一種面向電力物聯(lián)網(wǎng)的數(shù)據(jù)隔離交換和安全過濾方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及一種安全隔離交換方法，具體設(shè)及一種面向電力物聯(lián)網(wǎng)的數(shù)據(jù)隔離交 換和安全過濾方法。
【背景技術(shù)】
[0002] 安全隔離與信息交換技術(shù)的基本原理是，通過一種專用硬件一一隔離裝置，使兩 個(gè)或者兩個(gè)W上網(wǎng)絡(luò)在不連通的情況下進(jìn)行網(wǎng)絡(luò)之間的安全數(shù)據(jù)傳輸和資源共享。具體做 法一般是，隔離裝置切斷網(wǎng)絡(luò)之間的TCP/IP連接，分解或重組TCP/IP數(shù)據(jù)包，進(jìn)行安全審 查，然后與另一邊的主機(jī)建立有效連接并把數(shù)據(jù)發(fā)送出去。
[0003] 在智能電網(wǎng)發(fā)展背景下，電力物聯(lián)網(wǎng)環(huán)境中存在海量智能終端、智能刀閩、作業(yè)終 端W及各種電力業(yè)務(wù)系統(tǒng)，運(yùn)些終端和系統(tǒng)需要與電力信息網(wǎng)進(jìn)行頻繁的數(shù)據(jù)交互。由于 電力信息網(wǎng)屬于設(shè)密網(wǎng)絡(luò)，而上述終端和系統(tǒng)多通過移動(dòng)APN網(wǎng)絡(luò)或者互聯(lián)網(wǎng)完成接入，兩 者的交互對電力信息網(wǎng)來說存在明顯的安全風(fēng)險(xiǎn)，因此必須采取隔離防護(hù)措施。然而現(xiàn)有 的安全隔離與信息交換技術(shù)存在明顯不足，難W滿足電力物聯(lián)網(wǎng)的隔離交換需求，具體表 現(xiàn)為：
[0004] 1、隔離強(qiáng)度不足
[0005] 隔離與交換是一對矛盾，傳統(tǒng)的安全隔離與信息交換技術(shù)基于TCP/IP數(shù)據(jù)包的分 解和重組，在解決隔離與交換的矛盾問題上存在明顯不足。絕大多數(shù)特定的數(shù)據(jù)交換都需 要承載于特定的應(yīng)用協(xié)議，而一旦在安全隔離與信息交換模型中加入應(yīng)用層協(xié)議的考慮， 就會(huì)發(fā)現(xiàn)TCP/IP報(bào)文重組并不能完全消除應(yīng)用層協(xié)議引入的安全風(fēng)險(xiǎn)。假設(shè)非設(shè)密網(wǎng)絡(luò)通 過安全隔離與信息交換系統(tǒng)與設(shè)密網(wǎng)絡(luò)中的化acle數(shù)據(jù)庫進(jìn)行數(shù)據(jù)交換，此時(shí)非設(shè)密網(wǎng)絡(luò) 和設(shè)密網(wǎng)絡(luò)都必須基于TNS協(xié)議進(jìn)行通信，而TCP/IP報(bào)文在經(jīng)過硬件交換矩陣后仍需還原 成TNS協(xié)議報(bào)文格式，運(yùn)就導(dǎo)致非設(shè)密網(wǎng)絡(luò)的攻擊者實(shí)際上完全可W通過公開的TNS協(xié)議報(bào) 文實(shí)現(xiàn)對設(shè)密網(wǎng)絡(luò)數(shù)據(jù)庫的攻擊。傳統(tǒng)安全隔離與信息交換技術(shù)對運(yùn)種攻擊的防御措施是 盡可能增強(qiáng)應(yīng)用層過濾能力，但運(yùn)顯然已經(jīng)退化到應(yīng)用層防火墻的水平。
[0006] 2、過濾深度和效率存在矛盾
[0007] 傳統(tǒng)的安全隔離與信息交換技術(shù)體系中，安全過濾是重要的一環(huán)。許多相關(guān)產(chǎn)品 都聲稱具備內(nèi)容級的過濾能力。然而內(nèi)容過濾算法不可能是沒有性能代價(jià)的，內(nèi)容過濾的 深度越深，其造成的延遲和吞吐量下降情況越嚴(yán)重。傳統(tǒng)的安全隔離與信息交換技術(shù)體系 試圖在隔離裝置上完成深度過濾，運(yùn)在工業(yè)環(huán)境中很可能是不可行的。例如電力物聯(lián)網(wǎng)環(huán) 境中設(shè)及的終端數(shù)W億計(jì)，數(shù)據(jù)交換流量巨大，對數(shù)據(jù)交換延遲也有嚴(yán)格要求，傳統(tǒng)的安全 隔離與信息交換技術(shù)體系只能通過關(guān)閉過濾功能或者降低過濾深度來應(yīng)對，在解決過濾深 度和效率的矛盾方面存在明顯不足。

【發(fā)明內(nèi)容】

[000引為了克服上述現(xiàn)有技術(shù)的不足，本發(fā)明提供一種面向電力物聯(lián)網(wǎng)的數(shù)據(jù)隔離交換 和安全過濾方法，本發(fā)明通過引入前置代理和私有應(yīng)用層協(xié)議實(shí)現(xiàn)了完善的協(xié)議隔離，大 大提高了隔離強(qiáng)度。
[0009] 為了實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明采取如下技術(shù)方案：
[0010] -種面向電力物聯(lián)網(wǎng)的數(shù)據(jù)隔離交換和安全過濾方法，所述方法包括如下步驟：
[0011] (1)構(gòu)建一種基于前置代理和專有協(xié)議的隔離架構(gòu)；
[0012] (2)在前置代理部分進(jìn)行特征向量提取；
[0013] (3)在所述前置代理部分進(jìn)行標(biāo)簽封裝，在隔離服務(wù)側(cè)進(jìn)行標(biāo)簽解析；
[0014] (4)在隔離服務(wù)側(cè)實(shí)現(xiàn)標(biāo)簽過濾；
[0015] (5)在所述隔離服務(wù)側(cè)結(jié)合特征向量和標(biāo)簽過濾進(jìn)行內(nèi)容過濾。
[0016] 優(yōu)選的，所述步驟（1)中，所述隔離架構(gòu)包括基于TCP/IP協(xié)議專有的應(yīng)用層交換協(xié) 議、專用安全隔離裝置和前置代理，所述隔離架構(gòu)用于將用戶交互過程映射為所述應(yīng)用層 交換協(xié)議報(bào)文，W實(shí)現(xiàn)數(shù)據(jù)交換。
[0017]優(yōu)選的，所述步驟(2)中，包括如下步驟：
[001引步驟2-1、對報(bào)文內(nèi)容Τι進(jìn)行預(yù)處理；
[0019] 步驟2-2、對所述報(bào)文內(nèi)容Τι進(jìn)行特征提??；
[0020] 步驟2-3、生成報(bào)文特征向量V '和隔離服務(wù)側(cè)中敏感庫的特征向量V;
[0021] 步驟2-4、將提取的特征向量保存到報(bào)文的標(biāo)簽字段中。
[0022] 優(yōu)選的，所述步驟2-1中，所述預(yù)處理為通過ICTCLAS分詞接口，將文本文件進(jìn)行分 詞解析，報(bào)文內(nèi)容Τι分詞后表示為如下形式：
[0023] Ti 二,(iii2,li2,Pi2) ,......, (iiin , lin , Pin))
[0024] 式中：Ti表示報(bào)文i，ain表示劃分出來的詞組，lin表示詞組的長度，Pin表示劃分出 來的詞組的詞性。
[0025] 優(yōu)選的，所述步驟2-2中，包括如下步驟：
[0026] 步驟2-2-1、對所述報(bào)文內(nèi)容Τι進(jìn)行詞性選擇，提取分析后的文本詞組中的名詞性 詞組，刪除其它詞性，所述報(bào)文內(nèi)容Τι經(jīng)過詞性選擇后，表達(dá)式如下：
[0027]
[002引式中：Tai為提取名詞之后的文本，(誠乂誠為名詞，培為名詞詞組的長度；
[0029] 步驟2-2-2、統(tǒng)計(jì)關(guān)鍵字的出現(xiàn)頻率，形成分詞Ξ元組，包含詞組、詞組在本文本中 出現(xiàn)的頻率和詞性，將化1增加一個(gè)詞頻項(xiàng)，表達(dá)式如下：
[0030]
[0031] 式中：Tbi為統(tǒng)計(jì)詞頻之后的文本，4為統(tǒng)計(jì)詞頻后的詞組，//;為統(tǒng)計(jì)詞頻后詞組 的長度，記為 < 的詞頻；
[0032] 步驟2-2-3、計(jì)算每個(gè)關(guān)鍵字的長度并刪除單個(gè)字的關(guān)鍵字，表達(dá)式如下：
[0033]
[0034] 式中：Tci為刪除關(guān)鍵字為單個(gè)字之后的文本，其中誠為長度大于一個(gè)字的詞組， 說為省詞頻；
[0035] 步驟2-2-4、剔除關(guān)鍵字出現(xiàn)一次的詞組，得到的最終表達(dá)式為：
[0036]
[0037] 其中：Tdi為剔除關(guān)鍵字出現(xiàn)一次之后的文本，端為剔除關(guān)鍵字出現(xiàn)一次之后的 詞組，/；；：為端的詞頻，其中1。
[0038] 優(yōu)選的，所述步驟2-3中，包括如下步驟：
[0039] 步驟2-3-1、基于TF-IDF公式對詞組的權(quán)值進(jìn)行計(jì)算，公式為：
[0040] cUj = tij*log(N/nj)
[OOW 其中，dij為詞組au在文本Τι中出現(xiàn)的次數(shù)，等于Tdi中的.篇，N為文檔的總數(shù)，nj為 文檔庫中包含詞組aij的文檔的個(gè)數(shù)；
[0042] 步驟2-3-2、由敏感庫數(shù)據(jù)組成的特征向量表示為：
[0043] V= ((aii'dii), (ai2,di2),......, (aim,dim),......, (ani ,dni), (ani ,dni),......, (過恤，dnin))
[0044] 簡記為：
[0045] V=(dll,dl2,......,dlm,......, dnl, dn2 ,......,dnm)
[0046] 步驟2-3-3、根據(jù)步驟2-3-2,得到報(bào)文的特征向量簡記為：
[0047] V' = ( d' 11，d' 12，......，d' Im，......，d' nl，d' n2，......，d' nm)。
[004引優(yōu)選的，所述步驟(3)中，所述標(biāo)簽包括用戶信息lKk，v)、數(shù)據(jù)屬性信息AcKk，v)， 特征向量V '、生成時(shí)間T和加密標(biāo)識化信息，表達(dá)式為：
[0049] Label = WA，v)，AcKk，v)，V'，T，F(xiàn)e)
[0050] 所述前置代理部分進(jìn)行標(biāo)簽封裝包括如下步驟：
[0051] 步驟3-1-1、用戶信息U、數(shù)據(jù)屬性信息AcKk，v)，特征向量V'、生成時(shí)間T按序排列， 并分塊成N塊；
[0052] 步驟3-1-2、隨機(jī)選擇N塊中的N1塊，設(shè)置加密標(biāo)識，并對數(shù)據(jù)進(jìn)行加密獲得EN1;
[0053] 步驟3-1 -3、記錄隨機(jī)選擇過程R，將R作為塊，設(shè)置加密標(biāo)識，加密R獲得ER;
[0054] 步驟3-1-4、對剩余的N2 (N-N1)塊不設(shè)置加密標(biāo)識；
[00對步驟3-1-5、計(jì)算所述EN1的長度和所述邸的長度，并連接EN1長度、EN1、邸長度、ER 和N2得標(biāo)簽封裝后的私有協(xié)議數(shù)據(jù)E;
[0056] 所述在隔離服務(wù)側(cè)進(jìn)行標(biāo)簽解析包括如下步驟：
[0057] 步驟3-2-1、獲取所述私有協(xié)議數(shù)據(jù)E;
[0化引步驟3-2-2、提取所述EN1長度，通過EN1長度提取EN1，并解密EN1獲得N1;
[0059] 步驟3-2-3、提取ER長度，通過ER長度提取ER，并解密ER獲得R;
[0060] 步驟3-2-4、提取后面的數(shù)據(jù)N2;
[0061 ] 步驟3-2-5、通過隨機(jī)選擇過程R，將N1和N2恢復(fù)到U(k，V)，Ad (k，V)，V '和T。
[0062]優(yōu)選的，所述步驟(4)中，所述標(biāo)簽過濾是通過策略規(guī)則，依客戶端提供的數(shù)據(jù)屬 性，對數(shù)據(jù)進(jìn)行過濾;所述策略規(guī)則由左括號[，關(guān)鍵字begin,表達(dá)式e邱，關(guān)鍵字end,右括 號]構(gòu)成;所述表達(dá)式由基本項(xiàng)和構(gòu)成項(xiàng)構(gòu)成，所述基本項(xiàng)包括變量var、數(shù)值和字符串，所 述構(gòu)成項(xiàng)是由變量、數(shù)值和字符串，通過一元、二元操作符連接的復(fù)雜表達(dá)式。
[0063] 優(yōu)選的，所述標(biāo)簽過濾包括如下步驟：
[0064] 步驟4-1、提取所述用戶信息lKk，v)和所述數(shù)據(jù)屬性信息AcKk，v)重新賦給新的屬 性信息Ad'化，V);
[0065] 步驟4-2、從策略庫中提取策略規(guī)則；
[0066] 步驟4-3、遍歷策略規(guī)則表達(dá)式exp，提取表達(dá)式中的變量var;
[0067] 步驟4-4、將所述var為鍵從所述Ad'化,ν)中提取var對應(yīng)值V;
[0068] 步驟4-5、將策略規(guī)則中的var由V替代，并計(jì)算表達(dá)式；
[0069] 步驟4-6、依據(jù)計(jì)算結(jié)