阅读说明：本技术 一种基于移动边缘计算的安全防护系统 (Safety protection system based on mobile edge calculation ) 是由 不公告发明人 于 2020-11-24 设计创作，主要内容包括：本发明涉及移动边缘计算安全防护技术领域,且公开了一种基于移动边缘计算的安全防护系统,包括：部署在移动边缘计算节点网络入口处且安装并运行有通讯权限认证系统软件和数据包过滤系统软件的物理隔离网闸,该物理隔离网闸使移动边缘计算节点网络在正常情况下与公共网络是完全断开的,物理隔离网闸上的通讯权限认证系统对公共网络上的请求通讯的用户端的通讯权限进行认证,物理隔离网闸上的数据包过滤系统对公共网络上的所述用户端发送的数据包进行安全检查,在确保了移动边缘计算节点网络、公共网络之间的物理隔离的基础上,保证了移动边缘计算节点网络的安全。本发明解决了移动边缘计算网络中安全性较差的边缘节点易被非法入侵的问题。(The invention relates to the technical field of mobile edge computing safety protection, and discloses a safety protection system based on mobile edge computing, which comprises: the physical isolation network gate is deployed at the entrance of the mobile edge computing node network and is provided with and operated with communication authority authentication system software and data packet filtering system software, the physical isolation network gate ensures that the mobile edge computing node network is completely disconnected with a public network under normal conditions, a communication authority authentication system on the physical isolation network gate authenticates the communication authority of a user side requesting communication on the public network, a data packet filtering system on the physical isolation network gate carries out security check on a data packet sent by the user side on the public network, and the security of the mobile edge computing node network is ensured on the basis of ensuring the physical isolation between the mobile edge computing node network and the public network. The invention solves the problem that the edge node with poor security in the mobile edge computing network is easy to be invaded illegally.)

一种基于移动边缘计算的安全防护系统

技术领域

本发明涉及移动边缘计算安全防护技术领域，具体为一种基于移动边缘计算的安全防护系统。

背景技术

随着移动网络的快速发展以及服务场景的多样化，移动计算技术逐渐从集中式移动云计算转向移动边缘计算(Mobile Edge Computing,MEC)，MEC旨在将移动计算、网络控制和存储推向网络边缘，在移动网络的边缘提供IT服务环境和云计算功能，以减少时间延迟，从而确保高效的网络操作和服务交付。MEC具有位置感知、移动支持、低时延、分散和分布式等特点，能够更好地满足物联网、5G、移动设备等的新要求，是云计算的良好补充和延伸。安全问题在云计算中得到了良好而广泛的研究，但由于MEC节点的大面积分散，集中控制十分困难，安全性较差的边缘节点可能成为入侵者进入MEC网络的入口，入侵者一旦进入网络，就可以挖掘和窃取用户在实体间交换的隐私数据。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供一种基于移动边缘计算的安全防护系统，以解决移动边缘计算网络中安全性较差的边缘节点易被非法入侵的技术问题。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：

一种基于移动边缘计算的安全防护系统，包括：部署在移动边缘计算节点网络入口处且安装并运行有通讯权限认证系统软件和数据包过滤系统软件的物理隔离网闸，该物理隔离网闸使移动边缘计算节点网络在正常情况下与公共网络是完全断开的。

进一步的，所述物理隔离网闸上的通讯权限认证系统的合法通讯权限注册方法具体包括：

通讯权限认证系统在二进制域F₂上随机生成一条椭圆曲线E，在该椭圆曲线E上随机选取一点R作为基点；

公共网络上的用户端随机选择一个在二进制域F₂上的私有密钥k；

通讯权限认证系统自动生成在二进制域F₂上的公开密钥K，且使K＝kR成立。

进一步的，所述通讯权限认证系统的合法通讯权限认证，具体包括：

公共网络上的用户端随机选取一个在二进制域F₂上的r；

通讯权限认证系统自动生成在二进制域F₂上的随机数b、计算R₁＝rR，并且使R₁在椭圆曲线E上；

公共网络上的用户端计算S＝r+bk，并将S发送给通讯权限认证系统；

通讯权限认证系统验证等式SR＝R₁+bK是否成立；

若上述等式成立，则公共网络上的所述用户端具有合法通信权限。

进一步的，所述物理隔离网闸上的数据包过滤系统对数据包进行安全检查，该安全检查方法包括：数据包过滤系统将收到的数据包按顺序放入一个共享的输入缓冲区内，并取出缓冲区队列中的前n个封装数据包，将他们组合成一个新的矩阵U_m×n，创建U_m×n的子矩阵V_n×n∈U_m×n，其中V_n×n的每个列向量V_i(1≤i≤n)独立随机地选自矩阵U_m×n，计算矩阵V_n×n的线性相关性，然后根据计算结果将U_m×n中线性相关的数据包丢弃。

(三)有益的技术效果

与现有技术相比，本发明具备以下有益的技术效果：

本发明在移动边缘计算节点网络入口处部署有安装并运行有通讯权限认证系统软件和数据包过滤系统软件的物理隔离网闸，物理隔离网闸上的通讯权限认证系统对公共网络上的请求通讯的用户端的通讯权限进行认证，只有是具有合法通信权限的通讯终端，隔离网闸才与其建立非TCP/IP协议的数据连接，建立连接之后，物理隔离网闸上的数据包过滤系统对公共网络上的所述用户端发送的数据包进行安全检查，经过安全检查之后，隔离网闸才将所有的协议剥离之后将原始的数据写入存储介质，一旦数据完全写入隔离网闸的存储介质，隔离网闸立即中断与公共网络的连接，转而发起对移动边缘计算节点网络的非TCP/IP协议的数据连接，隔离网闸将存储介质内的数据推向移动边缘计算节点网络，移动边缘计算节点网络收到数据后立即进行TCP/IP的封装和应用协议的封装并交给移动边缘计算节点的应用系统，在控制台收到完整的交换信号之后，隔离网闸立即切断隔离设备与移动边缘计算节点网络的直接连接；

从而在确保了移动边缘计算节点网络、公共网络之间的物理隔离的基础上，保证了移动边缘计算节点网络的安全；

从而解决了移动边缘计算网络中安全性较差的边缘节点易被非法入侵的技术问题。

具体实施方式

下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于移动边缘计算的安全防护系统，包括：部署在移动边缘计算节点网络入口处且安装并运行有通讯权限认证系统软件和数据包过滤系统软件的物理隔离网闸，该物理隔离网闸使移动边缘计算节点网络在正常情况下与公共网络是完全断开的；

当公共网络上的用户端向移动边缘计算节点网络上的移动边缘计算节点发出通讯请求时，物理隔离网闸上的通讯权限认证系统对公共网络上的所述用户端的通讯权限进行认证，该认证方法包括：

若公共网络上的所述用户端为第一次向移动边缘计算节点网络上的移动边缘计算节点发送通讯请求，则通讯权限认证系统与公共网络上的所述用户端进行交互式通信，先完成公共网络上的所述用户端的合法通讯权限注册，再完成公共网络上的所述用户端的合法通讯权限认证；

所述合法通讯权限注册方法具体包括：

通讯权限认证系统在二进制域F₂上随机生成一条椭圆曲线E，在该椭圆曲线E上随机选取一点R作为基点；

公共网络上的所述用户端随机选择一个在二进制域F₂上的私有密钥k；

通讯权限认证系统自动生成在二进制域F₂上的公开密钥K，且使K＝kR成立；

若公共网络上的所述用户端为非第一次向移动边缘计算节点网络上的移动边缘计算节点发送通讯请求，则通讯权限认证系统与公共网络上的所述用户端进行交互式通信，完成公共网络上的所述用户端的合法通讯权限认证，具体包括：

公共网络上的所述用户端随机选取一个在二进制域F₂上的r，通讯权限认证系统自动生成在二进制域F₂上的随机数b、计算R₁＝rR，并且使R₁在椭圆曲线E上；

公共网络上的所述用户端计算S＝r+bk，并将S发送给通讯权限认证系统；

通讯权限认证系统验证等式SR＝R₁+bK是否成立；

若上述等式成立，则公共网络上的所述用户端具有合法通信权限；否则，公共网络上的所述用户端不具有合法通信权限；

若公共网络上的所述用户端是具有合法通信权限的通讯终端，则隔离网闸与公共网络上的所述用户端建立非TCP/IP协议的数据连接；

物理隔离网闸上的数据包过滤系统对公共网络上的所述用户端发送的数据包进行安全检查，该安全检查方法包括：数据包过滤系统将收到的数据包按顺序放入一个共享的输入缓冲区内，并取出缓冲区队列中的前n个封装数据包，将他们组合成一个新的矩阵U_m×n，创建U_m×n的子矩阵V_n×n∈U_m×n，其中V_n×n的每个列向量V_i(1≤i≤n)独立随机地选自矩阵U_m×n，计算矩阵V_n×n的线性相关性，然后根据计算结果将U_m×n中线性相关的数据包丢弃；

经过安全检查之后，隔离网闸将所有的协议剥离之后将原始的数据写入存储介质，一旦数据完全写入隔离网闸的存储介质，隔离网闸立即中断与公共网络的连接，转而发起对移动边缘计算节点网络的非TCP/IP协议的数据连接，隔离网闸将存储介质内的数据推向移动边缘计算节点网络，移动边缘计算节点网络收到数据后立即进行TCP/IP的封装和应用协议的封装并交给移动边缘计算节点的应用系统，在控制台收到完整的交换信号之后，隔离网闸立即切断隔离设备与移动边缘计算节点网络的直接连接；

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。