基于区块链的变电站站控系统平台APP安全管理方法与流程

基于区块链的变电站站控系统平台app安全管理方法
技术领域
1.本发明涉及变电站站控系统平台app安全管理方法，尤其涉及一种基于区块链的变电站站控系统平台app安全管理方法。


背景技术：

2.现有的变电站站控系统采用开放式平台与专业化app的模式，其中基础平台实现全站信息统一建模、数据统一采集和管理，提供资源管理、数据管理、公共服务、应用管理等标准化服务访问接口，实现各类应用灵活扩展，各种专业app的应用则基于平台实现具体某一项智能专业化功能。通过平台+应用的建设模式，努力创建一个共建、共享、开放的生态体系。但专业化app种类繁多,在此开放共享的生态体系下，变电站站控系统平台app存在的安全风险如下：1)非授权和受到篡改的app安装；2)app访问网络地址范围之外的ip；3)app超额占用系统的cpu、内存、磁盘、网络资源；4)app越权访问外部的文件目录。上述风险的存在，使变电站站控系统平台app安全管理效率低、无法保障app运行过程中的系统安全。


技术实现要素：

3.发明目的：本发明的目的是提供一种app安全管理效率高、确保app运行过程中系统安全的基于区块链的变电站站控系统app安全管理方法。
4.技术方案：本发明基于区块链的变电站站控系统平台app安全管理方法，包括步骤如下：(1)变电站安全ⅲ区部署区块链服务器；(2)秘钥对生成，安全数据注册；(3)全局配置签名提交；(4)app镜像安装授权检验，校验成功后app启动或保持运行；(5)app运行期间网络访问检验；(6)app运行期间资源访问检验；(7)app运行期间权限检验；所述步骤(5)、步骤(6)和步骤(7)，如校验失败，终止app安装和运行。
5.步骤(1)中在智能变电站站控系统安全iii区部署区块链服务器，在所述区块链服务器上部署区块链客户端，用以访问分布式账本，同时对安全i区提供app安全管理全局配置信息访问接口。
6.步骤(2)中智能变电站运行人员通过区块链服务器生成app管理器公钥和私钥、app信息维护公钥和私钥，以区块链交易的形式提交app安全管理全局配置。
7.步骤(3)中在智能变电站站控系统某app调试完毕之后，app调试维护人员提交此app信息,以区块链交易的形式更新app安全管理全局配置到链上。
8.步骤(4)中基于区块链上app安全管理全局配置，站控系统主机app管理器对app镜像安装请求进行校验，校验失败则停止安装，校验成功则执行安装并启动app运行。
9.步骤(5)中基于区块链上app安全管理全局配置中app网络访问配置信息，站控系统主机app管理器对app运行期间的网络访问行为进行监测，监测到越限行为则停止app运行。
10.步骤(6)中基于区块链上app安全管理全局配置中app资源配置信息，站控系统主机app管理器对app运行期间的资源占用情况进行监测，监测到越限行为则停止app运行。
11.步骤(7)中基于区块链上app安全管理全局配置中app文件目录访问权限配置信息，站控系统主机app管理器对app运行期间的文件网络访问行为进行监测，监测到越限行为则停止app运行。
12.本发明与现有技术相比，其显著效果如下：1、通过在智能变电站站控系统iii区配置区块链服务器生成app管理器公钥和私钥，能够实现变电站站控系统中app安全管理配置过程的不可篡改和可追溯，并确保站控系统app在开放体系下的安全共享；2、在区块链公链的背书下提高了站控系统所有app的安装安全性、网络访问安全性、资源占用安全性和文件目录访问安全性。
附图说明
13.图1为本发明的总流程图；
14.图2为本发明的站控系统架构图；
15.图3为本发明的站控系统在区块链中的app安全管理全局配置数据结构图；
16.图4为本发明的站控系统在区块链中的app信息配置数据结构图；
17.图5为本发明的站控系统app平台架构图。
具体实施方式
18.下面结合说明书附图和具体实施方式对本发明做进一步详细描述。
19.如图1所示为本发明的基于区块链的站控系统平台app安全管理方法的总流程图，如图2所示为本发明的站控系统架构示意图，包括如下步骤：
20.步骤1，在智能变电站监控系统iii区配置区块链服务器，在所述区块链服务器上部署区块链客户端，用以访问分布式账本，同时对安全i区提供访问接口。
21.步骤2，智能变电站运行人员通过区块链服务器生成app管理器公钥和私钥；app信息维护公钥和私钥。以上技术和管理背书是存在风险的，例如相关算法被攻破、密钥泄露等，同时相关算法和管理措施也需要同步更新。用app管理器私钥签名提交安全注册信息(包括app信息维护公钥和当前app数量)以生成app安全管理全局配置,全局配置数据结构如图3所示,包含下列部分:
22.1)工程师签名，此签名用app管理器私钥对整个数据结构加密生成，用以识别数据结构是否被篡改。
23.2)时间戳，代表整个数据结构在区块链上的生成时间，用以识别数据结构的版本更新。
24.3)安全注册数据，包含整个app信息维护公钥和app数量，用以识别app信息维护者的身份。
25.4)app信息数据，包含app信息维护公钥、签名、app索引号、网络访问配置、资源访问配置、文件目录权限访问配置、镜像文件hash以及时间戳，用以识别app的注册信息，app信息数据结果如图4所示。
26.步骤3，智能变电站站控系统某app调试完毕之后，app调试维护人员用app信息维私钥签名提交此app镜像文件hash,app网络访问配置,最后由app管理器私钥打包并签名，以交易的形式更新app安全管理全局配置。
27.步骤4，站控系统主机上app管理器收到某个app(testapp)镜像的安装请求之后,站控系统主机连接安全iii区区块链服务器并读取app管理器私钥签名的最新app安全管理全局配置(根据时间戳)，对testapp镜像文件进行hash计算，得到本地的待安装app镜像文件hash；核对testapp镜像文件hash是否和app安全管理全局配置中的某个app信息配置中的镜像文件hash一致，如果都不一致则校验失败退出安装；校验成功后，app管理器执行testapp镜像安装,安装完成后启动运行。
28.步骤5，testapp运行过程中,app管理器站控系统主机连接安全iii区区块链服务器并读取app管理器私钥签名的最新app安全管理全局配置(根据时间戳),基于全局配置实时监测testapp的网络访问行为,如果监测到testapp有访问其相应网络配置之外的ip和端口,则app管理器停止testapp运行。
29.步骤6，testapp运行过程中,app管理器站控系统主机连接安全iii区区块链服务器并读取app管理器私钥签名的最新app安全管理全局配置(根据时间戳),基于全局配置实时监测testapp的资源占用行为,如果监测到testapp占用超过其相应资源配置之外额度的cpu、内存、磁盘、网络资源,则app管理器停止testapp运行。
30.步骤7，testapp运行过程中,app管理器站控系统主机连接安全iii区区块链服务器并读取app管理器私钥签名的最新app安全管理全局配置(根据时间戳),基于全局配置实时监测testapp的文件目录访问行为,如果监测到testapp有访问其相应目录权限配置之外的文件目录行为,则app管理器停止testapp运行。
31.图5中所示的站控系统中app平台均按照上述步骤(1)-步骤(7)执行。
32.以上实施例仅为说明本发明的技术方案，不能以此限定本发明的保护范围，凡是按照本发明提出的技术方案，在技术方案基础上所做的任何改动，均落入本发明保护范围之内。