国网宁夏电力有限公司中卫供电公司,宁夏 中卫 755000
摘要:由于智能电网互动化业务的不断发展,针对各种业务系统终端接入的安全需求,文章以电力物联网环境为研究背景,以可信网络连接为理论基础,以各类电力终端为研究对象,提出了电力物联网环境下基于可信网络连接的电力终端安全技术。
关键词:电力物联网;可信网络;终端;安全接入
从可信计算组织(Trusted Compu-ting Group,TCG)成立以来,可信计算技术得到
了迅速的发展.人们已经意识到,在面对现有各种安全风险与威胁时,不仅需要自顶向下的安全体系设计,还需要从终端开始自底向上地保证计算系统的可信;不仅要保证终端计算环境的可信,还要把终端计算环境的可信扩展到网络,使得网络成为一个可信的计算环境.
一、电力终端通信接入网安全技术研究现状
终端通信接入网安全防护是建设智能坚强电网的重要支撑。依据《电力监控系统安全防护规定》的具体要求,重点实现对终端进行安全加固、身份认证、访问控制等防护,支持智能传感器、智能表计、智能手持设备、平板电脑等设备接入。在通道防护方面,需要实现多种组网方式下的安全防护专用软硬件设计、研制。在安全接入层面,需要完善现有数据交互体系,实现安全接入区防护要求,提供安全的通信总线,完成安全接入区与信息内网的数据通信,配合现有的证书系统,完成基于公钥体系的身份认证体系建设。通过完整的安全防护体系建设提升业务互动化能力,全面支撑智能坚强电网的安全防护建设需求。国家电网公司从总体架构上制定信息安全防护总体策略和防护技术布防结构,从物理、边界、网络、主机、终端、应用、数据七类防护对象维度展开,提出技术措施和防护手段并进行管理。各省级单位按照总体防护要求,从每一项技术措施出发,具体落实到相关的防护手段。防护手段需要通过实例化的信息安全技术支撑保障落实实现。接入网安全防护所采取的关键技术主要包括身份认证、信息加密、网络隔离、防火墙技术、病毒检测、入侵检测与监控、安全审计等。电力监控系统安全防护总体策略受限于防护手段和管理水平,接入网按照生产和管理大区物理隔离要求建设,屏蔽了很多安全风险和管理风险。这对包括配电在内的多项业务能够安全稳定运行起到了积极作用。目前,电力终端接入网主要由业务部门根据防护需求遵循相关要求开展安全防护工作,缺乏从接入网层面根据通信技术、组网模式和业务特点进行整体考虑,与《中华人民共和国网络安全法》的相关要求仍有一定距离。
二、TNC的优点
1.开放性。TNC架构本身就是针对互操作的,所有规范都面向公众开放,研究者可以免费获得相关的规范文档.另外,它采用了很多现有的标准与规范,如EAP、802.1X等,使得该架构可以适应多种环境的需要,没有与某个具体的产品相绑定.它与NAC架构、NAP架构的互操作也说明了该架构的开放性.
2.安全性。TNC是对传统网络接入控制技术的扩展,在传统的基于用户身份认证的基础上增加了平台身份认证与完整性验证.这将对接入网络的终端提出更高的要求,反过来这也增强了提供接入的网络的安全性.同时每个规范中针对安全问题与隐私问题都具有相应的探讨与解决方案.
3.指导性。TNC的规范内容详细,考虑的问题全面,很多接口定义规范提供了具体的消息流程、XML Schema和相关操作系统和编程语言的绑定,如IF-IMC、IF-IMV和IF-TNCCS等,易于指导产品的实现.
4.系统性。TNC规范自身为一个完整的体系结构,每一个相应的接口都具有子规范进行详细定义,有关完整性度量、报告等核心问题专门有完整性工作组(Integrity Working Group,IWG)制定相应规范与参考模型,与可信计算整体规范既有关联,又自成一个体系
三、基于TNC的电力终端安全接入
1.基于TNC的电力终端安全接入体系架构。在电力物联网环境下,各层都具有相应的安全挑战和安全需求。为了分别解决各层的安全需求,子项目根据可信计算及可信网络连接理论模型,结合电力实际需求、电力物联网中各种无线通
信网络现状、终端特性等,提出基于可信网络连接的电力终端安全接入体系架构。该体系架构的核心思想:通过对接入电力终端的可信程度进行判定,从而决定该电力终端以何种身份进入电力接入网络以及使用网络的何种资源。传统的TNC架构仅支持带有可信芯片的终端接入。由于目前电力行业以不含可信芯片的电力终端为主,故文中提出的电力终端安全接入体系结构主要支持不含可信芯片的电力终端接入。
整个安全接入体系包含3个实体,分别为电力终端对应TNC中的访问请求者、接入网关对应TNC中的策略执行点、认证服务器对应TNC中的策略决定点。同时从终端访问层、完整性评估层及完整性度量层等3部分进行设计。其中终端访问层主要完成电力终端的访问请求,收集终端及平台完整性信息,申请建立网络连接;完整性评估层主要完成平台完整性验证;完整性度量层主要完成电力终端的完整性信息的收集和服务端的完整性验证。
2.基于TNC的电力终端安全接入流程。基于可信网络连接的电力终端安全接入工作流程,如图1所示。
步骤0:在进行网络连接和平台完整性验证前,接入客户端需要对每个完整性收集组件进行初始化。同样,接入服务端也要对完整性验证组件进行初始化。步骤1:当有网络连接请求发生时,电力终端向接入网关发送连接请求。步骤2:接收到电力终端的访问请求后,接入网关向认证服务器发送网络访问决策请求。假定认证服务器已经设置成按照用户认证、平台认证和完整性检查的顺序进行操作。如果有1个认证失败,其后的认证将不会发生。用户认证发生在认证服务器和电力终端之间。平台认证和完整性检查,发生在电力终端和接入服务端之间。步骤3:假定电力终端和认证服务器之间的用户认证成功完成,则认证服务器通知接入服务端有1个连接请求。步骤4:接入服务端和接入客户端进行平台验证。步骤5:假定接入服务端和接入客户端之间的平台验证成功完成。接入服务端通知完整性验证新的连接请求已经发生,需要进行完整性验证。同时,接入客户端通知完整性验证新的连接请求已经发生,需要准备完整性相关信息。完整性收集组件通过完整性收集接口向接入客户端返回完整性交互接口消息。步骤6A:接入服务端和接入客户端交换完整性验证相关的各种信息。该信息将被电力终端、接入网关和认证服务器转发,直到电力终端的完整性状态满足接入服务端的要求。步骤6B:接入服务端将每个完整性收集组件信息发送给相应的完整性验证组件。完整性验证组件对完整性收集组件信息进行分析。如果完整性验证组件需要更多的完整性信息,将通过完整性验证接口向接入服务端发送信息;如果完整性验证组件已经对完整性收集组件的完整性信息做出判断,将结果通过完整性验证接口发送给接入服务端。步骤6C:接入客户端要转发来自接入服务端的信息给相应的完整性收集组件,并将来自完整性收集组件的信息发给接入服务端。步骤7:当接入服务端完成和接入客户端的完整性检查握手之后,它发送接入服务端,建议操作给认证服务器。步骤8:认证服务器发送网络访问决策给接入网关来实施。认证服务器必须向接入服务端说明最后的网络访问决定,该决定将发送给接入客户端。接入网关执行认证服务器的决策,此次网络连接过程结束。
随着国家坚强智能电网的建设,大量的无线智能终端设备被广泛应用。为了解决传统的无线终端接入网络的缺陷,提出电力物联网环境下基于可信网络连接的电力终端安全接入技术。
参考文献:
[1]张雯.智能电网的研究进展及发展趋势[J].电网技术,2016,33(13):1-11.
[2]丁建.无线终端可信接入证实模型设计与分析[D].西安:陕西师范大学,2016.
论文作者:杨伟锋,王钲涵
论文发表刊物:《当代电力文化》2019年第03期
论文发表时间:2019/6/17
标签:终端论文; 完整性论文; 电力论文; 可信论文; 服务端论文; 网络论文; 组件论文; 《当代电力文化》2019年第03期论文;