电力物联网的安全防护方法、装置、设备及存储介质与流程

1.本发明涉及电网安全技术领域，尤其涉及一种电力物联网的安全防护方法、装置、设备及存储介质。


背景技术：

2.在电力行业领域中，大量智能感知设备普遍应用于发电、输电、变电、配电、用电等电网运行过程。为了保证大量智能感知设备正常工作和信息上报的准确性，所以需要对电力物联网进行安全防护。
3.目前，在存在海量感知设备的电力物联网环境中，主要通过虚拟防火墙和专用网络(virtual private network，vpn)等虚拟安全网元技术对代理智能感知设备的虚拟环境进行防护，以保证设备接入安全和杜绝非法设备接入。但是在上述场景中，无法防止黑客利用已有设备和已有通信协议发送攻击型指令引发全网配电混乱。例如，攻击者根据已有的海量感知设备虚拟出大量虚拟指令进行拒绝服务攻击，则极可能导致接口服务瘫痪。可见，当前安全防护技术应用在海量感知设备的电力物联网环境时存在安全可靠性不足的问题。


技术实现要素：

4.本发明提供了一种电力物联网的安全防护方法及装置，以解决当前安全防护技术应用在海量感知设备的电力物联网环境时存在安全可靠性不足的技术问题。
5.为了解决上述技术问题，第一方面，本发明提供了一种电力物联网的安全防护方法，包括：
6.接收第一物联网应用的通信请求，通信请求包括第二物联网应用和第一通信信息；
7.响应于通信请求，查询第二物联网应用对应的第二虚拟分中心的通信地址；
8.利用第一物联网应用对应的第一虚拟分中心的私钥，对第一通信信息进行加密，得到第二通信信息，并根据通信地址，将第二通信信息发送至第二虚拟分中心；
9.在第二虚拟分中心，利用第一虚拟分中心的公钥对第二通信信息进行解密，得到第三通信信息；
10.将第三通信信息重组后发送至第二物联网应用。
11.本发明通过引入多个虚拟分中心，并利用每个虚拟分中心管理多个感知设备，以达到控制海量感知设备的目的，以虚拟分中心作为中介节点，能够有效提高网络处理能力，从而能够有效防护电力物联网受到的网络攻击。同时通过虚拟分中心的寻址功能，查询第二虚拟分中心的通信地址，以实现虚拟分中心之间的通信；再利用第一虚拟分中心的私钥对第一通信信息进行加密，利用第一虚拟分中心的公钥对第二通信信息进行解密，以保证虚拟分中心之间的通信安全，保障虚拟网络内部的认证通信，最后将第三通信信息重组后发送至第二物联网应用，从而实现海量感知设备之间的安全通信，提高电力物联网环境的安全可靠性。
12.作为优选，响应于通信请求，查询第二物联网应用对应的第二虚拟分中心的通信地址，包括：
13.响应于通信请求，在第一虚拟分中心执行第一查询操作，第一查询操作用于查询第二虚拟分中心的通信地址；
14.确定第一查询操作是否执行成功；
15.若第一查询操作执行成功，则确认查询到第二虚拟分中心的通信地址。
16.作为优选，确定第一查询操作是否执行成功之后，还包括：
17.若第一查询操作执行失败，则在第二虚拟分中心的上级虚拟分中心执行第二查询操作；
18.若第二查询操作执行成功，则将第一通信信息发送至第二物联网应用。
19.作为优选，将第一通信信息发送至第二物联网应用，包括：
20.在上级虚拟分中心，利用第二虚拟分中心的公钥对第一通信进行加密，得到第四通信信息；
21.根据通信地址，将第四通信信息发送至第二虚拟分中心；
22.在第二虚拟分中心，利用第二虚拟分中心的私钥对第四通信信息进行解密，得到第五通信信息，并将第五通信信息重组后发送至第二物联网应用。
23.作为优选，响应于通信请求，查询第二物联网应用对应的第二虚拟分中心的通信地址之前，还包括：
24.在第一虚拟分中心，查询第一物联网应用是否在预设访问控制列表，预设访问控制列表为黑名单；
25.若第一物联网应用不在预设访问控制列表，则执行响应于通信请求，查询第二物联网应用对应的第二虚拟分中心的通信地址的步骤。
26.作为优选，在第二虚拟分中心，利用第一虚拟分中心的公钥对第二通信信息进行解密，得到第三通信信息，包括：
27.在第二虚拟分中心，查询第一虚拟分中心是否在预设访问控制列表；
28.若第一物联网应用不在预设访问控制列表，则利用第一虚拟分中心的公钥对第二通信信息进行解密，得到第三通信信息。
29.第二方面，本发明提供一种电力物联网的安全防护装置，包括：
30.接收模块，用于接收第一物联网应用的通信请求，通信请求包括第二物联网应用和第一通信信息；
31.查询模块，用于响应于通信请求，查询第二物联网应用对应的第二虚拟分中心的通信地址；
32.加密模块，用于利用第一物联网应用对应的第一虚拟分中心的私钥，对第一通信信息进行加密，得到第二通信信息，并根据通信地址，将第二通信信息发送至第二虚拟分中心；
33.解密模块，用于在第二虚拟分中心，利用第一虚拟分中心的公钥对第二通信信息进行解密，得到第三通信信息；
34.重组模块，用于将第三通信信息重组后发送至第二物联网应用。
35.作为优选，查询模块，包括：
36.执行单元，用于响应于通信请求，在第一虚拟分中心执行第一查询操作，第一查询操作用于查询第二虚拟分中心的通信地址；
37.确定单元，用于确定第一查询操作是否执行成功；
38.确认单元，若第一查询操作执行成功，则确认查询到第二虚拟分中心的通信地址。
39.第三方面，本发明提供一种计算机设备，包括处理器和存储器，存储器用于存储计算机程序，计算机程序被处理器执行时实现如第一方面的安全防护方法。
40.第四方面，本发明提供一种计算机可读存储介质，其存储有计算机程序，计算机程序被处理器执行时实现如第一方面的安全防护方法。
41.需要说明的是，上述第二方面至第四方面的有益效果请参见上述第一方面的相关描述，在此不再赘述。
附图说明
42.图1为本发明实施例示出的安全防护方法的流程示意图；
43.图2为本发明实施例示出的电力物联网环境的结构示意图；
44.图3为本发明实施例示出的安全防护装置的结构示意图；
45.图4为本发明实施例示出的计算机设备的结构示意图。
具体实施方式
46.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
47.如相关技术记载，当前安全防护技术无法防止黑客利用已有设备和已有通信协议发送攻击型指令引发全网配电混乱。例如，攻击者根据已有的海量感知设备虚拟出大量虚拟指令进行拒绝服务攻击，则极可能导致接口服务瘫痪。
48.为此，本发明实施例提供一种电力物联网的安全防护方法，通过引入多个虚拟分中心，并利用每个虚拟分中心管理多个感知设备，以达到控制海量感知设备的目的，以虚拟分中心作为中介节点，能够有效提高网络处理能力，从而能够有效防护电力物联网受到的网络攻击。同时通过虚拟分中心的寻址功能，查询第二虚拟分中心的通信地址，以实现虚拟分中心之间的通信；再利用第一虚拟分中心的私钥对第一通信信息进行加密，利用第一虚拟分中心的公钥对第二通信信息进行解密，以保证虚拟分中心之间的通信安全，保障虚拟网络内部的认证通信，最后将第三通信信息重组后发送至第二物联网应用，从而实现海量感知设备之间的安全通信，提高电力物联网环境的安全可靠性。
49.请参照图1，图1为本发明实施例提供的一种电力物联网的安全防护方法的流程示意图。本发明实施例的电力物联网的安全防护方法可应用于计算机设备，该计算机设备搭载有电力物联网环境，该计算机设备包括但不限于笔记本电脑、桌上型计算机、物理服务器和云服务器等设备。
50.图2示出了本发明实施例提供的一种电力物联网环境的结构示意图，该电力物联网环境包括虚拟总中心、虚拟网关、虚拟分中心和用于代理感知设备的应用代理。下面结合
电力物联网环境对安全防护方法进行说明，如图1所示，本实施例的电力物联网的安全防护方法包括步骤s101至步骤s105，详述如下：
51.步骤s101，接收第一物联网应用的通信请求，所述通信请求包括第二物联网应用和第一通信信息。
52.在本步骤中，物联网应用为应用代理所代理的感知设备的应用程序。当感知设备需要进行通信时，通过应用代理发起通信请求。
53.步骤s102，响应于所述通信请求，查询所述第二物联网应用对应的第二虚拟分中心的通信地址。
54.在本步骤中，虚拟分中心和虚拟总中心具备寻址功能，包括本地寻址功能和向上寻址功能。通过虚拟分中心或虚拟总中心的寻址功能，查询第二虚拟分中心的通信地址。可选地，在第一虚拟分中心进行本地寻址，若在本地能够查找到第二虚拟分中心的通信地址，则继续执行步骤s103；若在本地无法查找到第二虚拟分中心的通信地址，则利用虚拟总中心或者第二虚拟分中心的上级虚拟分中心进行向上寻址，以查找到第二虚拟分中心的通信地址。
55.可选地，虚拟分中心和虚拟总中心部署在一个虚拟机上，主要实现虚拟机分中心服务器的注册、密钥更换等业务，以及虚拟机注册、维修、变更等业务；通过虚拟机注册，发放虚拟机上运行的设备通信代理的密钥，形成下属虚拟机的公私钥存储，向上级服务器或中央服务器上报最新版本的公私钥信。虚拟分中心提供管理员操作界面，采用b/s架构，将用户输入的信息存储在数据库中，并调用下层模块接口实现相关功能，主要功能包括虚拟机注册(对虚拟机的软件代理发放密钥，密钥源自上级分中心定期分配)；可注册本分中心所辖范围内的虚拟化安全产品和实体安全产品；可设置本分中心服务器所管辖的云中虚拟机和所辖设备之间的访问控制策略。
56.虚拟网关以虚拟化形式部署在虚拟化环境中，成为服务于电力物联网的虚拟化环境的总网关。该网关可直接访问虚拟化分中心，通过虚拟分中心的寻址功能，获取其他分中心的公钥，构建本地虚拟化环境与其他分中心的加密通信通道。实现公钥本地寻址和向上寻址，从而实现支持跨分中心服务器的设备之间的加密通信。虚拟网关可协调虚拟化资源池内的虚拟防火墙、虚拟网络防病毒等安全产品，实现有针对性的通信防护。
57.步骤s103，利用所述第一物联网应用对应的第一虚拟分中心的私钥，对所述第一通信信息进行加密，得到第二通信信息，并根据所述通信地址，将所述第二通信信息发送至所述第二虚拟分中心。
58.在本步骤中，利用第一虚拟分中心的私钥进行加密，以能够在第二虚拟分中心采用第一虚拟分中心的公钥进行解密。同时通过对通信信息进行加密，保障虚拟网络内部的认证通信。
59.可选地，虚拟分中心或虚拟总中心的本地加密存储本分中心密钥和上级分中心公钥(本虚拟机分中心向上注册时获得)，本地分中心与上级分中心通信，实现非对称加密；本地存储设备公钥(在注册设备时转存到本模块的ldap树中)；本地加密存储设备密钥池(本分中心与上级分中心首次通信时获得100个公私钥对，每注册一个设备，将私钥发送给设备，公钥存入ldap树，并在池中删除，到本地密钥池低于50个时，重新向上级分中心申请100个公私钥对)。
60.步骤s104，在所述第二虚拟分中心，利用所述第一虚拟分中心的公钥对所述第二通信信息进行解密，得到第三通信信息；
61.在本步骤中，由于第二通信信息通过私钥进行加密，所以需要采用公钥进行解密，保障虚拟网络内部的信息安全。
62.步骤s105，将所述第三通信信息重组后发送至所述第二物联网应用。
63.在本步骤中，通过将第三通信信息重组后发送至第二物联网应用，从而实现海量感知设备之间的安全通信，提高电力物联网环境的安全可靠性。
64.在一实施例中，在图1所示实施例的基础上，上述步骤s102，包括：
65.响应于所述通信请求，在所述第一虚拟分中心执行第一查询操作，所述第一查询操作用于查询所述第二虚拟分中心的通信地址；
66.确定所述第一查询操作是否执行成功；
67.若所述第一查询操作执行成功，则确认查询到所述第二虚拟分中心的通信地址。
68.在本可选实施例中，通过第一虚拟分中心的本地寻址功能进行寻址，若查询到第二虚拟分中心的通信地址，则可以通过该通信地址向第二虚拟分中心发送通信信息，再将通信信息转发至物联网应用，实现基于虚拟分中心通信的物联网应用交互，虚拟分中心能够管理多个感知设备，有效提高网络处理能力，避免大量攻击而导致物联网崩溃。
69.可选地，所述确定所述第一查询操作是否执行成功之后，还包括：
70.若所述第一查询操作执行失败，则在所述第二虚拟分中心的上级虚拟分中心执行第二查询操作；
71.若所述第二查询操作执行成功，则将所述第一通信信息发送至所述第二物联网应用。
72.在本可选实施例中，当本地寻址功能无法查询到第二虚拟分中心的通信地址时，则向第二虚拟分中心的上级分中心进行向上寻址。可以理解的是，第二虚拟分中心也可以通过本地寻址功能或向其他分中心进行向上寻址功能以查找到第一虚拟分中心的公钥等信息。
73.可选地，所述将所述第一通信信息发送至所述第二物联网应用，包括：
74.在所述上级虚拟分中心，利用所述第二虚拟分中心的公钥对所述第一通信进行加密，得到第四通信信息；
75.根据所述通信地址，将所述第四通信信息发送至所述第二虚拟分中心；
76.在所述第二虚拟分中心，利用所述第二虚拟分中心的私钥对所述第四通信信息进行解密，得到第五通信信息，并将所述第五通信信息重组后发送至所述第二物联网应用。
77.在可选实施例中，通过第二虚拟分中心的公钥进行加密，再利用第二虚拟分中心的私钥进行解密，以实现向上寻址功能后的加密和解密，保障网络内部的通信安全。
78.在一实施例中，在图1所示实施例的基础上，上述步骤s102之前，还包括：
79.在所述第一虚拟分中心，查询所述第一物联网应用是否在预设访问控制列表，所述预设访问控制列表为黑名单；
80.若所述第一物联网应用不在所述预设访问控制列表，则执行所述响应于所述通信请求，查询所述第二物联网应用对应的第二虚拟分中心的通信地址的步骤。
81.在本可选实施例中，访问控制列表有存储分中心服务器设定的访问控制策略，并
将之计算成本分中心所辖云的虚拟化防火墙、虚拟化流量监控、实体防火墙的策略，并传送到虚拟网关管理平台上。具体而言，访问控制列表为黑名单，以控制物联网应用的访问，避免非法设备接入，同时能够在监测到网络攻击时，及时将发起网络攻击的设备加入到访问控制列表中，以达到及时防范网络攻击的目的，保障电力物联网的安全可靠性。
82.在一实施例中，在图1所示实施例的基础上，上述步骤s104，包括：
83.在所述第二虚拟分中心，查询所述第一虚拟分中心是否在预设访问控制列表；
84.若所述第一物联网应用不在所述预设访问控制列表，则利用所述第一虚拟分中心的公钥对所述第二通信信息进行解密，得到所述第三通信信息。
85.在本可选实施例中，在第二虚拟分中心再次验证第一虚拟分中心的访问控制策略，避免网络攻击在躲避请求发起端的认证通信而导致接收端依旧存在网络攻击的问题，进一步有效提高电力物联网的安全可靠性。
86.为了执行上述方法实施例对应的电力物联网的安全防护方法，以实现相应的功能和技术效果。参见图3，图3示出了本发明实施例提供的一种安全防护装置的结构框图。为了便于说明，仅示出了与本实施例相关的部分，本发明实施例提供的安全防护装置，包括：
87.接收模块301，用于接收第一物联网应用的通信请求，所述通信请求包括第二物联网应用和第一通信信息；
88.查询模块302，用于响应于所述通信请求，查询所述第二物联网应用对应的第二虚拟分中心的通信地址；
89.加密模块303，用于利用所述第一物联网应用对应的第一虚拟分中心的私钥，对所述第一通信信息进行加密，得到第二通信信息，并根据所述通信地址，将所述第二通信信息发送至所述第二虚拟分中心；
90.解密模块304，用于在所述第二虚拟分中心，利用所述第一虚拟分中心的公钥对所述第二通信信息进行解密，得到第三通信信息；
91.重组模块305，用于将所述第三通信信息重组后发送至所述第二物联网应用。
92.作为优选，所述查询模块302，包括：
93.执行单元，用于响应于所述通信请求，在所述第一虚拟分中心执行第一查询操作，所述第一查询操作用于查询所述第二虚拟分中心的通信地址；
94.确定单元，用于确定所述第一查询操作是否执行成功；
95.确认单元，若所述第一查询操作执行成功，则确认查询到所述第二虚拟分中心的通信地址。
96.作为优选，所述查询模块302，还包括：
97.第二执行单元，若所述第一查询操作执行失败，则在所述第二虚拟分中心的上级虚拟分中心执行第二查询操作；
98.发送单元，若所述第二查询操作执行成功，则将所述第一通信信息发送至所述第二物联网应用。
99.作为优选，所述发送单元，包括：
100.加密子单元，用于在所述上级虚拟分中心，利用所述第二虚拟分中心的公钥对所述第一通信进行加密，得到第四通信信息；
101.发送子单元，用于根据所述通信地址，将所述第四通信信息发送至所述第二虚拟
分中心；
102.加密子单元，在所述第二虚拟分中心，利用所述第二虚拟分中心的私钥对所述第四通信信息进行解密，得到第五通信信息，并将所述第五通信信息重组后发送至所述第二物联网应用。
103.作为优选，所述安全防护装置，还包括：
104.第二查询模块，用于在所述第一虚拟分中心，查询所述第一物联网应用是否在预设访问控制列表，所述预设访问控制列表为黑名单；
105.执行模块，用于若所述第一物联网应用不在所述预设访问控制列表，则执行所述响应于所述通信请求，查询所述第二物联网应用对应的第二虚拟分中心的通信地址的步骤。
106.作为优选，所述解密模块304，包括：
107.在所述第二虚拟分中心，查询所述第一虚拟分中心是否在预设访问控制列表；
108.若所述第一物联网应用不在所述预设访问控制列表，则利用所述第一虚拟分中心的公钥对所述第二通信信息进行解密，得到所述第三通信信息。
109.上述的安全防护装置可实施上述方法实施例的安全防护方法。上述方法实施例中的可选项也适用于本实施例，这里不再详述。本发明实施例的其余内容可参照上述方法实施例的内容，在本实施例中，不再进行赘述。
110.图4为本发明一实施例提供的计算机设备的结构示意图。如图4所示，该实施例的计算机设备4包括：至少一个处理器40(图4中仅示出一个)处理器、存储器41以及存储在所述存储器41中并可在所述至少一个处理器40上运行的计算机程序42，所述处理器40执行所述计算机程序42时实现上述任意方法实施例中的步骤。
111.所述计算机设备4可以是桌上型计算机和云端服务器等计算设备。该计算机设备可包括但不仅限于处理器40、存储器41。本领域技术人员可以理解，图4仅仅是计算机设备4的举例，并不构成对计算机设备4的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如还可以包括输入输出设备、网络接入设备等。
112.所称处理器40可以是中央处理单元(central processing unit，cpu)，该处理器40还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
113.所述存储器41在一些实施例中可以是所述计算机设备4的内部存储单元，例如计算机设备4的硬盘或内存。所述存储器41在另一些实施例中也可以是所述计算机设备4的外部存储设备，例如所述计算机设备4上配备的插接式硬盘，智能存储卡(smart media card，smc)，安全数字(secure digital，sd)卡，闪存卡(flash card)等。进一步地，所述存储器41还可以既包括所述计算机设备4的内部存储单元也包括外部存储设备。所述存储器41用于存储操作系统、应用程序、引导装载程序(bootloader)、数据以及其他程序等，例如所述计算机程序的程序代码等。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
114.另外，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述任意方法实施例中的步骤。
115.本发明实施例提供了一种计算机程序产品，当计算机程序产品在计算机设备上运行时，使得计算机设备执行时实现上述各个方法实施例中的步骤。
116.在本发明所提供的几个实施例中，可以理解的是，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意的是，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。
117.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read－only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
118.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步的详细说明，应当理解，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围。特别指出，对于本领域技术人员来说，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。