一种新能源电厂安全系统用终端验证装置制造方法及图纸

本申请公开了应用于新能源电厂领域的一种新能源电厂安全系统用终端验证装置，该验证装置通过线上和线下同步的验证模块的设置，用户要先通过线下验证模块的验证，才能激活验证装置，用户才可以继续在验证装置上继续进行线上验证，通过线下验证模块的设置，为数据安全性提供一道新的屏障，在其未通过时，用户无法进行线上验证的操作，相较于现有技术大幅度提高了数据安全性，有效避免数据被篡改；线上验证模块通过在控制模块的基础上建立规则库，使系统的任何操作都成为必须符合规则的传递方式，用户的操作和命令均需经过规则库验证，不符合规则的操作和命令均无法运行，从而继续为数据提高一道安全屏障，进一步保护数据不易被篡改。篡改。篡改。

【技术实现步骤摘要】
一种新能源电厂安全系统用终端验证装置


[0001]本申请涉及新能源电厂领域，特别涉及一种新能源电厂安全系统用终端验证装置。

技术介绍

[0002]电力行业的工业化、信息化起步早，发展快，成熟度高，基于网络的业务应用越来越多，网络在带来便捷性的同时，其开放性也引入巨大的安全风险，而近年来频繁发生的工控安全事件及互联网泄密或数据被篡改的事件，使得加强对网络边界的安全防护变得越来越重要。
[0003]为克服新能源电厂数据的安全性，一般通过区块链以及白名单的方式，对程序添加验证，使只有在白名单内的程序并通过验证能够运行，从而保护数据降低被篡改事件的发展，然而现有技术中对新能源电厂数据终端的操作验证较为简单，导致易被攻破，导致对数据的防篡改效果较差。

技术实现思路

[0004]本申请目的在于提高对终端指令以及程序验证的严密性，大幅度提高数据安全性，有效避免被篡改，相比现有技术提供一种新能源电厂安全系统用终端验证装置，包括线上验证模块以及线下验证模块，线上验证模块包括控制模块以及在控制模块基础上建立的规则库，线上验证模块还包括可信云服务、区块链以及安全管理平台，通过安全管理平台将安全应用程序推送至可信云服务，并进行计算Hash、授权，下发至各智能终端设备，通过安全管理平台管理区块链节点上的服务数据，保证ACL数据一致，智能终端上搭载安全内核模型，智能终端上的OP指令将会通过控制模块根据安规则库进行强制拦截验证，验证装置通过LSM安全模块，采用HOOK技术实现终端的ACL权限访问的拦截验证控制；
[0005]拦截验证的具体方法包括以下步骤：
[0006]S1、建立系统可信程序hash库，只有在规则库中，并且允许执行的程序可以运行；
[0007]S2、对未经允许的外接存储设备、输入输出等新增硬件设备进行拦截防护；
[0008]S3、进程对系统中的文件访问默认不受限制，受到强制访问控制规则保护的文件，只能被规则允许的程序访问；
[0009]S4、进程对系统中的其他进程访问默认不受限制，受到强制访问控制规则保护的进程，只能被规则允许的程序访问(kill、debug等)；
[0010]S5、进程对网络通信默认不受限制；
[0011]S6、受到强制访问控制规则保护的网络，只能被规则允许的程序访问。
[0012]通过线上和线下同步的验证模块的设置，在用户对终端进行操作之前，需要先通过线下验证模块的验证，才能激活验证装置，用户才可以继续在验证装置上继续进行线上验证，通过线下验证模块的设置，为数据安全性提供一道新的屏障，在其未通过时，用户无法进行线上验证的操作，相较于现有技术大幅度提高了数据安全性，有效避免数据被篡改，
线上验证模块通过在控制模块的基础上建立规则库，使系统的任何操作都成为必须符合规则的传递方式，用户的操作和命令均需经过规则库验证，不符合规则的操作和命令均无法运行，从而继续为数据提高一道安全屏障，有效保护数据不易被篡改。
[0013]进一步的，安全系统用的终端验证装置上的任何操作都成为必须符合规则的传递方式，用户的操作和命令，首先经过规则库验证，规则允许则传递到系统访问界面，否则就拒绝用户指令。
[0014]进一步的，规则库包括安全管理平台提供的标准安全模板规则以及自定义的安全规则两种形式，自定义的安全规则根据新能源电厂安全系统的需要进行自定义设置。
[0015]进一步的，步骤S1中，允许执行的程序运行过程为：当一个程序被执行时，先要访问某个可执行文件，系统调用后，启动Linux安全模块进行Hook操作；如果当前的操作并非执行一个程序，则可通过；如果当前的操作正在启动程序，那么则计算可执行文件的MD5，利用MD5值比对可信软件库中的白名单，以及可信程序的MD5，如果对比一致，则可通过验证，程序被执行；否则，记录错误日志，并拒绝程序执行。
[0016]进一步的，白名单服务采用区块链技术，去中心化，建立信任机制，共享数据，保证数据一致，预防篡改。
[0017]进一步的，线下验证模块包括设置在终端本体台面上的验证槽以及与验证槽匹配的验证杆，验证槽包括内插槽位于内插槽口部的限位槽，内插槽内底端固定连接有双层动杆，验证杆包括与内插槽匹配的外动杆以及与限位槽匹配的内插杆，内插杆内开凿有与双层动杆相互匹配的方形槽，用户在操作之前，需要先将验证杆插入到验证槽内，进行线下验证，只有在线下验证通过的基础上，才能继续进行线上验证，有效保证外来人员操作导致数据被非法篡改的情况发生。
[0018]进一步的，双层动杆包括位于中心的透光圆杆以及四个分别与透光圆杆外端滑动连接的外阻光层，四个外阻光层围成截面为正方形的长方体，外阻光层中部固定镶嵌有透光夹层，透光夹层上端安装有子电触头，方形槽内顶端安装有两个母电触头，两个母电触头分别与两个交叉对应的透光夹层位置匹配，透光圆杆和内插杆均为透明结构，使二者均可以被激光束穿过，外阻光层为硬质不透明结构，具备遮光性能，使验证杆在刚插入至验证槽内时，激光束被外阻光层遮挡，此时仅验证开关开启，而激光束未被激光器的接收端接收，线下验证无法通过，透光夹层为电雾化玻璃制成，在验证杆插入到验证槽内时，验证杆上的两个母电触头会与其中两个相对的子电触头接触，使透光夹层通电，进而处于两个相对对角的透光夹层处于透明状态，此时可转动验证杆，使其带动多个外阻光层均随其转动，当透光夹层与激光束重合时，线下验证通过。
[0019]进一步的，内插槽内壁安装有激光器，激光器发射端和接收端之间的连线经过双层动杆中轴线，透光圆杆上端安装有验证开关，验证开关以及激光器均与终端本体内控制模块信号连接。
[0020]进一步的，内插槽口部刻有横标线，外动杆外表面刻有四个分别与方形槽竖直边对应的竖标线，在将验证杆插入至验证槽内或从验证槽内取出时，均需控制其中一个竖标线的位置与横标线对应，且横标线与竖标线位置对应时，长方体的竖直面与激光器发出的激光束垂直，使验证杆在插入验证槽时的初始位置激光器激光束不对透光夹层对应，使激光器的接收端不能接收到激光信号，在插入有只有转动验证槽使激光器的发射端的激光束
与透光夹层重合时，才能使接收端接收到信号，同时在验证开关被挤压开始时，才能使通过线下验证。
[0021]相比于现有技术，本申请的优点在于：
[0022](1)通过线上和线下同步的验证模块的设置，在用户对终端进行操作之前，需要先通过线下验证模块的验证，才能激活验证装置，用户才可以继续在验证装置上继续进行线上验证，通过线下验证模块的设置，为数据安全性提供一道新的屏障，在其未通过时，用户无法进行线上验证的操作，相较于现有技术大幅度提高了数据安全性，有效避免数据被篡改，线上验证模块通过在控制模块的基础上建立规则库，使系统的任何操作都成为必须符合规则的传递方式，用户的操作和命令均需经过规则库验证，不符合规则的操作和命令均无法运行，从而继续为数据提高一道安全屏障，有效保护数据不易被篡改。
[0023](2)用户在操作之前，需要先将验本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种新能源电厂安全系统用终端验证装置，包括线上验证模块以及线下验证模块，其特征在于，所述线上验证模块包括控制模块以及在控制模块基础上建立的规则库，所述线上验证模块还包括可信云服务、区块链以及安全管理平台，通过所述安全管理平台将安全应用程序推送至可信云服务，并进行计算Hash、授权，下发至各智能终端设备，通过所述安全管理平台管理区块链节点上的服务数据，保证ACL数据一致，所述智能终端上搭载安全内核模型，智能终端上的OP指令将会通过控制模块根据安规则库进行强制拦截验证，所述验证装置通过LSM安全模块，采用HOOK技术实现终端的ACL权限访问的拦截验证控制；所述拦截验证的具体方法包括以下步骤：S1、建立系统可信程序hash库，只有在规则库中，并且允许执行的程序可以运行；S2、对未经允许的外接存储设备、输入输出等新增硬件设备进行拦截防护；S3、进程对系统中的文件访问默认不受限制，受到强制访问控制规则保护的文件，只能被规则允许的程序访问；S4、进程对系统中的其他进程访问默认不受限制，受到强制访问控制规则保护的进程，只能被规则允许的程序访问；S5、进程对网络通信默认不受限制；S6、受到强制访问控制规则保护的网络，只能被规则允许的程序访问。2.根据权利要求1所述的一种新能源电厂安全系统用终端验证装置，其特征在于，所述安全系统用的终端验证装置上的任何操作都成为必须符合规则的传递方式，用户的操作和命令，首先经过规则库验证，规则允许则传递到系统访问界面，否则就拒绝用户指令。3.根据权利要求1所述的一种新能源电厂安全系统用终端验证装置，其特征在于，所述规则库包括安全管理平台提供的标准安全模板规则以及自定义的安全规则两种形式，所述自定义的安全规则根据新能源电厂安全系统的需要进行自定义设置。4.根据权利要求1所述的一种新能源电厂安全系统用终端验证装置，其特征在于，所述步骤S1中，允许执行的程序运行过程为：当一个程序被执行时，先要访问某个可执行文件，系统调用后，启动Linux安全模块进行Hook操作；如果当前的操作并非执行一个程序，则可通过；如果当前的操作正在启动程序，那么则计算可执行文件的MD5，利用MD5值比对可信软件库中的白名单，以及可信程序的MD5，如果对比一致，则可通过验证，程序被执行；否则，记录错误日志，并拒绝程序执行。5.根据权利要...

【专利技术属性】
技术研发人员：刘丹妮，王圣达，孙小芙，赵巍，丛犁，郝成亮，史春辉，王丽红，陈聪，黄帅，
申请(专利权)人：国网吉林省电力有限公司信息通信公司国网思极位置服务有限公司，
类型：发明
国别省市：