[发明专利]边缘物联代理防护方法及电力物联网动态安全可信系统

说明书

本发明公开了一种边缘物联代理防护方法及电力物联网动态安全可信系统，涉及电力物联网安全防护技术领域，所述边缘物联代理防护方法，根据可信度对终端应用业务进行分类，包括可信终端业务和普通终端业务；对所述可信终端业务和普通终端业务进行并行隔离控制；其中，通过创建可信业务域对可信终端业务进行处理，通过创建普通业务域对普通终端业务进行处理。本发明实施例能够解决现有电力物联网的网络安全存在重大安全隐患的问题，能够实现可信终端业务和普通终端业务进行并行隔离控制，能够有效阻止未知木马和病毒的入侵。

技术领域

本发明涉及电力物联网安全防护技术领域，具体涉及一种边缘物联代理防护方法及电力物联网动态安全可信系统。

背景技术

电力物联网是指通过在电力生产、管理各环节，广泛部署具有一定感知、计算和执行能力的智能装置，实现信息可靠采集、安全传输、协同处理、统一服务及应用集成，促进电网生产运行及企业管理全过程的全景全息感知、信息融合及智能管理与决策的行业物联网。电网作为国家关键基础设施和网络安全重点战略目标，近年来，建立了综合应用网络隔离、安全监测等技术的纵深防御体系，可以抵御正面网络攻击和已知病毒渗透。

但对于新型定制化、可能突破物理隔离等边界防护措施、瞒过现有检测与监测系统的未知病毒或木马，现有的电力防护技术既阻挡不住、又发现不了上手病毒或木马，电力物联网建设过程中，海量异构电力物联终端的广泛接入、网络边界的边缘化扩张，进一步加剧了边缘节点上述风险的威胁途径和破坏能力。

因此，现有电力物联网缺乏动态安全防护体系、终端内生安全能力、接入状态安全认证机制的问题是电力物联网的主要安全问题，解决该问题来抵御未知病毒或木马的威胁，成为迫在眉睫的重大挑战。

发明内容

有鉴于此，本发明实施例提供了一种边缘物联代理防护方法及电力物联网动态安全可信系统，以解决现有电力物联网的网络安全存在重大安全隐患的问题。

根据第一方面，本发明实施例提供了一种边缘物联代理防护方法，所述方法包括：根据可信度对终端应用业务进行分类，包括可信终端业务和普通终端业务；对所述可信终端业务和普通终端业务进行并行隔离控制；其中，通过创建可信业务域对可信终端业务进行处理，通过创建普通业务域对普通终端业务进行处理。

可选地，所述通过创建可信业务域对可信终端业务进行处理，具体包括：依次通过可信CPU、可信基本输入输出系统BIOS和可信操作系统对可信终端业务进行度量验证和第一信任数据的传递。

可选地，通过创建所述普通业务域对普通终端业务进行处理，具体包括：依次通过终端CPU、终端引导部件和终端系统对可信终端业务进行加载，且通过可信验证域的可信部件对普通终端业务进行监视和控制。

可选地，所述方法具体包括：通过可信验证域的可信部件对普通业务域的每一执行阶段进行安全信息的度量验证和第二信任数据的传递。

根据第二方面，本发明实施例提供了一种边缘物联代理防护系统，所述系统包括：可信业务域、可信验证域和普通业务域，所述可信业务域用于支持可信终端业务运行，对可信终端业务进行处理，包括可信CPU、基于可信CPU的可信基本输入输出系统BIOS和可信操作系统，所述可信CPU、可信基本输入输出系统BIOS和可信操作系统依次进行可信终端业务的度量验证和第一信任数据传递；所述可信验证域包括可信平台控制模块、可信引导部件和可信软件基TSB部件，所述可信平台控制模块、可信引导部件和可信软件基TSB部件依次进行普通终端业务的度量验证和第二信任数据的传递；所述普通业务域包括终端CPU、终端引导部件和终端系统，普通业务域用于支持普通终端业务运行，对普通终端业务进行处理。

可选地，所述可信验证域的可信平台控制模块属于可信业务域的可信CPU，可信验证域的可信引导部件属于可信业务域的可信基本输入输出系统BIOS，可信验证域的可信软件基TSB部件属于可信业务域的可信操作系统。