CN114302402A - 一种基于5g的电力调控业务安全通信方法 - Google Patents
一种基于5g的电力调控业务安全通信方法 Download PDFInfo
- Publication number
- CN114302402A CN114302402A CN202111593913.5A CN202111593913A CN114302402A CN 114302402 A CN114302402 A CN 114302402A CN 202111593913 A CN202111593913 A CN 202111593913A CN 114302402 A CN114302402 A CN 114302402A
- Authority
- CN
- China
- Prior art keywords
- network
- service
- regulation
- slice
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明涉及一种基于5G的电力调控业务安全通信方法。通过构建5G网络承载电力调控业务的整体网络安全防护体系,掌握调控业务中终端本体安全、身份认证、传输通道安全、网络切片安全、系统整体可靠性安全等网络安全防护关键技术,提出调控业务终端、通道、切片安全实现机制,完善身份认证体系,提升调控业务5G网络安全防护水平。
Description
技术领域
本发明涉及一种基于5G的电力调控业务安全通信方法。
背景技术
伴随能源生产和能源消费结构的不断变革,“新能源、新业务”大规模接入,“电网控制”向末端拓展,“信息数据”爆发式增长,迫切需要5G技术提供的“低时延、大带宽、高可靠、大连接”通信服务,实现能源生产、传输、消费全环节的广泛连接和深度感知,持续推动电网管理效能提升和转型升级。智能电网将向海量连接、安全高效、末梢延伸发展,将面临更加复杂的严峻挑战。传统配网采用过流保护,停电影响范围大,无法精准排查,急需提升供电可靠性,实现配网故障精准定位。目前主网已实现光纤覆盖,但是电网末梢神经的配网处于“盲调”状态,因为数量大,光纤很难全覆盖,成本高时间长维护难。智能分布式配网差动保护、配电网同步相量测量PMU,对无线移动通信要求非常高,平均时延在15ms以内,授时小于1μs,可靠性99.999%,迫切需要构建经济灵活、双向实时、安全可靠、全方位覆盖的“泛在化、全覆盖”终端通信接入网。5G通信技术的eMBB、mMTC、uRLLC 三大特征及其“网络切片”技术有望适配数字电网建设的需求,成为电力通信专网补充,有效解决智能配电网及智能巡检等无线通信业务“卡脖子”问题。
5G作为运营商面向公众提供服务的新一代无线通信技术,将极大的改变现有网络体系的运行模式。随着5G技术的逐步商用以及对垂直行业的开放,行业应用将会吸引更多的恶意攻击。电网是拥有庞大用户群体的关键行业领域,面临被攻击风险将更加突出,一旦遭受攻击,可能给国家、社会和企业带来严重危害。电力系统的安全防护体系进入到5G时代,也带来一系列的网络安全问题,对电网的防护提出新的安全需求。
现有技术存在缺陷:
(1)传统电力安全防护体系不适用于电力5G的应用。5G网络基于服务化架构(service-based architecture, SBA),将网络功能定义为若干个可被灵活调用的“服务”模块,结合软件定义网络、网络功能虚拟化等技术,运营商可以按照业务需求进行灵活定制组网。这使得网络边界变得模糊,传统依靠物理隔离的纵深防御体系不再适用,对实施安全隔离及安全防护带来新挑战。
(2)5G边缘计算存在多种安全风险。5G网络边缘计算技术和多站融合数据中心站等边缘计算部署模式在提供业务便利性的同时,也因其部署位置和应用特点,产生了新的安全风险,主要包括:边缘计算节点下沉到核心网边缘,在部署到相对不安全的物理环境时,受到物理攻击的可能性更大;在边缘计算平台上可部署多个应用,共享相关资源,一旦某个应用防护较弱被攻破,将会影响在边缘计算平台上其他应用的安全运行。
(3)5G对电力终端安全接入与管控提出更高要求。5G时代,电力终端侧、用户侧和各级系统节点将部署海量终端及5G网络接口,恶意攻击者能够在物理层面获得电力系统的接触点将急剧扩大,且难以全面、实时的进行监控。全面感知的业务需求推动了终端的泛在化,对现有终端接入防护策略产生了较大的冲击,在这样的条件下,当前针对无线接入的边界防护结构与防护设备的性能无法完全满足要求。
(4)电力5G调控业务亟需研究新型安全防护架构。电力调控业务对传输网络低时延和高可靠的要求较高,为保证5G网络承载调控业务的安全稳定运行,需要在现有网络安全防护框架下,开展5G网络安全防护关键技术,形成统一的网络安全防护机制,重点强化边界防护,提高内部安全防护能力,并在网络安全管理平台上进行功能集成和验证,提升调控业务整体网络安全防护水平。
(5)5G切片安全防护面临挑战。不同的网络切片承载不同的5G业务,但网络切片共享网络基础设施,因此对切片的安全隔离能力带来挑战;若网络切片的认证和授权能力不足,则可能造成敏感信息或隐私信息泄露,并且被攻击者所利用;另外,在5G新业务场景下,运营商可能会以网络切片的模式向第三方企业、用户提供网络服务,对于此种服务中涉及的运营商、虚拟运营商、用户等不同层和不同域的安全责任主体划分问题面临挑战。
发明内容
本发明的目的在于针对电力调控业务传输网络低时延和高可靠的要求,提供一种基于5G的电力调控业务安全通信方法,通过构建5G调控业务终端本体、传输通道、网络切片的网络安全防护机制,提升调控业务整体网络安全防护水平。本发明的成功实施将建立有效的5G网络安全通信方法,提高电力电力调控业务5G网络运行安全水平,有力支撑5G在电力调控业务中的应用。
为实现上述目的,本发明的技术方案是:一种基于5G的电力调控业务安全通信方法,包括如下步骤:
(1)建立基于5G网络的电力零信任安全架构模型
构建满足电力业务安全需求的零信任技术架构,包括访问主体、访问客体、身份认证/访问策略、可信代理、动态访问控制引擎、信任评估引擎、可信环境感知和5G网络安全监测平台/其他网络安全分析平台;其中,信任评估引擎、动态访问控制引擎、可信代理构成基于5G网络的电力业务安全访问代理网关,是零信任技术架构的核心组件;
在电力网络环境中实施零信任技术时,作为访问客体的电力终端和作为访问主体的服务端与零信任设备的通信通道有零信任数据平面和零信任控制平面两个独立的通道;电力终端的正常业务数据经可信代理通过零信任数据平面访问服务端,在经过可信代理设备时,需要通过信任评价并获得授权;信任评估引擎则通过零信任控制平面从电力终端、服务端及5G网络安全监测平台/其他网络安全分析平台获得的包括状态信息、日志记录、行为记录对服务端进行风险评估;
(2)构建应用层接入到边缘计算节点的安全认证与授权机制
以零信任为核心的泛在身份管理平台基于身份保障5G网络边缘计算设施的环境可信、身份可信和行为可信;在泛在身份模型的基础上,开发泛在身份管理平台,包括统一身份中心、统一身份认证中心、统一授权与访问控制中心和统一行为审计中心;其中,
统一身份中心,实现泛在身份管理的能力,为包括人/组织、物/设备、域/网络、应用/服务和数据的各类对象赋予身份,身份是由包括标识、凭据和属性的要素组成的;
统一身份认证中心,负责存放与认证相关的包括用户口令、生物特征、令牌、票据的信息,以及负责管理复杂场景的认证方式,包括加强认证、协同认证、多因素认证的复杂场景的认证;
统一授权与访问控制中心,在实际业务场景中,每一个业务动作都有管理、使用、审计三个基本的操作层面,需要独立规划权限,最小化操作粒度,并且单独实现访问控制;然后创建授权模型和管理模型,通过权限管理模型实现“管理、使用、审计”三权分立,通过细粒度的独立规划,用创建的权限授权模型实现业务访问以及业务互斥实现对具体业务资源的操作,包括访问权限内可以访问到的数据;
统一行为审计中心,承担数据分析以及审计报告的功能,是泛在身份管理平台的支撑模块,其功能包括用户行为审计、认证审计、管理审计、异常行为审计、合规性审计以及审计报告可视化;
(3)构建构建5G调控业务通道安全实现机制
1)5G调控业务终端安全实现机制
研究调控业务终端物理安全防护手段,对各类设备及系统的安全进行问题分析和风险进行预判,以规避出现严重的电网事故;研究基于FIDO(快速在线认证)协议的5G调控业务服务器端对终端的安全认证协议和研发适于调控业务终端使用的FIDO协议客户端软件;研究适用于调控业务的芯片级加密认证技术,终端采用国密硬件加密技术,实现数据的高强度加解密和强身份认证功能;研究以机器学习为中心的5G智能电网与恶意网络攻击的内联特征发现模型,构建基于生成对抗网络的迁移学习方案,实现较高的攻击检测准确率;研究5G调控业务中终端身份合法性认证的问题,通过构建场景自适应的复合身份指纹以及相应的认证机制,验证调控终端的身份合法性,实现无线接入端的安全防护;研究数据隔离交换控制机制,控制业务终端数据交换行为,保证数据交换的安全性;研究终端操作系统崩溃预防、病毒防护和快速启动三项安全功能,实现终端操作系统安全防护;最终构建适应五个维度的5G+智能电网调控业务终端安全实现机制;
2)5G切片边界安全防护技术
研究电力与其他行业及个人用户通信业务之间切片边界防护技术;针对电力不同分区业务之间的切片,从接入网(含空口、基带、协议栈等)、承载网和核心网三个层面分别研究不同的切片边界安全防护技术;
3)切片智能安全技术
切片智能安全技术,针对5G云切片网络在包括用户标识安全性、数据机密性与完整性、网络功能可用性方面的安全威胁行为,设计基于电力调控业务模型的异常行为检测方法;从包括切片网络请求参数响应、异常行为和知识库的多个维度抽取会话特征,实现基于强化学习的云切片网络异常行为准确识别和检测;
(4)通过5G业务流量的主动测量和被动测量技术实现安全监测
1)主动测量技术
首先根据测试目的完成测量目标选择;基于目标选择进行测量数据包构造,完成测试依托协议的选择,并根据所选择的协议设计协议数据包中的相关参数;根据协议需要设计测试接入方法,完成接入点选择和接入信息配置;与被测网元或链路完成接口调接联通;随后实施并监控具体测试过程;完成测量结果输出与分析;最后对主动测量过程的附加网络性能开销进行分析;
2)被动测量技术
首先根据测试目的完成测量目标选择;基于测量目标的选择选取适当的探针技术,完成探针的构造;根据目标节点特性设计探针布设方法,完成具体的探针布设点选择和探针布设的实施;对探针进行调试;随后实施并监控具体测试过程;完成测量结果输出与分析。
在本发明一实施例中,电力终端在接入5G网络后,应同时接入2个网络切片,一个切片作为零信任数据平面,用于正常的数据通信,承载正常业务数据;另外使用一个切片作为零信任控制平面,传输电力终端包括状态信息、日志记录、行为记录的信息。
3)基于流量监测的5G切片安全管控
从多维度分析5G切片承载的各种电力业务的流量特征,构建电力业务5G切片典型流量特征库;研究基于流量等多源信息的5G切片安全风险评估技术;研究满足电力业务安全防护需求的5G切片安全策略。
在本发明一实施例中,在权限管理模型中,对应划分人、角色和资源三种对象,并做分类分级,分类是指:从业务的角度对人、角色、资源进行管理、使用、审计分类,即人员分为管理类人员、业务类人员、审计类人员,依此类推,角色和资源也做相同的分类;分级是指:每一类里面又进行分级。
在本发明一实施例中,实现5G切片生产控制业务切片和管理信息业务切片间的物理隔离,以及各大区物理切片内不同业务间的逻辑隔离机制的具体实现方式为:
1)调控业务切片在无线网部分的隔离机制:通过利用5G的无线网络采用正交频分多址OFDMA技术,无线频谱从时域、频域、空域维度被划分为不同的资源块,无线信号在空中无法实现严格的物理隔离;对于重要的调控业务,可以通过为其预留无线频谱资源块的方式实现与其他业务在无线网络的逻辑隔离;
2)调控业务切片在承载网部分的隔离机制:调控业务在承载网部分可采用分配独立光纤/光芯的方式实现物理隔离要求;或采用被认为等同物理隔离效果的包括时隙隔离、频率隔离、FlexE及M-POTN的技术,为调控业务分配独立的通道;
3)调控业务切片在核心网部分的隔离机制:调控业务切片在核心网部分的隔离可通过对资源层进行隔离来实现;要实现物理隔离,需要划分独立的物理资源,即为调控业务的网络切片分配独立的物理主机、网络设备及存储资源;在这种模式下,不仅使调控业务的用户面与其他业务物理隔离,也使整个调控业务的控制面与其他业务物理隔离;
4)调控业务切片内无线网、承载网、核心网之间的认证与加密:调控业务切片中,为确保整个通道的安全性,在基站接入调控业务的承载网切片时应采用独立的物理端口;在承载网接入核心网时,两个网段之间应采用IPSec技术进行认证和通信加密;
5)调控业务切片编排的安全管理:为保证调控业务通道的稳定性,减少链路建立的延时及抖动,调控业务切片建立完成后就保持不变。
相较于现有技术,本发明具有以下有益效果:本发明针对电力调控业务传输网络低时延和高可靠的要求,构建5G调控业务终端本体、传输通道、网络切片的网络安全防护机制,提升调控业务整体网络安全防护水平。本发明的成功实施将建立有效的5G网络安全通信方法,提高电力电力调控业务5G网络运行安全水平,有力支撑5G在电力调控业务中的应用。
附图说明
图1为本发明整体架构。
图2为本发明零信任架构。
图3为本发明零信任架构整体实施架构。
图4为本发明应用层接入到边缘计算节点的安全认证与授权机制。
图5为本发明终端安全实现机制。
图6为本发明5G调控业务切片安全实现。
图7为本发明主动测量技术实施方案流程图。
图8为本发明被动测量技术实施方案流程图。
图9为本发明5G调控业务通道安全实施方案流程图。
具体实施方式
下面结合附图,对本发明的技术方案进行具体说明。
如图1所示,本发明一种基于5G的电力调控业务安全通信方法,具体实现步骤如下:
(1)建立基于5G网络的电力零信任安全架构模型
针对电力网的业务复杂、种类繁多、终端异构等特点,将研究在5G网络环境下电力网对身份认证与访问控制的新需求,包括调研智能终端和非智能终端能够提供的安全监测数据,高速5G网络、窄带5G网络和非3GPP协议5G网络对零信任架构的影响,数据采集业务和控制类业务对零信任架构的不同需求等,特别是控制类业务的终端需要对后台的控制指令进行认证,研究满足电力业务安全需求的零信任技术架构,拟建立如图2所示的基于5G网络的电力零信任安全架构模型。
在零信任技术架构中,主要包括:访问主体、访问客体、身份认证/访问策略、可信代理、动态访问控制引擎、信任评估引擎、可信环境感知和5G网络安全监测平台/其他网络安全分析平台。其中,信任评估引擎、动态访问控制引擎、可信代理构成了基于5G网络的电力业务安全访问代理网关,是零信任技术架构的核心组件。
在电力网络环境中实施零信任技术时,目前生产控制大区、管理信息大区和互联网大区的无线接入边界防护设备可用可信代理替代,并通过软件定义边界(SDP:SoftwareDefined Perimeter)技术为电力5G网络应用划分一个虚拟的边界,整体实施架构将图如3图所示。电力终端(作为访问客体)和后台业务(作为访问主体)与零信任设备的通信通道应有数据平面和控制平面两个独立的通道。电力终端的正常业务数据通过数据平面访问服务端,在经过可信代理设备时,需要通过信任评价并获得授权。信任评价引擎则通过控制平面从电力终端、后台业务及其他安全分析平台(如5G网络安全监测平台)获得的状态信息、日志记录、行为记录等对访问主体进行风险评估。
可利用5G网络为不同大区的电力业务划分独立的网络切片,对于重要的电力业务,用以专门承载特定大区和业务的数据通信,作为零信任架构的数据平面。同时,专门划分一个切片承载零信任业务的控制面数据。
由于UE设备可以同时接入8个5G网络切片。电力终端在接入5G网络后,应同时接入2个网络切片,一个切片作为数据平面,用于正常的数据通信,承载常规的业务通信数据;另外使用一个切片用做零信任架构的控制平面,传输电力终端的状态信息、操作日志等信息。
(2)构建应用层接入到边缘计算节点的安全认证与授权机制
如图4所示,以零信任为核心的泛在身份管理平台基于身份保障5G网络边缘计算设施的环境可信、身份可信和行为可信。在泛在身份模型的基础上,开发泛在身份管理平台,包含四大能力中心,分别是统一身份中心、统一身份认证中心、统一授权与访问控制中心和统一行为审计中心,覆盖了内部对象和外部对象体系。
1)统一身份中心
身份中心实现泛在身份管理的能力,为人/组织、物/设备、域/网络、应用/服务和数据等各类对象赋予了身份。身份是由标识、凭据和属性等要素组成的。
2)统一身份认证中心
认证中心负责存放与认证相关的用户口令、生物特征、令牌、票据等信息,也负责管理一些场景的认证方式,比如加强认证、协同认证、多因素认证等复杂场景的认证。
认证能力支持目前主流的身份认证方式,并且可以灵活的配置认证策略,包括双因素认证策略,对认证方式、认证强度、对多重认证(例如二次认证)都可以管理。认证策略的示例:一级认证策略为口令密码、二级认证策略为口令密码+指纹、三级认证策略为口令密码+指纹+人脸,可由业务系统的重要性灵活配置。(如A系统认证只需要动态名口令,B系统认证需要动态口令+动态令牌,当用户从A系统跳转至B系统时,已认证过动态名口令,只需要补充动态令牌即可登录B系统)。认证中心支持单点登录。
3)统一授权与访问控制中心
权限管理首先要解决什么样的人、在什么时间、在什么样的环境下、利用什么条件、有什么权限、用什么方式去访问什么样的资源的问题。在实际业务场景中,每一个业务动作都有管理、使用、审计三个基本的操作层面,需要独立规划权限,最小化操作粒度,并且单独实现访问控制。然后创建授权模型和管理模型,通过权限管理模型实现“管理、使用、审计”三权分立,通过细粒度的独立规划,用创建的权限授权模型实现业务访问以及业务互斥实现对具体业务资源的操作,包括访问权限内可以访问到的数据。
在权限管理模型中,对应划分了人、角色和资源三种对象,并做了分类分级,分类是指:从业务的角度对人、角色、资源进行了管理、使用、审计分类,即人员分为了管理类人员、业务类人员、审计类人员,依此类推,角色和资源也做了相同的分类。分级是指:每一类里面又进行了分级,例如管理类人员里,又分了高级管理员、普通管理员等。
权限管理和访问控制支持多种授权模型,包括RBAC模型(基于角色的统一授权)、ABAC(基于属性的统一授权)和TBAC(基于任务的统一授权)。
访问控制可以基于零信任机制实现。零信任管理的本质是以身份为中心进行动态访问控制。访问控制可以通过集中鉴权和分布鉴权两种方式实现。
4)统一行为审计中心
审计中心主要承担数据分析以及审计报告的功能,是泛在身份管理平台的支撑模块,其主要功能包括用户行为审计、认证审计、管理审计、异常行为审计、合规性审计以及审计报告可视化等。
(3)构建5G调控业务通道安全实现机制(如图5所示)
主要通过对切片管理接口安全、切片授权安全和切片智能安全等技术进行研究,实现5G切片生产控制业务切片和管理信息业务切片间的物理隔离,以及各大区物理切片内不同业务间的逻辑隔离机制研究:
研究5G调控业务通道安全实现机制,包括:终端安全实现、切片授权安全和切片智能安全等技术。
(3.1)5G调控业务终端安全实现机制(如图6所示)
通过对5G调控终端的安全需求进行分析,对现有终端安全实现方案进行调研,并分析当前面临的安全挑战,然后开展关键技术研究,实现对终端物理安全,终端安全认证,网络攻击检测及数据交换隔离等关键技术的研究,最终构建适应五个维度的5G+智能电网调控业务终端安全实现机制。
1)通过对各类5G调控业务终端设备及系统的安全问题进行分析,并对安全风险进行预判,从终端设备本身安全角度出发,提出终端本身安全防护方法策略,为终端安全实现机制提供保障。
2)通过设计和实现认证器、客户端及依赖方,对认证机制进行评估与验证,实现基于FIDO(快速在线认证)协议的5G调控业务端到端的安全认证机制。在认证器的设计与实现方面,认证器需要测试用户状态,在注册操作中生成认证公私钥对,使用设备证书私钥签名注册消息;在认证操作中用认证私钥签名认证消息。在客户端的设计与实现方面,客户端负责会话消息与传输信道的绑定,并实现认证器与依赖方的双向数据传输。在依赖方原型设计与实现方面,该依赖方原型在注册、认证阶段对客户端设备身份进行认证,用来验证客户端实现流程的正确性。认证机制的评估与验证包括对认证器、客户端、依赖方的功能的评估与验证和对安全性、高性能、可用性等非功能性需求的评估与验证。
3)采用国密安全芯片,使用SM2密码算法进行签名/验签和非对称加密/解密运算,使用SM3密码算法进行数据的摘要运算和完整性保护,使用SM1对称算法对数据的传输进行对称加密/解密,进而实现国密的SSL VPN连接。同时使用安全芯片进行私钥、工作密钥等敏感信息的存储,从物理上使得敏感信息不能被盗用,用以提高产品的安全性。
安全终端中使用的签名公私钥由安全芯片内部自主生成,使用的加密公私钥由CA生成,然后导入。所有的私钥都保存在芯片的专用存储区中且不能导出,用以防止暴力破解;芯片中的公钥和CA签发的证书可以通过API接口导出。安全终端中使用的工作密钥在SSL VPN协商的过程中产生,只存储在安全芯片中且不可导出,工作密钥只在协商的SSL会话中有效,会话关闭后自动删除。安全终端中使用的随机数由安全芯片的随机数发生器产生,保证了随机数的真正随机性。
4)通过对网络攻击所需的数据来源展开分析,分析其关注的侧重点与所需信息来源,通过安全数据采集接口将网络流量数据汇聚至安全数据分析系统,通过对数据标准化后进行分析与可能的预测对网络攻击所需的数据来源展开分析,分析其关注的侧重点与所需信息来源。通过丰富流量相关信息的采集来源,形成可适用于网络攻击的恶意流量分析与管控的信息采集机制,生成网络攻击的全维度数据表征。本项目拟从主机域、网内域和网间域,采用主动探测和被动分析等方式来进行信息采集,根据物理指纹探测、事件监控、射频指纹监控、漏洞预警、基础数据交换以及外部资讯共享等内外部数据来源采集模块。
通过安全数据采集接口将网络流量数据汇聚至安全数据分析系统,通过对数据标准化后进行分析与可能的预测。其主要是在数据融合的基础上进行流量来源关联、时序关联和交互关联等粗粒度数据关联,进一步地进行行为模式图分析,并最终借鉴大数据环境下的行为预测理论以及威胁传播动力学理论,分析网络攻击带来的恶意影响。研制网络攻击相应的恶意流量分析模块,在聚合分析引擎的基础上进行信誉度评价、数据排序、分类聚类以及关联分析,从而实现对网络攻击的分析与管控。
5)首先需要对终端特征进行提取,本研究方案拟根据5G通信的不同场景提取不同的特征以提高认证的鲁棒性;其次,需要对所提取特征进行复合处理,特别是针对射频和信道特征混杂的复合指纹进行处理利用以适应变化的物理环境;然后,基于该复合指纹采用自适应认证机制,即根据用户接入的次数、频率、时长等等采用不同的认证方案以降低传统认证的复杂度、提高认证速率;最后,本研究方案针对多样化的终端类型建立一套完整的身份检测机制,同上层协议机制一起,旨在全方位、多层次对电力调控业务系统进行安全防护。
6)通过对数据安全交换技术进行研究,提出多层次隔离防护,强管控数据交换的安全策略,并对符合电网企业应用需求的内外网安全交换平台、数据交换体系和安全管控方法进行研究,控制业务终端数据交换行为,保证数据交换的安全性
7)通过对操作系统普遍存在易感染病毒、不能抵抗异常断电冲击等问题产生原因和几种应对方案进行研究和对比,分析已有方案的不足之处,提出全新方案,克服传统安全保护方案的缺陷,实现所必需的操作系统崩溃预防、病毒防护和快速启动全部三项能力,从根本上解决了操作系统健壮性缺陷问题。
8)结合以上7部分研究技术点,解决5G调控业务终端所面临的威胁,最终构建适应5个维度的5G+智能电网调控业务终端安全实现机制。
(3.2)5G切片边界安全防护技术(如图7所示)
研究电力与其他行业及个人用户通信业务之间切片边界防护措施,以及电力自身不同分区业务之间的切片边界防护措施,从接入网(含空口、基带、协议栈等)、承载网和核心网三个层面分别制定不同的切片边界安全防护策略。
1)接入网切片边界防护
接入网的整体功能分为三个部分,空口/ 射频、基带处理和高层协议栈。
高层协议栈功能具备灵活的隔离架构,既可以完全共享,也可以对电力不同区域或类型的业务进行按需隔离。
在空口频谱资源的使用策略上,电力业务和运营商网络中的其他业务共享频谱资源,采用相同的上下行配比。所有业务在时域和频域两个维度都可进行动态的按需调度。其中uRLLC 和eMBB 可以共享频段,通过不同的物理层参数、调制编码方案、调度方案等达成差异化的时延、可靠性目标。
基于频谱资源共享的前提,接入网的低层设备资源如射频、前传、基带等部分功能与资源也都是共享的。针对电力业务网络切片中可能存在的紧急保障类需求,可以通过优先接纳、负载控制等技术,优先保障电力高优先级业务,避免其他切片中的业务影响电力业务的性能表现。在确有必要的情况下,运营商可以为电力配置特定的抢占策略,以抢占其他优先级更低的切片资源。
2)承载网边界防护
RAN 与CN 之间的回传网络连接可以用运营商网络,以便达成更好的E2E 切片配合效果。回传网络的业务切片,根据对安全和可靠性的不同诉求,分为硬隔离和软隔离。硬隔离基于TDM 时隙交叉实现,软隔离基于VLAN 和QoS 实现,支持灵活的业务区分。通过支持软硬隔离的传输网络切片可以满足电力需求。
3)核心网切片边界防护
在无线蜂窝网3GPP 标准中已经明确,核心网在逻辑功能上严格隔离,区分切片,每个切片都有专用的功能。核心网隔离有两大类方案:物理隔离,即物理服务器电力专用,如有极高的安全需要,可将服务器部署在不同地理位置;逻辑隔离,即电力与运营商其他业务共享硬件服务器、区分虚拟机。
(3.3)切片智能安全技术
研究5G移动通信网切片安全智能检测技术,在5G通信网络中,网络切片的资源虚拟化、切片之间的资源共享性以及网络可编程接口的开放性等特征在逐步完成网络资源虚拟化转型的同时也为5G网络安全带来了新的安全挑战。为了实现对5G移动通信网切片网络的安全行为智能预警和动态防护,增强5G切片网络的自适应发现与深度防护能力,将研究5G移动通信网切片安全智能检测技术。针对5G云切片网络在用户标识安全性、数据机密性与完整性、网络功能可用性等方面的安全威胁行为,设计基于电力调控业务模型的异常行为检测方法。从切片网络请求参数响应、异常行为和知识库等多个维度抽取会话特征,实现基于强化学习的云切片网络异常行为准确识别和检测,弥补基于异常流量检测误报率高的缺陷,进一步提升检测准确率并降低误报率。
实现5G切片生产控制业务切片和管理信息业务切片间的物理隔离,以及各大区物理切片内不同业务间的逻辑隔离机制研究:
a)调控业务切片在无线网部分的隔离机制:通过利用5G的无线网络采用正交频分多址(OFDMA)技术,无线频谱从时域、频域、空域维度被划分为不同的资源块,无线信号在空中无法实现严格的物理隔离。对于重要的调控业务,可以通过为其预留无线频谱资源块的方式实现与其他业务在无线网络的逻辑隔离。
b)调控业务切片在承载网部分的隔离机制:调控业务在承载网部分可采用分配独立光纤/光芯的方式实现物理隔离要求。或采用被认为等同物理隔离效果的时隙隔离、频率隔离、FlexE及M-POTN等技术,为调控业务分配独立的通道。
c)调控业务切片在核心网部分的隔离机制:调控业务切片在核心网部分的隔离可通过对资源层进行隔离来实现。要实现物理隔离,需要划分独立的物理资源,即为调控业务的网络切片分配独立的物理主机、网络设备及存储资源。在这种模式下,不仅使调控业务的用户面与其他业务物理隔离,也使整个调控业务的控制面与其他业务物理隔离。
d)调控业务切片内无线网、承载网、核心网之间的认证与加密:调控业务切片中,为确保整个通道的安全性,在基站接入调控业务的承载网切片时应采用独立的物理端口;在承载网接入核心网时,两个网段之间应采用IPSec技术进行认证和通信加密。
e)调控业务切片编排的安全管理:为保证调控业务通道的稳定性,减少链路建立的延时及抖动,建议调控业务切片建立完成后就保持不变。
(4)通过5G业务流量的主动测量和被动测量技术实现安全监测
1)主动测量技术(如图8所示)
a)提出面向AMF、SMF等电力5G业务关键网元节点的存活性和协议栈响应状态测量技术,通过接入5G核心网并向目标网元发送基于全连接、半连接等端口扫描技术的存活性探测数据包,测量网元节点存活性,面向核心网N2和N4接口发送NGAP和PFCP专有协议握手数据包,测量网元协议栈响应状态和响应能力,二者相结合整体测量服务于电力5G业务的AMF、SMF等核心网关键控制面节点的运行状态
b)提出5G链路状态测量技术,通过接入SBA架构下的5G核心网总线型互联链路,向目标网元节点发送基于握手机制的通用网络协议测量数据包,根据回包结果分析链路或端到端的延迟、带宽和丢包率等信息,测量电力5G系统核心网链路状态。
研究实施步骤:首先根据测试目的完成测量目标选择;基于目标选择进行测量数据包构造,完成测试依托协议的选择,并根据所选择的协议设计协议数据包中的相关参数;根据协议需要设计测试接入方法,完成接入点选择和接入信息配置;与被测网元或链路完成接口调接联通;随后实施并监控具体测试过程;完成测量结果输出与分析;最后对主动测量过程的附加网络性能开销进行分析。
2)被动测量技术研究(如图9 所示)
a)研究针对电力5G业务终端接入认证/取消注册、数据服务请求等关键过程的控制面信令流量测量技术,通过在AMF网元布设基于操作系统底层抓包库实现的的数据包采集探针,采集电力5G业务终端网络接入认证和取消注册时产生的NGAP信令和NAS信令,获取终端网络接入状态;在SMF网元布设探针采集核心网N11接口上终端数据服务请求产生的核心网信令报文,获取终端数据服务状态;在NSSF网元布设探针采集核心网N22接口产生的切片选择信令报文,获取终端获取切片服务状态。
b)研究电力5G终端承载的控制类业务、采集类业务的用户面流量性能和流量特性的被动测量技术,具体基于SNMP代理测量技术和NetFlow技术。通过在5G核心网用户面核心路由器上安装SNMP代理或配置NetFlow监测功能,定期查询和收集代理上的数据实现对RAN基站与UPF节点间由GTP-U协议承载的用户面流量数据通路带宽、数据通路传播时延等用户面流量性能的测量,以及数据报文长度、时间、地址端口等用户面流量特性的测量。
研究实施步骤:首先根据测试目的完成测量目标选择;基于测量目标的选择选取适当的探针技术,完成探针的构造;根据目标节点特性设计探针布设方法,完成具体的探针布设点选择和探针布设的实施;对探针进行调试;随后实施并监控具体测试过程;完成测量结果输出与分析。
3)基于流量监测的5G切片安全管控
1)电力业务5G切片典型流量特征库构建
从多维度分析5G切片承载的各种电力业务的流量特征,构建电力业务5G切片典型流量特征库。
a)电力业务种类分析
电力业务按内容可分为控制类、采集类、视频类业务,按安全分区可分为生产控制大区类、管理信息大区类、互联网大区类等,按照应用场景分为配电自动化类、营销自动化类、电力物联网类、分布式能源调控、精准负荷控制等等。不同种类业务的流量特征及其所要求的5G切片类型、参数等都有差别。
b)多维度流量特征提取
为观测承载电力业务的5G切片的流量,以判断其安全性,需要对流量特征进行提取。针对不同种类的电力业务,从时间、空间、频度、大小、方向等多个维度,提取流量特征。
在流量发生的时间维度方面,按年、月、日、时、分、秒的颗粒度分析不同电力业务的流量特征;在流量发生的空间维度方面,按照终端的地理位置、安全分区等分析不同电力业务的流量特征;在收发包频次维度方面,分析不同电力业务是否具有固定周期、突发的流量特征;在流量大小维度方面,分析不同电力业务流量的速率和帧长特征;在流量的方向维度方面,分析不同电力业务的源IP地址、目的IP端口、协议、端口号等特征。
c)电力5G业务流量特征库构建
对于不同种类的电力业务,建立时间、空间、频度、大小、方向等多维度的典型流量特征库,流量特征库的可动态调整。
2)研究基于流量等多源信息的5G切片安全风险评估技术
a)分析5G切片安全风险评估所需的多源信息
5G切片安全风险评估需要用到如下信息:
通过主动流量测量采集到的业务关键网元节点存活性、协议栈响应状态以及5G核心网链路状态等信息。
通过被动流量测量获取的电力5G业务终端接入认证/取消注册、数据服务请求等关键过程的控制面信令流量、用户面流量性能和流量特性等信息,以及所提取的流量特征。
通过运营商第三方能力开放平台获取的5G切片相关信息,例如5G切片部署方案、5G切片基本性能指标、关联的电力业务等。其中5G切片部署方案包括了无限网络资源配置、服务优先级、业务Qos需求、协议栈等信息,5G切片基本性能指标包括了用户数、当前吞吐量、平均速率等信息。
b)研究5G切片安全风险评估技术
综合上述手段流量测量的结果,采用流量序列模式和关联模式技术,对流量数据进行深度挖掘,建立电力5G切片所支撑的不同电力5G业务的业务模型及关键控制信令的属性特征模型。
在所建立的模型的基础上,提取待测流量特征输入模型,通过检测模型分析,判断是否存在威胁5G切片安全的行为,以及识别威胁行为的类型。威胁行为类型可分为篡改、伪造消息数据、终端(拒绝服务)、窃听、流量分析、破解弱加密的数据流。
根据威胁行为类型,评估其对电力5G切片及电力业务的影响等级。威胁行为对电力5G切片运行构成的风险可分为对业务安全的威胁程度和影响范围两方面风险。威胁程度包括了攻击威胁的攻击效果(信息泄露、数据篡改、拒绝服务、网元宕机、获取网元控制权限)、威胁后恢复开销代价、威胁损失度量值。影响规模包括了被威胁目标的服务对象规模、攻击威胁的通用性。
以上是本发明的较佳实施例,凡依本发明技术方案所作的改变,所产生的功能作用未超出本发明技术方案的范围时,均属于本发明的保护范围。
Claims (4)
1.一种基于5G的电力调控业务安全通信方法,其特征在于,包括如下步骤:
(1)建立基于5G网络的电力零信任安全架构模型
构建满足电力业务安全需求的零信任技术架构,包括访问主体、访问客体、身份认证/访问策略、可信代理、动态访问控制引擎、信任评估引擎、可信环境感知和5G网络安全监测平台/其他网络安全分析平台;其中,信任评估引擎、动态访问控制引擎、可信代理构成基于5G网络的电力业务安全访问代理网关,是零信任技术架构的核心组件;
在电力网络环境中实施零信任技术时,作为访问客体的电力终端和作为访问主体的服务端与零信任设备的通信通道有零信任数据平面和零信任控制平面两个独立的通道;电力终端的正常业务数据经可信代理通过零信任数据平面访问服务端,在经过可信代理设备时,需要通过信任评价并获得授权;信任评估引擎则通过零信任控制平面从电力终端、服务端及5G网络安全监测平台/其他网络安全分析平台获得的包括状态信息、日志记录、行为记录对服务端进行风险评估;
(2)构建应用层接入到边缘计算节点的安全认证与授权机制
以零信任为核心的泛在身份管理平台基于身份保障5G网络边缘计算设施的环境可信、身份可信和行为可信;在泛在身份模型的基础上,开发泛在身份管理平台,包括统一身份中心、统一身份认证中心、统一授权与访问控制中心和统一行为审计中心;其中,
统一身份中心,实现泛在身份管理的能力,为包括人/组织、物/设备、域/网络、应用/服务和数据的各类对象赋予身份,身份是由包括标识、凭据和属性的要素组成的;
统一身份认证中心,负责存放与认证相关的包括用户口令、生物特征、令牌、票据的信息,以及负责管理复杂场景的认证方式,包括加强认证、协同认证、多因素认证的复杂场景的认证;
统一授权与访问控制中心,在实际业务场景中,每一个业务动作都有管理、使用、审计三个基本的操作层面,需要独立规划权限,最小化操作粒度,并且单独实现访问控制;然后创建授权模型和管理模型,通过权限管理模型实现“管理、使用、审计”三权分立,通过细粒度的独立规划,用创建的权限授权模型实现业务访问以及业务互斥实现对具体业务资源的操作,包括访问权限内可以访问到的数据;
统一行为审计中心,承担数据分析以及审计报告的功能,是泛在身份管理平台的支撑模块,其功能包括用户行为审计、认证审计、管理审计、异常行为审计、合规性审计以及审计报告可视化;
(3)构建5G调控业务通道安全实现机制
5G调控业务通道安全实现机制包括5G调控业务终端安全实现机制、5G切片边界安全防护技术、切片智能安全技术,其中,
1)5G调控业务终端安全实现机制
研究调控业务终端物理安全防护手段,对各类设备及系统的安全进行问题分析和风险进行预判,以规避出现严重的电网事故;研究基于FIDO协议的5G调控业务服务器端对终端的安全认证协议和研发适于调控业务终端使用的FIDO协议客户端软件;研究适用于调控业务的芯片级加密认证技术,终端采用国密硬件加密技术,实现数据的高强度加解密和强身份认证功能;研究以机器学习为中心的5G智能电网与恶意网络攻击的内联特征发现模型,构建基于生成对抗网络的迁移学习方案,实现较高的攻击检测准确率;研究5G调控业务中终端身份合法性认证的问题,通过构建场景自适应的复合身份指纹以及相应的认证机制,验证调控终端的身份合法性,实现无线接入端的安全防护;研究数据隔离交换控制机制,控制业务终端数据交换行为,保证数据交换的安全性;研究终端操作系统崩溃预防、病毒防护和快速启动三项安全功能,实现终端操作系统安全防护;最终构建适应五个维度的5G+智能电网调控业务终端安全实现机制;
2)5G切片边界安全防护技术
研究电力与其他行业及个人用户通信业务之间切片边界防护技术;针对电力不同分区业务之间的切片,从接入网、承载网和核心网三个层面分别研究不同的切片边界安全防护技术;
3)切片智能安全技术
切片智能安全技术,针对5G云切片网络在包括用户标识安全性、数据机密性与完整性、网络功能可用性方面的安全威胁行为,设计基于电力调控业务模型的异常行为检测方法;从包括切片网络请求参数响应、异常行为和知识库的多个维度抽取会话特征,实现基于强化学习的云切片网络异常行为准确识别和检测;
(4)通过5G业务流量的主动测量和被动测量技术实现安全监测
1)主动测量技术
首先根据测试目的完成测量目标选择;基于目标选择进行测量数据包构造,完成测试依托协议的选择,并根据所选择的协议设计协议数据包中的相关参数;根据协议需要设计测试接入方法,完成接入点选择和接入信息配置;与被测网元或链路完成接口调接联通;随后实施并监控具体测试过程;完成测量结果输出与分析;最后对主动测量过程的附加网络性能开销进行分析;
2)被动测量技术研究
首先根据测试目的完成测量目标选择;基于测量目标的选择选取适当的探针技术,完成探针的构造;根据目标节点特性设计探针布设方法,完成具体的探针布设点选择和探针布设的实施;对探针进行调试;随后实施并监控具体测试过程;完成测量结果输出与分析;
3)基于流量监测的5G切片安全管控
从多维度分析5G切片承载的各种电力业务的流量特征,构建电力业务5G切片典型流量特征库;研究基于流量等多源信息的5G切片安全风险评估技术;研究满足电力业务安全防护需求的5G切片安全策略。
2.根据权利要求1所述的一种基于5G的电力调控业务安全通信方法,其特征在于,电力终端在接入5G网络后,应同时接入2个网络切片,一个切片作为零信任数据平面,用于正常的数据通信,承载正常业务数据;另外使用一个切片作为零信任控制平面,传输电力终端包括状态信息、日志记录、行为记录的信息。
3.根据权利要求1所述的一种基于5G的电力调控业务安全通信方法,其特征在于,在权限管理模型中,对应划分人、角色和资源三种对象,并做分类分级,分类是指:从业务的角度对人、角色、资源进行管理、使用、审计分类,即人员分为管理类人员、业务类人员、审计类人员,依此类推,角色和资源也做相同的分类;分级是指:每一类里面又进行分级。
4.根据权利要求1所述的一种基于5G的电力调控业务安全通信方法,其特征在于,实现5G切片生产控制业务切片和管理信息业务切片间的物理隔离,以及各大区物理切片内不同业务间的逻辑隔离机制的具体实现方式为:
1)调控业务切片在无线网部分的隔离机制:通过利用5G的无线网络采用正交频分多址OFDMA技术,无线频谱从时域、频域、空域维度被划分为不同的资源块,无线信号在空中无法实现严格的物理隔离;对于重要的调控业务,可以通过为其预留无线频谱资源块的方式实现与其他业务在无线网络的逻辑隔离;
2)调控业务切片在承载网部分的隔离机制:调控业务在承载网部分可采用分配独立光纤/光芯的方式实现物理隔离要求;或采用被认为等同物理隔离效果的包括时隙隔离、频率隔离、FlexE及M-POTN的技术,为调控业务分配独立的通道;
3)调控业务切片在核心网部分的隔离机制:调控业务切片在核心网部分的隔离可通过对资源层进行隔离来实现;要实现物理隔离,需要划分独立的物理资源,即为调控业务的网络切片分配独立的物理主机、网络设备及存储资源;在这种模式下,不仅使调控业务的用户面与其他业务物理隔离,也使整个调控业务的控制面与其他业务物理隔离;
4)调控业务切片内无线网、承载网、核心网之间的认证与加密:调控业务切片中,为确保整个通道的安全性,在基站接入调控业务的承载网切片时应采用独立的物理端口;在承载网接入核心网时,两个网段之间应采用IPSec技术进行认证和通信加密;
5)调控业务切片编排的安全管理:为保证调控业务通道的稳定性,减少链路建立的延时及抖动,调控业务切片建立完成后就保持不变。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111593913.5A CN114302402B (zh) | 2021-12-24 | 2021-12-24 | 一种基于5g的电力调控业务安全通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111593913.5A CN114302402B (zh) | 2021-12-24 | 2021-12-24 | 一种基于5g的电力调控业务安全通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114302402A true CN114302402A (zh) | 2022-04-08 |
| CN114302402B CN114302402B (zh) | 2023-05-12 |
Family
ID=80970497
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111593913.5A Active CN114302402B (zh) | 2021-12-24 | 2021-12-24 | 一种基于5g的电力调控业务安全通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114302402B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114844758A (zh) * | 2022-04-12 | 2022-08-02 | 国网湖北省电力有限公司信息通信公司 | 一种基于sdp的电力物联网的技术架构系统及构建方法 |
| CN115051830A (zh) * | 2022-04-29 | 2022-09-13 | 国网浙江省电力有限公司宁波供电公司 | 一种电力靶场隐患数据安全监控系统及方法 |
| CN115333860A (zh) * | 2022-10-12 | 2022-11-11 | 北京合众方达科技有限公司 | 一种基于零信任的tsn网络控制方法 |
| CN115361232A (zh) * | 2022-10-19 | 2022-11-18 | 广东卓维网络有限公司 | 电力信息网的安全防护系统 |
| CN115378625A (zh) * | 2022-04-21 | 2022-11-22 | 国家计算机网络与信息安全管理中心 | 一种跨网信息安全交互方法及系统 |
| CN115460613A (zh) * | 2022-04-14 | 2022-12-09 | 国网福建省电力有限公司 | 一种电力5g切片安全应用与管理方法 |
| CN116192497A (zh) * | 2023-02-20 | 2023-05-30 | 大连理工大学 | 一种基于零信任体系的网络准入和用户认证的安全交互方法 |
| CN116208959A (zh) * | 2023-05-04 | 2023-06-02 | 中建五洲工程装备有限公司 | 一种基于5g专网的数字化智能制造管理方法及系统 |
| CN116388385A (zh) * | 2023-02-24 | 2023-07-04 | 江苏省电力试验研究院有限公司 | 一种5g电力虚拟专网承载电力控制类业务检测平台 |
| CN116633693A (zh) * | 2023-07-24 | 2023-08-22 | 深圳市永达电子信息股份有限公司 | 一种基于全要素网络标识的可信安全网关实现方法 |
| CN116963051A (zh) * | 2023-09-14 | 2023-10-27 | 国网信息通信产业集团有限公司 | 一种电力轻量化5g通信系统及方法 |
| CN117318071A (zh) * | 2023-11-30 | 2023-12-29 | 中国电力科学研究院有限公司 | 一种基于高速无线传输网络的电力负荷调控系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200120721A1 (en) * | 2018-10-11 | 2020-04-16 | Verizon Patent And Licensing Inc. | Method and system for network slice identification and selection |
| US20200259896A1 (en) * | 2019-02-13 | 2020-08-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Industrial Automation with 5G and Beyond |
| WO2020176535A1 (en) * | 2019-02-25 | 2020-09-03 | Intel Corporation | 5g network edge and core service dimensioning |
| CN112616124A (zh) * | 2020-12-03 | 2021-04-06 | 广东电力通信科技有限公司 | 一种基于5g网络切片的电力物联网安全管理方法及系统 |
| CN112737813A (zh) * | 2020-12-11 | 2021-04-30 | 广东电力通信科技有限公司 | 一种基于5g网络切片的电力业务管理方法及系统 |
| CN113395169A (zh) * | 2021-04-21 | 2021-09-14 | 深圳供电局有限公司 | 一种智能电网的5g网络切片方法 |
-
2021
- 2021-12-24 CN CN202111593913.5A patent/CN114302402B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200120721A1 (en) * | 2018-10-11 | 2020-04-16 | Verizon Patent And Licensing Inc. | Method and system for network slice identification and selection |
| US20200259896A1 (en) * | 2019-02-13 | 2020-08-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Industrial Automation with 5G and Beyond |
| WO2020176535A1 (en) * | 2019-02-25 | 2020-09-03 | Intel Corporation | 5g network edge and core service dimensioning |
| CN112616124A (zh) * | 2020-12-03 | 2021-04-06 | 广东电力通信科技有限公司 | 一种基于5g网络切片的电力物联网安全管理方法及系统 |
| CN112737813A (zh) * | 2020-12-11 | 2021-04-30 | 广东电力通信科技有限公司 | 一种基于5g网络切片的电力业务管理方法及系统 |
| CN113395169A (zh) * | 2021-04-21 | 2021-09-14 | 深圳供电局有限公司 | 一种智能电网的5g网络切片方法 |
Non-Patent Citations (2)
| Title |
|---|
| 余晓光 等: "安全技术在5G智能电网中的应用" * |
| 陈端云 等: "基于5G切片技术的电力物联网智能化管理研究" * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114844758A (zh) * | 2022-04-12 | 2022-08-02 | 国网湖北省电力有限公司信息通信公司 | 一种基于sdp的电力物联网的技术架构系统及构建方法 |
| CN115460613A (zh) * | 2022-04-14 | 2022-12-09 | 国网福建省电力有限公司 | 一种电力5g切片安全应用与管理方法 |
| CN115378625A (zh) * | 2022-04-21 | 2022-11-22 | 国家计算机网络与信息安全管理中心 | 一种跨网信息安全交互方法及系统 |
| CN115378625B (zh) * | 2022-04-21 | 2024-03-08 | 国家计算机网络与信息安全管理中心 | 一种跨网信息安全交互方法及系统 |
| CN115051830B (zh) * | 2022-04-29 | 2023-12-26 | 国网浙江省电力有限公司宁波供电公司 | 一种电力靶场隐患数据安全监控系统及方法 |
| CN115051830A (zh) * | 2022-04-29 | 2022-09-13 | 国网浙江省电力有限公司宁波供电公司 | 一种电力靶场隐患数据安全监控系统及方法 |
| CN115333860A (zh) * | 2022-10-12 | 2022-11-11 | 北京合众方达科技有限公司 | 一种基于零信任的tsn网络控制方法 |
| CN115361232A (zh) * | 2022-10-19 | 2022-11-18 | 广东卓维网络有限公司 | 电力信息网的安全防护系统 |
| CN116192497A (zh) * | 2023-02-20 | 2023-05-30 | 大连理工大学 | 一种基于零信任体系的网络准入和用户认证的安全交互方法 |
| CN116192497B (zh) * | 2023-02-20 | 2023-08-04 | 大连理工大学 | 一种基于零信任体系的网络准入和用户认证的安全交互方法 |
| CN116388385A (zh) * | 2023-02-24 | 2023-07-04 | 江苏省电力试验研究院有限公司 | 一种5g电力虚拟专网承载电力控制类业务检测平台 |
| CN116388385B (zh) * | 2023-02-24 | 2024-03-15 | 江苏省电力试验研究院有限公司 | 一种5g电力虚拟专网承载电力控制类业务检测平台 |
| CN116208959A (zh) * | 2023-05-04 | 2023-06-02 | 中建五洲工程装备有限公司 | 一种基于5g专网的数字化智能制造管理方法及系统 |
| CN116633693B (zh) * | 2023-07-24 | 2023-10-31 | 深圳市永达电子信息股份有限公司 | 一种基于全要素网络标识的可信安全网关实现方法 |
| CN116633693A (zh) * | 2023-07-24 | 2023-08-22 | 深圳市永达电子信息股份有限公司 | 一种基于全要素网络标识的可信安全网关实现方法 |
| CN116963051A (zh) * | 2023-09-14 | 2023-10-27 | 国网信息通信产业集团有限公司 | 一种电力轻量化5g通信系统及方法 |
| CN117318071A (zh) * | 2023-11-30 | 2023-12-29 | 中国电力科学研究院有限公司 | 一种基于高速无线传输网络的电力负荷调控系统及方法 |
| CN117318071B (zh) * | 2023-11-30 | 2024-03-15 | 中国电力科学研究院有限公司 | 一种基于高速无线传输网络的电力负荷调控系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114302402B (zh) | 2023-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114302402B (zh) | 一种基于5g的电力调控业务安全通信方法 | |
| Liu et al. | A survey: Typical security issues of software-defined networking | |
| Nguyen et al. | Search: A collaborative and intelligent nids architecture for sdn-based cloud iot networks | |
| Alharbi | Deployment of blockchain technology in software defined networks: A survey | |
| Arfaoui et al. | A security architecture for 5G networks | |
| Puthal et al. | SEEN: A selective encryption method to ensure confidentiality for big sensing data streams | |
| Liyanage et al. | Enhancing security of software defined mobile networks | |
| Srivastava et al. | Future IoT‐enabled threats and vulnerabilities: State of the art, challenges, and future prospects | |
| Qiu et al. | Study on security and privacy in 5g-enabled applications | |
| Liu et al. | Study on network security based on PCA and BP neural network under green communication | |
| CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
| Zhang et al. | An adaptive encryption-as-a-service architecture based on fog computing for real-time substation communications | |
| CN115549932A (zh) | 一种面向海量异构物联网终端的安全接入系统及接入方法 | |
| CN109150906A (zh) | 一种实时数据通信安全方法 | |
| CN115941236A (zh) | 配电网边缘侧零信任安全防护方法 | |
| Marian et al. | Experimenting with digital signatures over a DNP3 protocol in a multitenant cloud-based SCADA architecture | |
| Kamel et al. | A proposed model of IoT security management system based on a study of internet of things (IoT) security | |
| de Fuentes et al. | Privacy models in wireless sensor networks: A survey | |
| Wang et al. | A data plane security model of SR-BE/TE based on zero-trust architecture | |
| Yuan et al. | Research of security of 5G-enabled industrial Internet and its application | |
| Qiu et al. | A software-defined security framework for power IoT cloud-edge environment | |
| Ali et al. | Byod cyber forensic eco-system | |
| Fu et al. | Classification research on ssl encrypted application | |
| Magin et al. | Security analysis of OpenRadio and SoftRAN with STRIDE framework | |
| Tang et al. | Research on security protection countermeasures of internet of things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |