一种异构终端的边缘接入管控方法及控制器与流程

1.本发明属于信息通信资源虚拟运营领域，特别是涉及一种异构终端的边缘接入管控方法及控制器。


背景技术：

2.传统的电力通信网络承载的业务种类少、业务需求单一，而泛在电力物联网越来越多承载着对内对外的差异化能源服务，“枢纽、平台、共享”泛在电力物联网广泛支持了分布式能源接入、能源优化配置、能源互联共享和能源供需平衡。泛在电力物联网是由“云、管、边、端”ict资源链形成融合模式，用于承载多种新型区域化综合能源服务。而区域化综合能源服务呈现区域差异化特点以及协同重叠服务，迫切要求电力信息通信解决虚拟运营商的理念，融合信息通信软件可编程技术，将电力信息通信作为虚拟服务资源租赁且提供给不同的业务部门或企业开展业务部署，满足业务间相互隔离但又相互融合的泛在电力物联业务运行需求。
3.泛在电力物联网业务终端接入方式多样，电力通信网络结构日益复杂，存在不同应用系统之间无法实现数据共享、资源编排分配不合理、本地与云平台协同能力差的问题，给边缘物联代理和云平台协作服务带来困难。此外，智能表计、智能家电等智能电力终端的大量接入，使得电力服务平台被恶意攻击的风险提高，被非法接入和控制的几率增大，平台的稳定性、可靠性也变得更加难以保障。


技术实现要素：

4.本发明的目的在于克服现有技术的不足，提供一种异构终端的边缘接入管控方法及控制器。
5.本发明的目的是通过以下技术方案来实现的：一种异构终端的边缘接入管控方法，包括接入步骤和检测步骤；所述接入步骤包括：标识可信注册：业务终端通过区块链客户端向平台进行注册；标识可信解析：区块链客户端发送标识编码的解析请求消息给平台，平台请求区块链网络对所述区块链客户端接入信息服务器进行认证，认证通过后，所述信息服务器向区块链客户端返回所述标识编码所对应的数据信息或url信息；所述检测步骤包括检测非法业务终端接入、检测伪基站接入和检测异常行为。
6.优选的，所述标识可信注册包括：业务终端通过区块链客户端向平台的注册服务器发送第一注册请求，注册服务器根据区块链标识和该业务终端的信息为该业务终端分配标识编码；注册服务器将所述业务终端的标识编码与业务终端所属系统的对应关系发送给平台的解析服务器；解析服务器记录业务终端所属系统的标识编码，所述业务终端所属系统的标识编码与所述业务终端的标识编码相同，并为所述业务终端所属系统分配发现服务器，并转发所述
第一注册请求给发现服务器；所述发现服务器获取业务终端所属系统对应的信息服务器，并记录所述业务终端的标识编码和信息服务器之间的映射关系，发现服务器向业务终端所属系统返回注册成功的响应消息，所述注册成功的响应消息包括发现服务器的号码，同时将所述业务终端的标识编码写入区块链网络；当业务终端采集到数据需要上报时，电力业务终端发送第二注册请求给相应的信息服务器，所述第二注册请求包括业务终端的标识编码和采集到的数据；信息服务器记录业务终端的区块链标识与业务终端上报的元数据和url的对应关系；信息服务器将业务终端的区块链标识与业务终端上报的元数据和url的对应关系的数字摘要写入区块链节点，并将第二注册请求转发给相应的发现服务器；发现服务器更新业务终端标识的内容，并向区块链客户端返回业务终端注册成功的响应。
7.优选的，所述标识可信解析包括：区块链客户端发送标识编码的解析请求消息给解析服务器，所述解析请求消息包括业务终端的标识编码；解析服务器接收到解析请求消息后，查询记录获取该标识编码对应的发现服务器，并转发解析请求消息给所述发现服务器；发现服务器接收到解析请求消息后，查询记录获取该标识编码对应的信息服务器，并请求区块链网络对区块链客户端接入信息服务器进行认证，认证通过后，发现服务器发送解析请求消息给信息服务器；信息服务器向区块链客户端返回所述标识编码对应的数据信息或url信息。
8.优选的，所述检测非法业务终端接入包括：获取业务终端的位置信息，判断业务终端的位置信息是否属于预设的合法场景，若业务终端的位置信息不属于合法场景，则拒绝所述业务终端的接入；若业务终端的位置信息属于合法场景，则判断所述业务终端的mac地址是否属于预设的mac白名单，若所述业务终端的mac地址不属于mac白名单，则拒绝业务终端的接入；若所述业务终端的mac地址属于mac白名单，则允许业务终端的接入。
9.优选的，判断所述业务终端的mac地址是否属于预设的mac白名单包括：设置服务集标识隐藏模式；为业务终端配置相应的ssid，不同业务终端的ssid不同；判断所述业务终端的mac地址是否属于mac白名单，若所述业务终端的mac地址不属于mac白名单，则拒绝业务终端的接入；若所述业务终端的mac地址属于mac白名单，则业务终端计算出其ssid；若业务终端正确计算出ssid，且知晓对应的接入密码，则允许业务终端的接入，否则拒绝业务终端的接入。优选的，所述检测伪基站接入包括：将边缘物联代理设置为哨兵；若哨兵检测到合法业务终端的物理信号，且平台和业务数据系统没有该合法业务终端的网络和业务数据时，启动哨兵嗅探；
当哨兵嗅探到伪基站的bssid时，将该bssid上报给安全管控模块，安全管控模块在其合法边缘物联代理bssid库中查询，若没有查询到匹配结果，安全管控模块判定该bssid非法，识别为伪基站；安全管控模块将识别伪基站的信息发送给哨兵，哨兵对伪基站进行定位并上报伪基站位置信息，并判断被劫持的合法业务终端；当定位出伪基站和被劫持的合法业务终端后，由哨兵和合法边缘物联代理发送802.11 de-auth数据包，打断被该伪基站劫持的所有合法业务终端与伪基站之间的通信连接，恢复合法业务终端与合法边缘物联代理之间的有效接入和数据通信。
10.优选的，所述检测伪基站接入包括：将边缘物联代理设置为哨兵；当哨兵检测到边缘物联代理的生命周期与合法边缘物联代理的生命周期的差异大于阈值，或者边缘物联代理的数据流量超出预设范围时，识别为伪基站，并对所述伪基站进行定位；利用信号压制技术对伪基站攻击进行处理。
11.优选的，所述检测异常行为包括异常数据流入侵检测：当合法业务终端接入后，判断所述合法业务终端的数据流是否符合其权限以及业务行为，若所述合法业务终端的数据流不符合其权限以及业务行为，则认为存在非法通信入侵。
12.优选的，所述检测异常行为包括数据挖掘入侵检测，所述数据挖掘入侵检测包括基于聚类的入侵检测方法、基于离群点挖掘的入侵检测方法和基于关联分析的入侵检测方法。
13.一种异构终端的边缘接入控制器，包括处理器以及存储器，所述处理器耦合所述存储器，所述处理器在工作时执行存储器中所存储的指令以实现上述的异构终端的边缘接入管控方法。
14.本发明的有益效果是：本发明结合传统安全认证技术及区块链技术，提出基于边缘计算的异构终端接入方案，满足不同类型终端的快速可信接入和数据的安全传输需求；同时，提出基于边缘代理的终端接入检测和管控方案，通过非法业务终端接入检测、伪基站接入检测和异常行为检测，实现对非法接入行为控制，保证业务终端和边缘物联代理间的有效通信。
附图说明
15.图1为本发明中接入步骤的一种流程示意图；图2为本发明中标识可信注册的一种流程示意图；图3为本发明中标识可信解析的一种流程示意图；图4为根据业务终端的mac地址生成ssid的一种示意图；图5为通过白名单检测非法终端的一种示意图；图6为面向非法bssid的基于哨兵模式的伪基站攻击检测机制示意图。
具体实施方式
16.下面将结合实施例，对本发明的技术方案进行清楚、完整地描述，显然，所描述的
实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
17.参阅图1-6，本发明提供一种异构终端的边缘接入管控方法及控制器：一种异构终端的边缘接入管控方法，包括接入步骤和检测步骤。
18.如图1所示，所述接入步骤包括标识可信注册和标识可信解析。
19.所述标识可信注册包括：业务终端通过区块链客户端向平台进行注册。
20.如图2所示，具体的，标识可信注册包括：业务终端通过区块链客户端向平台的注册服务器发送第一注册请求，注册服务器根据区块链标识和该业务终端的信息为该业务终端分配标识编码，所述业务终端的信息包括业务终端的id，该标识编码记为{bcns_id}。
21.注册服务器将所述业务终端的标识编码与业务终端所属系统的对应关系发送给平台的解析服务器。
22.解析服务器记录业务终端所属系统的标识编码，所述业务终端所属系统的标识编码与所述业务终端的标识编码相同，并为所述业务终端所属系统分配发现服务器(ds，discovery server)，并转发所述第一注册请求给发现服务器，所述解析服务器记录的内容为recordds={bcns_id,dsa}，其中，bcns_id表示所述业务终端的标识编码，dsa表示为所述业务终端所属系统分配发现服务器。
23.所述发现服务器获取业务终端所属系统对应的信息服务器(is，information server)，并记录所述业务终端的标识编码和信息服务器之间的映射关系，即，在发现服务器中增加记录recordis={bcns_id,isa}，其中isa表示业务终端所属系统对应的信息服务器；发现服务器向业务终端所属系统返回注册成功的响应消息，所述注册成功的响应消息包括发现服务器的号码{bcns_id,dsa}，同时将所述业务终端的标识编码写入区块链网络。
24.当业务终端采集到数据需要上报时，电力业务终端发送第二注册请求给相应的信息服务器，所述第二注册请求包括业务终端的标识编码和采集到的数据{bcns_id1,data}，其中，bcns_id1表示业务终端发送注册请求的标识编码。
25.信息服务器记录业务终端的区块链标识与业务终端上报的元数据和url的对应关系，即记录业务终端的区块链标识与业务终端上报的元数据的对应关系，以及业务终端的区块链标识与url的对应关系，信息服务器记录的内容为recorddata={bcns_id1,isa,data,url}，其中，data表示业务终端上报的元数据。
26.信息服务器将业务终端的区块链标识与业务终端上报的元数据和url的对应关系的数字摘要写入区块链节点，并将第二注册请求转发给相应的发现服务器。
27.发现服务器更新业务终端标识的内容为recordis={bcns_id1,isa}，并向区块链客户端返回业务终端注册成功的响应。
28.所述标识可信解析包括：区块链客户端发送标识编码的解析请求消息给平台，平台请求区块链网络对所述区块链客户端接入信息服务器进行认证，认证通过后，所述信息服务器向区块链客户端返回所述标识编码所对应的数据信息或url信息如图3所示，具体的，所述标识可信解析包括：区块链客户端发送标识编码的解析请求消息给解析服务器，所述解析请求消息包括业
务终端的标识编码{bcns_id}。
29.解析服务器接收到解析请求消息后，查询记录获取该标识编码对应的发现服务器，并转发解析请求消息给所述发现服务器。
30.发现服务器接收到解析请求消息后，查询记录获取该标识编码对应的信息服务器，并请求区块链网络对区块链客户端接入信息服务器进行认证，认证通过后，发现服务器发送解析请求消息给信息服务器。
31.信息服务器向区块链客户端返回所述标识编码对应的数据信息或url信息。
32.一些实施例中，基于区块链的标识拥有者可以完全开放数据资源访问权，也可以通过适当的自定义机制使区块链客户端获取相应的数据资源的访问权，区块链客户端也可以通过智能合约的方式，在智能合约的控制下由网络推送与某标识相关的数据给其他区块链客户端。
33.所述区块链客户端负责已接入多模通信终端的所有业务终端身份标识发放，在侧链上的注册以及可信接入；区块链客户端还负责各接入业务终端的数据读取、数据存储、密钥生成、密钥管理与数据加密传输上链等功能，实现基于多模通信终端的多业务终端数据统一上链。
34.所述检测步骤包括检测非法业务终端接入、检测伪基站接入和检测异常行为。
35.所述检测非法业务终端接入包括限制接入范围、设置白名单等。
36.限制接入范围：获取业务终端的位置信息，判断业务终端的位置信息是否属于预设的合法场景，若业务终端的位置信息不属于合法场景，则拒绝所述业务终端的接入。
37.对于非法业务终端接入，通过限制边缘物联代理对于业务终端的接入范围来缩小非法业务终端接入的场景范围，提高非法业务终端的接入难度，降低非法业务终端接入的概率。
38.边缘物联代理的接入功率动态调整并屏蔽低速传输，结合边缘物联代理的业务终端动态定位技术，业务终端在合法场景内或者非常接近才能接入，这样使得非法业务终端接入的监测范围进一步缩小。
39.同时，结合统一部署、统一制式的全业务泛在电力物联网边缘物联代理的业务终端接入数据采集和轨迹分析，可以重点关注从外部进入通信场景范围的终端设备，进一步缩小和明确需要监测的非法业务终端的检测范围，提升非法业务终端接入的检测及时性和准确率。
40.设置白名单：若业务终端的位置信息属于合法场景，则判断所述业务终端的mac地址是否属于预设的mac白名单，若所述业务终端的mac地址不属于mac白名单，则拒绝业务终端的接入；若所述业务终端的mac地址属于mac白名单，则允许业务终端的接入。
41.本实施例通过可编程的无线管理逻辑，实现专业灵活的边缘物联代理ssid(service set identifier，服务集标识)感知模式设置，来提高非法业务终端接入边缘物联代理的难度。
42.在一些实施例中，除了边缘物联代理自动向外广播其ssid以外，还可以设置ssid隐藏模式，使得ssid无法为非法业务终端自动感知，需要接入的终端自动配置ssid感知方式。在ssid隐藏模式下，为业务终端配置相应的ssid（ssid可根据业务终端的mac地址按现有算法生成，如图4所示），不同业务终端的ssid不同。判断所述业务终端的mac地址是否属
于mac白名单，若所述业务终端的mac地址不属于mac白名单，则拒绝业务终端的接入；若所述业务终端的mac地址属于mac白名单，则业务终端计算出其ssid；若业务终端正确计算出ssid，且知晓对应的接入密码，则允许业务终端的接入，否则拒绝业务终端的接入，如图5所示，图中sta1表示第一合法业务终端，sta2表示第二合法业务终端。
43.在一些实施例中，当非法业务终端伪造在业务终端白名单中的mac地址时（默认该伪造mac地址的非法终端拥有其所接入边缘物联代理正确的ssid，并知晓对应的密码）时，结合物联网管理平台的安全管控模块从系统级全面感知测量业务终端的接入情况，有效识别非法业务终端的接入。
44.当具有相同mac地址的不同业务终端接入到不同的物理边缘物联代理时，必然存在一个非法业务终端伪造了某个业务终端白名单库中的mac地址，并接入了全业务泛在电力物联网，可直接得出存在非法业务终端接入的结果。此时，可通过哨兵主动感知模式，让部分边缘物联代理扮演哨兵的功能，进行业务终端接入连接主动检测，结合进一步的用户数据流和行为分析、权限控制等手段，检测出具体的非法业务终端，并采取相应的安全接入控制手段。
45.当具有相同mac地址的不同业务终端接入到同一物理边缘物联代理时，多个业务终端将会引起终端数据的频繁接入现象，对于该边缘物联代理而言，该mac地址下的业务终端的接入频率将明显异于其接入的其它业务终端的接入频率，特别是存在同类型的业务终端的情况下。可以根据此种现象，结合终端类型的不同，发现非法业务终端接入。此时，可以通过其它扩展方式进行非法业务终端识别，诸如可扩展至利用硬件特征识别与认证方式，如终端信号指纹（无线设备信号强度）、时钟偏移、流量轨迹等。
46.对于伪基站接入的检测，采用基于sdn架构的无线通信技术支持高度的接入控制和智能无线感知，通过哨兵模式，执行实时异常感知/压制，动态模式切换来监测并防护非法边缘物联代理劫持合法业务终端。通过冗余部署部分边缘物联代理作为哨兵模式，实时感知无线信道异常，发现非法边缘物联代理并进行抑制。当网络空闲时，将更多的边缘物联代理可切换为哨兵模式；当网络繁忙或部分边缘物联代理故障时，可动态切换为正常边缘物联代理模式。
47.当伪基站的bssid(basic service set identifier，基本服务集标识符)不在安全管控模块（mcs）合法边缘物联代理bssid库（每个边缘物联代理都有一个bssid，相当于设备的mac地址）中时，物联网管理平台和电网业务数据系统中无法获取被劫持的业务终端的数据，表现为业务终端掉线。此时，如图6所示，所述检测伪基站接入包括：将边缘物联代理设置为哨兵；若哨兵检测到合法业务终端的物理信号，且平台和业务数据系统没有该合法业务终端的网络和业务数据时，启动哨兵嗅探；当哨兵嗅探到伪基站的bssid时，将该bssid上报给安全管控模块，安全管控模块在其合法边缘物联代理bssid库中查询，若没有查询到匹配结果，安全管控模块判定该bssid非法，识别为伪基站；安全管控模块将识别伪基站的信息发送给哨兵，哨兵对伪基站进行定位并上报伪基站位置信息，并判断被劫持的合法业务终端；当定位出伪基站和被劫持的合法业务终端后，由哨兵和合法边缘物联代理发送802.11 de-auth数据包，打断被该伪基站劫持的所有合法业务终端与伪基站之间的通信连接，恢复合法业务终端与合法边缘物联代理之间的有效接入和数据通信。
48.当伪基站的bssid在安全管控模块（mcs）合法边缘物联代理bssid库中时，所述检
测伪基站接入包括：将边缘物联代理设置为哨兵；当哨兵检测到边缘物联代理的生命周期与合法边缘物联代理的生命周期的差异大于阈值，或者边缘物联代理的数据流量超出预设范围时，识别为伪基站，并对所述伪基站进行定位，例如，可以为通过虚拟业务终端、哨兵等设备的流量漫游切换、连接轮询、虚拟终端接入等方式定位并识别伪基站攻击；利用信号压制技术对伪基站攻击进行处理，将此类安全事件的危害降到最低，确保泛在业务切片式安全可信接入网络的正常有效运行。
49.所述检测异常行为包括异常数据流入侵检测方法和数据挖掘入侵检测方法。
50.所述异常数据流入侵检测方法基于dpi引擎，通过协议解析进行网络测量、网络性能和用户行为感知，分析业务终端通信数据流中存在异常情形并进行监测。具体的：当合法业务终端接入后，如果该合法业务终端的使用人员或者使用程序存在非法行为和非法目的，则会产生非法的控制和访问数据，此种非法通信入侵监测，即可通过异常数据检测方式来实现。检测方法为：：当合法业务终端接入后，判断所述合法业务终端的数据流是否符合其权限（如业务权限、访问权限、控制权限等）以及业务行为，若所述合法业务终端的数据流不符合其权限以及业务行为，则认为存在非法通信入侵。
51.当在接入前没有发现非法业务终端的接入时，还可以在其接入后根据其非法数据行为对其进行入侵检测。非法业务终端接入后，其不可能完全感知其仿冒的业务终端的全部权限，所以其极其可能违反安全管控模块为其所代表的业务终端类型设置的权限和业务行为。通过同样的权限控制、流量解析、流量分析、业务分析等异常检测手段即可监测到非法业务终端的异常数据，发现非法通信入侵，进一步加强非法通信入侵监测能力。
52.此时，对于白名单而言，可不局限于终端的mac地址，可以扩展至业务和数据属性，包括ip、ipv6地址位置标识、端口、域名、协议、数据特征串、访问权限、设备类型、地理位置等。
53.所述数据挖掘入侵检测包括基于聚类的入侵检测方法、基于离群点挖掘的入侵检测方法和基于关联分析的入侵检测方法。
54.基于聚类的入侵检测方法：在基于聚类的入侵检测中，利用聚类算法对无类别标签的数据集进行分析，然后根据数据的特性来判断其是否代表异常行为。入侵检测领域常用的聚类算法有k-means、自组织特征映射、dbscan等。
55.基于离群点挖掘的入侵检测方法：在基于离群点挖掘的入侵检测中，通常将入侵行为数据视为与正常行为数据不同的离群点，利用离群点挖掘技术将这些入侵行为数据挖掘出来。
56.基于关联分析的入侵检测方法：在基于关联分析的入侵检测中，通常先运用关联规则挖掘算法从数据集中挖掘出关联规则，然后将这些关联规则用于入侵检测。在入侵检测领域常用的关联规则算法有：apriori算法和 fp-growth算法等。一种异构终端的边缘接入控制器，包括处理器以及存储器，所述处理器耦合所述存储器，所述处理器在工作时执行存储器中所存储的指令以实现上述异构终端的边缘接入管控方法。
57.以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进
行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。