CN117714101A - 一种应用于电力系统的可信网络连接架构系统 - Google Patents

Abstract

本发明公开了一种应用于电力系统的可信网络连接架构系统，包括：可信交换机、内部终端和外部终端；可信交换机包括安全管理中心模块和边缘网关模块；内部终端和外部终端作为可信网络连接架构中的访问请求者，用于发送访问请求信息；安全管理中心模块作为可信网络连接架构中的策略管理器，向内部终端和边缘网关模块下发访问控制策略，完成平台身份鉴别和完整性校验；边缘网关模块作为可信网络连接架构中的访问控制器，接收安全管理中心模块的反馈信息执行访问控制。该结构设计简单，其可信度量机制和访问控制机制具有完整的度量功能,可以防范内部的提权攻击和内部设备对外部设备的外联攻击行为，实现了对电力信息系统安全的深入保障。

Description

一种应用于电力系统的可信网络连接架构系统

技术领域

本发明涉及电力信息安全技术领域，更具体的说是涉及一种应用于电力系统的可信网络连接架构系统。

背景技术

电力系统能够安全稳定运行,和电力网络系统密切相关。电力网络系统即作为电力生产和供应的过程中非常关键的通信传输，将计算机及网络技术的业务系统和智能设备作为基础,并且当成基本支撑的通信和数据网络等。在电力网络系统发展和国外逐渐严峻的安全形势下，网络安全已经变成电力系统中是十分关键的一部分。

网络技术的快速发展和规模的不断扩大，使其正面临着严峻的安全挑战。交换机作为二层转发设备，经常受到攻击，比如非法获取交换机控制权，导致网络瘫痪等。目前，电力系统中设备之间互联是，一般通过登陆验证、SSL协议、VPN机制等方式来验证和保护网络设备之间的连接。但这些机制一般只能确认远程用户的身份和保证数据在网络间的安全传输，并不能保证远端设备是否已经感染了病毒或者被黑客攻陷，也不能保证数据在网络传输过程中有足够的安全控制措施。

目前，对于电力系统的网络安全都是通过防火墙隔离的形式完成的，在局域网内部设备与设备之间没有相关的网络安全防护手段。对于可信设备的管理，都是通过增加管理中心服务器，不仅增加了成本并且要增加服务器的数据连接，如果老旧的服务器不具备增加可信功能，还需要部署新的服务器。为了解决网络集中安全管理下的可信问题，存在一种新的可信网络连接架构，即三元三层的可信网络连接架构(TCA)。该架构主要包括三个要素：可信终端、可信通道和可信网络。通过在终端设备中引入可信平台模块(TPM)等技术，确保设备的身份认证和数据完整性。在通信过程中，使用SSL协议和VPN机制等加密技术保证数据的安全传输。而可信网络则通过安全检测、访问控制和安全监测等手段，保证网络的安全性。然而，尽管TCA架构提供了一种全面验证设备可信性的方法，但在实际系统中还没有具体实现和相应的应用方案。

因此，如何设计一种应用于电力系统的可信网络连接架构系统，实现设备的全面可信验证、确保电力系统的安全运行是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种应用于电力系统的可信网络连接架构系统，能够通过经过交换机的可信网络连接对介入对象的身份、物理平台的可信性、运行环境应用接入状态等进行全面检查。

为了实现上述目的，本发明采用如下技术方案：

一种应用于电力系统的可信网络连接架构系统，包括：可信交换机、内部终端和外部终端；

所述可信交换机包括安全管理中心模块和边缘网关模块；

所述内部终端和外部终端作为可信网络连接架构中的访问请求者，用于发送访问请求信息；

所述安全管理中心模块作为可信网络连接架构中的策略管理器，用于接收所述内部终端的审计输出信息，并且向内部终端和边缘网关模块下发访问控制策略，完成平台身份鉴别和完整性校验；

所述边缘网关模块作为可信网络连接架构中的访问控制器，采集信息并且向安全管理中心模块进行传递，接收安全管理中心模块的反馈信息执行访问控制。

优选的，所述内部终端和外部终端包括：

连接申请单元：用于向所述边缘网关模块发送连接申请信息；

身份鉴别请求单元：用于接收所述边缘网关模块的认证激活信息和向所述边缘网关模块发送身份认证请求信息；

终端密钥管理单元：用于接收会话密钥封装信息，并进行解密下发会话密钥；

终端策略部署单元：用于接收会话密钥信息，发送给终端通信加密单元；

终端通信加密单元：基于所述接收会话密钥信息，完成终端通信加密。

优选的，所述边缘网关模块包括：

连接应答单元：用于接收所述内部终端和外部终端的连接申请信息和向所述内部终端和外部终端发送认证激活信息；

证书鉴别请求单元：用于接收所述内部终端和外部终端的身份认证请求信息，发送给安全管理中心模块，并且接收所述安全管理中心模块的认证请求反馈信息；

边缘网关密钥管理单元：用于接收会话密钥申请，下发会话密钥信息以及会话密钥封装信息；

边缘网关策略部署单元：用于接收会话密钥信息，发送给边缘网关通信加密单元；

边缘网关通信加密单元：基于所述接收会话密钥信息，完成边缘网关通信加密。

优选的，所述安全管理中心模块包括：

可信管理单元：用于可信验证节点管理和可信集中策略管理；

可信审计单元：用于监测和记录系统操作行为信息，提供可信审计日志。

优选的，所述可信验证节点管理包括：

对内部/外部终端节点注册时进行身份识别；

读取内部/外部终端节点的名称、IP地址信息，并按名称、IP地址对接入的内部/外部终端节点进行排序、搜索；

监控已注册内部/外部终端的在线/离线状态。

优选的，所述可信集中策略管理包括：

对内部/外部终端的策略信息进行添加、删除、查看操作，包括应用程序、关键文件的保护策略；

对在线的内部/外部终端的策略信息进行导出、导入操作。

在以上可信网络连接架构系统中，可信网络的部署是基于可信交换机作为整个系统的核心，和网络设备之间通过专网连接。交换机通过安全管理中心模块增加可信管理中心服务，通过加密UDP数据报文的方式对连接交换机的设备进行可信管理，包含获取可信设备的状态，对于可信设备的策略下发。

另外，通过边缘网关模块增加边缘网关服务，对于内部与外部的网络访问请求设备，对其之间的双向用户身份鉴别和可信平台的评估；根据安全管理中心模块的身份鉴别结果以及平台度量结果执行访问控制。

经由上述的技术方案可知，与现有技术相比，本发明存在以下有益效果：

该结构设计简单，其可信度量机制和访问控制机制具有完整的度量功能,可以防范内部的提权攻击和内部设备对外部设备的外联攻击行为，实现了对电力信息系统安全的深入保障。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明提供的可信网络连接架构系统示意图；

图2为本发明提供的可信网络连接架构系统的具体结构框架图；

图3为本发明提供的可信平台评估过程示意图；

图4为本发明提供的可信网络连接架构系统的信息交互过程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本实施例提供一种应用于电力系统的可信网络连接架构系统，包括：可信交换机、内部终端和外部终端。

可信交换机包括安全管理中心模块和边缘网关模块；

内部终端和外部终端作为可信网络连接架构中的访问请求者，用于发送访问请求信息；

安全管理中心模块作为可信网络连接架构中的策略管理器，用于接收所述内部终端的审计输出信息，并且向内部终端和边缘网关模块下发访问控制策略，完成平台身份鉴别和完整性校验；

边缘网关模块作为可信网络连接架构中的访问控制器，采集信息并且向安全管理中心模块进行传递，接收安全管理中心模块的反馈信息执行访问控制。

在电力系统中，包括调度控制中心和变电站站内设备。变电站站内设备包括电力保护装置、测控装置、继电保护装置、PMU装置等电力装置，变电站内网络可以理解为一个区域网络。在这个区域网络内又分了几个小的区域网络，每个区域网络通过交换机进行网络管理交互。以上技术方案就是在交换机中内置安全管理中心模块和边缘网关模块，对内部终端和外部终端设备进行连接前的安全管理，同时交换机内也继承了管理中心对一些安全策略、可信告警进行管理，将交换机作为整个可信网络连接架构的中心枢纽。

集成可信管理中心服务通过增加管理中心代理进程实现，集成边缘网关服务，通过增加边缘网关逻辑实现。

如图2所示，内部终端和外部终端包括：

连接申请单元：用于向边缘网关模块发送连接申请信息；

身份鉴别请求单元：用于接收边缘网关模块的认证激活信息和向边缘网关模块发送身份认证请求信息；

终端密钥管理单元：用于接收会话密钥封装信息，并进行解密下发会话密钥；

终端策略部署单元：用于接收会话密钥信息，发送给终端通信加密单元；

终端通信加密单元：基于接收会话密钥信息，完成终端通信加密。

边缘网关模块包括：

连接应答单元：用于接收内部终端和外部终端的连接申请信息和向内部终端和外部终端发送认证激活信息；

证书鉴别请求单元：用于接收内部终端和外部终端的身份认证请求信息，发送给安全管理中心模块，并且接收安全管理中心模块的认证请求反馈信息；

边缘网关密钥管理单元：用于接收会话密钥申请，下发会话密钥信息以及会话密钥封装信息；

边缘网关策略部署单元：用于接收会话密钥信息，发送给边缘网关通信加密单元；

边缘网关通信加密单元：基于接收会话密钥信息，完成边缘网关通信加密。

所述安全管理中心模块包括：

可信管理单元：用于可信验证节点管理和可信集中策略管理；可信审计单元：用于监测和记录系统操作行为信息，提供可信审计日志。

可信验证节点管理包括：

对内部/外部终端节点注册时进行身份识别；

读取内部/外部终端节点的名称、IP地址信息，并按名称、IP地址对接入的内部/外部终端节点进行排序、搜索；

监控已注册内部/外部终端的在线/离线状态。

可信集中策略管理包括：

对内部/外部终端的策略信息进行添加、删除、查看操作，包括应用程序、关键文件的保护策略；

对在线的内部/外部终端的策略信息进行导出、导入操作。

以上实施例中的设备本体安全在满足业务功能和性能的基础之上，需要在系统硬件的构成、人机交互、主动动态免疫、静态防护链、安全审计信息、攻击告警、安全策略下发融合考虑多种安全要素。

可信交换机(访问控制器和策略管理器)、内部终端和外部终端(访问请求者)的工作过程包括：

(1)网络访问请求者向网络访问控制者发起访问请求。

(2)网络访问控制者收到网络访问请求者的访问请求后，与网络访问请求者和鉴别策略服务者执行用户身份鉴别协议，实现访问请求者和访问控制器的双向用户身份鉴别。在用户身份鉴别过程中，策略管理器作为可信方。访问请求者和访问控制器协商一个主密钥，并利用该主密钥协商会话密钥。访问请求者和访问控制器依据用户身份鉴别结果对本地端口进行控制。

(3)用户身份鉴别及密协商成功后，网络访问请求者和网络访问控制者分别将成功信息发送给可信平台评估层的可信网络连接客户端和可信网络连接接入点。连接初始过程在网络访问请求者和网络访问控制者之间建立通信信道，并通过会话密钥保障通信信道数据的保密性。

如图3所示，可信平台评估过程在连接初始过程建立数据通道后进行，4A、4B和4C3个步骤的具体工作如下：

步骤4A：当可信网络连接接入点收到成功信息时，激活可信平台评估过程，与可信网络连接客户端和评估策略服务者执行可信平台评估协议，实现访问请求者和访问控制器的双向可信平台评估、平台身份鉴别和平台完整性校验。

步骤4B：在可信平台评估过程中，可信网络连接客户端和可信网络连接接入点分别通过IF-IMC接口与完整性度量层的完整性收集者进行信息交互。

步骤4C：评估策略服务者负责验证访问请求者和访问控制器的PIK证书的有效性，通过IF-IMV接口调用完整性度量层的完整性校验者完成访问请求者和访问控制器的平台完整性校验，最终生成访问请求者和访问控制器的可信平台评估结果。

可信平台评估过程利用完整性收集者采集到的信息，生成平台的可信报告，并提交给评估策略服务者进行验证和评估。访问请求者和访问控制器双方都会得到完整的平台身份鉴别和完整性校验，因此可以实现策略管理者控制的可信验证工作防止访问控制器被破坏，也可以防止连接建立两端的合谋攻击。

如图4所示，以下针对上述实施例中，可信网络连接架构系统中各个单元的具体工作过程做详细的说明：

连接申请单元向连接应答单元发送连接申请信息；连接应答单元向身份鉴别请求单元发送认证激活信息；身份鉴别请求单元向证书鉴别请求单元发送身份认证请求信息；证书鉴别请求单元从身份鉴别请求子模块中提取证书，发送给身份鉴别单元；身份鉴别单元完成身份认证，反馈给证书鉴别请求单元。

若身份认证通过，证书鉴别请求单元向边缘网关密钥管理单元发送会话密钥申请；边缘网关密钥管理单元下发会话密钥以及会话密钥封装；证书鉴别请求单元获取会话密钥以及会话密钥封装，将会话密钥封装发送给身份鉴别请求单元，将会话密钥发送给边缘网关策略部署单元；边缘网关策略部署单元将会话密钥发送给边缘网关通信加密单元，边缘网关通信加密单元基于所述接收会话密钥信息，完成边缘网关通信加密。

身份鉴别请求单元将会话密钥封装发送给终端密钥管理单元；终端密钥管理单元解密会话密钥封装，将解密后的会话密钥发回给身份鉴别请求单元；身份鉴别请求单元将解密后的会话密钥发送给终端策略部署单元；终端策略部署单元将解密后的会话密钥发送给终端通信加密单元，完成终端通信加密。

上述实施例具体的工作过程中存在交换机边缘网关模块和外部终端的双向认证和加密传输，因此系统可以防范外部恶意终端发起的外部渗透攻击和网络窃听攻击，外部终端也可以识别交换机边缘网关模块，防范仿冒网管采取钓鱼行为，进行网关仿冒攻击。内部的电力装置的可信度量机制和访问控制机制可以防范内部提取权攻击和内部用户对外界的非法外联攻击行为。

通过经过交换机的可信网络连接对介入对象的身份、物理平台的可信性、运行环境应用接入状态等进行全面检查，利用可信计算技术支撑交换机接口的身份鉴别和访问控制，有效的检查接入到交换机的行为的可信性，发现并阻断用户对网络环境设备的恶意访问，做到为整个电力系统网络安全提供安全控制服务。

以上实施例中应用于电力系统的可信网络连接架构系统，具备以下有益效果：

1、可以提高电力信息系统在传输过程中的系统安全性，改进了电力信息系统安全存在一定不足的现象；

2、本电力系统可信连接架构通过国产可信计算技术对接入方进行可信度量时，不仅可以度量接入方的身份，还可以度量其所在物理平台的可信性，是否执行了符合可信要求的操作系统，其配置状况是否安全，系统启动时候可靠，程序是否被篡改。

3.电力系统可信网络连接架构是一种框架的实施方案，具有很大的灵活性，可以根据实际场景设计对应的网络连接机制。

4.三元三层网络通过交换机设备同时作为策略管理器、访问控制器，极大的减少了部署时候的复杂度，可以便捷的部署可信连接架构，并且交换机本身作为网络转节点，对所有接入网络做可信管理十分稳定。

5.本软件提供安全管理中心，以B/S架构部署，支持可信交换服务基线配置、安全策略备份与恢复、安全策略集中下发等功能，减少管理员重复工作，大大提高管理员安全运维效率。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (6)

1.一种应用于电力系统的可信网络连接架构系统，其特征在于，包括：可信交换机、内部终端和外部终端；

所述可信交换机包括安全管理中心模块和边缘网关模块；

所述内部终端和外部终端作为可信网络连接架构中的访问请求者，用于发送访问请求信息；

所述安全管理中心模块作为可信网络连接架构中的策略管理器，用于接收所述内部终端的审计输出信息，并且向内部终端和边缘网关模块下发访问控制策略，完成平台身份鉴别和完整性校验；

所述边缘网关模块作为可信网络连接架构中的访问控制器，采集信息并且向安全管理中心模块进行传递，接收安全管理中心模块的反馈信息执行访问控制。

2.根据权利要求1所述的一种应用于电力系统的可信网络连接架构系统，其特征在于，所述内部终端和外部终端包括：

连接申请单元：用于向所述边缘网关模块发送连接申请信息；

身份鉴别请求单元：用于接收所述边缘网关模块的认证激活信息和向所述边缘网关模块发送身份认证请求信息；

终端密钥管理单元：用于接收会话密钥封装信息，并进行解密下发会话密钥；

终端策略部署单元：用于接收会话密钥信息，发送给终端通信加密单元；

终端通信加密单元：基于所述接收会话密钥信息，完成终端通信加密。

3.根据权利要求1所述的一种应用于电力系统的可信网络连接架构系统，其特征在于，所述边缘网关模块包括：

连接应答单元：用于接收所述内部终端和外部终端的连接申请信息和向所述内部终端和外部终端发送认证激活信息；

证书鉴别请求单元：用于接收所述内部终端和外部终端的身份认证请求信息，发送给安全管理中心模块，并且接收所述安全管理中心模块的认证请求反馈信息；

边缘网关密钥管理单元：用于接收会话密钥申请，下发会话密钥信息以及会话密钥封装信息；

边缘网关策略部署单元：用于接收会话密钥信息，发送给边缘网关通信加密单元；

边缘网关通信加密单元：基于所述接收会话密钥信息，完成边缘网关通信加密。

4.根据权利要求1所述的一种应用于电力系统的可信网络连接架构系统，其特征在于，所述安全管理中心模块包括：

可信管理单元：用于可信验证节点管理和可信集中策略管理；

可信审计单元：用于监测和记录系统操作行为信息，提供可信审计日志。

5.根据权利要求4所述的一种应用于电力系统的可信网络连接架构系统，其特征在于，所述可信验证节点管理包括：

对内部/外部终端节点注册时进行身份识别；

读取内部/外部终端节点的名称、IP地址信息，并按名称、IP地址对接入的内部/外部终端节点进行排序、搜索；

监控已注册内部/外部终端的在线/离线状态。

6.根据权利要求4所述的一种应用于电力系统的可信网络连接架构系统，其特征在于，所述可信集中策略管理包括：

对内部/外部终端的策略信息进行添加、删除、查看操作，包括应用程序、关键文件的保护策略；

对在线的内部/外部终端的策略信息进行导出、导入操作。