【技术实现步骤摘要】
一种云边访问管控系统
[0001]本专利技术属于无边界的云边访问控制领域,更具体地说,涉及一种云边访问管控系统。
技术介绍
[0002]近年来物联网快速发展,电子设备、移动终端、家用电器等等一切都互联起来,逐渐成为社会发展的动力,但也给云端安全和负载带来新的挑战。雾计算能够将资源卸载到边缘,大大提升处理效率,减少云端的工作负载。但也带来了一些安全挑战:1. 在雾计算环境中,由于网络边缘设备众多,攻击者通过监听数据传输信道,伪装成边缘设备,对云中服务进行DDoS攻击导致网络瘫痪;2.传统的安全防护体系是基于边界隔离防护,这很难满足雾计算开放共享的需求;3.雾计算流量庞大,传统的IP网络管理繁琐且对技术人员要求高。
技术实现思路
[0003]本专利技术为了解决雾计算带来的安全问题,提出一种基于软件定义边界(SDP)的访问管控方法补充雾计算并为云提供额外的安全性。SDP通过网络隐身技术,不区分内外网,确保只有合法的身份才能接入,同时引入SDN托管SDP需要的应用程序并集中管理和编排,优化网络资源并快速调整网络。另一方面,由于SDP控制器数量是雾计算可扩展性最重要的问题之一,本专利技术提出了一种主子种群协同非支配排序遗传算法II(MsPop
ꢀ‑
NSGAII)来优化软件定义边界,确定SDP控制器的最佳数目,以降低成本和边缘设备与其相应控制器之间的延迟,同时提高网络可靠性。
[0004]本专利技术提供一种云边访问管控系统。该系统中SDP能够通过仅授权经过身份验证的边缘设备访问云中的服务...
【技术保护点】
【技术特征摘要】
1.一种云边访问管控系统,其特征在于,包括身份认证模块、访问策略模块、入侵检测模块、SDP控制器数量更新模块和数据库:所述身份认证模块用于边缘设备身份认证,当边缘设备申请访问云时,SDP控制器通过SDN应用层的身份管理程序验证该设备的身份;所述访问策略模块用于评估边缘设备的信任等级并制定相应访问策略,限定其进入云后的可用操作、可访问服务、访问时间;在经过身份认证模块认证身份后,通过SDN应用层中预设的动态授权程序实现;在指定访问策略后,边缘设备通过SDP网关与云建立mTLS连接进行业务访问;连接建立后,动态授权程序收集设备的行为持续评估其信任等级并做出相应指令,包括降低/提高访问权限;入侵检测模块基于SDN应用层的入侵检测程序实现,在整个访问周期内不间断运行;SDP控制器数量更新模块用于更新SDP控制器的数量;此模块通过SDN应用层的SDP控制器数量更新程序实现,程序内置主子种群协同NSGAII算法,周期性地更新SDP控制器数量;数据库中存储设备信息表供所有模块访问,包括设备信息、加密证书、秘钥、信任值。2.根据权利要求1所述的一种云边访问管控系统,其特征在于,所述身份认证模块具体用于执行如下步骤:S1,边缘设备发送单个SPA数据包到SDN交换机请求访问,处于SDN应用层的身份管理程序验证SPA包是否合法;S2,若合法调用SDN控制器向SDN交换机下发流表[交换机
‑
>SDP控制器],SDN交换机根据流表将数据包转发给SDP控制器;若不合法,调用动态授权程序降低其信任值,抛弃数据包;S3,SDP控制器收到SPA包后检查包中加密证书是否为空,若为空代表边缘设备新加入,则为边缘设备颁发证书,调用动态授权程序为边缘设备初始化信任值,更新设备信息表。3.根据权利要求2所述的一种云边访问管控系统,其特征在于,所述访问策略模块具体用于执行如下步骤:S1,当SPA数据包到达SDP控制器后,说明身份认证通过,自动触发动态授权程序,将边缘设备的加密证书作为输入,输出设备的访问权限,将其打包成权限数据包;S2,调用SDN控制器下发流表[SDP控制器
‑
>SDP网关],SDN转换机将权限数据包从SDP控制器转发到SDP网关,SDP网关根据数据包配置防火墙规则,允许边缘设备访问云,限定其进入云后的可用操作、可访问服务、访问时间。4.根据权利要求1所述的一种云边访问管控系统,其特征在于,所述SDP控制器数量更新模块具体用于执行如下步骤:S1,根据边缘设备的数量来周期性更新SDP控制器的数量,将问题建模成一个多目标优化模型,其步骤如下:S1.1,对于每个边缘设备U
i
...
【专利技术属性】
技术研发人员:邱日轩,何群,刘兴,孙欣,付俊峰,李路明,杨济海,汪一波,周欣,
申请(专利权)人:国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。