基于边缘计算的边缘节点网络防护系统及方法与流程

1.本发明涉及边缘计算
技术领域：
：，具体地说是一种基于边缘计算的边缘节点网络防护系统及方法。
背景技术：
：：2.边缘计算是指在靠近物或数据源头的一侧，采用网络、计算、存储、应用核心能力为一体的开放平台，就近提供最近端服务。其应用程序在边缘侧发起，产生更快的网络服务响应，满足行业在实时业务、应用智能、安全与隐私保护等方面的基本需求，得益于它的优势，边缘计算近来发展迅速，边缘计算使数据在源头附近就能得到处理，能有效解决网络带宽和时延上的瓶颈，边缘计算作为技术平台将支撑ai技术获得更广泛的应用，加速万物智能时代的到来。同时，从集中式的云计算走向分布式的边缘计算的过程中，为传统的网络架构带来了极大的变化，也为边缘网络带来了更大的网络攻击威胁。3.边缘节点位于云和设备层中间，向上与云端对接，向下支持各种终端设备的接入。因此，边缘节点在边缘计算架构中具有举足轻重的地位。同时，边缘节点数量庞大，而又通常存在计算、存储和网络资源受限的情况，不支持额外的硬件安全特性，缺少有效的防护措施，被恶意入侵的可能性大大增加，而且边缘节点更倾向于使用轻量级的容器技术，隔离性较差，安全威胁更加严重，一旦受到黑客攻击，可以借此向上对云端或者向下对终端设备发起攻击，使网络攻击由点向面扩展，存在面向边缘节点大规模的ddos攻击、跳板攻击、利用劫持的数量巨大的边缘节点形成僵尸网络等安全威胁。所以，如果边缘节点的网络安全不能保证，会对整个边缘计算环境形成巨大的威胁。4.边缘计算环境中，网络结构更加复杂，存在海量的设备和海量的连接，当这些海量的设备同时进行通信时，可能出现网络风暴，边缘节点受到攻击后，也有可能会发起针对特定目标的分布式拒绝服务攻击ddos，因此，对边缘节点进行有效的网络防护至关重要。如如何满足边缘计算场景中边缘节点的安全需求是目前亟待解决的技术问题。技术实现要素：5.本发明的技术任务是提供一种基于边缘计算的边缘节点网络防护系统及方法，来解决如何满足边缘计算场景中边缘节点的安全需求的问题。6.本发明的技术任务是按以下方式实现的，一种基于边缘计算的边缘节点网络防护系统，该系统包括云端和边缘节点，在云端部署网络监测平台，在边缘节点部署网络监测组件，通过网络监测组件持续监控边缘节点的网络流量并上报到云端的网络监测平台，及时发现边缘节点的网络安全问题；同时通过加密通信认证机制和最小授权安全模型(白名单)严格限制与业务无关流量进入边缘节点，保证只有安全可控的确定性数据进入边缘节点，防止边缘网络及设备受到网络攻击。7.作为优选，所述网络监测平台根据上报的边缘节点流量数据，并利用大数据及智能分析技术获取安全攻击及漏洞的相关信息，在云端构建网络安全信息知识库，支撑网络攻击、安全事件、黑客画像分析及受攻击边缘节点分析的安全能力，同时结合网络态势感知技术，在边缘计算环境中，通过数据协同及服务协同采集边缘节点的网络安全相关数据，在云端对边缘节点进行持续监控和集中分析，及时发现边缘节点网络传输过程中的异常情况并进行告警，实现云端和边缘节点的安全协同。8.作为优选，所述网络监测组件通过监测边缘节点的网络流量，实时监测网络的传输内容，及时将数据传输到云端的网络监测平台，支撑网络监测平台及时发现网络违规行为，防止边缘节点受到网络攻击。9.更优地，所述加密通信认证机制是在原有通信协议websocket基础上增加安全层，将原有协议进行封装，增加ssl安全通道，在边缘节点和云端建立起有效的加密通信认证通道，保证通信过程安全可控；10.其中，加密通信认证机制的双向认证加密通信通道建立的具体步骤如下：11.(1)、边缘节点向云端请求ca证书；12.(2)、云端返回ca证书给边缘节点；13.(3)、边缘节点使用预设的token验证ca证书的有效性；14.(4)、验证通过后，使用token从云端请求边缘节点接入证书，云端验证token的有效性，验证通过后生成证书并发送给边缘节点；15.(5)、经过步骤(1)到步骤(4)，最终建立websocket+tls的双向认证加密通信通道。16.更优地，所述最小授权安全模型是采用基于iptables的安全组技术，实现边缘节点的白名单功能，严格限制外部无关网络流量进入边缘节点，保证只有受控的数据可以进入边缘节点；17.其中，最小授权安全模型的具体实现方式为默认所有ip都不可进入，将白名单的ip及端口允许访问，iptables相关规则如下：18.创建一条自定义链，名称设置为in_cloud；19.在自定义链in_cloud设置特定cloud_ip允许通过；20.在input链中引用自定义链in_cloud，设置特定云端ip的指定端口cloud_port1,cloud_port2···通过；21.除上述允许通过的云端ip地址和端口，其它一律拒绝数据包通过；22.其中，cloud_ip表示云端地址；cloud_port1及cloud_port2表示云端服务端口。23.一种基于边缘计算的边缘节点网络防护方法，该方法具体如下：24.s1、网络监测组件持续监控边缘节点的网络流量并上报云端的网络监控平台；25.s2、网络监测平台结合网络安全信息知识库，并采用大数据分析、威胁情报以及网络态势感知技术及时发现边缘节点的网络安全问题；26.s4、网络安全信息知识库采用攻击流量特征匹配，并根据匹配结果向网络监测组件报告异常情况；27.s5、通过加密通信认证机制和最小授权安全模型(白名单)严格限制与业务无关流量进入边缘节点，保证只有安全可控的确定性数据进入边缘节点，防止边缘网络及设备受到网络攻击。28.作为优选，所述网络监测平台根据上报的边缘节点流量数据，并利用大数据及智能分析技术获取安全攻击及漏洞的相关信息，在云端构建网络安全信息知识库，支撑网络攻击、安全事件、黑客画像分析及受攻击边缘节点分析的安全能力，同时结合网络态势感知技术，在边缘计算环境中，通过数据协同及服务协同采集边缘节点的网络安全相关数据，在云端对边缘节点进行持续监控和集中分析，及时发现边缘节点网络传输过程中的异常情况并进行告警，实现云端和边缘节点的安全协同。29.更优地，所述网络监测组件通过监测边缘节点的网络流量，实时监测网络的传输内容，及时将数据传输到云端的网络监测平台，支撑网络监测平台及时发现网络违规行为，防止边缘节点受到网络攻击。30.更优地，所述加密通信认证机制是在原有通信协议websocket基础上增加安全层，将原有协议进行封装，增加ssl安全通道，在边缘节点和云端建立起有效的加密通信认证通道，保证通信过程安全可控；31.其中，加密通信认证机制的双向认证加密通信通道建立的具体步骤如下：32.(1)、边缘节点向云端请求ca证书；33.(2)、云端返回ca证书给边缘节点；34.(3)、边缘节点使用预设的token验证ca证书的有效性；35.(4)、验证通过后，使用token从云端请求边缘节点接入证书，云端验证token的有效性，验证通过后生成证书并发送给边缘节点；36.(5)、经过步骤(1)到步骤(4)，最终建立websocket+tls的双向认证加密通信通道。37.更优地，所述最小授权安全模型是采用基于iptables的安全组技术，实现边缘节点的白名单功能，严格限制外部无关网络流量进入边缘节点，保证只有受控的数据可以进入边缘节点；38.其中，最小授权安全模型的具体实现方式为默认所有ip都不可进入，将白名单的ip及端口允许访问，iptables相关规则如下：39.创建一条自定义链，名称设置为in_cloud；40.在自定义链in_cloud设置特定cloud_ip允许通过；41.在input链中引用自定义链in_cloud，设置特定云端ip的指定端口cloud_port1,cloud_port2···通过；42.除上述允许通过的云端ip地址和端口，其它一律拒绝数据包通过；43.其中，cloud_ip表示云端地址；cloud_port1及cloud_port2表示云端服务端口。44.本发明的基于边缘计算的边缘节点网络防护系统及方法具有以下优点：45.(一)本发明通过网络监测平台和网络监测组件进行网络监测，通过加密通信认证机制和最小授权安全模型进行安全防护，严格限制与业务无关流量进入边缘节点，保证只有安全可控的确定性数据可以进入边缘节点，防止边缘网络及设备受到网络攻击；46.(二)本发明采用基于大数据分析技术、威胁情报和网络态势感知技术，结合传统的加密认证通道和安全组防护手段，使边缘节点和云端能够进行安全协同，建立主动安全防护体系，为边缘计算场景下的边缘节点的网络防护问题提供了一种解决方法，可以有效解决边缘节点的网络安全问题。附图说明47.下面结合附图对本发明进一步说明。48.附图1为基于边缘计算的边缘节点网络防护系统的结构框图；49.附图2为基于边缘计算的边缘节点网络防护方法的流程图；50.附图3为双向认证加密通信通道建立流程图。具体实施方式51.参照说明书附图和具体实施例对本发明的基于边缘计算的边缘节点网络防护系统及方法作以下详细地说明。52.实施例1：53.如附图1所示，本实施例提供了一种基于边缘计算的边缘节点网络防护系统，该系统包括云端和边缘节点，在云端部署网络监测平台，在边缘节点部署网络监测组件，通过网络监测组件持续监控边缘节点的网络流量并上报到云端的网络监测平台，及时发现边缘节点的网络安全问题；同时通过加密通信认证机制和最小授权安全模型(白名单)严格限制与业务无关流量进入边缘节点，保证只有安全可控的确定性数据进入边缘节点，防止边缘网络及设备受到网络攻击。54.本实施例中的网络监测平台根据上报的边缘节点流量数据，并利用大数据及智能分析技术获取安全攻击及漏洞的相关信息，在云端构建网络安全信息知识库，支撑网络攻击、安全事件、黑客画像分析及受攻击边缘节点分析的安全能力，同时结合网络态势感知技术，在边缘计算环境中，通过数据协同及服务协同采集边缘节点的网络安全相关数据，在云端对边缘节点进行持续监控和集中分析，及时发现边缘节点网络传输过程中的异常情况并进行告警，实现云端和边缘节点的安全协同。55.针对异构边缘节点轻量级、跨平台的特点，本实施例中的网络监测组件通过监测边缘节点的网络流量，实时监测网络的传输内容，及时将数据传输到云端的网络监测平台，支撑网络监测平台及时发现网络违规行为，防止边缘节点受到网络攻击。56.本实施例中的加密通信认证机制是在原有通信协议websocket基础上增加安全层，将原有协议进行封装，增加ssl安全通道，在边缘节点和云端建立起有效的加密通信认证通道，保证通信过程安全可控；57.如附图3所示，加密通信认证机制的双向认证加密通信通道建立的具体步骤如下：58.(1)、边缘节点向云端请求ca证书；59.(2)、云端返回ca证书给边缘节点；60.(3)、边缘节点使用预设的token验证ca证书的有效性；61.(4)、验证通过后，使用token从云端请求边缘节点接入证书，云端验证token的有效性，验证通过后生成证书并发送给边缘节点；62.(5)、经过步骤(1)到步骤(4)，最终建立websocket+tls的双向认证加密通信通道。63.本实施例中的最小授权安全模型是采用基于iptables的安全组技术，实现边缘节点的白名单功能，严格限制外部无关网络流量进入边缘节点，保证只有受控的数据可以进入边缘节点；64.其中，最小授权安全模型的具体实现方式为默认所有ip都不可进入，将白名单的ip及端口允许访问，iptables相关规则如下：65.创建一条自定义链，名称设置为in_cloud；66.在自定义链in_cloud设置特定cloud_ip允许通过；67.在input链中引用自定义链in_cloud，设置特定云端ip的指定端口cloud_port1,cloud_port2···通过；68.除上述允许通过的云端ip地址和端口，其它一律拒绝数据包通过。69.iptables相关规则的关键代码如下：70.iptables-tfilter-nin_cloud；71.iptables-tfilter-iin_cloud-scloud_ip-jaccept；72.iptables-iinput-ptcp-mmultiport‑‑sportcloud_port1,cloud_port2,...-jin_cloud；73.iptables-ainput-jreject；74.其中，cloud_ip表示云端地址；cloud_port1,cloud_port2表示云端服务端口。75.实施例2：76.如附图2所示，本实施例提供了一种基于边缘计算的边缘节点网络防护方法，该方法具体如下：77.s1、网络监测组件持续监控边缘节点的网络流量并上报云端的网络监控平台；78.s2、网络监测平台结合网络安全信息知识库，并采用大数据分析、威胁情报以及网络态势感知技术及时发现边缘节点的网络安全问题；79.s4、网络安全信息知识库采用攻击流量特征匹配，并根据匹配结果向网络监测组件报告异常情况；80.s5、通过加密通信认证机制和最小授权安全模型(白名单)严格限制与业务无关流量进入边缘节点，保证只有安全可控的确定性数据进入边缘节点，防止边缘网络及设备受到网络攻击。81.本实施例中的网络监测平台根据上报的边缘节点流量数据，并利用大数据及智能分析技术获取安全攻击及漏洞的相关信息，在云端构建网络安全信息知识库，支撑网络攻击、安全事件、黑客画像分析及受攻击边缘节点分析的安全能力，同时结合网络态势感知技术，在边缘计算环境中，通过数据协同及服务协同采集边缘节点的网络安全相关数据，在云端对边缘节点进行持续监控和集中分析，及时发现边缘节点网络传输过程中的异常情况并进行告警，实现云端和边缘节点的安全协同。82.针对异构边缘节点轻量级、跨平台的特点，本实施例中的网络监测组件通过监测边缘节点的网络流量，实时监测网络的传输内容，及时将数据传输到云端的网络监测平台，支撑网络监测平台及时发现网络违规行为，防止边缘节点受到网络攻击。83.本实施例中的加密通信认证机制是在原有通信协议websocket基础上增加安全层，将原有协议进行封装，增加ssl安全通道，在边缘节点和云端建立起有效的加密通信认证通道，保证通信过程安全可控；84.如附图3所示，加密通信认证机制的双向认证加密通信通道建立的具体步骤如下：85.(1)、边缘节点向云端请求ca证书；86.(2)、云端返回ca证书给边缘节点；87.(3)、边缘节点使用预设的token验证ca证书的有效性；88.(4)、验证通过后，使用token从云端请求边缘节点接入证书，云端验证token的有效性，验证通过后生成证书并发送给边缘节点；89.(5)、经过步骤(1)到步骤(4)，最终建立websocket+tls的双向认证加密通信通道。90.本实施例中的最小授权安全模型是采用基于iptables的安全组技术，实现边缘节点的白名单功能，严格限制外部无关网络流量进入边缘节点，保证只有受控的数据可以进入边缘节点；91.其中，最小授权安全模型的具体实现方式为默认所有ip都不可进入，将白名单的ip及端口允许访问，iptables相关规则如下：92.创建一条自定义链，名称设置为in_cloud；93.在自定义链in_cloud设置特定cloud_ip允许通过；94.在input链中引用自定义链in_cloud，设置特定云端ip的指定端口cloud_port1,cloud_port2···通过；95.除上述允许通过的云端ip地址和端口，其它一律拒绝数据包通过。96.iptables相关规则的关键代码如下：97.iptables-tfilter-nin_cloud；98.iptables-tfilter-iin_cloud-scloud_ip-jaccept；99.iptables-iinput-ptcp-mmultiport‑‑sportcloud_port1,cloud_port2,...-jin_cloud；100.iptables-ainput-jreject；101.其中，cloud_ip表示云端地址；cloud_port1,cloud_port2表示云端服务端口。102.最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。当前第1页12当前第1页12
技术特征：
1.一种基于边缘计算的边缘节点网络防护系统，其特征在于，该系统包括云端和边缘节点，在云端部署网络监测平台，在边缘节点部署网络监测组件，通过网络监测组件持续监控边缘节点的网络流量并上报到云端的网络监测平台，及时发现边缘节点的网络安全问题；同时通过加密通信认证机制和最小授权安全模型严格限制与业务无关流量进入边缘节点，保证只有安全可控的确定性数据进入边缘节点，防止边缘网络及设备受到网络攻击。2.根据权利要求1所述的基于边缘计算的边缘节点网络防护系统，其特征在于，所述网络监测平台根据上报的边缘节点流量数据，并利用大数据及智能分析技术获取安全攻击及漏洞的相关信息，在云端构建网络安全信息知识库，支撑网络攻击、安全事件、黑客画像分析及受攻击边缘节点分析的安全能力，同时结合网络态势感知技术，在边缘计算环境中，通过数据协同及服务协同采集边缘节点的网络安全相关数据，在云端对边缘节点进行持续监控和集中分析，及时发现边缘节点网络传输过程中的异常情况并进行告警，实现云端和边缘节点的安全协同。3.根据权利要求1所述的基于边缘计算的边缘节点网络防护系统，其特征在于，所述网络监测组件通过监测边缘节点的网络流量，实时监测网络的传输内容，及时将数据传输到云端的网络监测平台，支撑网络监测平台及时发现网络违规行为，防止边缘节点受到网络攻击。4.根据权利要求1-3中任一项所述的基于边缘计算的边缘节点网络防护系统，其特征在于，所述加密通信认证机制是在原有通信协议websocket基础上增加安全层，将原有协议进行封装，增加ssl安全通道，在边缘节点和云端建立起有效的加密通信认证通道，保证通信过程安全可控；其中，加密通信认证机制的双向认证加密通信通道建立的具体步骤如下：(1)、边缘节点向云端请求ca证书；(2)、云端返回ca证书给边缘节点；(3)、边缘节点使用预设的token验证ca证书的有效性；(4)、验证通过后，使用token从云端请求边缘节点接入证书，云端验证token的有效性，验证通过后生成证书并发送给边缘节点；(5)、经过步骤(1)到步骤(4)，最终建立websocket+tls的双向认证加密通信通道。5.根据权利要求4所述的基于边缘计算的边缘节点网络防护系统，其特征在于，所述最小授权安全模型是采用基于iptables的安全组技术，实现边缘节点的白名单功能，严格限制外部无关网络流量进入边缘节点，保证只有受控的数据可以进入边缘节点；其中，最小授权安全模型的具体实现方式为默认所有ip都不可进入，将白名单的ip及端口允许访问，iptables相关规则如下：创建一条自定义链，名称设置为in_cloud；在自定义链in_cloud设置特定cloud_ip允许通过；在input链中引用自定义链in_cloud，设置特定云端ip的指定端口cloud_port1,cloud_port2
···
通过；除上述允许通过的云端ip地址和端口，其它一律拒绝数据包通过；其中，cloud_ip表示云端地址；cloud_port1及cloud_port2表示云端服务端口。6.一种基于边缘计算的边缘节点网络防护方法，其特征在于，该方法具体如下：
s1、网络监测组件持续监控边缘节点的网络流量并上报云端的网络监控平台；s2、网络监测平台结合网络安全信息知识库，并采用大数据分析、威胁情报以及网络态势感知技术及时发现边缘节点的网络安全问题；s4、网络安全信息知识库采用攻击流量特征匹配，并根据匹配结果向网络监测组件报告异常情况；s5、通过加密通信认证机制和最小授权安全模型严格限制与业务无关流量进入边缘节点，保证只有安全可控的确定性数据进入边缘节点，防止边缘网络及设备受到网络攻击。7.根据权利要求6所述的基于边缘计算的边缘节点网络防护方法，其特征在于，所述网络监测平台根据上报的边缘节点流量数据，并利用大数据及智能分析技术获取安全攻击及漏洞的相关信息，在云端构建网络安全信息知识库，支撑网络攻击、安全事件、黑客画像分析及受攻击边缘节点分析的安全能力，同时结合网络态势感知技术，在边缘计算环境中，通过数据协同及服务协同采集边缘节点的网络安全相关数据，在云端对边缘节点进行持续监控和集中分析，及时发现边缘节点网络传输过程中的异常情况并进行告警，实现云端和边缘节点的安全协同。8.根据权利要求6或7所述的基于边缘计算的边缘节点网络防护方法，其特征在于，所述网络监测组件通过监测边缘节点的网络流量，实时监测网络的传输内容，及时将数据传输到云端的网络监测平台，支撑网络监测平台及时发现网络违规行为，防止边缘节点受到网络攻击。9.根据权利要求8所述的基于边缘计算的边缘节点网络防护方法，其特征在于，所述加密通信认证机制是在原有通信协议websocket基础上增加安全层，将原有协议进行封装，增加ssl安全通道，在边缘节点和云端建立起有效的加密通信认证通道，保证通信过程安全可控；其中，加密通信认证机制的双向认证加密通信通道建立的具体步骤如下：(1)、边缘节点向云端请求ca证书；(2)、云端返回ca证书给边缘节点；(3)、边缘节点使用预设的token验证ca证书的有效性；(4)、验证通过后，使用token从云端请求边缘节点接入证书，云端验证token的有效性，验证通过后生成证书并发送给边缘节点；(5)、经过步骤(1)到步骤(4)，最终建立websocket+tls的双向认证加密通信通道。10.根据权利要求9所述的基于边缘计算的边缘节点网络防护方法，其特征在于，所述最小授权安全模型是采用基于iptables的安全组技术，实现边缘节点的白名单功能，严格限制外部无关网络流量进入边缘节点，保证只有受控的数据可以进入边缘节点；其中，最小授权安全模型的具体实现方式为默认所有ip都不可进入，将白名单的ip及端口允许访问，iptables相关规则如下：创建一条自定义链，名称设置为in_cloud；在自定义链in_cloud设置特定cloud_ip允许通过；在input链中引用自定义链in_cloud，设置特定云端ip的指定端口cloud_port1,cloud_port2
···
通过；除上述允许通过的云端ip地址和端口，其它一律拒绝数据包通过；
其中，cloud_ip表示云端地址；cloud_port1及cloud_port2表示云端服务端口。

技术总结
本发明公开了基于边缘计算的边缘节点网络防护系统及方法，属于边缘计算技术领域，本发明要解决的技术问题为如何满足边缘计算场景中边缘节点的安全需求，采用的技术方案为：该系统包括云端和边缘节点，在云端部署网络监测平台，在边缘节点部署网络监测组件，通过网络监测组件持续监控边缘节点的网络流量并上报到云端的网络监测平台，及时发现边缘节点的网络安全问题；同时通过加密通信认证机制和最小授权安全模型严格限制与业务无关流量进入边缘节点，保证只有安全可控的确定性数据进入边缘节点，防止边缘网络及设备受到网络攻击。防止边缘网络及设备受到网络攻击。防止边缘网络及设备受到网络攻击。


技术研发人员：李亚柯 陈镇山 王玉香
受保护的技术使用者：苏州鹰目电子科技有限公司
技术研发日：2023.03.16
技术公布日：2023/7/20