待选方案,获取各待选方案对应的加密信息,根据获得的加密信息设置对应的符合值、改编值、安全值和应用反馈系数,根据获得的符合值、改编值、安全值和应用反馈系数计算对应的优先值,将优先值大于阈值X1的待选方案标记为推荐加密方案,将推荐加密方案根据对应优先值按照从大到小的顺序进行排序,获得推荐列表,将获得的推荐列表发送给对应的工作人员。
进一步地,根据获得的加密信息设置对应的符合值、改编值、安全值和应用反馈系数的方法包括:
将获得的加密信息按照符合值、改编值、安全值和应用反馈系数对应分为四个分析数据集,对对应的分析数据集进行分析,获得对应的符合值、改编值、安全值和应用反馈系数。
进一步地,对对应的分析数据集进行分析的方法包括:
构建人工智能模型;建立各分析数据数据集对应的训练集,通过建立的训练集对人工智能模型进行训练,将训练成功后的人工智能模型标记为智能分析模型,通过智能分析模型对对应的分析数据集进行分析,输出对应的分析值。
进一步地,根据获得的符合值、改编值、安全值和应用反馈系数计算对应的优先值的方法包括:
根据公式QY=b1×FH+b2×GB+b3×AQ×β计算各待选方案的优先值,其中b1、b2、b3均为比例系数,取值范围为0<b1≤1,0<b2≤1,0<b3≤1;FH为符合值;GB为改编值;AQ为安全值;β为应用反馈系数。
与现有技术相比,本发明的有益效果是:采用国密SM2算法,结合性能更好的通信协议HTTP 3,将隧道DNS服务升级为边缘资产中心,增强边缘节点身份验证,对gRPC云边隧道的加密方式进行改造,解决安全性和稳定性问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例二原理框图;
图2为本发明实施例一原理框图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1至2所示,实施例一:一种云边协同隧道的安全通信方法,云边隧道通信的建立过程如下:
边缘节点tunnel-edge服务主动连接云计算tunnel-cloud服务,tunnel-cloud对tunnel-edge进行身份鉴权之后,建立起gRPC通信隧道;gRPC的通信方式采用HTTP/2协议,并且启用SSL/TLS进行加密通信;
云端需要访问边缘端时,云端应用向tunnel-cloud发送指令,并经由gRPC隧道向tunnel-edge转发数据,tunnel-edge收到数据后,再转发给边缘端应用服务,由边缘应用服务进行处理。处理完成后,数据经由tunnel-edge和tunnel-cloud返回给服务端应用,从而完成交互过程。整个过程对应用层是透明的,以SSH为例,其云边通信过程如图2所示。
由于gRPC的通信方式采用HTTP/2协议,并且启用SSL/TLS进行加密通信,其安全性基本上是能够满足大部分需求的。
实施例二:上述实施例中,对于部署在家庭和企业内部网络的边缘计算机而言,其安全性稍显不足。众所周知,家庭WIFI网络由于使用者的计算机水平参差不齐,常被破解,蹭网现象时有发生。再观企业内网,除了边缘节点之外,还有不少员工电脑,使用电脑的人员计算机水平也同样参差不齐,很容易遭受各类攻击,进而被利用来破解边缘节点。边缘计算将原本应该在云计算内网完成的部分计算能力延伸到了边缘节点,如前面所述的家庭和企业的内部网络,而其安全性参差不齐,SSL/TLS被破解已经不是什么新闻,很难确保安全性。
虽然HTTP2解决了HTTP1.x版本的很多问题,但是它还是存在一个巨大的问题,主要是底层支撑的TCP协议造成的。HTTP2使用了多路复用,一般来说同一域名下只需要使用一个TCP连接。但当这个连接中出现了丢包的情况,那就会导致HTTP2的表现情况反倒不如HTTP1.x了。因为在出现丢包的情况下,整个TCP都要开始等待重传,这也就导致了后面的所有数据通信都被阻塞了。但是对于HTTP1.1来说,可以开启多个TCP连接,出现这种情况反倒只会影响其中一个连接,剩余的TCP连接还可以正常传输数据。
如图1所示,因此在本实施例中提出了如下方法:
设置隧道资产中心、隧道云服务和隧道边缘客户端,所述隧道资产中心和隧道云服务均工作在云计算中心,所述隧道边缘客户端工作在边缘节点;当隧道边缘客户端向隧道云服务发起注册申请时,隧道云服务从隧道资产中心检查是否存在该节点的资产模型,当具有对应的资产模型时,将节点注册到隧道资产中心;当不具有对应的资产模型时,丢弃对应的注册请求;
隧道云服务验证隧道边缘客户端的身份并创建合法的云边隧道,当云服务访问边缘服务时,所有通信流量都经过隧道云服务器转发给隧道边缘客户端;
隧道边缘客户端主动注册隧道云服务,并创建云边通信隧道,供其他服务使用。
云边隧道的所有通信采用符合国家密码标准的SM2方案进行加密,应用层无需过度关注加密性能,且其安全性经过对应权威机构认证,具有更好的安全性。
SM2中采用了ECC 256来产生秘钥,比起SSL/TLS中普遍采用的RSA 2048/4096算法,不仅安全性更好,其加密计算的性能也更高。
云边隧道采用基于QUIC的HTTP 3协议;通过采用基于QUIC的HTTP 3协议,具有更好的多路通信性能,能够有效解决HTTP 2多路复用时,单一TCP链接带来的隧道阻塞问题。
实施例三:本实施例与实施例二的区别在于:智能分析现有的通信加密方案,实现加密方案的智能推荐,因为随着时间的变化和加密技术的更新换代,当前合适的SM2方案后续可能就不合适了,因此需要进行智能分析,在建立通道时进行加密方案的智能推荐,辅助对应的工作人员进行通道的建立;因此,云边隧道采用的加密算法的推荐方法包括:
获取符合云边隧道的加密方案,标记为待选方案,获取各待选方案对应的加密信息,根据获得的加密信息设置对应的符合值、改编值、安全值和应用反馈系数,根据获得的符合值、改编值、安全值和应用反馈系数计算对应的优先值,将优先值大于阈值X1的待选方案标记为推荐加密方案,将推荐加密方案根据对应优先值按照从大到小的顺序进行排序,获得推荐列表,将获得的推荐列表发送给对应的工作人员。
根据获得的加密信息设置对应的符合值、改编值、安全值和应用反馈系数的方法包括:
将获得的加密信息按照符合值、改编值、安全值和应用反馈系数对应分为四个分析数据集,对对应的分析数据集进行分析,获得对应的符合值、改编值、安全值和应用反馈系数。
加密信息包括加密方式、历史应用安全效果等数据,加密方式即为该待选方案采用何种方式进行加密,加密算法是什么等,历史应用安全效果即加密效果评价、加密效果等数据;
将获得的加密信息按照符合值、改编值、安全值和应用反馈系数对应分为四个分析数据集,通过人工的方式设置符合值、改编值、安全值和应用反馈系数对应的分类项数据,一个分类项数据可以对应多个参数,如加密方式可以对应符合值和改编值,具体的通过人工的方式进行设置,根据对应的关系进行提取复制等,获得对应的分析数据集。
对对应的分析数据集进行分析的方法包括:
构建人工智能模型;人工智能模型包括误差逆向传播神经网络、RBF神经网络和深度卷积神经网络,通过人工的方式建立各分析数据数据集对应的训练集,通过建立的训练集对人工智能模型进行训练,将训练成功后的人工智能模型标记为智能分析模型,通过智能分析模型对对应的分析数据集进行分析,输出对应的分析值,即符合值、改编值、安全值或应用反馈系数。因神经网络为本领域常规技术,因此具体的建立和训练过程不进行详细叙述。
符合值是根据对应的加密算法是否适合云边隧道的加密进行分析设置的;改编值是基于对应加密算法和对应企业员工的业务能力进行设置的;安全值即该加密算法的加密安全能力;应用反馈系数是根据当前已经在各领域应用的安全反馈效果进行设置的。
根据获得的符合值、改编值、安全值和应用反馈系数计算对应的优先值的方法包括:
根据公式QY=b1×FH+b2×GB+b3×AQ×β计算各待选方案的优先值,其中b1、b2、b3均为比例系数,取值范围为0<b1≤1,0<b2≤1,0<b3≤1;FH为符合值;GB为改编值;AQ为安全值;β为应用反馈系数。
上述公式均是去除量纲取其数值计算,公式是由采集大量数据进行软件模拟得到最接近真实情况的一个公式,公式中的预设参数和预设阈值由本领域的技术人员根据实际情况设定或者大量数据模拟获得。
以上实施例仅用以说明本发明的技术方法而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方法进行修改或等同替换,而不脱离本发明技术方法的精神和范围。
Claims (3)
1.一种云边协同隧道的安全通信方法,其特征在于,具体方法包括:
设置隧道资产中心、隧道云服务和隧道边缘客户端,所述隧道资产中心和隧道云服务均工作在云计算中心,所述隧道边缘客户端工作在边缘节点;当隧道边缘客户端向隧道云服务发起注册申请时,隧道云服务从隧道资产中心检查是否存在该节点的资产模型,当具有对应的资产模型时,将节点注册到隧道资产中心;当不具有对应的资产模型时,丢弃对应的注册请求;
隧道云服务验证隧道边缘客户端的身份并创建合法的云边隧道,当云服务访问边缘服务时,所有通信流量都经过隧道云服务器转发给隧道边缘客户端;
隧道边缘客户端主动注册隧道云服务,并创建云边通信隧道;
云边隧道采用的加密算法的推荐方法包括:
获取符合云边隧道的加密方案,标记为待选方案,获取各待选方案对应的加密信息,根据获得的加密信息设置对应的符合值、改编值、安全值和应用反馈系数,根据获得的符合值、改编值、安全值和应用反馈系数计算对应的优先值,将优先值大于阈值X1的待选方案标记为推荐加密方案,将推荐加密方案根据对应优先值按照从大到小的顺序进行排序,获得推荐列表,将获得的推荐列表发送给对应的工作人员;
根据获得的符合值、改编值、安全值和应用反馈系数计算对应的优先值的方法包括:
根据公式QY=b1×FH+b2×GB+b3×AQ×β计算各待选方案的优先值,其中b1、b2、b3均为比例系数,取值范围为0<b1≤1,0<b2≤1,0<b3≤1;FH为符合值;GB为改编值;AQ为安全值;β为应用反馈系数。
2.根据权利要求1所述的一种云边协同隧道的安全通信方法,其特征在于,根据获得的加密信息设置对应的符合值、改编值、安全值和应用反馈系数的方法包括:
将获得的加密信息按照符合值、改编值、安全值和应用反馈系数对应分为四个分析数据集,对对应的分析数据集进行分析,获得对应的符合值、改编值、安全值和应用反馈系数。
3.根据权利要求2所述的一种云边协同隧道的安全通信方法,其特征在于,对对应的分析数据集进行分析的方法包括:
构建人工智能模型;建立各分析数据数据集对应的训练集,通过建立的训练集对人工智能模型进行训练,将训练成功后的人工智能模型标记为智能分析模型,通过智能分析模型对对应的分析数据集进行分析,输出对应的分析值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211490687.2A CN115529193B (zh) | 2022-11-25 | 2022-11-25 | 一种云边协同隧道的安全通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211490687.2A CN115529193B (zh) | 2022-11-25 | 2022-11-25 | 一种云边协同隧道的安全通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115529193A CN115529193A (zh) | 2022-12-27 |
CN115529193B true CN115529193B (zh) | 2023-04-28 |
Family
ID=84704977
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211490687.2A Active CN115529193B (zh) | 2022-11-25 | 2022-11-25 | 一种云边协同隧道的安全通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115529193B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8856910B1 (en) * | 2011-08-31 | 2014-10-07 | Palo Alto Networks, Inc. | Detecting encrypted tunneling traffic |
CN107040445A (zh) * | 2017-03-13 | 2017-08-11 | 安徽新华博信息技术股份有限公司 | 一种多跳vpn隧道的实现方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9699135B2 (en) * | 2012-06-20 | 2017-07-04 | Openvpn Technologies, Inc. | Private tunnel network |
US11159490B2 (en) * | 2017-11-03 | 2021-10-26 | F5 Networks, Inc. | Methods and devices for service-discovering reverse-tunnel proxy and tunnel service center |
CN108234501B (zh) * | 2018-01-11 | 2020-12-11 | 北京中电普华信息技术有限公司 | 一种基于量子密钥融合的虚拟电厂安全通信方法 |
US10785196B2 (en) * | 2018-01-22 | 2020-09-22 | Vmware, Inc. | Encryption key management of client devices and endpoints within a protected network |
CN113987561A (zh) * | 2021-09-18 | 2022-01-28 | 京信数据科技有限公司 | 一种基于可信执行环境的隐私数据分级方法、系统及终端 |
CN114757516A (zh) * | 2022-04-07 | 2022-07-15 | 新疆额尔齐斯河流域开发工程建设管理局 | 一种隧道掘进机全生命周期云平台管理系统 |
-
2022
- 2022-11-25 CN CN202211490687.2A patent/CN115529193B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8856910B1 (en) * | 2011-08-31 | 2014-10-07 | Palo Alto Networks, Inc. | Detecting encrypted tunneling traffic |
CN107040445A (zh) * | 2017-03-13 | 2017-08-11 | 安徽新华博信息技术股份有限公司 | 一种多跳vpn隧道的实现方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115529193A (zh) | 2022-12-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7526640B2 (en) | System and method for automatic negotiation of a security protocol | |
US20170289134A1 (en) | Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database | |
US7562211B2 (en) | Inspecting encrypted communications with end-to-end integrity | |
US10673819B2 (en) | Splitting an SSL connection between gateways | |
US9781109B2 (en) | Method, terminal device, and network device for improving information security | |
US11995174B2 (en) | Systems, methods, and storage media for migrating identity information across identity domains in an identity infrastructure | |
WO2019119860A1 (zh) | 暴力破解攻击的检测方法和相关装置 | |
US10897494B2 (en) | Diversified file transfer | |
CN112235266B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
US20090144399A1 (en) | Setting a preliminary time on a network appliance using a message received from a server | |
CN112910861A (zh) | 基于群组认证和分段鉴权的电力物联网终端设备认证方法 | |
CN114051031B (zh) | 基于分布式身份的加密通讯方法、系统、设备及存储介质 | |
US20090100512A1 (en) | Setting a preliminary time on a network appliance using a digital certificate | |
CN114401097B (zh) | 一种基于ssl证书指纹的https业务流量识别的方法 | |
CN112118572B (zh) | 工业网络场景下基于5g通信的数据安全传输系统及方法 | |
CN115529193B (zh) | 一种云边协同隧道的安全通信方法 | |
CN116208340A (zh) | 一种基于隐私计算和区块链的可信数据流通平台系统方法 | |
Zhang et al. | A systematic approach to formal analysis of QUIC handshake protocol using symbolic model checking | |
CN116388989A (zh) | 一种基于分布式身份的零信任单包认证系统及方法 | |
Asadzadeh Kaljahi et al. | TSSL: improving SSL/TLS protocol by trust model | |
CN113242216A (zh) | 一种基于国产商用密码算法的可信网络摄像机 | |
Zwattendorfer et al. | Privacy-preserving realization of the STORK framework in the public cloud | |
Ali et al. | Modeling and verification of Extensible Authentication Protocol for Transport layer Security in Wireless LAN environment | |
Kumar | Model driven security analysis of IDaaS protocols | |
CN113328863B (zh) | 一种基于零知识证明的移动设备数据采集方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |