一种基于异构安全的边缘数据平面控制系统和方法与流程

1.本发明属于边缘数据计算领域，涉及一种基于异构安全的边缘数据平面控制系统和方法。


背景技术：

2.目前，在工业互联网应用中，工业场景常常复杂多变，数据处理是其中重要环节，其关系到生产的运转正常和系统的安全性。但是数据处理过程中存在一些痛点。网关内数据平面中数据处理往往需要根据工业场景修改并定制化编码。经过研究发现，网关内数据的处理的功能都是功能确定的，大致包括转发、计算和拦截等。但是数据处理中的定制化的操作却差别很大，例如转发的地址需要经常变换，报文处理字段位置和处理方式总是需要修改。因此不同的网关需要特别的编码，工作量大且收益低。同时数据处理平面的安全性对于工业生产至关重要，数据平面如果受到攻击和漏洞触发，可能造成生产事故。因此对安全性问题要格外重视。


技术实现要素：

3.为了解决现有技术中存在的上述技术问题，本发明提供了一种基于异构安全的边缘数据平面控制系统和方法，通过文件配置的方式实现网关设备内边缘数据平面的数据计算与控制，同时使用异构安全的主动防御方式，实现边缘数据的高安全处理，其具体技术方案如下：一种基于异构安全的边缘数据平面控制系统，包括：异构数据平面处理模块、数据输出控制模块和数据平面防御模块，所述异构数据平面处理模块包含多个边缘数据平面处理单元，用于接收并处理输入数据，将处理后的数据发送给数据输出控制模块，所述数据输出控制模块用于对边缘数据平面处理单元输出的数据进行比较，若一致，则数据输出控制模块输出该数据，若不一致，则发送给数据平面防御模块，所述数据平面防御模块用于对输出错误数据的边缘数据平面数据处理单元进行下线和替换操作。
4.优选的，所述多个边缘数据平面处理单元间彼此独立，且采用不同架构或不同操作系统。
5.优选的，所述边缘数据平面处理单元收到输入数据后，读取配置文件并根据配置文件中的设定，对输入数据进行处理。
6.优选的，所述配置文件规定边缘数据平面所需的协议与端口，同时配置文件规定数据处理的格式和字段，对数据进行计算、保存、丢弃和转发。
7.优选的，所述数据平面防御模块，重置输出错误数据的边缘数据平面数据处理单元后，对该边缘数据平面处理单元进行校验，判断是否重置成功，如果成功则该边缘数据平面处理单元继续处理数据，如果不成功，则选择新的边缘数据平面处理单元替代输出错误数据的边缘数据平面处理单元。
8.一种基于异构安全的边缘数据平面控制方法，包括以下步骤：
步骤1，通过异构数据平面处理模块接收输入的数据，使用配置文件规定的边缘数据平面的协议和端口及其规定的数据处理方式，对数据进行计算、保存、丢弃和转发；步骤2，将处理后的数据发送给数据输出控制模块，数据输出控制模块对边缘数据平面处理单元输出的数据进行比较，若一致，则数据输出控制模块输出该数据，若不一致，则发送给数据平面防御模块 ；步骤3，数据平面防御模块根据输出数据的结果，判断输出错误数据的边缘数据平面数据处理单元，然后重置该边缘数据平面数据处理单元，重置后，判断是否重置成功，若成功，则该边缘数据平面处理单元继续处理数据，若不成功，则选择新的边缘数据平面数据处理单元替代输出错误数据的边缘数据平面数据处理单元。
9.本发明的有益效果是，通过配置文件实现数据的处理与转发可以很大程度的增大数据转发的灵活性和可扩展性，同时增加异构多样化的边缘数据处理单元，通过多维度校验防止数据被篡改和系统攻击，使网关数据转发巨有主动防御的高安全性，在实际运用中，即通过可视化页面远程设定工业网络监测的规则，远程开启目标工业网络的实时监测，同时利用已经设置的规则对工业网络数据进行实时匹配，监测到工业网络被入侵则上报入侵事件和入侵信息。
附图说明
10.图1是本发明的系统结构连接框图示意图；图2是本发明的边缘数据处理流程示意图；图3是本发明的边缘数据输出和重置的流程示意图。
具体实施方式
11.为了使本发明的目的、技术方案和技术效果更加清楚明白，以下结合说明书附图，对本发明作进一步详细说明。
12.如图1所示，一种基于异构安全的边缘数据平面控制系统和方法，该系统包括三个模块：异构数据平面处理模块、数据输出控制模块和数据平面防御模块。
13.所述异构数据平面处理模块包含多个异构的且数据处理功能相同的边缘数据平面处理单元，每个边缘数据平面处理单元彼此独立。
14.本发明实施例的异构数据处理模块，选取3个边缘数据平面处理单元处理数据，3个边缘数据平面处理单元作为备用，且每个边缘数据平面处理单元采用的硬件异构为x86、arm和mips结构的处理器，采用不同的操作系统windows 、ubuntu和centos，运行的数据处理软件使用c 和java编写的程序。
15.边缘数据平面处理单元当收到输入数据后，根据配置文件中的设定，对数据进行计算，计算包括累加或比较等，然后进行处理，处理包括丢弃，保存和转发。所有的操作都通过配置文件设定。
16.如图2所示，边缘数据平面处理单元没有数据时处于等待数据的状态，当有数据输入时，边缘数据平面处理单元接收数据，进入数据检验状态，后在数据处理过程中读取数据流向配置文件进行匹配配置，获得对收到数据的处理方式，例如配置文件中配置tcp端口为9999的数据，对第6字节大于100的数据进行转发，转发到目的地址为192.168.100.100的
8888端口，且以udp协议对其进行转发。对收到数据进行解析后，如果收到tcp协议的目的端口为9999的数据包，则根据配置文件中对tcp端口9999数据包的处理方式，判断第6字节的值大于100时，则使用udp协议转发到目的地址为192.168.100.100的8888端口；如果收到不是tcp协议的目的端口为9999的数据包，则丢弃数据包。
17.如图3所示，当所有的边缘数据平面处理单元处理完同一个数据包的数据后，将数据发送给数据输出控制模块，数据输出控制模块进行比较后，如果所有边缘数据平面处理单元输出的数据均一致，则数据输出控制模块输出该数据；如果所有边缘数据平面处理单元输出的数据结果有偏差，则发送给数据平面防御模块进行进一步安全处理。
18.数据平面防御模块根据输出数据的结果，判断输出错误数据的边缘数据平面处理单元，然后重置该边缘数据平面处理单元，重置后，对边缘数据平面处理单元进行校验，判断是否重置成功，成功则该边缘数据平面处理单元继续处理数据；如果边缘数据平面处理单元重置不成功，则选择新的边缘数据平面处理单元替代输出错误数据的边缘数据平面处理单元。
19.以上所述，仅为本发明的优选实施案例，并非对本发明做任何形式上的限制。虽然前文对本发明的实施过程进行了详细说明，对于熟悉本领域的人员来说，其依然可以对前述各实例记载的技术方案进行修改，或者对其中部分技术特征进行同等替换。凡在本发明精神和原则之内所做修改、同等替换等，均应包含在本发明的保护范围之内。


技术特征：
1.一种基于异构安全的边缘数据平面控制系统，其特征在于，包括：异构数据平面处理模块、数据输出控制模块和数据平面防御模块，所述异构数据平面处理模块包含多个边缘数据平面处理单元，用于接收并处理输入数据，将处理后的数据发送给数据输出控制模块，所述数据输出控制模块用于对边缘数据平面处理单元输出的数据进行比较，若一致，则数据输出控制模块输出该数据，若不一致，则发送给数据平面防御模块，所述数据平面防御模块用于对输出错误数据的边缘数据平面数据处理单元进行下线和替换操作。2.如权利要求1所述的一种基于异构安全的边缘数据平面控制系统，其特征在于，所述多个边缘数据平面处理单元间彼此独立，且采用不同架构或不同操作系统。3.如权利要求1所述的一种基于异构安全的边缘数据平面控制系统，其特征在于，所述边缘数据平面处理单元收到输入数据后，读取配置文件并根据配置文件中的设定，对输入数据进行处理。4.如权利要求3所述的一种基于异构安全的边缘数据平面控制系统，其特征在于，所述配置文件规定边缘数据平面所需的协议与端口，同时配置文件规定数据处理的格式和字段，对数据进行计算、保存、丢弃和转发。5.如权利要求1所述的一种基于异构安全的边缘数据平面控制系统，其特征在于，所述数据平面防御模块，重置输出错误数据的边缘数据平面数据处理单元后，对该边缘数据平面处理单元进行校验，判断是否重置成功，如果成功则该边缘数据平面处理单元继续处理数据，如果不成功，则选择新的边缘数据平面处理单元替代输出错误数据的边缘数据平面处理单元。6.一种基于异构安全的边缘数据平面控制方法，其特征在于，包括以下步骤：步骤1，通过异构数据平面处理模块接收输入的数据，使用配置文件规定的边缘数据平面的协议和端口及其规定的数据处理方式，对数据进行计算、保存、丢弃和转发；步骤2，将处理后的数据发送给数据输出控制模块，数据输出控制模块对边缘数据平面处理单元输出的数据进行比较，若一致，则数据输出控制模块输出该数据，若不一致，则发送给数据平面防御模块 ；步骤3，数据平面防御模块根据输出数据的结果，判断输出错误数据的边缘数据平面数据处理单元，然后重置该边缘数据平面数据处理单元，重置后，判断是否重置成功，若成功，则该边缘数据平面处理单元继续处理数据，若不成功，则选择新的边缘数据平面数据处理单元替代输出错误数据的边缘数据平面数据处理单元。

技术总结
本发明提供一种基于异构安全的边缘数据平面控制系统和方法，该系统包括：异构数据平面处理模块、数据输出控制模块和数据平面防御模块，所述异构数据平面处理模块包含多个边缘数据平面处理单元，用于接收并处理输入数据，将处理后的数据发送给数据输出控制模块，所述数据输出控制模块对边缘数据平面处理单元输出的数据进行比较后再输出，所述数据平面防御模块用于对输出错误数据的边缘数据平面数据处理单元进行下线和替换操作。本发明通过配置文件实现数据的处理与转发可以很大程度的增大数据转发的灵活性和可扩展性，同时增加异构多样化的边缘数据处理单元，通过多维度校验防止数据被篡改和系统攻击，使网关数据转发巨有主动防御的高安全性。主动防御的高安全性。主动防御的高安全性。


技术研发人员：张富军 李顺斌
受保护的技术使用者：之江实验室
技术研发日：2021.09.10
技术公布日：2021/10/15