CN114745444A - 基于5g网络流量分析的调控业务访问控制方法及系统 - Google Patents

Abstract

本发明公开了基于5G网络流量分析的调控业务访问控制方法和系统，获取5G调控终端执行通信交互操作的时间和特定自处理操作所需的时间，将获得的通信交互操作的时间和特定自处理操作所需的时间与预先生成的终端特征画像进行比对，比对误差小于阈值则终端通过安全认证，将所述业务访问请求转发至5G调控终端的业务访问请求报文中目标地址对应的调控业务主站系统。本发明通过实时对比5G调控终端的通信负载画像和自处理负载画像，判断终端是否安全可信，实现非侵入式的可信任的增强访问，满足了用户侧5G业务终端无改造的可信接入要求，在提升用户的体验感的同时，能保证调控业务主站系统应用资源的安全性。

Description

基于5G网络流量分析的调控业务访问控制方法及系统

技术领域

本发明涉及智能电网安全技术领域，特别是一种基于5G网络流量分析的电力调控业务访问控制方法及系统。

背景技术

近年来5G网络发展迅速，电力调控业务的承载网络将由调度数据网的专网模式，演变成“调度数据网专网+5G公共网络”的模式。基于5G公共网络通信的5G调控业务终端进行业务访问时的网络安全问题变得越来越重要。传统的电力调控网络安全结构是基于网络的物理边界进行防护的，在融合5G公共网络的场景下，不能完全适用。

随着新型电力系统的发展，5G调控终端的形态将会多种多样，未来可能出现部署在用户侧，完全由用户管理的终端。如果按照电力调控网络传统安全防护方式，需要在终端上安装加密卡，通过安全接入网关进行身份认证和数据加解密，对终端的改造较大，给用户业务访问带来不便，用户体验不友好。

发明内容

本发明的目的是提供一种基于5G网络流量分析的电力调控业务访问控制方法及系统，以解决现有技术中对5G调控终端访问调控业务系统进行安全防护时需对终端进行侵入式改造的问题。本发明采用的技术方案如下。

一方面，本发明提供基于5G网络流量分析的调控业务访问控制方法，包括：

获取5G调控终端发送的业务访问请求报文；获取 5G调控终端执行通信交互操作的时间和特定自处理操作所需的时间；

将获得的通信交互操作的时间和特定自处理操作所需的时间与预先生成的终端特征画像进行比对，根据比对结果确定所述调控终端是否通过安全认证；

在确定出所述调控终端通过安全认证时，将所述业务访问请求报文转发至所述业务访问请求报文中目标地址对应的调控业务主站系统。

进一步地，所述5G调控终端发送的业务访问请求报文通过UPF发送过来，所述UPF接收5G调控终端发送的业务访问请求报文，根据业务访问请求报文中的目标地址和就近原则转发业务访问请求报文。

进一步地，所述通信交互操作通过通信五元组确定，所述通信五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议。

进一步地，获取5G调控终端执行通信交互操作的时间包括：

下发需要5G调控终端响应的执行特定自处理操作的指令，计算当前发送时间T1；

收到5G调控终端响应报文时，计算当前接收时间T2；

获取5G调控终端执行特定自处理操作的时间ΔT；

根据当前发送时间T1、当前接收时间T2以及5G调控终端执行特定自处理操作的时间ΔT确定所述5G调控终端的通信交互操作的时间。

进一步地，生成终端特征画像的方法包括：

将所有终端特定自处理操作和通信交互操作作为终端的各个属性，将执行各操作的时间作为属性的值，对属性和其对应的值进行向量化处理获得特征信息；

根据数据离散化计算得到值的大小对特征信息进行排序；

对每个特征信息都采用训练获得的支持向量机进行终端识别，找到识别准确率满足要求且向量个数最小的特征信息集合作为最小特征子集；所述支持向量机用于根据终端的属性、属性对应的值识别对应的终端；

对最小特征子集按照向量化规则进行逆向量化，得到最终确定的终端特征画像。

进一步地，所述控制方法还包括调控业务主站系统接收到业务访问请求报文后对5G通信终端进行用户身份认证和/或权限鉴别，根据认证或鉴别结果对5G调控终端的业务访问请求进行业务访问请求服务响应。

进一步地，所述控制方法还包括实时获取5G网络性能参数，包括切片上下行平均速率、UPF性能以及数据吞吐容量，根据获取的网络性能参数对终端的通信交互操作的时间进行修正；并根据修正结果更新终端特征画像。

进一步地，若比对结果的误差大于等于阈值则5G调控终端未通过安全认证，拒绝其业务访问请求。

第二方面，本发明还提供了基于5G网络流量分析的调控业务访问控制系统，包括MEC；

所述MEC，用于获取5G调控终端发送的业务访问请求报文；获取 5G调控终端执行通信交互操作的时间和特定自处理操作所需的时间；将获得的通信交互操作的时间和特定自处理操作所需的时间与预先生成的终端特征画像进行比对，根据比对结果确定所述调控终端是否通过安全认证；

在确定出所述调控终端通过安全认证时，将所述业务访问请求报文转发至所述业务访问请求报文中目标地址对应的调控业务主站系统。

进一步地，所述系统还包括5G调控终端和UPF，所述5G调控终端，用于通过5G基站和UPF向MEC发送针对电力调控业务主站系统的业务访问请求报文，所述业务访问请求报文中包含所述5G调控终端请求访问的目标地址；

所述5G基站，用于获取5G调控终端针对电力调控业务主站系统的业务访问请求，根据所述业务访问请求和所述5G调控终端的信息生成业务访问请求报文并发送给UPF;

所述UPF，用于接收5G调控终端发送的业务访问请求报文，根据5G调控终端业务访问请求报文中的目标地址和就近原则向MEC转发5G调控终端的业务访问请求报文。

进一步地，所述系统还包括调控业务主站系统；

所述调控业务主站系统，用于根据接收到业务访问请求报文后对5G通信终端进行用户身份认证和/或权限鉴别，根据认证或鉴别结果对5G调控终端的业务访问请求进行服务响应。

进一步地，所述MEC获取5G调控终端执行通信交互操作的时间，包括：

MEC下发需要5G调控终端响应的执行特定自处理操作的指令，计算当前发送时间T1；

MEC收到5G调控终端响应报文时，计算当前接收时间T2；

获取5G调控终端执行特定自处理操作的时间ΔT；

根据当前发送时间T1、当前接收时间T2以及5G调控终端执行特定自处理操作的时间ΔT确定所述指令的通信交互操作的时间。

进一步地，所述MEC还用于生成终端特征画像，生成终端特征画像的方法包括：

将所有终端特定自处理操作和通信交互操作作为终端的各个属性，将执行各操作的时间作为属性的值，对属性和其对应的值进行向量化处理获得特征信息；

根据数据离散化计算得到值的大小对特征信息进行排序；

对每个特征信息都采用训练获得的支持向量机进行终端识别，找到识别准确率满足要求且向量个数最小的特征信息集合作为最小特征子集；所述支持向量机用于根据终端的属性、属性对应的值识别对应的终端；

对最小特征子集按照向量化规则进行逆向量化，得到最终确定的终端特征画像。

本发明所取得的有益技术效果：

本实施例融合5G网络、边缘计算和流量分析，在边缘计算节点上部署流量分析子系统，将流量分析网关下沉至MEC，通过实时对比5G调控终端的通信负载画像和自处理负载画像，判断终端是否安全可信，实现非侵入式的可信任的增强访问，满足了用户侧5G业务终端无改造的可信接入要求，在提升用户的体验感的同时，能保证调控业务主站系统应用资源的安全性；

实时监测5G网络状态，根据获取的网络性能参数对终端的通信交互操作的时间进行修正；并根据修正结果更新终端特征画像；使能够实现根据网络性能进行实时调整，提高访问控制的灵活性和安全性。

附图说明

图1为本发明实施例提供的业务访问控制方法流程示意图；

图2为本发明实施例提供的业务访问控制系统框图；

图3为本发明实施例提供的业务访问控制系统结构示意图。

具体实施方式

以下结合附图和具体实施例进一步描述。

本发明涉及一种基于5G网络流量分析的调控业务访问控制方法，判断调控业务系统中的5G终端设备本身是否可信，确保电力调控业务系统网络安全。

实施例1：基于5G网络流量分析的调控业务访问控制方法，如图1所示，包括：

步骤1：在5G调控终端上部署运行业务处理测试软件和通信交互测试软件，业务处理测试软件涵盖终端执行的特定自处理操作集，测量终端完成这些操作所需的时间；这些特定自处理操作不需要与外部交互，属于终端利用自身CPU、内存、缓冲区进行的各种自处理过程。通信交互测试软件需要涵盖终端与主站系统的所有通信交互，比如采集数据上送、遥控指令接收等。

步骤2：在MEC上部署流量分析子系统。

流量分析子系统获取5G调控终端特定自处理操作所需的时间。可选地，所述流量分析子系统与5G调控终端进行通信，获取所述5G调控终端上运行业务处理测试软件测量获得的该终端执行特定自处理操作的时间。

在5G调控业务终端上运行通信交互测试软件，与MEC进行通信交互；MEC上的流量分析子系统依托通信五元组对通信交互过程进行记录、采样，不同位置的终端通信交互过程所需的时间有差异，依托5G终端与MEC通信的五元组测量记录终端与MEC通信所花费的时间。

步骤3：将获得的通信交互操作的时间和特定自处理操作所需的时间与预先生成的终端特征画像进行比对，比对误差小于阈值则终端通过安全认证，将所述业务访问请求转发至5G调控终端的业务访问请求报文中目标地址对应的调控业务主站系统。

在具体实施例中，所述通信交互时间的计算方法如下：

1）在MEC中下发需要终端响应的指令A，计算当前发送时间T1；

2）在MEC收到终端响应报文时，计算当前接收时间T2；

3）通过步骤1记录终端响应指令的时间ΔT；

4）通过公式T1-T2-ΔT计算指令A的通信交互时间。

可选地，生成终端特征画像具体方法如下：

1）每个自处理操作和每个通信五元组都是终端的一个属性，而操作和交互所需的时间数值则是该属性的值，将终端属性和值进行向量化处理，输入到支持向量机（SVM）中；支持向量机（SVM）中输出属性及其值对应的终端；

2）根据Chimerge算法(数据离散化)计算得到值的大小对输入的向量中的特征信息进行排序；

3）对每一个特征信息都使用SVM进行验证其终端识别结果的准确率，找到准确率和完整特征项的识别结果相差无几并且向量个数最少的集合，作为最小特征子集。

4）对最小特征子集按照向量化规则进行逆向量化，得到精简后的终端特征画像。

所述终端特征画像可以理解为一个二维表格，反映终端各个属性的值。

实施例2：在以上实施例的基础上，本实施例中，考虑到5G网络的波动性，流量分析子系统与运营商提供的能力开放接口进行连接，实时获取5G网络的切片上下行平均速率、UPF性能、数据吞吐容量等性能参数。这些参数反映了5G网络的实时性能，对终端通信所需时间产生一定影响。所述的通信交互时间需要基于5G网络的实时性能进行增或减的修正。这种修正主要是对不同五元组通信所需时间的调整。并根据修正结果更新终端特征画像。

通过实时监测5G网络状态，根据获取的网络性能参数对终端的通信交互操作的时间进行修正；并根据修正结果更新终端特征画像；使能够实现根据网络性能进行实时调整，提高访问控制的灵活性和安全性。

实施例3：在以上实施例的基础上，本实施例，基于5G网络流量分析的调控业务访问控制方法还包括:

调控业务主站系统采用用户名口令、生物特征识别、数字证书等方式对通过5G终端访问的用户身份进行认证，并将用户身份认证的结果将反馈给MEC上的流量分析子系统。

用户身份认证成功，调控业务主站系统对用户权限进行鉴别，根据权限鉴别结果，对终端的业务访问请求进行服务响应。

本发明中，利用5G终端特征画像技术，对终端硬件身份进行安全认证，提升了5G网络环境下调控业务系统的安全性。

可调节负荷系统是典型的应用5G网络的调控业务系统，因为可调节负荷部署在用户侧，无法接入电力调度数据网，通常在5G公共网络的基础上，建立逻辑上的“5G专网”。为防止5G调控终端被仿冒，需要采取安全防护措施加强防护。

实施例4：基于5G网络流量分析的调控业务访问控制系统，包括MEC；

所述MEC，用于实现边缘计算以及部署流量分析子系统，所述流量分析子系统包括终端流量特征识别模块，所述终端流量特征识别模块用于获取5G调控终端执行通信交互操作的时间和特定自处理操作所需的时间，将获得的通信交互操作的时间和特定自处理操作所需的时间与预先生成的终端特征画像进行比对，比对误差小于阈值则终端通过安全认证，将所述业务访问请求转发至所述目标地址对应的调控业务主站系统；若比对误差大于等于阈值则5G调控终端未通过安全认证，拒绝其访问请求。

具体实施例中， 5G调控终端用于部署5G调控业务的客户端程序，向MEC发送针对电力调控业务主站系统的业务访问请求，所述业务访问请求中包含所述5G调控终端请求访问的目标地址；

实施例5：在实施例4的基础上，本实施例提供的基于5G网络流量分析的调控业务访问控制系统，如图2、图3所示，包括5G调控终端、5G基站、UPF、MEC以及调控业务主站系统；

所述5G调控终端用于部署5G调控业务的客户端程序，向5G基站发送针对电力调控业务主站系统的业务访问请求，所述业务访问请求中包含所述5G调控终端请求访问的目标地址；

所述5G基站，用于获取5G调控终端针对电力调控业务主站系统的业务访问请求，根据所述业务访问请求和所述5G调控终端的信息生成业务访问请求报文并发送给UPF;

所述UPF，用于根据5G调控终端业务访问请求报文中的目标地址和就近原则向MEC转发5G调控终端的业务访问请求报文；

所述MEC，用于实现边缘计算以及部署流量分析子系统，所述流量分析子系统包括终端流量特征识别模块，所述终端流量特征识别模块用于获取5G调控终端执行通信交互操作的时间和特定自处理操作所需的时间，将获得的通信交互操作的时间和特定自处理操作所需的时间与预先生成的终端特征画像进行比对，比对误差小于阈值则终端通过安全认证，将所述业务访问请求转发至所述目标地址对应的调控业务主站系统；若比对误差大于等于阈值则5G调控终端未通过安全认证，拒绝其访问请求；

所述调控业务主站系统，用于根据接收到业务访问请求报文后对5G通信终端进行身份认证和/或权限鉴别，根据认证或鉴别结果对5G调控终端的业务访问请求进行服务响应。

首先基于5G调控终端的业务特征，开发适用的运行业务处理测试软件和通信交互测试软件。通过运行业务处理测试软件，采集终端运行各个独立自处理操作功能所需的时间，不同终端自处理操作应该具备一定的差异性。

然后在5G调控终端集中的场站部署5G专网的UPF和MEC。其中UPF是运营商提供的专用设备，MEC可以是电网公司提供的通用的服务器。在服务器上可以部署流量分析子系统，包括终端流量特征配置模块、终端流量特征识别模块和5G网络监测模块。

接着在5G调控终端上运行通信交互测试软件，在MEC上的终端流量特征配置模块将根据5G调控终端执行通信交互操作的时间和特定自处理操作所需的时间生成终端特征画像。

考虑到形成画像的时间与终端本身的业务复杂性有一定关联。可选地，本实施例还部署了5G网络监测模块。5G网络监测模块可以部署在MEC上，也可以根据需要独立部署。如图1所示，5G网络监测模块部署在流量分析子系统中。5G网络监测模块通过访问运营商提供的第三方接口，获取5G网络的运行状态，5G调控终端的终端特征画像需要据此进行动态调整。根据调整结果更新终端特征画像，更新后的终端特征画像都需要导入到终端流量特征识别模块。

最后5G调控终端开始正常收发业务报文，MEC上的终端流量特征识别模块根据策略和阙值判断终端是否是之前采样画像的终端。如果判断不一致，则会产生告警，上送主站系统。

考虑到终端设备的老化等因素，没有周期性的采集数据形成画像，也可以在平时的数据通信过程中进行实时反馈，完善画像。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。本申请实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言Java和直译式脚本语言JavaScript等。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (13)

1.基于5G网络流量分析的调控业务访问控制方法，其特征在于，包括：

获取5G调控终端发送的业务访问请求报文；获取 5G调控终端执行通信交互操作的时间和特定自处理操作所需的时间；

将获得的通信交互操作的时间和特定自处理操作所需的时间与预先生成的终端特征画像进行比对，根据比对结果确定所述调控终端是否通过安全认证；

在确定出所述调控终端通过安全认证时，将所述业务访问请求报文转发至所述业务访问请求报文中目标地址对应的调控业务主站系统。

2.根据权利要求1所述的基于5G网络流量分析的调控业务访问控制方法，其特征在于，所述5G调控终端发送的业务访问请求报文通过UPF发送过来，所述UPF接收5G调控终端发送的业务访问请求报文，根据业务访问请求报文中的目标地址和就近原则转发业务访问请求报文。

3.根据权利要求1所述的基于5G网络流量分析的调控业务访问控制方法，其特征在于，所述通信交互操作通过通信五元组确定，所述通信五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议。

4.根据权利要求1所述的基于5G网络流量分析的调控业务访问控制方法，其特征在于，获取5G调控终端执行通信交互操作的时间包括：

下发需要5G调控终端响应的执行特定自处理操作的指令，计算当前发送时间T1；

收到5G调控终端响应报文时，计算当前接收时间T2；

获取5G调控终端执行特定自处理操作的时间ΔT；

根据当前发送时间T1、当前接收时间T2以及5G调控终端执行特定自处理操作的时间ΔT确定所述5G调控终端的通信交互操作的时间。

5.根据权利要求1所述的基于5G网络流量分析的调控业务访问控制方法，其特征在于，生成终端特征画像的方法包括：

将所有终端特定自处理操作和通信交互操作作为终端的各个属性，将执行各操作的时间作为属性的值，对属性和其对应的值进行向量化处理获得特征信息；

根据数据离散化计算得到值的大小对特征信息进行排序；

对每个特征信息都采用训练获得的支持向量机进行终端识别，找到识别准确率满足要求且向量个数最小的特征信息集合作为最小特征子集；所述支持向量机用于根据终端的属性、属性对应的值识别对应的终端；

对最小特征子集按照向量化规则进行逆向量化，得到最终确定的终端特征画像。

6.根据权利要求1所述的基于5G网络流量分析的调控业务访问控制方法，其特征在于，所述控制方法还包括调控业务主站系统接收到业务访问请求报文后对5G通信终端进行用户身份认证和/或权限鉴别，根据认证或鉴别结果对5G调控终端的业务访问请求进行业务访问请求服务响应。

7.根据权利要求1所述的基于5G网络流量分析的调控业务访问控制方法，其特征在于，所述控制方法还包括实时获取5G网络性能参数，包括切片上下行平均速率、UPF性能以及数据吞吐容量，根据获取的网络性能参数对终端的通信交互操作的时间进行修正；并根据修正结果更新终端特征画像。

8.根据权利要求1所述的基于5G网络流量分析的调控业务访问控制方法，其特征在于，若比对结果的误差大于等于阈值则5G调控终端未通过安全认证，拒绝其业务访问请求。

9.基于5G网络流量分析的调控业务访问控制系统，其特征在于，包括MEC；

所述MEC，用于获取5G调控终端发送的业务访问请求报文；获取 5G调控终端执行通信交互操作的时间和特定自处理操作所需的时间；将获得的通信交互操作的时间和特定自处理操作所需的时间与预先生成的终端特征画像进行比对，根据比对结果确定所述调控终端是否通过安全认证；

在确定出所述调控终端通过安全认证时，将所述业务访问请求报文转发至所述业务访问请求报文中目标地址对应的调控业务主站系统。

10.根据权利要求8所述的基于5G网络流量分析的调控业务访问控制方系统，其特征在于，所述系统还包括5G调控终端和UPF，所述5G调控终端，用于通过5G基站和UPF向MEC发送针对电力调控业务主站系统的业务访问请求报文，所述业务访问请求报文中包含所述5G调控终端请求访问的目标地址；

所述5G基站，用于获取5G调控终端针对电力调控业务主站系统的业务访问请求，根据所述业务访问请求和所述5G调控终端的信息生成业务访问请求报文并发送给UPF;

所述UPF，用于接收5G调控终端发送的业务访问请求报文，根据5G调控终端业务访问请求报文中的目标地址和就近原则向MEC转发5G调控终端的业务访问请求报文。

11.根据权利要求9所述的基于5G网络流量分析的调控业务访问控制方系统，其特征在于，所述系统还包括调控业务主站系统；

所述调控业务主站系统，用于根据接收到业务访问请求报文后对5G通信终端进行用户身份认证和/或权限鉴别，根据认证或鉴别结果对5G调控终端的业务访问请求进行服务响应。

12.根据权利要求9所述的基于5G网络流量分析的调控业务访问控制系统，其特征在于，所述MEC获取5G调控终端执行通信交互操作的时间，包括：

MEC下发需要5G调控终端响应的执行特定自处理操作的指令，计算当前发送时间T1；

MEC收到5G调控终端响应报文时，计算当前接收时间T2；

获取5G调控终端执行特定自处理操作的时间ΔT；

根据当前发送时间T1、当前接收时间T2以及5G调控终端执行特定自处理操作的时间ΔT确定所述指令的通信交互操作的时间。

13.根据权利要求9所述的基于5G网络流量分析的调控业务访问控制系统，其特征在于，所述MEC还用于生成终端特征画像，生成终端特征画像的方法包括：

将所有终端特定自处理操作和通信交互操作作为终端的各个属性，将执行各操作的时间作为属性的值，对属性和其对应的值进行向量化处理获得特征信息；

根据数据离散化计算得到值的大小对特征信息进行排序；

对每个特征信息都采用训练获得的支持向量机进行终端识别，找到识别准确率满足要求且向量个数最小的特征信息集合作为最小特征子集；所述支持向量机用于根据终端的属性、属性对应的值识别对应的终端；

对最小特征子集按照向量化规则进行逆向量化，得到最终确定的终端特征画像。

Images