无线网络安全隔离方法、装置及电子设备与流程

本发明涉及网络安全技术领域，尤其是涉及一种无线网络安全隔离方法、装置及电子设备。

背景技术：

电力终端通信接入网作为智能电网的重要组成部分，处于电力系统通信网络的末端，覆盖范围广，通信节点较为分散。随着网络覆盖范围和建设规模逐年扩大，仅仅依赖光纤通信已经难以满足不同区域、不同业务的所有需求。因此，在光纤通信网络难以覆盖的地区，选择合理的无线通信网络是建设安全、可靠、实时、经济的电力终端接入网的重要环节。

当前电力终端通信接入网，尤其是采用无线公网接入技术的网络，在多业务承载和网络性能评估方面还存在许多问题。由于配电网无线公网的接入业务种类越来越多，各业务传输的数据量十分庞大，数据交换频度提高，系统并发处理能力不足的情况，无线网络相对于有线网络系统更容易遭遇非法攻击和入侵、盗用、无线用户信息被窃听、无线钓鱼攻击等一系列的安全问题，因此需要对各业务的数据传输进行安全隔离。

目前无线网络安全隔离的方法有很多，包括基于无线接入共享(ran-sharing)和基于物理隔离的多业务承载隔离方案、多apn(accesspointname，接入点)逻辑隔离方案等多种方法，但是其基本都是针对于电力无线专网领域而言，并不符合无线公网的需求及相关业务情况，而在配电业务无线公网安全隔离方面的研究很少。所以采用现有的无线网络安全隔离方法时，配电网无线公网通信多业务运行、数据安全传输的能力较差。

技术实现要素：

有鉴于此，本发明的目的在于提供一种无线网络安全隔离方法、装置及电子设备，以提高配电网无线公网通信多业务运行、数据安全传输的能力，从而为配电网多业务的安全稳定运行提供保障。

第一方面，本发明实施例提供了一种无线网络安全隔离方法，应用于多业务的无线公网，所述方法包括：

获取待隔离的目标传输数据包；

确定所述目标传输数据包的安全等级；

根据所述目标传输数据包的安全等级，对所述目标传输数据包进行隔离处理。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述确定所述目标传输数据包的安全等级，包括：

提取所述目标传输数据包的业务特征；

采用预先训练好的分类器对所述目标传输数据包的业务特征进行分类处理，得到所述目标传输数据包的业务类别；

根据所述目标传输数据包的业务类别确定所述目标传输数据包的安全等级。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述分类器通过以下方式训练：

获取训练样本；其中，所述训练样本包括对应多个业务类别的传输数据包；

提取所述训练样本的业务特征；

根据所述训练样本的业务特征和对应的业务类别对所述分类器进行训练。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述根据所述目标传输数据包的安全等级，对所述目标传输数据包进行隔离处理，包括：

根据所述目标传输数据包的安全等级和预设的安全等级与隔离方案的对应关系，确定所述目标传输数据包对应的目标隔离方案；

采用所述目标隔离方案对所述目标传输数据包进行隔离处理。

结合第一方面的第三种可能的实施方式，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述目标隔离方案包括以下中的任一种：逻辑隔离、信道隔离、端口隔离和物理隔离。

第二方面，本发明实施例还提供一种无线网络安全隔离装置，应用于多业务的无线公网，所述装置包括：

获取模块，用于获取待隔离的目标传输数据包；

确定模块，用于确定所述目标传输数据包的安全等级；

隔离模块，用于根据所述目标传输数据包的安全等级，对所述目标传输数据包进行隔离处理。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述确定模块具体用于：

提取所述目标传输数据包的业务特征；

采用预先训练好的分类器对所述目标传输数据包的业务特征进行分类处理，得到所述目标传输数据包的业务类别；

根据所述目标传输数据包的业务类别确定所述目标传输数据包的安全等级。

结合第二方面的第一种可能的实施方式，本发明实施例提供了第二方面的第二种可能的实施方式，其中，所述装置还包括训练模块，所述训练模块用于：

获取训练样本；其中，所述训练样本包括对应多个业务类别的传输数据包；

提取所述训练样本的业务特征；

根据所述训练样本的业务特征和对应的业务类别对所述分类器进行训练。

结合第二方面，本发明实施例提供了第二方面的第三种可能的实施方式，其中，所述隔离模块具体用于：

根据所述目标传输数据包的安全等级和预设的安全等级与隔离方案的对应关系，确定所述目标传输数据包对应的目标隔离方案；

采用所述目标隔离方案对所述目标传输数据包进行隔离处理。

第三方面，本发明实施例还提供一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面或其任一种可能的实施方式所述的方法。

本发明实施例带来了以下有益效果：

本发明实施例中，获取待隔离的目标传输数据包；确定该目标传输数据包的安全等级；根据该目标传输数据包的安全等级，对该目标传输数据包进行隔离处理。本发明实施例提供的无线网络安全隔离方法、装置及电子设备，通过对目标传输数据包的安全等级进行判断，再根据不同的安全等级采用不同的隔离方法，提高了配电网无线公网通信多业务运行、数据安全传输的能力，从而为配电网多业务的安全稳定运行提供了保障。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种无线网络安全隔离方法的流程示意图；

图2为本发明实施例提供的一种训练分类器的流程示意图；

图3为本发明实施例提供的一种无线网络安全隔离装置的结构示意图；

图4为本发明实施例提供的另一种无线网络安全隔离装置的结构示意图；

图5为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

无线公网由于不需要铺设通信线缆，省去了相应的通信线缆及相应的架设，降低了信息丢失风险和施工难度，已经越来越广泛地被应用到配电网络中。随着无线公网在配电网中的推广应用，其承载配电网业务种类和数据数量都有了大幅度的提升，因此需要对配电网无线公网中不同业务的数据进行安全隔离。

由于不同电力通信业务对通信质量和通信安全的需求不同，对配电网无线通信数据传输信道安全隔离提出了新的要求。不同的配电网业务对无线公网的安全防护等级要求有所区别；同时，配电网无线通信存在突发事件及多事件并发的风险，因此需要对各业务的数据传输进行安全隔离。基于此，本发明实施例提供的一种无线网络安全隔离方法、装置及电子设备，可以根据无线公网不同业务的安全需求，实现配电网无线通信不同业务数据的安全传输，为提高配电网多业务服务能力提供保障。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种无线网络安全隔离方法进行详细介绍。

实施例一：

本发明实施例提供了一种无线网络安全隔离方法，该方法应用于多业务的无线公网，可以由业务主站处的电子设备执行。该方法针对配电网无线通信多业务运行、各业务数据量大的特点，根据业务的安全等级来切换隔离方案，不仅可以实现配电网无线通信不同业务数据的安全传输，还为提高配电网多业务的安全稳定运行提供了保障。

图1为本发明实施例提供的一种无线网络安全隔离方法的流程示意图，如图1所示，该方法包括以下几个步骤：

步骤s102，获取待隔离的目标传输数据包。

对于多业务运行的配电网无线公网，业务主站获取该无线公网中传输的数据包(传输数据)。

步骤s104，确定上述目标传输数据包的安全等级。

在一些可能的实施方案中，考虑到不同的业务对应的安全等级不同，业务主站根据配电网业务类别与系统主站建立不同安全等级的隔离信道。基于此，上述步骤s104包括：提取目标传输数据包的业务特征；采用预先训练好的分类器对目标传输数据包的业务特征进行分类处理，得到该目标传输数据包的业务类别；根据该目标传输数据包的业务类别确定该目标传输数据包的安全等级。

步骤s106，根据上述目标传输数据包的安全等级，对该目标传输数据包进行隔离处理。

具体地，业务主站内预先存储有安全等级与隔离方案的对应关系，可以先根据目标传输数据包的安全等级和该安全等级与隔离方案的对应关系，确定目标传输数据包对应的目标隔离方案；然后采用该目标隔离方案对目标传输数据包进行隔离处理。

在一些可能的实施方案中，隔离方案按照从低到高的顺序包括逻辑隔离、信道隔离、端口隔离和物理隔离。基于此，目标隔离方案包括以下中的任一种：逻辑隔离、信道隔离、端口隔离和物理隔离。

本发明实施例中，获取待隔离的目标传输数据包；确定该目标传输数据包的安全等级；根据该目标传输数据包的安全等级，对该目标传输数据包进行隔离处理。本发明实施例提供的无线网络安全隔离方法，通过对目标传输数据包的安全等级进行判断，再根据不同的安全等级采用不同的隔离方法，提高了配电网无线公网通信多业务运行、数据安全传输的能力，从而为配电网多业务的安全稳定运行提供了保障。

在一种可能的实现方式中，通过贝叶斯分类算法对目标传输数据包的业务类别进行判断，再根据与业务类别对应的安全等级采用不同的隔离方案对目标传输数据包进行隔离，从而提升了配电网无线通信数据业务的安全传输性(提升了配电网无线通信安全运行的能力)，为配电网的安全稳定运行创造了有利的条件。

图2为本发明实施例提供的一种训练分类器的流程示意图，如图2所示，采用贝叶斯分类算法，通过以下步骤训练分类器：

步骤s202，获取训练样本。

其中，上述训练样本包括对应多个业务类别的传输数据包。假设有k个业务类别对应的k个训练样本a1、a2···、ak，训练样本的业务类别集记为b＝(y1,y2,…,yk)。

步骤s204，提取上述训练样本的业务特征。

业务主站对上述训练样本进行特征提取，得到每个训练样本的特征属性(业务特征)x＝(a1,a2,…,am)(假设为m维向量)。

步骤s206，根据上述训练样本的业务特征和对应的业务类别对分类器进行训练。

计算每个业务类别在训练样本中的出现频率及每个特征属性划分对每个业务类别的条件概率估计。输入是特征属性和特征属性与业务类别的对应关系，输出是分类器。

具体地，分别计算每个特征属性划分对每个业务类别的条件概率估计：p(a1|y1)，p(a2|y1)，···，p(am|y1)；p(a1|y2)，p(a2|y2)，···，p(am|y2)；···；p(a1|yk)，p(a2|yk)，···，p(am|yk)。在一种可能的实现方式中，可以统计得到每个特征属性划分对每个业务类别的条件概率估计。

另外，如果各个特征属性是条件独立的，则根据贝叶斯定理有如下推导：

其中，yi表示第i个训练样本的业务类别，p(yi)表示训练样本中yi的频率，p(x)表示训练样本中特征属性x的频率。因为分母对于所有业务类别为常数只需将分子最大化，同时考虑各特征条件独立，则有公式(2)：

基于此，采用上述训练的分类器进行分类时，可以根据公式(2)计算每个训练样本的p(x|yi)p(yi)，以p(x|yi)p(yi)最大项作为特征属性x所属业务类别。

本发明实施例为了提高配电网无线公网通信多业务运行、数据安全传输的能力，结合贝叶斯分类算法，提出了一种基于业务安全等级切换隔离方案的无线网络安全隔离方法。该方法通过贝叶斯分类算法对传输数据包的业务类别进行判断，再根据业务不同的安全等级采用不同的隔离方案。该方法可以确保隔离无线公网有害的攻击，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。这种根据业务不同的安全等级进行多种网络隔离技术的切换，弥补了现有安全技术的不足，具有突出的优势。该方法实现了配电网无线通信不同业务数据的安全传输，为提高配电网多业务服务能力提供了保障，保护了无线公网高安全度网络环境。

综上可知，本发明实施例提供的方法具有以下有益效果：

(1)针对配电网无线通信多业务运行、各业务数据量大的特点，采用逻辑隔离、信道隔离、端口隔离和物理隔离四种安全隔离方法切换的方案，可以确保根据网络的具体需求来选择合适的安全隔离方法，节约了网络资源，提高了网络的资源利用率。

(2)通过贝叶斯分类算法学习和分类的过程的高效性，对配电网无线通信安全隔离的方法进行切换，有效提升了配电网无线通信安全隔离的效率，保障了配电网多业务的安全稳定运行。

实施例二：

对应于上述实施例一的方法，本发明实施例还提供了一种无线网络安全隔离装置，该装置应用于多业务的无线公网，如图3所示，该装置包括：

获取模块32，用于获取待隔离的目标传输数据包；

确定模块34，用于确定目标传输数据包的安全等级；

隔离模块36，用于根据目标传输数据包的安全等级，对该目标传输数据包进行隔离处理。

可选地，上述确定模块34具体用于：

提取所述目标传输数据包的业务特征；采用预先训练好的分类器对目标传输数据包的业务特征进行分类处理，得到目标传输数据包的业务类别；根据目标传输数据包的业务类别确定该目标传输数据包的安全等级。

图4为本发明实施例提供的另一种无线网络安全隔离装置的结构示意图，如图4所示，在图3的基础上，该装置还包括训练模块38，训练模块38用于：

获取训练样本；其中，训练样本包括对应多个业务类别的传输数据包；提取训练样本的业务特征；根据训练样本的业务特征和对应的业务类别对分类器进行训练。

可选地，上述隔离模块36具体用于：

根据目标传输数据包的安全等级和预设的安全等级与隔离方案的对应关系，确定目标传输数据包对应的目标隔离方案；采用目标隔离方案对目标传输数据包进行隔离处理。

可选地，上述目标隔离方案包括以下中的任一种：逻辑隔离、信道隔离、端口隔离和物理隔离。

本发明实施例中，获取待隔离的目标传输数据包；确定该目标传输数据包的安全等级；根据该目标传输数据包的安全等级，对该目标传输数据包进行隔离处理。本发明实施例提供的无线网络安全隔离装置，通过对目标传输数据包的安全等级进行判断，再根据不同的安全等级采用不同的隔离方法，提高了配电网无线公网通信多业务运行、数据安全传输的能力，从而为配电网多业务的安全稳定运行提供了保障。

实施例三：

参见图5，本发明实施例还提供一种电子设备100，包括：处理器40，存储器41，总线42和通信接口43，所述处理器40、通信接口43和存储器41通过总线42连接；处理器40用于执行存储器41中存储的可执行模块，例如计算机程序。

其中，存储器41可能包含高速随机存取存储器(ram，randomaccessmemory)，也可能还包括非易失性存储器(non-volatilememory)，例如至少一个磁盘存储器。通过至少一个通信接口43(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线42可以是isa总线、pci总线或eisa总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器41用于存储程序，所述处理器40在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器40中，或者由处理器40实现。

处理器40可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器40中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器40可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现成可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41，处理器40读取存储器41中的信息，结合其硬件完成上述方法的步骤。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置及电子设备的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本发明实施例提供的无线网络安全隔离装置及电子设备，与上述实施例提供的无线网络安全隔离方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

附图中的流程图和框图显示了根据本发明的多个实施例的方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本发明实施例所提供的进行无线网络安全隔离方法的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。