CN112469044B - 一种异构终端的边缘接入管控方法及控制器 - Google Patents
一种异构终端的边缘接入管控方法及控制器 Download PDFInfo
- Publication number
- CN112469044B CN112469044B CN202011502372.6A CN202011502372A CN112469044B CN 112469044 B CN112469044 B CN 112469044B CN 202011502372 A CN202011502372 A CN 202011502372A CN 112469044 B CN112469044 B CN 112469044B
- Authority
- CN
- China
- Prior art keywords
- service terminal
- service
- access
- legal
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种异构终端的边缘接入管控方法及控制器,其中管控方法包括接入步骤和检测步骤;所述接入步骤包括:标识可信注册:业务终端通过区块链客户端向平台进行注册;标识可信解析:区块链客户端发送包含标识编码的解析请求消息给平台,平台请求区块链网络对所述区块链客户端接入信息服务器进行认证,认证通过后,所述信息服务器向区块链客户端返回所述标识编码所对应的数据信息或URL信息;所述检测步骤包括检测非法业务终端接入、检测伪基站接入和检测异常行为。本发明实现了对非法接入行为控制,保证了业务终端和边缘物联代理间的有效通信。
Description
技术领域
本发明属于信息通信资源虚拟运营领域,特别是涉及一种异构终端的边缘接入管控方法及控制器。
背景技术
传统的电力通信网络承载的业务种类少、业务需求单一,而泛在电力物联网越来越多承载着对内对外的差异化能源服务,“枢纽、平台、共享”泛在电力物联网广泛支持了分布式能源接入、能源优化配置、能源互联共享和能源供需平衡。泛在电力物联网是由“云、管、边、端”ICT资源链形成融合模式,用于承载多种新型区域化综合能源服务。而区域化综合能源服务呈现区域差异化特点以及协同重叠服务,迫切要求电力信息通信解决虚拟运营商的理念,融合信息通信软件可编程技术,将电力信息通信作为虚拟服务资源租赁且提供给不同的业务部门或企业开展业务部署,满足业务间相互隔离但又相互融合的泛在电力物联业务运行需求。
泛在电力物联网业务终端接入方式多样,电力通信网络结构日益复杂,存在不同应用系统之间无法实现数据共享、资源编排分配不合理、本地与云平台协同能力差的问题,给边缘物联代理和云平台协作服务带来困难。此外,智能表计、智能家电等智能电力终端的大量接入,使得电力服务平台被恶意攻击的风险提高,被非法接入和控制的几率增大,平台的稳定性、可靠性也变得更加难以保障。
发明内容
本发明的目的在于克服现有技术的不足,提供一种异构终端的边缘接入管控方法及控制器。
本发明的目的是通过以下技术方案来实现的:一种异构终端的边缘接入管控方法,包括接入步骤和检测步骤;
所述接入步骤包括:
标识可信注册:业务终端通过区块链客户端向平台进行注册;
标识可信解析:区块链客户端发送包含标识编码的解析请求消息给平台,平台请求区块链网络对所述区块链客户端接入信息服务器进行认证,认证通过后,所述信息服务器向区块链客户端返回所述标识编码所对应的数据信息或URL信息;
所述检测步骤包括检测非法业务终端接入、检测伪基站接入和检测异常行为。
优选的,所述标识可信注册包括:
业务终端通过区块链客户端向平台的注册服务器发送第一注册请求,注册服务器根据区块链标识和该业务终端的信息为该业务终端分配标识编码;注册服务器将所述业务终端的标识编码与业务终端所属系统的对应关系发送给平台的解析服务器;
解析服务器记录业务终端所属系统的标识编码,所述业务终端所属系统的标识编码与所述业务终端的标识编码相同,并为所述业务终端所属系统分配发现服务器,并转发所述第一注册请求给发现服务器;
所述发现服务器获取业务终端所属系统对应的信息服务器,并记录所述业务终端的标识编码和信息服务器之间的映射关系,发现服务器向业务终端所属系统返回注册成功的响应消息,所述注册成功的响应消息包括发现服务器的号码,同时将所述业务终端的标识编码写入区块链网络;
当业务终端采集到数据需要上报时,电力业务终端发送第二注册请求给相应的信息服务器,所述第二注册请求包括业务终端的标识编码和采集到的数据;
信息服务器记录业务终端的区块链标识与业务终端上报的元数据和URL的对应关系;
信息服务器将业务终端的区块链标识与业务终端上报的元数据和URL的对应关系的数字摘要写入区块链节点,并将第二注册请求转发给相应的发现服务器;
发现服务器更新业务终端标识的内容,并向区块链客户端返回业务终端注册成功的响应。
优选的,所述标识可信解析包括:
区块链客户端发送包含标识编码的解析请求消息给解析服务器,所述解析请求消息包括业务终端的标识编码;
解析服务器接收到解析请求消息后,查询记录获取该标识编码对应的发现服务器,并转发解析请求消息给所述发现服务器;
发现服务器接收到解析请求消息后,查询记录获取该标识编码对应的信息服务器,并请求区块链网络对区块链客户端接入信息服务器进行认证,认证通过后,发现服务器发送解析请求消息给信息服务器;
信息服务器向区块链客户端返回所述标识编码对应的数据信息或URL信息。
优选的,所述检测非法业务终端接入包括:
获取业务终端的位置信息,判断业务终端的位置信息是否属于预设的合法场景,若业务终端的位置信息不属于合法场景,则拒绝所述业务终端的接入;
若业务终端的位置信息属于合法场景,则判断所述业务终端的MAC地址是否属于预设的MAC白名单,若所述业务终端的MAC地址不属于MAC白名单,则拒绝业务终端的接入;若所述业务终端的MAC地址属于MAC白名单,则允许业务终端的接入。
优选的,判断所述业务终端的MAC地址是否属于预设的MAC白名单包括:
设置服务集标识隐藏模式;
为业务终端配置相应的服务集标识,不同业务终端的服务集标识不同;
判断所述业务终端的MAC地址是否属于MAC白名单,若所述业务终端的MAC地址不属于MAC白名单,则拒绝业务终端的接入;
若所述业务终端的MAC地址属于MAC白名单,则业务终端计算出其服务集标识;
若业务终端正确计算出服务集标识,且知晓对应的接入密码,则允许业务终端的接入,否则拒绝业务终端的接入。
优选的,所述检测伪基站接入包括:
将边缘物联代理设置为哨兵;
若哨兵检测到合法业务终端的物理信号,且平台和业务数据系统没有该合法业务终端的网络和业务数据时,启动哨兵嗅探;
当哨兵嗅探到伪基站的基本服务集标识符时,将该基本服务集标识符上报给安全管控模块,安全管控模块在其合法边缘物联代理基本服务集标识符库中查询,若没有查询到匹配结果,安全管控模块判定该基本服务集标识符非法,识别为伪基站;
安全管控模块将识别伪基站的信息发送给哨兵,哨兵对伪基站进行定位并上报伪基站位置信息,并判断被劫持的合法业务终端;
当定位出伪基站和被劫持的合法业务终端后,由哨兵和合法边缘物联代理发送802.11 De-Auth数据包,打断被该伪基站劫持的所有合法业务终端与伪基站之间的通信连接,恢复合法业务终端与合法边缘物联代理之间的有效接入和数据通信。
优选的,所述检测伪基站接入包括:
将边缘物联代理设置为哨兵;
当哨兵检测到边缘物联代理的生命周期与合法边缘物联代理的生命周期的差异大于阈值,或者边缘物联代理的数据流量超出预设范围时,识别为伪基站,并对所述伪基站进行定位;
利用信号压制技术对伪基站攻击进行处理。
优选的,所述检测异常行为包括异常数据流入侵检测:当合法业务终端接入后,判断所述合法业务终端的数据流是否符合其权限以及业务行为,若所述合法业务终端的数据流不符合其权限以及业务行为,则认为存在非法通信入侵。
优选的,所述检测异常行为包括数据挖掘入侵检测,所述数据挖掘入侵检测包括基于聚类的入侵检测方法、基于离群点挖掘的入侵检测方法和基于关联分析的入侵检测方法。
一种异构终端的边缘接入控制器,包括处理器以及存储器,所述处理器耦合所述存储器,所述处理器在工作时执行存储器中所存储的指令以实现上述的异构终端的边缘接入管控方法。
本发明的有益效果是:本发明结合传统安全认证技术及区块链技术,提出基于边缘计算的异构终端接入方案,满足不同类型终端的快速可信接入和数据的安全传输需求;同时,提出基于边缘代理的终端接入检测和管控方案,通过非法业务终端接入检测、伪基站接入检测和异常行为检测,实现对非法接入行为控制,保证业务终端和边缘物联代理间的有效通信。
附图说明
图1为本发明中接入步骤的一种流程示意图;
图2为本发明中标识可信注册的一种流程示意图;
图3为本发明中标识可信解析的一种流程示意图;
图4为根据业务终端的MAC地址生成服务集标识的一种示意图;
图5为通过白名单检测非法终端的一种示意图;
图6为面向非法基本服务集标识符的基于哨兵模式的伪基站攻击检测机制示意图。
具体实施方式
下面将结合实施例,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1-6,本发明提供一种异构终端的边缘接入管控方法及控制器:
一种异构终端的边缘接入管控方法,包括接入步骤和检测步骤。
如图1所示,所述接入步骤包括标识可信注册和标识可信解析。
所述标识可信注册包括:业务终端通过区块链客户端向平台进行注册。
如图2所示,具体的,标识可信注册包括:
业务终端通过区块链客户端向平台的注册服务器发送第一注册请求,注册服务器根据区块链标识和该业务终端的信息为该业务终端分配标识编码,所述业务终端的信息包括业务终端的ID,该标识编码记为{BCNS_ID}。
注册服务器将所述业务终端的标识编码与业务终端所属系统的对应关系发送给平台的解析服务器。
解析服务器记录业务终端所属系统的标识编码,所述业务终端所属系统的标识编码与所述业务终端的标识编码相同,并为所述业务终端所属系统分配发现服务器(DS,Discovery Server),并转发所述第一注册请求给发现服务器,所述解析服务器记录的内容为RecordDS={BCNS_ID,DSa},其中,BCNS_ID表示所述业务终端的标识编码,DSa表示为所述业务终端所属系统分配发现服务器。
所述发现服务器获取业务终端所属系统对应的信息服务器(IS,InformationServer),并记录所述业务终端的标识编码和信息服务器之间的映射关系,即,在发现服务器中增加记录RecordIS={BCNS_ID,ISa},其中ISa表示业务终端所属系统对应的信息服务器;发现服务器向业务终端所属系统返回注册成功的响应消息,所述注册成功的响应消息包括发现服务器的号码{BCNS_ID,DSa},同时将所述业务终端的标识编码写入区块链网络。
当业务终端采集到数据需要上报时,电力业务终端发送第二注册请求给相应的信息服务器,所述第二注册请求包括业务终端的标识编码和采集到的数据{BCNS_ID1,Data},其中,BCNS_ID1表示业务终端发送注册请求的标识编码。
信息服务器记录业务终端的区块链标识与业务终端上报的元数据和URL的对应关系,即记录业务终端的区块链标识与业务终端上报的元数据的对应关系,以及业务终端的区块链标识与URL的对应关系,信息服务器记录的内容为RecordData={BCNS_ID1,ISa,Data,URL},其中,Data表示业务终端上报的元数据。
信息服务器将业务终端的区块链标识与业务终端上报的元数据和URL的对应关系的数字摘要写入区块链节点,并将第二注册请求转发给相应的发现服务器。
发现服务器更新业务终端标识的内容为RecordIS={BCNS_ID1,ISa},并向区块链客户端返回业务终端注册成功的响应。
所述标识可信解析包括:区块链客户端发送包含标识编码的解析请求消息给平台,平台请求区块链网络对所述区块链客户端接入信息服务器进行认证,认证通过后,所述信息服务器向区块链客户端返回所述标识编码所对应的数据信息或URL信息
如图3所示,具体的,所述标识可信解析包括:
区块链客户端发送包含标识编码的解析请求消息给解析服务器,所述解析请求消息包括业务终端的标识编码{BCNS_ID}。
解析服务器接收到解析请求消息后,查询记录获取该标识编码对应的发现服务器,并转发解析请求消息给所述发现服务器。
发现服务器接收到解析请求消息后,查询记录获取该标识编码对应的信息服务器,并请求区块链网络对区块链客户端接入信息服务器进行认证,认证通过后,发现服务器发送解析请求消息给信息服务器。
信息服务器向区块链客户端返回所述标识编码对应的数据信息或URL信息。
一些实施例中,基于区块链的标识拥有者可以完全开放数据资源访问权,也可以通过适当的自定义机制使区块链客户端获取相应的数据资源的访问权,区块链客户端也可以通过智能合约的方式,在智能合约的控制下由网络推送与某标识相关的数据给其他区块链客户端。
所述区块链客户端负责已接入多模通信终端的所有业务终端身份标识发放,在侧链上的注册以及可信接入;区块链客户端还负责各接入业务终端的数据读取、数据存储、密钥生成、密钥管理与数据加密传输上链等功能,实现基于多模通信终端的多业务终端数据统一上链。
所述检测步骤包括检测非法业务终端接入、检测伪基站接入和检测异常行为。
所述检测非法业务终端接入包括限制接入范围、设置白名单等。
限制接入范围:获取业务终端的位置信息,判断业务终端的位置信息是否属于预设的合法场景,若业务终端的位置信息不属于合法场景,则拒绝所述业务终端的接入。
对于非法业务终端接入,通过限制边缘物联代理对于业务终端的接入范围来缩小非法业务终端接入的场景范围,提高非法业务终端的接入难度,降低非法业务终端接入的概率。
边缘物联代理的接入功率动态调整并屏蔽低速传输,结合边缘物联代理的业务终端动态定位技术,业务终端在合法场景内或者非常接近才能接入,这样使得非法业务终端接入的监测范围进一步缩小。
同时,结合统一部署、统一制式的全业务泛在电力物联网边缘物联代理的业务终端接入数据采集和轨迹分析,可以重点关注从外部进入通信场景范围的终端设备,进一步缩小和明确需要监测的非法业务终端的检测范围,提升非法业务终端接入的检测及时性和准确率。
设置白名单:若业务终端的位置信息属于合法场景,则判断所述业务终端的MAC地址是否属于预设的MAC白名单,若所述业务终端的MAC地址不属于MAC白名单,则拒绝业务终端的接入;若所述业务终端的MAC地址属于MAC白名单,则允许业务终端的接入。
本实施例通过可编程的无线管理逻辑,实现专业灵活的边缘物联代理服务集标识(Service Set Identifier,SSID)感知模式设置,来提高非法业务终端接入边缘物联代理的难度。
在一些实施例中,除了边缘物联代理自动向外广播其服务集标识以外,还可以设置服务集标识隐藏模式,使得服务集标识无法为非法业务终端自动感知,需要接入的终端自动配置服务集标识感知方式。在服务集标识隐藏模式下,为业务终端配置相应的服务集标识(服务集标识可根据业务终端的MAC地址按现有算法生成,如图4所示),不同业务终端的服务集标识不同。判断所述业务终端的MAC地址是否属于MAC白名单,若所述业务终端的MAC地址不属于MAC白名单,则拒绝业务终端的接入;若所述业务终端的MAC地址属于MAC白名单,则业务终端计算出其服务集标识;若业务终端正确计算出服务集标识,且知晓对应的接入密码,则允许业务终端的接入,否则拒绝业务终端的接入,如图5所示,图中STA1表示第一合法业务终端,STA2表示第二合法业务终端。
在一些实施例中,当非法业务终端伪造在业务终端白名单中的MAC地址时(默认该伪造MAC地址的非法终端拥有其所接入边缘物联代理正确的服务集标识,并知晓对应的密码)时,结合物联网管理平台的安全管控模块从系统级全面感知测量业务终端的接入情况,有效识别非法业务终端的接入。
当具有相同MAC地址的不同业务终端接入到不同的物理边缘物联代理时,必然存在一个非法业务终端伪造了某个业务终端白名单库中的MAC地址,并接入了全业务泛在电力物联网,可直接得出存在非法业务终端接入的结果。此时,可通过哨兵主动感知模式,让部分边缘物联代理扮演哨兵的功能,进行业务终端接入连接主动检测,结合进一步的用户数据流和行为分析、权限控制等手段,检测出具体的非法业务终端,并采取相应的安全接入控制手段。
当具有相同MAC地址的不同业务终端接入到同一物理边缘物联代理时,多个业务终端将会引起终端数据的频繁接入现象,对于该边缘物联代理而言,该MAC地址下的业务终端的接入频率将明显异于其接入的其它业务终端的接入频率,特别是存在同类型的业务终端的情况下。可以根据此种现象,结合终端类型的不同,发现非法业务终端接入。此时,可以通过其它扩展方式进行非法业务终端识别,诸如可扩展至利用硬件特征识别与认证方式,如终端信号指纹(无线设备信号强度)、时钟偏移、流量轨迹等。
对于伪基站接入的检测,采用基于SDN架构的无线通信技术支持高度的接入控制和智能无线感知,通过哨兵模式,执行实时异常感知/压制,动态模式切换来监测并防护非法边缘物联代理劫持合法业务终端。通过冗余部署部分边缘物联代理作为哨兵模式,实时感知无线信道异常,发现非法边缘物联代理并进行抑制。当网络空闲时,将更多的边缘物联代理可切换为哨兵模式;当网络繁忙或部分边缘物联代理故障时,可动态切换为正常边缘物联代理模式。
当伪基站的基本服务集标识符(Basic Service Set Identifier,BSSID)不在安全管控模块(MCS)合法边缘物联代理基本服务集标识符库(每个边缘物联代理都有一个基本服务集标识符,相当于设备的MAC地址)中时,物联网管理平台和电网业务数据系统中无法获取被劫持的业务终端的数据,表现为业务终端掉线。此时,如图6所示,所述检测伪基站接入包括:将边缘物联代理设置为哨兵;若哨兵检测到合法业务终端的物理信号,且平台和业务数据系统没有该合法业务终端的网络和业务数据时,启动哨兵嗅探;当哨兵嗅探到伪基站的基本服务集标识符时,将该基本服务集标识符上报给安全管控模块,安全管控模块在其合法边缘物联代理基本服务集标识符库中查询,若没有查询到匹配结果,安全管控模块判定该基本服务集标识符非法,识别为伪基站;安全管控模块将识别伪基站的信息发送给哨兵,哨兵对伪基站进行定位并上报伪基站位置信息,并判断被劫持的合法业务终端;当定位出伪基站和被劫持的合法业务终端后,由哨兵和合法边缘物联代理发送802.11 De-Auth数据包,打断被该伪基站劫持的所有合法业务终端与伪基站之间的通信连接,恢复合法业务终端与合法边缘物联代理之间的有效接入和数据通信。
当伪基站的基本服务集标识符在安全管控模块(MCS)合法边缘物联代理基本服务集标识符库中时,所述检测伪基站接入包括:将边缘物联代理设置为哨兵;当哨兵检测到边缘物联代理的生命周期与合法边缘物联代理的生命周期的差异大于阈值,或者边缘物联代理的数据流量超出预设范围时,识别为伪基站,并对所述伪基站进行定位,例如,可以为通过虚拟业务终端、哨兵等设备的流量漫游切换、连接轮询、虚拟终端接入等方式定位并识别伪基站攻击;利用信号压制技术对伪基站攻击进行处理,将此类安全事件的危害降到最低,确保泛在业务切片式安全可信接入网络的正常有效运行。
所述检测异常行为包括异常数据流入侵检测方法和数据挖掘入侵检测方法。
所述异常数据流入侵检测方法基于DPI引擎,通过协议解析进行网络测量、网络性能和用户行为感知,分析业务终端通信数据流中存在异常情形并进行监测。具体的:
当合法业务终端接入后,如果该合法业务终端的使用人员或者使用程序存在非法行为和非法目的,则会产生非法的控制和访问数据,此种非法通信入侵监测,即可通过异常数据检测方式来实现。检测方法为::当合法业务终端接入后,判断所述合法业务终端的数据流是否符合其权限(如业务权限、访问权限、控制权限等)以及业务行为,若所述合法业务终端的数据流不符合其权限以及业务行为,则认为存在非法通信入侵。
当在接入前没有发现非法业务终端的接入时,还可以在其接入后根据其非法数据行为对其进行入侵检测。非法业务终端接入后,其不可能完全感知其仿冒的业务终端的全部权限,所以其极其可能违反安全管控模块为其所代表的业务终端类型设置的权限和业务行为。通过同样的权限控制、流量解析、流量分析、业务分析等异常检测手段即可监测到非法业务终端的异常数据,发现非法通信入侵,进一步加强非法通信入侵监测能力。
此时,对于白名单而言,可不局限于终端的MAC地址,可以扩展至业务和数据属性,包括IP、IPv6地址位置标识、端口、域名、协议、数据特征串、访问权限、设备类型、地理位置等。
所述数据挖掘入侵检测包括基于聚类的入侵检测方法、基于离群点挖掘的入侵检测方法和基于关联分析的入侵检测方法。
基于聚类的入侵检测方法:在基于聚类的入侵检测中,利用聚类算法对无类别标签的数据集进行分析,然后根据数据的特性来判断其是否代表异常行为。入侵检测领域常用的聚类算法有k-means、自组织特征映射、DBSCAN等。
基于离群点挖掘的入侵检测方法:在基于离群点挖掘的入侵检测中,通常将入侵行为数据视为与正常行为数据不同的离群点,利用离群点挖掘技术将这些入侵行为数据挖掘出来。
基于关联分析的入侵检测方法:在基于关联分析的入侵检测中,通常先运用关联规则挖掘算法从数据集中挖掘出关联规则,然后将这些关联规则用于入侵检测。在入侵检测领域常用的关联规则算法有:Apriori算法和 FP-growth算法等。
一种异构终端的边缘接入控制器,包括处理器以及存储器,所述处理器耦合所述存储器,所述处理器在工作时执行存储器中所存储的指令以实现上述异构终端的边缘接入管控方法。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (9)
1.一种异构终端的边缘接入管控方法,其特征在于,包括接入步骤和检测步骤;
所述接入步骤包括:
标识可信注册:业务终端通过区块链客户端向平台进行注册;
标识可信解析:区块链客户端发送包含标识编码的解析请求消息给平台,平台请求区块链网络对所述区块链客户端接入信息服务器进行认证,认证通过后,所述信息服务器向区块链客户端返回所述标识编码所对应的数据信息或URL信息;
所述检测步骤包括检测非法业务终端接入、检测伪基站接入和检测异常行为;
所述标识可信注册包括:
业务终端通过区块链客户端向平台的注册服务器发送第一注册请求,注册服务器根据区块链标识和该业务终端的信息为该业务终端分配标识编码;注册服务器将所述业务终端的标识编码与业务终端所属系统的对应关系发送给平台的解析服务器;
解析服务器记录业务终端所属系统的标识编码,所述业务终端所属系统的标识编码与所述业务终端的标识编码相同,并为所述业务终端所属系统分配发现服务器,并转发所述第一注册请求给发现服务器;
所述发现服务器获取业务终端所属系统对应的信息服务器,并记录所述业务终端的标识编码和信息服务器之间的映射关系,发现服务器向业务终端所属系统返回注册成功的响应消息,所述注册成功的响应消息包括发现服务器的号码,同时将所述业务终端的标识编码写入区块链网络;
当业务终端采集到数据需要上报时,电力业务终端发送第二注册请求给相应的信息服务器,所述第二注册请求包括业务终端的标识编码和采集到的数据;
信息服务器记录业务终端的区块链标识与业务终端上报的元数据和URL的对应关系;
信息服务器将业务终端的区块链标识与业务终端上报的元数据和URL的对应关系的数字摘要写入区块链节点,并将第二注册请求转发给相应的发现服务器;
发现服务器更新业务终端标识的内容,并向区块链客户端返回业务终端注册成功的响应。
2.根据权利要求1所述的一种异构终端的边缘接入管控方法,其特征在于,所述标识可信解析包括:
区块链客户端发送包含标识编码的解析请求消息给解析服务器,所述解析请求消息包括业务终端的标识编码;
解析服务器接收到解析请求消息后,查询记录获取该标识编码对应的发现服务器,并转发解析请求消息给所述发现服务器;
发现服务器接收到解析请求消息后,查询记录获取该标识编码对应的信息服务器,并请求区块链网络对区块链客户端接入信息服务器进行认证,认证通过后,发现服务器发送解析请求消息给信息服务器;
信息服务器向区块链客户端返回所述标识编码对应的数据信息或URL信息。
3.根据权利要求1所述的一种异构终端的边缘接入管控方法,其特征在于,所述检测非法业务终端接入包括:
获取业务终端的位置信息,判断业务终端的位置信息是否属于预设的合法场景,若业务终端的位置信息不属于合法场景,则拒绝所述业务终端的接入;
若业务终端的位置信息属于合法场景,则判断所述业务终端的MAC地址是否属于预设的MAC白名单,若所述业务终端的MAC地址不属于MAC白名单,则拒绝业务终端的接入;若所述业务终端的MAC地址属于MAC白名单,则允许业务终端的接入。
4.根据权利要求3所述的一种异构终端的边缘接入管控方法,其特征在于,判断所述业务终端的MAC地址是否属于预设的MAC白名单包括:
设置服务集标识隐藏模式;
为业务终端配置相应的服务集标识,不同业务终端的服务集标识不同;
判断所述业务终端的MAC地址是否属于MAC白名单,若所述业务终端的MAC地址不属于MAC白名单,则拒绝业务终端的接入;
若所述业务终端的MAC地址属于MAC白名单,则业务终端计算出其服务集标识;
若业务终端正确计算出服务集标识,且知晓对应的接入密码,则允许业务终端的接入,否则拒绝业务终端的接入。
5.根据权利要求1所述的一种异构终端的边缘接入管控方法,其特征在于,所述检测伪基站接入包括:
将边缘物联代理设置为哨兵;
若哨兵检测到合法业务终端的物理信号,且平台和业务数据系统没有该合法业务终端的网络和业务数据时,启动哨兵嗅探;
当哨兵嗅探到伪基站的基本服务集标识符时,将该基本服务集标识符上报给安全管控模块,安全管控模块在其合法边缘物联代理基本服务集标识符库中查询,若没有查询到匹配结果,安全管控模块判定该基本服务集标识符非法,识别为伪基站;
安全管控模块将识别伪基站的信息发送给哨兵,哨兵对伪基站进行定位并上报伪基站位置信息,并判断被劫持的合法业务终端;
当定位出伪基站和被劫持的合法业务终端后,由哨兵和合法边缘物联代理发送802.11De-Auth数据包,打断被该伪基站劫持的所有合法业务终端与伪基站之间的通信连接,恢复合法业务终端与合法边缘物联代理之间的有效接入和数据通信。
6.根据权利要求1所述的一种异构终端的边缘接入管控方法,其特征在于,所述检测伪基站接入包括:
将边缘物联代理设置为哨兵;
当哨兵检测到边缘物联代理的生命周期与合法边缘物联代理的生命周期的差异大于阈值,或者边缘物联代理的数据流量超出预设范围时,识别为伪基站,并对所述伪基站进行定位;
利用信号压制技术对伪基站攻击进行处理。
7.根据权利要求1所述的一种异构终端的边缘接入管控方法,其特征在于,所述检测异常行为包括异常数据流入侵检测:当合法业务终端接入后,判断所述合法业务终端的数据流是否符合其权限以及业务行为,若所述合法业务终端的数据流不符合其权限以及业务行为,则认为存在非法通信入侵。
8.根据权利要求1所述的一种异构终端的边缘接入管控方法,其特征在于,所述检测异常行为包括数据挖掘入侵检测,所述数据挖掘入侵检测包括基于聚类的入侵检测方法、基于离群点挖掘的入侵检测方法和基于关联分析的入侵检测方法。
9.一种异构终端的边缘接入控制器,其特征在于,包括处理器以及存储器,所述处理器耦合所述存储器,所述处理器在工作时执行存储器中所存储的指令以实现权利要求1-8中任意一项所述的异构终端的边缘接入管控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011502372.6A CN112469044B (zh) | 2020-12-17 | 2020-12-17 | 一种异构终端的边缘接入管控方法及控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011502372.6A CN112469044B (zh) | 2020-12-17 | 2020-12-17 | 一种异构终端的边缘接入管控方法及控制器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112469044A CN112469044A (zh) | 2021-03-09 |
| CN112469044B true CN112469044B (zh) | 2023-07-11 |
Family
ID=74803891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011502372.6A Active CN112469044B (zh) | 2020-12-17 | 2020-12-17 | 一种异构终端的边缘接入管控方法及控制器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112469044B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363367B (zh) * | 2021-12-09 | 2023-12-01 | 广东电网有限责任公司 | 一种基于边缘物联代理的业务处理方法及系统 |
| WO2023141821A1 (zh) * | 2022-01-26 | 2023-08-03 | 北京小米移动软件有限公司 | 通信方法及装置、电子设备及存储介质 |
| CN114697104A (zh) * | 2022-03-28 | 2022-07-01 | 国网山东省电力公司信息通信公司 | 一种基于边缘物联代理数据交互终端识别接入方法 |
| CN115118449B (zh) * | 2022-05-13 | 2023-06-27 | 国网浙江省电力有限公司信息通信分公司 | 一种面向能源互联网安全高效交互的边缘代理服务器 |
| CN115811703B (zh) * | 2022-11-26 | 2023-07-14 | 广州市柯洱斯电子有限责任公司 | Pos机使用区域限制管理方法、系统及其可读介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110035097A (zh) * | 2018-01-12 | 2019-07-19 | 广州中国科学院计算机网络信息中心 | 区块链与物联网标识相结合的异构标识解析方法及系统 |
| WO2019225850A1 (ko) * | 2018-05-23 | 2019-11-28 | 인포뱅크 주식회사 | 제증명 정보 처리 방법 및 그 장치 |
| CN110995664A (zh) * | 2019-11-15 | 2020-04-10 | 国网河南省电力公司信息通信公司 | 基于区块链的物联网异构标识解析系统及方法 |
| CN111190936A (zh) * | 2019-12-12 | 2020-05-22 | 中国科学院计算机网络信息中心 | 一种基于区块链技术的可信标识关联关系查询方法及相应存储介质与电子装置 |
| WO2020114385A1 (zh) * | 2018-12-05 | 2020-06-11 | 阿里巴巴集团控股有限公司 | 一种基于区块链网络的可信节点确定方法和装置 |
| CN111368230A (zh) * | 2020-02-19 | 2020-07-03 | 北京邮电大学 | 一种基于区块链的工业互联网标识的处理方法及装置 |
-
2020
- 2020-12-17 CN CN202011502372.6A patent/CN112469044B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110035097A (zh) * | 2018-01-12 | 2019-07-19 | 广州中国科学院计算机网络信息中心 | 区块链与物联网标识相结合的异构标识解析方法及系统 |
| WO2019225850A1 (ko) * | 2018-05-23 | 2019-11-28 | 인포뱅크 주식회사 | 제증명 정보 처리 방법 및 그 장치 |
| WO2020114385A1 (zh) * | 2018-12-05 | 2020-06-11 | 阿里巴巴集团控股有限公司 | 一种基于区块链网络的可信节点确定方法和装置 |
| CN110995664A (zh) * | 2019-11-15 | 2020-04-10 | 国网河南省电力公司信息通信公司 | 基于区块链的物联网异构标识解析系统及方法 |
| CN111190936A (zh) * | 2019-12-12 | 2020-05-22 | 中国科学院计算机网络信息中心 | 一种基于区块链技术的可信标识关联关系查询方法及相应存储介质与电子装置 |
| CN111368230A (zh) * | 2020-02-19 | 2020-07-03 | 北京邮电大学 | 一种基于区块链的工业互联网标识的处理方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 基于区块链的电力泛在业务接入网关的研究;杨晗竹等;广东电力(第08期);全文 * |
| 泛在电力物联网可信安全接入方案;吴金宇等;计算机与现代化(第04期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112469044A (zh) | 2021-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112469044B (zh) | 一种异构终端的边缘接入管控方法及控制器 | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| CN108306893B (zh) | 一种自组网络的分布式入侵检测方法和系统 | |
| US8918875B2 (en) | System and method for ARP anti-spoofing security | |
| CN102204170B (zh) | 用于网络入侵检测的方法和设备 | |
| WO2019237813A1 (zh) | 一种服务资源的调度方法及装置 | |
| US8402134B1 (en) | System and method for locating lost electronic devices | |
| US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
| JP6973227B2 (ja) | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム | |
| US20210092610A1 (en) | Method for detecting access point characteristics using machine learning | |
| CN110933048B (zh) | 一种基于报文识别异常应用操作的方法和设备 | |
| CN101521885B (zh) | 一种权限控制方法、系统及设备 | |
| EP4044505B1 (en) | Detecting botnets | |
| CN114363091A (zh) | 一种基于apisix实现平台应用统一登录的方法及系统 | |
| US20240089178A1 (en) | Network service processing method, system, and gateway device | |
| JP2002297543A (ja) | 不正ログイン検出装置 | |
| CN112153645B (zh) | 防蹭网方法和装置、路由器 | |
| US11553347B2 (en) | Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program | |
| EP2608097A1 (en) | System and method for locating lost electronic devices | |
| CN109729043B (zh) | 阻止攻击消息的方法、装置和系统 | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| KR101075234B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 컨텐츠 제공 서버 | |
| CN111510443A (zh) | 基于设备画像的终端监测方法和终端监测装置 | |
| CN113055427A (zh) | 一种基于业务的服务器集群接入方法及装置 | |
| CN113630782B (zh) | 无线共享检测方法、装置、系统及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210716 Address after: 110 000 No. 18 Ningbo Road, Heping District, Shenyang, Liaoning Province Applicant after: INFORMATION COMMUNICATION BRANCH, STATE GRID LIAONING ELECTRIC POWER Co.,Ltd. Applicant after: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd. Applicant after: STATE GRID INFO-TELECOM GREAT POWER SCIENCE AND TECHNOLOGY Co.,Ltd. Applicant after: STATE GRID CORPORATION OF CHINA Address before: 110 000 No. 18 Ningbo Road, Heping District, Shenyang, Liaoning Province Applicant before: INFORMATION COMMUNICATION BRANCH, STATE GRID LIAONING ELECTRIC POWER Co.,Ltd. Applicant before: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd. Applicant before: STATE GRID INFO-TELECOM GREAT POWER SCIENCE AND TECHNOLOGY Co.,Ltd. Applicant before: Sichuan Chuangshi huaruan Technology Co.,Ltd. Applicant before: STATE GRID CORPORATION OF CHINA |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |