一種面向電力物聯(lián)網(wǎng)的數(shù)據(jù)隔離交換和安全過濾方法
【技術領域】
[0001] 本發(fā)明設及一種安全隔離交換方法,具體設及一種面向電力物聯(lián)網(wǎng)的數(shù)據(jù)隔離交 換和安全過濾方法。
【背景技術】
[0002] 安全隔離與信息交換技術的基本原理是,通過一種專用硬件一一隔離裝置,使兩 個或者兩個W上網(wǎng)絡在不連通的情況下進行網(wǎng)絡之間的安全數(shù)據(jù)傳輸和資源共享。具體做 法一般是,隔離裝置切斷網(wǎng)絡之間的TCP/IP連接,分解或重組TCP/IP數(shù)據(jù)包,進行安全審 查,然后與另一邊的主機建立有效連接并把數(shù)據(jù)發(fā)送出去。
[0003] 在智能電網(wǎng)發(fā)展背景下,電力物聯(lián)網(wǎng)環(huán)境中存在海量智能終端、智能刀閩、作業(yè)終 端W及各種電力業(yè)務系統(tǒng),運些終端和系統(tǒng)需要與電力信息網(wǎng)進行頻繁的數(shù)據(jù)交互。由于 電力信息網(wǎng)屬于設密網(wǎng)絡,而上述終端和系統(tǒng)多通過移動APN網(wǎng)絡或者互聯(lián)網(wǎng)完成接入,兩 者的交互對電力信息網(wǎng)來說存在明顯的安全風險,因此必須采取隔離防護措施。然而現(xiàn)有 的安全隔離與信息交換技術存在明顯不足,難W滿足電力物聯(lián)網(wǎng)的隔離交換需求,具體表 現(xiàn)為:
[0004] 1、隔離強度不足
[0005] 隔離與交換是一對矛盾,傳統(tǒng)的安全隔離與信息交換技術基于TCP/IP數(shù)據(jù)包的分 解和重組,在解決隔離與交換的矛盾問題上存在明顯不足。絕大多數(shù)特定的數(shù)據(jù)交換都需 要承載于特定的應用協(xié)議,而一旦在安全隔離與信息交換模型中加入應用層協(xié)議的考慮, 就會發(fā)現(xiàn)TCP/IP報文重組并不能完全消除應用層協(xié)議引入的安全風險。假設非設密網(wǎng)絡通 過安全隔離與信息交換系統(tǒng)與設密網(wǎng)絡中的化acle數(shù)據(jù)庫進行數(shù)據(jù)交換,此時非設密網(wǎng)絡 和設密網(wǎng)絡都必須基于TNS協(xié)議進行通信,而TCP/IP報文在經(jīng)過硬件交換矩陣后仍需還原 成TNS協(xié)議報文格式,運就導致非設密網(wǎng)絡的攻擊者實際上完全可W通過公開的TNS協(xié)議報 文實現(xiàn)對設密網(wǎng)絡數(shù)據(jù)庫的攻擊。傳統(tǒng)安全隔離與信息交換技術對運種攻擊的防御措施是 盡可能增強應用層過濾能力,但運顯然已經(jīng)退化到應用層防火墻的水平。
[0006] 2、過濾深度和效率存在矛盾
[0007] 傳統(tǒng)的安全隔離與信息交換技術體系中,安全過濾是重要的一環(huán)。許多相關產(chǎn)品 都聲稱具備內(nèi)容級的過濾能力。然而內(nèi)容過濾算法不可能是沒有性能代價的,內(nèi)容過濾的 深度越深,其造成的延遲和吞吐量下降情況越嚴重。傳統(tǒng)的安全隔離與信息交換技術體系 試圖在隔離裝置上完成深度過濾,運在工業(yè)環(huán)境中很可能是不可行的。例如電力物聯(lián)網(wǎng)環(huán) 境中設及的終端數(shù)W億計,數(shù)據(jù)交換流量巨大,對數(shù)據(jù)交換延遲也有嚴格要求,傳統(tǒng)的安全 隔離與信息交換技術體系只能通過關閉過濾功能或者降低過濾深度來應對,在解決過濾深 度和效率的矛盾方面存在明顯不足。
【發(fā)明內(nèi)容】
[000引為了克服上述現(xiàn)有技術的不足,本發(fā)明提供一種面向電力物聯(lián)網(wǎng)的數(shù)據(jù)隔離交換 和安全過濾方法,本發(fā)明通過引入前置代理和私有應用層協(xié)議實現(xiàn)了完善的協(xié)議隔離,大 大提高了隔離強度。
[0009] 為了實現(xiàn)上述發(fā)明目的,本發(fā)明采取如下技術方案:
[0010] -種面向電力物聯(lián)網(wǎng)的數(shù)據(jù)隔離交換和安全過濾方法,所述方法包括如下步驟:
[0011] (1)構(gòu)建一種基于前置代理和專有協(xié)議的隔離架構(gòu);
[0012] (2)在前置代理部分進行特征向量提??;
[0013] (3)在所述前置代理部分進行標簽封裝,在隔離服務側(cè)進行標簽解析;
[0014] (4)在隔離服務側(cè)實現(xiàn)標簽過濾;
[0015] (5)在所述隔離服務側(cè)結(jié)合特征向量和標簽過濾進行內(nèi)容過濾。
[0016] 優(yōu)選的,所述步驟(1)中,所述隔離架構(gòu)包括基于TCP/IP協(xié)議專有的應用層交換協(xié) 議、專用安全隔離裝置和前置代理,所述隔離架構(gòu)用于將用戶交互過程映射為所述應用層 交換協(xié)議報文,W實現(xiàn)數(shù)據(jù)交換。
[0017]優(yōu)選的,所述步驟(2)中,包括如下步驟:
[001引步驟2-1、對報文內(nèi)容Τι進行預處理;
[0019] 步驟2-2、對所述報文內(nèi)容Τι進行特征提??;
[0020] 步驟2-3、生成報文特征向量V '和隔離服務側(cè)中敏感庫的特征向量V;
[0021] 步驟2-4、將提取的特征向量保存到報文的標簽字段中。
[0022] 優(yōu)選的,所述步驟2-1中,所述預處理為通過ICTCLAS分詞接口,將文本文件進行分 詞解析,報文內(nèi)容Τι分詞后表示為如下形式:
[0023] Ti 二,(iii2,li2,Pi2) ,......, (iiin , lin , Pin))
[0024] 式中:Ti表示報文i,ain表示劃分出來的詞組,lin表示詞組的長度,Pin表示劃分出 來的詞組的詞性。
[0025] 優(yōu)選的,所述步驟2-2中,包括如下步驟:
[0026] 步驟2-2-1、對所述報文內(nèi)容Τι進行詞性選擇,提取分析后的文本詞組中的名詞性 詞組,刪除其它詞性,所述報文內(nèi)容Τι經(jīng)過詞性選擇后,表達式如下:
[0027]
[002引式中:Tai為提取名詞之后的文本,(誠乂誠為名詞,培為名詞詞組的長度;
[0029] 步驟2-2-2、統(tǒng)計關鍵字的出現(xiàn)頻率,形成分詞Ξ元組,包含詞組、詞組在本文本中 出現(xiàn)的頻率和詞性,將化1增加一個詞頻項,表達式如下:
[0030]
[0031] 式中:Tbi為統(tǒng)計詞頻之后的文本,4為統(tǒng)計詞頻后的詞組,//;為統(tǒng)計詞頻后詞組 的長度,記為 < 的詞頻;
[0032] 步驟2-2-3、計算每個關鍵字的長度并刪除單個字的關鍵字,表達式如下:
[0033]
[0034] 式中:Tci為刪除關鍵字為單個字之后的文本,其中誠為長度大于一個字的詞組, 說為省詞頻;
[0035] 步驟2-2-4、剔除關鍵字出現(xiàn)一次的詞組,得到的最終表達式為:
[0036]
[0037] 其中:Tdi為剔除關鍵字出現(xiàn)一次之后的文本,端為剔除關鍵字出現(xiàn)一次之后的 詞組,/;;:為端的詞頻,其中1。
[0038] 優(yōu)選的,所述步驟2-3中,包括如下步驟:
[0039] 步驟2-3-1、基于TF-IDF公式對詞組的權(quán)值進行計算,公式為:
[0040] cUj = tij*log(N/nj)
[OOW 其中,dij為詞組au在文本Τι中出現(xiàn)的次數(shù),等于Tdi中的.篇,N為文檔的總數(shù),nj為 文檔庫中包含詞組aij的文檔的個數(shù);
[0042] 步驟2-3-2、由敏感庫數(shù)據(jù)組成的特征向量表示為:
[0043] V= ((aii'dii), (ai2,di2),......, (aim,dim),......, (ani ,dni), (ani ,dni),......, (過恤,dnin))
[0044] 簡記為:
[0045] V=(dll,dl2,......,dlm,......, dnl, dn2 ,......,dnm)
[0046] 步驟2-3-3、根據(jù)步驟2-3-2,得到報文的特征向量簡記為:
[0047] V' = ( d' 11,d' 12,......,d' Im,......,d' nl,d' n2,......,d' nm)。
[004引優(yōu)選的,所述步驟(3)中,所述標簽包括用戶信息lKk,v)、數(shù)據(jù)屬性信息AcKk,v), 特征向量V '、生成時間T和加密標識化信息,表達式為:
[0049] Label = WA,v),AcKk,v),V',T,F(xiàn)e)
[0050] 所述前置代理部分進行標簽封裝包括如下步驟:
[0051] 步驟3-1-1、用戶信息U、數(shù)據(jù)屬性信息AcKk,v),特征向量V'、生成時間T按序排列, 并分塊成N塊;
[0052] 步驟3-1-2、隨機選擇N塊中的N1塊,設置加密標識,并對數(shù)據(jù)進行加密獲得EN1;
[0053] 步驟3-1 -3、記錄隨機選擇過程R,將R作為塊,設置加密標識,加密R獲得ER;
[0054] 步驟3-1-4、對剩余的N2 (N-N1)塊不設置加密標識;
[00對步驟3-1-5、計算所述EN1的長度和所述邸的長度,并連接EN1長度、EN1、邸長度、ER 和N2得標簽封裝后的私有協(xié)議數(shù)據(jù)E;
[0056] 所述在隔離服務側(cè)進行標簽解析包括如下步驟:
[0057] 步驟3-2-1、獲取所述私有協(xié)議數(shù)據(jù)E;
[0化引步驟3-2-2、提取所述EN1長度,通過EN1長度提取EN1,并解密EN1獲得N1;
[0059] 步驟3-2-3、提取ER長度,通過ER長度提取ER,并解密ER獲得R;
[0060] 步驟3-2-4、提取后面的數(shù)據(jù)N2;
[0061 ] 步驟3-2-5、通過隨機選擇過程R,將N1和N2恢復到U(k,V),Ad (k,V),V '和T。
[0062]優(yōu)選的,所述步驟(4)中,所述標簽過濾是通過策略規(guī)則,依客戶端提供的數(shù)據(jù)屬 性,對數(shù)據(jù)進行過濾;所述策略規(guī)則由左括號[,關鍵字begin,表達式e邱,關鍵字end,右括 號]構(gòu)成;所述表達式由基本項和構(gòu)成項構(gòu)成,所述基本項包括變量var、數(shù)值和字符串,所 述構(gòu)成項是由變量、數(shù)值和字符串,通過一元、二元操作符連接的復雜表達式。
[0063] 優(yōu)選的,所述標簽過濾包括如下步驟:
[0064] 步驟4-1、提取所述用戶信息lKk,v)和所述數(shù)據(jù)屬性信息AcKk,v)重新賦給新的屬 性信息Ad'化,V);
[0065] 步驟4-2、從策略庫中提取策略規(guī)則;
[0066] 步驟4-3、遍歷策略規(guī)則表達式exp,提取表達式中的變量var;
[0067] 步驟4-4、將所述var為鍵從所述Ad'化,ν)中提取var對應值V;
[0068] 步驟4-5、將策略規(guī)則中的var由V替代,并計算表達式;
[0069] 步驟4-6、依據(jù)計算結(jié)