劉 濤 馬 越 姜和芳 周 宇 鐘佳晨

（1.深圳供電局有限公司，廣東 深圳 518133；2.南瑞集團(tuán)（國(guó)網(wǎng)電力科學(xué)研究院），江蘇 南京 210000；3.南京農(nóng)業(yè)大學(xué)人工智能學(xué)院，江蘇 南京 210095）

0 引言

高級(jí)計(jì)量架構(gòu)（Advanced Metering Infrastructure，AMI）是智能電網(wǎng)的核心和基礎(chǔ)[1]，而電能信息采集與管理系統(tǒng)在AMI架構(gòu)中常發(fā)揮核心作用，實(shí)現(xiàn)了智能、高效、準(zhǔn)確獲取售電量數(shù)據(jù)，并對(duì)其進(jìn)行有效分析的目的。

然而，電力數(shù)據(jù)包含大量隱私信息，在傳統(tǒng)AMI架構(gòu)中直接傳輸和存儲(chǔ)，將帶來(lái)巨大的安全隱患[2]。目前，傳統(tǒng)的數(shù)據(jù)安全保障工作多以購(gòu)入第三方軟硬件為主，既增加了部署成本，也不利于后期維護(hù)。

近年來(lái)，零信任機(jī)制的探索與制訂，為電力信息的安全性保障提供了新的思路。為此，本文借助AMI架構(gòu)的便捷性和高效性，提出并設(shè)計(jì)了基于零信任機(jī)制的用電信息采集架構(gòu)，使用更為健全的身份鑒權(quán)和隱私防護(hù)方法，進(jìn)一步提升了用電信息管理的安全性和便捷性。

1 研究背景

1.1 傳統(tǒng)用電信息采集系統(tǒng)的安全形勢(shì)

AMI是智能電網(wǎng)建設(shè)順利發(fā)展的關(guān)鍵，是電力系統(tǒng)穩(wěn)定使用的重要保證。AMI架構(gòu)中的智能電表等終端設(shè)備組成用電信息采集系統(tǒng)的核心，定期采集用戶電力數(shù)據(jù)，隨后根據(jù)不同需求進(jìn)行分發(fā)，以滿足智能化電網(wǎng)建設(shè)需求。

為了滿足電力服務(wù)高效需求，近年來(lái)，越來(lái)越多的電力工作者開(kāi)始關(guān)注電力信息采集系統(tǒng)的優(yōu)化研究。劉超等人[3]用NB-物聯(lián)網(wǎng)技術(shù)實(shí)現(xiàn)對(duì)配電網(wǎng)用戶用電信息采集和管理的智能化；朱亮等人[4]設(shè)計(jì)的采集終端智能報(bào)警裝置，能夠解決因非及時(shí)購(gòu)電而跳閘的矛盾；俞秋霞[5]為解決傳統(tǒng)電力信息采集存在的解析殘差大的問(wèn)題，設(shè)計(jì)了一種新的電力信息采集與通信規(guī)約解析系統(tǒng)。然而，這些研究并未強(qiáng)調(diào)用戶數(shù)據(jù)的私密性控制。隨著新型網(wǎng)絡(luò)風(fēng)險(xiǎn)的增加和用戶對(duì)隱私保護(hù)問(wèn)題的不斷重視，目前眾多的用采系統(tǒng)設(shè)計(jì)均出現(xiàn)了潛在的數(shù)據(jù)安全威脅。

1.2 零信任安全研究現(xiàn)狀

2021年，中國(guó)信通院發(fā)布《數(shù)字化時(shí)代零信任安全藍(lán)皮書(shū)》，解讀了數(shù)字化時(shí)代零信任機(jī)制的優(yōu)勢(shì)和廣泛應(yīng)用的場(chǎng)景[6]。傳統(tǒng)的安全機(jī)制失效的本質(zhì)是過(guò)度信任，即默認(rèn)用戶可信，僅利用防火墻等邊界安全防護(hù)機(jī)制進(jìn)行防護(hù)。隨著網(wǎng)絡(luò)流量的復(fù)雜度增加，內(nèi)網(wǎng)安全也不斷面臨挑戰(zhàn)。因此，零信任的核心是“永不信任，持續(xù)驗(yàn)證”，默認(rèn)一切參與因素都不受信，且只給予當(dāng)前行為最小權(quán)限分配[7]。

此間，零信任的相關(guān)研究也頗具規(guī)模。丁銳[8]針對(duì)石油信息系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題，提出零信任訪問(wèn)控制模型；薛瑩等人[9]基于零信任架構(gòu)原理和模型方法，加強(qiáng)和完善社區(qū)防控信息系統(tǒng)建設(shè)；章俊等人[10]通過(guò)搭建零信任平臺(tái)，解決通過(guò)5G網(wǎng)絡(luò)安全訪問(wèn)醫(yī)院內(nèi)部資源時(shí)醫(yī)院網(wǎng)絡(luò)邊界模糊等安全隱患。

目前，我國(guó)電網(wǎng)轉(zhuǎn)型中存在身份認(rèn)證管理復(fù)雜等痛點(diǎn)[11]，綜合零信任機(jī)制的優(yōu)勢(shì)和用電信息采集的業(yè)務(wù)特點(diǎn)，將零信任機(jī)制運(yùn)用于能源電力行業(yè)的安全性優(yōu)化是切實(shí)可行的。

2 零信任機(jī)制實(shí)現(xiàn)

2.1 零信任機(jī)制運(yùn)行邏輯

零信任機(jī)制本質(zhì)是一個(gè)更加完善的安全認(rèn)證架構(gòu)[12]，其邏輯架構(gòu)如圖1所示，由零信任核心組件和諸多外部數(shù)據(jù)源構(gòu)成。

外部數(shù)據(jù)源主要用于提供身份驗(yàn)證和行為授權(quán)的依據(jù)，主要包括行業(yè)合規(guī)、活動(dòng)日志等內(nèi)容，針對(duì)具體需求可自行選擇。核心部分分為控制平面和數(shù)據(jù)平面。訪問(wèn)主體發(fā)起請(qǐng)求，由控制平面的策略引擎進(jìn)行多源信任評(píng)估計(jì)算，再由控制引擎進(jìn)行結(jié)果判定，得出是否授權(quán)。一旦授權(quán)，則通知數(shù)據(jù)平面的安全代理模塊對(duì)本次訪問(wèn)建立安全鏈接，并開(kāi)放目標(biāo)資源。

2.2 零信任機(jī)制模塊部署

由于智能電網(wǎng)架構(gòu)中設(shè)備型號(hào)差異大、線路老化難以更換等問(wèn)題依舊存在[13]，因此用電信息采集系統(tǒng)的優(yōu)化不可采用強(qiáng)耦合的方式。鑒于此，本文將零信任機(jī)制模塊與用采系統(tǒng)本身業(yè)務(wù)解耦，以降低業(yè)務(wù)復(fù)雜度，提升工作效率。

零信任機(jī)制模塊設(shè)計(jì)如圖2所示，主要包括客戶端模塊和服務(wù)端模塊。在客戶端，系統(tǒng)配備零信任終端監(jiān)測(cè)插件，提供零信任安全認(rèn)證機(jī)制中所需的身份令牌合法性檢查、安全代理請(qǐng)求等功能。在服務(wù)端，零信任機(jī)制模塊與業(yè)務(wù)系統(tǒng)分開(kāi)，作為用戶行為的服務(wù)中間件，其主要包括零信任監(jiān)測(cè)模塊、請(qǐng)求行為監(jiān)控模塊、日志分析系統(tǒng)和統(tǒng)一認(rèn)證系統(tǒng)。

（1）零信任監(jiān)測(cè)模塊負(fù)責(zé)進(jìn)行用戶身份驗(yàn)證和行為鑒權(quán)，對(duì)于非法請(qǐng)求，可直接拒絕服務(wù)；

（2）請(qǐng)求行為監(jiān)控模塊負(fù)責(zé)收集操作系統(tǒng)和用戶請(qǐng)求的相關(guān)信息，用以輔助安全驗(yàn)證工作；

（3）日志分析系統(tǒng)負(fù)責(zé)記錄所有請(qǐng)求的相關(guān)信息，并進(jìn)行持久化存儲(chǔ)與分析，對(duì)潛在的危險(xiǎn)用戶進(jìn)行監(jiān)控與預(yù)警；

（4）統(tǒng)一認(rèn)證系統(tǒng)負(fù)責(zé)接收安全代理傳輸?shù)纳矸蒡?yàn)證信息，并給出最終的身份授權(quán)結(jié)果。

3 用電信息采集架構(gòu)設(shè)計(jì)

用電信息采集系統(tǒng)具有網(wǎng)絡(luò)架構(gòu)復(fù)雜、功能模塊精密等特點(diǎn)[14]，本文采用非侵入式的架構(gòu)設(shè)計(jì)，將零信任安全模塊搭建于現(xiàn)有的AMI架構(gòu)中，與電力信息采集系統(tǒng)進(jìn)行數(shù)據(jù)交互。

3.1 服務(wù)架構(gòu)設(shè)計(jì)

本文將零信任安全防護(hù)模塊作為中間件，隔開(kāi)原本直接相連的用戶終端設(shè)備或系統(tǒng)服務(wù)和電力采集系統(tǒng)服務(wù)，整體的安全服務(wù)架構(gòu)如圖3所示。

由圖3可知，用戶終端向代理網(wǎng)關(guān)發(fā)出請(qǐng)求，經(jīng)過(guò)安全防護(hù)模塊驗(yàn)證無(wú)誤后可下發(fā)合法憑證用以訪問(wèn)業(yè)務(wù)。在安全防護(hù)模塊中，將原抽象模塊中相關(guān)聯(lián)的部分進(jìn)一步聚合，主要包括數(shù)據(jù)匯總平臺(tái)、信任權(quán)限評(píng)估平臺(tái)和安全服務(wù)平臺(tái)。

（1）數(shù)據(jù)匯總平臺(tái)：統(tǒng)一快速獲取并匯總AMI架構(gòu)中用戶提供的諸多電力數(shù)據(jù)，并將所收集的信息統(tǒng)一預(yù)包裝，最終發(fā)送給信任權(quán)限評(píng)估平臺(tái)，作為用戶鑒權(quán)的主要依據(jù)。

（2）信任權(quán)限評(píng)估平臺(tái)：針對(duì)接收打包好的實(shí)時(shí)電力信息，使用自定義的安全評(píng)估算法進(jìn)行身份合法評(píng)估。

（3）安全服務(wù)平臺(tái)：用于接收用戶請(qǐng)求，并發(fā)放合法權(quán)限憑證或拒絕服務(wù)。其包括簡(jiǎn)單的、基于數(shù)據(jù)庫(kù)的身份判別策略，以過(guò)濾低級(jí)的非法請(qǐng)求，保障基本的安全控制需求。

3.2 零信任防護(hù)控制服務(wù)

同時(shí)，本文提出的零信任防護(hù)服務(wù)也可單獨(dú)抽離，為AMI架構(gòu)中的其他模塊提供服務(wù)。整體服務(wù)總體框架如圖4所示，包括終端接口攔截、動(dòng)態(tài)鑒權(quán)控制、統(tǒng)一身份管理和安全防護(hù)IaaS。

（1）終端接口攔截服務(wù)：用于在設(shè)備終端進(jìn)行直接安全控制，對(duì)電力信息的合法性監(jiān)測(cè)粒度最為精細(xì)，可針對(duì)不同型號(hào)、不同系統(tǒng)的設(shè)備單獨(dú)設(shè)計(jì)。

（2）動(dòng)態(tài)鑒權(quán)控制服務(wù)：適合較為復(fù)雜的安全控制需求。所有業(yè)務(wù)請(qǐng)求均被分割為不同級(jí)別的權(quán)限，根據(jù)用戶具體需求進(jìn)行不同權(quán)限的動(dòng)態(tài)發(fā)放，保證了系統(tǒng)的實(shí)時(shí)安全性。

（3）統(tǒng)一身份管理服務(wù)：是為了解決動(dòng)態(tài)鑒權(quán)控制的不足而設(shè)計(jì)，可支持將多種權(quán)限綁定到同一身份中，在授權(quán)時(shí)將優(yōu)先進(jìn)行身份檢查，身份核驗(yàn)通過(guò)后直接發(fā)放若干權(quán)限。

（4）安全防護(hù)IaaS服務(wù)：是處于最底層的基礎(chǔ)設(shè)施服務(wù)，適用于需大量個(gè)性化定制的業(yè)務(wù)場(chǎng)景。不同電力用戶可自行配置其他安全防護(hù)模塊，降低總體業(yè)務(wù)運(yùn)維成本。

4 結(jié)語(yǔ)

本文針對(duì)當(dāng)前電力信息采集系統(tǒng)中存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱私泄露問(wèn)題，結(jié)合零信任機(jī)制，從提升系統(tǒng)整體安全防護(hù)的層面設(shè)計(jì)了新型智能用電信息采集架構(gòu)，在一定程度上提升了電力用戶的數(shù)據(jù)隱私性和業(yè)務(wù)安全性。零信任安全模塊與用采系統(tǒng)解耦部署的方式，避免了與現(xiàn)有電力架構(gòu)的兼容問(wèn)題，同時(shí)也降低了技術(shù)人員和管理人員的維護(hù)難度。