一种面向电力物联网的数据隔离交换和安全过滤方法
一种面向电力物联网的数据隔离交换和安全过滤方法
【技术领域】
[0001] 本发明设及一种安全隔离交换方法,具体设及一种面向电力物联网的数据隔离交 换和安全过滤方法。
【背景技术】
[0002] 安全隔离与信息交换技术的基本原理是,通过一种专用硬件一一隔离装置,使两 个或者两个W上网络在不连通的情况下进行网络之间的安全数据传输和资源共享。具体做 法一般是,隔离装置切断网络之间的TCP/IP连接,分解或重组TCP/IP数据包,进行安全审 查,然后与另一边的主机建立有效连接并把数据发送出去。
[0003] 在智能电网发展背景下,电力物联网环境中存在海量智能终端、智能刀闽、作业终 端W及各种电力业务系统,运些终端和系统需要与电力信息网进行频繁的数据交互。由于 电力信息网属于设密网络,而上述终端和系统多通过移动APN网络或者互联网完成接入,两 者的交互对电力信息网来说存在明显的安全风险,因此必须采取隔离防护措施。然而现有 的安全隔离与信息交换技术存在明显不足,难W满足电力物联网的隔离交换需求,具体表 现为:
[0004] 1、隔离强度不足
[0005] 隔离与交换是一对矛盾,传统的安全隔离与信息交换技术基于TCP/IP数据包的分 解和重组,在解决隔离与交换的矛盾问题上存在明显不足。绝大多数特定的数据交换都需 要承载于特定的应用协议,而一旦在安全隔离与信息交换模型中加入应用层协议的考虑, 就会发现TCP/IP报文重组并不能完全消除应用层协议引入的安全风险。假设非设密网络通 过安全隔离与信息交换系统与设密网络中的化acle数据库进行数据交换,此时非设密网络 和设密网络都必须基于TNS协议进行通信,而TCP/IP报文在经过硬件交换矩阵后仍需还原 成TNS协议报文格式,运就导致非设密网络的攻击者实际上完全可W通过公开的TNS协议报 文实现对设密网络数据库的攻击。传统安全隔离与信息交换技术对运种攻击的防御措施是 尽可能增强应用层过滤能力,但运显然已经退化到应用层防火墙的水平。
[0006] 2、过滤深度和效率存在矛盾
[0007] 传统的安全隔离与信息交换技术体系中,安全过滤是重要的一环。许多相关产品 都声称具备内容级的过滤能力。然而内容过滤算法不可能是没有性能代价的,内容过滤的 深度越深,其造成的延迟和吞吐量下降情况越严重。传统的安全隔离与信息交换技术体系 试图在隔离装置上完成深度过滤,运在工业环境中很可能是不可行的。例如电力物联网环 境中设及的终端数W亿计,数据交换流量巨大,对数据交换延迟也有严格要求,传统的安全 隔离与信息交换技术体系只能通过关闭过滤功能或者降低过滤深度来应对,在解决过滤深 度和效率的矛盾方面存在明显不足。
【发明内容】
[000引为了克服上述现有技术的不足,本发明提供一种面向电力物联网的数据隔离交换 和安全过滤方法,本发明通过引入前置代理和私有应用层协议实现了完善的协议隔离,大 大提高了隔离强度。
[0009] 为了实现上述发明目的,本发明采取如下技术方案:
[0010] -种面向电力物联网的数据隔离交换和安全过滤方法,所述方法包括如下步骤:
[0011] (1)构建一种基于前置代理和专有协议的隔离架构;
[0012] (2)在前置代理部分进行特征向量提取;
[0013] (3)在所述前置代理部分进行标签封装,在隔离服务侧进行标签解析;
[0014] (4)在隔离服务侧实现标签过滤;
[0015] (5)在所述隔离服务侧结合特征向量和标签过滤进行内容过滤。
[0016] 优选的,所述步骤(1)中,所述隔离架构包括基于TCP/IP协议专有的应用层交换协 议、专用安全隔离装置和前置代理,所述隔离架构用于将用户交互过程映射为所述应用层 交换协议报文,W实现数据交换。
[0017]优选的,所述步骤(2)中,包括如下步骤:
[001引步骤2-1、对报文内容Τι进行预处理;
[0019] 步骤2-2、对所述报文内容Τι进行特征提取;
[0020] 步骤2-3、生成报文特征向量V '和隔离服务侧中敏感库的特征向量V;
[0021] 步骤2-4、将提取的特征向量保存到报文的标签字段中。
[0022] 优选的,所述步骤2-1中,所述预处理为通过ICTCLAS分词接口,将文本文件进行分 词解析,报文内容Τι分词后表示为如下形式:
[0023] Ti 二,(iii2,li2,Pi2) ,......, (iiin , lin , Pin))
[0024] 式中:Ti表示报文i,ain表示划分出来的词组,lin表示词组的长度,Pin表示划分出 来的词组的词性。
[0025] 优选的,所述步骤2-2中,包括如下步骤:
[0026] 步骤2-2-1、对所述报文内容Τι进行词性选择,提取分析后的文本词组中的名词性 词组,删除其它词性,所述报文内容Τι经过词性选择后,表达式如下:
[0027]
[002引式中:Tai为提取名词之后的文本,(诚乂诚为名词,培为名词词组的长度;
[0029] 步骤2-2-2、统计关键字的出现频率,形成分词Ξ元组,包含词组、词组在本文本中 出现的频率和词性,将化1增加一个词频项,表达式如下:
[0030]
[0031] 式中:Tbi为统计词频之后的文本,4为统计词频后的词组,//;为统计词频后词组 的长度,记为 < 的词频;
[0032] 步骤2-2-3、计算每个关键字的长度并删除单个字的关键字,表达式如下:
[0033]
[0034] 式中:Tci为删除关键字为单个字之后的文本,其中诚为长度大于一个字的词组, 说为省词频;
[0035] 步骤2-2-4、剔除关键字出现一次的词组,得到的最终表达式为:
[0036]
[0037] 其中:Tdi为剔除关键字出现一次之后的文本,端为剔除关键字出现一次之后的 词组,/;;:为端的词频,其中1。
[0038] 优选的,所述步骤2-3中,包括如下步骤:
[0039] 步骤2-3-1、基于TF-IDF公式对词组的权值进行计算,公式为:
[0040] cUj = tij*log(N/nj)
[OOW 其中,dij为词组au在文本Τι中出现的次数,等于Tdi中的.篇,N为文档的总数,nj为 文档库中包含词组aij的文档的个数;
[0042] 步骤2-3-2、由敏感库数据组成的特征向量表示为:
[0043] V= ((aii'dii), (ai2,di2),......, (aim,dim),......, (ani ,dni), (ani ,dni),......, (过恤,dnin))
[0044] 简记为:
[0045] V=(dll,dl2,......,dlm,......, dnl, dn2 ,......,dnm)
[0046] 步骤2-3-3、根据步骤2-3-2,得到报文的特征向量简记为:
[0047] V' = ( d' 11,d' 12,......,d' Im,......,d' nl,d' n2,......,d' nm)。
[004引优选的,所述步骤(3)中,所述标签包括用户信息lKk,v)、数据属性信息AcKk,v), 特征向量V '、生成时间T和加密标识化信息,表达式为:
[0049] Label = WA,v),AcKk,v),V',T,Fe)
[0050] 所述前置代理部分进行标签封装包括如下步骤:
[0051] 步骤3-1-1、用户信息U、数据属性信息AcKk,v),特征向量V'、生成时间T按序排列, 并分块成N块;
[0052] 步骤3-1-2、随机选择N块中的N1块,设置加密标识,并对数据进行加密获得EN1;
[0053] 步骤3-1 -3、记录随机选择过程R,将R作为块,设置加密标识,加密R获得ER;
[0054] 步骤3-1-4、对剩余的N2 (N-N1)块不设置加密标识;
[00对步骤3-1-5、计算所述EN1的长度和所述邸的长度,并连接EN1长度、EN1、邸长度、ER 和N2得标签封装后的私有协议数据E;
[0056] 所述在隔离服务侧进行标签解析包括如下步骤:
[0057] 步骤3-2-1、获取所述私有协议数据E;
[0化引步骤3-2-2、提取所述EN1长度,通过EN1长度提取EN1,并解密EN1获得N1;
[0059] 步骤3-2-3、提取ER长度,通过ER长度提取ER,并解密ER获得R;
[0060] 步骤3-2-4、提取后面的数据N2;
[0061 ] 步骤3-2-5、通过随机选择过程R,将N1和N2恢复到U(k,V),Ad (k,V),V '和T。
[0062]优选的,所述步骤(4)中,所述标签过滤是通过策略规则,依客户端提供的数据属 性,对数据进行过滤;所述策略规则由左括号[,关键字begin,表达式e邱,关键字end,右括 号]构成;所述表达式由基本项和构成项构成,所述基本项包括变量var、数值和字符串,所 述构成项是由变量、数值和字符串,通过一元、二元操作符连接的复杂表达式。
[0063] 优选的,所述标签过滤包括如下步骤:
[0064] 步骤4-1、提取所述用户信息lKk,v)和所述数据属性信息AcKk,v)重新赋给新的属 性信息Ad'化,V);
[0065] 步骤4-2、从策略库中提取策略规则;
[0066] 步骤4-3、遍历策略规则表达式exp,提取表达式中的变量var;
[0067] 步骤4-4、将所述var为键从所述Ad'化,ν)中提取var对应值V;
[0068] 步骤4-5、将策略规则中的var由V替代,并计算表达式;
[0069] 步骤4-6、依据计算结 果判定数据是否被过滤,并记录日志。
[0070] 优选的,所述步骤(5)中,包括如下步骤:
[0071] 步骤5-1、特征向量V'与隔离服务侧中敏感库的特征向量V通过余弦计算得到余弦 相似度值,余弦相似度计算公式如下:
[0072]
[0073] 式中,V'和V为两个特征向量,V' · V为标准向量点积,定义为2]^八,Κ,t为向量的 维数,分母中的范数IIV'II定义为^/^?^,分母中的范数IIVII定义为^/]:^;:
[0074] 步骤5-2、通过将余弦相似度值与预定义的相似度阔值比较,分析得到报文是否携 带设密信息,对设密的文档进行过滤。
[0075] 与现有技术相比,本发明的有益效果在于:
[0076] 本发明只需要提供一个私有的JDBC驱动,在非设密网络并不需要开放TNS协议通 信,仅在设密网络开放TNS协议通信,运样隔离边界两侧网络的报文完全经过语义翻译,不 具备简单映射关系,非设密网络的攻击者无法攻击内网TNS协议漏桐,从而实现了完善的协 议隔离,大大提高了隔离强度。
[0077] 本发明通过基于特有的隔离交换架构,将深度内容解析和内容特征值提取前移到 前置代理侧完成,在隔离装置侧则只进行特征值匹配,运样隔离边界的计算需求大幅降低。 在电力物联网环境下,该技术可W利用数W亿计的智能终端设备实现分布式的内容过滤计 算,从而实现高效率低延迟的分布式内容过滤。较好的解决了过滤深度和交换效率的矛盾。
[0078] 本发明通过引入前置代理,将隔离交换的边界前移至终端侧,电力物联网环境下 大量的智能终端基于可信计算的理念构建,运行在智能终端的前置代理软件可W与智能终 端的可信计算体系相结合,通过私有应用层协议加固,将整个隔离交换体系纳入到可信交 换系中去,从而实现可信隔离交换。
【附图说明】
[0079] 图1是本发明提供的一种面向电力物联网的数据隔离交换和安全过滤方法流程图
[0080] 图2是本发明提供的在前置代理部分实现特征向量提取的流程图
[0081] 图3是本发明提供的标签及私有协议封装将标签内容进行私有格式化处理的流程 图
[0082] 图4是本发明提供的策略过滤的流程图
【具体实施方式】
[0083] 下面结合附图对本发明作进一步详细说明。
[0084] 如图1所示,本发明提供了一种面向电力物联网的数据隔离交换和安全过滤方法, 采取如下技术方案:
[0085] 步骤1、隔离架构的构建
[0086] 构建一种基于前置代理和专有协议的隔离架构,包括一种基于TCP/IP协议的专有 的应用层交互协议、一种专用安全隔离装置,该装置一方面具备硬件级的TCP/IP协议分解 重组和交换能力,另一方面仅支持上述专用应用层协议通信,拒绝一切第Ξ方公开应用层 协议、一种前置代理,可W是驱动、SDK或者硬件插件等形式,在本架构中主要作用是将用户 交互过程映射为专用应用层协议报文,W实现数据交换,前置代理在实际实现过程中也能 够起到终端加固和可信认证的作用。
[0087] 步骤2、在前置代理部分实现特征向量提取,如图2所示
[008引首先对报文内内容Ti进行预处理,之后进行特征提取生成报文特征向量V'和敏感 库特征向量V,并将提取的特征向量保存到报文的标签字段中。
[0089] (1)预处理
[0090] 通过ICTCLAS分词接口,将文本文件进行分词解析,报文内容Τι分词后表示为如下 形式:
[0091 ] Ti 二((iiil,lil,Pil),(iii2,li2,Pi2),......, (iiin , lin , Pin))
[0092] 其中:Ti表示报文i,ain表示划分出来的词组,lin表示词组的长度,Pin表示划分出 来的词组的词性。
[0093] (2)特征提取
[0094] 1)词性选择
[0095] 在中文的文本中,根据词性取其中能够最强烈表达文章内容的关键词,用于后面 的特征提取,有助于消除冗余,简便计算过程。因此提取分析后的文本词组中的名词性词 组,删除其它词性。文本文件Τι经过词性选择后,表示为如下:
[0096]
[0097] 式中:Tai为提取名词之后的文本,(口,<为名词,環为名词词组的长度。
[009引 2)词频统计
[0099] 统计关键字的出现频率,形成分词Ξ元组,包含词组,词组在本文本中出现的频率 和词性。将乂,增加一个词频项,进一步表达为:
[0100]
[0101] 式中:Tbi为统计词频之后的文本,诚为统计词频后的词组,G为统计词频后词组 的长度,货为α直的词频。
[0102] 3)词长选择
[0103] 在中文的文本中,词比字有着更强的表达能力,计算每个关键字的长度并删除单 个字的关键词。进一步表达为:
[0104]
[01化]式中:Tci为删除关键字为单个字之后的文本,其中4为长度大于一个字的词组, 滅为4词频。
[0106] 4)词频选择
[0107] 在中文的文本中,只出现一次的词具有偶然性不具备代表性,因此剔除统计后的 文本分词Ξ元组中只出现过一次的词组。得到最终的特征二元组表达为:
[010 引
[0109] 其中:Tdi为剔除关键字出现一次之后的文本,端,为剔除关键字出现一次之后的词 组,滅为端的词频,其中端>1。
[0110] (3)生成特征向量
[0111] 对词的权值的计算是衡量特征值的有效方法,目前广泛使用的是基于统计方法的 TF-IDF公式,运个公式在大量实际使用中被证明是可行的有效的。其核屯、思想是,认为某个 词在其它文本中出现的次数越是少,那么运个词就包含越多的信息,越能够代表文档的类 型,相反,如果在其它文档中也是大量的出现,那么运个词就不具有代表性。
[0112] 目前常用的计TF-IDF计算公式表示为:
[011引 cUj = tij*log(N/nj)
[0114] 其中,ti功词组au在文本Τι中出现的次数,等于Tdi中的fim,N为文档的总数,nj为 文档库中包含词组aij的文档的个数。
[0115] 由敏感库数据组成的特征向量表示为:
[0116] V= ((aii,dii), (ai2,di2),......, (aim,dim),......, (ani ,dni), (ani ,dni),......, (过恤,dnin))
[0117] 简记为:
[011 引 V=(dll,dl2,......,dlm,......, dnldn2 ,......,dnm)
[0119] 同样的方法得到报文的特征向量简记为:
[0120] V,=(d,ll,d,12,......,d,lm,......,d,nld,n2,......,d,nm)
[0121] 步骤3、在前置代理部分实现标签封装,在隔离服务侧实现标签解析
[0122] 标签封装和解析包含有标签,标签及私有协议封装,标签及私有协议解析。标签封 装和解析通过在发送端对访问用户的用户信息,发送数据属性信息,数据的特征向量信息 进行标记,然后通过私有协议对数据进行随机分块加密,再发送至服务端。在服务端,通过 解析技术首先将数据恢复。恢复后的数据为标签过滤和特征向量过滤服务。
[0123] 标签包括用户信息U、数据属性信息,特征向量V、生成时间T和加密标识等信息。
[0124] Label =化化,v),AcKk,v),V',T,Fe)
[0125] 其中,
[0126] 1)用户信息包括用户身份信息和用户请求操作信息,用户信息W键值对的形式存 在;
[0127] 2)数据属性信息包含有数据类型、数据大小、数据创造者、数据修改时间等,数据 属性也W键值对的形式存在。
[0128] 3)特征向量用于服务端的基于特征向量的内容过滤;
[0129] 4)生成时间为标签产生的时间;
[0130] 5)加密标识用于标识标签分块后,块数据是否被加密,加密标识在服务端不解析 时使用。
[0131] 如图3所示,标签及私有协议封装将标签内容进行私有格式化处理,步骤如下,
[0132] 步骤a:将用户信息U、数据属性信息AcKk,v),特征向量V'、生成时间T按序排列,并 分块成N块;
[0133] 步骤b:随机选择N块中的N1块,设置加密标识,并对数据进行加密获得EN1;
[0134] 步骤C:记录随机选择过程R,将R作为块,设置加密标识,加密R获得ER;
[0135] 步骤d:对剩余的N2(N-N1)块不设置加密标识;
[0136] 步骤e:计算EN1的长度和邸的长度,然后连接EN1长度、EN1、邸长度、邸和N2得E,上 述过程如图例3所示。
[0137] 标签及私有化协议封装后,将W报文形式发送至服务端。服务端首先对报告进行 标签及私有协议解析,恢复标签值,步骤如下:
[0138] 步骤a:获取私有协议数据E;
[0139] 步骤b:提取EN1长度,通过EN1长度提取EN1,并解密EN1获得N1;
[0140] 步骤C:提取ER长度,通过ER长度提取ER,并解密ER获得R;
[0141] 步骤d:提取后面的数据N2;
[0142] 步骤e:通过随机选择过程R,将N1和N2恢复到U化,V),Ad化,V),V'和T。
[0143] 步骤4、在隔离服务侧实现标签过滤
[0144] 标签过滤通过设计灵活的策略规则,依客户端提供的数据属性,对数据进行过滤。
[0145] 策略规则为策略过滤的规范。策略规则提供了一个统一的策略描述,W能够处理 属性信息来达到过滤数据的目的。为了方便计算与扩展, 策略规则设计为自定义的表达式, 它由变量、值和操作符构成。变量值依据变量从数据属性信息中提取,操作符和变量由具体 策略设置。过滤时,将属性值替换变量值,然后计算策略表达式,最后输出计算结果。由于策 略规则使用表达式,所W策略规则非常灵活。
[0146] 形式化策略规则,
[0147] 策略规则由左括号[,关键字begin,表达式(exp),关键字end,右括号]构成。表达 式由两部分构成,
[0148] 基本项:变量(var)、数值(float和integer)和字符串(string);
[0149] 构成项:由变量、数值和字符串,通过一元(opu)、二元(opb)操作符连接的复杂表 达式。
[0150] 使用自定义的表达式来描述策略规则,能够使基于策略的过滤不仅方便、而且操 作性强,扩展性灵活。策略过滤流程如图4所示,
[0151] 步骤a:从解析步骤中提取用户信息和数据属性信息lKk,v)和AcKk,v),并重新赋 给新的属性信息AcKk,v);
[0152] 步骤b:从策略库中提取策略规则exp;
[0153] 步骤c:遍历策略规则表达式exp,提取表达式中的变量var;
[0154] 步骤d:将var为键从AcKk,V)中提取var对应值v(整型数、浮点型数和字符串);
[0155] 步骤e:将策略规则中的var由V替代,并计算表达式;
[0156] 步骤f:依据计算结果判定数据是否被过滤,并记录日志。
[0157] 步骤5、在隔离服务侧结合特征向量和标签过滤实现内容过滤
[0158] 提取解析标签中的特征向量值V',与隔离装置上的敏感库的特征向量V通过余弦 计算得到相似度,余弦相似度计算公式如下:
[0159]
[0160] 式中,V'和V为两个特征向量,V' · V为标准向量点积,定义呆
t为向量 的维数,向量一般可W表示为一个数列,数列中的每个数称为分量,维数即分量的个数,例 如(al,a2,a3)的维数为3,分母中的范数MV'M定义为
;
[0161] 通过将余弦相似度值与预定义的相似度阔值比较,分析得到报文是否携带设密信 息,对设密的文档进行过滤,达到内容过滤的功能。
[0162] 最后应当说明的是:W上实施例仅用W说明本发明的技术方案而非对其限制,尽 管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然 可W对本发明的【具体实施方式】进行修改或者等同替换,而未脱离本发明精神和范围的任何 修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。
【主权项】
1. 一种面向电力物联网的数据隔离交换和安全过滤方法,其特征在于,所述方法包括 如下步骤: (1) 构建一种基于前置代理和专有协议的隔离架构; (2) 在前置代理部分进行特征向量提取; (3) 在所述前置代理部分进行标签封装,在隔离服务侧进行标签解析; (4) 在隔离服务侧实现标签过滤; (5) 在所述隔离服务侧结合特征向量和标签过滤进行内容过滤。2. 根据权利要求1所述的方法,其特征在于,所述步骤(1)中,所述隔离架构包括基于 TCP/IP协议专有的应用层交换协议、专用安全隔离装置和前置代理,所述隔离架构用于将 用户交互过程映射为所述应用层交换协议报文,以实现数据交换。3. 根据权利要求1所述的方法,其特征在于,所述步骤(2)中,包括如下步骤: 步骤2-1、对报文内容Ti进行预处理; 步骤2-2、对所述报文内容1\进行特征提取; 步骤2-3、生成报文特征向量V '和隔离服务侧中敏感库的特征向量V; 步骤2-4、将提取的特征向量保存到报文的标签字段中。4. 根据权利要求3所述的方法,其特征在于,所述步骤2-1中,所述预处理为通过 ICTCLAS分词接口,将文本文件进行分词解析,报文内容Ti分词后表示为如下形式: Ti - ((ail,lil,Pil) , (ai2,li2,Pi2) ,......, (clin , Iin , Pin)) 式中:Ti表不报文i,ain表不划分出来的词组,Iin表不词组的长度,Pin表不划分出来的词 组的词性。5. 根据权利要求3所述的方法,其特征在于,所述步骤2-2中,包括如下步骤: 步骤2-2-1、对所述报文内容1\进行词性选择,提取分析后的文本词组中的名词性词组, 删除其它词性,所述报文内容1^经过词性选择后,表达式如下:式中:Ta1S提取名词之后的文本:为名词,ξ为名词词组的长度; 步骤2-2-2、统计关键字的出现频率,形成分词三元组,包含词组、词组在本文本中出现 的频率和词性,将Tai增加一个词频项,表达式如下:式中:Tb1为统计词频之后的文本,< 为统计词频后的词组,//2为统计词频后词组的长 度,为4的词频; 步骤2-2-3、计算每个关键字的长度并删除单个字的关键字,表达式如下:式中:Tc1为删除关键字为单个字之后的文本,其中为长度大于一个字的词组,&为 4词频; 步骤2-2-4、剔除关键字出现一次的词组,得到的最终表达式为:其中:Td1为剔除关键字出现一次之后的文本,< 为剔除关键字出现一次之后的词组, 总为的词频,其中6. 根据权利要求3所述的方法,其特征在于,所述步骤2-3中,包括如下步骤: 步骤2-3-1、基于TF-IDF公式对词组的权值进行计算,公式为:其中,dij为词组aij在文本Ti中出现的次数,等于Tdi中的,NS文档的总数,η」为文档 库中包含词组的文档的个数; 步骤2-3-2、由敏感库数据组成的特征向量表示为: V - ((ail,dll) , (ai2,dl2) ,......, (sim , dim) ,......, ( Snl , dnl ) , ( Snl, dnl) ,......, ( Srmi, dnm)) 简记为: V- (dll, dl2 ,......, dim ,......, dnl, dn2 ,......, dnm) 步骤2-3-3、根据步骤2-3-2,得到报文的特征向量简记为: V - (d 11,d 12,......,d Im,......,d nl,d n2,......, d run) ο7. 根据权利要求1所述的方法,其特征在于,所述步骤(3)中,所述标签包括用户信息U 仏^)、数据属性信息4(1仏^),特征向量¥'、生成时间1'和加密标识? 6信息,表达式为: Label=(U(k,v),Ad(k,v),V,,T,Fe) 所述前置代理部分进行标签封装包括如下步骤: 步骤3-1-1、用户信息U、数据属性信息Ad(k,v),特征向量V'、生成时间T按序排列,并分 块成N块; 步骤3-1-2、随机选择N块中的Nl块,设置加密标识,并对数据进行加密获得ENl; 步骤3-1-3、记录随机选择过程R,将R作为块,设置加密标识,加密R获得ER; 步骤3-1-4、对剩余的N2(N-N1)块不设置加密标识; 步骤3-1-5、计算所述ENl的长度和所述ER的长度,并连接ENl长度、ENl、ER长度、ER和N2 得标签封装后的私有协议数据E; 所述在隔离服务侧进行标签解析包括如下步骤: 步骤3-2-1、获取所述私有协议数据E; 步骤3-2-2、提取所述ENl长度,通过ENl长度提取ENl,并解密ENl获得Nl; 步骤3-2-3、提取ER长度,通过ER长度提取ER,并解密ER获得R; 步骤3-2-4、提取后面的数据N2; 步骤3-2-5、通过随机选择过程R,将Nl和N2恢复到U (k,V),Ad (k,V),V '和T。8. 根据权利要求7所述的方法,其特征在于,所述步骤(4)中,所述标签过滤是通过策略 规则,依客户端提供的数据属性,对数据进行过滤;所述策略规则由左括号[,关键字begin, 表达式exp,关键字end,右括号]构成;所述表达式由基本项和构成项构成,所述基本项包括 变量var、数值和字符串,所述构成项是由变量、数值和字符串,通过一元、二元操作符连接 的复杂表达式。9. 根据权利要求8所述的方法,其特征在于,所述标签过滤包括如下步骤: 步骤4-1、提取所述用户信息U(k,v)和所述数据属性信息Ad(k,v)重新赋给新的属性信 息Ad'(k,V); 步骤4-2、从策略库中提取策略规则; 步骤4-3、遍历策略规则表达式exp,提取表达式中的变量var; 步骤4-4、将所述var为键从所述Ad '( k,V)中提取var对应值V; 步骤4-5、将策略规则中的var由V替代,并计算表达式; 步骤4-6、依据计算结果判定数据是否被过滤,并记录日志。10. 根据权利要求9所述的方法,其特征在于,所述步骤(5)中,包括如下步骤: 步骤5-1、特征向量V '与隔离服务侧中敏感库的特征向量V通过余弦计算得到余弦相 似度值,余弦相似度计算公式如下:式中,V'和V为两个特征向量,V' · V为标准向量点积,定义为t为向量的维 数,分母中的范数I |v'11定义为分母中的范数I |v| I定义为步骤5-2、通过将余弦相似度值与预定义的相似度阈值比较,分析得到报文是否携带涉 密信息,对涉密的文档进行过滤。
【专利摘要】本发明提供一种面向电力物联网的数据隔离交换和安全过滤方法,所述方法包括:(1)构建一种基于前置代理和专有协议的隔离架构;(2)在前置代理部分进行特征向量提取;(3)在所述前置代理部分进行标签封装,在隔离服务侧进行标签解析;(4)在隔离服务侧实现标签过滤;(5)在所述隔离服务侧结合特征向量和标签过滤进行内容过滤。本发明通过引入前置代理和私有应用层协议实现了完善的协议隔离,大大提高了隔离强度。
【IPC分类】H04L29/06
【公开号】CN105491023
【申请号】CN201510824673
【发明人】周诚, 张涛, 马媛媛, 李伟伟, 汪晨, 邵志鹏, 费稼轩, 何高峰, 楚杰, 黄秀丽
【申请人】国网智能电网研究院, 国家电网公司
【公开日】2016年4月13日
【申请日】2015年11月24日
【技术领域】
[0001] 本发明设及一种安全隔离交换方法,具体设及一种面向电力物联网的数据隔离交 换和安全过滤方法。
【背景技术】
[0002] 安全隔离与信息交换技术的基本原理是,通过一种专用硬件一一隔离装置,使两 个或者两个W上网络在不连通的情况下进行网络之间的安全数据传输和资源共享。具体做 法一般是,隔离装置切断网络之间的TCP/IP连接,分解或重组TCP/IP数据包,进行安全审 查,然后与另一边的主机建立有效连接并把数据发送出去。
[0003] 在智能电网发展背景下,电力物联网环境中存在海量智能终端、智能刀闽、作业终 端W及各种电力业务系统,运些终端和系统需要与电力信息网进行频繁的数据交互。由于 电力信息网属于设密网络,而上述终端和系统多通过移动APN网络或者互联网完成接入,两 者的交互对电力信息网来说存在明显的安全风险,因此必须采取隔离防护措施。然而现有 的安全隔离与信息交换技术存在明显不足,难W满足电力物联网的隔离交换需求,具体表 现为:
[0004] 1、隔离强度不足
[0005] 隔离与交换是一对矛盾,传统的安全隔离与信息交换技术基于TCP/IP数据包的分 解和重组,在解决隔离与交换的矛盾问题上存在明显不足。绝大多数特定的数据交换都需 要承载于特定的应用协议,而一旦在安全隔离与信息交换模型中加入应用层协议的考虑, 就会发现TCP/IP报文重组并不能完全消除应用层协议引入的安全风险。假设非设密网络通 过安全隔离与信息交换系统与设密网络中的化acle数据库进行数据交换,此时非设密网络 和设密网络都必须基于TNS协议进行通信,而TCP/IP报文在经过硬件交换矩阵后仍需还原 成TNS协议报文格式,运就导致非设密网络的攻击者实际上完全可W通过公开的TNS协议报 文实现对设密网络数据库的攻击。传统安全隔离与信息交换技术对运种攻击的防御措施是 尽可能增强应用层过滤能力,但运显然已经退化到应用层防火墙的水平。
[0006] 2、过滤深度和效率存在矛盾
[0007] 传统的安全隔离与信息交换技术体系中,安全过滤是重要的一环。许多相关产品 都声称具备内容级的过滤能力。然而内容过滤算法不可能是没有性能代价的,内容过滤的 深度越深,其造成的延迟和吞吐量下降情况越严重。传统的安全隔离与信息交换技术体系 试图在隔离装置上完成深度过滤,运在工业环境中很可能是不可行的。例如电力物联网环 境中设及的终端数W亿计,数据交换流量巨大,对数据交换延迟也有严格要求,传统的安全 隔离与信息交换技术体系只能通过关闭过滤功能或者降低过滤深度来应对,在解决过滤深 度和效率的矛盾方面存在明显不足。
【发明内容】
[000引为了克服上述现有技术的不足,本发明提供一种面向电力物联网的数据隔离交换 和安全过滤方法,本发明通过引入前置代理和私有应用层协议实现了完善的协议隔离,大 大提高了隔离强度。
[0009] 为了实现上述发明目的,本发明采取如下技术方案:
[0010] -种面向电力物联网的数据隔离交换和安全过滤方法,所述方法包括如下步骤:
[0011] (1)构建一种基于前置代理和专有协议的隔离架构;
[0012] (2)在前置代理部分进行特征向量提取;
[0013] (3)在所述前置代理部分进行标签封装,在隔离服务侧进行标签解析;
[0014] (4)在隔离服务侧实现标签过滤;
[0015] (5)在所述隔离服务侧结合特征向量和标签过滤进行内容过滤。
[0016] 优选的,所述步骤(1)中,所述隔离架构包括基于TCP/IP协议专有的应用层交换协 议、专用安全隔离装置和前置代理,所述隔离架构用于将用户交互过程映射为所述应用层 交换协议报文,W实现数据交换。
[0017]优选的,所述步骤(2)中,包括如下步骤:
[001引步骤2-1、对报文内容Τι进行预处理;
[0019] 步骤2-2、对所述报文内容Τι进行特征提取;
[0020] 步骤2-3、生成报文特征向量V '和隔离服务侧中敏感库的特征向量V;
[0021] 步骤2-4、将提取的特征向量保存到报文的标签字段中。
[0022] 优选的,所述步骤2-1中,所述预处理为通过ICTCLAS分词接口,将文本文件进行分 词解析,报文内容Τι分词后表示为如下形式:
[0023] Ti 二,(iii2,li2,Pi2) ,......, (iiin , lin , Pin))
[0024] 式中:Ti表示报文i,ain表示划分出来的词组,lin表示词组的长度,Pin表示划分出 来的词组的词性。
[0025] 优选的,所述步骤2-2中,包括如下步骤:
[0026] 步骤2-2-1、对所述报文内容Τι进行词性选择,提取分析后的文本词组中的名词性 词组,删除其它词性,所述报文内容Τι经过词性选择后,表达式如下:
[0027]
[002引式中:Tai为提取名词之后的文本,(诚乂诚为名词,培为名词词组的长度;
[0029] 步骤2-2-2、统计关键字的出现频率,形成分词Ξ元组,包含词组、词组在本文本中 出现的频率和词性,将化1增加一个词频项,表达式如下:
[0030]
[0031] 式中:Tbi为统计词频之后的文本,4为统计词频后的词组,//;为统计词频后词组 的长度,记为 < 的词频;
[0032] 步骤2-2-3、计算每个关键字的长度并删除单个字的关键字,表达式如下:
[0033]
[0034] 式中:Tci为删除关键字为单个字之后的文本,其中诚为长度大于一个字的词组, 说为省词频;
[0035] 步骤2-2-4、剔除关键字出现一次的词组,得到的最终表达式为:
[0036]
[0037] 其中:Tdi为剔除关键字出现一次之后的文本,端为剔除关键字出现一次之后的 词组,/;;:为端的词频,其中1。
[0038] 优选的,所述步骤2-3中,包括如下步骤:
[0039] 步骤2-3-1、基于TF-IDF公式对词组的权值进行计算,公式为:
[0040] cUj = tij*log(N/nj)
[OOW 其中,dij为词组au在文本Τι中出现的次数,等于Tdi中的.篇,N为文档的总数,nj为 文档库中包含词组aij的文档的个数;
[0042] 步骤2-3-2、由敏感库数据组成的特征向量表示为:
[0043] V= ((aii'dii), (ai2,di2),......, (aim,dim),......, (ani ,dni), (ani ,dni),......, (过恤,dnin))
[0044] 简记为:
[0045] V=(dll,dl2,......,dlm,......, dnl, dn2 ,......,dnm)
[0046] 步骤2-3-3、根据步骤2-3-2,得到报文的特征向量简记为:
[0047] V' = ( d' 11,d' 12,......,d' Im,......,d' nl,d' n2,......,d' nm)。
[004引优选的,所述步骤(3)中,所述标签包括用户信息lKk,v)、数据属性信息AcKk,v), 特征向量V '、生成时间T和加密标识化信息,表达式为:
[0049] Label = WA,v),AcKk,v),V',T,Fe)
[0050] 所述前置代理部分进行标签封装包括如下步骤:
[0051] 步骤3-1-1、用户信息U、数据属性信息AcKk,v),特征向量V'、生成时间T按序排列, 并分块成N块;
[0052] 步骤3-1-2、随机选择N块中的N1块,设置加密标识,并对数据进行加密获得EN1;
[0053] 步骤3-1 -3、记录随机选择过程R,将R作为块,设置加密标识,加密R获得ER;
[0054] 步骤3-1-4、对剩余的N2 (N-N1)块不设置加密标识;
[00对步骤3-1-5、计算所述EN1的长度和所述邸的长度,并连接EN1长度、EN1、邸长度、ER 和N2得标签封装后的私有协议数据E;
[0056] 所述在隔离服务侧进行标签解析包括如下步骤:
[0057] 步骤3-2-1、获取所述私有协议数据E;
[0化引步骤3-2-2、提取所述EN1长度,通过EN1长度提取EN1,并解密EN1获得N1;
[0059] 步骤3-2-3、提取ER长度,通过ER长度提取ER,并解密ER获得R;
[0060] 步骤3-2-4、提取后面的数据N2;
[0061 ] 步骤3-2-5、通过随机选择过程R,将N1和N2恢复到U(k,V),Ad (k,V),V '和T。
[0062]优选的,所述步骤(4)中,所述标签过滤是通过策略规则,依客户端提供的数据属 性,对数据进行过滤;所述策略规则由左括号[,关键字begin,表达式e邱,关键字end,右括 号]构成;所述表达式由基本项和构成项构成,所述基本项包括变量var、数值和字符串,所 述构成项是由变量、数值和字符串,通过一元、二元操作符连接的复杂表达式。
[0063] 优选的,所述标签过滤包括如下步骤:
[0064] 步骤4-1、提取所述用户信息lKk,v)和所述数据属性信息AcKk,v)重新赋给新的属 性信息Ad'化,V);
[0065] 步骤4-2、从策略库中提取策略规则;
[0066] 步骤4-3、遍历策略规则表达式exp,提取表达式中的变量var;
[0067] 步骤4-4、将所述var为键从所述Ad'化,ν)中提取var对应值V;
[0068] 步骤4-5、将策略规则中的var由V替代,并计算表达式;
[0069] 步骤4-6、依据计算结 果判定数据是否被过滤,并记录日志。
[0070] 优选的,所述步骤(5)中,包括如下步骤:
[0071] 步骤5-1、特征向量V'与隔离服务侧中敏感库的特征向量V通过余弦计算得到余弦 相似度值,余弦相似度计算公式如下:
[0072]
[0073] 式中,V'和V为两个特征向量,V' · V为标准向量点积,定义为2]^八,Κ,t为向量的 维数,分母中的范数IIV'II定义为^/^?^,分母中的范数IIVII定义为^/]:^;:
[0074] 步骤5-2、通过将余弦相似度值与预定义的相似度阔值比较,分析得到报文是否携 带设密信息,对设密的文档进行过滤。
[0075] 与现有技术相比,本发明的有益效果在于:
[0076] 本发明只需要提供一个私有的JDBC驱动,在非设密网络并不需要开放TNS协议通 信,仅在设密网络开放TNS协议通信,运样隔离边界两侧网络的报文完全经过语义翻译,不 具备简单映射关系,非设密网络的攻击者无法攻击内网TNS协议漏桐,从而实现了完善的协 议隔离,大大提高了隔离强度。
[0077] 本发明通过基于特有的隔离交换架构,将深度内容解析和内容特征值提取前移到 前置代理侧完成,在隔离装置侧则只进行特征值匹配,运样隔离边界的计算需求大幅降低。 在电力物联网环境下,该技术可W利用数W亿计的智能终端设备实现分布式的内容过滤计 算,从而实现高效率低延迟的分布式内容过滤。较好的解决了过滤深度和交换效率的矛盾。
[0078] 本发明通过引入前置代理,将隔离交换的边界前移至终端侧,电力物联网环境下 大量的智能终端基于可信计算的理念构建,运行在智能终端的前置代理软件可W与智能终 端的可信计算体系相结合,通过私有应用层协议加固,将整个隔离交换体系纳入到可信交 换系中去,从而实现可信隔离交换。
【附图说明】
[0079] 图1是本发明提供的一种面向电力物联网的数据隔离交换和安全过滤方法流程图
[0080] 图2是本发明提供的在前置代理部分实现特征向量提取的流程图
[0081] 图3是本发明提供的标签及私有协议封装将标签内容进行私有格式化处理的流程 图
[0082] 图4是本发明提供的策略过滤的流程图
【具体实施方式】
[0083] 下面结合附图对本发明作进一步详细说明。
[0084] 如图1所示,本发明提供了一种面向电力物联网的数据隔离交换和安全过滤方法, 采取如下技术方案:
[0085] 步骤1、隔离架构的构建
[0086] 构建一种基于前置代理和专有协议的隔离架构,包括一种基于TCP/IP协议的专有 的应用层交互协议、一种专用安全隔离装置,该装置一方面具备硬件级的TCP/IP协议分解 重组和交换能力,另一方面仅支持上述专用应用层协议通信,拒绝一切第Ξ方公开应用层 协议、一种前置代理,可W是驱动、SDK或者硬件插件等形式,在本架构中主要作用是将用户 交互过程映射为专用应用层协议报文,W实现数据交换,前置代理在实际实现过程中也能 够起到终端加固和可信认证的作用。
[0087] 步骤2、在前置代理部分实现特征向量提取,如图2所示
[008引首先对报文内内容Ti进行预处理,之后进行特征提取生成报文特征向量V'和敏感 库特征向量V,并将提取的特征向量保存到报文的标签字段中。
[0089] (1)预处理
[0090] 通过ICTCLAS分词接口,将文本文件进行分词解析,报文内容Τι分词后表示为如下 形式:
[0091 ] Ti 二((iiil,lil,Pil),(iii2,li2,Pi2),......, (iiin , lin , Pin))
[0092] 其中:Ti表示报文i,ain表示划分出来的词组,lin表示词组的长度,Pin表示划分出 来的词组的词性。
[0093] (2)特征提取
[0094] 1)词性选择
[0095] 在中文的文本中,根据词性取其中能够最强烈表达文章内容的关键词,用于后面 的特征提取,有助于消除冗余,简便计算过程。因此提取分析后的文本词组中的名词性词 组,删除其它词性。文本文件Τι经过词性选择后,表示为如下:
[0096]
[0097] 式中:Tai为提取名词之后的文本,(口,<为名词,環为名词词组的长度。
[009引 2)词频统计
[0099] 统计关键字的出现频率,形成分词Ξ元组,包含词组,词组在本文本中出现的频率 和词性。将乂,增加一个词频项,进一步表达为:
[0100]
[0101] 式中:Tbi为统计词频之后的文本,诚为统计词频后的词组,G为统计词频后词组 的长度,货为α直的词频。
[0102] 3)词长选择
[0103] 在中文的文本中,词比字有着更强的表达能力,计算每个关键字的长度并删除单 个字的关键词。进一步表达为:
[0104]
[01化]式中:Tci为删除关键字为单个字之后的文本,其中4为长度大于一个字的词组, 滅为4词频。
[0106] 4)词频选择
[0107] 在中文的文本中,只出现一次的词具有偶然性不具备代表性,因此剔除统计后的 文本分词Ξ元组中只出现过一次的词组。得到最终的特征二元组表达为:
[010 引
[0109] 其中:Tdi为剔除关键字出现一次之后的文本,端,为剔除关键字出现一次之后的词 组,滅为端的词频,其中端>1。
[0110] (3)生成特征向量
[0111] 对词的权值的计算是衡量特征值的有效方法,目前广泛使用的是基于统计方法的 TF-IDF公式,运个公式在大量实际使用中被证明是可行的有效的。其核屯、思想是,认为某个 词在其它文本中出现的次数越是少,那么运个词就包含越多的信息,越能够代表文档的类 型,相反,如果在其它文档中也是大量的出现,那么运个词就不具有代表性。
[0112] 目前常用的计TF-IDF计算公式表示为:
[011引 cUj = tij*log(N/nj)
[0114] 其中,ti功词组au在文本Τι中出现的次数,等于Tdi中的fim,N为文档的总数,nj为 文档库中包含词组aij的文档的个数。
[0115] 由敏感库数据组成的特征向量表示为:
[0116] V= ((aii,dii), (ai2,di2),......, (aim,dim),......, (ani ,dni), (ani ,dni),......, (过恤,dnin))
[0117] 简记为:
[011 引 V=(dll,dl2,......,dlm,......, dnldn2 ,......,dnm)
[0119] 同样的方法得到报文的特征向量简记为:
[0120] V,=(d,ll,d,12,......,d,lm,......,d,nld,n2,......,d,nm)
[0121] 步骤3、在前置代理部分实现标签封装,在隔离服务侧实现标签解析
[0122] 标签封装和解析包含有标签,标签及私有协议封装,标签及私有协议解析。标签封 装和解析通过在发送端对访问用户的用户信息,发送数据属性信息,数据的特征向量信息 进行标记,然后通过私有协议对数据进行随机分块加密,再发送至服务端。在服务端,通过 解析技术首先将数据恢复。恢复后的数据为标签过滤和特征向量过滤服务。
[0123] 标签包括用户信息U、数据属性信息,特征向量V、生成时间T和加密标识等信息。
[0124] Label =化化,v),AcKk,v),V',T,Fe)
[0125] 其中,
[0126] 1)用户信息包括用户身份信息和用户请求操作信息,用户信息W键值对的形式存 在;
[0127] 2)数据属性信息包含有数据类型、数据大小、数据创造者、数据修改时间等,数据 属性也W键值对的形式存在。
[0128] 3)特征向量用于服务端的基于特征向量的内容过滤;
[0129] 4)生成时间为标签产生的时间;
[0130] 5)加密标识用于标识标签分块后,块数据是否被加密,加密标识在服务端不解析 时使用。
[0131] 如图3所示,标签及私有协议封装将标签内容进行私有格式化处理,步骤如下,
[0132] 步骤a:将用户信息U、数据属性信息AcKk,v),特征向量V'、生成时间T按序排列,并 分块成N块;
[0133] 步骤b:随机选择N块中的N1块,设置加密标识,并对数据进行加密获得EN1;
[0134] 步骤C:记录随机选择过程R,将R作为块,设置加密标识,加密R获得ER;
[0135] 步骤d:对剩余的N2(N-N1)块不设置加密标识;
[0136] 步骤e:计算EN1的长度和邸的长度,然后连接EN1长度、EN1、邸长度、邸和N2得E,上 述过程如图例3所示。
[0137] 标签及私有化协议封装后,将W报文形式发送至服务端。服务端首先对报告进行 标签及私有协议解析,恢复标签值,步骤如下:
[0138] 步骤a:获取私有协议数据E;
[0139] 步骤b:提取EN1长度,通过EN1长度提取EN1,并解密EN1获得N1;
[0140] 步骤C:提取ER长度,通过ER长度提取ER,并解密ER获得R;
[0141] 步骤d:提取后面的数据N2;
[0142] 步骤e:通过随机选择过程R,将N1和N2恢复到U化,V),Ad化,V),V'和T。
[0143] 步骤4、在隔离服务侧实现标签过滤
[0144] 标签过滤通过设计灵活的策略规则,依客户端提供的数据属性,对数据进行过滤。
[0145] 策略规则为策略过滤的规范。策略规则提供了一个统一的策略描述,W能够处理 属性信息来达到过滤数据的目的。为了方便计算与扩展, 策略规则设计为自定义的表达式, 它由变量、值和操作符构成。变量值依据变量从数据属性信息中提取,操作符和变量由具体 策略设置。过滤时,将属性值替换变量值,然后计算策略表达式,最后输出计算结果。由于策 略规则使用表达式,所W策略规则非常灵活。
[0146] 形式化策略规则,
[0147] 策略规则由左括号[,关键字begin,表达式(exp),关键字end,右括号]构成。表达 式由两部分构成,
[0148] 基本项:变量(var)、数值(float和integer)和字符串(string);
[0149] 构成项:由变量、数值和字符串,通过一元(opu)、二元(opb)操作符连接的复杂表 达式。
[0150] 使用自定义的表达式来描述策略规则,能够使基于策略的过滤不仅方便、而且操 作性强,扩展性灵活。策略过滤流程如图4所示,
[0151] 步骤a:从解析步骤中提取用户信息和数据属性信息lKk,v)和AcKk,v),并重新赋 给新的属性信息AcKk,v);
[0152] 步骤b:从策略库中提取策略规则exp;
[0153] 步骤c:遍历策略规则表达式exp,提取表达式中的变量var;
[0154] 步骤d:将var为键从AcKk,V)中提取var对应值v(整型数、浮点型数和字符串);
[0155] 步骤e:将策略规则中的var由V替代,并计算表达式;
[0156] 步骤f:依据计算结果判定数据是否被过滤,并记录日志。
[0157] 步骤5、在隔离服务侧结合特征向量和标签过滤实现内容过滤
[0158] 提取解析标签中的特征向量值V',与隔离装置上的敏感库的特征向量V通过余弦 计算得到相似度,余弦相似度计算公式如下:
[0159]
[0160] 式中,V'和V为两个特征向量,V' · V为标准向量点积,定义呆
t为向量 的维数,向量一般可W表示为一个数列,数列中的每个数称为分量,维数即分量的个数,例 如(al,a2,a3)的维数为3,分母中的范数MV'M定义为
;
[0161] 通过将余弦相似度值与预定义的相似度阔值比较,分析得到报文是否携带设密信 息,对设密的文档进行过滤,达到内容过滤的功能。
[0162] 最后应当说明的是:W上实施例仅用W说明本发明的技术方案而非对其限制,尽 管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然 可W对本发明的【具体实施方式】进行修改或者等同替换,而未脱离本发明精神和范围的任何 修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。
【主权项】
1. 一种面向电力物联网的数据隔离交换和安全过滤方法,其特征在于,所述方法包括 如下步骤: (1) 构建一种基于前置代理和专有协议的隔离架构; (2) 在前置代理部分进行特征向量提取; (3) 在所述前置代理部分进行标签封装,在隔离服务侧进行标签解析; (4) 在隔离服务侧实现标签过滤; (5) 在所述隔离服务侧结合特征向量和标签过滤进行内容过滤。2. 根据权利要求1所述的方法,其特征在于,所述步骤(1)中,所述隔离架构包括基于 TCP/IP协议专有的应用层交换协议、专用安全隔离装置和前置代理,所述隔离架构用于将 用户交互过程映射为所述应用层交换协议报文,以实现数据交换。3. 根据权利要求1所述的方法,其特征在于,所述步骤(2)中,包括如下步骤: 步骤2-1、对报文内容Ti进行预处理; 步骤2-2、对所述报文内容1\进行特征提取; 步骤2-3、生成报文特征向量V '和隔离服务侧中敏感库的特征向量V; 步骤2-4、将提取的特征向量保存到报文的标签字段中。4. 根据权利要求3所述的方法,其特征在于,所述步骤2-1中,所述预处理为通过 ICTCLAS分词接口,将文本文件进行分词解析,报文内容Ti分词后表示为如下形式: Ti - ((ail,lil,Pil) , (ai2,li2,Pi2) ,......, (clin , Iin , Pin)) 式中:Ti表不报文i,ain表不划分出来的词组,Iin表不词组的长度,Pin表不划分出来的词 组的词性。5. 根据权利要求3所述的方法,其特征在于,所述步骤2-2中,包括如下步骤: 步骤2-2-1、对所述报文内容1\进行词性选择,提取分析后的文本词组中的名词性词组, 删除其它词性,所述报文内容1^经过词性选择后,表达式如下:式中:Ta1S提取名词之后的文本:为名词,ξ为名词词组的长度; 步骤2-2-2、统计关键字的出现频率,形成分词三元组,包含词组、词组在本文本中出现 的频率和词性,将Tai增加一个词频项,表达式如下:式中:Tb1为统计词频之后的文本,< 为统计词频后的词组,//2为统计词频后词组的长 度,为4的词频; 步骤2-2-3、计算每个关键字的长度并删除单个字的关键字,表达式如下:式中:Tc1为删除关键字为单个字之后的文本,其中为长度大于一个字的词组,&为 4词频; 步骤2-2-4、剔除关键字出现一次的词组,得到的最终表达式为:其中:Td1为剔除关键字出现一次之后的文本,< 为剔除关键字出现一次之后的词组, 总为的词频,其中6. 根据权利要求3所述的方法,其特征在于,所述步骤2-3中,包括如下步骤: 步骤2-3-1、基于TF-IDF公式对词组的权值进行计算,公式为:其中,dij为词组aij在文本Ti中出现的次数,等于Tdi中的,NS文档的总数,η」为文档 库中包含词组的文档的个数; 步骤2-3-2、由敏感库数据组成的特征向量表示为: V - ((ail,dll) , (ai2,dl2) ,......, (sim , dim) ,......, ( Snl , dnl ) , ( Snl, dnl) ,......, ( Srmi, dnm)) 简记为: V- (dll, dl2 ,......, dim ,......, dnl, dn2 ,......, dnm) 步骤2-3-3、根据步骤2-3-2,得到报文的特征向量简记为: V - (d 11,d 12,......,d Im,......,d nl,d n2,......, d run) ο7. 根据权利要求1所述的方法,其特征在于,所述步骤(3)中,所述标签包括用户信息U 仏^)、数据属性信息4(1仏^),特征向量¥'、生成时间1'和加密标识? 6信息,表达式为: Label=(U(k,v),Ad(k,v),V,,T,Fe) 所述前置代理部分进行标签封装包括如下步骤: 步骤3-1-1、用户信息U、数据属性信息Ad(k,v),特征向量V'、生成时间T按序排列,并分 块成N块; 步骤3-1-2、随机选择N块中的Nl块,设置加密标识,并对数据进行加密获得ENl; 步骤3-1-3、记录随机选择过程R,将R作为块,设置加密标识,加密R获得ER; 步骤3-1-4、对剩余的N2(N-N1)块不设置加密标识; 步骤3-1-5、计算所述ENl的长度和所述ER的长度,并连接ENl长度、ENl、ER长度、ER和N2 得标签封装后的私有协议数据E; 所述在隔离服务侧进行标签解析包括如下步骤: 步骤3-2-1、获取所述私有协议数据E; 步骤3-2-2、提取所述ENl长度,通过ENl长度提取ENl,并解密ENl获得Nl; 步骤3-2-3、提取ER长度,通过ER长度提取ER,并解密ER获得R; 步骤3-2-4、提取后面的数据N2; 步骤3-2-5、通过随机选择过程R,将Nl和N2恢复到U (k,V),Ad (k,V),V '和T。8. 根据权利要求7所述的方法,其特征在于,所述步骤(4)中,所述标签过滤是通过策略 规则,依客户端提供的数据属性,对数据进行过滤;所述策略规则由左括号[,关键字begin, 表达式exp,关键字end,右括号]构成;所述表达式由基本项和构成项构成,所述基本项包括 变量var、数值和字符串,所述构成项是由变量、数值和字符串,通过一元、二元操作符连接 的复杂表达式。9. 根据权利要求8所述的方法,其特征在于,所述标签过滤包括如下步骤: 步骤4-1、提取所述用户信息U(k,v)和所述数据属性信息Ad(k,v)重新赋给新的属性信 息Ad'(k,V); 步骤4-2、从策略库中提取策略规则; 步骤4-3、遍历策略规则表达式exp,提取表达式中的变量var; 步骤4-4、将所述var为键从所述Ad '( k,V)中提取var对应值V; 步骤4-5、将策略规则中的var由V替代,并计算表达式; 步骤4-6、依据计算结果判定数据是否被过滤,并记录日志。10. 根据权利要求9所述的方法,其特征在于,所述步骤(5)中,包括如下步骤: 步骤5-1、特征向量V '与隔离服务侧中敏感库的特征向量V通过余弦计算得到余弦相 似度值,余弦相似度计算公式如下:式中,V'和V为两个特征向量,V' · V为标准向量点积,定义为t为向量的维 数,分母中的范数I |v'11定义为分母中的范数I |v| I定义为步骤5-2、通过将余弦相似度值与预定义的相似度阈值比较,分析得到报文是否携带涉 密信息,对涉密的文档进行过滤。
【专利摘要】本发明提供一种面向电力物联网的数据隔离交换和安全过滤方法,所述方法包括:(1)构建一种基于前置代理和专有协议的隔离架构;(2)在前置代理部分进行特征向量提取;(3)在所述前置代理部分进行标签封装,在隔离服务侧进行标签解析;(4)在隔离服务侧实现标签过滤;(5)在所述隔离服务侧结合特征向量和标签过滤进行内容过滤。本发明通过引入前置代理和私有应用层协议实现了完善的协议隔离,大大提高了隔离强度。
【IPC分类】H04L29/06
【公开号】CN105491023
【申请号】CN201510824673
【发明人】周诚, 张涛, 马媛媛, 李伟伟, 汪晨, 邵志鹏, 费稼轩, 何高峰, 楚杰, 黄秀丽
【申请人】国网智能电网研究院, 国家电网公司
【公开日】2016年4月13日
【申请日】2015年11月24日
最新回复(0)