一种针对智能配电终端的安全免疫系统的制作方法

1.本发明涉及配电终端免疫系统领域，更具体地说，涉及一种针对智能配电终端的安全免疫系统。


背景技术：

2.随着工业化与信息化在国家电网公司的深度融合，以及近年来网络通信技术的快速发展。在网络应用大力发展的同时，网络的开放性也带来了巨大的安全隐患。随着网络攻击组织化、国家化的趋势日益明显，重要信息系统、工业控制领域面临的安全风险居高不下，攻击手法日益复杂，目前采用相对滞后的特征检测方式防治病毒传播已经不能满足新的安全形势需求，需要采用一种针对智能配电一体化终端的病毒安全免疫技术。
3.现今的病毒也逐渐从高度依赖“零日”漏洞，演变为不依赖“零日”漏洞的高度定制化的特种病毒。当前在电网输变配终端范围分布非常广泛，无法保证终端绝对物理安全，接入电网的通信方式过于容易，缺少准入控制，极易成为黑客传入病毒的首要攻击对象。
4.电力智能终端的防护会更加困难，黑客攻击的方式会更加多样化，其中通过病毒感染是最佳、最有效的方式。目前对抗恶意攻击的主要方法仍采用相对滞后的特征检测方式进行防治，且病毒存在大量变种干扰特征检测技术的对抗机制，使物联网终端的安全性面临更大考验。传统嵌入式输配终端操作系统普遍存在脆弱的访问控制、特权用户、对系统指令的合法性、合规性无法做出判断等安全问题，亟须研究一种基于智能配电一体化终端的病毒安全免疫技术来实现物联网终端系统的内生性安全。
5.电力智能终端往往由厂家批量生产，且安装位置都在户外，其功能是保障基础供电设施的输电、配电、变电等功能，一旦被人恶意攻击，则可能会对电力系统造成严重损害，甚至造成大面积停电，电网瘫痪。其安全隐患有：设备在出厂时都有初始化密码，有被获取利用的可能性，而软件配置都相同，一旦发现其中一个设备存在漏洞，则代表同一批次的产品，都存在相同漏洞，同时户外的设备通常无人看管，设备具有以太网口、串口等常用调试口，容易被物理接触调试。


技术实现要素：

6.1.要解决的技术问题
7.针对现有技术中存在的问题，本发明的目的在于提供一种针对智能配电终端的安全免疫系统，通过非采用传统安全防护技术，而是其天然具备够对抗零日攻击的能力，使操作系统无法被控制，尤其是利用以太网口或串口等常用物理接触调试口，也无法执行有害程序和违规指令，避免造成大范围的故障，有效保障了电力物联网安全。
8.2.技术方案
9.为解决上述问题，本发明采用如下的技术方案。
10.一种针对智能配电终端的安全免疫系统，包括总服务器，总服务器信号连接有多个数据采集装置，多个数据采集装置信号连接有多个智能配电终端，智能配电终端采用arm
架构的cpu，嵌入式linux作为内核，内核资源主要是：文件、进程、网络、设备，同时通过虚拟化容器技术作为应用平台，建立多个容器，利用容器启动业务软件实例app，每个实例app完成单独的功能，管理员通过网口ssh方式登录设备进行管理，而在网络不通或者初始化设备时，检修员则需要物理接触设备，通过串口方式，对设备进行调试，通过非采用传统安全防护技术，而是其天然具备够对抗零日攻击的能力，使操作系统无法被控制，尤其是利用以太网口或串口等常用物理接触调试口，也无法执行有害程序和违规指令，避免造成大范围的故障，有效保障了电力物联网安全。
11.进一步的，智能配电终端包括配电终端主体，配电终端主体包括相互匹配的配电柜和柜门，配电柜内安装有各型用电设备，配电柜内壁固定连接有辅助免疫装置，辅助免疫装置内插连接有安装管，安装管的内壁固定连接有电磁环，安装管内滑动连接有与自身相匹配的磁性密封塞，磁性密封塞位于电磁环远离安装管槽底板的一侧，安装管的内壁上固定连接有分隔网，分隔网位于电磁环靠近安装管槽底板的一侧，分隔网与安装管槽底板之间填充有多个挥发性物质颗粒，在智能配电终端受到外界物理入侵(即通过以太网接口和串口)时，会断开电磁环的电源，使得电磁环与磁性密封塞之间不再吸附，在处于压缩状态的压缩弹簧作用下，将磁性密封塞顶出安装管内，使得安装管内部与外界相连通，利用挥发性物质颗粒产生的刺激性气味气体对不法分子起到驱赶的作用。
12.进一步的，安装管外壁的底端固定连接有螺纹固定端，保护管上开凿有螺纹槽，保护管与安装管之间通过螺纹固定端和螺纹槽实现固定连接，方便对安装管在整体进行更换和维护工作。
13.进一步的，磁性密封塞与安装管的槽底板之间固定连接有伸缩杆，伸缩杆贯穿分隔网并插设在压缩弹簧的内部，伸缩杆可以对压缩弹簧进行保护，使得压缩弹簧不易出现非工作向形变，不易造成压缩弹簧失效。
14.进一步的，磁性密封塞靠近电磁环的一端固定连接有多个限位块，电磁环上开凿有与限位块相匹配的定位槽，通过限位块和定位槽的配合，使得在将安装管整体旋入保护管内时，电磁环与磁性密封塞之间发生打滑，不易影响保护管与安装管之间的连接。
15.进一步的，磁性密封塞远离电磁环的一端开凿有异形槽，维护人员可以利用与异形槽相匹配的工具对安装管进行安装和拆卸，使不法分子不易利用现有工具对安装管整体进行拆卸。
16.进一步的，伸缩杆包括固定部和活动部，固定部与安装管的槽底板固定连接，活动部与磁性密封塞固定连接，活动部的外侧套设有波纹管，波纹管的两端分别与固定端和磁性密封塞固定连接，波纹管的外侧固定连接有多个弹性纤维，多个弹性纤维相互纠缠形成三维空间结构，在弹性纤维所组成的三维空间结构会存储大量的刺激性气味气体，在磁性密封塞被压缩弹簧顶开后，波纹管会随着磁性密封塞的运动而拉伸，并使多个弹性纤维组成的三维空间结构崩溃，将上述刺激性气味气体释放，驱赶入侵者。
17.进一步的，多个弹性纤维呈三维螺旋状，增加弹性纤维西城的三维空间结构的强度，不易失效。
18.进一步的，多个弹性纤维靠近波纹管的一端贯穿波纹管并延伸至波纹管内，增加弹性纤维与波纹管的连接强度，使得弹性纤维不易脱落。
19.进一步的，弹性纤维位于波纹管内的部分相互交错形成网状结构，增加波纹管的
强度，使得波纹管不易撕裂。
20.3.有益效果
21.相比于现有技术，本发明的优点在于：
22.本方案采用基于区块链技术的安全访问技术，改造系统内核，开发针对智能配电终端智能配电终端的安全免疫系统，保证配电网免疫恶意代码、病毒等攻击，提高电网对新型攻击的应对能力，保证电网安全稳定运行。建立内核级hook技术的强制访问控制模型，阻断和控制恶意攻击对资源的调用；建立基于区块链技术的白名单acl控制方法，强化acl防篡改和抗抵赖能力。
23.同时配合辅助免疫装置，在智能配电终端受到外界物理入侵时，会断开电磁环的电源，使得电磁环与磁性密封塞之间不再吸附，在处于压缩状态的压缩弹簧作用下，将磁性密封塞顶出安装管内，使得安装管内部与外界相连通，利用挥发性物质颗粒产生的刺激性气味气体对不法分子起到驱赶的作用。
24.通过非采用传统安全防护技术，而是其天然具备够对抗零日攻击的能力，使操作系统无法被控制，尤其是利用以太网口或串口等常用物理接触调试口，也无法执行有害程序和违规指令，避免造成大范围的故障，有效保障了电力物联网安全。
附图说明
25.图1为本发明的智能配电终端的安全免疫系统的示意图；
26.图2为本发明的智能配电终端结构示意图；
27.图3为本发明的智能配电终端柜门打开后的结构示意图；
28.图4为本发明的智能配电终端柜门打开后的正视图；
29.图5为本发明的辅助免疫装置的结构示意图；
30.图6为本发明的辅助免疫装置的侧面剖视图；
31.图7为图6中a处的结构示意图；
32.图8为图6中b处的结构示意图；
33.图9为本发明的辅助免疫装置的剖面结构示意图；
34.图10为本发明的弹性纤维的结构示意图。
35.图中标号说明：
36.1总服务器、2数据采集装置、3智能配电终端、4配电终端主体、 5辅助免疫装置、6保护管、7安装管、8电磁环、9磁性密封塞、10 伸缩杆、11压缩弹簧、12波纹管、13弹性纤维、14分隔网、15挥发性物质颗粒。
具体实施方式
37.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述；显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
38.在本发明的描述中，需要说明的是，术语“上”、“下”、“内”、“外”、“顶/底端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描
述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。
39.在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“设置有”、“套设/接”、“连接”等，应做广义理解，例如“连接”，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是适配型号元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
40.实施例1：
41.请参阅图1，一种针对智能配电终端的安全免疫系统，包括总服务器1，总服务器1信号连接有多个数据采集装置2，多个数据采集装置2信号连接有多个智能配电终端3，值得注意的，本方案中，在智能配电终端3的选型上，需要选择在业务场景中数量分布多的成熟产品，根据厂家提供的使用手册进行操作，在登录终端管理，获得 shell后，开始分析运行环境：包括但不仅限于操作系统内核版本、编译环境和硬件配置，智能配电终端3采用arm架构的cpu，嵌入式 linux作为内核，内核资源主要是：文件、进程、网络、设备，同时通过虚拟化容器技术作为应用平台，建立多个容器，利用容器启动业务软件实例app，每个实例app完成单独的功能。管理员通过网口ssh 方式登录设备进行管理，而在网络不通或者初始化设备时，检修员则需要物理接触设备，通过串口方式，对设备进行调试。
42.本方案的安全免疫系统采用内核级hook技术来控制系统的通讯信道以及内核函数实现，建立规则库，使系统的任何操作都成为必须符合规则的传递方式，用户的操作和命令，首先经过规则库验证，在用户指令符合验证，则传递到系统访问界面，否则，就拒绝用户指令。
43.针对智能配电终端3可能受到口令破解、漏洞远程执行等攻击行为，构建基于内核级hook技术的强制访问控制模型：利用智能配电终端3的嵌入式操作系统的原型，研究主流智能配电终端3操作系统的运行机制、账户管理机制、权限体系等安全相关的访问控制模型，在强制访问控制模型下嵌入式操作系统中的软件运行模式，研究内核进行hook阻断和控制防止恶意攻击进行资源调用的方法，限制管理员权限，实现危险指令拦截和免疫病毒的安全防护。
44.为了保证智能配电终端3能够全面的针对病毒查杀的免疫能力，设计了一种不依赖特征方式来查杀病毒，而是采用三权分立模式，采用基于区块链技术的白名单访问控制列表acl，采用强制访问控制模型，使系统仅能运行经认证过的可靠应用，即使root权限也无法绕过验证，针对acl存在被篡改，最终导致安全规则失效，被攻击者安装后门、越权访问的一系列攻击问题，研究基于区块链的访问控制列表acl技术：研究基于区块链技术的acl在多个终端设备中的稳定性和一致性，研究acl发生篡改后区块链技术的确权作用和抗抵赖性，研究区块链技术应用于acl时，合约变更频率与响应延时的对应关系，从而强化acl防篡改和抗抵赖能力。
45.而acl的组成部分有：主体、客体以及访问规则。其中主体包含：账户、进程、ip和上述主体的任意组合绑定，客体包含：文件、进程、服务、磁盘、设备和网络，采用区块链+云端的方式，将acl以区块链的方式进行维护。去中心化，且不能被恶意篡改，必须通过白名单添
加进程才可以运行，即使通过零日攻击取得root等特权，也无法随意执行程序。
46.通过改造智能配电终端3操作系统所实现的三权分立的方式，削弱智能配电终端3超级管理员权限、分配审计、运维、策略下发管理权限，进行详细的控制，在内核中实现的强制访问控制功能，只允许 acl列表中的程序运行，其他任何程序都禁止执行。
47.本方案采用基于区块链技术的安全访问技术，改造系统内核，开发针对智能配电终端智能配电终端3的安全免疫系统，保证配电网免疫恶意代码、病毒等攻击，提高电网对新型攻击的应对能力，保证电网安全稳定运行。建立内核级hook技术的强制访问控制模型，阻断和控制恶意攻击对资源的调用；建立基于区块链技术的白名单acl控制方法，强化acl防篡改和抗抵赖能力，通过非采用传统安全防护技术，而是其天然具备够对抗零日攻击的能力，使操作系统无法被控制，尤其是利用以太网口或串口等常用物理接触调试口，也无法执行有害程序和违规指令，避免造成大范围的故障，有效保障了电力物联网安全。
48.请参阅图2-10，智能配电终端3包括配电终端主体4，配电终端主体4包括相互匹配的配电柜和柜门，配电柜内安装有各型用电设备，配电柜内壁固定连接有辅助免疫装置5，辅助免疫装置5内插连接有安装管7，安装管7的内壁固定连接有电磁环8，安装管7内滑动连接有与自身相匹配的磁性密封塞9，磁性密封塞9位于电磁环8 远离安装管7槽底板的一侧，安装管7的内壁上固定连接有分隔网 14，分隔网14位于电磁环8靠近安装管7槽底板的一侧，分隔网14 与安装管7槽底板之间填充有多个挥发性物质颗粒15，其中智能配电终端3内设置有处理终端，用于监控智能配电终端3内个用电器的工作状态，同时将工作状态转换为数据信号上传到数据采集装置2和总服务器1内，而电磁环8的通电与否受到智能配电终端3内的处理终端控制，在智能配电终端3受到外界物理入侵即通过以太网接口和串口时，会断开电磁环8的电源，使得电磁环8与磁性密封塞9之间不再吸附，在处于压缩状态的压缩弹簧11作用下，将磁性密封塞9 顶出安装管7内，使得安装管7内部与外界相连通，利用挥发性物质颗粒15产生的刺激性气味气体对不法分子起到驱赶的作用，安装管 7外壁的底端固定连接有螺纹固定端，保护管6上开凿有螺纹槽，保护管6与安装管7之间通过螺纹固定端和螺纹槽实现固定连接，方便对安装管7在整体进行更换和维护工作，磁性密封塞9与安装管7的槽底板之间固定连接有伸缩杆10，伸缩杆10贯穿分隔网14并插设在压缩弹簧11的内部，伸缩杆10可以对压缩弹簧11进行保护，使得压缩弹簧11不易出现非工作向形变，不易造成压缩弹簧11失效，磁性密封塞9靠近电磁环8的一端固定连接有多个限位块，电磁环8 上开凿有与限位块相匹配的定位槽，通过限位块和定位槽的配合，使得在将安装管7整体旋入保护管6内时，电磁环8与磁性密封塞9之间发生打滑，不易影响保护管6与安装管7之间的连接，磁性密封塞 9远离电磁环8的一端开凿有异形槽，维护人员可以利用与异形槽相匹配的工具对安装管7进行安装和拆卸，使不法分子不易利用现有工具对安装管7整体进行拆卸。
49.伸缩杆10包括固定部和活动部，固定部与安装管7的槽底板固定连接，活动部与磁性密封塞9固定连接，活动部的外侧套设有波纹管12，波纹管12的两端分别与固定端和磁性密封塞9固定连接，波纹管12的外侧固定连接有多个弹性纤维13，多个弹性纤维13相互纠缠形成三维空间结构，在弹性纤维13所组成的三维空间结构会存储大量的刺激性气味气体，在磁性密封塞9被压缩弹簧11顶开后，波纹管12会随着磁性密封塞9的运动而拉伸，并使多个弹性纤维13 组成的三维空间结构崩溃，将上述刺激性气味气体释放，驱赶入侵者，多个弹性纤维13呈三维螺旋状，增加弹性纤维13西城的三维空间结构的强度，不易失效，多个弹
性纤维13靠近波纹管12的一端贯穿波纹管12并延伸至波纹管12内，增加弹性纤维13与波纹管12的连接强度，使得弹性纤维13不易脱落，弹性纤维13位于波纹管12内的部分相互交错形成网状结构，增加波纹管12的强度，使得波纹管12 不易撕裂。
50.本方案采用基于区块链技术的安全访问技术，改造系统内核，开发针对智能配电终端智能配电终端3的安全免疫系统，保证配电网免疫恶意代码、病毒等攻击，提高电网对新型攻击的应对能力，保证电网安全稳定运行。建立内核级hook技术的强制访问控制模型，阻断和控制恶意攻击对资源的调用；建立基于区块链技术的白名单acl控制方法，强化acl防篡改和抗抵赖能力。
51.同时配合辅助免疫装置5，在智能配电终端3受到外界物理入侵时，会断开电磁环8的电源，使得电磁环8与磁性密封塞9之间不再吸附，在处于压缩状态的压缩弹簧11作用下，将磁性密封塞9顶出安装管7内，使得安装管7内部与外界相连通，利用挥发性物质颗粒 15产生的刺激性气味气体对不法分子起到驱赶的作用。
52.值得注意的，辅助免疫装置5隐于用电设备中，使得不法分子不易发现辅助免疫装置5，不易做出针对性破坏，不易造成辅助免疫装置5失效。
53.通过非采用传统安全防护技术，而是其天然具备够对抗零日攻击的能力，使操作系统无法被控制，尤其是利用以太网口或串口等常用物理接触调试口，也无法执行有害程序和违规指令，避免造成大范围的故障，有效保障了电力物联网安全。
54.以上所述，仅为本发明较佳的具体实施方式；但本发明的保护范围并不局限于此。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其改进构思加以等同替换或改变，都应涵盖在本发明的保护范围内。