CN112291222B - 一种电力边缘计算安全防护系统及方法 - Google Patents
一种电力边缘计算安全防护系统及方法 Download PDFInfo
- Publication number
- CN112291222B CN112291222B CN202011142049.2A CN202011142049A CN112291222B CN 112291222 B CN112291222 B CN 112291222B CN 202011142049 A CN202011142049 A CN 202011142049A CN 112291222 B CN112291222 B CN 112291222B
- Authority
- CN
- China
- Prior art keywords
- data
- user
- equipment
- microprocessor
- safety protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
本发明公开了一种电力边缘计算的安全防护系统及方法,该电力边缘计算安全防护系统包括物理基础设施安全防护模块、数据面网关安全防护模块和管理安全防护模块,本发明通过物理基础设施安全防护模块的接口设备和微处理器,对接入设备进行身份注册和认证识别,并进行电气设备的接口自动绑定,通过数据面网关安全防护模块的数据处理器对攻击行为进行实时监测,以及敏感数据的保护,达到数据链路的安全防护,通过管理安全防护模块的核心处理器对平台的操作等进行口令的验证和日志记录,从而达到电力边缘计算系统中数据安全保护的目的,提高整个电力边缘计算系统的数据安全性和可靠性。
Description
技术领域
本发明涉及电力边缘计算安全领域,具体涉及一种电力边缘计算安全防护系统及方法。
背景技术
边缘计算指在靠近物或数据源头的网络边缘侧,融合网络、计算、存储、应用核心能力的开放平台,就近提供边缘智能服务,满足行业数字化在敏捷连接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。边缘计算将集中在数据中心的应用程序托管降至网络边缘,更接近消费者和数据源,具备超低时延、超高带宽等特征,是信息技术和通信技术业务结合的立项载体平台。
对于电力系统的边缘计算来说,接入的设备数量以及使用者的数量都是十分庞大的,而传统的边缘计算安全方法没有考虑对通信设备与边缘计算平台之间的边缘计算通信行为进行监控处理,从而会造成边缘计算过程中的数据存在各种安全风险,无法应用于越来越复杂的电力边缘计算系统。因此,需要一种电力边缘计算安全防护系统来解决电力边缘计算的通信行为的安全性问题,提高电力边缘计算系统的数据安全性。
发明内容
针对上述现有技术的缺陷,本发明提供一种电力边缘计算安全防护系统及方法,能够提高电力边缘计算系统的数据安全性和可靠性。
本发明提供一种电力边缘计算安全防护系统,其特征在于,包括:物理基础设施安全防护模块、数据面网关安全防护模块和管理安全防护模块;
所述物理基础设施安全防护模块,用于识别并控制接入电力边缘计算系统中的各种设备,包括各式电表以及检测仪器、仪表,自动完成对接入设备的识别和注册,并针对部分特定设备进行接口自绑定;
所述数据面网关安全防护模块,具备攻击防护功能和敏感防护功能,用于识别和监测所述合法设备的数据中的风险,区分并保护所述合法设备的数据;
所述管理安全防护模块,具备口令验证防护功能和日志安全防护功能,用于验证使用用户身份,对用户的操作行为进行记录,分析行为逻辑,并对逻辑的合理性进行判断和风险提示;
所述的物理基础设施安全防护模块、数据面网关安全防护模块、管理安全防护模块间采用数据链路连接。
其中,所述物理基础设施安全防护模块包括微处理器、接口设备和待接入的设备;
所述接口设备与微处理器连接;
所述待接入的设备通过接口设备与微处理器连接;
所述接入的设备通过接口设备对协议进行转换,经过微处理器对接入设备进行识别和注册;通过识别且被注册的设备,被系统判定为合法设备,合法设备可以传输数据至所述数据面网关安全防护模块;对于识别成功的特定接入设备,进行自动绑定接入接口,限制该设备在系统中的使用范围仅为绑定接入接口,其它接口接入时将无法正常使用;
所述微处理器采用单片机控制系统,用于采集接入系统的设备信号特征和数据信号;并将信号通过数据链路与数据面网关安全防护模块、管理安全防护模块进行交互。
优选地,所述数据面网关安全防护模块包括数据处理器;
所述数据面网关安全防护模块具备的攻击防护功能具体为:数据处理器针对接入设备的请求信号和请求频次进行动态分析和判断,识别攻击信号,并对攻击信号进行阻隔,取消设备的注册信息并标记,发信号给物理基础设施安全防护模块与管理安全防护模块;
所述数据面网关安全防护模块具备的敏感防护功能具体为:数据处理器对敏感数据进行区分和隔离,对系统中有着重要安全隐患的数据进行加密保护和脱敏保护,并根据不同的数据安全等级对数据进行不同程度的加密和脱敏。
优选地,所述管理安全防护模块包括核心处理器,核心处理器具备用户验证算法和日志记录分析算法,用于实现口令验证防护功能和日志安全防护功能;
所述口令验证防护功能具体为:数据使用者在执行命令前,需要通过核心处理器对其身份进行验证,只有通过验证的数据请求才能被执行,否则判定为非法请求,拒绝访问并发出警报;
所述日志安全防护功能具体为:核心处理器对整个系统的数据变化、设备变化、操作记录等进行保存和分析,通过对日志的动态处理,分析行为逻辑,并对逻辑的合理性进行判断,当出现不合理行为时,给予风险提示,并给微处理器和数据处理器发送行为和数据限制信号,对不合理行为进行限制;
所述核心处理器安装可视化上位机软件或连接外部应用,用于用户对数据的获取和分
析,显示当前系统的工作状态和安全风险情况,供用户与系统的数据交互,包含系统设置、报警处理。
作为一种优选方式,所述管理安全防护模块还包括用户终端;所述用户终端与核心处理器连接,通过核心处理器与数据处理器和微处理器传输数据;
所述用户终端包括显示模块和设备控制按钮;
所述显示模块,用于显示数据信息及提示报警;
所述设备控制按钮用于实现与用户的交互,包括用户手动对设备的注册或用于对用户口令验证等,通过对话输入框实现对系统的参数设置,并将系统功能的参数值以及功能使用状态下发到所述数据处理器和所述微处理器。
进一步地,所述的物理基础设施安全防护模块、数据面网关安全防护模块、管理安全防护模块间采用数据链路连接具体是微处理器、数据处理器和核心处理器间以太网连接方式,采用TCP协议。
本发明提供地一种边缘算法安全防护系统与现有技术相比,具有如下优点和有益效果:
本发明通过微处理器,能够识别接入设备的特征信号,并进行设备的自动注册和针对性的对特定设备进行接入接口绑定,通过数据处理器对采集的数据信号进行分析,能够防护接入设备或数据的攻击行为,并根据分析的数据敏感性对数据加密、脱敏以及分布式存储,利用核心处理器对数据使用者进行验证和记录,从而大大提高了数据的安全性。此外本发明还并具备自主学习能力,可以自动识别接入设备,提高系统的运行效率。
本发明还提供一种电力边缘计算安全防护方法,包括以下步骤:
待接入设备通过接口设备接入系统,微处理器接收到接入设备的发出的接入请求,通过接口设备采集该设备的特征信号和数据信号信息,将采集的所述设备的特征信号和数据信号传送至微处理器,微处理器对设备的特征信号进行分析和处理,当特征信号符合信号模型数据库的条件时,所述设备将通过验证,并被微处理器标记为合法设备,所述设备完成自动注册,进行合法设备的特征信号识别,当符合预设的特定信号时,该设备将被判定为特定设备,特定设备将进行接入接口的绑定;
通过数据链路将已经注册的合法设备的特征信号和数据信号送至数据处理器,完成数据的安全采集;
数据处理器对来自微处理器的数据进行处理,根据用户设置或系统设置,对数据的行为进行分析,当数据的行为不符合用户设置或系统设置时,判定所述数据的行为存在攻击性,数据处理器给微处理器发送阻隔数据的请求,微处理器接收所述请求,注销该设备的验证信息,从根源阻断攻击破坏行为;
当数据的行为符合用户或系统的设置时,判定数据行为正常,分析数据的敏感性,比对敏感性参数和所述的数据特征信息,当特征信息具有的敏感性参数越多,则数据的敏感性程度越高,根据敏感度对数据进行仅加密、仅脱敏、加密与脱敏共三种等级的处理,并对处理后的数据实行分布式存储和传输,通过数据链路将数据状态送到核心处理器;
核心处理器收到用户对该数据的使用请求时,将验证用户口令,用户口令验证失败的数据不能在核心处理器中使用;当用户口令和系统定义的口令吻合时,用户可以使用该数据;
数据在使用过程中,核心处理器会对系统中出现的每条数据状态进行记录与分析,判断系统中数据行为是否符合用户设定的合理行为定义,当判定为非合理行为时,将下发限制数据信号到数据处理器和微处理器,数据处理器将限制数据的传输,微处理器取消数据来源设备的注册信息。
优选地,所述特征信号包括设备的ID或者MAC地址、设备的类型、设备的功能;
所述数据信号包括设备采集的数据、请求命令。
优选地,所述信号模型数据库包括自我学习的数据库或用户设定的信号模型数据库;
所述自我学习数据库是微处理器将设备合法性的判别结果及设备的特征信息输入自我学习算法中,通过自我学习建立的数据库模型得出的信号模型数据库;
所述用户设定的数据库是用户通过用户终端交互,自动输入的信号模型数据库。
优选地,所述敏感性参数包括用户通过用户终端输入的参数和系统参数。
本发明提供的边缘计算安全防护方法对接入设备进行身份注册和认证识别,对攻击行为进行实时监测,对敏感数据进行加密保护和脱敏保护,达到数据链路的安全防护,对平台的操作等进行口令的验证和日志记录,从而达到边缘计算系统中数据安全保护的目的,提高整个边缘计算系统的数据安全性和可靠性。
附图说明
图1是本发明提供的一种电力边缘计算安全防护系统的结构示意图。
图2是本发明提供的一种电力边缘计算安全防护方法的步骤流程图。
图是本发明提供的设备接入信号的识别与注册的一种实施例的流程图。
图4是本发明提供的数据安全处理的一种实施例的流程图。
图5是发明提供的数据平台管理的一种实施例的具体流程图
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域的普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,是本发明提供的一种电力边缘计算安全防护系统的结构示意图。如图1所示,本发明实施例提供的电力边缘计算安全防护系统的实施例,包括物理基础设施安全防护模块、数据面网关安全防护模块和管理平台防护模块。
物理基础设施安全防护模块用于识别并控制接入边缘计算系统中的各种设备,自动完成对接入设备的识别和注册,通过识别且被注册的设备,被系统判定为合法设备,合法设备可以传输数据至所述数据面网关安全防护模块;当合法设备的特征信号符合预设的特定信号时,该设备将被判定为特定设备
对于识别成功的特定接入设备,进行自动绑定接入接口,限制该设备在系统中的使用范围仅为绑定接入接口,其它接口接入时将无法正常使用;
数据面网关安全防护模块具备攻击防护功能和敏感防护功能,用于识别和监测所述合法设备的数据中的风险,并保护所述合法设备的数据;
在用户对设备传输到系统中的数据进行处理时,管理安全防护模块具备的口令验证防护功能和日志安全防护功能够验证使用用户身份,对用户的操作行为进行记录和分析;
其中物理基础设施安全防护模块、数据面网关安全防护模块、管理安全防护模块间采用数据链路连接,用于相互通信和传输数据。
在本实施例具体实施时,本实施例提供的物理基础设施安全防护模块可以包括微处理器、接口设备、待接入的设备。
在本实施例中,接口设备与微处理器连接,待接入的设备通过接口设备与微处理器连接;
接入的设备通过接口设备对协议进行转换,经过微处理器对接入设备进行识别和注册;当合法设备的特征信号符合预设的特定信号时,该设备将被判定为特定设备,特定设备将进行接入接口的绑定;
所述微处理器可采用单片机控制系统,用于采集接入系统的设备信号特征和数据信号;并将信号通过数据链路与数据面网关安全防护模块、管理安全防护模块进行交互。
在本实施例中,数据面网关安全防护模块包括有数据处理器,数据处理器具备攻击防护功能和敏感防护功能;
数据处理器能够针对接入设备的请求信号和请求频次进行动态分析和判断,识别攻击信号,并对攻击信号进行阻隔,取消设备的注册信息并标记,并通过数字链路发送信号给物理基础设施安全防护模块与管理安全防护模块;
数据处理器能够对敏感数据进行区分和隔离,实现数据保护的功能,并且能够对系统中有着重要安全隐患、不可轻易公开使用的数据进行仅加密、仅脱敏、加密和脱敏三种方式的处理,减小数据被非法获取的风险。
在本实施例中,管理安全防护模块包括核心处理器,核心处理器具备用户验证算法和日志记录分析算法,分别用于实现用户验证功能和日志记录分析功能。
具体的功能实施如下:数据使用者在执行命令前,需要通过核心处理器对其身份进行验证,只有通过验证的数据请求才能被执行,否则判定为非法请求,拒绝访问并发出警报;
核心处理器对整个系统的数据变化、设备变化、操作记录等进行保存和分析,通过对日志的动态处理,分析行为逻辑,并对逻辑的合理性进行判断和风险提示,并限制不合理行为;
核心处理器安装可视化上位机软件或外部应用,用于用户对数据的获取和分析,展示当前系统的工作状态和安全风险情况,供用户与系统的数据交互,包含系统设置、报警处理;
本实施例中,所述管理安全防护模块还包括用户终端;所述用户终端与核心处理器连接,通过核心处理器与数据处理器和微处理器传输数据;
所述用户终端包括显示模块和设备控制按钮;
所述显示模块,用于显示数据信息及提示报警;
所述设备控制按钮用于实现与用户的交互,包括用户手动对设备的注册或用于对用户口令验证等,通过对话输入框实现对系统的参数设置,并将系统功能的参数值以及功能使用状态下发到所述数据处理器和所述微处理器;
在本实施例中物理基础设施安全防护模块、数据面网关安全防护模块、管理安全防护模块间采用数据链路连接具体可以是微处理器、数据处理器和核心处理器间以太网连接方式,采用TCP协议。
在本实施例具体实施过程中,在设备接入系统过程中,电力边缘计算安全防护模块的微处理器能够对接入设备进行自动识别与注册,对接入设备的安全进行验证,并对特定设备进行自加密接入接口绑定;在数据采集与传输过程中,数据面网关安全防护模块的数据处理器对数据链路中的风险进行识别和检测,并通过对敏感数据的加密保护和脱敏保护;在数据处理过程中,管理安全防护模块的核心处理器验证数据使用者的身份,记录并分析数据使用行为,提醒并限制不合理操作行为。
系统还通过显示模块与设备控制按钮实现与用户的交互,提高系统的适应性;此外系统从设备接入,到数据传输,存储,数据使用和处理各个流程保护数据,大大提高了电力边缘计算过程中的数据安全性和系统执行的稳定性,并且整个流程能够完成自动注册,自动识别数据风险,自动验证数据使用者身份,具备自我学习能力,大大提高系统的运行效率。
参见图2,是本发明提供的一种边缘计算安全防护方法的步骤流程图。
如图2所示,本实施例提供的边缘计算安全防护方法具体实施过程如下:
S201、待接入设备通过接口设备接入系统,微处理器接收到接入设备的发出的接入请求,通过接口设备采集该设备的特征信号和数据信号信息,将采集的所述设备的特征信号和数据信号传送至微处理器,微处理器对设备的特征信号进行分析和处理,当特征信号符合信号模型数据库的条件时,所述设备将通过验证,并被微处理器标记为合法设备,所述设备完成自动注册,并针对部分特定设备进行接口自绑定;
S202、通过数据链路将已经注册的合法设备的特征信号和数据信号送至数据处理器,完成数据的安全采集;
S203、数据处理器对来自微处理器的数据进行处理,根据用户设置或系统设置,对数据的行为进行分析,当数据的行为不符合用户设置或系统设置时,判定所述数据的行为存在攻击性,数据处理器给微处理器发送阻隔数据的请求,微处理器接收所述请求,注销该设备的验证信息,从根源阻断攻击破坏行为;
S204、当数据的行为符合用户或系统的设置时,判定数据行为正常,分析数据的敏感性,比对敏感性参数和所述的数据特征信息,对敏感数据进行区分,当特征信息具有的敏感性参数越多,则数据的敏感性程度越高,根据敏感度对数据进行不同程度的加密,并实行分布式存储和传输,通过数据链路将数据送到核心处理器,核心处理器将对数据进行处理;
S205、核心处理器收到用户对该数据的使用请求时,将验证用户口令,用户口令验证失败的数据不能在核心处理器中使用;当用户口令和系统定义的口令吻合时,用户可以使用该数据;
S206、数据在使用过程中,核心处理器会对系统中出现的每条数据状态进行记录与分析,判断系统中数据行为是否符合用户设定的合理行为定义,当判定为非合理行为时,将下发限制数据信号到数据处理器和微处理器,数据处理器将限制数据的传输,微处理器取消数据来源设备的注册信息。
本实施例提供的一种电力边缘计算安全防护方法通过对设备接入信号的识别与注册来验证设备接入的合法性,提高系统的设备的安全性;通过数据安全处理,检测和识别传输的数据风险,对敏感数据进行仅加密、仅脱敏、加密与脱敏共三种等级的处理,保证数据的安全性;通过数据平台管理,验证使用数据的用户身份,并对用户的操作行为进行分析,能够在数据的处理过程中加强对数据的保护,大大提高了边缘计算过程中的数据安全性和系统稳定性。
参见图3,是发明提供的设备介入吸纳后的识别与注册的一种实施例的具体流程图。如图3所示,设备接入信号的识别与注册包括以下步骤:
待接入设备通过接口设备与微处理器连接;
微处理器通过设备采集接入设备的特征信号与数据信号,其中特征信号包括设备的ID或者MAC地址、类型、功能等,数据信号包括设备采集的数据、请求命令等。
将采集的设备特征信号与信号模型数据库比对来验证设备的合法性,当设备特征信号符合信号模型数据库的特征时,设备通过验证,完成设备注册;当设备特征信号符合信号模型数据库的特征时,设备通过验证,完成设备注册;
其中信号模型数据库可以是用户定义的数据库和自主学习的数据库,用户定义的数据库可以通过界面参数输入系统中;
当设备完成注册之后,微处理器判定该设备为合法设备,
之后将对合法设备进行特定设备的识别,特征信号符合预设的特定信号的设备将被判定为特定设备,特定设备将自动绑定绑定接口的设备;
合法设备可通过数据传输链路传输特征信号和数据信号数据给数据处理器和核心处理器;
当设备注册失败时,微处理器判定该设备不合法,将从接口设备处断开该设备的连接。
此外待接入的设备注册成功或注册失败的结果将作为自主学习数据库的学习案例,优化信号模型数据库,特定设备识别成功的设备也将作为自主学习数据库的学习案例,优化信号模型数据库。
参见图4,是发明提供的数据安全处理的一种实施例的具体流程图。如图4所示,数据安全处理包括以下步骤:
来自物理基础设施安全防护模块的数据传输到数据处理器;
根据用户的定义和系统的设置对数据的行为的攻击性进行分析;其中用户定义的数据可以通过界面参数输入系统中;
当数据的行为不符合用户的定义和系统的设置时,判定为攻击行为时,微处理器接收数据处理器发送的阻隔数据的请求,将注销该设备的验证信息,从根源阻断攻击破坏行为;
当数据的行为符合用户的定义和系统的设置时,判定数据行为不具备攻击性:分析数据的敏感性,利用系统设置信息和数据特征信息,比对敏感性参数和所述的数据特征信息,当特征信息具有的敏感性参数越多,则数据的敏感性程度越高,根据敏感度对数据进行仅加密、仅脱敏、加密与脱敏共三种等级的处理,并对处理后的数据实行分布式存储和传输,通过数据链路将数据状态送到核心处理器;
核心处理器对整个系统中的数据进行监控、处理、显示及应用,参见图5,是发明提供的数据平台管理的一种实施例的具体流程图。如图5所示,数据平台管理包括以下步骤:
当收到用户使用数据的请求时进行用户口令对数据的使用实行用户口令验证防护;
用户口令验证失败时,该数据请求不被允许,数据无法使用、传输;
用户口令验证通过,该数据可以在核心处理器中正常传输、使用;
核心处理器通过对系统中出现的每条数据状态进行记录与分析,判断系统中对数据的操作行为是否符合用户设置的合理行为定义:
当判定为非合理行为时,核心处理器将发送限制数据信号到数据处理器和微处理器,发送报警信号给用户终端;
微处理器和数据处理器将限制数据的传输或者取消数据来源的设备的注册;
用户终端将显示报警信息。并能够显示当前系统的工作状态和安全风险情况,供用户与系统的数据交互,包含系统设置、报警处理等。
当数据使用符合合理行为定义,数据正常使用和传输。本发明提供的一种电力边缘计算安全防护系统及方法,该电力边缘计算安全防护系统包括物理基础设施安全防护模块、数据面网关安全防护模块和管理安全防护模块,本发明利用物理基础设施安全防护模块的微处理器,结合数据面网关安全防护模块的数据处理器和管理安全防护模块的核心处理器,实现边缘计算中对接入设备的验证、数据的保护、数据行为的分析,形成安全性高的边缘计算的安全防护系统。该电力边缘计算安全防护方法对接入设备进行身份注册和认证识别,对攻击行为进行实时监测,对敏感数据进行仅加密、仅脱敏、加密与脱敏共三种等级的处理保护,达到数据链路的安全防护,对平台的操作等进行口令的验证和日志记录,做到数据使用的有迹可循,从而达到边缘计算系统中数据安全保护的目的,提高整个边缘计算系统的数据安全性和可靠性。在过程中还能够通过自主学习能力自动完成设备注册与设备信号模型数据库的优化,大大提高系统的运行效率。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和变形,这些改变和变形也视为本发明的保护范围。
Claims (8)
1.一种电力边缘计算安全防护系统,其特征在于,包括:物理基础设施安全防护模块、数据面网关安全防护模块和管理安全防护模块;
所述物理基础设施安全防护模块,用于识别并控制接入电力边缘计算系统中的各种设备,包括各式电表以及检测仪器、仪表,自动完成对接入设备的识别和注册,并对识别出的特定设备进行接口自绑定;
所述数据面网关安全防护模块,具备攻击防护功能和敏感防护功能,用于识别和监测合法设备的数据中的风险,区分并保护所述合法设备的数据;
所述管理安全防护模块,具备口令验证防护功能和日志安全防护功能,用于验证使用用户身份,对用户的操作行为进行记录,分析行为逻辑,并对逻辑的合理性进行判断和风险提示;
所述的物理基础设施安全防护模块、数据面网关安全防护模块、管理安全防护模块间采用数据链路连接;
所述物理基础设施安全防护模块包括微处理器、接口设备和待接入的设备;所述数据面网关安全防护模块包括数据处理器,所述管理安全防护模块包括核心处理器;
待接入设备通过接口设备接入系统,微处理器接收到待接入设备的发出的接入请求,通过接口设备采集待接入设备的特征信号和数据信号信息,将采集的所述待接入设备的特征信号和数据信号传送至微处理器,微处理器对特征信号进行分析和处理,当特征信号符合信号模型数据库的条件时,所述待接入设备将通过验证,并被微处理器标记为合法设备,所述待接入设备完成自动注册,进行合法设备的特征信号识别,当符合预设的特定信号时,所述待接入设备将被判定为特定设备,特定设备将进行接入接口的绑定;
通过数据链路将已经注册的合法设备的特征信号和数据信号送至数据处理器,完成数据的安全采集;
数据处理器对来自微处理器的数据进行处理,根据用户设置或系统设置,对数据的行为进行分析,当数据的行为不符合用户设置或系统设置时,判定所述数据的行为存在攻击性,数据处理器给微处理器发送阻隔数据的请求,微处理器接收所述请求,注销该设备的验证信息,从根源阻断攻击破坏行为;
当数据的行为符合用户或系统的设置时,判定数据行为正常,分析数据的敏感性,比对敏感性参数和所述数据的特征信息,当特征信息具有的敏感性参数越多,则数据的敏感性程度越高,根据敏感度对数据进行仅加密、仅脱敏、加密与脱敏共三种等级的处理,并对处理后的数据实行分布式存储和传输,通过数据链路将数据状态送到核心处理器;
核心处理器收到用户对该数据的使用请求时,将验证用户口令,用户口令验证失败的数据不能在核心处理器中使用;当用户口令和系统定义的口令吻合时,用户可以使用该数据;
数据在使用过程中,核心处理器会对系统中出现的每条数据状态进行记录与分析,判断系统中数据行为是否符合用户设定的合理行为定义,当判定为非合理行为时,将下发限制数据信号到数据处理器和微处理器,数据处理器将限制数据的传输,微处理器取消数据来源设备的注册信息;
所述敏感性参数包括用户通过用户终端输入的参数和系统参数;
所述特征信号包括设备的ID或者MAC地址、设备的类型、设备的功能;
所述数据信号包括设备采集的数据、请求命令。
2.根据权利要求1所述的一种电力边缘计算安全防护系统,其特征在于,
所述接口设备与微处理器连接;
所述待接入的设备通过接口设备与微处理器连接;
所述接入的设备通过接口设备对协议进行转换,经过微处理器对接入设备进行识别和注册;通过识别且被注册的设备,被系统判定为合法设备,合法设备可以传输数据至所述数据面网关安全防护模块;对于识别成功的特定接入设备,进行自动绑定接入接口,限制该设备在系统中的使用范围仅为绑定接入接口,其它接口接入时将无法正常使用;
所述微处理器可采用单片机控制系统,用于采集接入系统的设备信号特征和数据信号;并将信号通过数据链路与数据面网关安全防护模块、管理安全防护模块进行交互。
3.根据权利要求1所述的一种电力边缘计算安全防护系统,其特征在于:
所述数据面网关安全防护模块具备的攻击防护功能具体为:数据处理器针对接入设备的请求信号和请求频次进行动态分析和判断,识别攻击信号,并对攻击信号进行阻隔,取消设备的注册信息并标记,发信号给物理基础设施安全防护模块与管理安全防护模块;
所述数据面网关安全防护模块具备的敏感防护功能具体为:数据处理器对敏感数据进行区分和隔离,对系统中有着重要安全隐患的数据进行加密保护和脱敏保护,并根据不同的数据安全等级对数据进行不同程度的加密和脱敏。
4.根据权利要求1所述的一种电力边缘计算安全防护系统,其特征在于:所述核心处理器具备用户验证算法和日志记录分析算法,用于实现口令验证防护功能和日志安全防护功能;
所述口令验证防护功能具体为:数据使用者在执行命令前,需要通过核心处理器对其身份进行验证,只有通过验证的数据请求才能被执行,否则判定为非法请求,拒绝访问并发出警报;
所述日志安全防护功能具体为:核心处理器对整个系统的数据变化、设备变化、操作记录进行保存和分析,通过对日志的动态处理,分析行为逻辑,并对逻辑的合理性进行判断,当出现不合理行为时,给予风险提示,并给微处理器和数据处理器发送行为和数据限制信号,对不合理行为进行限制;
所述核心处理器安装可视化上位机软件或连接外部应用,用于用户对数据的获取和分析,显示当前系统的工作状态和安全风险情况,供用户与系统的数据交互,包含系统设置、报警处理。
5.根据权利要求1所述的一种电力边缘计算安全防护系统,其特征在于:所述管理安全防护模块还包括用户终端;所述用户终端与核心处理器连接,通过核心处理器与数据处理器和微处理器传输数据;
所述用户终端包括显示模块和设备控制按钮;
所述显示模块,用于显示数据信息及提示报警;
所述设备控制按钮用于实现与用户的交互,包括用户手动对设备的注册或用于对用户口令验证,通过对话输入框实现对系统的参数设置,并将系统功能的参数值以及功能使用状态下发到所述数据处理器和所述微处理器。
6.根据权利要求1所述的一种电力边缘计算安全防护系统,其特征在于,所述的物理基础设施安全防护模块、数据面网关安全防护模块、管理安全防护模块间采用数据链路连接具体是微处理器、数据处理器和核心处理器间以太网连接方式,采用TCP协议。
7.一种电力边缘计算安全防护方法,其特征在于,包括以下步骤:
待接入设备通过接口设备接入系统,微处理器接收到待接入设备的发出的接入请求,通过接口设备采集待接入设备的特征信号和数据信号信息,将采集的所述待接入设备的特征信号和数据信号传送至微处理器,微处理器特征信号进行分析和处理,当特征信号符合信号模型数据库的条件时,所述待接入设备将通过验证,并被微处理器标记为合法设备,所述待接入设备完成自动注册,进行合法设备的特征信号识别,当符合预设的特定信号时,所述待接入设备将被判定为特定设备,特定设备将进行接入接口的绑定;
通过数据链路将已经注册的合法设备的特征信号和数据信号送至数据处理器,完成数据的安全采集;
数据处理器对来自微处理器的数据进行处理,根据用户设置或系统设置,对数据的行为进行分析,当数据的行为不符合用户设置或系统设置时,判定所述数据的行为存在攻击性,数据处理器给微处理器发送阻隔数据的请求,微处理器接收所述请求,注销该设备的验证信息,从根源阻断攻击破坏行为;
当数据的行为符合用户或系统的设置时,判定数据行为正常,分析数据的敏感性,比对敏感性参数和所述数据的特征信息,当特征信息具有的敏感性参数越多,则数据的敏感性程度越高,根据敏感度对数据进行仅加密、仅脱敏、加密与脱敏共三种等级的处理,并对处理后的数据实行分布式存储和传输,通过数据链路将数据状态送到核心处理器;
核心处理器收到用户对该数据的使用请求时,将验证用户口令,用户口令验证失败的数据不能在核心处理器中使用;当用户口令和系统定义的口令吻合时,用户可以使用该数据;
数据在使用过程中,核心处理器会对系统中出现的每条数据状态进行记录与分析,判断系统中数据行为是否符合用户设定的合理行为定义,当判定为非合理行为时,将下发限制数据信号到数据处理器和微处理器,数据处理器将限制数据的传输,微处理器取消数据来源设备的注册信息;
所述敏感性参数包括用户通过用户终端输入的参数和系统参数;
所述特征信号包括设备的ID或者MAC地址、设备的类型、设备的功能;
所述数据信号包括设备采集的数据、请求命令。
8.根据权利要求7所述的一种电力边缘计算安全防护方法,其特征在于,所述信号模型数据库包括自我学习数据库或用户设定的数据库;
所述信号模型数据库包括自我学习数据库或用户设定的信号模型数据库;
所述自我学习数据库是微处理器将设备合法性的判别结果及设备的特征信息输入自我学习算法中,通过自我学习建立的数据库模型得出的信号模型数据库;
所述用户设定的数据库是用户通过用户终端交互,自动输入的信号模型数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011142049.2A CN112291222B (zh) | 2020-10-22 | 2020-10-22 | 一种电力边缘计算安全防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011142049.2A CN112291222B (zh) | 2020-10-22 | 2020-10-22 | 一种电力边缘计算安全防护系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112291222A CN112291222A (zh) | 2021-01-29 |
| CN112291222B true CN112291222B (zh) | 2022-10-28 |
Family
ID=74424675
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011142049.2A Active CN112291222B (zh) | 2020-10-22 | 2020-10-22 | 一种电力边缘计算安全防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112291222B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112905994B (zh) * | 2021-02-22 | 2023-02-03 | 深圳供电局有限公司 | 一种远程漏洞补丁程序防护方法及系统 |
| CN113342712B (zh) * | 2021-05-26 | 2022-08-02 | 博依特(广州)工业互联网有限公司 | 一种边缘计算机网关前端系统 |
| CN113778685A (zh) * | 2021-09-16 | 2021-12-10 | 上海天麦能源科技有限公司 | 一种用于城市燃气管网边缘计算系统的卸载方法 |
| CN116881882B (zh) * | 2023-09-07 | 2023-12-01 | 九一金融信息服务(北京)有限公司 | 一种基于大数据的智能风险控制系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2846795A1 (en) * | 2013-03-22 | 2014-09-22 | F. Hoffmann-La Roche Ag | Method and system ensuring sensitive data are not accessible |
| CN109753360A (zh) * | 2018-12-29 | 2019-05-14 | 南方电网科学研究院有限责任公司 | 面向电力系统中边缘节点的轻量级数据管理系统及方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103309338A (zh) * | 2013-07-09 | 2013-09-18 | 南方电网科学研究院有限责任公司 | 一种基于智能配件的用电管理控制方法及智能配件及控制系统 |
| US20200225655A1 (en) * | 2016-05-09 | 2020-07-16 | Strong Force Iot Portfolio 2016, Llc | Methods, systems, kits and apparatuses for monitoring and managing industrial settings in an industrial internet of things data collection environment |
| CN110691064B (zh) * | 2018-09-27 | 2022-01-04 | 国家电网有限公司 | 一种现场作业终端安全接入防护和检测系统 |
| CN111371730B (zh) * | 2018-12-26 | 2021-11-30 | 中国科学院沈阳自动化研究所 | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 |
| CN110401262B (zh) * | 2019-06-17 | 2021-03-30 | 北京许继电气有限公司 | 基于边缘计算技术的gis设备状态智能监控系统及方法 |
-
2020
- 2020-10-22 CN CN202011142049.2A patent/CN112291222B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2846795A1 (en) * | 2013-03-22 | 2014-09-22 | F. Hoffmann-La Roche Ag | Method and system ensuring sensitive data are not accessible |
| CN109753360A (zh) * | 2018-12-29 | 2019-05-14 | 南方电网科学研究院有限责任公司 | 面向电力系统中边缘节点的轻量级数据管理系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112291222A (zh) | 2021-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112291222B (zh) | 一种电力边缘计算安全防护系统及方法 | |
| US10642715B1 (en) | Dynamic authorization of requested actions using adaptive context-based matching | |
| CN102663278B (zh) | 云计算模式物联网平台数据处理安全保护方法 | |
| CN107026874A (zh) | 一种指令签名与验证方法及系统 | |
| CN112398860A (zh) | 一种安全控制的方法和装置 | |
| CN106330919A (zh) | 一种运维安全审计方法及系统 | |
| CN103248472A (zh) | 一种处理操作请求的方法、系统以及攻击识别装置 | |
| CN108376290B (zh) | 一种金融自助设备维护的控制方法、装置及服务器 | |
| CN109618344A (zh) | 一种无线监控设备的安全连接方法及装置 | |
| CN112968885B (zh) | 一种边缘计算平台安全防护方法和装置 | |
| CN105516211A (zh) | 基于行为模型对访问数据库行为进行识别的方法、设备和系统 | |
| CN105389497A (zh) | 指纹识别的操作界面的安全验证方法及系统 | |
| CN110597691A (zh) | 一种计算机监控系统 | |
| KR101088084B1 (ko) | 전자상거래 불법 침입 감시 및 차단 방법과 시스템 | |
| US20220086649A1 (en) | Partial limitation of a mobile network device | |
| CN113192241A (zh) | 一种开锁方法、系统、装置及可读存储介质 | |
| KR101265474B1 (ko) | 모바일 가상화 서비스를 위한 보안 서비스 제공 방법 | |
| CN112199700A (zh) | 一种mes数据系统的安全管理方法及系统 | |
| CN109615742B (zh) | 一种基于LoRaWAN的无线门禁控制方法及装置 | |
| CN111311863A (zh) | 一种基于无人看守的财务室内安全预警方法 | |
| Braband | What's Security Level got to do with Safety Integrity Level? | |
| KR20220121744A (ko) | 빅데이터 및 인공지능 기반의 IoT 기기조작위험감지 및 이상행위방지 방법 및 이를 수행하는 IoT 모니터링 시스템 | |
| CN106953753B (zh) | 一种基于嵌入硬件模块的专用设备可信监管方法 | |
| CN114338072B (zh) | 一种配电自动化终端Root账户远程登录权限检测方法 | |
| EP4047872A1 (en) | Remote biometric system for monitoring and authorizing the assistance on a computer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |