基于零信任机制的用电信息采集架构设计
2022-11-23姜和芳钟佳晨
刘 涛 马 越 姜和芳 周 宇 钟佳晨
(1.深圳供电局有限公司,广东 深圳 518133;2.南瑞集团(国网电力科学研究院),江苏 南京 210000;3.南京农业大学人工智能学院,江苏 南京 210095)
0 引言
高级计量架构(Advanced Metering Infrastructure,AMI)是智能电网的核心和基础[1],而电能信息采集与管理系统在AMI架构中常发挥核心作用,实现了智能、高效、准确获取售电量数据,并对其进行有效分析的目的。
然而,电力数据包含大量隐私信息,在传统AMI架构中直接传输和存储,将带来巨大的安全隐患[2]。目前,传统的数据安全保障工作多以购入第三方软硬件为主,既增加了部署成本,也不利于后期维护。
近年来,零信任机制的探索与制订,为电力信息的安全性保障提供了新的思路。为此,本文借助AMI架构的便捷性和高效性,提出并设计了基于零信任机制的用电信息采集架构,使用更为健全的身份鉴权和隐私防护方法,进一步提升了用电信息管理的安全性和便捷性。
1 研究背景
1.1 传统用电信息采集系统的安全形势
AMI是智能电网建设顺利发展的关键,是电力系统稳定使用的重要保证。AMI架构中的智能电表等终端设备组成用电信息采集系统的核心,定期采集用户电力数据,随后根据不同需求进行分发,以满足智能化电网建设需求。
为了满足电力服务高效需求,近年来,越来越多的电力工作者开始关注电力信息采集系统的优化研究。刘超等人[3]用NB-物联网技术实现对配电网用户用电信息采集和管理的智能化;朱亮等人[4]设计的采集终端智能报警装置,能够解决因非及时购电而跳闸的矛盾;俞秋霞[5]为解决传统电力信息采集存在的解析残差大的问题,设计了一种新的电力信息采集与通信规约解析系统。然而,这些研究并未强调用户数据的私密性控制。随着新型网络风险的增加和用户对隐私保护问题的不断重视,目前众多的用采系统设计均出现了潜在的数据安全威胁。
1.2 零信任安全研究现状
2021年,中国信通院发布《数字化时代零信任安全蓝皮书》,解读了数字化时代零信任机制的优势和广泛应用的场景[6]。传统的安全机制失效的本质是过度信任,即默认用户可信,仅利用防火墙等边界安全防护机制进行防护。随着网络流量的复杂度增加,内网安全也不断面临挑战。因此,零信任的核心是“永不信任,持续验证”,默认一切参与因素都不受信,且只给予当前行为最小权限分配[7]。
此间,零信任的相关研究也颇具规模。丁锐[8]针对石油信息系统的网络安全问题,提出零信任访问控制模型;薛莹等人[9]基于零信任架构原理和模型方法,加强和完善社区防控信息系统建设;章俊等人[10]通过搭建零信任平台,解决通过5G网络安全访问医院内部资源时医院网络边界模糊等安全隐患。
目前,我国电网转型中存在身份认证管理复杂等痛点[11],综合零信任机制的优势和用电信息采集的业务特点,将零信任机制运用于能源电力行业的安全性优化是切实可行的。
2 零信任机制实现
2.1 零信任机制运行逻辑
零信任机制本质是一个更加完善的安全认证架构[12],其逻辑架构如图1所示,由零信任核心组件和诸多外部数据源构成。
外部数据源主要用于提供身份验证和行为授权的依据,主要包括行业合规、活动日志等内容,针对具体需求可自行选择。核心部分分为控制平面和数据平面。访问主体发起请求,由控制平面的策略引擎进行多源信任评估计算,再由控制引擎进行结果判定,得出是否授权。一旦授权,则通知数据平面的安全代理模块对本次访问建立安全链接,并开放目标资源。
2.2 零信任机制模块部署
由于智能电网架构中设备型号差异大、线路老化难以更换等问题依旧存在[13],因此用电信息采集系统的优化不可采用强耦合的方式。鉴于此,本文将零信任机制模块与用采系统本身业务解耦,以降低业务复杂度,提升工作效率。
零信任机制模块设计如图2所示,主要包括客户端模块和服务端模块。在客户端,系统配备零信任终端监测插件,提供零信任安全认证机制中所需的身份令牌合法性检查、安全代理请求等功能。在服务端,零信任机制模块与业务系统分开,作为用户行为的服务中间件,其主要包括零信任监测模块、请求行为监控模块、日志分析系统和统一认证系统。
(1)零信任监测模块负责进行用户身份验证和行为鉴权,对于非法请求,可直接拒绝服务;
(2)请求行为监控模块负责收集操作系统和用户请求的相关信息,用以辅助安全验证工作;
(3)日志分析系统负责记录所有请求的相关信息,并进行持久化存储与分析,对潜在的危险用户进行监控与预警;
(4)统一认证系统负责接收安全代理传输的身份验证信息,并给出最终的身份授权结果。
3 用电信息采集架构设计
用电信息采集系统具有网络架构复杂、功能模块精密等特点[14],本文采用非侵入式的架构设计,将零信任安全模块搭建于现有的AMI架构中,与电力信息采集系统进行数据交互。
3.1 服务架构设计
本文将零信任安全防护模块作为中间件,隔开原本直接相连的用户终端设备或系统服务和电力采集系统服务,整体的安全服务架构如图3所示。
由图3可知,用户终端向代理网关发出请求,经过安全防护模块验证无误后可下发合法凭证用以访问业务。在安全防护模块中,将原抽象模块中相关联的部分进一步聚合,主要包括数据汇总平台、信任权限评估平台和安全服务平台。
(1)数据汇总平台:统一快速获取并汇总AMI架构中用户提供的诸多电力数据,并将所收集的信息统一预包装,最终发送给信任权限评估平台,作为用户鉴权的主要依据。
(2)信任权限评估平台:针对接收打包好的实时电力信息,使用自定义的安全评估算法进行身份合法评估。
(3)安全服务平台:用于接收用户请求,并发放合法权限凭证或拒绝服务。其包括简单的、基于数据库的身份判别策略,以过滤低级的非法请求,保障基本的安全控制需求。
3.2 零信任防护控制服务
同时,本文提出的零信任防护服务也可单独抽离,为AMI架构中的其他模块提供服务。整体服务总体框架如图4所示,包括终端接口拦截、动态鉴权控制、统一身份管理和安全防护IaaS。
(1)终端接口拦截服务:用于在设备终端进行直接安全控制,对电力信息的合法性监测粒度最为精细,可针对不同型号、不同系统的设备单独设计。
(2)动态鉴权控制服务:适合较为复杂的安全控制需求。所有业务请求均被分割为不同级别的权限,根据用户具体需求进行不同权限的动态发放,保证了系统的实时安全性。
(3)统一身份管理服务:是为了解决动态鉴权控制的不足而设计,可支持将多种权限绑定到同一身份中,在授权时将优先进行身份检查,身份核验通过后直接发放若干权限。
(4)安全防护IaaS服务:是处于最底层的基础设施服务,适用于需大量个性化定制的业务场景。不同电力用户可自行配置其他安全防护模块,降低总体业务运维成本。
4 结语
本文针对当前电力信息采集系统中存在的网络安全风险和隐私泄露问题,结合零信任机制,从提升系统整体安全防护的层面设计了新型智能用电信息采集架构,在一定程度上提升了电力用户的数据隐私性和业务安全性。零信任安全模块与用采系统解耦部署的方式,避免了与现有电力架构的兼容问题,同时也降低了技术人员和管理人员的维护难度。