CN115081033B - 一种数字配电网边缘计算装置业务安全隔离方法 - Google Patents
一种数字配电网边缘计算装置业务安全隔离方法 Download PDFInfo
- Publication number
- CN115081033B CN115081033B CN202210855682.9A CN202210855682A CN115081033B CN 115081033 B CN115081033 B CN 115081033B CN 202210855682 A CN202210855682 A CN 202210855682A CN 115081033 B CN115081033 B CN 115081033B
- Authority
- CN
- China
- Prior art keywords
- operating system
- services
- data
- area
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/544—Buffers; Shared memory; Pipes
Abstract
本申请提供一种数字配电网边缘计算装置业务安全隔离方法,可提高安全一区和安全二区之间的隔离强度,有利于智能装置一体化。该边缘计算装置的芯片上部署有主核和从核,本申请中,通过主核运行第一操作系统,通过从核运行第二操作系统;依托于第一操作系统的不同容器,运行安全一区的不同业务;依托于第二操作系统的不同容器,运行安全二区的不同业务和安全三区的不同业务;针对处于不同操作系统的业务,通过内核层共享内存接口和数据中心互联接口,为处于不同操作系统的业务提供数据交互服务;针对处于同一操作系统的业务,通过处于同一操作系统的数据中心提供的接口,为处于同一操作系统的业务提供数据共享服务。
Description
技术领域
本申请涉及配电网业务安全技术领域,特别是涉及一种边缘计算控制装置。
背景技术
为保证配电网业务安全并便于日常维护,可以对各类业务采用不同类型的智能装置;随着数字化技术的发展,以及电网降本增效的需求,智能装置存在一体化的趋势,通过智能装置的业务合一,可以减少配电网的二次设备的整体投入成本,减少日后的维护工作量,同时消除不同业务之间的数据壁垒,实现配电网的边缘计算及智能控制。
与此同时网络安全的要求也日益加强,已从主网的发、输、变环节延伸到配电网的配、用环节。按照网络安全的要求,配电网的安全一区与安全二区应实现逻辑隔离,安全一、安全二区与安全三区之间应实现物理隔离。安全一区、安全二区之间及内部各业务之间需采用逻辑隔离。
目前已有的智能装置采用容器技术,可以实现安全一区和安全二区之间的逻辑隔离,但是隔离强度不够,仅在安全一区尝试兼容配电自动化主站的数据通信,无法实现安全一区的保护类业务、监控类业务与安全二区的配电物联网业务共存。这将严重影响配电终端多业务合一,智能装置一体化的实现。
发明内容
基于此,有必要针对上述技术问题,提供一种基于数字配电网多业务安全分区隔离方法的边缘计算控制装置。
其中,该边缘计算控制装置包括芯片,所述芯片上部署有主核和从核,运行在主核的第一操作系统和运行从核上的第二操作系统相互独立;所述第一操作系统对应于安全一区,安全一区的各业务被分别部署在所述第一操作系统的不同容器中;所述第二操作系统对应于安全二区和安全三区,安全二区的各业务和安全三区的各业务被分别部署在所述第二操作系统的不同容器中;其中,所述安全一区、所述安全二区和所述安全三区各自的安全级别依次降低;运行于不同操作系统的业务之间进行数据交互的接口包括:内核层共享内存接口和数据中心互联接口;其中,内核层共享内存接口是根据设于所述芯片的DDR被预留出的共享区域形成的接口,所述数据中心互联接口是所述第一操作系统和所述第二操作系统各自的数据中心之间的互联的接口;运行于同一操作系统的业务之间进行数据共享的接口为同一操作系统的数据中心提供的接口。
在一个实施例中,所述主核在运行所述第一操作系统后,设置从核的运行地址,启动所述从核,以触发所述从核运行所述第二操作系统。
在一个实施例中,启动所述第一操作系统和所述第二操作系统运行的过程中,所述主核和所述从核之间通过虚拟网卡进行通信。
在一个实施例中,在所述主核启动所述从核后,所述从核进入WFE等待,WFE等待结束后,所述从核运行所述第二操作系统。
在一个实施例中,形成所述内核层共享内存接口的共享区域由所述第一操作系统和所述第二操作系统分别映射使用;其中,所述第一操作系统对所述共享区域的使用为可读可写,所述第二操作系统对所述共享区域的使用为只读。
在一个实施例中,通过所述内核层共享内存接口进行交互的数据包括:属于一次值的采样点值。
在一个实施例中,通过所述数据中心互联接口进行共享的数据包括:属于二次加工数据的电压值和电流值。
在一个实施例中,同一操作系统的业务之间进行数据共享时,其中一个业务通过数据中心提供的接口将需共享数据写入数据中心的共享数据区,另一个业务通过数据中心提供的接口从共享数据区中读取所述需共享数据。
在一个实施例中,所述安全一区的业务包括配电网保护业务、配电网监控业务和低压集抄业务;所述安全二区的业务包括配变监测业务;所述安全三区的业务包括配电房监测业务。
在一个实施例中,所述配电房监测业务包括配电设备运行状态监测业务和配电设备运行环境监测业务。
本申请还提供一种数字配电网边缘计算装置业务安全隔离方法,边缘计算装置的芯片部署有主核和从核,所述方法包括:
通过主核运行第一操作系统,通过从核运行第二操作系统;
依托于所述第一操作系统的不同容器,运行安全一区的不同业务;
依托于所述第二操作系统的不同容器,运行安全二区的不同业务和安全三区的不同业务;其中,所述安全一区、所述安全二区和所述安全三区各自的安全级别依次降低;
针对处于不同操作系统的业务,通过内核层共享内存接口和数据中心互联接口,为处于不同操作系统的业务提供数据交互服务;其中,内核层共享内存接口是根据设于所述芯片的DDR被预留出的共享区域形成的接口,所述数据中心互联接口是所述第一操作系统和所述第二操作系统各自的数据中心之间的互联的接口;
针对处于同一操作系统的业务,通过处于同一操作系统的数据中心提供的接口,为处于同一操作系统的业务提供数据共享服务。
基于上述边缘计算装置和方法,配电网不同安全分区的业务运行在同一边缘计算装置上的时候,由于所依托的操作系统运行在不同的核上,提高隔离强度,符合电网安全分区隔离的要求的同时,满足数字电网多业务融合、协同的需求,有利于智能装置一体化的实现。
附图说明
图1为一个实施例中边缘计算装置的架构图;
图2为一个实施例中边缘计算装置的多操作系统启动流程图;
图3为另一个实施例中边缘计算装置的多操作系统启动流程图;
图4为一个实施例中操作系统之间内核通信图;
图5为一个实施例中安全一区和安全二区各自的业务之间的数据共享方式图;
图6为一个实施例中安全一区的业务之间的数据共享方式图;
图7为一个实施例中数字配电网边缘计算装置业务安全隔离方法的流程示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本申请所描述的实施例可以与其它实施例相结合。
本申请提供的边缘计算控制装置是基于配电网多业务安全分区隔离方法来实现的,使得配电网不同安全分区的业务可以运行在同一边缘计算控制装置上。
其中,所述安全一区、所述安全二区和所述安全三区各自的安全级别依次降低。所述安全一区的业务包括配电网保护业务、配电网监控业务和低压集抄业务;配电网监控业务包括电压控制业务。所述安全二区的业务包括配变监测业务。所述安全三区的业务包括配电房监测业务;所述配电房监测业务包括配电设备运行状态监测业务和配电设备运行环境监测业务。
在防护要求上,安全三区的业务要与安全一区、安全二区的业务物理隔离,也即,不能放在同一个装置里。不过,按照电力监控系统网络安全防护要求(允许把安全级别低的安全区域的业务放置于安全级别高的安全区域中,不允许把安全级别高的安全区域的业务迁移到安全级别低的安全区域中),本申请将原属于安全三区的业务提级到安全二区管控。本申请对安全三区的业务进行提级后,安全三区的业务被视为安全二区的业务进行管理。
本申请中,安全一区、安全二区的业务可以部署在同一台装置,通过同一台装置的CPU的2个核分别运行两套操作系统,加强安全一区和安全二区的逻辑隔离强度。
参照电力监控系统对不同网段的计算及系统安全分区的模型:安全一区、安全二区之间采用防火墙实现逻辑隔离;安全一区、安全二区内部通过ACL策略实现逻辑隔离。
边缘计算控制装置在安全一区、安全二区采用两套独立的操作系统,实现逻辑隔离;边缘计算控制装置内部的安全一区、安全二区各业务之间采用容器技术,实现逻辑隔离;边缘计算控制装置的操作系统之间只能通过预设的数据中心互联接口或内核层共享内存接口实现底层数据交互;边缘计算控制装置的同一安全区内部,通过预设的数据中心互联接口实现数据共享。
具体来说,边缘计算控制装置包括芯片,芯片上部署有主核和从核,运行在主核的第一操作系统和运行在从核上的第二操作系统相互独立;第一操作系统对应于安全一区,安全一区的各业务被分别部署在第一操作系统的不同容器中;第二操作系统对应于安全二区和安全三区,安全二区的各业务和安全三区的各业务被分别部署在第二操作系统的不同容器中;运行于不同操作系统的业务之间进行数据交互的接口包括:内核层共享内存接口和数据中心互联接口;其中,内核层共享内存接口是根据设于芯片的DDR被预留出的共享区域形成的接口,数据中心互联接口是第一操作系统和第二操作系统各自的数据中心之间的互联的接口;运行于同一操作系统的业务之间进行数据共享的接口为同一操作系统的数据中心提供的接口。
如图1所示,控制1区对应于安全一区,控制1区的芯片层的CK860核1和CK860核2称为主核,控制1区的芯片层还包括DDR区域1,Ⅰ区业务操作系统对应于第一操作系统,Ⅰ区业务操作系统的MQTT(消息队列遥测传输)数据中心1对应于第一操作系统的数据中心,Ⅰ区业务操作系统还包括容器管理和设备驱动管理;电压控制业务被部署在1区容器1中,低压集抄业务被部署在1区容器2中。
控制2区对应于安全二区和安全三区,控制2区的芯片层的CK860核3和CK860核4称为从核,控制2区的芯片层还包括DDR区域2,Ⅱ区业务操作系统对对应于第二操作系统,Ⅱ区业务操作系统的MQTT数据中心2对应于第二操作系统的数据中心,Ⅱ区业务操作系统还包括容器管理和设备驱动管理;配电房监测业务被部署在2区容器1中,配变监测业务被部署在2区容器2中。
上述边缘计算装置具有两套独立的操作系统同时运行,进而操作系统的资源,例如网络协议栈、文件系统等组件形成互不干扰的天然隔离模式。
基于上述边缘计算装置,配电网不同安全分区的业务运行在同一边缘计算装置上的时候,由于所依托的操作系统运行在不同的核上,提高隔离强度,符合电网安全分区隔离的要求的同时,满足数字电网多业务融合、协同的需求,有利于智能装置一体化的实现。
进一步地,如图2所示,主核在运行所述第一操作系统后,设置从核的运行地址,启动所述从核,以触发所述从核运行所述第二操作系统。
其中,主核运行BootLoader后,搬运主核和从核待运行的OS(操作系统)的文件,主核运行第一操作系统。
更进一步地,在所述主核启动所述从核后,所述从核进入WFE等待,WFE等待结束后,所述从核运行所述第二操作系统。
两套独立的操作系统各自拥有用户权限,同时再增加独立重启功能:若从核需要进行重启操作时,不会影响到另一个核。
更进一步地,启动所述第一操作系统和所述第二操作系统运行的过程中,如图3所示,所述主核和所述从核之间通过虚拟网卡进行通信。
其中,基于虚拟网卡进行通信遵循标准的socket接口进行。
进一步地,如图4所示,两套操作系统为安全一区和安全二区的业务提供更实时高效的数据交互方法,使用内核层的共享区域进行通信。
由于芯片只有一块DDR,在对DDR进行静态划分时预留一块共享区域,由两套操作系统分别映射使用,对操作系统的使用权限进行控制,保证第一操作系统使用可读可写通道,第二操作系统使用只读通道。其中,第一操作系统和第二操作系统可以包括共享内存使用区,通过各自的共享内存使用区使用共享区域。
具体地,形成所述内核层共享内存接口的共享区域由所述第一操作系统和所述第二操作系统分别映射使用;其中,所述第一操作系统对所述共享区域的使用为可读可写,所述第二操作系统对所述共享区域的使用为只读。
关于操作系统的数据中心,其功能主要是:提供数据存储服务,并根据分类存储机制,支持数据文件方式存储以及基于内存的非持久化数据存储;提供数据访问服务,支持精准和模糊方式查询,同时,针对访问频率较高的终端参数文件,提供参数文件在系统内存中的加载,实现更高速度的响应。
数据中心提供的用于交互的接口可以隔离,数据中心根据业务需求,提供独立的接口支撑数据访问。
数据中心的数据区隔离要求包括但不限于:
1) 应建立数据分级分类保护机制,防止篡改、破坏、泄露或者非法获取、非法利用,并具备审计和权限控制功能;
2) 业务数据区用于存储各专业自有数据,共享数据区用于存储各专业交互的数据,共享数据区敏感数据读写应可追溯;
3) 业务数据区应划分明文区和密文区;数据共享区为明文区,数据根据分级分类原则选择存储在相应区域。
4) 跨操作系统的隔离,安全一区和安全二区分别存在两套数据中心,两个安全区的业务不存在耦合。
具体的数据区隔离方案如下:
(一) 安全一区和安全二区的数据共享可以采用两种方式:
1)二次加工数据,例如电压、电流等实时值,或者统计值,通过消息总线进行数据的共享交互;该消息总线属于数据中心互联接口;
2)一次值,例如采样点值,则通过内核层的共享内存来实现;
如图5所示,安全一区和安全二区的业务在进行数据交互时,可以通过内核态的采样共享内存(也即内核层的共享内存)进行,也可以通过用户态的消息总线进行。
也即,通过所述内核层共享内存接口进行交互的数据包括:属于一次值的采样点值。通过所述数据中心互联接口进行共享的数据包括:属于二次加工数据的电压值和电流值。
进一步地,同一操作系统的业务之间进行数据共享时,其中一个业务通过数据中心提供的接口将需共享数据写入数据中心的共享数据区,另一个业务通过数据中心提供的接口从共享数据区中读取所述需共享数据。
如图6所示,若计量业务和配电业务属于同一安全区,这两个业务在进行数据共享时,其中一个业务可以通过数据中心提供的json格式的接口,将需共享数据写入共享数据区,另一个业务通过数据中心提供的json格式的接口,从共享数据区中读取上述需共享数据。
基于配电网多业务安全分区隔离方法实现的边缘计算装置,可以保证配电网不同安全分区的业务在同一台装置运行,保证装置符合电网安全分区隔离的要求,实现配电网多业务在同一台装置上合规的共存,从而安全、可靠、合规地减少配电网的二次装置类型,减少投资及维护工作量,消除配电网的数据烟囱,实现边缘侧的智能控制。
在一个实施例中,配电网不同安全分区的业务可以运行在本申请提供的同一边缘计算控制装置上。安全区包括所述安全一区、所述安全二区和所述安全三区,其中,所述安全一区、所述安全二区和所述安全三区各自的安全级别依次降低;所述安全一区的业务包括但不限于配电网保护业务、配电网监控业务和低压集抄业务;所述安全二区的业务包括但不限于配变监测业务;所述安全三区的业务包括但不限于配电房监测业务。
该边缘计算控制装置包括芯片,所述芯片上部署有主核和从核,运行在主核的第一操作系统和运行在从核上的第二操作系统相互独立。
启动所述第一操作系统和所述第二操作系统运行的过程中,所述主核和所述从核之间通过虚拟网卡进行通信。主核运行BootLoader后,搬运主核和从核待运行的OS(操作系统)的文件,主核运行第一操作系统,在主核运行所述第一操作系统后,主核设置从核的运行地址,启动所述从核,所述从核进入WFE等待,WFE等待结束后,所述从核运行所述第二操作系统。
所述第一操作系统对应于安全一区,安全一区的各业务被分别部署在所述第一操作系统的不同容器中;所述第二操作系统对应于安全二区和安全三区,安全二区的各业务和安全三区的各业务被分别部署在所述第二操作系统的不同容器中;运行于不同操作系统的业务之间进行数据交互的接口包括:内核层共享内存接口和数据中心互联接口;通过所述内核层共享内存接口进行交互的数据包括:属于一次值的采样点值;通过所述数据中心互联接口进行共享的数据包括:属于二次加工数据的电压值和电流值。
其中,内核层共享内存接口是根据设于所述芯片的DDR被预留出的共享区域形成的接口,所述数据中心互联接口是所述第一操作系统和所述第二操作系统各自的数据中心之间的互联的接口。
运行于同一操作系统的业务之间进行数据共享的接口为同一操作系统的数据中心提供的接口;同一操作系统的业务之间进行数据共享时,其中一个业务通过数据中心提供的接口将需共享数据写入数据中心的共享数据区,另一个业务通过数据中心提供的接口从共享数据区中读取所述需共享数据。
基于上述边缘计算装置,配电网不同安全分区的业务运行在同一边缘计算装置上的时候,由于所依托的操作系统运行在不同的核上,提高隔离强度,符合电网安全分区隔离的要求的同时,满足数字电网多业务融合、协同的需求,有利于智能装置一体化的实现。
本申请提供一种数字配电网边缘计算装置业务安全隔离方法,其中,边缘计算装置的芯片部署有主核和从核,如图7所示,该方法包括如下步骤:
步骤S701,通过主核运行第一操作系统,通过从核运行第二操作系统;
步骤S702,依托于所述第一操作系统的不同容器,运行安全一区的不同业务;
步骤S703,依托于所述第二操作系统的不同容器,运行安全二区的不同业务和安全三区的不同业务;
其中,所述安全一区、所述安全二区和所述安全三区各自的安全级别依次降低;
步骤S704,针对处于不同操作系统的业务,通过内核层共享内存接口和数据中心互联接口,为处于不同操作系统的业务提供数据交互服务;
其中,内核层共享内存接口是根据设于所述芯片的DDR被预留出的共享区域形成的接口,所述数据中心互联接口是所述第一操作系统和所述第二操作系统各自的数据中心之间的互联的接口;
步骤S705,针对处于同一操作系统的业务,通过处于同一操作系统的数据中心提供的接口,为处于同一操作系统的业务提供数据共享服务。
基于上述方法,配电网不同安全分区的业务运行在同一边缘计算装置上的时候,由于所依托的操作系统运行在不同的核上,提高隔离强度,符合电网安全分区隔离的要求的同时,满足数字电网多业务融合、协同的需求,有利于智能装置一体化的实现。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上的实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于数字配电网多业务安全分区隔离方法的边缘计算控制装置,其特征在于,同一边缘计算控制装置用于运行配电网不同安全分区的业务;所述边缘计算控制装置包括芯片,所述芯片上部署有主核和从核,运行在主核的第一操作系统和运行在从核上的第二操作系统相互独立;
所述第一操作系统对应于安全一区,安全一区的各业务被分别部署在所述第一操作系统的不同容器中;所述第二操作系统对应于安全二区,在对安全三区的业务提级的情况下,所述安全二区对应的第二操作系统还对应于所述安全三区,安全二区的各业务和安全三区的各业务被分别部署在所述第二操作系统的不同容器中;其中,所述安全一区、所述安全二区和所述安全三区各自的安全级别依次降低;
运行于不同操作系统的业务之间进行数据交互的接口包括:内核层共享内存接口和数据中心互联接口;其中,内核层共享内存接口是根据设于所述芯片的DDR被预留出的共享区域形成的接口,所述数据中心互联接口是所述第一操作系统和所述第二操作系统各自的数据中心之间的互联的接口;
运行于同一操作系统的业务之间进行数据共享的接口为同一操作系统的数据中心提供的接口。
2.根据权利要求1所述的边缘计算控制装置,其特征在于,所述主核在运行所述第一操作系统后,设置从核的运行地址,启动所述从核,以触发所述从核运行所述第二操作系统。
3.根据权利要求2所述的边缘计算控制装置,其特征在于,启动所述第一操作系统和所述第二操作系统运行的过程中,所述主核和所述从核之间通过虚拟网卡进行通信。
4.根据权利要求2所述的边缘计算控制装置,其特征在于,在所述主核启动所述从核后,所述从核进入WFE等待,WFE等待结束后,所述从核运行所述第二操作系统。
5.根据权利要求1所述的边缘计算控制装置,其特征在于,形成所述内核层共享内存接口的共享区域由所述第一操作系统和所述第二操作系统分别映射使用;其中,所述第一操作系统对所述共享区域的使用为可读可写,所述第二操作系统对所述共享区域的使用为只读。
6.根据权利要求1所述的边缘计算控制装置,其特征在于,通过所述内核层共享内存接口进行交互的数据包括:属于一次值的采样点值。
7.根据权利要求1所述的边缘计算控制装置,其特征在于,通过所述数据中心互联接口进行共享的数据包括:属于二次加工数据的电压值和电流值。
8.根据权利要求1所述的边缘计算控制装置,其特征在于,同一操作系统的业务之间进行数据共享时,其中一个业务通过数据中心提供的接口将需共享数据写入数据中心的共享数据区,另一个业务通过数据中心提供的接口从共享数据区中读取所述需共享数据。
9.根据权利要求1所述的边缘计算控制装置,其特征在于,所述安全一区的业务包括配电网保护业务、配电网监控业务和低压集抄业务;所述安全二区的业务包括配变监测业务;所述安全三区的业务包括配电房监测业务。
10.一种数字配电网边缘计算装置业务安全隔离方法,其特征在于,边缘计算装置的芯片部署有主核和从核,所述方法包括:
通过主核运行第一操作系统,通过从核运行第二操作系统;
依托于所述第一操作系统的不同容器,运行安全一区的不同业务;
在对安全三区的业务提级的情况下,依托于所述第二操作系统的不同容器,运行安全二区的不同业务和安全三区的不同业务;其中,所述安全一区、所述安全二区和所述安全三区各自的安全级别依次降低;
针对处于不同操作系统的业务,通过内核层共享内存接口和数据中心互联接口,为处于不同操作系统的业务提供数据交互服务;其中,内核层共享内存接口是根据设于所述芯片的DDR被预留出的共享区域形成的接口,所述数据中心互联接口是所述第一操作系统和所述第二操作系统各自的数据中心之间的互联的接口;
针对处于同一操作系统的业务,通过处于同一操作系统的数据中心提供的接口,为处于同一操作系统的业务提供数据共享服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210855682.9A CN115081033B (zh) | 2022-07-20 | 2022-07-20 | 一种数字配电网边缘计算装置业务安全隔离方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210855682.9A CN115081033B (zh) | 2022-07-20 | 2022-07-20 | 一种数字配电网边缘计算装置业务安全隔离方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115081033A CN115081033A (zh) | 2022-09-20 |
| CN115081033B true CN115081033B (zh) | 2022-11-11 |
Family
ID=83259755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210855682.9A Active CN115081033B (zh) | 2022-07-20 | 2022-07-20 | 一种数字配电网边缘计算装置业务安全隔离方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115081033B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104063295A (zh) * | 2014-06-26 | 2014-09-24 | 北京控制工程研究所 | 一种多核操作系统可重构容错启动方法 |
| CN112416702A (zh) * | 2020-11-05 | 2021-02-26 | 中国航空工业集团公司西安航空计算技术研究所 | 一种混合运行多安全等级任务的安全隔离系统 |
| CN114090498A (zh) * | 2021-11-23 | 2022-02-25 | 云南电网有限责任公司电力科学研究院 | 一种嵌入式soc系统实现多核启动与业务的相互解耦方法 |
| CN114696468A (zh) * | 2022-05-31 | 2022-07-01 | 南方电网数字电网研究院有限公司 | 数字配电网边缘计算控制装置及方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7562208B1 (en) * | 2002-02-07 | 2009-07-14 | Network Appliance, Inc. | Method and system to quarantine system software and configuration |
| CN103067366B (zh) * | 2012-12-21 | 2016-06-08 | 广东电网公司电力调度控制中心 | 电力调度自动化系统的分区网络架构 |
| CN113867828A (zh) * | 2020-06-30 | 2021-12-31 | 华为技术有限公司 | 一种运行进程的方法及装置 |
-
2022
- 2022-07-20 CN CN202210855682.9A patent/CN115081033B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104063295A (zh) * | 2014-06-26 | 2014-09-24 | 北京控制工程研究所 | 一种多核操作系统可重构容错启动方法 |
| CN112416702A (zh) * | 2020-11-05 | 2021-02-26 | 中国航空工业集团公司西安航空计算技术研究所 | 一种混合运行多安全等级任务的安全隔离系统 |
| CN114090498A (zh) * | 2021-11-23 | 2022-02-25 | 云南电网有限责任公司电力科学研究院 | 一种嵌入式soc系统实现多核启动与业务的相互解耦方法 |
| CN114696468A (zh) * | 2022-05-31 | 2022-07-01 | 南方电网数字电网研究院有限公司 | 数字配电网边缘计算控制装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115081033A (zh) | 2022-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220318064A1 (en) | Technologies for batching requests in an edge infrastructure | |
| EP2851807B1 (en) | Method and system for supporting resource isolation under multi-core architecture | |
| CN106648896B (zh) | 一种Zynq芯片在异构称多处理模式下双核共享输出外设的方法 | |
| CN104346317B (zh) | 共享资源访问方法和装置 | |
| US20130290978A1 (en) | System Partitioning To Present Software As Platform Level Functionality | |
| US20070239965A1 (en) | Inter-partition communication | |
| US20210117244A1 (en) | Resource manager access control | |
| US7650488B2 (en) | Communication between processor core partitions with exclusive read or write to descriptor queues for shared memory space | |
| US20100262819A1 (en) | Method and apparatus for implementing multiple service processing functions | |
| CN103501242A (zh) | 资源管理方法和多节点集群设备 | |
| CN112612623B (zh) | 一种共享内存管理的方法和设备 | |
| EP4044507A1 (en) | Network resource management method and system, network equipment and readable storage medium | |
| EP4293987A1 (en) | Information processing method based on internet-of-things device, and related device and storage medium | |
| CN110162396A (zh) | 内存回收方法、装置、系统和存储介质 | |
| CN111541599B (zh) | 基于数据总线的集群软件系统及方法 | |
| CN114756170A (zh) | 一种面向容器应用的存储隔离系统及其方法 | |
| CN115081033B (zh) | 一种数字配电网边缘计算装置业务安全隔离方法 | |
| CN116800616B (zh) | 虚拟化网络设备的管理方法及相关装置 | |
| CN107704618B (zh) | 一种基于aufs文件系统的热迁徙方法和系统 | |
| CN114816665B (zh) | 混合编排系统及超融合架构下虚拟机容器资源混合编排方法 | |
| CN113127134A (zh) | 容器集群、基于容器集群的多租户部署方法及电子设备 | |
| CN113904859B (zh) | 安全组源组信息管理方法、装置、存储介质及电子设备 | |
| CN108762883B (zh) | 实现物理平台虚拟化管理调度的配置结构和配置方法 | |
| CN106027685A (zh) | 一种基于云计算机系统的高峰访问的方法 | |
| CN112368680A (zh) | 基本运行环境 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |