(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211140381.4 (22)申请日 2022.09.20 (71)申请人 国网江西省电力有限公司信息通信 分公司 地址 330000 江西省南昌市青山湖区昌东 大道7077号科研通信楼821室 申请人 国家电网有限公司 (72)发明人 邱日轩　何群　刘兴　孙欣　 付俊峰　李路明　杨济海　汪一波　 周欣　 (74)专利代理 机构 北京众合诚成知识产权代理 有限公司 1 1246 专利代理师 王焕巧 (51)Int.Cl. H04L 9/40(2022.01)H04L 67/10(2022.01) H04L 41/14(2022.01) (54)发明名称 一种云边访问管控系统 (57)摘要 本发明公开了一种云边访问管控系统。 该系 统包括身份认证模块、 访问策略模块、 入侵检测 模块和SDP控制器数量更新模块。 （1） SDP能够通 过仅授权经过身份验证的边缘设备访问云中的 服务来保护云不受边缘的影响； （2） 同时引入SDN 托管SDP需要的应用程序并集中管理和编排， 优 化网络资源并快速调整网络； （3） 另一方面， 由于 SDP控制器数量是雾计算可扩展性最重要的问题 之一， 本发 明提出了一种主子种群协同非支配排 序遗传算法II （MsPop ‑NSGAII） 来优化软件定义 边界， 确定SDP 控制器的最佳数目， 以降低成本和 边缘设备与其相应控制器 之间的延 迟， 同时提高 网络可靠性。 权利要求书3页 说明书8页 附图2页 CN 115225412 A 2022.10.21 CN 115225412 A 1.一种云边访 问管控系统， 其特征在于， 包括身份认证模块、 访 问策略模块、 入侵检测 模块、 SDP控制器数量更新模块和数据库： 所述身份认证模块用于边缘设备身份认证， 当边缘设备申请访问云时， SDP控制器通过 SDN应用层的身份管理程序验证该设备的身份； 所述访问策略模块用于评估边缘设备的信任等级并制定相应访问策略， 限定其进入云 后的可用操作、 可访问服务、 访问时间； 在经过身份认证模块认证身份后， 通过SDN应用层中 预设的动态 授权程序实现； 在指定访问策略后， 边缘设备通过SDP网关与云建立mTLS连接进行业务访问； 连接建立 后， 动态授权程序收集设备的行为持续评估其信任等级并做出相应指 令， 包括降低/提高访 问权限； 入侵检测模块基于S DN应用层的入侵检测程序实现， 在整个访问周期内不间断运行； SDP控制器数量更新模块用于更新SDP控制器的数量； 此模块通过SDN应用层的SDP控制 器数量更新 程序实现， 程序内置主子种群协同NSGAI I算法， 周期性 地更新SDP控制器数量； 数据库中存 储设备信息表供 所有模块访问， 包括设备信息、 加密证书、 秘钥、 信任值。 2.根据权利要求1所述的一种云边访问管控系统， 其特征在于， 所述身份认证模块具体 用于执行如下步骤： S1， 边缘设备发送单个SPA数据包到SDN交换机请求访问， 处于SDN应用层的身份管理程 序验证SPA包是否合法； S2， 若合法调用SDN控制器向SDN交换机下发流表[交换机 ‑>SDP控制器]， SDN交换机根 据流表将数据包转发给SDP控制器； 若不合法， 调用动态授权程序降低其信任值， 抛弃数据 包； S3， SDP控制器收到SPA包后 检查包中加密证书是否为空， 若为空代表边缘设备新加入， 则为边缘设备颁发证书， 调用动态 授权程序为 边缘设备初始化信任值， 更新设备信息表。 3.根据权利要求2所述的一种云边访问管控系统， 其特征在于， 所述访问策略模块具体 用于执行如下步骤： S1， 当SPA数据包到达SDP控制器后， 说明身份认证通过， 自动触发动态授权程序， 将边 缘设备的加密证书作为输入， 输出设备的访问权限， 将其打包成权限数据包； S2， 调用SDN控制器下发流表[SDP控制器 ‑>SDP网关]， SDN转换机将权限数据包从SDP控 制器转发到SDP网关， SDP网关根据数据包配置防火墙规则， 允许边缘设备访问云， 限定其进 入云后的可用操作、 可访问服 务、 访问时间。 4.根据权利要求1所述的一种云边访 问管控系统， 其特征在于， 所述SDP控制器数量更 新模块具体用于执 行如下步骤： S1， 根据边缘设备的数量来周期性更新SDP控制器的数量， 将问题建模成一个多目标优 化模型， 其 步骤如下： S1.1， 对于每 个边缘设备Ui、 每个SDP控制器Sj定义一个如下 元组: 其中 代表边缘设备Ui与SDP控制器Sj是否连接， 表示路由器Ui与SDP控制器权　利　要　求　书 1/3 页 2 CN 115225412 A 2Sj的连接成本， 表示SDP控制器Sj诚实的概 率， 表示Ui与SDP控制器Sj之间的时间延迟； S1.2， 要求SDP控制器的数量小于或等于边缘设备的数量， 且每个边缘设备仅连接一个 SDP控制器， 定义约束： 其中m是S DP控制器数量， n是边 缘设备数量； S1.3， 计算所有边 缘设备和S DP控制器连接过程总的时间延迟： S1.4， 计算所有边 缘设备和S DP控制器总的连接成本： S1.5， 定义S DP控制器的安全性： S1.6， 目标是最小化成本、 最小化延迟和最大化安全性， 自变量是SDP控制器数量m， 边 缘设备数量n作为参数， 将S1.2 ‑S1.5的函数建模为多目标优化问题： S2， 为求解上述多目标优化问题， 提出了一种主子种群协同NSGAII算法， 算法中主种群 和子种群协作进化， 扩大搜索空间， 最终达 到帕累托 最优， 其步骤如下： S2.1， 随机初始化相同的主种群Mq和子种群Sq， 设置种群大小为N， 设置最大进化代数 maxg； S2 .2 ， 更新主 种群Mq 和子 种群Sq的 适应 度向 量 ， 即 多目 标函数值向 量 ；qi是种群的第 i个解； S2.3， 遍历主种群Mq， 利用自适应惩罚函数修改不可 行解mqi的适应度： 其中 是不可行解mqi在每个目标函数的最大值， mqi是主种群的第 i个解； S2.4， 遍历子种群Sq， 采用可 行性导向方法修改不可 行解sqi的适应度： 权　利　要　求　书 2/3 页 3 CN 115225412 A 3