本發(fā)明公開了一種邊緣物聯(lián)代理防護(hù)方法及電力物聯(lián)網(wǎng)動(dòng)態(tài)安全可信系統(tǒng)，涉及電力物聯(lián)網(wǎng)安全防護(hù)技術(shù)領(lǐng)域，所述邊緣物聯(lián)代理防護(hù)方法，根據(jù)可信度對(duì)終端應(yīng)用業(yè)務(wù)進(jìn)行分類，包括可信終端業(yè)務(wù)和普通終端業(yè)務(wù)；對(duì)所述可信終端業(yè)務(wù)和普通終端業(yè)務(wù)進(jìn)行并行隔離控制；其中，通過(guò)創(chuàng)建可信業(yè)務(wù)域?qū)尚沤K端業(yè)務(wù)進(jìn)行處理，通過(guò)創(chuàng)建普通業(yè)務(wù)域?qū)ζ胀ńK端業(yè)務(wù)進(jìn)行處理。本發(fā)明實(shí)施例能夠解決現(xiàn)有電力物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全存在重大安全隱患的問(wèn)題，能夠?qū)崿F(xiàn)可信終端業(yè)務(wù)和普通終端業(yè)務(wù)進(jìn)行并行隔離控制，能夠有效阻止未知木馬和病毒的入侵。

技術(shù)領(lǐng)域

本發(fā)明涉及電力物聯(lián)網(wǎng)安全防護(hù)技術(shù)領(lǐng)域，具體涉及一種邊緣物聯(lián)代理防護(hù)方法及電力物聯(lián)網(wǎng)動(dòng)態(tài)安全可信系統(tǒng)。

背景技術(shù)

電力物聯(lián)網(wǎng)是指通過(guò)在電力生產(chǎn)、管理各環(huán)節(jié)，廣泛部署具有一定感知、計(jì)算和執(zhí)行能力的智能裝置，實(shí)現(xiàn)信息可靠采集、安全傳輸、協(xié)同處理、統(tǒng)一服務(wù)及應(yīng)用集成，促進(jìn)電網(wǎng)生產(chǎn)運(yùn)行及企業(yè)管理全過(guò)程的全景全息感知、信息融合及智能管理與決策的行業(yè)物聯(lián)網(wǎng)。電網(wǎng)作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全重點(diǎn)戰(zhàn)略目標(biāo)，近年來(lái)，建立了綜合應(yīng)用網(wǎng)絡(luò)隔離、安全監(jiān)測(cè)等技術(shù)的縱深防御體系，可以抵御正面網(wǎng)絡(luò)攻擊和已知病毒滲透。

但對(duì)于新型定制化、可能突破物理隔離等邊界防護(hù)措施、瞞過(guò)現(xiàn)有檢測(cè)與監(jiān)測(cè)系統(tǒng)的未知病毒或木馬，現(xiàn)有的電力防護(hù)技術(shù)既阻擋不住、又發(fā)現(xiàn)不了上手病毒或木馬，電力物聯(lián)網(wǎng)建設(shè)過(guò)程中，海量異構(gòu)電力物聯(lián)終端的廣泛接入、網(wǎng)絡(luò)邊界的邊緣化擴(kuò)張，進(jìn)一步加劇了邊緣節(jié)點(diǎn)上述風(fēng)險(xiǎn)的威脅途徑和破壞能力。

因此，現(xiàn)有電力物聯(lián)網(wǎng)缺乏動(dòng)態(tài)安全防護(hù)體系、終端內(nèi)生安全能力、接入狀態(tài)安全認(rèn)證機(jī)制的問(wèn)題是電力物聯(lián)網(wǎng)的主要安全問(wèn)題，解決該問(wèn)題來(lái)抵御未知病毒或木馬的威脅，成為迫在眉睫的重大挑戰(zhàn)。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例提供了一種邊緣物聯(lián)代理防護(hù)方法及電力物聯(lián)網(wǎng)動(dòng)態(tài)安全可信系統(tǒng)，以解決現(xiàn)有電力物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全存在重大安全隱患的問(wèn)題。

根據(jù)第一方面，本發(fā)明實(shí)施例提供了一種邊緣物聯(lián)代理防護(hù)方法，所述方法包括：根據(jù)可信度對(duì)終端應(yīng)用業(yè)務(wù)進(jìn)行分類，包括可信終端業(yè)務(wù)和普通終端業(yè)務(wù)；對(duì)所述可信終端業(yè)務(wù)和普通終端業(yè)務(wù)進(jìn)行并行隔離控制；其中，通過(guò)創(chuàng)建可信業(yè)務(wù)域?qū)尚沤K端業(yè)務(wù)進(jìn)行處理，通過(guò)創(chuàng)建普通業(yè)務(wù)域?qū)ζ胀ńK端業(yè)務(wù)進(jìn)行處理。

可選地，所述通過(guò)創(chuàng)建可信業(yè)務(wù)域?qū)尚沤K端業(yè)務(wù)進(jìn)行處理，具體包括：依次通過(guò)可信CPU、可信基本輸入輸出系統(tǒng)BIOS和可信操作系統(tǒng)對(duì)可信終端業(yè)務(wù)進(jìn)行度量驗(yàn)證和第一信任數(shù)據(jù)的傳遞。

可選地，通過(guò)創(chuàng)建所述普通業(yè)務(wù)域?qū)ζ胀ńK端業(yè)務(wù)進(jìn)行處理，具體包括：依次通過(guò)終端CPU、終端引導(dǎo)部件和終端系統(tǒng)對(duì)可信終端業(yè)務(wù)進(jìn)行加載，且通過(guò)可信驗(yàn)證域的可信部件對(duì)普通終端業(yè)務(wù)進(jìn)行監(jiān)視和控制。

可選地，所述方法具體包括：通過(guò)可信驗(yàn)證域的可信部件對(duì)普通業(yè)務(wù)域的每一執(zhí)行階段進(jìn)行安全信息的度量驗(yàn)證和第二信任數(shù)據(jù)的傳遞。

根據(jù)第二方面，本發(fā)明實(shí)施例提供了一種邊緣物聯(lián)代理防護(hù)系統(tǒng)，所述系統(tǒng)包括：可信業(yè)務(wù)域、可信驗(yàn)證域和普通業(yè)務(wù)域，所述可信業(yè)務(wù)域用于支持可信終端業(yè)務(wù)運(yùn)行，對(duì)可信終端業(yè)務(wù)進(jìn)行處理，包括可信CPU、基于可信CPU的可信基本輸入輸出系統(tǒng)BIOS和可信操作系統(tǒng)，所述可信CPU、可信基本輸入輸出系統(tǒng)BIOS和可信操作系統(tǒng)依次進(jìn)行可信終端業(yè)務(wù)的度量驗(yàn)證和第一信任數(shù)據(jù)傳遞；所述可信驗(yàn)證域包括可信平臺(tái)控制模塊、可信引導(dǎo)部件和可信軟件基TSB部件，所述可信平臺(tái)控制模塊、可信引導(dǎo)部件和可信軟件基TSB部件依次進(jìn)行普通終端業(yè)務(wù)的度量驗(yàn)證和第二信任數(shù)據(jù)的傳遞；所述普通業(yè)務(wù)域包括終端CPU、終端引導(dǎo)部件和終端系統(tǒng)，普通業(yè)務(wù)域用于支持普通終端業(yè)務(wù)運(yùn)行，對(duì)普通終端業(yè)務(wù)進(jìn)行處理。

可選地，所述可信驗(yàn)證域的可信平臺(tái)控制模塊屬于可信業(yè)務(wù)域的可信CPU，可信驗(yàn)證域的可信引導(dǎo)部件屬于可信業(yè)務(wù)域的可信基本輸入輸出系統(tǒng)BIOS，可信驗(yàn)證域的可信軟件基TSB部件屬于可信業(yè)務(wù)域的可信操作系統(tǒng)。